近期App的監(jiān)管不斷加碼。國(guó)家網(wǎng)信辦持續(xù)通報(bào)app違法違規(guī)收集使用個(gè)人信息情況。2021年5月1日，《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》正式生效；4月份，工業(yè)和信息化部信息通信管理局與信安標(biāo)委，分別就《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》，《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）SDK安全指南（征求意見稿）》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）個(gè)人信息安全測(cè)評(píng)規(guī)范（征求意見稿）》等標(biāo)準(zhǔn)征求意見。

近年來，App成為個(gè)人信息監(jiān)管的重點(diǎn)。有關(guān)部門制定了大量的規(guī)范與標(biāo)準(zhǔn)，多個(gè)部門持續(xù)展開專項(xiàng)檢查，并設(shè)立舉報(bào)機(jī)制，意圖對(duì)App個(gè)人信息的收集與處理進(jìn)行規(guī)制。

App監(jiān)管相關(guān)的9個(gè)相關(guān)問題：

1、小程序是否屬于App？

微信小程序、支付寶小程序均屬于App的范疇，需要遵守App監(jiān)管的要求。根據(jù)《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》，App包括移動(dòng)智能終端預(yù)置、下載安裝的應(yīng)用軟件，基于應(yīng)用軟件開放平臺(tái)接口開發(fā)的、用戶無需安裝即可使用的小程序。從工信部過往的檢查記錄來看，在2021年第3批檢查中，就有草料二維碼的小程序因?yàn)檫`規(guī)收集個(gè)人信息被要求整改。

2、App多大可能會(huì)被抽檢？不合規(guī)有哪些法律后果？

被抽檢的概率非常高。從2019年到2021年1月，工信部一共實(shí)現(xiàn)對(duì)62萬款A(yù)PP的技術(shù)檢測(cè)工作，責(zé)令2234款違規(guī)APP進(jìn)行整改，公開通報(bào)了500款、下架了132款整改不到位、拒不整改的APP。

在2021年，監(jiān)管機(jī)構(gòu)的目標(biāo)是形成全年檢測(cè)180萬款的覆蓋能力。因此，App被抽檢已經(jīng)成為一種必然趨勢(shì)，需要以最高標(biāo)準(zhǔn)開展App的合規(guī)工作。

App如果存在個(gè)人信息保護(hù)的問題，可能面臨警告、最高100萬元的罰款或（和）App下架。在最新發(fā)布的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》中，擬進(jìn)一步完善了不合規(guī)App的處置措施：

3、只有App運(yùn)營(yíng)企業(yè)才需關(guān)注App合規(guī)嗎？

在《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》中，不僅關(guān)注APP開發(fā)運(yùn)營(yíng)者，還為APP分發(fā)平臺(tái)、APP第三方服務(wù)提供者（SDK開發(fā)商）、移動(dòng)智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者設(shè)定了不同的法律義務(wù)，涵蓋了完整的APP數(shù)據(jù)鏈路。因此，監(jiān)管部門擬對(duì)App打造完整的合規(guī)鏈條。

4、App開發(fā)運(yùn)營(yíng)者有哪些合規(guī)責(zé)任？

開發(fā)運(yùn)營(yíng)者是App合規(guī)最為重要的主體，直接決定了App的開發(fā)運(yùn)營(yíng)模式，在App產(chǎn)品層面，開發(fā)運(yùn)營(yíng)者需要關(guān)注以下內(nèi)容：

除了以上關(guān)于個(gè)人信息保護(hù)的基本要求，此次征求意見的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》還擬從管理與產(chǎn)品設(shè)計(jì)層面提出了嶄新的合規(guī)要求，這些合規(guī)要求有些可能會(huì)更原則性一些，需要機(jī)構(gòu)進(jìn)一步將合規(guī)要求落地。

5、App設(shè)計(jì)“告知-同意”是否有什么特殊之處？

在“告知-同意”的框架下我一直認(rèn)為：“若拒絕不自由，則同意無意義”。因此保障用戶“不同意”的選擇權(quán)才是確?！巴狻庇行У奈ㄒ煌緩?。

《民法典》要求“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理”，在此基礎(chǔ)上再踐行“告知-同意”的基本規(guī)則。而在App領(lǐng)域，對(duì)“必要”的界定更為細(xì)化。在《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》中，對(duì)面向消費(fèi)測(cè)（如外賣平臺(tái)面向消費(fèi)者的App，而非面向騎手的App）的個(gè)人信息獲取設(shè)置了范圍。

區(qū)分“必要個(gè)人信息”與“非必要個(gè)人信息”的意義在于：如果消費(fèi)者不提供“必要信息”，App開發(fā)運(yùn)營(yíng)者可以拒絕提供服務(wù)；但如果消費(fèi)者不提供“非必要信息”，則App開發(fā)運(yùn)營(yíng)者不得拒絕提供服務(wù)。該規(guī)定對(duì)App的穩(wěn)定運(yùn)行提出了較高的要求，機(jī)構(gòu)可能需要大刀闊斧地對(duì)App的權(quán)限索取、產(chǎn)品邏輯進(jìn)行優(yōu)化，否則可能無法達(dá)到法規(guī)的要求。比如對(duì)拍攝美化類App，要求無須個(gè)人信息，即可使用拍攝、美顏、濾鏡等基本功能服務(wù)；學(xué)習(xí)教育類App的必要個(gè)人信息僅包括注冊(cè)用戶移動(dòng)電話號(hào)碼，除此以外均為非必要個(gè)人信息。

當(dāng)然，《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》也不應(yīng)被機(jī)械適用，除了該規(guī)定中所列舉的個(gè)人信息以外，其他因履行法律義務(wù)所必須的個(gè)人信息仍然可以作為提供服務(wù)的前提。如該規(guī)定網(wǎng)絡(luò)游戲類別僅將移動(dòng)電話號(hào)碼列為必要個(gè)人信息，但網(wǎng)絡(luò)游戲需要對(duì)用戶年齡進(jìn)行收集，判斷用戶是否是未成年人，因此年齡信息也屬于必要個(gè)人信息。

6、App分發(fā)平臺(tái)有什么義務(wù)？

App分發(fā)平臺(tái)需要承擔(dān)部分治理的責(zé)任，即需要對(duì)自己平臺(tái)內(nèi)的App進(jìn)行一定程度的管理，這就要求App分發(fā)平臺(tái)建立相應(yīng)的制度與流程。

具體包括：

7、APP第三方服務(wù)提供者有什么義務(wù)？

自去年以來，通過SDK等渠道向第三方共享個(gè)人信息成為監(jiān)管的重點(diǎn)。根據(jù)我們的追蹤，我們發(fā)現(xiàn)大量的App開發(fā)運(yùn)營(yíng)者在自己的隱私政策中將所使用的SDK一一列明。對(duì)于提供推送、統(tǒng)計(jì)、地圖等服務(wù)的第三方服務(wù)提供者來說，應(yīng)當(dāng)關(guān)注以下合規(guī)義務(wù)：

在2020年11月，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)（TC260）發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）使用軟件開發(fā)工具包（SDK）安全指引移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）使用軟件開發(fā)工具包（SDK）安全指引》（“《SDK安全指引》”），意圖對(duì)SDK的合規(guī)使用提供清晰的指引。

為了應(yīng)對(duì)SDK的相關(guān)風(fēng)險(xiǎn)，《SDK安全指引》從App提供者、SDK提供者的角度進(jìn)行了風(fēng)險(xiǎn)防控：

8、移動(dòng)智能終端生產(chǎn)企業(yè)需要做哪些合規(guī)措施？

伴隨著近期蘋果調(diào)整隱私策略，影響到整個(gè)互聯(lián)網(wǎng)廣告行業(yè)，移動(dòng)智能終端生產(chǎn)企業(yè)對(duì)App合規(guī)的影響越來越大。小米在MIUI內(nèi)設(shè)置的一系列個(gè)人信息保護(hù)功能讓App的個(gè)人信息收集無所遁形，而這樣的策略將會(huì)被越來越多移動(dòng)智能終端生產(chǎn)企業(yè)采用。

9、網(wǎng)絡(luò)接入服務(wù)提供者有什么義務(wù)？

網(wǎng)絡(luò)接入服務(wù)提供者的義務(wù)是此次征求意見稿的亮點(diǎn)之一，突破了以往的App處罰措施。

網(wǎng)絡(luò)接入服務(wù)提供商是最貼近物理層的App相關(guān)方，主要承擔(dān)核驗(yàn)App開發(fā)運(yùn)營(yíng)者的真實(shí)身份核驗(yàn)以及應(yīng)監(jiān)管部門要求停止接入的義務(wù)，這是此前并未設(shè)置過的處罰措施。

對(duì)于海外機(jī)構(gòu)運(yùn)營(yíng)的App，因?yàn)樵谥袊?guó)境內(nèi)可能沒有運(yùn)營(yíng)實(shí)體，也沒有在國(guó)內(nèi)的應(yīng)用商店下架，因此傳統(tǒng)的處罰措施可能威懾有限，但斷開接入可以直接適用于對(duì)此類App進(jìn)行處罰，極大拓展了我國(guó)法律的適用范圍。