2020.06.04 杨锦文 高健 李圆圆
随着网络信息技术的迅猛发展,互联网已渗透进现代生活的每个角落并改变人们的生活方式。从早上起来刷朋友圈、中午叫外卖、晚上加班打车,到周末朋友小聚选餐厅、健身打卡留记录,或者月底发工资、还房贷,以及节假日给家人发红包、选礼物,人们要做的往往只是点开手机App。App的出现,创建了新的商业形态,企业通过运营App,可以全天候影响用户的衣、食、住、行、学习、就医、消费、金融等各个环节。
App能够迅速扩大企业的受众及关注量,成为企业在信息时代把握信息数据这一“新生产要素”的营销利器。本文拟从企业运营App开展业务的角度出发,从App的界定、准入资质、相关行业m88 casino管理、App安全认证、以及App在应用商店上架等相关环节,梳理企业应如何上线、运营App。
一、 App的界定及使用现状
根据2016年公布的《移动互联网应用程序信息服务m88 casino规定》、2020年公布的《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》,App又称为“移动互联网应用”(mobile internet application)、“移动互联网应用程序”或者“移动智能终端应用软件”,是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件,包括在应用商店上架的软件、移动智能终端预装的软件、小程序等。我们在手机、iPad上预装或者下载的购物/打车软件、以及微信/支付宝里面可以检索到的北京健康宝等小程序,都属于常见的App范围。
根据国家互联网信息办公室的统计数据,截至2019年12月末,我国国内市场上监测到的App数量为367万款,移动应用规模排在前4位种类(游戏、日常工具、电子商务、生活服务类)的App数量占比达57.9%,其他社交、教育等10类App占比为42.1%。在应用宝等第三方应用商店的App下载方面,截止2019年12月末,在架App下载总量达到9502亿次。其中,音乐视频类下载量达1294亿次,下载量排第一位;社交通讯类下载量达1166亿次,占到第二位;游戏类、日常工具类、系统工具类分别以1139亿次、1075亿次、1063亿次排名三、四、五。在其余各类应用中,下载总量超过500亿次的App还包括生活服务类(826亿次)、新闻阅读类(761亿次)、电子商务类(593亿次)和金融类(520亿次)1。
二、 App相关法规及国家标准体系
自2015年以来,关于App的提供、运营m88 casino,国家互联网信息办公室、工信部、市场监督m88 casino总局、全国信息安全标准化技术委员会先后起草、制定了各种规范性文件及国标体系,简要梳理如下:
序号 | 发布时间 | 发布部门 | 法规名称 |
部门规章及规范性文件 | |||
1 | 2015年11月18日 | 工业和信息化部 | 关于《移动智能终端应用软件(App)预置和分发m88 casino暂行规定》征求意见的通知 |
2 | 2018年4月27日 | 工业和信息化部 | 工业和信息化部关于印发《工业互联网App培育工程实施方案(2018-2020年)》的通知 |
3 | 2016年6月28日 | 国家互联网信息办公室 | 《移动互联网应用程序信息服务m88 casino规定》 |
4 | 2019年1月3日 | 中共中央网络安全和信息化委员会办公室,工业和信息化部,公安部,国家市场监督m88 casino总局 | 《关于开展App违法违规收集使用个人信息专项治理的公告》 |
5 | 2019年3月13日 | 国家市场监督m88 casino总局,中共中央网络安全和信息化委员会办公室 | 《市场监管总局、中央网信办关于开展App安全认证工作的公告》以及附件《 移动互联网应用程序(App)安全认证实施规则》 |
6 | 2019年3月13日 | App违法违规收集使用个人信息专项治理工作组 | 《App违法违规使用个人信息自评估指南》 |
7 | 2019年5月24日 | App违法违规收集使用个人信息专项治理工作组 | 《百款常用App申请收集使用个人信息权限情况》 |
8 | 2019年10月31日 | 工业和信息化部 | 工业和信息化部关于开展App侵害用户权益专项整治工作的通知 |
9 | 2019年11月28日 | 国家互联网信息办公室,工业和信息化部,公安部,国家市场监督m88 casino总局 | 《App违法违规收集使用个人信息行为认定方法》 |
国家标准 | |||
1 | 2020年1月20日 | 全国信息安全标准化技术委员会 | 关于征求《信息安全技术 移动互联网应用(App)收集个人信息基本规范》国家标准意见的通知 |
2 | 2020年3月19日 | 国家互联网信息办公室,工业和信息化部,公安部,国家市场监督m88 casino总局 | 关于对《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》公开征求意见的通知 |
3 | 2020年3月30 | 全国信息安全标准化技术委员会 | 关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知 |
此外,我们注意到相关行业主管部门也制定了针对特殊行业的Appm88 casino规范性文件,例如,教育部、中国人民银行(互联网金融协会)分别对所主管的教育行业、金融行业的Appm88 casino出台了多个文件(请看后述四)。建议企业根据所处的行业领域,具体分析并及时关注主管行业部门的Appm88 casino相关要求。
三、 准入资质
根据2016年实施的《移动互联网应用程序信息服务m88 casino规定》,企业通过App提供信息服务,应当依法取得法律法规规定的相关资质。但对于需要取得何种资质,m88 casino规定没有进一步澄清。
根据《电信业务分类目录(2015年版)常见问题解答》,如果企业提供的APP相关服务,属于经营《电信业务分类目录(2015年版)》规定的电信业务的,应依法申请相应电信业务经营业务许可。按照《电信条例》的规定,电信业务一般分为基础电信业务和增值电信业务两大类,企业在实施电信活动之前,应事先取得相应的电信业务经营许可证。因此,我们建议企业在推出、运营App服务之前,应结合《电信业务分类目录》的具体规定,分析并探讨其业务是否落入以及落入哪一类的电信业务范围,并事先申请办理相应的电信业务经营许可证。
从实务层面而言,对于企业运营App服务业务是否需要办理电信业务许可证,目前各地的电信m88 casino部门的做法并不统一,大部分地方尚未开展针对App办理电信业务许可证的业务,而部分地方对从事属于《电信业务分类目录》App业务的企业,经审核后授予了电信业务经营许可证。例如,我们注意到,经营某打车软件的公司从北京市通信m88 casino局获得了信息服务业务许可证,而某知名第三方支付平台公司也从上海市通信m88 casino局也获得了该信息服务业务许可证。
此外,需要注意的是,企业运营APP除可能涉及上述电信行业的准入之外,根据运营APP提供服务所涉及的不同行业,比如游戏、医疗咨询、网络视频等,还需要根据行业主管部门的要求办理相应准入资质。
四、 特殊行业m88 casino管理
在健康医疗、教育、运输物流、金融等特殊行业,企业在运营过程中会有更多机会接触并处理个人信息、特别是个人敏感信息,因此相应行业主管部门对企业使用App向用户提供服务予以更加严格的管理。以下以教育行业、金融行业为例,梳理该行业主管部门对企业运营App的m88 casino管理的相关要求。
(一) 教育类Appm88 casino管理
1、m88 casino要求及流程
根据教育部办公厅于2019年11月发布的关于印发《教育移动互联网应用程序m88 casino管理办法》的通知要求,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的App运营企业,应分阶段完成App的m88 casino工作。m88 casino工作将常态化开展,相关企业应于2019年12月1日至2020年1月31日前完成对现有教育移动应用的m88 casino工作。
根据《教育移动互联网应用程序m88 casino管理办法》的相关规定,教育类App的m88 casino手续要求如下:
m88 casino主体及主管机构
教育行政部门、学校、企业和社会组织应向其住所地或注册地的省级教育行政部门办理App提供者m88 casino
m88 casino平台
国家数字教育资源公共服务体系http://app.eduyun.cn
一省m88 casino、全国有效
教育类App提供者在注册地m88 casino后,无需在其他地区开展重复m88 casino。分支机构开发的教育类App由总公司统筹汇总m88 casino。
ICPm88 casino及等级保护m88 casino前置条件
教育App提供者应在完成互联网信息服务m88 casino(“ICPm88 casino”)和网络安全等级保护定级m88 casino(“等级保护m88 casino”,关于等级保护m88 casino的一般手续可以参考《君合法评丨新基建与数字化转型系列——新基建浪潮下企业开展网络安全等级保护的关注要点》)后,才能进行教育类App提供者的m88 casino。
2、m88 casino现状及ICPm88 casino等前置条件的缓冲实施
根据教育部新闻办的消息,在2019年12月25日至2020年1月14日期间,教育系统共完成了对605家企业的1300个教育Appm88 casino工作。
应当注意的是,由于作为前置条件的ICPm88 casino及等级保护m88 casino的实施需要一定的期间,完成m88 casino的上述1300个教育App很有可能没有履行ICPm88 casino及等级保护m88 casino。在教育部2019年11月的通知中,实际上也对ICPm88 casino及等级保护m88 casino的实施设置了缓冲期,即在2019年12月1日至2020年1月31日期间,ICPm88 casino和等级保护m88 casino并不作为Appm88 casino的前置条件。因此企业可以先进行教育Appm88 casino,然后在2020年1月31日前补充完成ICPm88 casino和等级保护m88 casino措施即可。根据教育部科技司2020年5月26日的最新公告,考虑到受新冠疫情的影响,教育部又将补充ICPm88 casino和等级保护m88 casino的期限延长至2020年6月30日2。
3、 ICPm88 casino
根据《互联网信息服务m88 casino办法》(2011修订)的相关规定,对于从事非经营性互联网信息服务3的企业实行m88 casino管理,企业未经事先向省级电信管理机构履行m88 casino手续,不得从事互联网信息服务业务。此处的“非经营性互联网信息服务m88 casino”,就是上述教育类Appm88 casino的前置条件中所要求的互联网信息服务m88 casino——ICPm88 casino。
我们注意到,对于运营APP进行服务的企业是否应办理ICPm88 casino,《移动互联网应用程序信息服务管理规定》等法规其实没有做出明确规定,实务操作也不统一。此次教育部在上述教育APPm88 casino手续中明确将ICPm88 casino列为前置条件。实务中,ICPm88 casino手续实际上由工信部通信管理局主管,相关教育企业应与通信管理局沟通协调、办理m88 casino手续。
(二) 金融类Appm88 casino管理
1、 m88 casino要求
2019年9月份以来,中国人民银行、以及中国互联网金融协会相继发布加强移动金融客户端App安全管理的通知、安全规范及行业规范性文件,强化对通过移动终端为用户提供金融交易服务的App的m88 casino管理工作。
根据相关规定,中国互联网金融协会要求客户端App提供方向中国互联网金融协会办理m88 casino,对于已经发布并正常提供服务的金融App,企业原则上应当在2020年元旦起1年之内完成m88 casino工作。
同时,中国互联网金融协会加大了对客户端APP的自律管理措施。协会将根据工作需要对客户端App安全管理情况实施非现场和现场检查。客户端App提供方应当配合检查,如实提供有关文件、资料,不得隐瞒、拒绝和阻碍。此外,对于认真执行m88 casino自律工作的客户端APP提供方,中国互联网金融协会将采取通报表彰、应用商店推荐和新闻宣传等正向激励措施,促进m88 casinoApp的推广。
而对于未按要求办理m88 casino的App提供方,将面临中国互联网金融协会的自律惩戒措施、甚至被加入黑名单。具体而言,协会可以根据情形采取纳入特别关注名单、约谈、发警示函、强制培训、业内通报、公开谴责、暂停受理m88 casino、注销m88 casino等自律惩戒措施并报告相关金融管理部门;而对于情节严重的情形,协会可以将其记入客户端App安全管理黑名单,并向金融管理部门提出行政处罚建议。
2、 m88 casino基本流程及手续
m88 casino机构及m88 casino系统
中国互联网金融协会
移动金融客户端应用软件m88 casino管理系统: https://finapp.nifa.org.cn
m88 casino主体
(因在中国境内开展业务而提供移动客户端App的)各银行业金融机构;证券公司、基金公司、期货公司、私募投资基金m88 casino机构;保险集团(控股)公司、保险公司、保险资产m88 casino公司;清算机构;各非银行支付机构等
m88 casino材料
(一)客户端软件提供方信息;
(二)客户端软件信息;
(三)客户端软件安全内控m88 casino制度;
(四)个人信息保护策略;
(五)客户端软件安全证明材料;
(六)有关m88 casino部门、中国互联网金融协会要求的其他相关材料
m88 casino流程
受理及核实:协会将通过实地调查、面谈,征询有关m88 casino部门(包括监管部门和自律组织等)等方式对申请材料进行核实;
办理m88 casino:经核实客户端Appm88 casino材料符合要求的,协会应当在5个工作日内办理m88 casino, 及时通过m88 casino系统和其他途径进行公示,并颁发给m88 casino编号和m88 casino标志。
3、 m88 casino实施情况
根据中国互联网金融协会的消息,该协会自2019年12月启动了金融App实名m88 casino工作,由各金融从业机构通过移动金融客户端应用软件m88 casino管理系统向协会登记有关m88 casino信息。
2020年5月19日,中国互联网金融协会对第一批拟m88 casino移动金融App名单进行了公示,共有33家机构的73款客户端App入选,包括工商银行、民生信用卡、京东金融、支付宝、微信、平安健康、银联云闪付、陆金所、东亚银行等。我们注意到,中国互联网金融协会表示将持续做好客户端软件m88 casino、风险监测等行业自律管理工作,建议金融机构关注相关动向,做好办理Appm88 casino的准备。
五、 App安全认证
根据2019年3月公布的《市场监管总局、中央网信办关于开展App安全认证工作的公告》,为落实《网络安全法》、《消费者权益保护法》的要求,市场监管总局、中央网络信息办公室决定开展App安全认证工作。App安全认证采取“自愿+鼓励”的方式,具体来说,国家鼓励App运营者自愿通过App安全认证,对于通过认证的App,国家鼓励搜索引擎、应用商店等明确标识并优先推荐,以此实施正向激励。
根据《市场监管总局、中央网信办关于开展App安全认证工作的公告》及相关安全认证实施规则、细则,App安全认证手续及流程如下:
认证依据
《信息安全技术个人信息安全规范》及相关标准、规范
认证机构及检测机构
认证机构: 中国网络安全审查技术与认证中心
检测机构:由认证机构根据认证业务需要和技术能力确定
申请主体
通过App向用户提供服务的网络运营者(简称“App运营者”)、且取得市场监督m88 casino部门或有关机构注册登记的法人资格
认证申请资料
1) 认证申请书;
2) 法人资格证明材料;
3) App版本控制说明;
4) 对认证要求符合性的自评价结果及相关证明文档;
5) 对App符合相关安全技术标准的证明文件;
6) 不同发布渠道的版本差异性声明;
7) 其他需要的文件。
认证流程
受理:认证机构对申请资料进行审核后做出受理决定,并向认证申请方反馈受理决定。
决定:认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出认证决定。认证决定通过后,由认证机构向认证申请方颁发认证证书,并授权获证App运营者使用规定的认证标志。认证决定不通过的,终止认证。
时限:自作出受理决定之日起至作出认证决定所实际发生的工作日,一般为90个工作日(不包含整改时间)。
证书保持:认证机构应对认证证书的有效期做出规定,超过有效期的认证证书自行失效。当认证规则要求(如标准)发生变化时,应在认证机构确定的转换期限内完成换证。
持续监督
App运营者申请认证后,需通过技术验证和现场核查的综合评价,获取证书后仍需持续进行获证后自评价,并配合认证机构的监督活动,监督方式包括日常监督和专项监督。
六、 上架应用商店的相关要求
企业为了推广其提供或运营的App,除了通过本公司的网站推广、下载之外,通常也采用将App上架应用宝、Apple Store等应用商店的方式进行推广。以下根据《移动互联网应用程序信息服务m88 casino规定》的相关要求,梳理App上架应用商店所面临相关法律及合同上的要求。
首先,提供App的企业应当与应用商店签订服务协议,明确双方权利义务,共同遵守法律法规和平台公约。此外,应用商店将对App提供企业进行以下m88 casino。如果APP提供企业违反这些规定,应用商店视情况将采取警示、暂停发布、下架应用程序等措施,保存记录并向有关主管部门报告真实性、安全性、合法性等审核,建立信用m88 casino制度。
(1)对App提供企业进行真实性、安全性、合法性等审核,建立信用管理制度,并向所在地省、自治区、直辖市互联网信息办公室分类m88 casino;
(2)督促App提供企业保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现;
(3)督促App提供企业发布合法信息内容,配备与服务规模相适应的专业人员;
(4)督促App提供企业发布合法应用程序,尊重和保护App提供企业的知识产权。
其次,根据《移动互联网应用程序信息服务m88 casino规定》, 在应用商店上架以后,App提供或运营企业应当严格落实信息安全m88 casino责任,履行以下义务:
(1)按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证;
(2)建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则;
(3)建立健全信息内容审核m88 casino机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告;
(4)尊重和保护知识产权,不得制作、发布侵犯他人知识产权的应用程序;
(5)记录用户日志信息,并保存六十日。
本文梳理了企业上线、运营App时应注意的准入资质、主管行业m88 casino、App安全认证的相关手续,以及将App上架应用商店进行推广的相关要求,希望为企业提供助益。同时我们注意到,在企业运营App过程中,出现了诸多非法收集用户个人信息的严重问题,国家互联网信息办公室、工信部、公安部、市场监督管理总局多次发起违规App调查活动,对于App如何合法收集、处理用户个人信息,我们将在后续的App合规系列文章中进行分析,敬请关注。
1.2019年我国移动应用程序(APP)数量增长情况http://www.cac.gov.cn/2020-02/17/c_1583491211996616.htm
2.教育部同时规定,自2020年7月1日起,将对未完成ICPm88 casino和定级m88 casino工作的教育App提供者予以通报,限时1个月进行整改。7月31日前未完成整改的,将撤销教育Appm88 casino。
3.非经营性互联网信息服务,是指通过互联网向用户无偿提供具有公开性、共享性信息的服务活动。