在中国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务的主体适用《规定》。
第一类主体就是应用程序提供者,即提供信息服务的移动互联网应用程序所有者或者运营者。
应用程序信息服务是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。这个界定范围非常广,几乎囊括了各种基于应用程序可能提供的服务类型。
第二类主体就是应用程序分发平台,即提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。
相比于《旧规定》的内容,《规定》扩大了适用范围,将“互联网应用商店服务”改为了“互联网应用商店等应用程序分发服务”,此类服务是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。《规定》已将快应用、小程序以及浏览器插件纳入应用程序分发服务的范围内,明确了对此类新应用形态的监管依据。
又例如支付宝也会嵌入很多第三方程序,因此支付宝就会在隐私政策中明确告知用户,在第三方主体通过支付宝提供服务时,用户应仔细查看第三方的隐私政策(具体截图如下)。
2.哪些部门可以履行监管职责?
网信部门是主要的监管机构。《规定》指出国家网信部门负责全国应用程序信息内容的监督管理工作。地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。与此同时,网信部门还会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。
二、应用程序提供者的合规义务
1.提供信息发布、即时通讯等服务的应用程序应特别注意哪些合规要求?
此外,《个人信息保护法》指出为订立、履行个人作为一方当事人的合同;或为履行法定职责或法定义务所必需均属于独立的数据处理合法性基础,因此在某些场景下,基于实名认证的理由而收集某些类型的个人信息是无需获取用户同意的。
又例如在保险场景下,《中国银保监会办公厅关于印发融资性信保业务保前管理和保后管理操作指引的通知》中指出保险公司审核融资性保证保险业务时,要对履约义务人身份信息真实性进行验证。身份信息通过系统自动审核的,要设置有效的身份识别机制,保险公司可同时增加人脸识别方式。
2.提供互联网新闻信息服务的应用程序应特别注意哪些合规要求?
此类主体应当取得互联网新闻信息服务许可。禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。针对信息传播,《互联网信息服务算法推荐管理规定》还特别指出提供互联网新闻信息服务不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。
3.应用程序提供者应遵守哪些合规义务?
合规要点
具体要求
平台治理
管理规则
内容审核
合规经营
不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。
投诉举报
设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。
配合监管
应当对有关主管部门依法实施的监督检查予以配合,并提供必要的技术支持和协助。
数据保护
互联网协议
鼓励积极采用互联网协议第六版(IPv6)向用户提供信息服务。
数据安全
建立健全涉及全流程的数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测。
个人信息保护
未成年人保护
值得注意的是《规定》特别新增一个互联网协议的特殊条款,即鼓励采用互联网协议第六版(IPv6)向用户提供信息服务。
其实这并不是监管部门第一次提出此倡议,早在2017年,中共中央办公厅、国务院办公厅就印发了《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,其指出基于IPv4的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题,IPv6能够提供充足的网络地址和广阔的创新空间,是全球公认的下一代互联网商业应用解决方案,鼓励采用IPv6。之后,工信部、教育部、中国银行保险监督管理委员会等部门纷纷发布了推进此计划的落实意见,促进IPv6的部署。
IPv6是IETF(InternetEngineeringTaskForce)设计的用于替代现行主流使用的IPv4的下一代IP协议,鼓励使用IPv6可能是因为IPv6具有更大的地址空间,毕竟IPv4中的IP地址长度为32,最大地址个数为2^32;而IPv6中的IP地址长度为128,即最大地址个数为2^128。
此外,IPv6可能具有更高的安全性,因为用户在使用IPv6网络时可以对网络层的数据进行加密并对IP报文进行校验,IPv6默认支持IPSec协议,无需另行部署加密手段(如IPsecVPN等)即可实现数据加密传输。
左右滑动查看
4.应用程序提供者应在什么情形履行报告义务?
具体情形
处理方式
报告要求
注册用户出现违法违规行为
保存记录并向有关主管部门报告。
应用程序出现安全风险
按照规定及时告知用户并向有关主管部门报告。
5.具有舆论属性或者社会动员能力的新技术、新应用、新功能的应用程序应如何进行安全评估?
《规定》指出应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能应当按照国家有关规定进行安全评估。《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》进一步指出可自行实施,也可委托第三方安全评估机构进行评估。
具体执行时应重点评估对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况,并形成安全评估报告。
三、应用程序分发平台的合规义务
1.应用程序分发平台应如何落实备案义务?
应用程序分发平台应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。国家互联网信息办公室会向社会公布已经履行备案手续的应用程序分发平台名单以便核查。
2.应用程序分发平台应履行哪些合规义务?
阶段
应用程序上架前
身份核验
资质核验
评估核验
上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应对安全评估情况进行核验。
违规处理
对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不符,业务类型存在违法违规等情况,不得为其提供服务。
签订协议
应用程序上架后
信息公示
根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息。
内部管理
违规惩处
对有关主管部门依法实施的监督检查予以配合,并提供必要的技术支持和协助。
应用程序分发平台一定要在应用程序上架之前履行审核义务。
应用程序分发平台还要进行持续监测,并对违法违规行为及时予以处理。
四、总结
其次,《规定》进一步细化了应用程序提供者和应用程序分发平台的合规义务,为此两类主体分别设置了单独的章节来明确具体义务,要求其履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
再次,《规定》新增了积极配合国家实施网络可信身份战略的义务,并鼓励采用互联网协议第六版(IPv6)向用户提供信息服务。为实现网络可信身份战略,《规定》特别强调了应用程序提供者和应用程序分发平台对于用户的身份核验义务。
值得注意的是,IPv6也可以助力可信身份战略的落实,因为IPv4地址资源有限,所以经常会出现一个公网地址还需通过地址翻译(NAT)的方法被多台主机共用的情形,从而无法精准溯源,而IPv6的地址长达128位,其地址空间的容量很大,可为每个网络设备分配唯一的地址,在事后追溯时也可以实现更精准的身份定位。
最后,《规定》新增了监督管理这个独立的章节,明确要求应用程序提供者和应用程序分发平台设置醒目、便捷的投诉举报入口,并对有关主管部门依法实施的监督检查予以配合,并提供必要的技术支持和协助。
如有任何问题,请邮件联系我们:td_legal@tendcloud.com。