游客

工信部又发新规:预装软件安全成重点

游客 2016-12-23 23:04:41    200904 次浏览

工信部又发新规:预装软件安全成重点

工信部

工信部信管[2016]407号

各相关单位:

现将《移动智能终端应用软件预置和分发管理暂行规定》印发给你们,请遵照执行。

工业和信息化部

2016年12月16日

移动智能终端应用软件预置和分发管理暂行规定

为推动移动互联网健康有序发展,构建安全可信的信息通信网络环境,依法维护用户的知情权和选择权,促进大众创业、万众创新,规范移动互联网市场秩序,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国网络安全法》《中华人民共和国电信条例》和《互联网信息服务管理办法》等有关规定,制定本规定。

第一条工业和信息化部大力推动移动智能终端应用软件发展,鼓励移动智能终端生产企业、互联网信息服务提供者等相关企业积极开发移动智能终端应用软件产品,丰富信息消费内容,引导企业健全相关管理机制。鼓励有关行业协会等依法制定自律性管理制度,共同规范移动智能终端应用软件的预置和分发行为,维护网络安全,加强用户权益保护。

第二条本规定规范移动智能终端生产企业(以下简称生产企业)的移动智能终端应用软件预置行为,以及互联网信息服务提供者提供的移动智能终端应用软件分发服务。

第三条工业和信息化部依照本规定对全国范围内移动智能终端应用软件预置与分发服务实施监督管理。省、自治区、直辖市通信管理局(以下统称各地通信主管部门)在工业和信息化部领导下,按照本规定对本行政区域内的移动智能终端应用软件预置与分发服务实施监督管理。工业和信息化部和各地通信主管部门应进一步完善移动智能终端应用软件预置与分发服务监管制度,强化事中事后管理。

第四条生产企业和提供移动智能终端应用软件分发服务的互联网信息服务提供者(以下简称互联网信息服务提供者)不得提供或传播含有下列内容的移动智能终端应用软件:

(一)反对宪法所确定的基本原则的;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(三)损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)破坏国家宗教政策,宣扬邪教和封建迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)含有法律、行政法规禁止的其他内容的。

第五条生产企业和互联网信息服务提供者应依法依规提供移动智能终端应用软件,采取有效措施,维护网络安全,切实保护用户合法权益。

(一)提供移动智能终端预置软件(以下简称预置软件)的生产企业和互联网信息服务提供者应自觉维护行业公平竞争,依法维护用户的知情权和选择权,不得实施破坏市场竞争秩序、侵犯用户合法权益的行为。

(二)生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能、违法发送商业性电子信息;未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。

(三)为移动智能终端应用软件提供代收费的企业,应当采取必要措施,加强对计费、收费行为的管理,杜绝不明扣费;收费企业应对用户确认信息和计费原始数据至少保存5个月,并为用户查询提供方便。

(四)生产企业应约束销售渠道,未经用户同意不得擅自在移动智能终端中安装应用软件,并提示用户终端在销售渠道等环节被装入应用软件的可能性、风险和应对措施。

第六条生产企业和互联网信息服务提供者均应明示所提供移动智能终端应用软件相关信息。

(一)生产企业和互联网信息服务提供者均应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。

(二)生产企业应在终端产品说明书中提供预置软件列表信息,并在终端产品说明书或外包装中标示预置软件详细信息的查询方法。生产企业在提交移动智能终端进网申请时,应提供相关产品符合前述要求的声明。

(三)涉及收费的移动智能终端应用软件应严格遵守明码标价等相关规定,明示收费标准、收费方式,明示内容真实准确、醒目规范,经用户确认后方可扣费。

第七条生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件可卸载。

(一)移动智能终端的基本功能软件是指保障移动智能终端硬件和操作系统正常运行的应用软件,主要包括操作系统基本组件、保证智能终端硬件正常运行的应用、基本通信应用、应用软件下载通道等。终端中预置的实现同一功能的基本功能软件,至多有一个可设置为不可卸载。

(二)生产企业和互联网信息服务提供者应确保所提供的除基本功能软件之外的移动智能终端应用软件可由用户方便卸载,且在不影响移动智能终端安全使用的情况下,附属于该软件的资源文件、配置文件和用户数据文件等也应能够被方便卸载。

(三)生产企业应确保已被卸载的预置软件在移动智能终端操作系统升级时不被强行恢复;应保证移动智能终端获得进网许可证前后预置软件的一致性;移动智能终端新增预置软件或有重大功能变化的,应及时向工业和信息化部报告。

第八条从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有以下管理责任:

(一)应登记应用软件提供者、运营者、开发者的真实身份、联系方式等信息。

(二)应建立应用软件管理机制,对应用软件进行审核及安全、服务等相关检测,对审核和检测中发现的恶意应用软件等违法违规软件,不得向用户提供;对所提供应用软件进行跟踪监测,及时处理违法违规软件,建立完善用户举报投诉处置措施等。

(三)应要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途,并将上述信息向软件下载用户明示。

(四)应留存所提供应用软件,以及该软件有关版本、上线时间、功能简介、用途、MD5(消息摘要算法5)等校验值、服务器接入等信息以备追溯检测,相关信息的留存时间不短于60日。

(五)对于违反本规定第四条要求的应用软件,以及在通信主管部门监督检查中发现的恶意应用软件,相关企业应予以及时下架。

(六)应加强网络安全防护以及对相关人员的教育培训,保障自身系统安全和用户个人信息安全。

第九条通信主管部门应对生产企业和互联网信息服务提供者落实本规定相关要求情况进行监督检查。

(一)通信主管部门应组织专业检测机构对生产企业预置的和互联网信息服务提供者提供的应用软件开展监督检测和恶意应用软件认定工作,相关企业应给予配合,并提供便捷的获取应用软件的条件。

(二)检测机构应及时将检测和认定报告提交通信主管部门。通信主管部门依据报告,要求并监督相关企业进行整改,通知并监督互联网信息服务提供者下架恶意应用软件。

(三)通信主管部门向社会通报监督检查和检测情况。

(四)对于紧急情况以及互联网信息服务提供者未按要求及时下架违法应用软件的,通信主管部门可依法依规要求有关单位采取处置措施。

第十条相关企业和社会组织应进一步完善服务保障措施,提高用户权益保护水平。

(一)生产企业和互联网信息服务提供者应建立移动智能终端应用软件投诉举报受理制度,为用户提供便捷的投诉举报方式,接受、验证和处理用户投诉举报。如用户发现移动智能终端应用软件违反本规定要求,可向相关企业投诉举报,企业应在规定和公开承诺的时限内妥善处理;对处理结果不满的,用户可向电信用户申诉受理机构申诉。用户发现恶意应用软件,以及含有法律法规规定的禁止性内容或违法发送商业性电子信息的移动终端应用软件,可向网络不良与垃圾信息举报中心举报。

(二)工业和信息化部鼓励移动智能终端应用软件采用依法设立的电子认证服务机构颁发的数字证书进行签名;指导相关企业对已签名的移动智能终端应用软件采用依法设立的电子认证服务机构颁发的数字证书,进行验证并显著标识。

(三)工业和信息化部支持相关社会组织通过行业自律形式,建立恶意应用软件黑名单,实现黑名单信息在相关企业、专业检测机构以及用户之间的共享。

第十一条违反本规定的,通信主管部门依据职权责令改正,依法进行处罚,并将生产企业、互联网信息服务提供者违反本规定受到行政处罚的情况记入信誉档案,向社会公布。对涉嫌违法犯罪的应用软件线索,各单位应及时报告公安机关。

第十二条本规定下列用语的含义是:

移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。

移动智能终端应用软件(英文简称APP)包括移动智能终端预置应用软件,以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。

移动应用分发平台是指网站、应用商店等提供移动智能终端应用软件下载、安装、升级的应用软件平台。

移动智能终端预置应用软件是指由生产企业自行或与互联网信息服务提供者合作在移动智能终端出厂前安装的应用软件。

恶意应用软件是指含有信息窃取、恶意扣费、诱骗欺诈、系统破坏等恶意行为及其他危害用户权益和网络安全的应用软件。

商业性电子信息是指利用电信网或互联网,向用户介绍、推销商品、服务或者商业投资机会的电子信息。

第十三条本规定解释权属于工业和信息化部。

第十四条本规定自2017年7月1日起实施。

内容加载中