专家：App监管的9个相关问题

近期App的监管不断加码。国家网信办持续通报app违法违规收集使用个人信息情况。2021年5月1日，《常见类型移动互联网应用程序必要个人信息范围规定》正式生效；4月份，工业和信息化部信息通信管理局与信安标委，分别就《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》，《移动互联网应用程序（APP）SDK安全指南（征求意见稿）》《移动互联网应用程序（APP）个人信息安全测评规范（征求意见稿）》等标准征求意见。

近年来，App成为个人信息监管的重点。有关部门制定了大量的规范与标准，多个部门持续展开专项检查，并设立举报机制，意图对App个人信息的收集与处理进行规制。

我们总结了App监管相关的9个相关问题：

1、小程序是否属于App？

微信小程序、支付宝小程序均属于App的范畴，需要遵守App监管的要求。根据《常见类型移动互联网应用程序必要个人信息范围规定》，App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。从工信部过往的检查记录来看，在2021年第3批检查中，就有草料二维码的小程序因为违规收集个人信息被要求整改。

2、App多大可能会被抽检？不合规有哪些法律后果？

被抽检的概率非常高。从2019年到2021年1月，工信部一共实现对62万款APP的技术检测工作，责令2234款违规APP进行整改，公开通报了500款、下架了132款整改不到位、拒不整改的APP。

在2021年，监管机构的目标是形成全年检测180万款的覆盖能力。因此，App被抽检已经成为一种必然趋势，需要以最高标准开展App的合规工作。

App如果存在个人信息保护的问题，可能面临警告、最高100万元的罚款或（和）App下架。在最新发布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》中，拟进一步完善了不合规App的处置措施：

3、只有App运营企业才需关注App合规吗？

在《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》中，不仅关注APP开发运营者，还为APP分发平台、APP第三方服务提供者（SDK开发商）、移动智能终端生产企业、网络接入服务提供者设定了不同的法律义务，涵盖了完整的APP数据链路。因此，监管部门拟对App打造完整的合规链条。

4、App开发运营者有哪些合规责任？

开发运营者是App合规最为重要的主体，直接决定了App的开发运营模式，在App产品层面，开发运营者需要关注以下内容：

除了以上关于个人信息保护的基本要求，此次征求意见的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》还拟从管理与产品设计层面提出了崭新的合规要求，这些合规要求有些可能会更原则性一些，需要机构进一步将合规要求落地。

5、App设计“告知-同意”是否有什么特殊之处？

在“告知-同意”的框架下我一直认为：“若拒绝不自由，则同意无意义”。因此保障用户“不同意”的选择权才是确保“同意”有效的唯一途径。

《民法典》要求“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”，在此基础上再践行“告知-同意”的基本规则。而在App领域，对“必要”的界定更为细化。在《常见类型移动互联网应用程序必要个人信息范围规定》中，对面向消费测（如外卖平台面向消费者的App，而非面向骑手的App）的个人信息获取设置了范围。

区分“必要个人信息”与“非必要个人信息”的意义在于：如果消费者不提供“必要信息”，App开发运营者可以拒绝提供服务；但如果消费者不提供“非必要信息”，则App开发运营者不得拒绝提供服务。该规定对App的稳定运行提出了较高的要求，机构可能需要大刀阔斧地对App的权限索取、产品逻辑进行优化，否则可能无法达到法规的要求。比如对拍摄美化类App，要求无须个人信息，即可使用拍摄、美颜、滤镜等基本功能服务；学习教育类App的必要个人信息仅包括注册用户移动电话号码，除此以外均为非必要个人信息。

当然，《常见类型移动互联网应用程序必要个人信息范围规定》也不应被机械适用，除了该规定中所列举的个人信息以外，其他因履行法律义务所必须的个人信息仍然可以作为提供服务的前提。如该规定网络游戏类别仅将移动电话号码列为必要个人信息，但网络游戏需要对用户年龄进行收集，判断用户是否是未成年人，因此年龄信息也属于必要个人信息。

6、App分发平台有什么义务？

App分发平台需要承担部分治理的责任，即需要对自己平台内的App进行一定程度的管理，这就要求App分发平台建立相应的制度与流程。

具体包括：

7、APP第三方服务提供者有什么义务？

自去年以来，通过SDK等渠道向第三方共享个人信息成为监管的重点。根据我们的追踪，我们发现大量的App开发运营者在自己的隐私政策中将所使用的SDK一一列明。对于提供推送、统计、地图等服务的第三方服务提供者来说，应当关注以下合规义务：

在2020年11月，全国信息安全标准化委员会（TC260）发布《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》（“《SDK安全指引》”），意图对SDK的合规使用提供清晰的指引。

为了应对SDK的相关风险，《SDK安全指引》从App提供者、SDK提供者的角度进行了风险防控：

8、移动智能终端生产企业需要做哪些合规措施？

伴随着近期苹果调整隐私策略，影响到整个互联网广告行业，移动智能终端生产企业对App合规的影响越来越大。小米在MIUI内设置的一系列个人信息保护功能让App的个人信息收集无所遁形，而这样的策略将会被越来越多移动智能终端生产企业采用。

9、网络接入服务提供者有什么义务？

网络接入服务提供者的义务是此次征求意见稿的亮点之一，突破了以往的App处罚措施。

网络接入服务提供商是最贴近物理层的App相关方，主要承担核验App开发运营者的真实身份核验以及应监管部门要求停止接入的义务，这是此前并未设置过的处罚措施。

对于海外机构运营的App，因为在中国境内可能没有运营实体，也没有在国内的应用商店下架，因此传统的处罚措施可能威慑有限，但断开接入可以直接适用于对此类App进行处罚，极大拓展了我国法律的适用范围。

关于作者

史宇航，法学博士，虎符智库专家，注册信息安全专业人员（CISP），注册信息隐私管理人员（CIPM）。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。