移动应用(APP)数据安全与个人信息保护白皮书

　　（一） 政府层面，加快完善数据安全监管体系一是完善App 数据安全和个人信息保护制度建设。加快推动《数据安全法》、《个人信息保护法》等相关法律出台，通过立法进一步细化包含App 运营者在内的企业收集使用用户个人信息的规范。持续推进App 数据安全和个人信息保护相关标准研制，聚焦工业App 等新型应用和问题集中的位置导航、外卖等重点应用，结合业务属性和应用特点，制定数据安全技术标准和配套的检测标准。二是强化跨部门App数据安全联动管理。在前期App 个人信息专项治理工作基础上，完善行业分管、协同联动的管理模式，对于各行业内App 数据安全保护工作由行业主管部门负责牵头实施，对于融合领域App 数据安全保护工作要加强检测实施、通报处置等环节的沟通协同。三是建立App 数据安全长效监管机制。建立App 数据安全检测和通报常态化机制，及时发现安全隐患，督促整改。进一步扩大监督检查范围，定期开展针对重点移动应用商店和智能终端企业的监督检查，以查促管，督促企业落实平台审核责任。基于隐患整改和投诉举报信息，建立信用监管机制，对存在不良信用记录的App 重点监管。

    　　（二） 政府层面，创新数据安全防护技术手段一是鼓励企业开放普惠行业的App 数据安全检测技术能力。鼓励第三方机构固化App 数据安全及个人信息保护检测流程、规范，开放相关检测工具平台，提升App 运营者自主发现、主动整改数据安全风险的能力。二是形成App 数据安全防护产品集群目录。联合高校、科研院所和企业等多方力量，合力推进数据资产盘查、数据特征值提取、数据加密、数据匿名化、数据血缘追踪以及数据防泄漏等重点数据安全技术的研究，形成App 数据安全防护产品集群目录，通过应用试点加速技术成果转化，促进App 数据安全先进技术创新和产品服务应用推广。三是推动企业提升App 数据安全与个人信息保护技术水平。指导企业加大App 数据安全技术投入，加快部署网络数据和用户个人信息防窃密、防篡改、防泄漏和数据备份等安全防护措施，提升企业App数据安全保障能力。

    　　（三） 企业层面，切实落实数据安全主体责任一是App 运营者要积极开展数据安全与个人信息保护自评估工作。App 运营者作为责任主体，应建立企业内部的数据安全与个人信息保护机制，严格履行法律法规规定的责任义务，同时依照相关标准，对App 数据安全与个人信息保护情况进行自评估，积极防范安全隐患。二是应用商店等平台企业应加强应用上架前数据安全审核。应用商店等分发平台企业应按照相关制度要求，落实平台管理责任，依托现有应用上架前审核机制，将App 数据安全与个人信息保护措施作为重点审核内容，对违法违规App 不予上架。三是移动智能终端企业应严格落实应用软件预置管理要求。移动智能终端企业应按照相关标准，对预置应用软件开展安全评估分级评测，达到相应等级的App 可通过代码签名的方式进行标识，并拒绝与不符合规范要求的软件提供商合作。严格落实向用户公示预置应用软件相关信息的要求，重点明示应用软件安装及运行所需权限列表，收集、使用用户个人信息的内容、目的、方式和范围等。

    　　（四） 行业层面，构建数据安全多方治理生态一是推动行业组织制定行为准则和指引，提升行业自律水平。依托现有互联网行业自律组织，推动各利益相关方共同制定个人信息收集使用行为准则，签订行业自律公约，对App 运营者和应用商店进行评估检测和认证，推广宣传企业最佳实践，提升行业整体水平。二是加大用户宣传教育力度，提升用户防护能力。用户作为App 的使用主体，行业组织应着力通过展览、论坛、制作用户安全手册等多种形式，向用户普及安全下载方式、隐私政策阅读要点、索取权限必要性等个人信息安全保护知识，提升用户自身安全防护意识和能力。三是加强与媒体、社会公众的沟通交流，弥合认知鸿沟。针对目前少数媒体和公众对于企业业务模式中个人信息收集使用方式和隐私政策存在的误读和误解，包括对隐私条款中的术语、技术处理操作和行业惯例等不理解的情况，应通过普法、普及网络知识等形式对公众进行解读和宣导，积极探索与媒体和公众的对话机制，弥合专业知识和公众认知之间的鸿沟，消除信息不对称导致的隐私焦虑。

    　　五、移动应用（App）用户安全使用建议

    　　App 个人信息安全事件不断牵动公众神经，用户隐私意识逐渐觉醒。与此同时，大部分用户自身个人信息保护意识和能力仍然不足。

    　　因此，除了从管理视角出发对App 数据安全治理建言献策，报告团队还从用户视角出发，围绕敏感权限索取、隐私政策、用户注销渠道等用户关注热点，梳理出用户安全使用App 的技巧，提升用户个人信息安全保护能力。