七、附件
第七部分 其 他
移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)
(工业和信息化部信息通信管理局 2021年4月26日)
第一条 为保护个人信息权益,规范移动互联网应用程序(以下简称App)个人信息处理活动,促进个人信息合理利用,依据《中华人民共和国网络安全法》等法律法规,制定本规定。
第二条 在中华人民共和国境内开展的App个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。
第三条 本规定所称App个人信息处理活动,是指移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。
本规定所称App开发运营者,是指从事App开发和运营活动的主体。
本规定所称App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。
本规定所称App第三方服务提供者,是指相对于用户和App以外的,为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。
本规定所称移动智能终端生产企业,是指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体。
本规定所称网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为App提供网络接入服务的电信业务经营者。
第四条 国家互联网信息办公室负责统筹协调App个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局建立健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责App个人信息保护和监督管理工作。
省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局负责本行政区域内App个人信息保护监督管理工作。
前两款规定的部门统称为App个人信息保护监督管理部门。
第五条 App个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。
相关行业组织和专业机构按照有关法律法规、标准及本规定,开展App个人信息保护能力评估、认证。
第六条 从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。
(一)应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;
(二)应当采取非默认勾选的方式征得用户同意;
(三)应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意;
(四)应当在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态;
(五)需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意;
(六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。
第七条 从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
(一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;
(二)个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围;
(三)用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;
(四)在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;
(五)用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;
(六)不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。
第八条 App开发运营者应当履行以下个人信息保护义务:
(一)切实提升产品和服务个人信息保护意识,将个人信息保护要求落实在产品设计、开发及运营环节;以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况;
(二)基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益;
(三)使用第三方服务的,应当制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任;
(四)对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务;
(五)加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求;
(六)国家规定的其他个人信息保护义务。
第九条 App分发平台应当履行以下个人信息保护义务:
(一)登记并核验App开发运营者、提供者的真实身份、联系方式等信息;
(二)在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;
(三)不得欺骗误导用户下载App;
(四)对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;
(五)建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;
(六)按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作;
(七)设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报;
(八)国家规定的其他个人信息保护义务。
第十条 App第三方服务提供者应当履行以下个人信息保护义务:
(一)制定并公开个人信息处理规则;
(二)以明确、易懂、合理的方式向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致;
(三)未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;
(四)采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者;
(五)未经用户同意,不得将收集到的用户个人信息共享转让;
(六)国家规定的其他个人信息保护义务。
第十一条 移动智能终端生产企业应当履行以下个人信息保护义务:
(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;
(二)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;
(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;
(四)建立重点App关注名单管理机制,完善移动智能终端App管理措施;
(五)对预置App进行审核,持续监测预置App的个人信息安全风险;
(六)在安装过程中以显著方式告知用户App申请的个人信息权限列表;
(七)完善终端设备标识管理机制;
(八)国家规定的其他个人信息保护义务。
第十二条 网络接入服务提供者应当履行以下个人信息保护义务:
(一)在为App提供网络接入服务时,登记并核验App开发运营者的真实身份、联系方式等信息;
(二)按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益;
(三)国家规定的其他个人信息保护义务。
第十三条 从事App个人信息处理活动的相关主体,应当加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。
第十四条 任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报,监督管理部门和相关组织应当及时受理并调查处理。
从事App个人信息处理活动的相关主体应当自觉接受社会监督。
第十五条 根据公众投诉举报情况和监管中发现的问题,监督管理部门可以对存在问题和风险的App实施个人信息保护检查。
从事App个人信息处理活动的相关主体应当对监督管理部门依法实施的监督检查予以配合。
第十六条 发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:
(一)责令整改与社会公告。对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。
(二)下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。
(三)断开接入。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。
(四)恢复上架。被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。
(五)恢复接入。被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
(六)信用管理。对相应违规主体,可纳入信用管理,实施联合惩戒。
第十七条 对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。
第十八条 从事App个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。
第十九条 监督管理部门应当对履行职责中知悉的用户个人信息予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第二十条 本规定自 年 月 日起施行。
关于《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的起草说明
(工业和信息化部信息通信管理局 2021年4月26日)
一、起草背景
近年来,我国个人信息保护力度不断加大,但App个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,部分环节仍存漏洞,个人信息保护面临诸多问题和挑战。党中央、国务院高度重视App个人信息保护治理工作,党的十九届五中全会明确提出,维护人民根本利益,保障国家数据安全,加强个人信息保护。国家互联网信息办公室、工业和信息化部、公安部、市场监管总局持续深入开展App违法违规收集使用个人信息治理工作,工业和信息化部连续两年开展App侵害用户权益专项整治行动,社会反映热烈,取得阶段性明显成效。
考虑到App治理是一项具有长期性、复杂性的系统治理工作,有必要将近年来成熟的经验做法和管理措施转换为制度性规范文件。同时,为强化App个人信息保护管理的系统性、整体性和协同性,在总结专项治理工作经验基础上,起草形成了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。
二、关于起草的主要情况和把握要点
《征求意见稿》在国家互联网信息办公室的统筹指导下,由工业和信息化部会同公安部、市场监管总局联合制定完成。起草过程中,就重点问题组织有关单位和专家学者进行了专题研究,并听取了百度、阿里巴巴、腾讯、字节跳动、美团、拼多多、京东、滴滴、新浪微博、快手、小米、华为、OPPO、vivo、360、捷兴信源、梆梆等主要互联网企业、终端企业和安全企业的意见建议。
制定过程中,重点把握“三个坚持”:一是坚持以人民为中心的发展思想。贯彻党的十九届五中全会要求,落实以人民为中心的发展思想,坚持人民利益至上,严格规范App个人信息处理活动,增强人民群众安全感和获得感。二是坚持问题导向。立足前期专项治理工作基础,聚焦用户投诉举报反映强烈的突出问题,将近两年来已经成熟的经验做法和管理措施制度化,为规范App个人信息处理活动提供可靠制度保障。三是坚持落实主体责任。明确细化了App开发运营者、分发平台、第三方服务提供者等主体在App个人信息处理活动中应当履行的主体责任义务。
三、关于《征求意见稿》的主要内容
《征求意见稿》共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求,主要内容如下:
一是界定适用范围和明确监管主体。在适用范围方面,《征求意见稿》明确了在中华人民共和国境内开展的App个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。在监管主体方面,《征求意见稿》明确了App个人信息保护的联合工作机制,国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局健全完善App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,各部门在各自职责范围内负责App个人信息保护和监督管理工作。(第一条至第五条)
二是明确“知情同意”“最小必要”两项重要原则。《征求意见稿》“知情同意”规定,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,并明确了“六项应当”要求。“最小必要”规定,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,并提出了“六项不得”要求。(第六条和第七条)
三是规范关键环节主体责任义务。《征求意见稿》对App治理的全链条、全主体、全流程予以规范,规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在App个人信息保护方面的具体义务。(第八条至第十二条)
四是细化违规处置流程和具体措施。《征求意见稿》明确从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。特别提出,对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App,将对其进行直接下架;且下架后的App在40个工作日内不得通过任何渠道再次上架的管理要求。此外,监督管理部门将指导App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。(第十六条和第十七条)
此外,《征求意见稿》还对违反本规定行为的法律责任、保密义务等作了规定。(第十八条和第十九条)
互联网企业个人信息保护测评标准
(中国科学技术法学会、北京大学互联网法律中心 2014年3月15日)
一、宗旨
本标准的制定是为了贯彻《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《网络交易管理办法》等与个人信息保护相关的规范性法律文件,维护用户合法权益并规范互联网企业的个人信息处理行为,以实现产业良性发展中个人信息保护与利用的平衡。
测评标准通过对互联网企业义务的具体规定,致力于在现有规范性法律文件的基础上,建立有效的用户个人信息保护实践机制,一方面推动互联网企业构建合规的个人信息保护机制,另一方面实现用户在个人信息方面合法权益的保障。
二、依据
本标准依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《网络交易管理办法》,参照OECD《关于保护隐私和个人数据跨国流通的指导原则》、APEC《隐私保护纲领》、《公共及商用系统个人信息保护指南》等国内外个人信息保护领域相关文件,结合我国互联网产业发展现状制定。
三、定义
标准所涉及的术语定义如下:
1.互联网企业
互联网企业是指利用信息网络向用户提供技术服务或内容服务的过程中处理个人信息的组织实体。“信息网络”包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。
2.初始方、关联方、第三方
初始方是指在提供技术服务或内容服务过程中直接向用户收集个人信息的互联网企业。
关联方是指与特定初始方有控制关系,且其个人信息保护政策与初始方不存在实质性差异的互联网企业。“控制”是指有权以股权或协议决定一个互联网企业的财务和经营政策,并能据以从该互联网企业的经营活动中获取利益。
第三方是指未直接向用户收集个人信息,但从初始方或关联方处获取个人信息的组织实体或自然人。
3.用户
用户是指使用互联网企业提供的服务并可通过个人信息识别的自然人。本标准中所称的“未成年人”是指未满18周岁的限制民事能力人或无民事行为能力人。
4.个人信息
个人信息是指能够切实可行地单独或通过与其他信息结合识别特定用户身份的信息或信息集合,如姓名、出生日期、身份证件号码、住址、电话号码、账号、密码等。
本标准不适用于经不可逆的匿名化或去身份化处理,使信息或信息集合无法合理识别特定用户身份的信息。
5.处理
处理是指互联网企业对用户个人信息的收集、加工、使用、转移行为,其中:
收集是指获取并保存个人信息的行为。
加工是指将收集的个人信息进行自动化系统操作以满足使用、转移需要的行为。
使用是指利用个人信息提供技术服务或信息服务,依据个人信息作出决策,以及向公众公开或向特定群体披露个人信息的行为。
转移是指将个人信息传输给关联方或第三方的行为。
6.同意、明示同意、默示同意
同意是指用户以其积极、肯定的意思表示,或以其自愿使用服务的行为,表达对互联网企业处理其个人信息的认可。其中:
明示同意是指用户以其积极、肯定的意思表示认可互联网企业处理其个人信息。
默示同意是指用户以其自愿使用服务的行为认可互联网企业处理其个人信息。
除经特别说明,本标准中的同意指默示同意。
7.实质性修改
实质性修改是指互联网企业对其在个人信息保护政策中承诺的、与个人信息处理有关的用户权利或互联网企业义务的减少。
四、基本原则
1.知情同意原则
除法律规定的情形外,互联网企业应充分告知用户有关个人信息处理的重要事项,并在告知的基础上获得用户的明示同意或默示同意。
2.合法必要原则
互联网企业处理个人信息的方式应符合法律规定,并仅处理为实现正当商业目的和提供网络服务所必需的个人信息。
3.目的明确原则
互联网企业处理个人信息应具有合法、正当、明确的目的,不得超出目的范围处理个人信息。
4.个人控制原则
用户有权查询个人信息,有权对其个人信息进行修改、完善、补充。
5.信息质量原则
互联网企业应为用户查询、更正其个人信息提供必要渠道,以保障个人信息的准确、完整、及时。
6.安全责任原则
互联网企业应采取必要的管理措施和技术手段,保护个人信息安全,防止未经授权检索、公开、丢失、泄露、损毁和篡改个人信息。
五、指标体系
1.知情同意
1.1 互联网企业在收集个人信息前应以个人信息保护政策如实告知用户个人信息处理相关事项,包括但不限于:
a)收集个人信息的目的、方式、范围;
b)加工、使用、转移个人信息的目的、方式、范围;
c)互联网企业的名称、地址、联系方式和用户投诉机制;
d)用户查询、修改个人信息的渠道;
e)用户拒绝提供个人信息可能出现的后果;
f)企业个人信息安全管理制度和个人信息安全保护措施。
1.2 互联网企业应在网站、软件或服务的适当位置公开其个人信息保护政策,并以适当方式提醒用户注意相关政策并告知不同意个人信息保护政策的可能后果。
在互联网企业履行其告知义务后,用户开始或持续使用技术服务或内容服务的行为视为同意互联网企业处理其个人信息。
2.收集
2.1 互联网企业收集个人信息应有合法、正当、明确的目的,不得超出目的范围收集个人信息。
2.2 互联网企业应明确告知收集个人信息的手段,并确保相关手段合法、正当。
2.3 互联网企业应明确告知收集个人信息的种类,并仅收集为实现正当商业目的和提供网络服务所必需的个人信息。
2.4 除有以下特殊情况,互联网企业收集个人信息的行为超出告知的目的、方式、范围,应以合理形式告知用户并获得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
3.加工
3.1 互联网企业应在收集前告知的目的和范围内加工个人信息,并采取必要的措施和手段保障个人信息在加工过程中的安全。
3.2 除有以下特殊情况,互联网企业超出收集时所告知的目的和范围加工个人信息,应以合理形式告知用户并获得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
4.使用
4.1 互联网企业应在收集前告知的目的和范围内使用个人信息,并采取必要的措施和手段保障个人信息在使用过程中的安全。
4.2 除有以下特殊情况,互联网企业超出收集时所明确告知的目的和范围使用个人信息,应以合理形式告知用户并获得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
5.转移
5.1 互联网企业向关联方转移个人信息,应告知用户关联方处理个人信息的情况。
5.2 除有以下特殊情况,互联网企业向第三方转移个人信息,应告知用户并征得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
6.个人控制
6.1 互联网企业应为用户提供独立操作机制,实现用户对个人信息的控制。
6.2 互联网企业应为用户提供个人信息查询、修改的渠道。
6.3 互联网企业应为用户提供注销账号或号码的渠道。
7.政策修改
7.1 互联网企业应根据规范性法律文件和企业实践及时更新其个人信息保护政策。
7.2 互联网企业实质性修改其个人信息保护政策,应以显著方式告知用户修改的内容,并告知用户不接受的后果及相应的解决机制。
7.3 互联网企业非实质性修改其个人信息保护政策,应以适当方式告知用户修改的内容。
8.安全责任
8.1 互联网企业应建立个人信息管理责任制度,落实个人信息管理责任,加强个人信息安全管理,规范个人信息处理活动。
8.2 互联网企业应采取必要的技术措施和手段保护个人信息安全,包括但不限于:
a)建立完善的内部合规管理部门,设立并任命首席隐私官或相关管理人员;
b)采用法律强制或业界通行的技术手段对用户个人信息进行加密;
c)采取法律强制或业界通行的技术手段对用户个人信息进行匿名化或去身份化处理,并使处理后的信息不可逆及不能用于识别个人身份;
d)在提供服务过程中,以技术手段保证用户对他人未经授权实施的个人信息侵害行为采取防御行为。
9.特殊领域的个人信息
9.1 互联网企业应规定未成年人个人信息处理的特殊措施,如仅在征得其监护人的明示同意前提下处理其个人信息,或一旦明知其为未成年人,在未征得监护人明示同意时停止处理其个人信息。
9.2 互联网企业处理用户精确地理位置信息,应以合理方式告知用户,并为用户提供终止处理其精准地理位置信息的选择机制。
精确地理位置信息是指通过用户所使用的设备获取的,用于及时识别或描述用户在某一特定时间点误差小于1公里的实际物理位置的信息。
六、实现机制
1.机构测评
本测评标准的发布机构将组建测评机构,测评机构由相关领域的政产学研各界人士组成。
测评机构将以标准为依据主动对本标准适用范围内的互联网企业进行测评,测评对象为互联网企业设置的个人信息保护政策以及与个人信息保护相关的实践做法,包括服务或软件设置、典型步骤等。测评机构将以定期或不定期报告的方式发布测评结果。
测评机构将适时发布标准标识使用标准,符合标准的互联网企业可以在网站或服务的适当位置显示相关标识。
2.企业参与
互联网企业可以以本标准为依据对其个人保护政策及实践做法进行比照,及时调整政策文本及实践做法。除主动调整外,互联网企业可委托测评机构对政策文本及实践做法进行测评,根据测评结果及时调整政策文本及实践做法。
3.用户监督
互联网用户可以以本标准为依据对互联网企业的个人信息保护政策及实践做法进行测评。用户可通过测评机构适时推出的网站反馈测评结果。
七、附件
本测评标准基本规定的释义和制定依据将在附件中作出进一步解释和说明。
本标准以国家数字版权研究基地发布的版权自助协议(Self⁃Help Copyright License Agreement,SCLA)发布,许可条件为:
[仅保留署名权]许可人仅保留表明作者身份、在作品上署名的权利。被许可人依照本协议规定取得演绎权许可的,必须在演绎作品上标明原作品的作者。许可人放弃对其作品享有的所有财产性权利。