安全資訊

近期App的監管不斷加碼。國家網信辦持續通報app違法違規收集使用個人信息情況。2021年5月1日，《常見類型移動互聯網應用程序必要個人信息范圍規定》正式生效；4月份，工業和信息化部信息通信管理局與信安標委，分別就《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》，《移動互聯網應用程序（APP）SDK安全指南（征求意見稿）》《移動互聯網應用程序（APP）個人信息安全測評規范（征求意見稿）》等標準征求意見。

近年來，App成為個人信息監管的重點。有關部門制定了大量的規范與標準，多個部門持續展開專項檢查，并設立舉報機制，意圖對App個人信息的收集與處理進行規制。

App監管相關的9個相關問題：

1、小程序是否屬于App？

微信小程序、支付寶小程序均屬于App的范疇，需要遵守App監管的要求。根據《常見類型移動互聯網應用程序必要個人信息范圍規定》，App包括移動智能終端預置、下載安裝的應用軟件，基于應用軟件開放平臺接口開發的、用戶無需安裝即可使用的小程序。從工信部過往的檢查記錄來看，在2021年第3批檢查中，就有草料二維碼的小程序因為違規收集個人信息被要求整改。

2、App多大可能會被抽檢？不合規有哪些法律后果？

被抽檢的概率非常高。從2019年到2021年1月，工信部一共實現對62萬款APP的技術檢測工作，責令2234款違規APP進行整改，公開通報了500款、下架了132款整改不到位、拒不整改的APP。

在2021年，監管機構的目標是形成全年檢測180萬款的覆蓋能力。因此，App被抽檢已經成為一種必然趨勢，需要以最高標準開展App的合規工作。

App如果存在個人信息保護的問題，可能面臨警告、最高100萬元的罰款或（和）App下架。在最新發布的《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》中，擬進一步完善了不合規App的處置措施：

3、只有App運營企業才需關注App合規嗎？

在《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》中，不僅關注APP開發運營者，還為APP分發平臺、APP第三方服務提供者（SDK開發商）、移動智能終端生產企業、網絡接入服務提供者設定了不同的法律義務，涵蓋了完整的APP數據鏈路。因此，監管部門擬對App打造完整的合規鏈條。

4、App開發運營者有哪些合規責任？

開發運營者是App合規最為重要的主體，直接決定了App的開發運營模式，在App產品層面，開發運營者需要關注以下內容：

除了以上關于個人信息保護的基本要求，此次征求意見的《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》還擬從管理與產品設計層面提出了嶄新的合規要求，這些合規要求有些可能會更原則性一些，需要機構進一步將合規要求落地。

5、App設計“告知-同意”是否有什么特殊之處？

在“告知-同意”的框架下我一直認為：“若拒絕不自由，則同意無意義”。因此保障用戶“不同意”的選擇權才是確?！巴狻庇行У奈ㄒ煌緩?。

《民法典》要求“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理”，在此基礎上再踐行“告知-同意”的基本規則。而在App領域，對“必要”的界定更為細化。在《常見類型移動互聯網應用程序必要個人信息范圍規定》中，對面向消費測（如外賣平臺面向消費者的App，而非面向騎手的App）的個人信息獲取設置了范圍。

區分“必要個人信息”與“非必要個人信息”的意義在于：如果消費者不提供“必要信息”，App開發運營者可以拒絕提供服務；但如果消費者不提供“非必要信息”，則App開發運營者不得拒絕提供服務。該規定對App的穩定運行提出了較高的要求，機構可能需要大刀闊斧地對App的權限索取、產品邏輯進行優化，否則可能無法達到法規的要求。比如對拍攝美化類App，要求無須個人信息，即可使用拍攝、美顏、濾鏡等基本功能服務；學習教育類App的必要個人信息僅包括注冊用戶移動電話號碼，除此以外均為非必要個人信息。

當然，《常見類型移動互聯網應用程序必要個人信息范圍規定》也不應被機械適用，除了該規定中所列舉的個人信息以外，其他因履行法律義務所必須的個人信息仍然可以作為提供服務的前提。如該規定網絡游戲類別僅將移動電話號碼列為必要個人信息，但網絡游戲需要對用戶年齡進行收集，判斷用戶是否是未成年人，因此年齡信息也屬于必要個人信息。

6、App分發平臺有什么義務？

App分發平臺需要承擔部分治理的責任，即需要對自己平臺內的App進行一定程度的管理，這就要求App分發平臺建立相應的制度與流程。

具體包括：

7、APP第三方服務提供者有什么義務？

自去年以來，通過SDK等渠道向第三方共享個人信息成為監管的重點。根據我們的追蹤，我們發現大量的App開發運營者在自己的隱私政策中將所使用的SDK一一列明。對于提供推送、統計、地圖等服務的第三方服務提供者來說，應當關注以下合規義務：

在2020年11月，全國信息安全標準化委員會（TC260）發布《移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引》（“《SDK安全指引》”），意圖對SDK的合規使用提供清晰的指引。

為了應對SDK的相關風險，《SDK安全指引》從App提供者、SDK提供者的角度進行了風險防控：

8、移動智能終端生產企業需要做哪些合規措施？

伴隨著近期蘋果調整隱私策略，影響到整個互聯網廣告行業，移動智能終端生產企業對App合規的影響越來越大。小米在MIUI內設置的一系列個人信息保護功能讓App的個人信息收集無所遁形，而這樣的策略將會被越來越多移動智能終端生產企業采用。

9、網絡接入服務提供者有什么義務？

網絡接入服務提供者的義務是此次征求意見稿的亮點之一，突破了以往的App處罰措施。

網絡接入服務提供商是最貼近物理層的App相關方，主要承擔核驗App開發運營者的真實身份核驗以及應監管部門要求停止接入的義務，這是此前并未設置過的處罰措施。

對于海外機構運營的App，因為在中國境內可能沒有運營實體，也沒有在國內的應用商店下架，因此傳統的處罰措施可能威懾有限，但斷開接入可以直接適用于對此類App進行處罰，極大拓展了我國法律的適用范圍。