6月14日国家互联网信息办公室对外发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》对数据安全和个人信息保护、未成年人保护等管理制度进行了进一步明确和细化,并要求应用程序提供者和应用程序分发平台应当履行信息内容管理的主体责任,确保网络安全,维护良好网络生态。新《规定》将自2022年8月1日起施行。(文末附新《移动互联网应用程序信息服务管理规定》细则)
移动互联网行业迎来爆发式发展,但同时也带来数据安全、个人信息保护等诸多问题。同样在6月14日中共中央宣传部举行党的十八大以来工业和信息化发展成就发布会上,工业和信息化部总工程师韩夏对外透露,我国连续组织开展APP侵害用户权益专项整治,累计通报、下架违法违规APP近3000款。这足以可见加强监督检查、督促企业落实主体责任、推动合规建设的重要性和紧迫性。
新规定相比于2016年《移动互联网应用程序信息服务管理规定》增添了十六条,对“旧规定”进行了全面的补充修订。新规定总共分五章一共二十七条,第二十七条指出新规定自2022年8月1日起施行。2016年6月28日公布的《移动互联网应用程序信息服务管理规定》同时废止。
新《规定》的发布,对于进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展具有重大意义。尤其在个人信息保护方面,新《规定》在三个层面较之前的法律法规、规章制度等具有更全面的细化落地。
首先,新《规定》对责任义务的划分更加明确。新《规定》对应用程序提供者(开发者)、应用程序分发平台(应用商店)、监管单位等做了身份的清晰划分,以及各自责任和义务的明确落实。
其次,新《规定》监管约束的范围更加广泛。过去提到移动互联网监管大家主要聚焦于App和应用商店。而新《规定》明确指出:本规定所称应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
第三,新《规定》强调了技术和管理相结合,实现双管齐下。新《规定》“第十一条”指出,应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。“第二十条”指出,应用程序分发平台应当加强对在架应用程序的日常管理,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。可见,只有管理机制和技术手段相辅相成,才能移动互联网数据安全、个人信息保护提供全面的合规保障。
新《规定》就应用程序信息服务、应用程序分发服务、移动互联网应用程序、移动互联网应用程序提供者、移动互联网应用程序分发平台等网络主体进行了全新全面的定义。
应用程序信息服务是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。应用程序分发服务是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
移动互联网应用程序是指运行在移动智能终端上向用户提供信息服务的应用软件。移动互联网应用程序提供者是指提供信息服务的移动互联网应用程序所有者或者运营者。移动互联网应用程序分发平台是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。
同样新《规定》就应用程序提供者、应用程序分发平台所要承担的职责进行了明确的规定。如应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。
应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。
新规定对维护互联网应用程序安全稳定提供了保障,对于日益发展的互联网时代,有效地监管,保障用户的网络安全是至关重要的,该消息对网络安全板块形成正面利好。
附《规定》全文
第一条 为了规范移动互联网应用程序(以下简称应用程序)信息服务,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律、行政法规和国家有关规定,制定本规定。 第二条 在中华人民共和国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务,应当遵守本规定。 本规定所称应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。 本规定所称应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。 第三条 国家网信部门负责全国应用程序信息内容的监督管理工作。地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。 第四条 应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,遵循公序良俗,履行社会责任,维护清朗网络空间。 应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。 第五条 应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。 第六条 应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。 第七条 应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。 应用程序提供者提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。 第八条 应用程序提供者应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。 应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。 第九条 应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。 第十条 应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 第十一条 应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。 第十二条 应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。 第十三条 应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。 第十四条 应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。 第十五条 鼓励应用程序提供者积极采用互联网协议第六版(IPv6)向用户提供信息服务。 第十六条 应用程序提供者应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。 对违反本规定及相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。 第十七条 应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时,应当提交以下材料: (二)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息; (三)平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料; 省、自治区、直辖市网信部门收到备案材料后,材料齐全的应当予以备案。 国家网信部门及时公布已经履行备案手续的应用程序分发平台名单。 第十八条 应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。 第十九条 应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。 第二十条 应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。 应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。 应用程序提供的信息服务属于本规定第七条规定范围的,应用程序分发平台应当对相关许可等情况进行核验;属于本规定第十四条规定范围的,应用程序分发平台应当对安全评估情况进行核验。 应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。 第二十一条 应用程序分发平台应当依据法律法规和国家有关规定,制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。 对违反本规定及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。 第二十二条 应用程序提供者和应用程序分发平台应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。 第二十三条 鼓励互联网行业组织建立健全行业自律机制,制定完善行业规范和自律公约,指导会员单位建立健全服务规范,依法依规提供信息服务,维护市场公平,促进行业健康发展。 第二十四条 网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。 应用程序提供者和应用程序分发平台应当对网信部门和有关主管部门依法实施的监督检查予以配合,并提供必要的支持和协助。 第二十五条 应用程序提供者和应用程序分发平台违反本规定的,由网信部门和有关主管部门在职责范围内依照相关法律法规处理。 第二十六条 本规定所称移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件。 本规定所称移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者。 本规定所称移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。 第二十七条 本规定自2022年8月1日起施行。2016年6月28日公布的《移动互联网应用程序信息服务管理规定》同时废止。