近期App的監(jiān)管不斷加碼。國家網(wǎng)信辦持續(xù)通報app違法違規(guī)收集使用個人信息情況。2021年5月1日，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》正式生效；4月份，工業(yè)和信息化部信息通信管理局與信安標委，分別就《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》，《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）SDK安全指南（征求意見稿）》《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息安全測評規(guī)范（征求意見稿）》等標準征求意見。

近年來，App成為個人信息監(jiān)管的重點。有關(guān)部門制定了大量的規(guī)范與標準，多個部門持續(xù)展開專項檢查，并設(shè)立舉報機制，意圖對App個人信息的收集與處理進行規(guī)制。

App監(jiān)管相關(guān)的9個相關(guān)問題：

1、小程序是否屬于App？

微信小程序、支付寶小程序均屬于App的范疇，需要遵守App監(jiān)管的要求。根據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，App包括移動智能終端預(yù)置、下載安裝的應(yīng)用軟件，基于應(yīng)用軟件開放平臺接口開發(fā)的、用戶無需安裝即可使用的小程序。從工信部過往的檢查記錄來看，在2021年第3批檢查中，就有草料二維碼的小程序因為違規(guī)收集個人信息被要求整改。

2、App多大可能會被抽檢？不合規(guī)有哪些法律后果？

被抽檢的概率非常高。從2019年到2021年1月，工信部一共實現(xiàn)對62萬款A(yù)PP的技術(shù)檢測工作，責令2234款違規(guī)APP進行整改，公開通報了500款、下架了132款整改不到位、拒不整改的APP。

在2021年，監(jiān)管機構(gòu)的目標是形成全年檢測180萬款的覆蓋能力。因此，App被抽檢已經(jīng)成為一種必然趨勢，需要以最高標準開展App的合規(guī)工作。

App如果存在個人信息保護的問題，可能面臨警告、最高100萬元的罰款或（和）App下架。在最新發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》中，擬進一步完善了不合規(guī)App的處置措施：

3、只有App運營企業(yè)才需關(guān)注App合規(guī)嗎？

在《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》中，不僅關(guān)注APP開發(fā)運營者，還為APP分發(fā)平臺、APP第三方服務(wù)提供者（SDK開發(fā)商）、移動智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者設(shè)定了不同的法律義務(wù)，涵蓋了完整的APP數(shù)據(jù)鏈路。因此，監(jiān)管部門擬對App打造完整的合規(guī)鏈條。

4、App開發(fā)運營者有哪些合規(guī)責任？

開發(fā)運營者是App合規(guī)最為重要的主體，直接決定了App的開發(fā)運營模式，在App產(chǎn)品層面，開發(fā)運營者需要關(guān)注以下內(nèi)容：

除了以上關(guān)于個人信息保護的基本要求，此次征求意見的《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》還擬從管理與產(chǎn)品設(shè)計層面提出了嶄新的合規(guī)要求，這些合規(guī)要求有些可能會更原則性一些，需要機構(gòu)進一步將合規(guī)要求落地。

5、App設(shè)計“告知-同意”是否有什么特殊之處？

在“告知-同意”的框架下我一直認為：“若拒絕不自由，則同意無意義”。因此保障用戶“不同意”的選擇權(quán)才是確保“同意”有效的唯一途徑。

《民法典》要求“處理個人信息的，應(yīng)當遵循合法、正當、必要原則，不得過度處理”，在此基礎(chǔ)上再踐行“告知-同意”的基本規(guī)則。而在App領(lǐng)域，對“必要”的界定更為細化。在《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》中，對面向消費測（如外賣平臺面向消費者的App，而非面向騎手的App）的個人信息獲取設(shè)置了范圍。

區(qū)分“必要個人信息”與“非必要個人信息”的意義在于：如果消費者不提供“必要信息”，App開發(fā)運營者可以拒絕提供服務(wù)；但如果消費者不提供“非必要信息”，則App開發(fā)運營者不得拒絕提供服務(wù)。該規(guī)定對App的穩(wěn)定運行提出了較高的要求，機構(gòu)可能需要大刀闊斧地對App的權(quán)限索取、產(chǎn)品邏輯進行優(yōu)化，否則可能無法達到法規(guī)的要求。比如對拍攝美化類App，要求無須個人信息，即可使用拍攝、美顏、濾鏡等基本功能服務(wù)；學習教育類App的必要個人信息僅包括注冊用戶移動電話號碼，除此以外均為非必要個人信息。

當然，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》也不應(yīng)被機械適用，除了該規(guī)定中所列舉的個人信息以外，其他因履行法律義務(wù)所必須的個人信息仍然可以作為提供服務(wù)的前提。如該規(guī)定網(wǎng)絡(luò)游戲類別僅將移動電話號碼列為必要個人信息，但網(wǎng)絡(luò)游戲需要對用戶年齡進行收集，判斷用戶是否是未成年人，因此年齡信息也屬于必要個人信息。

6、App分發(fā)平臺有什么義務(wù)？

App分發(fā)平臺需要承擔部分治理的責任，即需要對自己平臺內(nèi)的App進行一定程度的管理，這就要求App分發(fā)平臺建立相應(yīng)的制度與流程。

具體包括：

7、APP第三方服務(wù)提供者有什么義務(wù)？

自去年以來，通過SDK等渠道向第三方共享個人信息成為監(jiān)管的重點。根據(jù)我們的追蹤，我們發(fā)現(xiàn)大量的App開發(fā)運營者在自己的隱私政策中將所使用的SDK一一列明。對于提供推送、統(tǒng)計、地圖等服務(wù)的第三方服務(wù)提供者來說，應(yīng)當關(guān)注以下合規(guī)義務(wù)：

在2020年11月，全國信息安全標準化委員會（TC260）發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序（App）使用軟件開發(fā)工具包（SDK）安全指引移動互聯(lián)網(wǎng)應(yīng)用程序（App）使用軟件開發(fā)工具包（SDK）安全指引》（“《SDK安全指引》”），意圖對SDK的合規(guī)使用提供清晰的指引。

為了應(yīng)對SDK的相關(guān)風險，《SDK安全指引》從App提供者、SDK提供者的角度進行了風險防控：

8、移動智能終端生產(chǎn)企業(yè)需要做哪些合規(guī)措施？

伴隨著近期蘋果調(diào)整隱私策略，影響到整個互聯(lián)網(wǎng)廣告行業(yè)，移動智能終端生產(chǎn)企業(yè)對App合規(guī)的影響越來越大。小米在MIUI內(nèi)設(shè)置的一系列個人信息保護功能讓App的個人信息收集無所遁形，而這樣的策略將會被越來越多移動智能終端生產(chǎn)企業(yè)采用。

9、網(wǎng)絡(luò)接入服務(wù)提供者有什么義務(wù)？

網(wǎng)絡(luò)接入服務(wù)提供者的義務(wù)是此次征求意見稿的亮點之一，突破了以往的App處罰措施。

網(wǎng)絡(luò)接入服務(wù)提供商是最貼近物理層的App相關(guān)方，主要承擔核驗App開發(fā)運營者的真實身份核驗以及應(yīng)監(jiān)管部門要求停止接入的義務(wù)，這是此前并未設(shè)置過的處罰措施。

對于海外機構(gòu)運營的App，因為在中國境內(nèi)可能沒有運營實體，也沒有在國內(nèi)的應(yīng)用商店下架，因此傳統(tǒng)的處罰措施可能威懾有限，但斷開接入可以直接適用于對此類App進行處罰，極大拓展了我國法律的適用范圍。