聚焦App提供者及分发平台合规义务——《移动互联网应用程序信息服务管理规定》要点解读
聚焦App提供者及分发平台合规义务——《移动互联网应用程序信息服务管理规定》要点解读
国家互联网信息办公室于2022年6月14日发布了新修订的《移动互联网应用程序信息服务管理规定》(“新《规定》”),新《规定》将于2022年8月1日正式施行,这是对现行《移动互联网应用程序信息服务管理规定》(“2016年《规定》”)的全面修订,新《规定》不仅条款增加了一倍有余,同时还调整了移动互联网应用程序信息服务监管的整体构造,新规分为“总则”、“应用程序提供者”、“应用程序分发平台”、“监督管理”、“附则”五部分,本文将就其中核心要点予以解读,厘清App提供者和App分发平台的最新合规义务。
一
总则部分修订要点
相较于2016年《规定》,为适应立法发展及实践情况变化,新《规定》在总则部分调整了移动互联网应用程序信息服务管理的制定依据与适用范围,本文将就此进行详细解读。
(一)适应时代变化 调整制定依据
2016年《规定》生效时,《中华人民共和国网络安全法》(“《网络安全法》”)等与网络安全、数据保护相关的法律均未发布。不过近两年我国对此关注度日益提升,正在逐渐形成以《网络安全法》《中华人民共和国数据安全法》(“《数据安全法》”)《中华人民共和国个人信息保护法》(“《个人信息保护法》”)为框架的网络安全与数据合规治理体系,同时因互联网应用程序新功能、新模式不断涌现,由此产生的法律风险也不断增加,基于此,为应对新形势发展,使法规契合我国整体的立法逻辑,新《规定》一方面将其制定依据扩大为“《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》”另一方面在具体规定中也吸纳了相关立法的精神和要求,这一调整使新《规定》的内容更为全面,也更为契合我国对移动互联网应用程序进行管理的现实需要。
(二)明确定义内涵 扩大适用范围
相较于2016年《规定》,新《规定》增加了对“应用程序信息服务”与“应用程序分发服务”的定义,并且在具体表述上采用了概括与列举相结合的形式,不仅较为全面地明确了相关定义的内涵和外延,同时也便于社会公众理解。
值得注意的是,2016年《规定》的适用范围仅包括“通过移动互联网应用程序提供信息服务”与“从事互联网应用商店服务”两类,新《规定》在后者的基础上将适用主体扩大为“应用程序分发平台”,除2016年《规定》监管的“应用商店”之外,快应用中心、互联网小程序平台、浏览器插件平台等主体也被明确纳入监管范围,此举系适应形势发展的新举措,相关主体须注意这一变化,以按要求履行合规义务,避免合规风险。
二
应用程序提供者核心义务要点
新《规定》下的义务从主体的角度主要可分为两部分,其一为应用程序提供者的义务,其二为针对应用程序分发平台的义务。就应用程序提供者而言,新《规定》第二章(第六条到第十六条)规定了多项合规义务,如落实用户实名制(第六条)、提供互联网新闻信息服务应取得许可(第七条)、建立健全信息内容审核管理机制(第八条)、不得虚假宣传、捆绑、诱导下载(第九条)、履行网络安全、数据安全、个人信息保护义务(第十条至十二条)、履行未成年人网络保护义务(第十三条)、安全评估义务(第十四条)、公开管理规则(第十六条)、处置违规账号(第十六条)等。
应用程序提供者应当格外注意新《规定》新增及变化的各项义务,以满足合规标准,以下笔者将重点介绍其中部分合规要点。
(一)信息审核义务
在2016年《规定》的第七条中,监管部门已经明确了“建立健全信息内容审核管理机制”的重要性。但对于如何具体落实“信息内容审核管理机制”,2016年《规定》并未展开详细的论述。此后,《网络安全法》《网络信息内容生态治理规定》等规定均再次强调或细化了该项合规要求。在将前述规定作为制定依据的基础上,新《规定》进一步强调“应用程序提供者应当对信息内容呈现结果负责”,该表述更为严厉,如仅从字面进行理解,即使实践中应用程序提供者已经建立了信息内容审核管理机制,但如果最终呈现的内容仍存在违法违规的情况,则应用程序的提供者也有可能需要承担责任,相关部门是否会采取此种相对严格的监管口径仍有待执法实践进一步确认。
此外,“对信息内容呈现结果负责”中的责任类型亦值得进一步探讨,新《规定》第二十五条明确“应用程序提供者和应用程序分发平台违反本规定的,由网信部门和有关主管部门在职责范围内依照相关法律法规处理。”此项责任在表述上主要为行政责任。但是,如违法违规内容对于其他民事主体造成损害,受损害的一方除追究信息发布者的责任外,能否根据“对信息内容呈现结果负责”这一条款要求应用程序提供者承担民事责任?这一点同样有待司法实践在未来予以回应。
同时,新《规定》在罗列应用程序提供者所需采取的具体措施时,采用了“等管理措施”这一表述。笔者理解,这可能意味着,应用程序提供者不仅需要按照新《规定》进行信息审核,同时需要履行其他相关法律、法规中设定的信息审核义务。例如《网络信息内容生态治理规定》规定,网络信息内容服务平台应对违法信息、不良信息[1]进行审核,并采取处置措施,《互联网跟帖评论服务管理规定(修订草案征求意见稿)》第四条要求“对跟帖评论信息内容实行先审后发”等。我们理解,如监管部门对前述“等管理措施”采取较为宽泛的解释,则各类与内容治理有关的规定均存在被该条款引用并转化为应用程序提供者义务的可能性。据此我们亦建议相关企业加强内容审核的合规意识,除履行新《规定》明确罗列的义务外,还应当注意其他法律法规关于内容治理的法定义务,以降低合规风险。
(二)安全评估义务
新《规定》第十四条规定“应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。”这一义务并非是新《规定》首创,《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(“《安全评估规定》”)已经规定具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的,应当开展安全评估。《互联网信息服务算法推荐管理规定》第二十七条亦如此规定。
至于“舆论属性或者社会动员能力的”的含义为何这一问题,我们理解,基于立法的一致性原则,可以参考《安全评估规定》第二条的规定,即“开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能”或者“开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务”。与前述规定有关的技术、应用及功能均可能落入新《规定》第十四条的范畴,需要进行安全评估。
需要提示的是,虽然依照文义解释,在“上线”具有舆论属性或者社会动员能力的“新技术、新应用、新功能”时才需要进行安全评估,但是鉴于《安全评估规定》已经生效,如应用程序提供者的既有技术、应用或功能符合此类情况,也应当要按照《安全评估规定》的要求进行安全评估。
(三)对注册用户的管理及违规报告义务据
新《规定》第十六条规定“应用程序提供者应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议。”且在注册用户存在违反法律法规及服务协议的情况下,应用程序提供者应当采取警示、限制功能、关闭账号等处置措施,且需要将相关记录保存、向主管部门报告。
但因规定里并未指明此处报告的具体内容,可能会在实践中产生一定困扰,需要在后续法律实践中进一步厘清。一方面,报告内容的详细标准会影响到应用提供者自身的合规义务。例如,在报告时应当仅报告被采取处置措施的账户数量,还是必须精确到每个账户的注册用户信息?如果以后者为标准,则报告内容中很可能涉及到个人信息,应用提供者在履行报告义务的同时,就亦须遵守《个人信息保护法》中关于个人信息对外提供的相关法律义务。另一方面,前述标准的差异亦会对于工作量产生影响,如果报告内容较为细致,应用提供者甚至是监管部门都可能将会面临较大的负担。
因此,虽然对注册用户管理及违规报告义务看似相对简单,但是其具体标准对于实践依然非常重要,有待相关部门予以明确。
(四)相关法律、法规的合规义务
新《规定》中对应用程序提供者的义务做了相对完善的规定,但是企业在进行合规时不应仅局限于新《规定》,还需要关注相关法律法规对其设定的义务。
例如,新《规定》第七条强调“应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可”。此处的互联网新闻信息服务许可取得的具体要求及权利义务内容可参考《互联网新闻信息服务管理规定》,需要提示企业注意,互联网新闻信息服务包括互联网新闻信息采编发布服务、转载服务、传播平台服务,因此即使是转载新闻信息也需要取得相应的许可。另外《互联网新闻信息服务许可证》有效期仅为三年,而非长期有效,有效期满前企业应当按要求申请续办。
再如,新《规定》删除了2016年《规定》关于日志信息保存期限的规定,但这并不意味着应用程序提供者无需再留存网络日志,依照《网络安全法》第二十一条的规定“留存相关的网络日志不少于六个月”,应用程序提供者应按照《网络安全法》的规定履行合规义务。
最后,新《规定》第十三条明确“不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务”,此前《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》(“《通知》”)对网络游戏防沉迷措施做出了较为详细的规定,网络游戏应用程序在设置防沉迷措施时可参照其规定,不过此次新《规定》扩大了防沉迷措施的适用范围,在其生效后,不仅网络游戏,所有的应用程序都需要设置防沉迷措施。不过,就“防沉迷措施”的标准,新《规定》尚未作出细化,例如是否必须设置“青少年模式”,对于未成年人用户是否在使用一定时长后必须强制下线等,均有待监管部门通过实践或细则的方式作出进一步要求。
三
应用程序分发平台的核心义务要点
就应用程序分发平台的义务而言,新《规定》第十七条到第二十一条规定了其应履行的多项合规义务,如上线备案义务(第十七条)、按类别向省级网信部门备案上架的应用程序(第十八条)、申请上架的应用程序提供者进行真实身份信息认证并公示(第十九条)、建立健全管理机制和技术手段(第二十条)、对申请应用程序进行审核(第二十条)、公开管理规则并与应用程序提供者签订服务协议(第二十一条)、对违法、违规、违约应用程序采取处置措施(第二十一条)。
应用程序分发平台应当格外注意新《规定》中的上线备案义务、真实身份信息认证并公示义务、审核义务等规定以及时合规。
(一)上线备案义务
2016年《规定》第五条明确“从事互联网应用商店服务,还应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。”新《规定》延续了应用程序分发平台的上线备案义务,并进一步明确备案时应提交的材料,此举有助于便利公众知悉备案流程。其中,依照新《规定》第十七条的要求,应用程序分发平台上线备案时须提交“平台管理规则、服务协议”,在实践中,应用程序分发平台的管理规定与服务协议会根据实际情况及法规变化而调整,该等调整可能几个月就进行一次。因此,调整后的内容是否要重新进行备案就成为实践上可能面临的问题。如需重新进行备案,则可能会对省级网信部门及程序分发平台造成一定程度的负担;反之,如备案义务仅在应用程序分发平台上线运营时需要履行,则该等备案的“平台管理规则、服务协议”可能很快过时,是否仍然可以满足监管需要或许会存在疑问。
(二)真实身份信息认证并公示义务
新《规定》第十九条明确“应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。”由此可知,应用程序分发平台在审核申请上架的应用程序提供者时应当基于至少两种信息进行复合验证以确认应用程序提供者的真实身份信息。不过核验信息的具体种类及数量尚待立法者或监管实践进一步明确。在公示层面,应用程序提供者名称及统一社会信用代码等信息都需要公示还是任选其中部分内容即可?实践中,部分应用程序分发平台目前仅提供了应用程序提供者的名称,如未来统一社会信用代码等信息亦被纳入公示范畴,则此类主体可能都需要进行整改。
(三)审核义务
根据新《规定》第二十条的规定,应用程序分发平台不仅应对申请上架和更新的应用程序进行审核,还应当加强对在架应用程序的日常管理,在应用程序含有违法和不良信息、数据造假等情况时,不得为其提供服务。
新《规定》虽规定了应用程序分发平台的审核义务,但并未明确其如何做才满足合规要求。例如,分发平台仅需要采取审核行为即可,还是应当保证审核结果的准确性?此处尚待立法机关或监管实践予以进一步明确,故企业可时刻关注立法动态及实践情况,及时调整自身的合规标准。
此外,在发现违法、违规、违约应用程序后,采取处置措施如警示、暂停服务、下架等是我国当前对应用程序监管的常见手段,我们理解,应用程序分发平台可根据相关应用程序违规后的情况采取对应的措施。需要注意的是,应用程序分发平台在采取处置措施后需要“保存记录并向有关主管部门报告”,此处报告的具体内容立法者并未明确。考虑到应用程序分发平台采取处置措施的数量可能较多,如果所有处置措施都需要报告给应用程序分发平台和主管部门,其负担可能会较大。
综上,我们理解本次新《规定》是根据实践情况对原有2016年《规定》的全面升级与完善,扩大了其适用范围,更新了制定依据,加强了对应用程序提供者、应用程序分发平台的监管,有利于推动移动互联网应用程序信息服务稳定发展。可预见的是,未来针对App的各方面监管会更加严格,我们建议相关企业尽快依照新《规定》履行合规义务,并及时关注相关立法新规,以完善企业整体的合规体系。
[注]