规范安装卸载行为 进一步提升移动互联网应用服务能力

anglehougenofi

近年来，工业和信息化部大力提高移动互联网应用服务质量，有效维护用户的合法权益，取得积极的社会成果。然而，一些企业的服务行为不规范，相关环节的责任落实不到位。根据《个人信息保护法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护条例》等相关法律法规，为优化服务供应，改善用户体验，维护良好的信息消费环境，促进行业高质量发展，有关事项现通知如下：


一、提高全过程服务意识，保护用户合法权益
1.规范安装卸行为
（1）确保知情同意安装。向用户推荐下载应用程序应遵循开放、透明、真实、准确、完整的开发运营商、产品功能、隐私政策、权限列表等必要信息，同时提供明显的取消选项，经用户下载安装后确认，有效保护用户的知情权、选择。不得通过“偷梁换柱”、“强制捆绑”、“无声下载”等方式欺骗和误导用户下载和安装。
（2）规范网页推荐下载行为。未经用户同意或主动选择，用户在浏览页面内容时，不得自动或强制下载应用程序，也不得强迫用户通过折叠显示、主动弹出窗口、频繁提示等方式下载和打开应用程序，影响用户的正常浏览信息。没有正当理由，下载应用程序不得与阅读页面内容绑定。
（3）实现方便卸载。除基本功能软件外，APP应方便卸载，不得恶意阻止用户以空白名称、透明图标、背景隐藏等方式卸载。
2.优化服务体验
（4）用户可以选择关闭窗口。打开屏幕和弹出窗口信息窗口提供清晰有效的关闭按钮，确保用户能够轻松关闭；不要频繁干扰用户的正常使用，或使用“全屏热图”、诱导用户操作的方法，如高灵敏度“摇一摇”，容易引起误触发。
（5）提前通知服务事项。明确产品功能权益、资费等内容，有开放会员、收费等附加条件的，应当明确提示。未经明确规定，在提供产品和服务的过程中不得增加限制性条件，并以此为由终止用户正常使用的产品功能和服务，或减少服务体验。
（6）合理启动操作场景。在非服务所需或不合理的场景下，其他应用程序不得启动和关联，也不得唤醒、呼叫、更新等行为。
（7）及时提醒服务续期。通过自动续订和自动续订提供服务的，应当经用户同意，不得默认检查或强制捆绑。在自动续订和自动续订前5天，提醒用户在服务期间提供方便的随时退订、自动续订和取消自动续费。
3.加强个人信息保护
（8）坚持合法正当必要的原则。从事个人信息处理活动应具有明确、合理的目的，不得强制用户同意超出范围或与服务场景无关的个人信息处理行为，理由是服务体验、产品研发、算法推荐、风险控制等。当用户拒绝提供非当前服务所需的个人信息时，不得影响服务的基本功能。
（9）显示个人信息处理规则。通过简单、清晰、易于理解的方式告知用户个人信息处理规则。如有变化，应及时通知用户最新情况。突出显示敏感个人信息处理的目的、方法和范围，建立已收集的个人信息清单，不得诱导用户通过默认检查、缩短文本、冗长文本等方式同意个人信息处理规则。
（10）合理申请使用权限。当相应的业务功能启动时，动态应用所需的权限不得要求用户同意多个非业务功能的必要权限。在调用终端相册、地址簿、位置等权限时，同时通知用户申请该权限的目的。未经用户同意，用户未经授权的状态不得改变。
4.响应用户需求
（11）建立客户服务热线。鼓励互联网企业建立客户服务热线。主要互联网企业将客户服务热线的电话号码公布在网站和应用程序的显著位置，简化人工服务转移程序。鼓励提高客户服务热线的响应能力，月平均响应时间为30秒，人工服务响应率超过85%。
（12）妥善处理用户投诉。发布有效的联系信息，接受用户投诉。按照规范要求在互联网信息服务投诉平台上回复投诉，确保15天内完成处理，提高投诉处理满意度。鼓励在APP中设置用户满意度评价链接，引导用户参与评价。
二、提高全链管理能力，营造健康服务生态
1.落实APP开发运营商的主要责任
（1）完善内部管理机制。明确用户服务和权益保护的领导管理部门和负责人，建立全生命周期个人信息保护机制，完善考核问责制度，在产品研发、推广和运营中落实相关法律法规和政策要求，不断提高合规水平。定期审计个人信息保护措施和实施情况，有效防范隐患。
（2）提高技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施，加强前后安全保护。积极监控个人信息泄露、盗窃、篡改、损坏、丢失、非法使用等风险威胁，及时响应处置要求。
（3）加强软件开发工具(SDK)使用管理。使用SDK前，应评估其个人信息保护能力，并通过合同明确约定各方的权利和义务，以确保个人信息处理依法合规。及时显示和更新嵌入的SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息，侵犯用户权益造成损害的，依法承担相应责任。
2.加强平台分发管理
（4）在货架上严格审查应用程序。准确登记和验证应用程序开发运营商的真实身份和联系信息、应用程序的主要功能和用途等基本信息，并对拟议的应用程序进行技术测试。相关审计应明确负责人，并保留审计日志记录，不符合要求的，不得上架。应用程序的名称和功能、开发运营商、版本号、用户终端权限列表、用途、个人信息处理规则等信息应在显著位置公布。未建立分发明示界面的，应将应用程序下载并链接到应用程序商店，引导用户从正式渠道下载分发的应用程序。
（5）加强对货架应用程序的检查。加强对应用程序的动态检查，确保公共信息的真实性和准确性。未经授权变更应用程序的主要功能、申请权限、个人信息收集和使用的场景和范围等非法应用程序，应停止提供服务。
（6）完善分销管理机制。建立APP开发运营商信用评估、风险提示等机制，鼓励电子签名认证分发APP，实现货架应用和分发行为全过程的可追溯性。加强与移动互联网应用程序检测认证公共服务平台的联动，做好信息报告、监控可追溯性、信息共享和响应处理。
3.规范SDK应用服务
（7）建立信息宣传机制。SDK名称、开发者、版本号、主要功能、使用说明等基本信息，以及个人信息处理规则。SDK独立收集、传输和存储个人信息的，应当单独说明。鼓励SDK管理服务平台发挥作用，引导APP开发运营商使用合规的SDK。
（8）优化功能配置。遵循最小必要原则，根据不同的应用场景或用途，明确SDK功能和相应的个人信息收集范围，并为应用程序开发运营商提供功能模块和个人信息收集配置选项，不得过度收集个人信息。
（9）加强服务协调。在产品使用的整个生命周期中，积极向应用程序开发运营商提供合规使用指南，引导应用程序开发运营商正确合理使用，共同提高合规水平。当个人信息处理规则发生变化或发现风险时，及时更新并通知应用程序开发运营商。
4.筑牢终端安全防线
（10）加强应用程序运行管理。为用户提供APP自启动和相关启动的关闭功能，以及方便的相关设备识别码重置选项，加强对APP无声下载和热更新的监控，防止未经用户同意擅自启动、下载和安装。
（11）加强APP行为记录提醒。提高权限调用记录能力，方便用户查询权限调用。建立通讯录、麦克风、相机、位置、剪切板等权限的明显提示机制，确保用户及时准确地了解个人信息收集状态。
（12）提高APP的风险预警能力。推进APP电子签名认证，提高用户对假冒、不良、违规等风险APP的识别能力。
5.巩固接入企业的责任
（13）准确登记信息。在APP、SDK提供网络接入服务时，注册并验证APP、SDK开发运营商的真实身份、联系方式等信息，提高追溯能力。
（14）确保有效处置。按照电信监管部门的要求，依法对非法APP进行处置、SDK采取停止接入等必要措施，有效防止其侵犯用户权益的违规行为。


三、工作要求
1.做好组织实施工作。应坚持以人为本的发展思想，提高政治地位，加强责任，完善分解任务，认真落实本通知，确保实际效果。相关企业应落实主要责任，按照本通知的要求进行自检和自我纠正，有效维护用户的合法权益。同时，完善长期机制，创新模式和方法，不断提高移动互联网应用服务水平，不断提高用户的收益、幸福和安全感。
2.加强指导和监督。工业和信息化部完善了评价、通知、排名和宣传机制，促进了扎实有序的工作，及时总结和推广了优秀案例和经验。地方通信管理局应加强监督检查，指导和督促地方企业落实本通知的要求。未落实或者违法行为的，依法采取责令限期整改、向社会公告、组织下架等措施，认真追究责任。
3.加强技术应用。中国信息通信研究所应组织产业力量，全面利用人工智能、大数据等新技术、新手段，升级建设移动互联网应用国家检测认证公共服务平台，不断完善平台功能，做好技术检测、监控服务和监督支持。积极推广电子签名认证等可追溯技术手段的应用，提高服务管理能力。
4.促进行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准和服务规范，加强评价认证和人才培训。进一步畅通渠道听取群众意见，促进各方沟通互动，引导企业依法合规经营，不断优化和改进服务，创造良好的环境，促进优质服务的优质发展。