深圳市医学信息中心
公众号和APP安全管理规定
第一条为落实《网络安全法》,规范以以深圳市卫生健康委、深圳市医学信息中心名义开通和发布的公众号、APP开发和维护,制定本规定。
第二条本规定所指公众号和APP是指以深圳市卫生健康委、深圳市医学信息中心名义开通的微信公众号、小程序、微博账号等各类公众号以及以深圳市卫生健康委、深圳市医学信息中心名义发布的APP。
第三条公众号和APP实施报备管理(包括以深圳市卫生健康委、深圳市医学信息中心为认证主体的个人微博号等),所有公众号、APP应向医学信息中心XX部进行备案,明确公众号和APP的维护责任人、内容审核责任人以及允许收集的个人信息清单,任何单位和个人不得私自深圳市卫生健康委、深圳市医学信息中心名义开设、发布公众号和APP。
第四条以深圳市卫生健康委、深圳市医学信息中心名义发布的小程序、APP应按照对应系统的网络安全等级保护级别,实施安全控制措施。
第五条公众号、APP应严格采取实施有效的控制措施,合法合规收集和使用个人信息,包括:
1、提供明确的隐私声明,包括收集和使用个人信息的规则,明确列出收集使用个人信息的目的、方式、范围等;
2、APP首次运行时通过弹窗等明显方式提示用户阅读隐私声明;
3、隐私声明应清晰、便于阅读,避免晦涩难懂、冗长繁琐,并提供确认确认功能,不得以默认选择同意等非明示的方式征求用户同意隐私声明;
4、向用户提供撤回已同意的隐私声明的途径、方式;
5、APP接入第三方应用时,应在隐私声明中明确说明。
6、提供有效的更正、删除个人信息及注销用户账号功能。
第六条公众号、APP收集个人信息,应满足业务必要性原则,并且最小化收集个人信息。
第七条收集个人信息的频度不得超出业务功能的实际需要。
第八条未征得用户同意前,不得开始收集个人信息或打开可收集个人信息的权限。
第九条不得因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能。
第十条用户明确表示不同意后,不得收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用。
第十一条不得要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
第十二条不得收集超出用户授权范围的个人信息。
第十三条未经用户同意不得更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态。
第十四条不得以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的。
第十五条不得既未经用户同意,也未做匿名化处理,以任何方式向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件、后台数据直接提供等方式向第三方提供个人信息。
第十六条不得为更正、删除个人信息或注销用户账号设置不必要或不合理条件。
第十七条及时响应用户更正、删除个人信息及注销用户账号等操作,需人工处理的,必须在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
第十八条公众号、APP应建立并公布个人信息安全投诉、举报渠道,并在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
第十九条公众号、APP应采取控制措施,防止违法有害信息的出现在公众号和APP上,包括实施内容审核机制、评论、跟帖敏感词过滤或审批机制等。
第二十条公众号、APP上不得发布违反国家有关法律法规规定的信息、特别是国家机密和可能涉及国家安全、公众安全、经济安全、社会 稳定的信息。
第二十一条公众号、APP上不得擅自发布代表个人观点、意见及情绪的言论。
第二十二条公众号、APP不得擅自发布商业广告等经营类信息。
第二十三条公众号、APP不得擅自开通电子商务功能。
第二十四条任何单位和个人不得利用公众号、APP提供有偿服务。
第二十五条小程序、APP维护方,应采取控制措施,确保用户能正常访问和下载。
第二十六条公众号、APP应提供监督和举报渠道,第一时间对公众号和APP上的违法有害信息的监督和举报进行响应和处理(响应时限不得超过X个(时限暂无合规依据,需要单位定义)工作日)。
第二十七条公众号、APP安全由开发、运营单位负责,对于安全问题整改不及时或不到位的,给予人民币20000元处罚;
第二十八条公众号、APP上发生泄密事件、公共安全事件的,依法追究运营开发、运营单位或个人法律责任。