串联规则,分层监管 | 《移动互联网应用程序信息服务管理规定》要点解读
作者:周杨 张燕 时间:2022-07-11

2022年6月14日,国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》(“《管理规定》”)并将于2022年8月1日正式实施。这是《移动互联网应用程序信息服务管理规定》(“旧《管理规定》”)自2016年6月发布后时隔六年以来的首次全面修订。

 

六年间,移动互联网应用程序信息服务发展日新月异,旧《管理规定》显得力有不逮,此次《管理规定》在内容方面发生了较大变化,条款总数由十一条扩充至二十七条,衔接了众多既存法律规范,相比旧《管理规定》规范范围更加全面。《管理规定》重点针对应用程序提供者和应用程序分发平台两类主体规定了既存在交叉重合又彼此独立的合规义务,相关市场主体需要对照《管理规定》的要求更新现有合规清单,以保证未来业务的可持续运营。

 

一、 明确适用范围和基本概念

 

《管理规定》规范的是在中华人民共和国境内提供的两种服务类别:应用程序信息服务以及互联网应用商店等应用程序分发服务。与之相应的两类受监管主体为应用程序提供者和应用程序分发平台。同时,《管理规定》对涉及的基本概念进行了界定:

 

应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。

 

这是《管理规定》的新增概念,其中信息载体包括文字、图片、语音、视频等多种类型,信息服务包括制作、复制、发布、传播等多种方式,同时《管理规定》对一些典型的提供信息服务的应用程序类型进行了比较详细的列举,以便市场主体判断自身是否需要履行相关合规义务。搭载着技术发展的快车,信息本身及其载体的外延不断以正在进行时的状态向外拓展,并由此衍生出了网络直播、短视频等蓬勃发展的新生业态,因此,《管理规定》采用了“不完全详细列举”的概念界定方式,为未来的科技和商业创新以及法律适用留下弹性空间。

 

应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。

 

移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

 

移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件。

 

移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者。

 

相比旧《管理规定》将移动互联网应用程序定义为通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件,限定在APP一种类型,《管理规定》此次将小程序等类型也明确纳入移动互联网应用程序的范围,与此同时,移动互联网应用程序分发平台也不再等同于应用商店,所有提供移动互联网应用程序发布、下载、动态加载等分发服务的平台,包括但不限应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型均为《管理规定》所规制的应用程序分发平台。

 

二、应用程序提供者的合规义务

 

(一) 用户实名认证和管理

 

《管理规定》要求应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。这也是对《网络安全法》《互联网用户公众账号信息服务管理规定》等提出的实名制要求的衔接适用。

 

同时,《管理规定》要求应用程序提供者应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务对违反本规定及相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。

 

二)重点保护未成年人

 

《管理规定》要求应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。有关实名认证,《未成年人保护法》要求在游戏领域,国家建立统一的未成年人网络游戏电子身份认证系统,网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏;在网络直播领域,网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意。向未成年人提供的信息内容的生态治理一直是立法和监管部门的关注重点,在《未成年人保护法》《未成年人网络保护条例(征求意见稿)》等法律法规和《关于进一步压实网站平台信息内容管理主体责任的意见》《关于加强网络直播规范管理工作的指导意见》等通知文件中被反复强调,在中央网信办启动的“清朗·暑期未成年人网络环境整治”专项行动中,也将持续聚焦解决网上危害未成年人身心健康的突出问题。各方应足够重视。

 

(三) 特殊类型信息服务的行政许可/审核同意

 

《管理规定》明确要求应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。此处衔接了《互联网新闻信息服务管理规定》提出的行政许可要求。

 

此外,出版、食品、医疗保健、药品和医疗器械、区块链等互联网信息服务也存在各自的行政许可或备案要求。应用程序提供者在拟开展某类信息服务前应提前调研和了解相关行业是否存在前置性的行政许可/审核同意要求,做好规划和布局。

 

(四) 内容审核管理

 

应用程序提供者应对信息内容呈现结果负责,建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力,衔接和重申了《网络信息内容生态治理规定》等法规的相关要求。

 

(五) 不得诱导用户下载

 

《管理规定》明确禁止应用程序提供者通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。其实早在2016年,工信部印发的《移动智能终端应用软件预置和分发管理暂行规定》中就要求,生产企业和互联网信息服务提供者未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。2021年市场监督管理总局发布的《禁止网络不正当竞争行为规定(征求意见稿)》规定,若应用程序提供者通过机器或者人工刷榜、刷量、控评等方式对自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传,欺骗、误导消费者或者相关公众,则可能构成不正当竞争行为。此前,在工信部组织的“APP侵害用户权益专项整治行动”中也曾就此问题向相关企业提出整改要求:在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载APP;推荐下载APP时,应同步提供明显的“取消”选项,切实保障用户的知情权、选择权;无合理正当理由,不得要求用户不下载APP就不给看,或者不让看全文。同时,工信部强调不得以折叠显示、主动弹窗、频繁提示、降低体验等方式强迫、误导用户下载、打开APP,或跳转至应用商店,影响用户正常浏览信息。此次《管理规定》将之前的立法和监管要求再次予以重申。

 

(六) 网络和数据安全以及个人信息保护

 

应用程序应当符合相关国家标准的强制性要求,发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。此处衔接了2021年9月施行的《网络产品安全漏洞管理规定》的要求,根据《网络产品安全漏洞管理规定》,网络产品提供者应当履行一系列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

 

 

发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

 

应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

 

应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

 

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。同时鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

 

此外,《管理规定》要求应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。

 

在个人信息保护方面,《管理规定》重申《个人信息保护法》等相关法规所明确要求的处理个人信息应当遵循的合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。有关必要个人信息范围,应用程序提供者可重点参考《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》等对于基本功能和必要信息范围的区分和认定标准。

 

同时,应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。此评估备案要求是根据2018年11月出台的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,主要针对具有舆论属性或社会动员能力的互联网信息服务,包括“开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能”以及“开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务”,按照要求,新开办舆论属性或社会动员能力的互联网信息服务,使用新技术新应用使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,要在上线前开展评估,用户规模显著增加或发生违法有害信息传播扩散的,要在相关情形发生之日起30日内开展安全评估。相关互联网服务提供者可以通过“全国互联网安全管理服务平台”(www.beian.gov.cn)下载并统一提交安全评估报告。

 

互联网协议第六版(IPv6)是互联网升级演进的必然趋势、网络技术创新的重要方向、网络强国建设的基础支撑。2021年7月,中央网信办等三部门联合下发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,《管理规定》此次也进行了回应,鼓励应用程序提供者积极采用互联网协议第六版(IPv6)向用户提供信息服务。

 

 

三、应用程序分发平台的合规义务

 

(一) 平台备案及应用程序分类备案

 

《管理规定》要求应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时,应当提交以下材料:

 

 

 平台运营主体基本情况;

平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;

平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;

《管理规定》第五条要求建立健全的相关制度文件(信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度);

平台管理规则、服务协议等。

 

上述材料齐全的网信部门应当予以备案,且国家网信部门将及时公布已经履行备案手续的应用程序分发平台名单。

 

《管理规定》同时规定了应用程序分发平台对所上架的应用程序的分类管理和备案义务,应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。

 

(二) 采取复合验证等措施进行应用程序提供者的实名认证

 

相比应用程序提供者,《管理规定》对应用程序分发平台提出了更高标准的实名认证要求,即应当采取基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的“复合验证”方式对申请上架的应用程序提供者进行真实身份信息认证。并根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。

 

(三) 上架审核、日常管理、应急处置

 

根据《管理规定》,应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。

 

1. 上架审核

 

 

应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。

 

应建立应用软件管理机制,对应用软件进行审核及安全、服务等相关检测,对审核和检测中发现的恶意应用软件等违法违规软件,不得向用户提供;对所提供应用软件进行跟踪监测,及时处理违法违规软件,建立完善用户举报投诉处置措施等。

 

要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途,并将上述信息向软件下载用户明示。

 

应用程序提供的信息服务属于《管理规定》第七条规定的应当取得互联网新闻信息服务许可等范围的,应用程序分发平台应当对相关许可等情况进行核验;属于《管理规定》第十四条规定的应当进行安全评估的,应用程序分发平台应当对安全评估情况进行核验。

 

2022年6月17日,全国信息安全标准化技术委员会发布《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南(征求意见稿)》(以下简称“指南征求意见稿”),要求针对新申请上架的App、存量App以及发生版本更新的App,应用商店运营者需对App个人信息处理活动进行审核,并在App通过审核后对其进行上架。指南征求意见稿对“应用商店运营者”的定义为“提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。注:也称移动应用分发平台,包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及小程序、快应用、H5页面等新形态分发平台”。我们理解与《管理规定》划定的范围基本一致。

 

首先,应用商店运营者需制定App个人信息处理活动审核规则并公开发布,保证App运营者和社会公众可便捷获取。其次,应用商店运营者需在受理App进入应用商店的申请时,对App运营者所提交的App相关信息进行审核。对于未完整提交信息的,应用商店运营者宜拒绝App上架。指南征求意见稿同时在附录部分给出了App运营者提交相关信息的模板文件。再次,应用商店运营者需对App运营者提交的基本信息、个人信息处理规则进行审核,并对App个人信息处理活动进行验证。对于经审核发现提交信息不完整、不准确,且在应用商店运营者反馈询问后仍未在限定时间内(如5个工作日)给出反馈或合理理由的,或经验证发现存在个人信息处理活动问题的,宜拒绝App上架请求。

 

对于已经进入应用商店的App,应用商店运营者在审核验证中发现存在问题的,需对其进行通知整改和处理,符合拒绝进入情形的,将其从应用商店中下架。应用商店中的App发生版本更新时,应用商店运营者宜按照进入平台程序对App更新版本进行审核。

 

指南征求意见稿为应用程序分发平台进行上架审核提出了相对明确具体的实操路径,应用程序分发平台可参考落实。

 

2. 日常管理

 

《管理规定》要求应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。

 

2021年4月工信部发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》要求应用程序分发平台建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制。

 

指南征求意见稿第7部分指出了App进入应用商店后应用程序分发平台进行个人信息安全管理应重点关注的方面。包括应用商店运营者宜在应用商店的App下载页面清晰、全面地展示和介绍App基本信息、App运营者公开信息、隐私政策、个人信息处理活动规则等App个人信息处理情况;宜通过设置不同颜色、形状图标等方式对App进行显著标识,帮助用户快速了解App个人信息处理活动情况,宜提供包括但不限于认证标识、负面信息标识以及年龄标识等标识信息并宜根据App的版本变更不断更新标识,同时为App运营者提供关于标识的反馈渠道,对于标识不准确的,及时予以更新。

 

在App运营者的日常管理方面,《管理规定》要求应用程序分发平台应当依据法律法规和国家有关规定,制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。指南征求意见稿对此提出了更为详细的指导,包括但不限于:

 

1

在与App运营者签署的相关协议中,明确App运营者遵循合法、正当、必要、诚信原则开展个人信息处理活动,履行个人信息安全的义务;

2

制定App运营者禁入/退出管理制度(即黑名单制度),对于App运营者发布的App多次未通过审核的,可在一段时间内禁止其提交App上架申请;

3

对不同App运营者在审核标准、展示样式等个人信息保护方面的要求遵循一致性原则,不根据App运营者身份、影响力、市场地位等因素,在其申请系统权限等方面提供默认开启等便利条件;

4

宜对App运营者的相关开发人员进行个人信息保护相关的培训和考核,以增进其对审核标准和相关要求的理解。

 

3. 应急处置

 

对于违反《管理规定》及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。

 

指南征求意见稿第7.4条提出了更为具体和多样的日常监督与问题处置方式,应用程序分发平台可结合自身情况将前述措施纳入日常监督和应急处置流程。

 

四、结语

 

《管理规定》赋予应用程序提供者与应用程序分发平台的合规义务既有差异性又存在相似性,包括积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态均是两类主体需共同承担的责任。应用程序提供者和应用程序分发平台还应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。还应注意到,《管理规定》上下游衔接了众多法律法规和标准等规范性文件,应用程序提供者和应用程序分发平台在梳理合规清单时应注意综合考量。

微信公众号 ×

使用“扫一扫”即可添加关注