国家互联网信息办公室于2022年6月14日发布了新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》自2022年8月1日起施行。新《规定》对2016年发布的《移动互联网应用程序信息服务管理规定》(以下简称旧《规定》)进行了全面修订,从旧《规定》仅有的十一条增至二十七条。新《规定》的上位法不仅包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》等法律,还包括《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等国家规定。新《规定》主要是对应用程序提供者和应用程序分发平台进行合规管理。
新《规定》第二条对“应用程序信息服务”和“应用程序分发服务”分别进行了定义,前者是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型;后者是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
我们经常提到的APP,英文全称是Application,专指互联网应用程序,但是狭义的APP主要指智能手机的第三方应用程序,广义的APP指所有客户端软件,现多指移动应用程序。新《规定》第二十六条专门对“移动互联网应用程序”“移动互联网应用程序提供者”和“移动互联网应用程序分发平台”进行了定义,即移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件;移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者;移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。
新《规定》要求所有的应用程序提供者和应用程序分发平台应当共同履行以下三大合规义务:首先,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,遵循公序良俗,履行社会责任,维护清朗网络空间;其次,应当履行信息内容管理主体责任,积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态;再次,不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。同时,新《规定》分别对应用程序提供者和应用程序分发平台做出了合规要求。
应用程序提供者的十项合规义务
新《规定》第六条到第十六条规定了应用程序提供者应履行的十项合规义务。
1.应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。
2.应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。
应用程序提供者提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。
3.应用程序提供者应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。
应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。
4.应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。
5.应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
6.应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。
7.应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
8.应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。
9.应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。
10.应用程序提供者应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。
对违反新《规定》及相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。
应用程序分发平台的五项合规义务
新《规定》第十七条到第二十一条对应用程序分发平台提出了五项合规义务。
1.应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时,应当提交以下四类材料:一是平台运营主体基本情况;二是平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;三是平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;四是新《规定》第五条要求建立健全的相关制度文件;五是平台管理规则、服务协议等。
省、自治区、直辖市网信部门在收到上述备案材料后,审核材料齐全的方可予以备案。国家网信部门将及时公布已经履行备案手续的应用程序分发平台名单。
2.应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。
3.应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。
4.应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。
首先,应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。
其次,应用程序提供的信息服务属于新《规定》第七条规定范围的(主要是提供互联网新闻信息服务或者提供其他互联网信息服务),应用程序分发平台应当对相关许可等情况进行核验;属于新《规定》第十四条规定范围的(主要是应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能),应用程序分发平台应当对安全评估情况进行核验。
再次,应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。
5.应用程序分发平台应当依据法律法规和国家有关规定,制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。
对违反新《规定》及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。