App監(jiān)管的9個相關(guān)問題
近期App的監(jiān)管不斷加碼。國家網(wǎng)信辦持續(xù)通報app違法違規(guī)收集使用個人信息情況。2021年5月1日,《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》正式生效;4月份,工業(yè)和信息化部信息通信管理局與信安標(biāo)委,分別就《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》,《移動互聯(lián)網(wǎng)應(yīng)用程序(APP)SDK安全指南(征求意見稿)》《移動互聯(lián)網(wǎng)應(yīng)用程序(APP)個人信息安全測評規(guī)范(征求意見稿)》等標(biāo)準(zhǔn)征求意見。
近年來,App成為個人信息監(jiān)管的重點。有關(guān)部門制定了大量的規(guī)范與標(biāo)準(zhǔn),多個部門持續(xù)展開專項檢查,并設(shè)立舉報機(jī)制,意圖對App個人信息的收集與處理進(jìn)行規(guī)制。
App監(jiān)管相關(guān)的9個相關(guān)問題:
1、小程序是否屬于App?
微信小程序、支付寶小程序均屬于App的范疇,需要遵守App監(jiān)管的要求。根據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,App包括移動智能終端預(yù)置、下載安裝的應(yīng)用軟件,基于應(yīng)用軟件開放平臺接口開發(fā)的、用戶無需安裝即可使用的小程序。從工信部過往的檢查記錄來看,在2021年第3批檢查中,就有草料二維碼的小程序因為違規(guī)收集個人信息被要求整改。
2、App多大可能會被抽檢?不合規(guī)有哪些法律后果?
被抽檢的概率非常高。從2019年到2021年1月,工信部一共實現(xiàn)對62萬款A(yù)PP的技術(shù)檢測工作,責(zé)令2234款違規(guī)APP進(jìn)行整改,公開通報了500款、下架了132款整改不到位、拒不整改的APP。
在2021年,監(jiān)管機(jī)構(gòu)的目標(biāo)是形成全年檢測180萬款的覆蓋能力。因此,App被抽檢已經(jīng)成為一種必然趨勢,需要以最高標(biāo)準(zhǔn)開展App的合規(guī)工作。
App如果存在個人信息保護(hù)的問題,可能面臨警告、最高100萬元的罰款或(和)App下架。在最新發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》中,擬進(jìn)一步完善了不合規(guī)App的處置措施:
3、只有App運營企業(yè)才需關(guān)注App合規(guī)嗎?
在《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》中,不僅關(guān)注APP開發(fā)運營者,還為APP分發(fā)平臺、APP第三方服務(wù)提供者(SDK開發(fā)商)、移動智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者設(shè)定了不同的法律義務(wù),涵蓋了完整的APP數(shù)據(jù)鏈路。因此,監(jiān)管部門擬對App打造完整的合規(guī)鏈條。
4、App開發(fā)運營者有哪些合規(guī)責(zé)任?
開發(fā)運營者是App合規(guī)最為重要的主體,直接決定了App的開發(fā)運營模式,在App產(chǎn)品層面,開發(fā)運營者需要關(guān)注以下內(nèi)容:
除了以上關(guān)于個人信息保護(hù)的基本要求,此次征求意見的《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》還擬從管理與產(chǎn)品設(shè)計層面提出了嶄新的合規(guī)要求,這些合規(guī)要求有些可能會更原則性一些,需要機(jī)構(gòu)進(jìn)一步將合規(guī)要求落地。
5、App設(shè)計“告知-同意”是否有什么特殊之處?
在“告知-同意”的框架下我一直認(rèn)為:“若拒絕不自由,則同意無意義”。因此保障用戶“不同意”的選擇權(quán)才是確?!巴狻庇行У奈ㄒ煌緩?。
《民法典》要求“處理個人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理”,在此基礎(chǔ)上再踐行“告知-同意”的基本規(guī)則。而在App領(lǐng)域,對“必要”的界定更為細(xì)化。在《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》中,對面向消費測(如外賣平臺面向消費者的App,而非面向騎手的App)的個人信息獲取設(shè)置了范圍。
區(qū)分“必要個人信息”與“非必要個人信息”的意義在于:如果消費者不提供“必要信息”,App開發(fā)運營者可以拒絕提供服務(wù);但如果消費者不提供“非必要信息”,則App開發(fā)運營者不得拒絕提供服務(wù)。該規(guī)定對App的穩(wěn)定運行提出了較高的要求,機(jī)構(gòu)可能需要大刀闊斧地對App的權(quán)限索取、產(chǎn)品邏輯進(jìn)行優(yōu)化,否則可能無法達(dá)到法規(guī)的要求。比如對拍攝美化類App,要求無須個人信息,即可使用拍攝、美顏、濾鏡等基本功能服務(wù);學(xué)習(xí)教育類App的必要個人信息僅包括注冊用戶移動電話號碼,除此以外均為非必要個人信息。
當(dāng)然,《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》也不應(yīng)被機(jī)械適用,除了該規(guī)定中所列舉的個人信息以外,其他因履行法律義務(wù)所必須的個人信息仍然可以作為提供服務(wù)的前提。如該規(guī)定網(wǎng)絡(luò)游戲類別僅將移動電話號碼列為必要個人信息,但網(wǎng)絡(luò)游戲需要對用戶年齡進(jìn)行收集,判斷用戶是否是未成年人,因此年齡信息也屬于必要個人信息。
6、App分發(fā)平臺有什么義務(wù)?
App分發(fā)平臺需要承擔(dān)部分治理的責(zé)任,即需要對自己平臺內(nèi)的App進(jìn)行一定程度的管理,這就要求App分發(fā)平臺建立相應(yīng)的制度與流程。
具體包括:
7、APP第三方服務(wù)提供者有什么義務(wù)?
自去年以來,通過SDK等渠道向第三方共享個人信息成為監(jiān)管的重點。根據(jù)我們的追蹤,我們發(fā)現(xiàn)大量的App開發(fā)運營者在自己的隱私政策中將所使用的SDK一一列明。對于提供推送、統(tǒng)計、地圖等服務(wù)的第三方服務(wù)提供者來說,應(yīng)當(dāng)關(guān)注以下合規(guī)義務(wù):
在2020年11月,全國信息安全標(biāo)準(zhǔn)化委員會(TC260)發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序(App)使用軟件開發(fā)工具包(SDK)安全指引移動互聯(lián)網(wǎng)應(yīng)用程序(App)使用軟件開發(fā)工具包(SDK)安全指引》(“《SDK安全指引》”),意圖對SDK的合規(guī)使用提供清晰的指引。
為了應(yīng)對SDK的相關(guān)風(fēng)險,《SDK安全指引》從App提供者、SDK提供者的角度進(jìn)行了風(fēng)險防控:
8、移動智能終端生產(chǎn)企業(yè)需要做哪些合規(guī)措施?
伴隨著近期蘋果調(diào)整隱私策略,影響到整個互聯(lián)網(wǎng)廣告行業(yè),移動智能終端生產(chǎn)企業(yè)對App合規(guī)的影響越來越大。小米在MIUI內(nèi)設(shè)置的一系列個人信息保護(hù)功能讓App的個人信息收集無所遁形,而這樣的策略將會被越來越多移動智能終端生產(chǎn)企業(yè)采用。
9、網(wǎng)絡(luò)接入服務(wù)提供者有什么義務(wù)?
網(wǎng)絡(luò)接入服務(wù)提供者的義務(wù)是此次征求意見稿的亮點之一,突破了以往的App處罰措施。
網(wǎng)絡(luò)接入服務(wù)提供商是最貼近物理層的App相關(guān)方,主要承擔(dān)核驗App開發(fā)運營者的真實身份核驗以及應(yīng)監(jiān)管部門要求停止接入的義務(wù),這是此前并未設(shè)置過的處罰措施。
對于海外機(jī)構(gòu)運營的App,因為在中國境內(nèi)可能沒有運營實體,也沒有在國內(nèi)的應(yīng)用商店下架,因此傳統(tǒng)的處罰措施可能威懾有限,但斷開接入可以直接適用于對此類App進(jìn)行處罰,極大拓展了我國法律的適用范圍。