王昕:DSI数安智库专家,北京快手科技有限公司高级标准化专家,博士,EXIN DPO认证专家,长期从事数据安全与隐私保护技术研究与标准化工作,主持和参与多项网络安全与数据安全技术审查工作,于ISO/IEC SC27、ITU-T SG17等标准化组织主导多项信息安全标准项目,对互联网平台数据安全与隐私保护合规标准化方面具有深入了解。

落红卫:DSI数安智库专家,北京快手科技有限公司安全与隐私资深总监,北京邮电大学博士毕业,加拿大滑铁卢大学访问学者,高级工程师,负责快手标准化和生态工作,对数据安全和隐私保护有深入研究。原蚂蚁集团资深标准化专家、阿里巴巴集团资深标准专家和蚂蚁集团科技生态总监,曾任信通院泰尔终端实验室信息安全部副主任。

1、概述

近年来,移动互联网的快速发展使移动应用程序(以下简称“APP”)与广大用户的生产生活紧密相连,移动应用分发平台作为用户获取APP的重要渠道,也是APP走向市场与用户的第一道关卡,相关运营者应对APP上架做好审核管理工作,履行平台监管职责。国家多个部委、相关标准组织分别制定了规范性文件和落地标准,对移动应用分发平台个人信息保护提出要求。本文重点对移动应用分发平台的个人信息保护合规要点进行梳理,为移动应用分发平台进一步做好APP上架审核和日常管理、提升平台规范性提供参考。

2、相关法律法规与规范性文件

我国个人信息保护相关法律法规与规范性文件如下图所示:

工业和信息化部《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管[2016]407号)最早明确从事应用商店等移动应用分发平台服务的互联网信息服务提供者对所提供的应用软件负有身份信息登记、建立应用软件管理机制、向用户明示APP相关信息、及时下架恶意应用软件等管理责任。工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)文件中也指出应用分发平台要落实APP信息明示、APP上架严格审核、及时处理违法违规APP等管理责任。《移动互联网应用程序个人信息保护管理暂行规定》要求移动应用分发平台应当履行对新上架App实行上架前个人信息处理活动规范性审核、建立App开发运营者管理机制等个人信息保护义务。

在《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《中华人民共和国未成年人保护法》上位法基础上,国家互联网信息办公室于2022年6月14日发布了新修订的《移动互联网应用程序信息服务管理规定》,规定了移动应用分发平台对APP提供者进行身份验证及公示、管理APP提供者、制定并公开平台管理规则及与APP提供者签订服务协议等合规义务,新规自2022年8月1日起施行。

3、相关标准情况

为配合和支撑移动应用分发平台的监管落地,全国信息安全标准化技术委员会、中国通信标准化协会、电信终端产业协会在国家标准、行业标准和团体标准层面分别组织开展了相关标准的编制工作。

目前,全国信息安全标准化技术委员会组织开展了《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》(征求意见稿)国家标准编制工作,主要从APP个人信息处理活动的上架前审核到上架后管理两方面对移动应用分发平台提出相关要求;同时,中国通信标准化协会、电信终端产业协会也在行业标准和团体标准层面积极开展工作,重点围绕分发平台管理、APP信息展示以及信用评价(分发平台和APP开发者)组织相关标准编制工作。需要注意的是,部分标准仍在编制讨论中,相关内容也会随着业界讨论的不断深入而变化,需要移动应用分发平台及相关机构持续跟踪了解。

4、移动应用分发平台个人信息保护合规实施要点

上述法律法规和标准分别从顶层框架到行业落地、再到具体实施对移动应用分发平台提出了全面的约束和要求,本文梳理、对比和提炼,从个人信息保护的角度总结移动应用分发平台的合规要点。

4.1平台应向当地网信部门备案

移动应用分发平台应当在上线运营30日内向所在地省、自治区、直辖市网信部门备案。平台办理备案时,应当提交如下备案材料:

4.2平台应建立APP个人信息安全管理机制

移动应用分发平台应建立APP个人信息安全管理机制,对APP进行上架审核,并对已上架APP进行管理。具体的审核、管理要求如下:

4.2.1APP上架前审核

移动应用分发平台需对App 运营者提交的基本信息、个人信息处理规则进行审核。重点审核内容及要求如下:

在移动应用分发平台已上架的App发生版本更新时,平台宜按照APP上架程序对App更新版本进行审核。

4.2.2APP上架后管理

移动应用分发平台宜制定并公开发布APP运营者个人信息保护管理制度。管理制度内容包括但不限于:

4.3平台应向用户展示APP的个人信息处理情况

移动应用分发平台应当通过用户提示、平台明示等方式向用户展示所提供APP个人信息处理情况的相关信息。主要展示信息如下:

同时,平台应在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息。

4.4平台宜向用户展示APP的个人信息安全标识

移动应用分发平台宜通过设置不同颜色、形状图标等方式对App 进行显著标识,帮助用户快速了解 App 个人信息处理活动情况,宜提供以下个人信息安全相关标识:

4.5平台应建立完善用户举报投诉处置措施

移动应用分发平台应当设置醒目、便捷的投诉举报入口,公布投诉举报方式,及时处理公众投诉举报。

4.6平台应及时处理违法违规APP

对违反相关法律法规及服务协议的APP,移动应用分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向监督管理部门报告。

4.7信用评价

4.7.1移动应用分发平台信用评价

主管部门、第三方评估机构等组织可根据以下评价指标对移动应用分发平台责任落实情况进行监督、管理和评估:

4.7.2APP开发者信用评价

移动应用分发平台应建立App开发运营者信用积分等管理机制,主要从以下几个角度对APP开发者的进行信用评价:

5、结语

移动应用分发平台作为移动应用程序触达互联网用户的重要媒介,是互联网生态中的重要一员,严格落实移动应用分发平台管理责任对互联网行业的健康发展有着重要意义。国家网信办和工信部等多个部委先后针对移动应用分发平台提出监管要求,加强对移动应用分发平台的治理及监管。各移动应用分发平台应尽快依照相关法律法规履行合规义务,并及时关注相关合规落地标准编制,积极落实平台个人信息保护管理责任,加强用户个人信息保护,营造清朗的网络环境,促进互联网生态的健康可持续发展。

声明:本文仅代表作者个人观点,不代表本公众号及其运营单位意见或立场。

声明:本文来自数据安全推进计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。