2021.07.05 杨锦文 高健 李圆圆
前 言
最近,国家网信办等部门重拳出击,下架了不少侵犯用户权益的App,其中不乏一些影响我们生活方式的知名App。在上篇中,我们从各个角度对工业与信息化部(以下简称“工信部”)对侵害用户权益行为的App进行通报和下架的数据进行了全方位的分析。下篇旨在梳理整治要点、监管对象、监管措施,为企业释明如何整改、如何重新申请上架等问题,提供相关合规建议,以期对企业的App合规实务有所助益。
一、 App侵害用户权益专项整治行动
“App侵害用户权益专项整治行动”(以下简称“专项整治行动”)由工信部及各省通信管理局负责,从2019年到2021年,一共开展了两次专项整治行动,分别是“工业和信息化部关于开展App侵害用户权益专项整治工作的通知(2019.10.31—2019.12.20) ”和“工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知(2020.7.22—2020.12.10) ”,即2019年和2020年下半年各开展了一次。实际上,从工信部公布的“App侵害用户权益专项整治行动”专栏来看,关于侵害用户权益行为的App通报和关于下架侵害用户权益App名单的通报从2019年底开始一直不间断地持续到目前2021年6月,可以说对于App的通报整改下架调查工作一直在持续进行。除了工信部的专项整治行动之外,国家网信办、App违法违规收集使用个人信息治理工作组等部门和组织也开展对侵害用户权益的App进行通报下架工作。
面对日益严格的App整治管理行动,企业需要持续关注监管动态,充分了解App相关法律法规和国家标准要求,对照要求建立完善企业内部的个人信息收集使用制度以及App的相关制度如隐私政策和用户协议,不断规范App收集使用个人信息业务。关于目前法律法规和国家标准对于App收集使用个人信息的要求,可详见我们的《App合规系列》文章,如《App合规系列——企业如何上线App》、《App合规系列——企业可以收集哪些个人信息(兼论“必要原则”)》、《App合规系列——企业收集使用个人信息时如何取得同意》等。
二、 哪类企业被监管?
根据工信部出台的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》)(以下简称“暂行规定”)的要求,应当履行个人信息保护义务的监管对象主要为以下五类企业:
监管对象
含 义
App开发运营者
指从事App开发和运营活动的主体。
App分发平台
指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。
App第三方服务提供者
指为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。
移动智能终端生产企业
指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体。
网络接入服务提供者
指为App提供网络接入服务的电信业务经营者。
工信部此前就专项整治行动发出的通知中规定了三类监管对象(App服务提供者、软件工具开发包(SDK)提供者、应用分发平台),而暂行规定中将监管对象扩大到五类,将移动智能终端生产企业和网络接入服务提供者也纳入了监管范围,反映出目前App监管趋严趋细的现状。此外,值得注意的是,除了传统意义上的App之外,快应用和小程序等新应用形态的服务提供者也属于监管对象,需要相关企业引起重视。
三、 企业应当如何整改?
根据工信部的通知,专项整治行动的主要法律法规依据包括《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护规定》、《移动智能终端应用软件预置和分发管理暂行规定》等。此外,工信部出台的暂行规定目前虽然仍是征求意见稿,但对于App整改下架事宜具有较大的实践参考意义。暂行规定中规定了前述五类监管对象应当履行的个人信息保护义务,同时也属于对各类主体的整改要求,我们对此进行了梳理和总结,详见下表:
监管对象
App开发运营者
向用户定期呈现App的个人信息收集使用情况;
基于个人信息向用户提供搜索结果的应当保证公平合理并提供不针对其个人特征的选项;
使用第三方服务需制定管理规则,签订个人信息处理协议,未尽到管理监督义务的与其承担连带责任;
向用户提供关闭或者退出独立服务功能的选项且不得此拒绝提供其他服务;
加强技术安全防护,主动监测发现违规行为。
App分发平台
登记并核验App开发运营者的身份、联系方式;
标明App的权限列表和个人信息收集情况;
不得欺骗误导用户下载App;
对App实行上架前个人信息处理活动规范性审核;
建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;
完善报送机制,配合监管部门开展通报处置工作;
设置便捷的投诉举报入口。
App第三方服务提供者
制定并公开个人信息处理规则;
向App开发运营者公开个人信息处理内容;
未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;
采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者;
未经用户同意,不得共享转让用户个人信息。
移动智能终端生产企业
完善终端权限管控机制,及时弥补权限管理漏洞;
建立终端启动和关联启动App管理机制;
持续优化个人信息权限在用状态;
建立重点App关注名单管理机制;
对预置App进行审核,持续监测安全风险;
以显著方式告知App申请的个人信息权限列表;
完善终端设备标识管理机制。
网络接入服务提供者
登记并核验App开发运营者的真实身份、联系方式等信息;
按照监督管理部门的要求,依法对违规App采取停止接入等必要措施。
除了对于各个分类主体的监管要求之外,暂行规定还列举了对于从事App个人信息处理活动的相关主体的通用要求,例如加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则;应当以清晰易懂的语言告知用户个人信息处理规则等。这些要求与App相关其他法规基本一致。关于前述网络安全等级保护要求,可详见《新基建与数字化转型系列——新基建浪潮下企业开展网络安全等级保护的关注要点》;关于前述最小必要原则,可详见《App合规系列——企业可以收集哪些个人信息(兼论“必要原则”)》。
四、 企业将被采取哪些监管措施?
暂行规定中明确,发现App从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施。
处置措施
具体内容
责令整改与社会公告
检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。
下架处置
对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。
断开接入
下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。
信用管理
对相应违规主体,可纳入信用管理,实施联合惩戒。
除此之外,对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施;构成犯罪的,还将由公安机关依法追究刑事责任。
被下架的App完成整改并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
五、 合规建议
目前,政府部门高度重视App中的个人信息保护工作。工信部连续两年开展专项整治行动,重点整治包括App违规收集使用个人信息、App强制、频繁、过度索取权限等问题。根据工信部统计通报,截止2021年3月,有关部门共完成73万款App的技术检测工作,连续发布12批次对外通报,责令整改3046款违规App,下架179款拒不整改的App,重点监管App违法违规收集使用个人信息等行为。同时,监管部门畅通投诉举报通道,任何组织和个人发现违反暂行规定行为的,可以向监管部门或中国互联网协会、中国网络空间安全协会投诉(通过互联网信息服务投诉平台(https://ts.isc.org.cn/)或12321)举报。面对日趋严格的监管动态,企业可采取以下措施:
1)根据暂行规定等相关法律法规和国家标准,对App进行自评估,检查有无违法违规收集使用个人信息等问题,如果存在应当积极按照要求进行规范整改。
2)重点规范整改目前着重整治的违规收集个人信息、App强制、频繁、过度索取权限、违规使用个人信息、超范围收集个人信息等问题。
3)制定个人信息保护内部管理制度,建立相关内部控制制度,加强人员教育培训,建立健全相关应急预案。
4)积极落实网络安全等级保护工作,依法按照相应的级别开展相应的等级测评、制度建立、开展自查、备案报告等工作。
5)持续关注App方面的法律法规出台情况和监管动态,根据政府部门的监管动向随时调整App收集使用个人信息的规则和相应的程序操作处理规则。
结 语
App一旦被通报整改下架,将对企业的运营管理、现金流、资金链乃至企业信誉带来非常大的影响,甚至对新的投资人的引入、上市审批、乃至公司股价等带来非常不利的影响。如果App被通报,企业应当引起足够重视,立即与专业人士沟通,在其指导下在期限内积极整改,防止App下架对企业带来重大不利影响。
相关阅读:
采购CII相关网络产品及服务应如何实施网络安全审查——《网络安全审查办法》新规解读