查看原文
其他

世辉观点 | 2022版《移动互联网应用程序信息服务管理规定》下的企业合规义务

The following article is from CCIA数据安全工作委员会 Author 王新锐 卢璟



前言


在2021年《数据安全法》《个人信息保护法》的相继出台实施背景下,2016年颁布的《移动互联网应用程序信息服务管理规定》(以下简称“《应用程序管理规定》”)随之进行了修订,已于2022年6月14日发布并将于8月1日起正式实施。同时,本规定也与《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等互联网领域相关规定衔接,明确了应用程序提供者和应用程序分发平台的相关义务。

总体而言,《应用程序管理规定》新设定的义务不多,很多规则目前已经在其他文件中有所体现,但也可以作为逐项对照的合规清单。



一:适用范围


修订后的《应用程序管理规定》的适用主体有两大类,一是移动互联网应用程序提供者;二是移动互联网应用程序分发平台(替代2016年规定中的“互联网应用商店”)。判断企业是否属于两大主体的关键是厘清“应用程序信息服务”和“应用程序分发服务”的含义,修订后的规定对此作出了明确。

其中,应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。

下文将根据修订后的《应用程序管理规定》,梳理企业在不同角色中,应当履行的合规义务。



二:应用程序提供者的合规义务


首先,“移动互联网应用程序提供者”是指提供信息服务的移动互联网应用程序所有者或者运营者。《应用程序管理规定》要求该主体在信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等方面建立相关的管理制度。这些制度亦在其他相关法律法规中明确,本规定的要求与这些现有的义务相呼应或相衔接,具体如下表所述。


要点

应用程序提供者的具体义务

其他相关法律法规

实名认证

6应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。

Ÿ  《网络安全法》第24为用户提供信息发布、即时通讯等服务的,应履行实名认证义务。

Ÿ  《互联网用户账号名称管理规定》第5互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。

业务许可

7通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可。

提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。

Ÿ  《互联网新闻信息服务管理规定(2017)》第5提供互联网新闻信息服务应当取得互联网新闻信息服务许可。

Ÿ  《互联网信息服务管理办法(2011)》第4对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。

信息内容生态治理

8应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。

应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。

Ÿ  《网络信息内容生态治理规定》第9网络信息内容服务平台应当建立网络信息内容生态治理机制,制定本平台网络信息内容生态治理细则,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。

网络信息内容服务平台应当设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,加强培训考核,提升从业人员素质。

禁止不正当竞争

9不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。

Ÿ   《反不正当竞争法》第8经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传,欺骗、误导消费者。

经营者不得通过组织虚假交易等方式,帮助其他经营者进行虚假或者引人误解的商业宣传。

Ÿ   《禁止网络不正当竞争行为规定(征求意见稿)》第9经营者不得采取下列方式,对经营者自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传,欺骗、误导消费者或者相关公众。

应用程序安全

10应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

Ÿ  《网络安全法》第22网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

Ÿ  《网络产品安全漏洞管理规定》相关义务

数据安全

11开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。

Ÿ   履行《网络安全法》《数据安全法》的相关义务

个人信息保护

12处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

 

Ÿ  履行《个人信息保护法》的相关义务

未成年人保护等管理制度

13应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。

Ÿ  《未成年人保护法(2020修订)》网络保护章节相关义务

新技术新应用安全评估

14上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。

Ÿ   《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

Ÿ   《互联网新闻信息服务新技术新应用安全评估管理规定》

账号管理

16应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。

对违反本规定及相关法律法规及服务协议的注册用户,应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。

Ÿ  《互联网用户账号名称管理规定》第5互联网信息服务使用者注册账号时,应当与互联网信息服务提供者签订协议,承诺遵守法律法规等七条底线。

Ÿ  《互联网用户账号名称管理规定》第7互联网信息服务使用者以虚假信息骗取账号名称注册,或其账号头像、简介等注册信息存在违法和不良信息的,互联网信息服务提供者应当采取通知限期改正、暂停使用、注销登记等措施。

本规定对应用程序提供者的义务要求,一方面,对上位法进行了呼应,在数据安全、个人信息保护和未成年人保护方面,基本与现有法律保持一致;另一方面,针对应用程序提供者,对其他法律规定中的制度进行了明确。


一是在实名认证方面,本规定细化了《网络安全法》进行实名认证的方式,可以通过移动电话号码、身份证件号码或者统一社会信用代码等。


二是在加强信息内容生态治理方面。应用程序提供者需要建立相关制度及配备专业人员。不得生产传播《网络信息内容生态治理规定》第6条所明确的违法信息,须防范和抵制《网络信息内容生态治理规定》第7条所明确的不良信息。


三是在相关许可、备案或安全评估义务的履行方面。应用程序提供者若涉及互联网新闻信息服务和经营性互联网信息服务的,仍需要取得相关许可;涉及非经营性互联网信息服务的,需要进行备案。同时,应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。


四是在应用程序安全方面,应用程序提供者需要同时遵守《网络安全法》和本规定的要求,并关注《网络产品安全漏洞管理规定》中的相关义务。


五是在账号管理方面,本规定要求应用程序提供者需要制定并公开管理规则,与注册用户签订服务协议。针对违法违规行为,除了《互联网用户账号名称管理规定》中可采取的措施外,企业还可依法依约采取警示、限制功能、关闭账号等处置措施,但须保存记录并向有关主管部门报告。



三:应用程序分发平台的合规义务


《应用程序管理规定》在修订中将“互联网应用商店”替换为“移动互联网应用程序分发平台”(以下简称“分发平台”),分发平台是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者,相比应用商店这样一种具体的产品覆盖更广。根据本规定,分发平台需要履行五方面的义务。


一是备案义务。修订前的《应用程序管理规定》没有具体规定向网信办备案相关材料,而修订后的规定明确了这一内容。具体包括:

1、平台运营主体基本情况;

2、平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;

3、平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;

4、本规定第五条要求建立健全的相关制度文件;

5、平台管理规则、服务协议等。


二是建立分类管理制度。对上架应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。

三是复合验证身份及公示。分发平台需要基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合对应用程序提供者的真实身份信息进行认证。并根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息。

四是管理应用程序提供者义务。要求分发平台对应用程序提供者在审核信息内容、信息服务许可、安全评估、虚假宣传、数据安全等方面进行管理。

五是制定、公开管理规则及签订服务协议。分发平台应当制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。对违法违规及违反服务协议的应用程序,应用程序分发平台可依法依约采取警示、暂停服务、下架等处置措施,但须保存记录并向有关主管部门报告。


四:总结


此次《应用程序管理规定》的修订明确了“应用程序信息服务”和“应用程序分发服务”的范围,建议企业根据自身业务场景,判断所属的主体情况,并履行相应的合规义务。如企业违反本规定,将被主管部门依照其他相关法律法规处理。因此,我们建议企业关注前文所述的、与本规定配套适用的相关法律法规。


(本文作者:世辉律师事务所 王新锐 卢璟)


律师简介

王新锐

 世辉律师事务所

 合伙人


王律师毕业于清华大学法学院,执业超过18年。王律师提供合规法律服务的客户包括国内外多家著名科技公司,并为多个中央部委和地方政府的立法和监管工作提供支撑。王律师兼任中国网络安全产业联盟数据安全委员会副主任委员、隐私计算联盟法律专家、清华大学法学院课程讲师、国际商会(ICC)数据治理工作组专家等职务。在数据保护领域,王律师先后获得ALB、The Legal 500、China Law & Practice、Legalband等多个法律评级机构颁发的奖项。王律师曾为多家世界500强的医药企业提供数据合规服务,包括搭建数据合规体系,修改与第三方的数据处理协议,针对企业的数字化业务模式提供数据合规解决方案等。

卢 璟

 世辉律师事务所

 合伙人


卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。卢璟律师在生命科学领域有着丰富的法律服务经验,其为客户提供的服务包括:在各类交易或合作项目中(例如:产品许可交易、推广服务外包交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等)为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务,协助企业搭建数据合规体系以及反腐败合规体系,评估合规治理有效性,在并购交易中开展合规尽职调查,代表企业开展针对员工的内部合规调查等。加入世辉之前,卢律师是美国盛德国际律师事务所(Sidley Austin LLP)的资深律师,并作为其中国生命科学团队的核心成员有超过10年的工作经验。

往期推荐

继续滑动看下一个

世辉观点 | 2022版《移动互联网应用程序信息服务管理规定》下的企业合规义务

向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存