App合规系列 —— 企业如何上线App
2020.06.04 杨锦文 高健 李圆圆
随着网络信息技术的迅猛发展,互联网已渗透进现代生活的每个角落并改变人们的生活方式。从早上起来刷朋友圈、中午叫外卖、晚上加班打车,到周末朋友小聚选餐厅、健身打卡留记录,或者月底发工资、还房贷,以及节假日给家人发红包、选礼物,人们要做的往往只是点开手机App。App的出现,创建了新的商业形态,企业通过运营App,可以全天候影响用户的衣、食、住、行、学习、就医、消费、金融等各个环节。
App能够迅速扩大企业的受众及关注量,成为企业在信息时代把握信息数据这一“新生产要素”的营销利器。本文拟从企业运营App开展业务的角度出发,从App的界定、准入资质、相关行业备案管理、App安全认证、以及App在应用商店上架等相关环节,梳理企业应如何上线、运营App。
一、 App的界定及使用现状
根据2016年公布的《移动互联网应用程序信息服务管理规定》、2020年公布的《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》,App又称为“移动互联网应用”(mobile internet application)、“移动互联网应用程序”或者“移动智能终端应用软件”,是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件,包括在应用商店上架的软件、移动智能终端预装的软件、小程序等。我们在手机、iPad上预装或者下载的购物/打车软件、以及微信/支付宝里面可以检索到的北京健康宝等小程序,都属于常见的App范围。
根据国家互联网信息办公室的统计数据,截至2019年12月末,我国国内市场上监测到的App数量为367万款,移动应用规模排在前4位种类(游戏、日常工具、电子商务、生活服务类)的App数量占比达57.9%,其他社交、教育等10类App占比为42.1%。在应用宝等第三方应用商店的App下载方面,截止2019年12月末,在架App下载总量达到9502亿次。其中,音乐视频类下载量达1294亿次,下载量排第一位;社交通讯类下载量达1166亿次,占到第二位;游戏类、日常工具类、系统工具类分别以1139亿次、1075亿次、1063亿次排名三、四、五。在其余各类应用中,下载总量超过500亿次的App还包括生活服务类(826亿次)、新闻阅读类(761亿次)、电子商务类(593亿次)和金融类(520亿次)1。
二、 App相关法规及国家标准体系
自2015年以来,关于App的提供、运营管理,国家互联网信息办公室、工信部、市场监督管理总局、全国信息安全标准化技术委员会先后起草、制定了各种规范性文件及国标体系,简要梳理如下:
序号 | 发布时间 | 发布部门 | 法规名称 |
部门规章及规范性文件 | |||
1 | 2015年11月18日 | 工业和信息化部 | 关于《移动智能终端应用软件(App)预置和分发管理暂行规定》征求意见的通知 |
2 | 2018年4月27日 | 工业和信息化部 | 工业和信息化部关于印发《工业互联网App培育工程实施方案(2018-2020年)》的通知 |
3 | 2016年6月28日 | 国家互联网信息办公室 | 《移动互联网应用程序信息服务管理规定》 |
4 | 2019年1月3日 | 中共中央网络安全和信息化委员会办公室,工业和信息化部,公安部,国家市场监督管理总局 | 《关于开展App违法违规收集使用个人信息专项治理的公告》 |
5 | 2019年3月13日 | 国家市场监督管理总局,中共中央网络安全和信息化委员会办公室 | 《市场监管总局、中央网信办关于开展App安全认证工作的公告》以及附件《 移动互联网应用程序(App)安全认证实施规则》 |
6 | 2019年3月13日 | App违法违规收集使用个人信息专项治理工作组 | 《App违法违规使用个人信息自评估指南》 |
7 | 2019年5月24日 | App违法违规收集使用个人信息专项治理工作组 | 《百款常用App申请收集使用个人信息权限情况》 |
8 | 2019年10月31日 | 工业和信息化部 | 工业和信息化部关于开展App侵害用户权益专项整治工作的通知 |
9 | 2019年11月28日 | 国家互联网信息办公室,工业和信息化部,公安部,国家市场监督管理总局 | 《App违法违规收集使用个人信息行为认定方法》 |
国家标准 | |||
1 | 2020年1月20日 | 全国信息安全标准化技术委员会 | 关于征求《信息安全技术 移动互联网应用(App)收集个人信息基本规范》国家标准意见的通知 |
2 | 2020年3月19日 | 国家互联网信息办公室,工业和信息化部,公安部,国家市场监督管理总局 | 关于对《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》公开征求意见的通知 |
3 | 2020年3月30 | 全国信息安全标准化技术委员会 | 关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知 |
此外,我们注意到相关行业主管部门也制定了针对特殊行业的App管理规范性文件,例如,教育部、中国人民银行(互联网金融协会)分别对所主管的教育行业、金融行业的App管理出台了多个文件(请看后述四)。建议企业根据所处的行业领域,具体分析并及时关注主管行业部门的App管理相关要求。
三、 准入资质
根据2016年实施的《移动互联网应用程序信息服务管理规定》,企业通过App提供信息服务,应当依法取得法律法规规定的相关资质。但对于需要取得何种资质,管理规定没有进一步澄清。
根据《电信业务分类目录(2015年版)常见问题解答》,如果企业提供的APP相关服务,属于经营《电信业务分类目录(2015年版)》规定的电信业务的,应依法申请相应电信业务经营业务许可。按照《电信条例》的规定,电信业务一般分为基础电信业务和增值电信业务两大类,企业在实施电信活动之前,应事先取得相应的电信业务经营许可证。因此,我们建议企业在推出、运营App服务之前,应结合《电信业务分类目录》的具体规定,分析并探讨其业务是否落入以及落入哪一类的电信业务范围,并事先申请办理相应的电信业务经营许可证。
从实务层面而言,对于企业运营App服务业务是否需要办理电信业务许可证,目前各地的电信管理部门的做法并不统一,大部分地方尚未开展针对App办理电信业务许可证的业务,而部分地方对从事属于《电信业务分类目录》App业务的企业,经审核后授予了电信业务经营许可证。例如,我们注意到,经营某打车软件的公司从北京市通信管理局获得了信息服务业务许可证,而某知名第三方支付平台公司也从上海市通信管理局也获得了该信息服务业务许可证。
此外,需要注意的是,企业运营APP除可能涉及上述电信行业的准入之外,根据运营APP提供服务所涉及的不同行业,比如游戏、医疗咨询、网络视频等,还需要根据行业主管部门的要求办理相应准入资质。
四、 特殊行业备案管理
在健康医疗、教育、运输物流、金融等特殊行业,企业在运营过程中会有更多机会接触并处理个人信息、特别是个人敏感信息,因此相应行业主管部门对企业使用App向用户提供服务予以更加严格的管理。以下以教育行业、金融行业为例,梳理该行业主管部门对企业运营App的备案管理的相关要求。
(一) 教育类App备案管理
1、备案要求及流程
根据教育部办公厅于2019年11月发布的关于印发《教育移动互联网应用程序备案管理办法》的通知要求,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的App运营企业,应分阶段完成App的备案工作。备案工作将常态化开展,相关企业应于2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作。
根据《教育移动互联网应用程序备案管理办法》的相关规定,教育类App的备案手续要求如下:
备案主体及主管机构
教育行政部门、学校、企业和社会组织应向其住所地或注册地的省级教育行政部门办理App提供者备案
备案平台
国家数字教育资源公共服务体系http://app.eduyun.cn
一省备案、全国有效
教育类App提供者在注册地备案后,无需在其他地区开展重复备案。分支机构开发的教育类App由总公司统筹汇总备案。
ICP备案及等级保护备案前置条件
教育App提供者应在完成互联网信息服务备案(“ICP备案”)和网络安全等级保护定级备案(“等级保护备案”,关于等级保护备案的一般手续可以参考《君合法评丨新基建与数字化转型系列——新基建浪潮下企业开展网络安全等级保护的关注要点》)后,才能进行教育类App提供者的备案。
2、备案现状及ICP备案等前置条件的缓冲实施
根据教育部新闻办的消息,在2019年12月25日至2020年1月14日期间,教育系统共完成了对605家企业的1300个教育App备案工作。
应当注意的是,由于作为前置条件的ICP备案及等级保护备案的实施需要一定的期间,完成备案的上述1300个教育App很有可能没有履行ICP备案及等级保护备案。在教育部2019年11月的通知中,实际上也对ICP备案及等级保护备案的实施设置了缓冲期,即在2019年12月1日至2020年1月31日期间,ICP备案和等级保护备案并不作为App备案的前置条件。因此企业可以先进行教育App备案,然后在2020年1月31日前补充完成ICP备案和等级保护备案措施即可。根据教育部科技司2020年5月26日的最新公告,考虑到受新冠疫情的影响,教育部又将补充ICP备案和等级保护备案的期限延长至2020年6月30日2。
3、 ICP备案
根据《互联网信息服务管理办法》(2011修订)的相关规定,对于从事非经营性互联网信息服务3的企业实行备案管理,企业未经事先向省级电信管理机构履行备案手续,不得从事互联网信息服务业务。此处的“非经营性互联网信息服务备案”,就是上述教育类App备案的前置条件中所要求的互联网信息服务备案——ICP备案。
我们注意到,对于运营APP进行服务的企业是否应办理ICP备案,《移动互联网应用程序信息服务管理规定》等法规其实没有做出明确规定,实务操作也不统一。此次教育部在上述教育APP备案手续中明确将ICP备案列为前置条件。实务中,ICP备案手续实际上由工信部通信管理局主管,相关教育企业应与通信管理局沟通协调、办理备案手续。
(二) 金融类App备案管理
1、 备案要求
2019年9月份以来,中国人民银行、以及中国互联网金融协会相继发布加强移动金融客户端App安全管理的通知、安全规范及行业规范性文件,强化对通过移动终端为用户提供金融交易服务的App的备案管理工作。
根据相关规定,中国互联网金融协会要求客户端App提供方向中国互联网金融协会办理备案,对于已经发布并正常提供服务的金融App,企业原则上应当在2020年元旦起1年之内完成备案工作。
同时,中国互联网金融协会加大了对客户端APP的自律管理措施。协会将根据工作需要对客户端App安全管理情况实施非现场和现场检查。客户端App提供方应当配合检查,如实提供有关文件、资料,不得隐瞒、拒绝和阻碍。此外,对于认真执行备案自律工作的客户端APP提供方,中国互联网金融协会将采取通报表彰、应用商店推荐和新闻宣传等正向激励措施,促进备案App的推广。
而对于未按要求办理备案的App提供方,将面临中国互联网金融协会的自律惩戒措施、甚至被加入黑名单。具体而言,协会可以根据情形采取纳入特别关注名单、约谈、发警示函、强制培训、业内通报、公开谴责、暂停受理备案、注销备案等自律惩戒措施并报告相关金融管理部门;而对于情节严重的情形,协会可以将其记入客户端App安全管理黑名单,并向金融管理部门提出行政处罚建议。
2、 备案基本流程及手续
备案机构及备案系统
中国互联网金融协会
移动金融客户端应用软件备案管理系统: https://finapp.nifa.org.cn
备案主体
(因在中国境内开展业务而提供移动客户端App的)各银行业金融机构;证券公司、基金公司、期货公司、私募投资基金管理机构;保险集团(控股)公司、保险公司、保险资产管理公司;清算机构;各非银行支付机构等
备案材料
(一)客户端软件提供方信息;
(二)客户端软件信息;
(三)客户端软件安全内控管理制度;
(四)个人信息保护策略;
(五)客户端软件安全证明材料;
(六)有关管理部门、中国互联网金融协会要求的其他相关材料
备案流程
受理及核实:协会将通过实地调查、面谈,征询有关管理部门(包括监管部门和自律组织等)等方式对申请材料进行核实;
办理备案:经核实客户端App备案材料符合要求的,协会应当在5个工作日内办理备案, 及时通过备案系统和其他途径进行公示,并颁发给备案编号和备案标志。
3、 备案实施情况
根据中国互联网金融协会的消息,该协会自2019年12月启动了金融App实名备案工作,由各金融从业机构通过移动金融客户端应用软件备案管理系统向协会登记有关备案信息。
2020年5月19日,中国互联网金融协会对第一批拟备案移动金融App名单进行了公示,共有33家机构的73款客户端App入选,包括工商银行、民生信用卡、京东金融、支付宝、微信、平安健康、银联云闪付、陆金所、东亚银行等。我们注意到,中国互联网金融协会表示将持续做好客户端软件备案、风险监测等行业自律管理工作,建议金融机构关注相关动向,做好办理App备案的准备。
五、 App安全认证
根据2019年3月公布的《市场监管总局、中央网信办关于开展App安全认证工作的公告》,为落实《网络安全法》、《消费者权益保护法》的要求,市场监管总局、中央网络信息办公室决定开展App安全认证工作。App安全认证采取“自愿+鼓励”的方式,具体来说,国家鼓励App运营者自愿通过App安全认证,对于通过认证的App,国家鼓励搜索引擎、应用商店等明确标识并优先推荐,以此实施正向激励。
根据《市场监管总局、中央网信办关于开展App安全认证工作的公告》及相关安全认证实施规则、细则,App安全认证手续及流程如下:
认证依据
《信息安全技术个人信息安全规范》及相关标准、规范
认证机构及检测机构
认证机构: 中国网络安全审查技术与认证中心
检测机构:由认证机构根据认证业务需要和技术能力确定
申请主体
通过App向用户提供服务的网络运营者(简称“App运营者”)、且取得市场监督管理部门或有关机构注册登记的法人资格
认证申请资料
1) 认证申请书;
2) 法人资格证明材料;
3) App版本控制说明;
4) 对认证要求符合性的自评价结果及相关证明文档;
5) 对App符合相关安全技术标准的证明文件;
6) 不同发布渠道的版本差异性声明;
7) 其他需要的文件。
认证流程
受理:认证机构对申请资料进行审核后做出受理决定,并向认证申请方反馈受理决定。
决定:认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出认证决定。认证决定通过后,由认证机构向认证申请方颁发认证证书,并授权获证App运营者使用规定的认证标志。认证决定不通过的,终止认证。
时限:自作出受理决定之日起至作出认证决定所实际发生的工作日,一般为90个工作日(不包含整改时间)。
证书保持:认证机构应对认证证书的有效期做出规定,超过有效期的认证证书自行失效。当认证规则要求(如标准)发生变化时,应在认证机构确定的转换期限内完成换证。
持续监督
App运营者申请认证后,需通过技术验证和现场核查的综合评价,获取证书后仍需持续进行获证后自评价,并配合认证机构的监督活动,监督方式包括日常监督和专项监督。
六、 上架应用商店的相关要求
企业为了推广其提供或运营的App,除了通过本公司的网站推广、下载之外,通常也采用将App上架应用宝、Apple Store等应用商店的方式进行推广。以下根据《移动互联网应用程序信息服务管理规定》的相关要求,梳理App上架应用商店所面临相关法律及合同上的要求。
首先,提供App的企业应当与应用商店签订服务协议,明确双方权利义务,共同遵守法律法规和平台公约。此外,应用商店将对App提供企业进行以下管理。如果APP提供企业违反这些规定,应用商店视情况将采取警示、暂停发布、下架应用程序等措施,保存记录并向有关主管部门报告真实性、安全性、合法性等审核,建立信用管理制度。
(1)对App提供企业进行真实性、安全性、合法性等审核,建立信用管理制度,并向所在地省、自治区、直辖市互联网信息办公室分类备案;
(2)督促App提供企业保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现;
(3)督促App提供企业发布合法信息内容,配备与服务规模相适应的专业人员;
(4)督促App提供企业发布合法应用程序,尊重和保护App提供企业的知识产权。
其次,根据《移动互联网应用程序信息服务管理规定》, 在应用商店上架以后,App提供或运营企业应当严格落实信息安全管理责任,履行以下义务:
(1)按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证;
(2)建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则;
(3)建立健全信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告;
(4)尊重和保护知识产权,不得制作、发布侵犯他人知识产权的应用程序;
(5)记录用户日志信息,并保存六十日。
本文梳理了企业上线、运营App时应注意的准入资质、主管行业备案、App安全认证的相关手续,以及将App上架应用商店进行推广的相关要求,希望为企业提供助益。同时我们注意到,在企业运营App过程中,出现了诸多非法收集用户个人信息的严重问题,国家互联网信息办公室、工信部、公安部、市场监督管理总局多次发起违规App调查活动,对于App如何合法收集、处理用户个人信息,我们将在后续的App合规系列文章中进行分析,敬请关注。
1.2019年我国移动应用程序(APP)数量增长情况http://www.cac.gov.cn/2020-02/17/c_1583491211996616.htm
2.教育部同时规定,自2020年7月1日起,将对未完成ICP备案和定级备案工作的教育App提供者予以通报,限时1个月进行整改。7月31日前未完成整改的,将撤销教育App备案。
3.非经营性互联网信息服务,是指通过互联网向用户无偿提供具有公开性、共享性信息的服务活动。
