汇业评论 | 2020年工信部APP专项整治行动案例分析及执法趋势
2020年12月24日,工信部在国务院新闻办公室举行新闻发布会,通报了工信部开展APP侵害用户权益专项整治行动工作成果。截止当时,工信部已经对国内52万款APP进行了技术检测工作,责令其中1571款违规APP进行整改,公开通报了500款,对其中120款整改不到位及拒不整改的直接下架处理或其他行政处罚。
2020年年中,工信部发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下称“通知”),明确了2020年APP侵害用户权益专项整治行动的目标、对象、标准等内容。在《通知》的指引下,各地通管局启动了多轮专项执法行动,工信部层面也先后通报了七批次违法违规案例。
结合近期立法与执法实践,汇业律师事务所网络与数据法律服务团队简要分析相关案例及执法趋势如下,仅供企业开展合规自查及整改工作参考。
一、 执法权限及执法依据
工信部内,具体实施APP检查、查处及通报等职能的部门是信息通信管理局及各地管局。根据工信部网站,信管局的职能是依法对电信和互联网等信息通信服务实行监管,承担互联网(含移动互联网)行业管理职能。具体职责主要包括:
负责电信和互联网业务市场准入(内资)及设备进网管理;
监督管理电信和互联网市场竞争秩序、服务质量、互联互通、用户权益和个人信息保护;
负责信息通信网络运行的监督管理;等等
目前,工信部开展APP侵害用户权益专项整治行动的主要执法依据或参考标准包括但不限于:
《网络安全法》;
《电信条例》;
《规范互联网信息服务市场秩序若干规定》;
《电信和互联网用户个人信息保护规定》;
《移动智能终端应用软件预置和分发管理暂行规定》;
《关于开展纵深推进APP侵害用户权益专项整治行动的通知》;
工信部组织中国信通院、电信终端产业协会等制定的《APP用户权益保护测评规范》、《APP收集使用用户个人信息最小必要评估规范》等18项系列标准(更多内容,详见附录);等等。
此外,网信办、市监总局等发布的APP违法违规治理文件及标准,虽然没有出现在工信部官方文件的执法依据里面,但仍然是企业合规建设的重要参考依据。
二、 执法流程及时间
工信部及各地管局开展APP侵害用户权益专项整治行动的大体流程如下:
汇业网数团队统计的每批次执法流程前后期限如下:
从上表不难发现,在前三次通报中,整改期限还未确定,但到后四次行动中,已经将整改期限固定为7天,即需要被通报的企业在一周内完成整改工作,这需要企业具有较快的反映能力,快速组织技改机构及法律支持单位,按照监管要求全面、及时整改到位,并提交合格的整改报告,否则面临APP下架的风险。
三、 执法数量及行业
根据汇业网数法律团队整理,截至目前,前七批次案例所涉APP通报及下架数量分析如下:
从上表来看,监管执法强度长期处于高位,APP下架力度加大,未来一段时间内,APP运营企业(尤其是中小企业)仍然面临较大的合规压力,需要持续推进企业数据合规治理及个人信息保护工作。
从APP所在行业来看,占比前三的是教育培训、网上购物、网络工具类App。此外,游戏、音视频、交通出行、金融、健康医疗类APP也是监管执法重点关注的行业。这些行业往往用户数量极大,数据或个人信息敏感度较高,关乎用户生活、教育及出行安全等切身利益,但行业合规治理却相对落后。
四、 分发平台来源
由于监管管辖方面的原因,工信部本轮执法行动暂不涉及苹果App Store及谷歌原生商店,主要针对国内安卓市场。
从上表来看,工信部2020年执法检测的APP主要来自于腾讯应用宝、小米应用商店、豌豆荚、OPPO软件商店、360手机助手等主流应用商店。但随着监管执法的纵深推进,部分小众应用商店、分发平台也逐渐进入监管监测视野。企业开展APP合规自查和整改后,应当全市场同步更新发版,避免个别小众分发渠道成为合规的“隐秘角落”,监管部门下面的检测机构永远不会“点到为止”,有没有“武德”也由不得你分说。
除了应用商店,本轮执法行动还会从企业官网直接下载App检测,其中就有10款被通报的App来自于官网下载。此外,通报的App中还包括了一款微信小程序“小鹅花钱”,这也是通报的444款App中唯一的微信小程序。之前,《通知》中明确将快应用、小程序及SDK等新应用形态纳入监管对象。因此,官网、各种小程序和SDK绝不是APP专项执法行动的“法外之地”。
五、 主要违法违规行为
在各类违法违规行为中,主要集中在收集环节,其中290款App涉及“违规收集个人信息”,52款App涉及“私自收集个人信息”,49款App涉及“超范围收集个人信息”。鉴于在第四次检查中,对问题项进行了调整,将“私自收集个人信息”与“超范围收集个人信息”合并为“违规收集用户个人信息”,不再具体细分。因此,在444款被通报的App中实际有391款App涉及“违规收集个人信息”,占比达到全部被通报App的88%。App的个人信息违规收集问题已经成为重中之重。因此,企业应当重视“收集环节”这个风险暴露面,加强必要性审查,增强权限透明度,规范隐私设计,及时根据执法案例及立法更新情况调整隐私政策及相关文案内容。
此外,在共七批次的行动中,通报的444款App共涉及802个问题,平均每个被通报App存在1.8个不合格问题。其中,“强制用户使用定向推送功能”、“欺骗误导用户提供个人信息”、“应用分发平台上的APP信息明示不到位”等违法行为查处是近期重点关注的新行为,由于相关合规标准不明确,给企业合规遵从及法律适用带来了较大的困惑。因此,企业应当全面对照第一部分执法依据、参考文件及个案尺度,加强个人信息全生命周期合规管理,全面开展数据合规及个人信息合规自查及整改工作,避免挂一漏万。
最后,企业应当与相关检测机构及法律支持机构持续沟通,全面、准确理解测评要点及整改要求,精准把握测评趋势及个案尺度,避免“大E了,没有闪”。
六、 2021年监管执法展望
工信部在国务院新闻办公室举行的新闻发布会上强调,下一步将“持续开展APP侵害用户权益专项整治,坚决做好保障国家数据安全、加强个人信息保护工作”。因此,汇业网数法律团队预测,2021年工信部监管执法行动趋势如下:
(1)监管执法活动将持续高压,会有越来越多的正式行政处罚,罚则将进一步加重;
(2)工信部将制定《APP个人信息保护暂行规定》等法律文件,加上《数据安全法》与《个人信息保护法》等相继发布,个人信息监管执法的标准和尺度将进一步透明化、合理化、法治化;
(3)平台责任持续加重,迫使平台治理能力提高,企业面临的平台“第三监管”风险逐步加大;
(4)监管执法重点将从“形式合规”走向“实质合规”;
(5)职业人士、用户、员工及竞争对手等投诉、举报引起的监管执法行动将越来越多;
(6)具体的执法行动及行政处罚,将持续影响企业上市、融资、投标及产品的公众信誉或口碑,等等。
附录:APP个人信息保护合规部分国标、行标
全国信息安全技术标准化委员会发布了:
移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引
移动互联网应用程序(App)系统权限申请使用指南
移动互联网应用程序(App)个人信息保护常见问题及处置指南
移动互联网应用程序(APP)收集使用个人信息自评估指南
电信终端产业协会发布了一系列团体标准:
移动终端权限申请目的说明实施指南(TTAF 076-2020)
APP收集使用个人信息最小必要评估规范 总则(TTAF 077.1-2020)
APP收集使用个人信息最小必要评估规范 位置信息(TTAF 077.2-2020)
APP收集使用个人信息最小必要评估规范 图片信息(TTAF 077.3-2020)
APP收集使用个人信息最小必要评估规范 终端通讯录(TTAF 077.4-2020)
APP收集使用个人信息最小必要评估规范 设备信息(TTAF 077.5-2020)
APP收集使用个人信息最小必要评估规范 软件列表(TTAF 077.6-2020)
APP收集使用个人信息最小必要评估规范 人脸信息(TTAF 077.7-2020)
APP收集使用个人信息最小必要评估规范 录像信息(TTAF 077.8-2020)
APP用户权益保护测评规范 超范围收集个人信息(TTAF 078.1-2020)
APP用户权益保护测评规范 定向推送(TTAF 078.2-2020)
APP用户权益保护测评规范 个人信息获取行为(TTAF 078.3-2020)
APP用户权益保护测评规范 权限索取行为(TTAF 078.4-2020)
APP用户权益保护测评规范 违规使用个人信息(TTAF 078.5-2020)
APP用户权益保护测评规范 违规收集个人信息(TTAF 078.6-2020)
APP用户权益保护测评规范 下载分发行为(TTAF 078.7-2020)
APP用户权益保护测评规范 移动应用分发平台管理(TTAF 078.8-2020)
APP用户权益保护测评规范 移动应用分发平台信息展示(TTAF 078.9-2020)
APP用户权益保护测评规范 自启动和关联启动行为(TTAF 078.10-2020)
作者介绍
史宇航
汇业律师事务所顾问
史宇航,法学博士,注册信息安全专业人员(CISP)。史宇航博士也是上海交通大学网络空间治理研究中心特邀研究员,长期关注并研究数据与新技术相关的法律问题,在核心期刊发表过多篇研究论文,并参与全国首部《数据法学》教材的编写。2018年,史宇航博士带队在全球法律科技黑客松上海赛区的比赛并获得“法律科技创新奖”。
黄春林
汇业律师事务所高级合伙人
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
往期文章推荐: