APP和应用商店合规最新法律法规
2022年6月14日国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,修订发布新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。《规定》在衔接现有数据安全和个人信息保护的相关法律规范的基础上,进一步明确了应用程序提供者和应用程序分发平台的义务和责任。
为了规范移动互联网应用程序信息服务,保护公民、法人和其他组织的合法权益,尤其是数据安全和个人信息保护方面,应用商店和APP的合规更具必要性。
2022年6月17日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》(以下简称新《指南》)并公开征求意见。
据悉,本文件起草单位有:中国移动通信集团有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京邮电大学、华为技术有限公司、OPPO广东移动通信有限公司、北京小米移动软件有限公司、北京百度网讯科技有限公司、北京字节跳动科技有限公司、中国网络空间研究院、深圳市腾讯计算机系统有限公司、北京快手科技有限公司、北京三快在线科技有限公司、维沃移动通信有限公司、公安部第三研究所、中国网络安全审查技术与认证中心。
该文件给出了应用商店运营者对App个人信息处理活动的审核与管理指南,适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
本文将主要以《规定》和《指南》的要求为指导,谈谈应用商店和APP合规要点,为应用商店运营者合规审核及为App运营者顺利进入应用商店提供合规参考。
一、App运营者合规要求:
1. 提交必要相关信息。
App运营者在申请进入应用商店时,应提交以下信息由应用商店运营者进行审核,对于未完整提交的,应用商店运营者宜拒绝App上架:
App相关信息 | 内容 |
App运营者信息 | App 运营者主体名称、App 运营者联系方式(如联系电话、联系邮箱 等,至少提供一种) |
App基本信息 | 包括名称、包名、版本号、更新日期、基本服务类型、安装文件(如APK文件) |
个人信息保护政策(即隐私政策) | 包括生效日期、全文文本、可查看全文的有效链接,面向 不满14周岁的未成年人提供服务的提交单独的未成年人个人信息保护政策 |
收集的个人信息范围 | 包括提供的服务类型、收集的个人信息类型(区分必要和可选个人信息)以及通过收集的个人信息所实现的业务功能或使用目的 |
申请的敏感系统权限列表 | 包括申请的敏感系统权限名称、相关业务功能/使用目的、用户可 否拒绝授权(如不可拒绝则说明用户拒绝授权的影响)、是否仅本地化使用 |
涉及收集个人信息的第三方SDK信息 | 包括名称、包名、SDK运营者名称、嵌入目的、SDK 收集的个人信息类型、SDK使用的敏感系统权限 |
2.App运营者基本信息合规自查
App运营者提交的基本信息及个人信息处理规则之前,应自查存在以下问题,否则可能无法通过应用商店运营者的审核:
a) App基本信息中涉及的服务类型与App实际提供的服务不相符;
b) App隐私政策链接无效、隐私政策未标注生效日期(如仅注明日期的视为生效日期);
c) App运营者联系方式无效;
d) 未明示收集的个人信息类型,未说明收集的必要性、通过收集的个人信息实现的相关服务或使用目的;
e) 未明示申请权限所实现的业务功能服务或使用目的、用户可否拒绝授权(如不可拒绝则说明用户拒绝授权的影响);
f) 未明示申请敏感系统权限时需同步告知的内容,未提交敏感系统权限申请时的屏幕截图;
g) 未明示嵌入的第三方SDK名称、包名、SDK运营者名称、嵌入目的、收集的个人信息类型、使用的敏感系统权限。
3.App个人信息处理活动合规自查
App运营者应自查App在个人信息处理活动中是否存在以下问题,应用商店运营者也应对以下问题进行验证:
a) 未在App首次运行时通过弹窗等明显方式提示用户阅读隐私政策、隐私政策存在默认勾选同意;
b) 处理敏感个人信息未单独进行声明,如获取生物识别(人脸、指纹等)、医疗健康、金融账户、 行踪轨迹等信息;
c) 收集的个人信息超出实现业务功能或使用目的最小必要的范围,存在强制收集非必要个人信息的情形;
d) 收集未在个人信息保护政策中声明的个人信息;
e) 强制要求用户一次性打开多个权限;
f) 在用户使用功能过程中,申请或者调用实现当前功能所必须权限的范围之外的其他权限;
g) 因用户不同意打开非必要权限或收集非必要个人信息而拒绝提供服务;
h) 存在用户拒绝授权或拒绝收集非必要个人信息后,频繁征求用户同意干扰用户正常使用的情况;注:“频繁”的形式包括但不限于:单个场景在用户拒绝授权后,48h内弹窗提示用户打开权限的次数超过1次;每 当用户重新打开App或使用无关的业务功能时,都会再次向用户索要授权或提示用户缺少相关授权。
i) 在申请权限或收集敏感个人信息时,未同步告知用户其目的,或者告知的目的与客户端实际情况不符;
j) 收集了未提供隐私政策中声称的功能相关的个人信息但未发现存在该功能;
k) 未向用户提供有效的查询、更正、删除以及撤回同意收集个人信息的途径;
l) 具有定向推送信息功能的,未向用户提供关闭定向推送信息的选项。
m) 具有注册账号功能的,未提供有效的用户账号注销功能,或者为注销用户账号设置不必要或者 不合理条件;
n) 向第三方传输包含个人信息的数据,但未在隐私政策中说明相关情形;
o) 首次打开App时,未告知用户并获得用户明示同意(如点击同意隐私政策等收集个人信息规则) 的情况下,就收集应用程序列表、用户唯一设备识别码(如Android ID)等个人信息;
p) 静默状态(包括后台运行)或自启动、被关联启动后,未向用户提供服务且未告知用户并获得 用户明示同意的情况下,读取用户公共存储空间数据(如相册、文件、录音等),或读取用户个人信息(如短信、联系人,通话记录、日历数据、传感器数据、位置信息、设备信息等);
q) 存在向其他个人信息处理者提供个人信息、公开等情形,未说明处理目的、涉及的个人信息类型、接收方名称等信息。
二、应用商店运营者合规要求:
1.应用商店运营者的审核管理流程
应用商店运营者审核管理App个人信息处理活动的流程见下图,主要包括App 进入应用商店前的个人信息处理活动审核和App进入应用商店后的个人信息安全管理。
针对新申请上架的App、存量App以及发生版本更新的App,应用商店运营者需对App个人信息 处理活动进行审核,并在App通过审核后对其进行上架;在App进入应用商店后,应用商店运营者需 对App个人信息处理活动进行安全管理,并在App存在主管、监管部门通报的违法违规个人信息处理 活动问题时对其采取督促整改、下架等措施。
应用商店APP审核流程
2. App 个人信息处理活动审核规则公示。应用商店运营者需制定App个人信息处理活动审核规则并公开发布,保证 App运营者和社会公众可便捷获取。
3. App 运营者提交待审核信息。应用商店运营者需在受理App进入应用商店的申请时,对App运营者所提交的App相关信息进行审核。对于未完整提交App相关信息的,应用商店运营者宜拒绝App上架。
4.1. App 个人信息处理活动审核验证
应用商店运营者需对App运营者提交的基本信息、个人信息处理规则进行审核,并对App个人信 息处理活动进行验证。对于经审核发现提交信息不完整、不准确,且在应用商店运营者反馈询问后仍未 在限定时间内(如5个工作日)给出反馈或合理理由的,或经验证发现存在个人信息处理活动问题的, 宜拒绝App上架请求。同时,应用商店运营者宜建立自动化处理能力,以提高审核和验证效率。
4.2 App 个人信息处理活动验证
应用商店运营者应针对App运营者的个人信息处理活动是否如前述合规,验证是否存在问题。
5.1 审核结果反馈与申诉处理
应用商店运营者宜记录 App 审核结果,重点记录未通过审核的情况,审核记录在审核发生之后保留至少6个月;宜向App运营者说明拒绝上架的理由,并为App运营者提供意见反馈渠道,及时受理App运营者对审核结果的异议申诉,与App运营者存在争议的可向有关监管部门寻求指导和咨询。
5.2 存量 App 与版本更新审核
对于已经进入应用商店的App,应用商店运营者在审核验证中发现存在问题的,需对其进行通知整改和处理,符合拒绝进入情形的,将其从应用商店中下架。应用商店中的App发生版本更新时,应用商店运营者宜按照进入平台程序对App更新版本进行审核。
6 App 进入应用商店后的个人信息安全管理
6.1 个人信息处理情况的展示
应用商店运营者宜在应用商店的App下载页面清晰、全面地展示和介绍以下App个人信息处理情况。
App下载页展示内容 | 内容 |
App运营者公开信息 | App运营者主体名称、App运营者联系方式(如联系电话、联系邮箱等)。 |
App基本信息 | App名称、App版本号、涉及的服务类型。 |
隐私政策 | 隐私政策链接、隐私政策生效日期。注:App下载页面支持用户下载可复制的隐私政策文本电子文档。 |
个人信息处理活动规则 | 1) 收集个人信息情况。包括个人信息类型(区分必要和可选个人信息)、相关业务功能或使用目的。 2) 系统权限申请情况。包括申请的系统权限名称(注明是否可拒绝)、相关业务功能或使用 目的。 3) 涉及到收集个人信息的第三方SDK情况。包括SDK名称、相关业务功能/使用目的、收集的个人信息类型和使用的系统权限。 |
快速举报通道 | 包括有关监管部门设立的个人信息问题投诉、举报渠道。注:举报通道的设计宜简便易操作,并将常见的个人信息处理问题设为选择项。应用商店宜在App下载页面采用菜单折叠、表格、链接等方式显著展示,方便用户下 载App时查阅参考。 |
7.1 个人信息安全相关标识
应用商店运营者宜通过设置不同颜色、形状图标等方式对App进行显著标识,帮助用户快速了解App个人信息处理活动情况,宜提供包括但不限于以下标识。
a) 认证标识:
1) 对通过个人信息保护、网络安全相关认证(如App安全认证)的App予以专属标识,并在展示、搜索时优先展示;
2) 对有关政务职能部门发布的,涉及社会民生领域的App进行“政务民生”标识,在展示时置 顶或设立专区展示,在适宜时按照用户搜索意图优先展示。
b) 负面信息标识:
1) 对近期(如1个月)被外界公开通报存在个人信息处理问题的App进行特殊标识;
2) 对近期(如1年内)曾因违法违规个人信息处理活动并不积极整改而导致下架的App进行 特殊标识;
3) 上述标识信息可包含次数、问题类型等要素,涉及的具体问题还可以点击链接等方式予以 展示;
4) 将同一App运营者提供的不同App的负面信息进行汇总,形成标识在App运营者的信息查 询界面予以展示;
5) 只展示3年内的负面信息数据。
c) 年龄标识:提供App运营者可自行选择年龄分级标识的功能。对于主要针对不满14周岁的未成 年人提供服务的App,用户点击标识后展示未成年人个人信息保护政策。应用商店宜根据App的版本变更不断更新标识,同时为App运营者提供关于标识的反馈渠道,对于标识不准确的,及时予以更新。
7.2 App 运营者管理
应用商店运营者宜指导督促App运营者提升个人信息保护的意识和能力,制定并公开发布App运营者管理制度,包括但不限于:
a) 在与App运营者签署的相关协议中,明确App运营者遵循合法、正当、必要、诚信原则开展 个人信息处理活动,履行个人信息安全的义务;
b) 制定App运营者禁入/退出管理制度(即黑名单制度),对于App运营者发布的 App多次未通 过审核的,可在一段时间内禁止其提交App上架申请;
c) 对不同App运营者在审核标准、展示样式等个人信息保护方面的要求遵循一致性原则,不根据 App 运营者身份、影响力、市场地位等因素,在其申请系统权限等方面提供默认开启等便 利条件;
d) 宜对App运营者的相关开发人员进行个人信息保护相关的培训和考核,以增进其对审核标准 和相关要求的理解。
7.4 日常监督与问题处置
应用商店运营者需对App个人信息处理活动进行日常监管,及时处理用户投诉举报和主管、监管 部门通报的个人信息处理问题,包括但不限于:
a) 根据下载量、举报记录、更新时间、历史违规记录等要素确定抽样审核的优先级,定期选取一 定比例的App进行日常抽查,抽查过程可参照第 6 章执行;
b) 设立便捷的渠道接收用户关于App个人信息处理问题的投诉举报,并对用户投诉举报的本平台App违法违规个人信息处理活动的问题,在5个工作日内向用户进行响应,使用户确认其举报 已被接收受理;
c) 经核验用户反映问题属实的,督促App运营者在15个工作日内进行整改,拒不整改或者未在规 定时间内按照要求整改的,予以下架处置;
d) 定期(如每季度)对典型举报问题、App审核情况、问题App处置情况进行汇总分析并形成报 告上报;
e) 对于App上架审核过程中发现的个人信息处理问题,且App运营者未能如期完成整改并上架 的,定期将名单和问题上报;
f) 对于App存量审核过程中发现的个人信息处理问题,App运营者未能如期完成整改且未能在 限定时间内自行下架的,予以下架处置,并定期将名单和问题上报;
g) 对于App下架并停止运营旧版本,重新上架新版本且名称、App运营者信息等变更,但延续 使用用户注册信息等数据提供服务的,要求App进行申报,未主动申报的,进行记录并予以 警告;
h) 对主管、监管部门通报的存在违法违规个人信息处理问题的App,配合采取督促整改、下架等措施。
总结
综上,根据《规定》和《指南》要求,应用程序提供者(App运营者)和应用程序分发平台(应用商店)应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
应用程序提供者和应用程序分发平台应当按照新《规定》和《指南》要求,切实履行责任和义务,依照相关法律法规加强自身管理,主动接受社会监督,不断促进应用程序信息服务健康有序发展。
收集整理:韦宇
| 留言与评论(共有 0 条评论) “” |
