总述

本文将总结2022年度国家网信办、各地网信办、工信部和各地通管局等APP监管部门的年度监管通报,分析2022年度的监管重点、监管部门开展的重要监管行动,以期为企业移动应用程序合规提供指引。

综合而言,作为合规义务主体的APP运营者、应用分发平台运营者以及SDK运营者、移动智能终端生产企业应当依据《个人信息保护法》《数据安全法》《网络安全保护法》《电信条例》《电信和互联网用户个人信息保护规定》《移动互联网应用程序个人信息保护管理暂行规定》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息自评估指南》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》《移动智能终端应用软件预置和分发管理暂行规定》《网络产品安全漏洞管理规定》《进一步规范移动智能终端应用软件预置行为的通告》等监管依据的要求,进行全覆盖式的企业合规自查与合规体系搭建,从根源上打稳数据合规的地基,结合监管关注的重点事项进行专项合规整顿。

从监管趋势来看,对APP的合规要求已经不局限于数据收集、隐私政策合规、权限收集等数据入口的监管,而是深入到企业的数据传输、提供、删除等数据全生命周期合规以及技术安全措施。

2022年APP侵害用户权益常态化治理行动

2022年全年,国家网信办、各地网信办、工信部和各地通管局(下称“监管部门”)开展了一系列针对移动互联网应用、应用分发平台、第三方软件开发工具包(下称“SDK”)(合称“合规主体”)的监管行动,其中,侵害用户权益行为常态化治理行动反映了监管部门的首要关注。全年工信部共发布了6批关于侵害用户权益行为的APP通报,近日发布了2023年第一批通报。网信办于2022年11月发布了一批侵犯个人信息合法权益的违法违规App通报,各地监管部门也陆续发布了多批常态化监管通报,下文将结合这些通报内容,分析监管部门关注的合规主体、重点查处行为与趋势以及重点关注行业。

0合规义务主体的边界逐步扩展

结合APP治理相关法规标准以及监管部门发布的实践指南,监管关注的合规义务主体主要包括三类:APP运营者、应用分发平台运营者以及SDK运营者。随着市场发展,这三类主体项下的产品产生了创新与变化,随之不可避免的催生了监管范围的细化与扩展,具体如下:

(1) APP,包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。(《常见类型移动互联网应用程序必要个人信息范围规定》第二条)

(2) 应用分发平台也称应用商店,指提供移动互联网应用程序下载、安装、升级等分发服务的各类平台,包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及小程序、快应用、H5页面等新形态分发平台。(《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》)

(3) SDK,在APP相关网络安全指引文件中,是指对实现 App 特定功能的代码进行封装,向外提供简捷的调用接口的二进制文件。(《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》2.3)

值得注意的是,2022年“315”晚会聚焦以低配儿童智能手表为代表的穿戴设备“欺骗误导用户下载APP”和“欺骗误导用户提供个人信息”的违规行为,标志着合规要求应不仅限于手机APP,而将逐步扩展到智能手表、智能家电、IoT设备等。

除以上传统三类合规主体外,工信部与网信办发布的已于2023年1月1日生效的《关于进一步规范移动智能终端应用软件预置行为的通告》将移动智能终端生产企业(主要包括生产接入公众移动通信网络的智能手机、平板电脑、可穿戴设备等的企业)的预置行为纳入了监管范畴,该通告的前身《移动智能终端应用软件预置和分发管理暂行规定(2016)》也已出现在监管通报的法规依据之列。由此,移动智能终端生产企业也将作为APP治理的合规主体被纳入监管版图。

02 监管部门对APP各行业进行全局关注

综合2022年全年中央及各地发布的查处通告来看,受到查处的APP涉及的行业与类型包括但不限于会议类、教育类、社交类、新闻资讯类、金融类、直播与音视频类、电商类、生活便利类、游戏类、阅读类、工具类应用、医疗健康类、运动类、酒店住宿类、租房类、支付类、办公类、浏览器、天气类等,并不时会针对其中的部分行业APP进行集中查处,例如:

——工信部第四批查处集中在超市便利等生鲜外卖行业;

——工信部第五批查处集中在酒店餐饮类、未成年人应用类等及第三方软件开发工具包(SDK)

——2022年2月,国家网信办等八部门联合修订发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》,针对网约车危害网络安全、大数据杀熟、侵害用户个人信息权益等事项进行专项整治。

——2022年4月,国家邮政局 公安部 国家互联网信息办公室联合启动邮政快递领域个人信息安全治理专项行动。

——2022年8月,浙江省通管局发布针对出行导航类以及学习教育类APP的查处。

03 监管部门常态化工作中重点查处的APP侵害用户权益行为包括

(1) 针对APP:

2022年,监管部门及国家计算机病毒应急处理中心进行了针对如下传统检查项的查处通报,按照数据生命周期顺序进行总结:

同时在工信部2022年第二批查处通告中新增弹窗信息骚扰用户查处项,并在随后的第六批以及2023年第一批查处通告中,持续出现“违规推送弹窗信息”的查处项,说明了监管的阶段性重点关注。

(2) 针对应用分发平台:

l应用分发平台上的APP信息明示不到位

工信部2022年第三批查处通报中出现两条针对应用分发平台的通报,明确作为合规主体的“应用分发平台“不限于第三方平台,也包括企业自身的官网。即无论APP在何种平台上分发,该平台都需要承担起应用分发平台的合规义务。

(3) 针对SDK:

工信部第五批通报专门针对SDK的违法违规侵害用户权益行为进行了专项查处,综合监管部门全年的查处通报,针对的SDK的查处项集中在以下几个方面:

  1. SDK违规收集个人信息(设备MAC地址、Android ID、IMEI、IMSI、ICCID、传感器信息、安装列表)

  2. SDK收集个人信息明示、告知不到位

  3. SDK违规使用第三方服务

  4. SDK超范围收集个人信息

  5. 强迫收集非必要个人信息

04 监管部门开展的其他专项行动

除侵害用户权益的常态化工作外,监管部门还在公众重点关注的领域开展了专项行动,这些专项行动要求合规主体在提供服务时关注到公众的诉求,实现“用户导向”与“需求导向”。

05 持续关注网络安全类要求

《网络产品安全漏洞管理规定》已作为监管的查处依据,北京APP侵害用户权益治理专项行动提出应用商店、App运营者要加强用户数据安全保护工作,采取管理与技术保障措施防范数据安全风险。2022年10月29日“北京市通信管理局关于20款问题App的通报”针对APP的安全漏洞进行了细化查处:

  1. 应用数据任意备份风险;

  2. Janus签名机制漏洞;

  3. Webview远程代码执行漏洞;

  4. 未移除有风险的webview系统隐藏接口漏洞;

  5. zip文件解压目录遍历漏洞;

  6. 在网站或移动应用程序前后端数据传输过程中,未对用户身份证号敏感数据进行加密。

总结

总结来说,APP治理是一项综合治理工程,具有以下特征:

(1) 监管部门:2+N形式——以网信办、工信部两大类监管部门作为监管主力,国家计算机病毒应急处理中心作为公安部下属机构持续发布相关监测结果,部分地区(如浙江地区)的APP违法违规收集使用个人信息专项治理工作组也不时发布监管通报。

(2) 合规主体:APP、应用分发平台及SDK中部分合规主体的范围随产业发展而有所扩展。合规主体的范围将不局限于APP,而将逐步扩展到智能手表、智能家电、IoT设备等;应用分发平台的判断以“分发”为导向,若在企业官网进行应用分发,企业官网也应当承担应用分发平台的信息明示义务;移动智能终端生产企业也将被纳入监管版图。

(3) 监管行业:监管部门对各个行业领域进行全局性持续关注,常态化APP侵害用户权益行动持续进行,且不时会针对特定行业进行集中查处。

(4) 查处重点:针对APP的查处重点大致可分为三种类型,即数据收集与使用、用户权益保障以及网络安全要求。覆盖前端用户展示与后端技术保障。监管部门会联合第三方监测机构对APP的网络安全保护情况进行监测,也要求企业从前端展示到后端保障进行义务的全面落实。此外,针对“违规弹窗”等新涌现的监管重点,合规主体还应以“用户需求”为导向进行APP的自检与优化,及时响应用户合理需求,实现产品用户感知升级。(史蕾 杨玥祺)

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。