2022年6月14日,国家互联网信息办公室(以下简称“网信办”)发布《移动互联网应用程序信息服务管理规定》(以下简称“《规定》”)。《规定》作为国家部门规章,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)《中华人民共和国未成年人保护法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等多部法律、行政法规、部门规章,对在中华人民共和国境内提供应用程序信息服务和从事互联网应用商店等应用程序分发服务的相关主体提出了最新要求。
此前,网信办于2016年发布过总共11条的《移动互联网应用程序信息服务管理规定》(以下简称“2016《规定》”),主要针对提供信息服务所需的资质及备案、禁止性行为、安全管理责任作出规定;2022年1月,网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》(以下简称“《征求意见稿》”)。《征求意见稿》在2016《规定》的基础上大幅度增加和调整了相关内容,将近年来发布的《个人信息保护法》《互联网信息服务管理办法》等法律法规纳入了制定依据,同时将体系结构调为“总则、应用程序提供者、应用程序分发平台、监督管理、附则” 共五个章节27条,不但条款数量翻翻,而且在内容上较2016《规定》有较大突破。新修订的《规定》已于2022年6月14日发布,将于2022年8月1日起正式施行。
作为对移动互联网应用程序合规要求的支撑,有关“移动互联网应用程序(App)”的国家标准和行业标准今年来均在持续发布,例如《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)(【新规重磅来袭,解读机不可失!带你学习《App收集个人信息基本要求》】)和《移动互联网应用程序(App)收集使用个人信息最小必要评估规范》(【App收集个人信息符合“最小必要”的典型场景要求与评估规范,等你来了解!】)。此次《规定》则从规范“应用程序信息服务”的视角,对移动互联网应用程序提供者及移动互联网应用程序分发平台做出规制,提出企业合规义务基线,值得各方关注。
一、适用范围与主体
(一)适用范围
根据《规定》第二条第一款,《规定》适用于在中华人民共和国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务。
首先,从地域范围上,规制的是在境内提供相关服务组织的行为。如果在境外提供应用程序信息服务或者应用程序分发服务,则不在本规章的规制范围。例如,因Google Play在国内不能使用,则不受《规定》的规制。
其次,从规制对象上,主要分为两类。第一类是“应用程序信息服务”,根据《规定》第二条,主要指向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型的应用程序,覆盖了用户经常使用的、且存在较高用户数量的应用程序。第二类是“应用程序分发服务”,即通过互联网提供应用程序发布、下载、动态加载等服务活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型,例如Apple Store、华为快应用中心以及微信小程序平台等。
(二)适用主体
《规定》第二十六条明确了两类适用主体,即移动互联网应用程序提供者以及移动互联网应用程序分发平台。前者指提供信息服务的移动互联网应用程序所有者或者运营者,后者则是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。
根据《规定》,应用程序分发服务包含“互联网小程序平台”的行文逻辑,以及近期几份监管文件中对“移动互联网应用程序”属性的确认(可详见【微信小程序个人信息保护合规要点解读】),我们认为《规定》中的移动互联网应用程序包含小程序。例如,某新闻资讯微信小程序的开发者,应当遵守《规定》有关“应用程序提供者”的合规要求;同时,微信小程序平台管理者也将构成《规定》中的“应用程序分发平台”。
二、《规定》重点与亮点
自2016《规定》以来,三版本文件(2016规定、《征求意见稿》以及《规定》)均对应用程序提供者的资质条件、内容审核、真实身份信息认证与注册用户管理,以及应用程序分发平台的备案义务、对应用程序的管理及审核义务等信息服务方面的重点内容进行了详细规定。《规定》则在前版本的基础上对应用程序提供者及应用程序分发平台的相关合规义务作出了进一步的细化调整,该些内容也构成了《规定》的重点。
同时,相较于2016《规定》,本次修订《规定》新增了《网络安全法》《个人信息保护法》、《未成年人保护法》以及《互联网新闻信息服务管理规定》等法律法规作为制定依据,并配合相应规范性文件对信息服务领域有所涉及的有关内容作出了规定。例如,配合《网络安全法》第二十四条,《规定》明确了“网络可信身份战略的配合义务”;为落实《个人信息保护法》中规定的个人信息处理者义务,《规定》对应用程序提供者的个人信息保护义务以及应用程序分发平台的审查管理义务均作出了规定;又如,在《互联网新闻信息服务管理规定》的基础上,《规定》明确了应用程序提供者的行政许可义务。这些内容均为落实上位法或其他规范性文件的最新合规要求,同时也构成了《规定》的亮点。
本部分拟从适用主体的角度出发,对《规定》所提出的重点与亮点作出介绍与分析。
(一)应用程序提供者及应用程序分发平台
1. 网络可信身份战略的配合义务
《网络安全法》第二十四条规定:“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”相较于年初发布的《征求意见稿》,《规定》第五条增加了有关网络可信身份战略的配合义务,即“应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,积极配合国家实施网络可信身份战略”。据此,应用程序提供者及应用程序分发平台在履行用户真实身份认证义务的同时,应当关注电子身份认证、电子身份互认的相关技术及标准动态,例如,公安部领导推动建设的网络电子身份标识(elD)与居民身份网络可信凭证(CTID)是目前较为常见的技术形态。
2. 完善接受社会监督管理义务
《网络安全法》《数据安全法》《个人信息保护法》《互联网新闻信息服务管理规定》以及《网络信息内容生态治理规定》均从不同角度要求有关互联网运营主体自觉接受社会监督,并对其投诉、举报及响应制度作出要求。根据《规定》第二十二条,应用程序提供者和应用程序分发平台应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。
(二)应用程序提供者
1. 应用程序提供者对信息内容的主体责任
《规定》第八条新增了“应用程序提供者应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息”的表述。在此,应用程序提供者作为互联网内容提供者(ICP),应当最大程度地避免其用户制作、复制、发布、传播的内容存在违法违规的情况。同时,《规定》第八条也不宜被视作对《民法典》《信息网络传播权条例》所确立的“避风港”原则[1]的突破。
根据《规定》第八条,应用程序提供者应当健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力,对信息内容呈现结果负责。对此,应用程序提供者应当建立全流程的完整的内部审核管理机制,在用户注册、账号管理、信息审核、日常巡查、应急处置等各环节满足相关制度建立、人员配置与技术跟进的要求,切实地落实对信息内容呈现结果负责的主体责任。2021年发布的《关于进一步压实网站平台信息内容管理主体责任的意见》以及《互联网平台落实主体责任指南(征求意见稿)》均对加强内容管理与审核机制作出了规定。《规定》则从互联网信息服务入手再次重申应用程序提供者的内容审核管理义务。因此,互联网运营主体的内容审核义务及主体责任落实是当下监管关注的重点内容之一。
2. 应用程序提供者的用户管理要求
首先,应用程序提供者应满足用户的真实身份信息认证义务。根据《规定》第六条规定,应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。信息发布与即时通信服务属于较为典型的应用程序信息服务,因而《规定》专门提及此两类服务类型的真实身份认证,但并不意味着仅有此两类信息服务类型需要满足用户真实身份认证义务。在此,仍应围绕“应用程序信息服务”以及《规定》所列明的服务类型展开理解,相关应用程序提供者均应履行用户的真实身份认证义务。
第二,根据《规定》第十六条,应用程序提供者应依法依规制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。对违反《规定》及相关法律法规及服务协议的注册用户,采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。《规定》第十六条在 “制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务”的内容前新增了“依据法律法规和国家有关规定”的表述;同时,删除了 “制定并公开平台公约”的规定。近年来,涉及平台运营者/经营者的相关规范性文件对平台管理规则、用户协议等作出了规定,其中不乏可纳入《规定》视域下提供信息服务的即时通讯、电子商务、论坛社区等平台主体。例如,根据《网络数据安全管理条例(征求意见稿)》第四十三条规定,互联网平台运营者应当建立与数据相关的平台规则,及时披露规则制定程序、裁决程序,修改完善平台规则应当充分采纳公众意见并接受社会监督。又如,根据《互联网平台落实主体责任指南(征求意见稿)》第十四条规定,互联网平台经营者应当提高规则透明度,履行与服务协议和交易规则相关的信息公示和报告制度。遵循规则制定、修改相关的公示、征求意见、听证和协商程序,保证相关规则的公开、公平、公正。
第三,《规定》强调了对未成年人的保护。《规定》第十三条修改了《征求意见稿》中“落实未成年人用户账号实名注册”的表述,将其调整为“落实未成年人用户账号真实身份信息注册”。同时,第十三条增加了“不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息”的内容。2022年3月出台的《未成年人网络保护条例(征求意见稿)》同样规定了“禁止利用网络制作、复制、发布、传播含有危害未成年人身心健康内容的信息”[2]以及为未成年人提供信息发布、即时通讯等服务时“要求未成年人或者其监护人提供未成年人真实身份信息”[3]的内容【可参见《从企业合规角度解读<未成年人网络保护条例(征求意见稿)>》】。在此,《规定》进一步强调了未成年人账号注册的真实身份信息要求,以及应用程序提供者对可能危害未成年人身心健康内容的审核禁止义务。应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求。对于应用程序提供者而言,除应当关注作为《规定》制定依据之一的《未成年人保护法》以及上文提到的《未成年人网络保护条例(征求意见稿)》外,还应当通过司法实践中的相关案例获得合规启示。【可参见《北京互联网法院未成年人网络司法保护典型案例浅析》】例如,在北京互联网法院发布的自2018年建院以来的涉及未成年人网络纠纷的典型案例中,存在未成年人在网络游戏平台遭遇网络诈骗的案例。对于未成年人用户较多的游戏、网络平台等,应加大对侵害未成年人合法权益行为的审核力度,对用户加强关于违法犯罪行为的提示,不断提升未成年人的保护力度。又如,存在未成年人在网络直播平台不理性消费的典型案例,法院认定网络直播平台经营者在未成年人保护工作中存在机制缺失和管理漏洞,向平台发出司法建议以此督促其完善实名认证环节的控制。
3. 应用程序提供者提供特殊类型服务时取得许可、开展评估的要求
首先,根据《规定》第七条,应用程序提供者提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可。应用程序提供者提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。根据《互联网新闻信息服务管理规定》的相关规定,通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可;互联网新闻信息服务,包括互联网新闻信息采编发布服务、转载服务、传播平台服务。此外,针对依法须获得相关许可的“其他互联网信息服务”,则取决于应用程序提供者所提供的具体服务类型。例如,对于提供电子商务信息服务的应用程序提供者,应根据《互联网信息服务管理办法》《电信业务分类目录》等文件申请“增值电信业务经营许可证-信息服务业务”(ICP证)以及“增值电信业务经营许可证-在线数据处理与交易处理业务”(EDI证)。
其次,根据《规定》第十四条,上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。根据网信办与公安部于2018年联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》的规定,具有舆论属性或社会动员能力的互联网信息服务包括:
(1)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(2)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
同时,根据《互联网新闻信息服务新技术新应用安全评估管理规定》第七条,互联网新闻信息服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的,应当自行组织开展新技术新应用安全评估;而根据《互联网信息服务算法推荐管理规定》第二十七条可知,具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。在此,《规定》第十四条的安全评估与算法推荐服务的安全评估范围重合,但在实践中是否由相同监管部门开展类似的安全评估程序,则有待观察。
4. 网络安全、数据安全、个人信息保护合规要求
在网络安全领域,《规定》第十条要求应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。在数据安全领域,《规定》第十一条明确开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测。
例如,2021年实施的《信息安全技术 网络产品和服务安全通用要求》(GB/T 39276-2020)[4]从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求。安全功能和安全保障均包含基本级和增强级安全要求。应用程序提供者应至少满足基本级安全通用要求,包括身份标识和鉴别、日志记录与审计、用户信息安全保护及密码使用与管理的安全功能要求,以及在设计和开发、生产和交付及运行和维护过程中需满足的安全保障要求。此外,根据网信办、工信部与公安部联合发布的《网络产品安全漏洞管理规定》,[5]应用程序提供者负有网络产品安全漏洞管理义务,包括:(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者;(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等;(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。同时,未按要求采取补救措施或履行报告义务的应用程序提供者,面临由有关主管部门责令改正,给予警告至最高五十万元罚款(对直接负责的主管人员处最高十万元罚款)的行政责任。
在个人信息保护领域,《规定》调整了处理个人信息时不得强制取得用户同意的内容,以避免产生歧义。《规定》将《征求意见稿》所规定的“不得以任何理由强制要求用户同意非必要的个人信息处理行为”中的“非必要”删除,调整为“不得以任何理由强制要求用户同意个人信息处理行为”。我们理解,此处的修改说明即便是“必要的个人信息”,应用程序提供者也不得强制要求用户同意,而应当在隐私政策中告知用户所收集的必要个人信息以及为开展业务而收集相关个人信息的必要目的,并取得用户的同意。例如,即时通信类App为满足用户注册及对注册用户进行真实身份信息认证的要求而收集的“注册用户移动电话号码”即为“必要个人信息”, App运营者也应当告知用户并取得用户同意后方才收集此类个人信息。
《规定》第十二条重申处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。对于应用程序提供者而言,除应当遵守《个人信息保护法》《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中有关个人信息处理者的合规义务外,还应当重视《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》等对应用程序基本功能与必要个人信息的相关规定和国家标准。例如,对于提供信息服务的网络社区类App,其基本业务功能包括话题讨论、信息分享等信息服务,因而用于网络社区用户注册,满足对App注册用户进行真实身份信息认证的要求而收集的注册用户移动电话号码即为该App可收集的“必要个人信息”,而“用户地理位置信息”可能属于为满足App扩展业务功能而收集的个人信息则为“非必要但有关联个人信息”。根据《规定》的要求,无论收集何种个人信息,应用程序提供方均需告知用户处理其个人信息的方式与目的并取得用户同意,同时不能因用户不同意提供“地理位置”等非必要个人信息而拒绝用户使用话题发布等基本功能。
5. 《规定》对应用程序提供者的禁止性规定及非强制性规定
根据《规定》第九条,应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。根据市场监督管理总局发布的《禁止网络不正当行为规定(征求意见稿)》的规定,若应用程序提供者通过机器或者人工刷榜、刷量、控评等方式对自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传,欺骗、误导消费者或者相关公众,则可能构成不正当竞争行为。在实践中,存在较多诱导用户下载的案例。例如,2021年“3.15”晚会曝光了有的App名义上为清理手机垃圾,实则侵入老年人手机读取隐私信息,有的甚至设下精准陷阱进行诈骗,此类行为即属于利用违法和不良信息诱导用户下载。
此外,《规定》第十五条鼓励应用程序提供者积极采用互联网协议第六版(IPv6)向用户提供信息服务。此条要求并非《规定》对应用程序提供者的强制性要求,但根据网信办、发改委及工信部联合印发的《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》等相关文件的内容规划,应用程序提供者应积极配合采用互联网协议第六版(IPv6)向用户提供信息服务。
(三)应用程序分发平台
1. 向网信部门的两类备案义务
根据《规定》,应用程序分发平台应当履行两类备案义务,分别为应用程序分发平台自身的备案义务(第十七条),以及对上架应用程序的备案义务(第十八条)。
平台自身备案义务
首先,《规定》进一步明确了应用程序分发平台的备案时限。《规定》第十七条将《征求意见稿》第十六条规定的“应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案”调整为“应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案”,删除了“业务”二字。换言之,应用程序分发平台应当于上线运营后的三十日内完成向所在地省级网信办的备案工作。同时,《规定》调整了对备案条件的表述。《征求意见稿》中规定“省、自治区、直辖市互联网信息办公室对备案材料的真实性、完备性进行审核,符合条件的应当予以备案”,而《规定》调整为“省、自治区、直辖市网信部门收到备案材料后,材料齐全的应当予以备案”。在此,《规定》取消了网信部门对备案材料真实性与完备性的审核要求,而以“材料齐全”作为备案条件。同时,《规定》在应用程序平台的备案材料中,删除了“公约”这一材料类型。
根据《规定》第十七条,应用程序平台自身的平台备案义务是指在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时,应当提交以下材料:
(1)平台运营主体基本情况;
(2)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;
(3)平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;
(4)本规定第五条要求建立健全的相关制度文件;
(5)平台管理规则、服务协议等。
如上文分析,《规定》取消了网信部门对平台备案的真实性与完备性的审核要求,但要求平台备案的材料齐全;同时,《规定》要求网信部门及时公布已经履行备案手续的应用程序分发平台名单。对于应用程序平台而言,备案名单将在很大程度上为其满足基本合规情况完成背书。
对上架应用程序的备案义务
《规定》改变了对上架应用程序备案地的规定。根据《征求意见稿》第十七条的规定,应用程序分发平台应将其上架的应用程序“向应用程序分发平台所在地省、自治区、直辖市互联网信息办公室备案”,但根据《规定》第十八条,应用程序分发平台对上架的应用程序应“按类别向其所在地省、自治区、直辖市网信部门备案”。在此,根据语义理解,应用程序分发平台应将其上架的应用程序进行分类管理,并向该应用程序所在地的省级网信部门提交备案,而非向应用程序平台自身所在地的省级网信部门备案。我们理解,此处改变符合《规定》第三条的“地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作”,同时也为实践中监管机构的管理工作开展提供便利。
2. 对上架应用程序的管理
根据《规定》第十八条,应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理。在实践中,应用程序分发平台通常按照App提供的服务类型进行分类展示。同时,根据《规定》第二十一条,应用程序分发平台需依据法律法规和国家有关规定,制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。也即,类似于应用程序提供者需满足的对其用户制定管理规则的义务,应用程序分发平台同时需依法依规制定并公开管理规则。对于平台而言,管理规则与服务协议不仅为满足应用程序管理所需,同时符合条件的管理规则与服务协议也是平台履行备案义务所必须提供的材料,应当引起应用程序分发平台的重视。
此外,应用程序分发平台应当建立自应用程序上架审核至下架处置的全流程的合规管理,建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。
在上架审核环节,根据《规定》第十九条,应用程序分发平台应采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证;根据《规定》第二十条,对申请上架和更新的应用程序进行审核,应从应用程序名称、图标、简介、注册主体真实身份信息以及业务类型是否存在违法违规等角度审核。根据《规定》第二十条,对于提供特殊服务类型的应用程序,例如通过应用程序提供互联网新闻信息服务的应用程序,应用程序平台应对相关许可等情况进行核验;又如应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能的,则应用程序平台应对安全评估情况进行核验。
在日常管理环节,《规定》第二十条要求加强对在架应用程序的日常管理,重点审查是否含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息等情形。因此,应用程序分发平台不但需承担对违法和不良信息的内容管理义务,同时也应当在数据造假与数据安全两个方面对其上架的应用程序承担审核管理义务。在数据造假方面,根据市场监管总局关于《禁止网络不正当竞争行为规定(公开征求意见稿)》的规定,应用程序分发平台若对其上架应用程序的数据造假虚假宣传行为提供帮助,则涉嫌构成不正当竞争,面临责令停止违法行为,最高二百万元的罚款以及吊销营业执照的处罚。在数据与个人信息保护方面,应用程序分发平台可关注工信部定期对侵害用户权益行为的应用程序的通报,被要求整改的应用程序的问题集中在违法违规收集、使用用户个人信息方面,具有典型示范意义。
在应急处置方面,根据《规定》第二十一条,对违反《规定》及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。在实践中,应用程序分发平台应当针对违规程度不同的应用程序建立不同级别的处置措施,对于屡次违规或明显违反相关法律法规而遭到有关部门约谈的应用程序,应用程序分发平台应当对其采取下架措施。例如,某知名网络社区类App曾因屡次出现法律、法规禁止发布或者传输的信息,而被国家互联网信息办公室指导北京市互联网信息办公室派出工作督导组督促整改同时予以高额罚款,而该App也在各应用商店被下架处理。此外,根据《规定》第二十二条,应用程序分发平台同应用程序一样,需设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。
3. 对违法违规收集使用个人信息的审查管理
根据《规定》第二十条,应用程序分发平台应当加强对在架应用程序的日常管理,不得为违法违规收集使用个人信息的应用程序提供服务。近期,全国信安标委发布了《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南(征求意见稿)》(以下简称“《管理指南》”)。《管理指南》给出了应用商店运营者对App个人信息处理活动的审核与管理指南,适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。《管理指南》中的“应用商店”,也即“移动应用分发平台,包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及小程序、快应用、H5 页面等新形态分发平台,”是“提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。”因此,作为《管理指南》适用主体的“应用商店”与《规定》中的应用程序分发平台的概念外延基本一致,应用程序分发平台可参考《管理指南》对其上架及在架的应用程序进行审核管理。根据《管理指南》,应用程序分发平台的审核管理流程可总结为:针对新申请上架的App、存量App以及发生版本更新的App,应用程序分发平台需对App个人信息处理活动进行审核,并在App通过审核后对其进行上架;在App进入应用程序分发平台后,应用程序分发平台需对App个人信息处理活动进行安全管理,并在App存在主管、监管部门通报的违法违规个人信息处理活动问题时对其采取督促整改、下架等措施。
三、《规定》下的企业合规义务
实践中,企业主体更为关注如何落实作为应用程序提供者或应用程序分发平台的相关合规要求。基于此,本部分结合第二部分所梳理的《规定》重点与亮点,以要点形式归纳整理了应用程序提供者及应用程序分发平台需履行的合规义务。
(一)应用程序提供者:
-
完成对用户的真实身份信息认证。在实践中,相关应用程序多采取基于移动电话号码对用户进行真实身份信息认证。例如,下图1-3分别为提供即时通信、信息发布与电子商务服务的App的用户真实身份认证方式。未来,应用程序提供者应积极配合国家实施网络可信身份战略,采用如eID或CTID等相关技术完成身份认证或互通认证。
-
提供互联网新闻信息服务的,取得互联网新闻信息服务许可;若应用程序提供者提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可后方可提供服务;
-
建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力;
-
禁止通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载;
-
按照国家标准的强制性要求设计应用程序,对安全缺陷、漏洞等风险立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;
-
建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测;
-
依法处理用户个人信息,明确告知用户处理行为及目的并取得用户同意,区分应用程序的基本业务功能与扩展业务功能;
-
坚持最有利于未成年人的原则,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息;
-
上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估;
-
制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务;
-
对违反本规定及相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告;
-
设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。在实践中,应用程序提供者应避免使用模糊的投诉交互页面(如图4),而应设计醒目的投诉标识(如图5),并保证内部及时受理、处置、反馈、处理公众投诉举报。
图4
图5
(二)应用程序分发平台:
-
上线运营三十日内向所在地省、自治区、直辖市网信部门备案;
-
对上架的应用程序按类别向其所在地省、自治区、直辖市网信部门备案;
-
建立分类管理制度,对上架的应用程序实施分类管理。在实践中,应用程序分发平台通常按照App提供的服务类型进行分类展示。如下图6为某应用商店的分类图示,图7为某小程序平台的分类图示;
图6
图7
-
采取复合验证等措施,对申请上架的应用程序提供者基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证;
-
根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息;
-
对申请上架和更新的应用程序进行审核,重点关注应用程序名称、图标、简介是否存在违法和不良信息,是否与注册主体真实身份信息不相符,业务类型是否存在违法违规等情况;
-
审核提供互联网新闻信息服务应用程序的许可情况,审核应用程序上线具有舆论属性或者社会动员能力的新技术、新应用、新功能的安全评估情况;
-
加强日常审核,重点关注是否含有违法和不良信息,下载量、评价指标等数据造假,是否存在数据安全风险隐患,违法违规收集使用个人信息等情况;
-
制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务;
-
对违反本规定及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告;
-
设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。
四、总结
从整体上看,《规定》的出台可视为从“应用程序信息服务”的视角出发对应用程序及其相关主体的最新要求。对于应用程序提供者及应用程序分发平台而言,除传统意义上的身份审核、内容管理、备案管理等合规要求外,在未成年人保护、数据造假、数据安全与个人信息保护等方面以及特殊服务类型的应用程序行政许可、安全评估与对应核验等方面,《规定》也新增或细化了相应要求。因此,《规定》体现了监管机构对应用程序相关主体落实主体责任的重视。
此外,如本文开篇所述,近期针对移动互联网应用程序的监管文件频发。我们建议从更广泛的意义上把握移动互联网应用程序(App)的概念外延,包括各类型应用程序和小程序的运营者均应采取完整的合规措施,实现对各业务领域App产品的综合性、全流程合规管理,以落实监管部门日益细化与多元的监管要求。
点击文末“相关下载”,查看《规定》与《征求意见稿》关键内容调整对比表。
注释:
[1] 有关“避风港”原则可概括为对于第三方的信息内容侵权,网络服务提供者是否承担侵权责任取决于“通知-删除”的机制运行。具体可参见《民法典》第一千一百九十五条、一千一百九十六条;《电子商务法》第四十二条、四十三条;《信息网络传播权保护条例》第十四条至第十七条。
[2] 《未成年人网络保护条例(征求意见稿)》第二十二条:禁止利用网络制作、复制、发布、传播含有危害未成年人身心健康内容的信息。禁止向未成年人发送含有危害或者可能影响未成年人身心健康内容的信息。
[3] 《未成年人网络保护条例(征求意见稿)》第三十三条第一款:网络服务提供者为未成年人提供信息发布、即时通讯等服务,应当在确认提供服务时,要求未成年人或者其监护人提供未成年人真实身份信息。未成年人或者其监护人不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。
[4] 具体可参见《信息安全技术 网络产品和服务安全通用要求》(GB/T 39276-2020)“5.1.1 安全功能要求”与“5.1.2 安全保障要求”。
[5] 具体可参见《网络产品安全漏洞管理规定》第五条、第七条、第八条、第十一条、第十二条。
相关下载