深度解析｜新版《移动互联网应用程序信息服务管理规定》-技术圈

为了规范移动互联网应用程序信息服务，保护公民、法人和其他组织的合法权益，国家互联网信息办公室早在2016年就发布了《移动互联网应用程序信息服务管理规定》（以下简称“《旧规定》”）。但随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律相继生效并实施，为了实现与相关法律法规的有效衔接，《旧规定》也需要进行相应的修订。

因此，国家互联网信息办公室近日发布了《移动互联网应用程序信息服务管理规定》（以下简称“《规定》”），其将于2022年8月1日起施行，《旧规定》同时废止。《规定》在衔接现有数据安全和个人信息保护的相关法律规范的基础上，进一步明确了应用程序提供者和应用程序分发平台的义务和责任。

一、适用范围

1.《规定》适用于哪些主体？

在中国境内提供应用程序信息服务，以及从事互联网应用商店等应用程序分发服务的主体适用《规定》。

第一类主体就是应用程序提供者，即提供信息服务的移动互联网应用程序所有者或者运营者。

应用程序信息服务是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。这个界定范围非常广，几乎囊括了各种基于应用程序可能提供的服务类型。

第二类主体就是应用程序分发平台，即提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

相比于《旧规定》的内容，《规定》扩大了适用范围，将“互联网应用商店服务”改为了“互联网应用商店等应用程序分发服务”，此类服务是指通过互联网提供应用程序发布、下载、动态加载等服务的活动，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。《规定》已将快应用、小程序以及浏览器插件纳入应用程序分发服务的范围内，明确了对此类新应用形态的监管依据。

目前很多平台会嵌入第三方小程序、快应用等，其也具备独立收集用户个人信息的功能。例如微信中就有很多第三方的小程序，因此微信在《微信小程序平台运营规范》中的第5.12条指出，微信小程序在采集用户数据之前，必须确保经过用户同意，并向用户如实披露数据用途、使用范围等相关信息。

又例如支付宝也会嵌入很多第三方程序，因此支付宝就会在隐私政策中明确告知用户，在第三方主体通过支付宝提供服务时，用户应仔细查看第三方的隐私政策（具体截图如下）。

2.哪些部门可以履行监管职责？

网信部门是主要的监管机构。《规定》指出国家网信部门负责全国应用程序信息内容的监督管理工作。地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。与此同时，网信部门还会同有关主管部门建立健全工作机制，监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。

二、应用程序提供者的合规义务

1.提供信息发布、即时通讯等服务的应用程序应特别注意哪些合规要求？

此类主体应特别注意履行身份信息核验义务。提供信息发布、即时通讯等服务的，应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息，或者冒用组织机构、他人身份信息进行虚假注册的，不得为其提供相关服务。此条款与《网络安全法》第二十四条的规定是一致的。

此外，《个人信息保护法》指出为订立、履行个人作为一方当事人的合同；或为履行法定职责或法定义务所必需均属于独立的数据处理合法性基础，因此在某些场景下，基于实名认证的理由而收集某些类型的个人信息是无需获取用户同意的。

《信息安全技术个人信息告知同意指南》在无需获取用户同意的情形中进一步指出，例如为履行相关法律法规规定的反洗钱监管要求而收集实名身份信息属于履行法定义务；网络租房平台为实现其基本功能与用户签订租房合同，收集用户的实名信息、手机号码等个人信息属于履行合同所必需的情形，无需获取同意。

但是为了身份核验的目的而收集处理个人信息依然要满足最小必要的原则，不能基于此目的无限制的收集个人信息。建议相关企业优先选择《规定》列举的电话号码、身份证件号码或者统一社会信用代码来核验身份。

收集人脸信息来核验身份需要具体场景具体分析，例如在物业场景下，《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中特别指出如果业主不同意物业以人脸识别作为出入物业服务区域的唯一验证方式，可以要求提供其他合理验证方式。

又例如在保险场景下，《中国银保监会办公厅关于印发融资性信保业务保前管理和保后管理操作指引的通知》中指出保险公司审核融资性保证保险业务时，要对履约义务人身份信息真实性进行验证。身份信息通过系统自动审核的，要设置有效的身份识别机制，保险公司可同时增加人脸识别方式。

2.提供互联网新闻信息服务的应用程序应特别注意哪些合规要求？

此类主体应当取得互联网新闻信息服务许可。禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。针对信息传播，《互联网信息服务算法推荐管理规定》还特别指出提供互联网新闻信息服务不得生成合成虚假新闻信息，不得传播非国家规定范围内的单位发布的新闻信息。

《互联网新闻信息服务管理规定》进一步指出互联网新闻信息服务提供者转载新闻信息，应当转载中央新闻单位或省、自治区、直辖市直属新闻单位等国家规定范围内的单位发布的新闻信息，注明新闻信息来源、原作者、原标题、编辑真实姓名等，并保证新闻信息来源可追溯。

3. 应用程序提供者应遵守哪些合规义务？

合规要点		具体要求
平台治理	管理规则	制定并公开管理规则，与注册用户签订服务协议，明确双方相关权利义务。
	内容审核	建立健全信息内容审核管理机制，建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施，配备与服务规模相适应的专业人员和技术能力；对信息内容呈现结果负责，不得生产传播违法信息，自觉防范和抵制不良信息。
	合规经营	不得通过虚假宣传、捆绑下载等行为，通过机器或者人工刷榜、刷量、控评等方式，或者利用违法和不良信息诱导用户下载。
	投诉举报	设置醒目、便捷的投诉举报入口，公布投诉举报方式，健全受理、处置、反馈等机制，及时处理公众投诉举报。
	配合监管	应当对有关主管部门依法实施的监督检查予以配合，并提供必要的技术支持和协助。
数据保护	互联网协议	鼓励积极采用互联网协议第六版（IPv6）向用户提供信息服务。
	数据安全	建立健全涉及全流程的数据安全管理制度，采取保障数据安全技术措施和其他安全措施，加强风险监测。
	个人信息保护	遵循合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则，规范个人信息处理活动，采取必要措施保障个人信息安全；遵守必要个人信息范围的有关规定，不得以任何理由强制要求用户同意非必要的个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。
	未成年人保护	坚持最有利于未成年人的原则，履行未成年人网络保护各项义务，严格落实未成年用户账号真实身份信息注册和登录要求，不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务，不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。

针对平台治理，很多应用程序提供者已经制定了平台管理规则并予以公布。例如淘宝设置了专门的网页来展示淘宝的相关规则，如《淘宝直播营销准入基础规则》、《淘宝网市场管理与违规处理规范》、《淘宝网退店规范》、《淘宝儿童类商品行业规范》等。同时，淘宝还发布了有相关的规则解读文件和视频来帮助注册用户更好的了解平台规则，并特别设置了实时更新的违规公示界面（具体截图如下）。

针对数据保护，《规定》提出的相关要求其实与《数据安全法》、《个人信息保护法》的内容都是一致的。《规定》特别强调了个人信息收集的必要性，不得因用户拒绝提供非必要个人信息，而拒绝用户使用其基本功能服务。

建议应用程序提供者依据《常见类型移动互联网应用程序必要个人信息范围规定》，参考《信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》等相关标准中披露的常见应用程序类型的基本功能服务和必要个人信息范围来进行自查，且不得因用户不同意收集非必要个人信息，而拒绝用户使用应用程序基本功能服务。

综合相关的重要规范标准，APP最小必要个人信息范围的判定参考图如下：

值得注意的是《规定》特别新增一个互联网协议的特殊条款，即鼓励采用互联网协议第六版（IPv6）向用户提供信息服务。

其实这并不是监管部门第一次提出此倡议，早在2017年，中共中央办公厅、国务院办公厅就印发了《推进互联网协议第六版（IPv6）规模部署行动计划》的通知，其指出基于IPv4的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题，IPv6能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用解决方案，鼓励采用IPv6。之后，工信部、教育部、中国银行保险监督管理委员会等部门纷纷发布了推进此计划的落实意见，促进IPv6的部署。

IPv6是IETF（Internet Engineering Task Force）设计的用于替代现行主流使用的IPv4的下一代IP协议，鼓励使用IPv6可能是因为IPv6具有更大的地址空间，毕竟IPv4中的IP地址长度为32，最大地址个数为2^32；而IPv6中的IP地址长度为128，即最大地址个数为2^128。

此外，IPv6可能具有更高的安全性，因为用户在使用IPv6网络时可以对网络层的数据进行加密并对IP报文进行校验，IPv6默认支持IPSec协议，无需另行部署加密手段（如IPsec VPN等）即可实现数据加密传输。

针对未成年人保护，应用程序提供者应特别注意账号实名注册和登录的要求，并针对此类主体设置相关的限制措施来防止用户沉迷。

尤其是针对游戏领域，国家新闻出版署在发布的《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》中明确指出所有网络游戏企业仅可在周五、周六、周日和法定节假日每日20时至21时向未成年人提供1小时服务，其他时间均不得以任何形式向未成年人提供网络游戏服务。

在实践中，例如腾讯已经建立了未成年人家长服务平台，家长登录后可以管理未成年人使用腾讯游戏账号的行为，即家长申请后，腾讯可向家长提供其申请的未成年人微信或QQ游戏账号的游戏时长数据以及采取限制措施等服务，并通过游戏内人脸识别、青少年模式、腾讯健康系统等措施来为未成年人创造一个更好的网络环境（具体截图如下）。

左右滑动查看

4. 应用程序提供者应在什么情形履行报告义务？

具体情形	处理方式	报告要求
注册用户出现违法违规行为	对违反相关法律法规及服务协议的注册用户，应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施。	保存记录并向有关主管部门报告。
应用程序出现安全风险	应用程序应符合相关国家标准的强制性要求，存在安全缺陷、漏洞等风险时，应当立即采取补救措施。	按照规定及时告知用户并向有关主管部门报告。

企业应特别重视网络安全漏洞报告义务。阿里云就曾因未及时报告Log4j2安全漏洞而被暂停安全威胁信息共享平台合作单位6个月。《网络产品安全漏洞管理规定》特别指出网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

此外，发现或者获知安全漏洞后，还应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

5.具有舆论属性或者社会动员能力的新技术、新应用、新功能的应用程序应如何进行安全评估？

《规定》指出应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能应当按照国家有关规定进行安全评估。《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》进一步指出可自行实施，也可委托第三方安全评估机构进行评估。

具体执行时应重点评估对信息服务和新技术新应用的合法性，落实法律、行政法规、部门规章和标准规定的安全措施的有效性，防控安全风险的有效性等情况，并形成安全评估报告。

三、应用程序分发平台的合规义务

1.应用程序分发平台应如何落实备案义务？

应用程序分发平台应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。国家互联网信息办公室会向社会公布已经履行备案手续的应用程序分发平台名单以便核查。

为了进一步细化备案要求，《规定》进一步明确了备案所需提交的资料，即备案需提交平台运营主体基本情况；平台名称、域名、接入服务、服务资质、上架应用程序类别等信息；平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料；相关制度文件；平台管理规则、公约、服务协议等。

2.应用程序分发平台应履行哪些合规义务？

阶段	合规要点	具体要求
应用程序上架前	身份核验	采取复合验证等措施，对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。
	资质核验	提供互联网信息服务依法须经有关主管部门审核同意或取得相关许可的，应对相关情况进行核验。
	评估核验	上线具有舆论属性或者社会动员能力的新技术、新应用、新功能，应对安全评估情况进行核验。
	违规处理	对申请上架和更新的应用程序进行审核，发现应用程序名称、图标、简介存在违法和不良信息，与注册主体真实身份信息不符，业务类型存在违法违规等情况，不得为其提供服务。
	签订协议	与应用程序提供者签订服务协议，明确双方相关权利义务。
应用程序上架后	信息公示	根据应用程序提供者的不同主体性质，公示提供者名称、统一社会信用代码等信息。
	内部管理	建立分类管理制度，对上架的应用程序实施分类管理；建立健全管理机制和技术手段，建立完善上架审核、日常管理、应急处置等管理措施；设置醒目、便捷的投诉举报入口，公布投诉举报方式，健全受理、处置、反馈等机制，及时处理公众投诉举报。
	违规惩处	对含有违法和不良信息，下载量、评价指标等数据造假，存在数据安全风险隐患，违法违规收集使用个人信息，损害他人合法权益等的，不得为其提供服务。对违反相关法律法规及服务协议的应用程序，应依法依约采取警示、暂停服务、下架等处置措施，保存记录并向有关主管部门报告。
	配合监管	对有关主管部门依法实施的监督检查予以配合，并提供必要的技术支持和协助。

应用程序分发平台一定要在应用程序上架之前履行审核义务。

例如苹果已在官网发布了《App Store审核指南》和《常见App被拒情况》，明确了苹果会从安全、性能、商务、设计、法律几大部分进行审核，并对每部分的审核要求都进行了细化说明。微信也在官网上发布了《微信小程序平台运营规范》、《微信小程序平台常见拒绝情形》和微信小程序的开放的服务类目及对应的资质要求来明确审核规则。

应用程序上架后，应用程序分发平台应根据应用程序提供者的不同主体性质，公示相关信息，使得用户可以在下载应用程序前了解相关信息。

例如，华为应用商店就会公示应用程序的具体介绍、应用分级、最近更新、安全检测、应用开发者名称、隐私政策、权限、问题反馈等内容。苹果应用商店会公示应用程序的新功能、App隐私（用于追踪用户的数据、与用户关联的数据、未与用户关联的数据）、隐私政策、应用开发者名称、开发者网站、应用的类型和大小、兼容性、版权等信息。

应用程序分发平台还要进行持续监测，并对违法违规行为及时予以处理。

例如腾讯就在其《微信小程序平台运营规范》中明确指出刷量行为、网赚行为、欺诈行为、混淆行为、过度营销行为等19类典型的违规行为内容及处理规则，并已设置了用户投诉处理机制，会根据用户的投诉，视违规程度予以不同程度的处罚措施。

此外，微信还会对运营过程中出现的典型问题开启专项治理活动，例如，腾讯曾开启了扫码点餐的专项治理活动。腾讯向开发者推送了关于自查“扫码点餐强制关注公众号”问题的通知，提醒开发者先自查是否存在“扫码点餐强制关注公众号”问题，并及时进行整改。腾讯将于2022年1月17日开始对此类问题进行核查，违规的公众号将被限制二维码打开公众号能力。

四、总结

《规定》在与现行法律法规相衔接的基础上，吸收了应用程序执法实践的相关经验，对《旧规定》的相关条款进行了补充与完善。

首先，《规定》扩大了适用范围，通过明确“应用程序信息服务”和“互联网应用商店等应用程序分发服务”的含义，将应用商店、快应用、互联网小程序、浏览器插件等平台分发服务类型明确纳入监管范围。执法部门其实已经开始关注此类主体的个人信息处理情况，例如海南省互联网信息办公室在2021年11月就发布了第一批违法违规收集使用个人信息的小程序名单。

其次，《规定》进一步细化了应用程序提供者和应用程序分发平台的合规义务，为此两类主体分别设置了单独的章节来明确具体义务，要求其履行信息内容管理主体责任，建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。

再次，《规定》新增了积极配合国家实施网络可信身份战略的义务，并鼓励采用互联网协议第六版（IPv6）向用户提供信息服务。为实现网络可信身份战略，《规定》特别强调了应用程序提供者和应用程序分发平台对于用户的身份核验义务。

值得注意的是，IPv6也可以助力可信身份战略的落实，因为IPv4地址资源有限，所以经常会出现一个公网地址还需通过地址翻译（NAT）的方法被多台主机共用的情形，从而无法精准溯源，而IPv6的地址长达128位，其地址空间的容量很大，可为每个网络设备分配唯一的地址，在事后追溯时也可以实现更精准的身份定位。

最后，《规定》新增了监督管理这个独立的章节，明确要求应用程序提供者和应用程序分发平台设置醒目、便捷的投诉举报入口，并对有关主管部门依法实施的监督检查予以配合，并提供必要的技术支持和协助。

此章节特别强调了相关主体的配合义务，因为技术检测往往需要扫描代码，需要相关被检查者的技术协助。《数据安全法》也强调了相关企业的数据调取配合义务。但是配合应以实际情形为限，因为很多数据的留存期限都有法律限制，企业就应按照相关法定要求的期限留存相关数据，协助是一个行为要求，只要相关企业积极配合，在其可行的范围内提供协助就履行了法律意义上的配合义务。

声明

本文版权归属于TalkingData法务合规部，解读内容仅供公司内部一般参考，不应视为针对特定事件的意见，任何依据本文全部或部分内容做出的判断或决定以及因此造成的法律后果，TalkingData法务合规部不承担任何责任。

如有任何问题，请邮件联系我们：td_legal@tendcloud.com。

推荐阅读：

“数据安全管理认证”是什么？怎么做？

APP收集使用位置、图片、短信，如何满足“最小必要”？

TalkingData——用数据说话

每天一篇好文章，欢迎分享关注