APP、小程序等作为移动互联网时代最核心的应用,一直是监管部门在个人信息保护领域的重点监管对象。本文针对2023年度APP、小程序等治理和监管进行了全景梳理,以期为相关企业在数据治理和合规应对中提供帮助和启示。

作者丨蔡鹏 高维钊 陈雨婕

一、引言

根据有关数据显示[1],2023年中国移动互联网用户总规模达到12.27亿。中国几乎所有的行业和人群均被移动互联网无缝覆盖。而APP、小程序等作为移动互联网时代最核心的应用,一直是监管部门在个人信息保护领域的重点监管对象。本文针对2023年度APP、小程序等治理和监管进行了全景梳理,试图从监管部门的执法中,梳理有关合规重点和企业应对方案,并进一步分析移动互联网产业数据保护的趋势,以期为相关企业的数据治理和合规应对提供帮助和启示。

二、监管框架

近年来,监管部门已建立了一套“事前(备案)-事中(检查)-事后(通报)”的APP治理全流程监管路径:

• 事前监管-备案。2023年8月4日,监管部门针对APP事前备案做出了进一步的规定,发布《关于开展移动互联网应用程序备案工作的通知》(工信部信管〔2023〕105号,简称“《APP备案通知》”),以规范APP、小程序上线前备案事宜。

• 事中监管-检查。自2019年1月起,监管部门接连发布《关于开展APP违法违规收集使用个人信息专项治理的公告》《关于开展APP侵害用户权益专项整治工作的通知》《关于开展纵深推进APP侵害用户权益专项整治工作的通知》(工信部信管函〔2020〕164号,简称“164号文”)《关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)以及《关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号,简称“26号文”),以开展APP专项治理活动。

• 事后监管-通报。违规APP(SDK)侵犯用户权益行为的通报,已成为监管部门最常用的监管手段。

三、APP违规通报全景回顾

由于事前监管和事中监管均有明确的法律依据,有关流程趋向成熟。而APP事后监管则呈现出多样化、多维度和多层级治理之势。据此,本文重点对2023年度发生的APP事后监管特点进行梳理。

1. 监管部门通报特点

(1)工信部门为违规APP通报主要监管部门

通过梳理监管通报我们很容易发现,工信部门是违规APP监管通报的主力军。无论是工信部还是地方通管局,违规APP通报成为了监管部门的日常活动,通常每月会发布一批违规APP通报。在工信部层面,2023年共计通报9批次违规APP(SDK),在地方通管局层面,以浙江为例共计通报12批次违规APP。

在网信层面,网信部门作为个人信息保护工作的统筹协调部门,在过去的一年中很少发布针对违规APP的通报,仅浙江网信办在2023年11月集中通报了156款浙江属地的违规APP。虽然网信部门未开展常规违规APP的通报工作,但是网信部门针对APP的违规检测行为也在持续开展。国家网信办下属单位中国网络空间安全协会持续针对各类APP个人信息收集情况进行测试,并将测试结果公开发布。我们可以预测,网信部门在后续亦有可能通过违规通报的方式开展APP的监管工作。

(2)国家和地方层面关注的产品形态不同

在通报的违规产品形态方面,APP、小程序和SDK均是监管部门关注的产品形态。通过梳理我们发现,国家和地方层面的监管部门关注产品形态的重点不同。

• 在国家层面,自2022年第一批监管通报开始,工信部已针对SDK违规收集用户信息进行了专项检测,并针对违规情形对外通报。

• 在地方层面,北京、浙江重点关注APP的合规,其通报的违规产品为全部为APP产品,而上海、广东两地通报的产品形态既包括APP也包括微信小程序。目前地方层面尚未针对SDK进行重点关注。

(3)各地监管部门通报违规APP流程不同

通过监管部门发布的通报的内容中也可以看出,在国家和地方层面对于通报违规APP的流程也有所不同。

• 在国家层面,根据工信部发布的通报内容,我们发现监管通常会先圈选一部分群众关注的特定类型的APP、SDK以及小程序,如第三方机构检测发现侵犯用户权益行为,即予以通报,被通报的APP、SDK以及小程序应按照要求整改。

• 在地方层面,根据北京和广东的通报内容可以发现,在违规APP被通报前,监管部门会要求相关产品进行整改,如未整改或未按照要求整改的,则可能被通报,如被通报后仍不整改的,则会被进一步通报下架。

2. 工信部及重点地方通管局通报内容梳理

本部分重点梳理了工信部以及互联网企业较为活跃的地方通管局(北京、上海、广东、浙江)的全部通报内容,从不同维度、不同特点对典型违规行为、常见违规APP类别等进行数据分析,以可视化的方式展现2023年度违规APP通报重点内容。

(1)工信部

a. 通报的APP(SDK)、小程序数量梳理

从工信部对外公开发布的信息来看,工信部在2023年共计通报9批次存在侵害用户权益行为的APP(SDK)及小程序,累计292款,涉及229款APP、19款小程序以及44款SDK。

从通报的APP、SDK和小程序的数量来看,APP虽然仍是监管的重点对象,但同时SDK也逐步成为工信部的监管重点。

点击可查看大图

b. 违规情形梳理

在通报的存在侵害用户权益行为的APP(SDK)及小程序中,共计通报了19类违规行为,其中强制、频繁、过度索取权限是被通报最多的违规情形,远超其他的违规行为。除了权限问题外,违规收集个人信息,欺骗误导强迫用户以及超范围收集个人信息也是常见的侵犯用户权益的违规行为。

点击可查看大图

(2)北京通管局

a. 通报、下架的APP数量梳理

从北京通管局对外公开发布的信息来看,北京通管局在2023年共计通报11批次存在侵害用户权益行为的APP,累计通报150款APP、下架70款APP。其中,被通报后并未按照要求完成整改,从而被下架的APP多达67款。

点击可查看大图

b. 违规情形梳理

在通报的存在侵害用户权益行为的APP中,共计通报了22类违规行为,通报次数最多的违规行为包括未经用户同意收集使用个人信息,应用数据任意备份风险,违反必要原则收集个人信息,未明示收集使用个人信息的目的、方式和范围以及APP频繁自启动和关联启动。

此外,较之其他的地方通管局,北京通管局通报的违规行为更加细致和丰富,除了164号文列明的整治内容外,还包括安全Janus签名机制漏洞、Webview远程代码执行漏洞、zip文件解压目录遍历漏洞、开屏弹窗信息骚扰用户、威胁数据安全问题以及未移除有风险的Webview系统隐藏接口漏洞等涉及技术安全的问题。

点击可查看大图

(3)上海通管局

a. 通报的APP数量梳理

从上海通管局对外公开发布的信息来看,上海通管局在2023年共计通报4批次未按照要求整改APP及小程序,累计91款,涉及69款APP、22款小程序。

点击可查看大图

b. 违规情形梳理

在通报的未按照要求整改的APP及小程序中,共计通报了11类违规行为,通报次数最多的违规行为包括违规收集个人信息,APP强制、频繁、过度索取权限以及未明示个人信息处理规则。值得关注的是,上海通管局特别关注了响应用户投诉以及行权问题,在2023年通报了未承诺投诉处理时效以及未及时响应用户诉求的违规行为。

点击可查看大图

(4)广东通管局

从广东通管局对外公开发布的信息来看,广东通管局在2023年共计通报8批次未按照要求整改的APP及小程序,累计321款,以及7批次要求下架的APP及小程序,累计128款。

点击可查看大图

a. 未按照要求整改的APP及小程序通报数据梳理

在通报的未按照要求整改的APP及小程序中,共计9类违规行为被通报,其中:

• 在违规APP中最为常见的违规行为体现为违规收集个人信息、违规索取权限以及频繁自启动和关联启动;

• 在违规小程序中最为常见的违规行为体现为违规收集个人信息、APP强制、频繁、过度索取权限以及账号注销难的问题。

点击可查看大图

b. 要求下架的APP通报数据梳理

在通报的要求下架的APP及小程序中,共计通报了8类违规行为。要求下架的APP及小程序通常是在前一批次已经通报过,但仍未按要求整改的APP及小程序。

从数据中也可以看出,APP及小程序难以整改的突出问题仍集中在违规收集个人信息、违规索取权限以及频繁自启动和关联启动上。

点击可查看大图

(5)浙江通管局

从浙江通管局对外公开发布的信息来看,浙江通管局在2023年累计通报了12批次的违规APP,累计171款,以及1个批次要求下架的APP,共计42款。值得特别关注的是,浙江通管局在通报过程中,会将APP进行分类。通过分析可以发现,浙江通管局针对APP的分类主要依据《常见类型移动互联网应用程序必要个人信息范围规定》中常见APP的分类。

a. 以APP类型为维度

在2023年,浙江通管局通报了27类常见APP的违规行为,其中:

• 被通报的违规APP中,实用工具类、网上购物类、即时通信类APP数量最多,占总通报APP数量约45%。此外,在北京通管局通报的违规APP的类别中,学习教育类违规APP的数量最多,而在上海通管局通报的APP类型以网络游戏类和房屋租售类APP居多。从通报的APP类型可以看出各地通管局针对不同类型APP的关注度的差异。

• 有5大类型的APP被通报超过了10款产品,包括实用工具类、网上购物类、即时通信类、学习教育类以及网络社区类APP。

点击可查看大图

b. 以常见违规行为为维度

在通报的未按照要求整改的APP中,共计9类违规行为被通报。从数据中也可以看出,违规收集个人信息、违规使用个人信息、超范围收集个人信息、违规索取权限以及频繁自启动和关联启动为最常见的违规行为。

点击可查看大图

c. 下架的APP

在通报的要求下架的APP中,共计通报了5类违规行为。从数据中也可以看出,违规收集个人信息、违规索取权限是最难以完成整改的典型违规行为。

点击可查看大图

四、APP典型违规行为合规启示

1. 违规处理个人信息的典型行为与合规启示

在个人信息处理全生命周期中,工信部和地方通管局均关注的违规行为包括:违规收集个人信息、超范围收集个人信息、收集个人信息明示告知不到位、违规处理个人信息(含开展自动化决策)、违规向他人提供个人信息、强制用户使用定向推送功能等。

据此,我们根据上述关注重点,结合法律法规的要求以及实践经验,作出合规提示如下:

点击可查看大图

2. 侵害用户权益的典型行为与合规启示

在用户权益保障方面,工信部和地方通管局关注的违规行为包括:过度索取权限,APP频繁自启动和关联启动,违规互联网弹窗信息推送服务,未公布个人信息安全投诉、举报渠道、欺骗误导用户下载APP,欺骗误导用户提供个人信息、未提供注销功能等;

基于此,我们结合法律法规的要求以及实践经验,作出合规提示如下:

点击可查看大图

3. APP信息明示缺位的合规建议

26号文明确提出应用分发平台需加强对APP的动态巡查,确保公示信息真实准确,对与公示信息不一致的违规APP,应当停止提供服务。从该规定来看,虽然其是针对应用分发平台的义务,但也暗含了APP运营者的合规义务,即应当确保其在应用分发平台上公示的信息是真实准确的。

从工信部的通报来看,应用分发平台上的APP信息明示不到位仍是重点关注的违规行为。根据《APP用户权益保护测评规范第9部分:移动应用分发平台信息展示》,应用分发平台上的APP信息明示应满足如下要求:

• 移动应用分发平台应对在架APP进行全量公示,展示全部在架APP的信息;

• 移动应用分发平台下载页面所明示APP的名称应与下载安装后的APP名称一致;

• 移动应用分发平台应显著明示所分发APP真实完整有效的开发者或运营者信息;

• 移动应用分发平台明示的APP开发者或运营者信息应与APP的隐私政策或用户协议等自声明中的开发者或运营者信息一致;

• 移动应用分发平台应显著明示所分发APP的版本信息;

• 移动应用分发平台下载页面应明示所分发APP的安装及运行所需权限列表及用途;

• 移动应用分发平台下载页面应明示所分发APP的个人信息处理规则;

• 移动应用分发平台下载页面应明示所分发APP的产品功能。

我们建议,APP运营者可参考前述具体要求,核验其在应用分发平台展示的具体内容,确保已展示了APP运行所需权限列表及用途,APP收集、使用用户个人信息的内容、目的、方式和范围等内容。

五、2024年APP治理监管趋势展望

从2023年的有关执法监管来看,APP个人信息违规仍是个人信息保护违规行为的高发场景。随着移动互联网的高速发展,搭配不同商业模式的APP层出不穷,因此我们预测,2024年APP合规仍会成为监管部门的重点关注对象。

我们结合实务经验,针对2024年APP治理监管趋势预测如下:

第三方SDK会引发监管部门更强关注:工信部自2022年起已经开展了针对违规SDK的通报,在2023年的违规SDK通报数量较2022年亦有所提升。SDK作为APP重要组成开发工具之一,在APP开发和运营过程中被APP运营者越来越广泛使用,SDK合规不仅应成为SDK运营者需要关注的合规事项,且APP运营者对其接入的第三方SDK的数据合规相关情况也应重点关注。

APP/小程序违规可能引发个人信息保护委托审计:我们预计2024年个人信息合规审计制度可能落地。而委托审计作为合规审计的“执法版”,将会对企业造成不小影响。我们认为APP通报作为监管部门监管抓手,亦有相当概率成为触发委托审计的事由。

小程序等轻量化产品愈发受到监管关注:虽然在监管部门的通报中小程序所占的比例不高,但当前诸多平台类的APP均发展开放了小程序,因此小程序已经逐步成为了互联网企业业务发展的重要载体。此外,安卓系统的终端设备还允许开发者开发“快应用”等轻量化的产品。我们有理由相信,小程序、快应用等轻量化的产品的个人信息保护问题亦将会被强化。

监管部门可能按照常见APP分类进行APP分类监管:在过去的一年中,中国网络空间安全协会先后发布多个常见APP类型的个人信息收集情况测试报告。实践中,APP运营者也多以同行业头部APP合规水位为参考,开展自身APP合规工作。同时,我们经过梳理也可以发现,不同类别的APP所展现的个人信息违规行为也各有不同。因此,将APP进行分类监管将成为监管部门主要工作方式之一。

APP、小程序的备案监管将持续加强:2023年,APP、小程序备案工作拉开序幕。根据《关于开展移动互联网应用程序备案工作的通知》(工信部信管〔2023〕105号),2024年3月以前存量APP需履行完成备案手续;6月以前,工信部门组织开展APP备案检查工作;7月以后,APP备案监管将成为常态化工作。因此我们预测,2024年,APP、小程序备案将成为监管部门的工作重点。

应用分发平台的合规需被重视:工信部26号文针对应用分发平台的合规问题专门进行了规定。虽然在过去的通报中应用分发平台的违规通报集中在“应用分发平台上的APP信息明示不到位”的行为,且数量不多,然而应用分发平台作为APP等应用程序分发的载体,监管部门有理由更为关切其合规情况。

六、结语

从2019年开始,我国就逐步形成了多维度、多层次的APP监管体系。在法律体系逐步完善的同时,监管部门持续发力,对于APP/小程序等的事后监管愈发细致与严格。在移动互联网的话语体系下,在绝大部分的商业模式均需要使用APP、小程序、SDK等并加载其服务的情况下,我们建议有关企业应当对数据保护有更加积极主动的行动方案,不断提升自身数据和隐私保护水平,做到心中有“数”。

[注]

[1] QuestMobile2023中国移动互联网年度报告

作者简介

蔡鹏 律师

北京办公室 合伙人

业务领域:网络安全和数据保护,知识产权权利保护,合规和调查

行业领域:电信和互联网,信息和智能技术,医疗健康

高维钊

北京办公室 知识产权部

陈雨婕

北京办公室 知识产权部

特别声明

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。