世辉观点 | 2022版《移动互联网应用程序信息服务管理规定》下的企业合规义务
The following article is from CCIA数据安全工作委员会 Author 王新锐 卢璟
前言
在2021年《数据安全法》《个人信息保护法》的相继出台实施背景下,2016年颁布的《移动互联网应用程序信息服务管理规定》(以下简称“《应用程序管理规定》”)随之进行了修订,已于2022年6月14日发布并将于8月1日起正式实施。同时,本规定也与《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等互联网领域相关规定衔接,明确了应用程序提供者和应用程序分发平台的相关义务。
总体而言,《应用程序管理规定》新设定的义务不多,很多规则目前已经在其他文件中有所体现,但也可以作为逐项对照的合规清单。
一:适用范围
修订后的《应用程序管理规定》的适用主体有两大类,一是移动互联网应用程序提供者;二是移动互联网应用程序分发平台(替代2016年规定中的“互联网应用商店”)。判断企业是否属于两大主体的关键是厘清“应用程序信息服务”和“应用程序分发服务”的含义,修订后的规定对此作出了明确。
其中,应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
下文将根据修订后的《应用程序管理规定》,梳理企业在不同角色中,应当履行的合规义务。
二:应用程序提供者的合规义务
要点 | 应用程序提供者的具体义务 | 其他相关法律法规 |
实名认证 | 第6条应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。 | 《网络安全法》第24条为用户提供信息发布、即时通讯等服务的,应履行实名认证义务。 《互联网用户账号名称管理规定》第5条互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。 |
业务许可 | 第7条通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可。 提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。 | 《互联网新闻信息服务管理规定(2017)》第5条提供互联网新闻信息服务应当取得互联网新闻信息服务许可。 《互联网信息服务管理办法(2011)》第4条对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。 |
信息内容生态治理 | 第8条应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。 应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。 | 《网络信息内容生态治理规定》第9条网络信息内容服务平台应当建立网络信息内容生态治理机制,制定本平台网络信息内容生态治理细则,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。 网络信息内容服务平台应当设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,加强培训考核,提升从业人员素质。 |
禁止不正当竞争 | 第9条不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。 | 《反不正当竞争法》第8条经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传,欺骗、误导消费者。 经营者不得通过组织虚假交易等方式,帮助其他经营者进行虚假或者引人误解的商业宣传。 《禁止网络不正当竞争行为规定(征求意见稿)》第9条经营者不得采取下列方式,对经营者自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传,欺骗、误导消费者或者相关公众。 |
应用程序安全 | 第10条应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 | 《网络安全法》第22条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 《网络产品安全漏洞管理规定》相关义务 |
数据安全 | 第11条开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。 | 履行《网络安全法》《数据安全法》的相关义务 |
个人信息保护 | 第12条处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。 | 履行《个人信息保护法》的相关义务 |
未成年人保护等管理制度 | 第13条应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。 | 《未成年人保护法(2020修订)》网络保护章节相关义务 |
新技术新应用安全评估 | 第14条上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。 | 《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》 《互联网新闻信息服务新技术新应用安全评估管理规定》 |
账号管理 | 第16条应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。 对违反本规定及相关法律法规及服务协议的注册用户,应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。 | 《互联网用户账号名称管理规定》第5条互联网信息服务使用者注册账号时,应当与互联网信息服务提供者签订协议,承诺遵守法律法规等七条底线。 《互联网用户账号名称管理规定》第7条互联网信息服务使用者以虚假信息骗取账号名称注册,或其账号头像、简介等注册信息存在违法和不良信息的,互联网信息服务提供者应当采取通知限期改正、暂停使用、注销登记等措施。 |
三:应用程序分发平台的合规义务
1、平台运营主体基本情况;
2、平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;
3、平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;
4、本规定第五条要求建立健全的相关制度文件;
5、平台管理规则、服务协议等。
四:总结
此次《应用程序管理规定》的修订明确了“应用程序信息服务”和“应用程序分发服务”的范围,建议企业根据自身业务场景,判断所属的主体情况,并履行相应的合规义务。如企业违反本规定,将被主管部门依照其他相关法律法规处理。因此,我们建议企业关注前文所述的、与本规定配套适用的相关法律法规。
律师简介
王新锐
■ 世辉律师事务所
■ 合伙人
王律师毕业于清华大学法学院,执业超过18年。王律师提供合规法律服务的客户包括国内外多家著名科技公司,并为多个中央部委和地方政府的立法和监管工作提供支撑。王律师兼任中国网络安全产业联盟数据安全委员会副主任委员、隐私计算联盟法律专家、清华大学法学院课程讲师、国际商会(ICC)数据治理工作组专家等职务。在数据保护领域,王律师先后获得ALB、The Legal 500、China Law & Practice、Legalband等多个法律评级机构颁发的奖项。王律师曾为多家世界500强的医药企业提供数据合规服务,包括搭建数据合规体系,修改与第三方的数据处理协议,针对企业的数字化业务模式提供数据合规解决方案等。
卢 璟
■ 世辉律师事务所
■ 合伙人
卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。卢璟律师在生命科学领域有着丰富的法律服务经验,其为客户提供的服务包括:在各类交易或合作项目中(例如:产品许可交易、推广服务外包交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等)为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务,协助企业搭建数据合规体系以及反腐败合规体系,评估合规治理有效性,在并购交易中开展合规尽职调查,代表企业开展针对员工的内部合规调查等。加入世辉之前,卢律师是美国盛德国际律师事务所(Sidley Austin LLP)的资深律师,并作为其中国生命科学团队的核心成员有超过10年的工作经验。
世辉观点 | 如何基于个人信息保护法的要求去修改临床试验协议,包括知情同意书等(上)—— 临床试验协议的修改 世辉观点 | 如何基于个人信息保护法的要求去修改临床试验协议,包括知情同意书等(下)—— 临床试验协议的修改 世辉观点 | HCP的个人信息保护 世辉观点 | 人遗资源条例细则问答 世辉观点 | 脱敏临床试验数据的《个人信息保护法》合规 世辉观点 | 中国数据保护法规如何影响Web3.0市场 世辉观点 | 企业境外上市过程面临的数据合规问题和相关风险 2021版 PIPL Compliance of Coded Clinical Trial Data Shihui Articles | What does the PIPL mean for an HR manager? How should a company conduct compliance investigation under PIPL?