国家网信办于2022年6月14日发布的《移动互联网应用程序信息服务管理规定》(下称“《规定》”)将应用程序提供者和应用程序分发平台纳入监管范围,细化两者合规义务,是我国建立覆盖应用程序提供者、应用程序分发平台、互联网信息服务提供者、网络接入服务提供者、第三方服务提供者及移动智能终端生产企业等主体的应用程序全链条监管体系的重要一环。《规定》共27条,分为总则、应用程序提供者、应用程序分发平台、监督管理、附则五章,将于2022年8月1日起施行。下文将结合《规定》和相关法律规范梳理应用程序提供者和应用程序分发平台的九大合规要点:
相较2016年发布的《移动互联网应用程序信息服务管理规定》(下称“《2016年规定》”),《规定》将监管对象扩大至“应用程序提供者”与“应用程序分发平台”,进一步细化“应用程序信息服务”和“应用程序分发服务”的定义,将移动智能终端预置、下载安装的应用软件,用户无需安装即可使用的快应用、互联网小程序,以及浏览器插件均纳入应用程序的范畴,并明确通过应用商店、快应用中心、互联网小程序平台、浏览器插件平台等平台提供应用程序发布、下载、动态加载等服务的,均属于应用程序分发服务。
《网络安全法》规定,为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。《规定》衔接《网络安全法》及《互联网用户账号名称管理规定》等相关规定,要求应用程序提供者与应用程序分发平台积极配合国家实施网络可信身份战略,强调落实实名制要求。
《规定》细化真实身份信息认证方式,明确为用户提供信息发布、即时通讯等服务的应用程序提供者应对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。应用程序提供者还应坚持最有利于未成年人的原则,依法严格落实未成年人用户账号真实身份信息注册和登录要求。
对于应用程序分发平台,《规定》进一步提出“复合验证”要求,其应对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。同时,应用程序分发平台还应根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。
互联网新闻信息服务提供者应取得互联网新闻信息服务许可在此前的《互联网信息服务算法推荐管理规定》《互联网弹窗信息推送服务管理规定(征求意见稿)》及《互联网用户公众账号信息服务管理规定》等规定中均有提及,提供相应服务的应用程序提供者应根据《互联网新闻信息服务管理规定》及《互联网新闻信息服务许可管理实施细则》等要求落实互联网新闻信息服务许可获取义务,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。此外,如应用程序服务提供者涉及通过算法推荐技术或深度合成技术提供互联网信息服务,比如根据用户的不同兴趣精选新闻或通过智能写作模拟自然人进行新闻生成或编辑服务,建议采取有效措施防止生成合成虚假新闻信息或传播非国家规定范围内的单位发布的新闻信息,并在该类新闻信息中标明“推荐”或“合成”字样。
《规定》衔接《网络信息内容生态治理规定》《互联网信息服务管理办法》及《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等规定,要求应用程序提供者及应用程序分发平台履行信息内容管理主体责任。
应用程序提供者应建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。其应根据《规定》和《未成年人保护法》等要求落实未成年人网络保护义务,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。另外,其上线具有舆论属性或者社会动员能力的新技术、新应用、新功能的,还应按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等国家有关规定进行安全评估。
《规定》对应用程序分发平台的信息内容管理提出了审核、核验及日常管理的多项要求:
管理 措施 | 对象 | 具体要求 |
审核 | 申请上架和更新的应用程序的名称、图标、简介 | 如经审核发现申请上架和更新的应用程序的名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,应用程序分发平台不得为其提供服务。 |
核验 | 应用程序提供的信息服务 | (1)如应用程序提供者通过应用程序提供互联网新闻信息服务,应用程序分发平台应对互联网新闻信息服务许可取得等情况进行核验; (2)如应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应用程序分发平台应对安全评估情况进行核验。 |
日常 管理 | 在架应用程序 | 应用程序提供者存在含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等行为的,应用程序分发平台不得为其提供服务。 |
应用程序提供者及应用程序分发平台需分别对注册用户及在架应用程序提供者落实管理义务,应根据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。
对于违反《规定》及相关法律法规及服务协议的注册用户,应用程序提供者应依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。对于违反《规定》及相关法律法规及服务协议的应用程序,应用程序分发平台应依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。《规定》明确两者在日常管理中拥有的违法违规行为处置权限,为《规定》装上“牙齿”。
2022年的3·15晚会曝光下载平台高速下载暗藏捆绑软件安装陷阱问题,点名PC6、桔梗网、腾牛网、中关村在线等下载平台,以及马鞍山百助网络科技有限公司。[1] 以PC6下载站为例,其自称是国内排名前三的软件下载平台。其在用户下载应用程序时提供本地下载和高速下载两种方式,如用户点击高速下载,其将捆绑下载多款用户并未自愿选择的应用程序,对用户的正常使用造成影响。[2]
《规定》回应捆绑下载、诱导下载等应用程序监管热点,明确应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。
相较《2016年规定》,应用程序分发平台合规义务的新增与细化是《规定》的修订重点,除前述已介绍的落实实名制要求、信息内容管理义务与应用程序提供者管理义务外,其还存在如下合规义务:
(1)上线运营备案义务:应用程序分发平台应在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。
(2)应用程序分类管理义务:应用程序分发平台应建立分类管理制度,对上架的应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。
应用程序提供者及应用程序分发平台均可能被同时认定为网络运营者、数据处理者及个人信息保护者。《规定》与《网络安全法》《数据安全法》等法律法规紧密衔接,在网络安全、数据安全及个人信息保护方面提出了与相关法律规范一致的要求:
| 《规定》要求 | 相衔接的主要 法律规范 |
网络安全 | 应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 鼓励应用程序提供者积极采用互联网协议第六版(IPv6)向用户提供信息服务。 | 《网络安全法》 《网络产品安全漏洞管理规定》 《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》 |
数据安全 | 应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。 | 《数据安全法》 |
个人信息保护 | 应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。 | 《个人信息保护法》 《常见类型移动互联网应用程序必要个人信息范围规定》 |
另外,《规定》删除了《2016年规定》中保存六十日用户日志的要求,根据《网络安全法》中“留存相关的网络日志不少于六个月”的规定,应用程序提供者及应用程序分发平台作为网络运营者亦应当留存相关的网络日志不少于六个月。如相应企业目前仅保存六十日用户日志的,建议及时调整留存期限以满足不少于六个月的要求。
《规定》明确由网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。工信部曾表示,在“十四五”期间将纵深推进APP侵害用户权益整治行动,并不断强化应用商店关键责任链管理。[3] 2022年以来,除《规定》外,《互联网弹窗信息推送服务管理规定(征求意见稿)》《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南(征求意见稿)》《信息安全技术 应用商店的App个人信息处理规范性审核与管理指南(征求意见稿)》《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)及《应用商店的App个人信息处理规范性审核与管理指南(征求意见稿)》等法律规范或征求意见稿接连发布,对App、小程序等应用软件的监管已从应用程序提供者向应用商店、互联网小程序平台等应用程序分发平台、移动智能终端生产企业等应用程序供应链上的所有主体扩展。监管要求日益明确与严格,建议业务涉及App、小程序等应用软件的相关企业根据最新法律要求及时部署合规方案,落实各项合规要求。