编者按：

本公号在刊登DPO沙龙和相关社群活动的同时，还将刊登DPO社群成员的精彩文章。本篇作者为北京观韬中茂（上海）律师事务所王渝伟、陈坤。

刚刚过去的3·15晚会让全民再次聚焦APP的个人信息安全问题，同日，市场监管总局、中央网信办发布了《关于开展App安全认证工作的公告》，并附上《移动互联网应用程序（App）安全认证实施规则》  以规范App收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。本文将在对公告和规则进行分析的基础上，为读者解读APP安全认证实施的背景、实施的范围、实施的依据、实施的模式和程序等内容。

正文：

2019年1月25日，中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会，正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》，主要包括五部分的内容：1、要求APP运营者合法合规收集使用个人信息；2、要求全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会（即：APP专项治理工作组）编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点并组织对用户数量大、与民众生活密切相关的App进行评估；3、要求有关部门加强对违法违规收集使用个人信息行为的监管和处罚；4、要求公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作；5、要求开展APP个人信息安全认证。

为响应《关于开展App违法违规收集使用个人信息专项治理的公告》要求，3月1日，App专项治理工作组编制并发布了《App违法违规收集使用个人信息自评估指南》。3月15日，市场监管总局、中央网信办发布了《关于开展App安全认证工作的公告》（以下简称《公告》，并附上《移动互联网应用程序（App）安全认证实施规则》（以下简称《规则》，《公告》和《规则》全文见http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html?from=timeline），以规范App收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。

本文将在对《公告》和《规则》进行分析的基础上，为读者解读APP安全认证实施的背景、实施的范围、实施的依据、实施的模式和程序等内容。

一、实施背景：整治的决心和治理方式的多样化

《网络安全法》自2017年6月1日正式实施以来，APP违法违规问题逐渐成为监管部门密切关注的领域，特别是关于APP违法违规收集个人信息这一行为已然成为治理重点。

这一系列执法动态、事件以及目前颁布的多部规范性文件都表明，监管部门对于治理APP违法违规收集使用个人信息乱象的决心。

《公告》和《规则》并未要求所有 APP 都必须接受安全认证（详见本文第四部分分析），仅是为符合要求的APP颁发认证证书和授权使用认证标志。这反映出国家对于APP违法违规收集使用个人信息的治理方式趋于多样化，不仅仅是限于单一的处罚整改，而是辅以引导的方式，一方面让获得国家认可的优质APP以“佩戴”认证标志的方式步入消费者视野，为消费者在选择同类APP时给出了向导；另一方面这些优质 APP 也自然更具备市场竞争力，促进了APP市场的良性发展、优胜劣汰。

二、适用范围：不限于智能手机APP

《规则》第1条将适用的范围认定为“对移动互联网应用程序（以下称“App”）的数据安全认证。”对于“移动互联网应用程序”这一概念，《规则》并未提及。经笔者检索发现，“移动互联网应用程序”在2013年7月30日第一次出现是在工业和信息化部《关于印发防范治理黑客地下产业链专项行动方案的通知》的官方文件中，在其关联文件《移动互联网恶意程序监测与处置机制》（已失效）中明确了“移动互联网恶意程序”是指运行于包括智能手机在内的具有移动通信功能的移动终端之上，存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。

由此可以总结出《规则》所定义的“移动互联网应用程序（APP）”应当指的是运行于包括智能手机在内的具有移动通信功能的移动终端之上的计算机程序。这表明除智能手机以外的移动终端的计算机程序亦可进行APP安全认证。且《规则》第4.1.2条中“同一名称的App，版本号、操作系统平台等不同时，一般应分为不同申请单元”，也侧面反映出了不同的操作系统平台应分开进行 APP 安全认证。以“百度网盘”为例，其应用程序就分为Windows、Android、iPhone、iPad、WP和MAC六个版本。

三、认证依据：《个人信息安全规范》

《规则》第2条明确要求App安全认证的认证依据为GB/T 35273《信息安全技术 个人信息安全规范》（以下简称《个人信息安全规范》）及相关标准、规范。《个人信息安全规范》已于2018年5月1日正式生效，目前其2.0版本草案（2019年2月1日发布）的征求意见工作也于今年3月完成，相信最新版本不日就将颁布。我们注意到，本次专项治理以来《个人信息安全规范》已经多次在监管部门的公开文件中被提到，足见其重要性。对于企业来说，依据《个人信息安全规范》所要求的标准来进行个人信息的收集、保存、使用等，便有可能通过APP安全认证。

四、认证模式和认证程序：择优录取，持续监督

根据《规则》第3条和第4条分别规定了APP安全认证的模式和认证程序。总体来看，本次APP安全认证并未要求所有APP都必须进行安全认证，且规定了不得申请认证的情形。

App安全认证的认证模式为：技术验证+现场核查+获证后监督；想通过认证，必须要经过“认证申请-认证受理-技术验证-现场审核-认证决定”的程序；在获证后还需接受“日常监督和专项监督”，并且按要求向认证机构提交“自评价报告”；再加上认证机构将依据《个人信息安全规范》来考核APP 是否实质上达标，因此总体来说必须是“内外兼修”的“优等生”才有可能被“录取”。当然，认证程序的复杂性和证书的含金量成正比，拥有此证书的企业在承担更多责任的同时也必将赢得广大消费者的更多认可。

本文对《规则》的认证程序整理如下图：

本文对《规则》获证后的自评价和监督整理如下图：

除认证模式、认证程序和获证后自评价和监督以外，《规则》还就认证时限，认证证书，认证的暂停、撤销和注销，认证证书和认证标志的使用和管理以及相关主体的认证责任做出规定，本文不再赘述。

五、APP安全认证：框架已定，具体内容尚待明确

《公告》和《规则》对APP的安全认证实施的主体、机构、模式、程序等主要内容已做出规定，相关监管部门和APP运营者皆可依照其内容进行开展APP安全认证的准备工作。但《规则》仍然留有许多空白，需要相关部门去填补，比如《规则》在第4.1.1条规定“在12个月内发生重大信息安全事件”的不得申请APP安全认证，但规则尚未明确何为“重大信息安全事件”，虽然根据《个人信息安全规范》，个人信息控制者应就个人信息安全事件按照《国家网络安全事件应急预案》的有关规定及时上报，但《国家网络安全事件应急预案》也仅是对“特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件”进行分类，那么信息安全事件的分级是否就按照《国家网络安全事件应急预案》来划分呢？以及由谁来对“重大信息安全事件”作出认定等问题，这些都是《规则》及相关规定需要补足的地方。

又如，《规则》第4.3.2条和4.4.1条要求认证机构根据《个人信息安全规范》制定技术验证规范和现场审核规范，这些规范的出台也有待相关部门进一步制定和公布。

此外，针对《规则》笔者也存在一些疑惑，例如第4.6条规定了认证申请方可以对认定决定进行申诉（根据文义来看，应属于对于未通过认证的申诉），那么《规则》是否可以考虑对通过认证决定的 APP 进行公示，并且赋予除申请方以外的其他社会主体异议的权利呢？

六、小结

在《公告》和《规则》发布的同日，3·15晚会上，APP专项治理工作组还原了一款“社保掌上通”App未明示收集用户的社会保障号、社保查询密码等个人敏感信息的目的，并在用户注册、查询社保时将以上信息传送至第三方服务器。而这令消费者细思极恐的做法恰恰是目前很多APP习以为常的行为。

自智能手机普及以来，不论是衣食住行还是日常工作都有赖于APP的发展与应用，APP 逐渐在大众工作生活中成为不可移除的一部分。也正因APP的重要性，相关部门才不断加强执法力度，创新治理思路与方法，不断填补法律上的空白、明确权利的边界。这一系列的措施都向APP运营者表明一点，只有严守个人信息相关法律法规，才能谋取自身的生存和发展。

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）