易倍体育平台

《移动互联网应用程序信息服务管理规定》要点解读+法规对比

发布时间:2022-08-06 03:48:18 来源:emc全站app下载 作者:emc易倍官方网站

  原标题:蔡开明等:《移动互联网应用程序信息服务管理规定》要点解读+法规对比

  北京时间2022年6月14日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称为“规定”)。该规定将于2022年8月1日起施行。国家互联网信息办公室有关负责人表示,修订发布的《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。[1]

  2016年6月28日,国家互联网信息办公室出台了《移动互联网应用程序信息服务管理规定》,旨在打击应用程序市场中少数应用程序被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息的情形,以及窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为。近年来,随着互联网环境不断发展变化,2022年1月5日,国家互联网信息办公室对《规定》进行了修订,并发布了《规定》的征求意见稿。《规定》于2022年6月14日正式发布,并将于2022年8月1日正式生效。国家互联网信息办公室有关负责人就本次修订介绍道,“《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来,对于维护网络信息内容生态,保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用,新情况新问题不断出现,需要适应形势发展进行修订完善。”

  本次修订后的新规共计27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款,与旧规的11条相比在内容上进行了较多的补充与细化。与旧规相比,新规的主要修订内容如下:

  自2016年《规定》首次出台以来,中国通过了数项数据保护领域立法,如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,亦陆续发布《互联网信息服务管理办法(修订草案征求意见稿)》《互联网用户账号名称信息管理规定(征求意见稿)》《互联网直播营销信息内容服务管理规定(征求意见稿)》等反映立法趋势的征求意见稿。新《规定》回应了上述数据立法环境的变化,将相关数据保护法律、行政法规与国家有关规定纳入《规定》立法依据之中,与有关数据保护立法规定实现协调适用,共同搭建数据治理体系。

  新《规定》与旧规在适用范围上采取了相似的表述,即“在中华人民共和国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务,应当遵守本规定。”但新《规定》进一步对适用对象采取了列举定义的方式,明晰了“应用程序信息服务”与“应用程序分发服务”的定义。

  具体而言,旧规对应用程序做出定义,即“通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件”,而未对信息服务的内涵做出规定。新规直接对应用程序信息服务做出规定,指出该等服务为“通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动”,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。对程序分发服务,新规也补充规定了互联网小程序平台、浏览器插件平台等类型,回应了近来年新兴互联网实践。

  新规在旧规的基础上对应用程序信息服务提供者应承担的主体责任提出更进一步的明确要求,并与其他数据保护立法实现协调。例如,对于旧规已经规定的实名制、信息内容审核管理机制等义务,新规通过列举的方式做出更为明确的界定,如提出用户实名制认证的三种方式,信息内容审核管理机制应包含的管理措施与管理要素等;新规在旧规的基础上实现了与《个人信息保护法》有关要求的衔接;新规还追加确立了服务提供者的数据安全保护义务、网络安全保护义务、未成年人保护义务、接受国家安全评估义务、公开平台规则等义务,与《网络数据安全管理条例(征求意见稿)》等具有立法趋势代表性的征求意见稿理念一致。在新《规定》下,应用程序信息服务提供商与分发服务提供商将承担比旧规之下更为严格的信息管理主体责任。

  新规尤其注重对近年来的网络实践中存在的问题做出明确回应。新规通过列举的方式点名提出监管新兴网络平台类型,如网络直播平台、电子商务平台,并对新型提供应用程序的方式,如小程序平台和浏览器插件做出明确规定;新规还针对特定的网络不良、恶性行为做出规范,要求平台控制虚假流量,不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。这些规范将新兴网络发展形态纳入《规定》的管理范围之中,以回应新实践、新问题,促进应用程序信息服务有序发展。

  根据《规定》,“在中华人民共和国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务,应当遵守本规定”,即《规定》的适用效力泛及任何在境内的服务提供者,这与《数据安全法》《个人信息保护法》等现行有效的中国数据立法以及《网络数据安全管理条例(征求意见稿)》等具有立法趋势代表性征求意见稿的适用范围逻辑保持一致。

  理论上,即使应用程序信息服务提供者为外国企业,也仍需受到《规定》的管辖,故而我们初步判断《规定》存在域外效力。在本《规定》生效后,企业可以通过关注实际执法案例,以确认在境内“提供服务”的范围。

  根据《规定》,应用程序提供者指提供信息服务的移动互联网应用程序所有者或者运营者。根据新规给出的定义,应用程序信息服务是指“通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型”。

  与旧规相比,新规列举了部分信息服务的性质和类型,进一步明确了适用主体。从条文列举的信息服务类型来看,我们理解《规定》更偏重于治理具有社交性质、允许用户发布和传播信息的应用程序,例如允许用户发布言论或评论等。但仅就文义而言,我们认为也不排除侧重于提供信息制作和复制服务,如提供工具性、功能性信息服务的应用程序受到规制的可能。

  根据《规定》,应用程序分发平台是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。根据新规给出的定义,应用程序分发服务,“是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型”。

  与旧规相比,新规在应用商店(例如,苹果App Store、华为应用市场等)之外,额外列举小程序平台、浏览器插件平台等类型(例如,微信小程序平台等),将传统应用分发平台外的其他平台类型也纳入管制范围,扩大了应用分发服务的含义。

  应当指出,本《规定》中应用程序皆代指移动互联网应用程序,而第二十六条中指出移动互联网应用程序是指运行在移动智能终端上向用户提供信息服务的应用软件。因此我们理解,新规中提出应用商店、快应用中心、互联网小程序平台以及浏览器插件平台等仅针对为移动智能终端提供服务的平台,如手机、平板电脑等。

  本《规定》的第四条与第五条,对应用程序提供者与应用程序分发平台的核心义务做出规定,包括遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间,不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动等。总则还概括性地规定了信息内容管理主体责任,要求前述主体积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。这些规定体现了相关主体在网络生态运营中所负有的核心义务,指导企业在合法、合规、维护网络生态方面承担责任。

  根据《规定》的要求,应用程序提供者应承担数据合规义务、信息风控义务,并满足实名制要求、主体资质要求与技术要求等。具体如下:

  我们理解,《规定》确立的数据合规义务包括数据安全义务、虚假流量管控义务、个人信息保护义务与未成年保护义务。

  应用程序信息服务商需承担的数据安全义务包括:(1)确保应用程序符合相关国家标准的强制性要求。提供者发现存在安全缺陷、漏洞等风险时,应立即采取补救措施,并按照规定及时告知用户,向有关主管部门汇报;(2)处理应用数据时,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。

  此处的数据安全义务体现了我国《网络安全法》《数据安全法》等立法规定对网络环境安全性的要求,并在内容上与《网络数据安全管理条例(征求意见稿)》(以下简称为“《数安条例》”)较为一致。例如,《规定》中第10条提出应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应立即采取补救措施,及时告知用户并向有关主管部门报告,与《数安条例》第10条中要求数据处理者发现其提供的网络产品和服务存在风险时应采取补救措施,第11条中要求数据处理者就数据安全事件的情况通知利害关系人等要求保持一致;《规定》第11条中提出应用程序提供者应履行数据安全保护义务、建立健全全流程数据安全管理制度、采取保障数据安全技术措施和其他安全措施的规定,也与《数安条例》第6条要求数据处理者对所处理数据的安全负责、履行数据安全保护义务、建立完善数据安全管理制度和技术保护机制等保持一致。

  尽管《数安条例》尚未生效,但我们理解该法体现了数据安全管理方面后续立法方向,企业可参考该条例中第9条等内容理解数据安全技术措施与其他安全措施,并参照要求建立相关合规体系。

  《规定》对近年来影响较为恶劣的“流量造假”行为提出特别管理措施。第9条规定,应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。旧规第7条中也曾做出类似规定,并将法律规制重点在于不得侵犯用户的知情权与选择权,例如开启与服务无关的功能,捆绑安装无关应用程序。我们理解新《规定》中对执法重点做出补充,特别强调不得使用“虚假流量”这一不当技术手段,以规范应用程序健康竞争生态环境。

  《规定》要求,应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,明确个人信息收集目的和处理规则,采取措施保障个人信息安全,并且不得强制要求用户同意个人信息处理行为,不得因用户拒绝提供非必要个人信息而拒绝用户使用基本功能服务。本条与《个人信息保护法》第5、6条中规定个人信息处理应遵循合法、正当、必要和诚信原则,并应当具有明确、合理的目的等要求保持一致。

  此外,《规定》要求应用程序根据信息收集程度提供功能分级,不得设置较高的个人信息收集的使用门槛,与2021年5月1日出台的《常见类型移动互联网应用程序必要个人信息范围规定》第4条要求app不得因用户不同意提供非必要个人信息而拒绝用户使用其基本服务功能一致。我们理解,《规定》中的个人信息保护义务在落地实施上将与此类法律法规以及执法行动保持统一范畴,企业履行相应义务时应参考相关法律法规明晰条文含义。

  值得注意的是,自2020年以来,工信部已针对存在过度收集用户信息、侵害用户权益行为的app发布多批通报,着重打击治理过度收集个人信息乱象。工信部还建设全国app技术检测平台,从技术层面对app过度收集个人信息的行为开展根源上的打击。整体而言,应用程序相关的个人信息保护是近年数据合规的执法重点之一。

  《规定》特别对未成年人的保护义务提出要求,指出需依法落实未成年人账号真实身份信息注册和登录要求,不得提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。随着互联网对未成年人影响持续加强,国家网信办等部门自2019年以来先后出台《儿童个人信息网络保护规定》、《国家新闻出版署关于防止未成年沉迷网络游戏的通知》等部门规章与规范性文件,并于2020年修订《未成年人保护法》,新增网络保护章节,不断强化对未成年人的保护。针对未成年人的数据网络相关保护主要分为两个层面:

  2019年,《国家新闻出版署关于防止未成年沉迷网络游戏的通知》要求网络游戏账号实名注册,并严格控制未成年人使用网络游戏的时段。2021年,《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》再度要求严格控制向未成年人提供网络游戏服务的时间,并强调所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统,必须使用真实有效的身份信息登录。此外,《未成年人保护法》提出建立统一的未成年人网络游戏电子身份认证系统,不得为未满十六周岁的未成年人提供网络直播账号注册服务,十六岁周岁以上的需征求父母或监护人同意。

  《规定》在上述意见的基础上进一步强化落实了对未成年人的网络安全保护,将未成年人使用网络的实名制要求与防沉迷要求进一步扩大至应用程序范畴。这一扩大保护的行为与2020年修订的《未成年人保护法》、网信办于2022年3月14日发布的《未成年人网络保护条例(征求意见稿)》等法律法规提出网络产品和服务提供者不得向未成年人提供诱导沉迷的产品和服务,网络产品和服务提供者应当建立健全防沉迷制度等要求上高度一致,体现出国家不断深化未成年人网络安全保护,规范未成年人使用互联网行为的立法趋势。

  此外,根据《儿童个人信息网络保护规定》《未成年人保护法》等法律法规,企业对未成年人的个人信息负有特殊保护义务。例如,处理不满14周岁未成年人信息的,应当征得未成年人的父母或其他监护人的同意;未成年人、父母或其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除;网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护等。因此,企业需根据不同年龄的未成年人需求制定不同的信息处理方式,承担对未成年人的特别保护义务。

  与旧规相比,新《规定》尤其对应用程序提供者的信息风控义务做出细化与强调。信息风控义务主要包括以下内容:

  《规定》要求,应用程序提供者需对信息内容呈现结果负责,不得生产传播违法信息,需自觉防范与抵制不良信息。该机制在旧规中也得到规定,但当时网信办并未针对内容审核管理机制的内容做出具体论述。

  新《规定》尤为注意明确提出信息内容审核管理机制的要素,包括用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,并要求配备与服务规模相适应的专业人员和技术能力。这对于应用程序提供者的合规能力提出更高要求。尽管对信息内容审核管理机制的形式要素做出规定,但我们理解,企业推进信息内容审核管理机制仍需面临实质性的困难,如可能存在歧视性规定或违反公民基于宪法拥有的基本权利等。特别是由于网络社区交流环境的和谐治理规则尚处于发展与摸索进程,在为相互冲突的多方用户与平台利益划分边界时,企业势必需根据《规定》的立法精神进行揣测与取舍。除旧规外,《互联网论坛社区服务管理规定》《互联网用户账号名称管理规定》《互联网跟帖评论服务管理规定》等规范中亦对应用程序提供者所负有的内容管理主体责任做出规定,体现出国家整治网络环境,创造清朗网络空间的决心。

  此外,2022年6月17日,网信办发布关于《互联网跟帖评论服务管理规定(修订草案征求意见稿)》,进一步提出建立健全跟帖评论审核管理、实时巡查、应急处置、举报受理等信息安全管理制度,对跟帖评论信息内容实施先审后发,及时发现处置违法和不良信息,并向网信部门报告。该征求意见稿对跟帖评论服务的定义极为广泛,以发帖、回复、留言、“弹幕”等方式,为用户提供发表文字、符号、表情、图片、音视频等信息的服务均属于跟帖评论服务。我们理解,此类跟帖评论服务将作为《规定》信息内容审核管理机制的核心审查内容。

  根据《规定》第十四条,应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。该要求与《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》相衔接。2018年11月15日,网信办和公安部发布前述规定,并于2018年11月30日起开始执行。根据该规定,具有舆论属性或社会动员能力的互联网信息服务包括:1)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;2)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。该规定第5条中也为开展安全评估的核心要点做出规定。2021年3月,网信办、公安部等机关曾约谈11家企业,旨在加强对该类应用的管理。我们理解在落实该主体责任时,主管机关将参考相应规定的内容对应用程序提供者提出要求,企业应注意参考。

  《规定》第十六条要求应用程序提供者公开管理规则,与注册用户签订服务协议,明确双方权利义务。其后文款项又载明对于违反《规定》、相关法律法规与服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。我们理解,本条旨在为应用程序提供者在应用程序环境内开展信息自主自治提供法律依据,推动应用程序提供者承担信息主体责任,统一应用程序中信息风控的管理措施。一方面,企业需通过公开管理规则明确治理社区环境的标准,明确用户双方权利义务,主动承担信息主体责任;另一方面,企业需通过公开的管理规则接受用户的监督,为用户提供申诉、反驳等途径,避免企业滥用其应用程序提供者的主体地位而侵犯用户权益。目前,《规定》尚未对企业需公开的管理规则提出形式要件要求,如管理规则需具备的要素等。但作为与用户签订的格式条款,我们理解企业公开发布管理规则,与用户签订协议需符合《民法》《合同法》等法律规定中对合同的基本法律要求,遵守社会公序良俗。

  应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可。提供其他互联网信息服务需经主管部门审批的,也需要经过主管部门审核同意或取得相关许可后方可提供服务。关于互联网新闻信息服务的要求还应参考2017年6月1日生效的《互联网新闻信息服务管理规定》,例如,该规定定义新闻信息是指包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。新闻信息服务包括互联网新闻信息采编发布服务、转载服务、传播平台服务。通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可。应用程序提供者可根据相关规定判断自身是否满足主体资质要求。

  应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。

  自2015年起,在网信办发布的《互联网用户账号名称管理规定》中就提出“后台实名、前台自愿”原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。与旧规相比,新规对实名制规则提出进一步细化,列举了三种验证实名身份的途径。

  此外,《规定》第十五条特别提出鼓励应用程序提供者积极采用互联网协议第六版(IPv6)向用户提供信息服务。该条与2021年7月9日中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2021年工作安排》中提出在深化商业应用部署等方面推广IPv6的国家政策保持一致。

  新《规定》下,应用分发平台的主要责任包括备案与建设分类管理制度、审核与管理义务。

  应用程序分发平台需在上线日内向所在地的网信部门备案。与旧规相比,新《规定》细化了应用程序分发平台向政府有关部门备案的要求。平台向网信部门备案时需提交五种材料,分别为1)平台运营主体基本情况;2)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;3)平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;4)建立健全履行核心义务的相关制度文件;5)平台管理规则、服务协议等。此外,国家网信部门应及时公布已履行备案手续的应用程序平台。细化规定为应用程序分发平台履行合规责任提供了更为具体的框架。值得一提,与《征求意见稿》相比,新《规定》删除了省、自治区、直辖市主管部门对备案信息的真实性、完备性的审核要求,确认了备案主要审核形式要件,而不从实质内容层面上给予许可或审批。

  应用程序分发平台还需建立分类管理制度,并按类别向其所在地网信部门备案。结合《征求意见稿》理解,该规定要求应用平台需就应用程序向网信部门备案,这进一步扩充了平台的备案义务,要求平台不仅备案有关自身运作的信息,还有备案在该平台上线应用的信息,进一步强化了平台的管理责任。对于分类管理制度的内涵,《规定》并未做出补充定义,或许等待后续立法出台明晰有关概念。

  《规定》要求平台承担广泛的审核与管理义务,体现出对应用分发平台对应用程序提供者的强监管要求,将监管责任进一步下放并压实。审核与管理义务包括:

  平台需对应用程序提供者落实实名认证。需采取复合验证等措施,并在开展真实身份信息认证的基础上,根据应用程序提供者的不同主体性质、公示提供者的名称、统一社会信用代码等信息,方便社会监督查询。

  应用程序分发平台需建立健全管理机制和技术手段,建立完善上架审核,日常管理,应急处置等管理措施。

  该管理义务与旧规相比在内涵上发生了较大改变。旧规通过描述应用程序分发平台对应用程序提供者的督促义务规定应用程序管理者应履行的管理责任,包括督促应用程序提供者保护用户个人信息、发布合法信息内容、发布合法应用程序知识等。新《规定》则通过正面列举对应用分发平台应承担的管理责任进行了详细论述。具体而言,平台应在其管理机制中包含下列因素:

  1)对应用程序开展日常审核。平台应对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务;

  2)协助检验应用程序相关资质和其他审批程序是否履行。应用程序提供的信息服务属于需要获得特定资质或经过审核部门审批的,平台应对相关许可等情况进行核验;应用程序上线具有舆论属性或社会动员能力新功能需经过国家安全评估的,平台应对安全评估情况进行核验;

  3)协助控制虚假流量与其他违规行为。平台应加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。值得一提的是,与《征求意见稿》相比,《规定》取消了对应用程序分发平台应建立应用程序检测评估机制的要求,应用程序平台可根据自身经营需求建设相关监督管理机制。

  应用程序分发平台应当依据法律法规和国家有关规定,制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。对违反本规定及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。与应用程序提供者的责任类似,我们理解本条旨在推动应用程序分发平台承担管理责任,通过公开的管理规则接受监督,避免平台滥用其平台主体地位。

  根据《规定》第三条,国家网信部门负责全国应用程序信息内容的监督管理工作,地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。与旧规相比,主管机关的表述从国家网信办公室更改为国家网信部门,我们理解此处或存在执法部门上的扩大。但目前尚未明确文件对国家网信部门的范围做出划分,需等待后续补充立法说明。

  除主管部门监管外,《规范》第四章中还提出了其他应用程序提供者与应用程序分发平台应接受的普遍监督管理,包括:1)自觉接受社会监督,设置醒目、便捷的投诉举报入口,健全受理、处置、反馈等机制,及时处理公众投诉举报;2)鼓励行业健全行业自律机制,完善行业规范和自律公约;3)网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。

  《规定》本身未提出具体违规责任,而是交由网信部门和有关主管部门在职责范围内依照相关法律法规处理。如前述分析,由于《规定》中体现了与其他多种互联网监管规定的衔接,我们理解主管机关将根据前述可互相衔接的法律法规中规定的违规责任进行处罚,包括责令改正,处以行政罚款等。

  《移动应用程序信息服务提供管理规定》将于2022年8月1日生效。《规定》全面地规范了应用程序提供者与应用程序分发平台在当前数据立法环境下需承担的主体责任与义务,并尤为着重与其他互联网监管领域法律法规的衔接,将中央的多种治理规定整理纳入其中。除与已经生效的法律法规的衔接外,

  《规定》还体现出与部分正在立法进程中的征求意见稿在立法精神上的一致性。我们理解,《规定》整体体现出了国家在互联网治理上强监管、压实并下放主体责任的治理趋势。为应对这种趋势,我们建议相关应用程序提供者与应用分发平台利用《规定》尚未生效的过渡期,提前梳理自身业务,开展合规应对,为《规定》生效做准备。

  《规定》对相关主体的数据合规水平提出了极高的要求。技术层面,我们建议企业应采取符合相关国家标准的措施防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。制度层面,我们建议企业制定内部安全管理制度和操作规程,建立行之有效的网络安全保护制度,包括例如任命网络安全负责人、制定网络安全事件应急预案、定期进行网络安全风险评估与差距分析、制定数据安全专项合规计划、完善数据合规手册、完善数据操作记录留存制度、定期进行针对性培训、定期进行数据合规审计与整改等。企业应尤其注意对于使用虚假流量建议防范机制,如落实日常经营中的审批政策并监控应用程序的异常流量,及时识别并及时追查。

  个人信息保护层面,我们建议企业参考《个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,根据自身业务需求判断个人信息收集范围,在收集前向个人告知信息处理目的、个人信息最小元素集、处理规则、实际收集的个人信息范围,以及个人享有的访问、更正、删除个人信息,注销账户等权利。并允许个人信息主体选择是否同意处理其个人信息,包括约定的目的、方式和范围,变更时应再次征得个人信息主体的同意。企业应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。如果存在通过收集非必要信息提供特定功能的情形,企业应注意将此类功能与基本功能做出区分。我们还建议参考全国app技术检测平台的要求,对自身应用程序进行检测,排除过度收集个人信息的风险。

  《规定》深入细化并落实了应用程序提供商与应用程序分发平台的信息主体责任。这些责任不仅体现于《规定》,还零散的分布于其他有关互联网监管的法律法规之中。为确定信息主体责任的边界,除参考《规定》的内容外,我们建议企业全面梳理并深入研究目前已经通过和正处于立法进程中的相关征求意见稿,明晰信息主体责任的边界,并结合其他征求意见稿中的内容把握立法精神,研判合规方向。例如,就建立信息内容审核管理机制,我们建议企业结合自身业务,梳理容易产生风险点的机制,并针对风险情形做出预案。企业还可在制定和修订管理规则时结合经营的具体情形,如应用程序的网络社区环境互动模式、目标用户群体等情况,引入用户评审等规则,逐步建立符合社区交流环境、用户可以接受的信息审查评判标准,并对内容审核提供复审或申诉等救济机制,以免违反等由宪法规定的公民基本权利。

  3. 密切追踪互联网监控法律法规立法执法动态,积极配合监管并保持良好沟通渠道

  近年来,推动互联网有序治理,建设清朗网络空间是国家的立法重点,网信办、工信部等主管机构不断推进立法建设,颁布相关法律法规或征求意见稿,具有较多变动性。因此,企业需在不断推动自身网络经营合规建设的过程中关注相关立法执法动态,确保其合规管理体系具有灵活性与时效性,既能包容快速发展的监管趋势,又能及时回应最新的法律法规要求。此外,企业还需结合主管部门的执法动态来加深对相关法律法规的理解,判明措施落地时的具体标准。我们进一步建议企业积极配合主管部门的监督监管,主动参与行业自律、公共监督等不同监督渠道的建设过程之中,一方面应根据企业自身情况反应实践中的合规难点,摸索合适的解决方案,另一方面应保持与监管机构的良好沟通渠道,以把握立法执法精神,规避合规风险。

  以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。



上一篇:港股通活跃成交8月1日
下一篇:新兴行业催生新职业女生学这些专业更吃香!