《窥一斑而知全豹:2023年度APP治理全景梳理与展望.docx》由会员分享,可在线阅读,更多相关《窥一斑而知全豹:2023年度APP治理全景梳理与展望.docx(15页珍藏版)》请在三一办公上搜索。
1、窥一斑而知全豹:2023年度APP治理全景梳理与展望作者:蔡鹏(中伦律师事务所)高维钊(中伦律师事务所)陈雨婕(中伦律师事务所)发布日期:2024.02.26一、引言根据有关数据显示,2023年中国移动互联网用户总规模达到12.27亿。中国几乎所有的行业和人群均被移动互联网无缝覆盖。而APP、小程序等作为移动互联网时代最核心的应用,一直是监管部门在个人信息保护领域的重点监管对象。本文针对2023年度APP、小程序等治理和监管进行了全景梳理,试图从监管部门的执法中,梳理有关合规重点和企业应对方案,并进一步分析移动互联网产业数据保护的趋势,以期为相关企业的数据治理和合规应对提供帮助和启示。二、监管
2、框架近年来,监管部门已建立了一套“事前(备案)-事中(检查)-事后(通报)”的APP治理全流程监管路径: 事前监管-备案。2023年8月4日,监管部门针对APP事前备案做出了进一步的规定,发布关于开展移动互联网应用程序备案工作的通知(工信部信管(2023)105号,简称“APP备案通知”),以规范APP、小程序上线前备案事宜。 事中监管-检查。自2019年1月起,监管部门接连发布关于开展APP违法违规收集使用个人信息专项治理的公告关于开展APP侵害用户权益专项整治工作的通知关于开展纵深推进APP侵害用户权益专项整治工作的通知(工信部信管函(2020)164号,简称“164号文”)关于开展信息通
3、信服务感知提升行动的通知(工信部信管函(2021)292号)以及关于进一步提升移动互联网应用服务能力的通知(工信部信管函(2023)26号,简称“26号文”),以开展APP专项治理活动。 事后监管-通报。违规APP(SDK)侵犯用户权益行为的通报,已成为监管部门最常用的监管手段。三、APP违规通报全景回顾由于事前监管和事中监管均有明确的法律依据,有关流程趋向成熟。而APP事后监管则呈现出多样化、多维度和多层级治理之势。据此,本文重点对2023年度发生的APP事后监管特点进行梳理。1 .监管部门通报特点(1)工信部门为违规APP通报主要监管部门通过梳理监管通报我们很容易发现,工信部门是违规APP
4、监管通报的主力军。无论是工信部还是地方通管局,违规APP通报成为了监管部门的日常活动,通常每月会发布一批违规APP通报。在工信部层面,2023年共计通报9批次违规APP(SDK),在地方通管局层面,以浙江为例共计通报12批次违规APPo在网信层面,网信部门作为个人信息保护工作的统筹协调部门,在过去的一年中很少发布针对违规APP的通报,仅浙江网信办在2023年11月集中通报了156款浙江属地的违规APP。虽然网信部门未开展常规违规APP的通报工作,但是网信部门针对APP的违规检测行为也在持续开展。国家网信办下属单位中国网络空间安全协会持续针对各类APP个人信息收集情况进行测试,并将测试结果公开发
5、布。我们可以预测,网信部门在后续亦有可能通过违规通报的方式开展APP的监管工作。(2)国家和地方层面关注的产品形态不同在通报的违规产品形态方面,APP、小程序和SDK均是监管部门关注的产品形态。通过梳理我们发现,国家和地方层面的监管部门关注产品形态的重点不同。 在国家层面,自2022年第一批监管通报开始,工信部已针对SDK违规收集用户信息进行了专项检测,并针对违规情形对外通报。 在地方层面,北京、浙江重点关注APP的合规,其通报的违规产品为全部为APP产品,而上海、广东两地通报的产品形态既包括APP也包括微信小程序。目前地方层面尚未针对SDK进行重点关注。(3)各地监管部门通报违规APP流程不
6、同通过监管部门发布的通报的内容中也可以看出,在国家和地方层面对于通报违规APP的流程也有所不同。 在国家层面,根据工信部发布的通报内容,我们发现监管通常会先圈选一部分群众关注的特定类型的APP、SDK以及小程序,如第三方机构检测发现侵犯用户权益行为,即予以通报,被通报的APP、SDK以及小程序应按照要求整改。 在地方层面,根据北京和广东的通报内容可以发现,在违规APP被通报前,监管部门会要求相关产品进行整改,如未整改或未按照要求整改的,则可能被通报,如被通报后仍不整改的,则会被进一步通报下架。2 .工信部及重点地方通管局通报内容梳理本部分重点梳理了工信部以及互联网企业较为活跃的地方通管局(北京
7、、上海、广东、浙江)的全部通报内容,从不同维度、不同特点对典型违规行为、常见违规APP类别等进行数据分析,以可视化的方式展现2023年度违规APP通报重点内容。(1)工信部a.通报的APP(SDIo、小程序数量梳理从工信部对外公开发布的信息来看,工信部在2023年共计通报9批次存在侵害用户权益行为的APP(SDK)及小程序,累计292款,涉及229款APP,19款小程序以及44款SDKo从通报的APP、SDK和小程序的数量来看,APP虽然仍是监管的重点对象,但同时SDK也逐步成为工信部的监管重点。工信部2023年通报 APP/SDK/小程序数工信部2023年通报b.违规情形梳理在通报的存在侵害
8、用户权益行为的APP(SDK)及小程序中,共计通报了19类违规行为,其中强制、频繁、过度索取权限是被通报最多的违规情形,远超其他的违规行为。除了权限问题外,违规收集个人信息,欺骗误导强迫用户以及超范围收集个人信息也是常见的侵犯用户权益的违规行为。工信部2023年通报 具体违规行为通报次数(2)北京通管局a.通报、下架的APP数量梳理从北京通管局对外公开发布的信息来看,北京通管局在2023年共计通报11批次存在侵害用户权益行为的APP,累计通报150款APP、下架70款APP。其中,被通报后并未按照要求完成整改,从而被下架的APP多达67款。北京通管局2023年通报Mi-Ittas第二批通报第三
9、批通报第四M通掖第五IItifl报第六枇通报SIt批通报第八批通报第九MiIiS第十戕通报第十一批通报b.违规情形梳理在通报的存在侵害用户权益行为的APP中,共计通报了22类违规行为,通报次数最多的违规行为包括未经用户同意收集使用个人信息,应用数据任意备份风险,违反必要原则收集个人信息,未明示收集使用个人信息的目的、方式和范围以及APP频繁自启动和关联启动。此外,较之其他的地方通管局,北京通管局通报的违规行为更加细致和丰富,除了164号文列明的整治内容外,还包括安全JanUS签名机制漏洞、呢bview远程代码执行漏洞、ZiP文件解压目录遍历漏洞、开屏弹窗信息骚扰用户、威胁数据安全问题以及未移除
10、有风险的Webview系统隐藏接口漏洞等涉及技术安全的问题。北京通管局2023年通报通报和下架的APP具体违规行为120通报APP下架APP(3)上海通管局a.通报的APP数量梳理从上海通管局对外公开发布的信息来看,上海通管局在2023年共计通报4批次未按照要求整改APP及小程序,累计91款,涉及69款APP、22款小程序。上海通局2023年通报 APPJWJMB APP ,he序上海通局2023年通报 APP4可序b.违规情形梳理在通报的未按照要求整改的APP及小程序中,共计通报了11类违规行为,通报次数最多的违规行为包括违规收集个人信息,APP强制、频繁、过度索取权限以及未明示个人信息处理
11、规则。值得关注的是,上海通管局特别关注了响应用户投诉以及行权问题,在2023年通报了未承诺投诉处理时效以及未及时响应用户诉求的违规行为。上海通管局2023年通报具体违规行为通报次数(4)广东通管局从广东通管局对外公开发布的信息来看,广东通管局在2023年共计通报8批次未按照要求整改的APP及小程序,累计321款,以及7批次要求下架的APP及小程序,累计128款。广东通管局2023年通报APP/小程序数量下架蝠序,26a.未按照要求整改的APP及小程序通报数据梳理在通报的未按照要求整改的APP及小程序中,共计9类违规行为被通报,其中:在违规APP中最为常见的违规行为体现为违规收集个人信息、违规索
12、取权限以及频繁自启动和关联启动;在违规小程序中最为常见的违规行为体现为违规收集个人信息、APP强制、频繁、过度索取权限以及账号注销难的问题。广东通管局2023年通报未按照要求整改的APP及小程序的违规行为300 APP 小程序b.要求下架的APP通报数据梳理在通报的要求下架的APP及小程序中,共计通报了8类违规行为。要求下架的APP及小程序通常是在前一批次已经通报过,但仍未按要求整改的APP及小程序。从数据中也可以看出,APP及小程序难以整改的突出问题仍集中在违规收集个人信息、违规索取权限以及频繁自启动和关联启动上。广东通管局2023年通报下架APP及小程序的违规行为1201008060402
13、0 APP BJy0(5)浙江通管局从浙江通管局对外公开发布的信息来看,浙江通管局在2023年累计通报了12批次的违规APP,累计171款,以及1个批次要求下架的APP,共计42款。值得特别关注的是,浙江通管局在通报过程中,会将APP进行分类。通过分析可以发现,浙江通管局针对APP的分类主要依据常见类型移动互联网应用程序必要个人信息范围规定中常见APP的分类。a.以APP类型为维度在2023年,浙江通管局通报了27类常见APP的违规行为,其中:被通报的违规APP中,实用工具类、网上购物类、即时通信类APP数量最多,占总通报APP数量约45%。此外,在北京通管局通报的违规APP的类别中,学习教育
14、类违规APP的数量最多,而在上海通管局通报的APP类型以网络游戏类和房屋租售类APP居多。从通报的APP类型可以看出各地通管局针对不同类型APP的关注度的差异。有5大类型的APP被通报超过了IO款产品,包括实用工具类、网上购物类、即时通信类、学习教育类以及网络社区类APP。浙江通皆局2023年通报APP类型及数b.以常见违规行为为维度在通报的未按照要求整改的APP中,共计9类违规行为被通报。从数据中也可以看出,违规收集个人信息、违规使用个人信息、超范围收集个人信息、违规索取权限以及频繁自启动和关联启动为最常见的违规行为。9%浙江通管局2023年通报未按照要求整改APP的违规行为14012010
15、0806040200买用工具类网上购物类即时通信类学习貌育类网络社区类本地生活类房屋租售类新闻资讯类,演出票务类C.下架的APP在通报的要求下架的APP中,共计通报了5类违规行为。从数据中也可以看出,违规收集个人信息、违规索取权限是最难以完成整改的典型违规行为。浙江通管局2023年通报下架APP的违规行为收集个人信息违规使用个人信息超范图收集个人信息APP强制、频繁、过度索取权限AP喷酷自启动和关联启动户使用定向推送功能四、APP典型违规行为合规启示1 .违规处理个人信息的典型行为与合规启示在个人信息处理全生命周期中,工信部和地方通管局均关注的违规行为包括:违规收集个人信息、超范围收集个人信息
16、、收集个人信息明示告知不到位、违规处理个人信息(含开展自动化决策)、违规向他人提供个人信息、强制用户使用定向推送功能等。据此,我们根据上述关注重点,结合法律法规的要求以及实践经验,作出合规提示如下:tA6MN*AaWFrBM)AAMRRA-t.tfMWJt*X一力人(hmMJt*M:A-tBjBR*me0)ft*Mn Wa的斤Sm=(rKBMC1. SK0R&重WWWW町三为vn*x*ner三*rt0*. *t*rtA11hRMr*a三aAt!Mai三ii三三wirw三MMHHtM4A行欠fMtfVf3M,*”夕1人*&内SNMB一利”心“假MM华人0山死弓以JLAM5M霞一N方式KRWARt
17、RmatKQItfHiv*AHHtQflmt-F-jrw*.4tta.ij4w.*户A三vXA*49AKJt三BF*ABlitai三B三aXR三/X0AfftMW*u-wBra三nmw*三c11!IrWrH5后G3XtM1UIaR.avtitcFwvnRvq,*tQ0mnFS%jmt人0星R倒.vtjAEl-3,aJf的霰Mwm、mitu(tae,个ftftff-m;XU不arvt*.r幺个停如na“tttftSflMMfta.*PMf三*2IR4UE8翼1个人遁行ltaASH%W不tAAGAfKIMMtIurM人H3MII力武1)Ntfseamt.MXMaaarxiM,2,fll(Z4A第a
18、qTOWsi*WtGA要M父j*h本畲*M,M*m*个人ntmurB-个人W.MMMMHMNW方lAaMtAMXB.*人三力IrM伏琳Wmg/,anaaAtAtMiQ*n,*fAA0iFW令A”BABZffSOD3假M3。,及5与,!个人flQ口方4W*Af0M*ff44OrB*HariBAaftR.WuLLX我不KtAX9WWR*tfIMIfJtS*1S-ViBM*nMASW9*才X*WM1*W%*MK*CKnIR.5nsu三方人。-ZMD*-f)qCMM94l.W-*yqwra方式.,nxft*i:1!律户Clh*2 .侵害用户权益的典型行为与合规启示在用户权益保障方面,工信部和地方通管局
19、关注的违规行为包括:过度索取权限,APP频繁自信动和关联启动,违规互联网弹窗信息推送服务,未公布个人信息安全投诉、举报渠道、欺骗误导用户下载APP,欺骗误导用户提供个人信息、未提供注销功能等;基于此,我们结合法律法规的要求以及实践经验,作出合规提示如下:源0W个个Q.*本酎中4易犬6比朴*1-户*e* 潭2Q椿户tmu* 人”全热力WrWMnwi* -一文&CMIJVGHlf.后tl三M*TlSTNHflrT为.w*弊*,WBMXMAiVWWfvs*,及里&皿情况下事会总“auvariXKtMPMMaa.svnK3ittffKHTR9HH口慢Mmnt*穴6%自育子玲BtWnX*wuM*twet
20、*-RA*假香JM.GJ不SSXii*者看WMMfc三n*wwraAttAFff*itItWAHf4JftrMMt4Mr-xaMiis-Wms-MV*:*S*MH0aE三MjmRBWf!7Mfl三MFm.*4ME. lVMe*C ahck*或二含岸e,aAF*HM匕5aaaAzr:*JX9MUmHt三WMMnt夕里BUL3. APP信息明示缺位的合规建议26号文明确提出应用分发平台需加强对APP的动态巡查,确保公示信息真实准确,对与公示信息不一致的违规APP,应当停止提供服务。从该规定来看,虽然其是针对应用分发平台的义务,但也暗含了APP运营者的合规义务,即应当确保其在应用分发平台上公示的信息
21、是真实准确的。从工信部的通报来看,应用分发平台上的APP信息明示不到位仍是重点关注的违规行为。根据APP用户权益保护测评规范第9部分:移动应用分发平台信息展示,应用分发平台上的APP信息明示应满足如下要求: 移动应用分发平台应对在架APP进行全量公示,展示全部在架APP的信息; 移动应用分发平台下载页面所明示APP的名称应与下载安装后的APP名称一致; 移动应用分发平台应显著明示所分发APP真实完整有效的开发者或运营者信息; 移动应用分发平台明示的APP开发者或运营者信息应与APP的隐私政策或用户协议等自声明中的开发者或运营者信息一致; 移动应用分发平台应显著明示所分发APP的版本信息; 移动
22、应用分发平台下载页面应明示所分发APP的安装及运行所需权限列表及用途; 移动应用分发平台下载页面应明示所分发APP的个人信息处理规则; 移动应用分发平台下载页面应明示所分发APP的产品功能。我们建议,APP运营者可参考前述具体要求,核验其在应用分发平台展示的具体内容,确保已展示了APP运行所需权限列表及用途,APP收集、使用用户个人信息的内容、目的、方式和范围等内容。五、2024年APP治理监管趋势展望从2023年的有关执法监管来看,APP个人信息违规仍是个人信息保护违规行为的高发场景。随着移动互联网的高速发展,搭配不同商业模式的APP层出不穷,因此我们预测,2024年APP合规仍会成为监管部
23、门的重点关注对象。我们结合实务经验,针对2024年APP治理监管趋势预测如下: 第三方SDK会引发监管部门更强关注:工信部自2022年起已经开展了针对违规SDK的通报,在2023年的违规SDK通报数量较2022年亦有所提升。SDK作为APP重要组成开发工具之一,在APP开发和运营过程中被APP运营者越来越广泛使用,SDK合规不仅应成为SDK运营者需要关注的合规事项,且APP运营者对其接入的第三方SDK的数据合规相关情况也应重点关注。 APP/小程序违规可能引发个人信息保护委托审计:我们预计2024年个人信息合规审计制度可能落地。而委托审计作为合规审计的“执法版”,将会对企业造成不小影响。我们认
24、为APP通报作为监管部门监管抓手,亦有相当概率成为触发委托审计的事由。.小程序等轻量化产品愈发受到监管关注:虽然在监管部门的通报中小程序所占的比例不高,但当前诸多平台类的APP均发展开放了小程序,因此小程序已经逐步成为了互联网企业业务发展的重要载体。此外,安卓系统的终端设备还允许开发者开发“快应用”等轻量化的产品。我们有理由相信,小程序、快应用等轻量化的产品的个人信息保护问题亦将会被强化。 监管部门可能按照常见APP分类进行APP分类监管:在过去的一年中,中国网络空间安全协会先后发布多个常见APP类型的个人信息收集情况测试报告。实践中,APP运营者也多以同行业头部APP合规水位为参考,开展自身
25、APP合规工作。同时,我们经过梳理也可以发现,不同类别的APP所展现的个人信息违规行为也各有不同。因此,将APP进行分类监管将成为监管部门主要工作方式之一。 APP、小程序的备案监管将持续加强:2023年,APP、小程序备案工作拉开序幕。根据关于开展移动互联网应用程序备案工作的通知(工信部信管(2023)105号),2024年3月以前存量APP需履行完成备案手续;6月以前,工信部门组织开展APP备案检查工作;7月以后,APP备案监管将成为常态化工作。因此我们预测,2024年,APP、小程序备案将成为监管部门的工作重点。 应用分发平台的合规需被重视:工信部26号文针对应用分发平台的合规问题专门进
26、行了规定。虽然在过去的通报中应用分发平台的违规通报集中在“应用分发平台上的APP信息明示不到位”的行为,且数量不多,然而应用分发平台作为APP等应用程序分发的载体,监管部门有理由更为关切其合规情况。六、结语从2019年开始,我国就逐步形成了多维度、多层次的APP监管体系。在法律体系逐步完善的同时,监管部门持续发力,对于APP/小程序等的事后监管愈发细致与严格。在移动互联网的话语体系下,在绝大部分的商业模式均需要使用APP、小程序、SDK等并加载其服务的情况下,我们建议有关企业应当对数据保护有更加积极主动的行动方案,不断提升自身数据和隐私保护水平,做到心中有“数”。注1QUeStMobiIe20
27、23中国移动互联网年度报告蔡(中伦律师事务所)中伦律师事务所权益合伙人业务领域:网络安全和数据保护,知识产权权利保护,合规和反特色行业类别:通讯与技术,健康与生命科学蔡鹏律师专精于网络安全、数据保护及知识产权等领域,涉及TMT、高端制造、金融、医疗健康等行业。在积极深度参与有关立法及实践的基础上,蔡鹏律师长期以来致力于帮助客户解决其在面临强监管、产品和服务“走出去”、数字化转型、平台治理等方面所面临的既紧迫、又富有挑战性的诸如数据合规、网络交易、知识产权等相关问题。作为国内最早关注并进行网络安全、数据合规、电商合规实操的律师团队,蔡鹏律师及其团队成员擅长解决基于跨境、互联网、大数据和人工智能技
28、术引发的数据安全风险与合规挑战。特别在数据安全、互联网监管趋严趋细的大环境下,蔡鹏律师团队能以其丰富的实战经验和对监管趋势的细致判断,为客户提供精准化、个性化和一站式的合规法律服务。如您有任何需求,请致电010-50872786,或发邮件至合伙人邮箱:CaiPengZhonglUn.COn1;或团队邮箱CPdatalaWZhonglUn.ConU高维钊(中伦律师事务所)北京办公室知识产权部C陈雨婕(中伦律师事务所)1北京办公室知识产权部中伦律师事务所中伦律师事务所创立于1993年,业己成长为拥有北京、上海、深圳、广州、武汉、成都、重庆、青岛、杭州、南京、海口、东京、香港、伦敦、纽约、洛杉矶、旧金山和阿拉木图18家办公室的国内领先的综合性律师事务所。作为世界律师联盟(WLG)唯一的中国成员律所,中伦与100多个国家/地区的190多个律师事务所建立了多元化、深层次的同步服务合作平台。作为多年蝉联钱伯斯亚太最多业务领域推荐和最多律师推荐的中国律师事务所,每天,中伦全球18家办公室、2400余名专业人员与世界各地的客户同频共振,为其提供独到的商业法律见解和无与伦比的客户体验,助客户在日益复杂的各地区环境中把握商机并降低风险。
