首頁 / 文章發布 / 君合法評 / 君合法評詳情

App合規系列 —— 企業如何上線App

2020.06.04 楊錦文 高健 李圓圓

隨著網絡信息技術的迅猛發展,互聯網已滲透進現代生活的每個角落并改變人們的生活方式。從早上起來刷朋友圈、中午叫外賣、晚上加班打車,到周末朋友小聚選餐廳、健身打卡留記錄,或者月底發工資、還房貸,以及節假日給家人發紅包、選禮物,人們要做的往往只是點開手機App。App的出現,創建了新的商業形態,企業通過運營App,可以全天候影響用戶的衣、食、住、行、學習、就醫、消費、金融等各個環節。


App能夠迅速擴大企業的受眾及關注量,成為企業在信息時代把握信息數據這一“新生產要素”的營銷利器。本文擬從企業運營App開展業務的角度出發,從App的界定、準入資質、相關行業備案管理、App安全認證、以及App在應用商店上架等相關環節,梳理企業應如何上線、運營App。


一、 App的界定及使用現狀


根據2016年公布的《移動互聯網應用程序信息服務管理規定》、2020年公布的《網絡安全標準實踐指南—移動互聯網應用程序(App)個人信息安全防范指引(征求意見稿)》,App又稱為“移動互聯網應用”(mobile internet application)、“移動互聯網應用程序”或者“移動智能終端應用軟件”,是指通過預裝、下載等方式獲取并運行在移動智能終端上、向用戶提供信息服務的應用軟件,包括在應用商店上架的軟件、移動智能終端預裝的軟件、小程序等。我們在手機、iPad上預裝或者下載的購物/打車軟件、以及微信/支付寶里面可以檢索到的北京健康寶等小程序,都屬于常見的App范圍。


根據國家互聯網信息辦公室的統計數據,截至2019年12月末,我國國內市場上監測到的App數量為367萬款,移動應用規模排在前4位種類(游戲、日常工具、電子商務、生活服務類)的App數量占比達57.9%,其他社交、教育等10類App占比為42.1%。在應用寶等第三方應用商店的App下載方面,截止2019年12月末,在架App下載總量達到9502億次。其中,音樂視頻類下載量達1294億次,下載量排第一位;社交通訊類下載量達1166億次,占到第二位;游戲類、日常工具類、系統工具類分別以1139億次、1075億次、1063億次排名三、四、五。在其余各類應用中,下載總量超過500億次的App還包括生活服務類(826億次)、新聞閱讀類(761億次)、電子商務類(593億次)和金融類(520億次)1。


二、 App相關法規及國家標準體系


自2015年以來,關于App的提供、運營管理,國家互聯網信息辦公室、工信部、市場監督管理總局、全國信息安全標準化技術委員會先后起草、制定了各種規范性文件及國標體系,簡要梳理如下: 


發布時間

發布部門

法規名稱

部門規章及規范性文件

1

2015年11月18日

工業和信息化部

關于《移動智能終端應用軟件(App)預置和分發管理暫行規定》征求意見的通知

2

2018年4月27日

工業和信息化部

工業和信息化部關于印發《工業互聯網App培育工程實施方案(2018-2020年)》的通知

3

2016年6月28日

國家互聯網信息辦公室

《移動互聯網應用程序信息服務管理規定》

4

2019年1月3日

中共中央網絡安全和信息化委員會辦公室,工業和信息化部,公安部,國家市場監督管理總局

《關于開展App違法違規收集使用個人信息專項治理的公告》

5

2019年3月13日

國家市場監督管理總局,中共中央網絡安全和信息化委員會辦公室

《市場監管總局、中央網信辦關于開展App安全認證工作的公告》以及附件《 移動互聯網應用程序(App)安全認證實施規則》

6

2019年3月13日

App違法違規收集使用個人信息專項治理工作組

《App違法違規使用個人信息自評估指南》

7

2019年5月24日

App違法違規收集使用個人信息專項治理工作組

《百款常用App申請收集使用個人信息權限情況》

8

2019年10月31日

工業和信息化部

工業和信息化部關于開展App侵害用戶權益專項整治工作的通知

9

2019年11月28日

國家互聯網信息辦公室,工業和信息化部,公安部,國家市場監督管理總局

《App違法違規收集使用個人信息行為認定方法》

國家標準

1

2020年1月20日

全國信息安全標準化技術委員會

關于征求《信息安全技術 移動互聯網應用(App)收集個人信息基本規范》國家標準意見的通知

2

2020年3月19日

國家互聯網信息辦公室,工業和信息化部,公安部,國家市場監督管理總局

關于對《網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)》公開征求意見的通知

3

2020年3月30

全國信息安全標準化技術委員會

關于《網絡安全標準實踐指南—移動互聯網應用程序(App)個人信息安全防范指引(征求意見稿)》公開征求意見的通知


此外,我們注意到相關行業主管部門也制定了針對特殊行業的App管理規范性文件,例如,教育部、中國人民銀行(互聯網金融協會)分別對所主管的教育行業、金融行業的App管理出臺了多個文件(請看后述四)。建議企業根據所處的行業領域,具體分析并及時關注主管行業部門的App管理相關要求。 


三、 準入資質


根據2016年實施的《移動互聯網應用程序信息服務管理規定》,企業通過App提供信息服務,應當依法取得法律法規規定的相關資質。但對于需要取得何種資質,管理規定沒有進一步澄清。


根據《電信業務分類目錄(2015年版)常見問題解答》,如果企業提供的APP相關服務,屬于經營《電信業務分類目錄(2015年版)》規定的電信業務的,應依法申請相應電信業務經營業務許可。按照《電信條例》的規定,電信業務一般分為基礎電信業務和增值電信業務兩大類,企業在實施電信活動之前,應事先取得相應的電信業務經營許可證。因此,我們建議企業在推出、運營App服務之前,應結合《電信業務分類目錄》的具體規定,分析并探討其業務是否落入以及落入哪一類的電信業務范圍,并事先申請辦理相應的電信業務經營許可證。


從實務層面而言,對于企業運營App服務業務是否需要辦理電信業務許可證,目前各地的電信管理部門的做法并不統一,大部分地方尚未開展針對App辦理電信業務許可證的業務,而部分地方對從事屬于《電信業務分類目錄》App業務的企業,經審核后授予了電信業務經營許可證。例如,我們注意到,經營某打車軟件的公司從北京市通信管理局獲得了信息服務業務許可證,而某知名第三方支付平臺公司也從上海市通信管理局也獲得了該信息服務業務許可證。


此外,需要注意的是,企業運營APP除可能涉及上述電信行業的準入之外,根據運營APP提供服務所涉及的不同行業,比如游戲、醫療咨詢、網絡視頻等,還需要根據行業主管部門的要求辦理相應準入資質。


四、 特殊行業備案管理


在健康醫療、教育、運輸物流、金融等特殊行業,企業在運營過程中會有更多機會接觸并處理個人信息、特別是個人敏感信息,因此相應行業主管部門對企業使用App向用戶提供服務予以更加嚴格的管理。以下以教育行業、金融行業為例,梳理該行業主管部門對企業運營App的備案管理的相關要求。


(一) 教育類App備案管理


1、備案要求及流程


根據教育部辦公廳于2019年11月發布的關于印發《教育移動互聯網應用程序備案管理辦法》的通知要求,以教育、學習為主要應用場景,服務于學校教學與管理、學生學習與生活以及家?;拥确矫娴腁pp運營企業,應分階段完成App的備案工作。備案工作將常態化開展,相關企業應于2019年12月1日至2020年1月31日前完成對現有教育移動應用的備案工作。


根據《教育移動互聯網應用程序備案管理辦法》的相關規定,教育類App的備案手續要求如下:


備案主體及主管機構

教育行政部門、學校、企業和社會組織應向其住所地或注冊地的省級教育行政部門辦理App提供者備案

備案平臺

國家數字教育資源公共服務體系http://app.eduyun.cn

一省備案、全國有效

教育類App提供者在注冊地備案后,無需在其他地區開展重復備案。分支機構開發的教育類App由總公司統籌匯總備案。

ICP備案及等級保護備案前置條件

教育App提供者應在完成互聯網信息服務備案(“ICP備案”)和網絡安全等級保護定級備案(“等級保護備案”,關于等級保護備案的一般手續可以參考《君合法評丨新基建與數字化轉型系列——新基建浪潮下企業開展網絡安全等級保護的關注要點》)后,才能進行教育類App提供者的備案。


2、備案現狀及ICP備案等前置條件的緩沖實施


根據教育部新聞辦的消息,在2019年12月25日至2020年1月14日期間,教育系統共完成了對605家企業的1300個教育App備案工作。


應當注意的是,由于作為前置條件的ICP備案及等級保護備案的實施需要一定的期間,完成備案的上述1300個教育App很有可能沒有履行ICP備案及等級保護備案。在教育部2019年11月的通知中,實際上也對ICP備案及等級保護備案的實施設置了緩沖期,即在2019年12月1日至2020年1月31日期間,ICP備案和等級保護備案并不作為App備案的前置條件。因此企業可以先進行教育App備案,然后在2020年1月31日前補充完成ICP備案和等級保護備案措施即可。根據教育部科技司2020年5月26日的最新公告,考慮到受新冠疫情的影響,教育部又將補充ICP備案和等級保護備案的期限延長至2020年6月30日2。


3、 ICP備案


根據《互聯網信息服務管理辦法》(2011修訂)的相關規定,對于從事非經營性互聯網信息服務3的企業實行備案管理,企業未經事先向省級電信管理機構履行備案手續,不得從事互聯網信息服務業務。此處的“非經營性互聯網信息服務備案”,就是上述教育類App備案的前置條件中所要求的互聯網信息服務備案——ICP備案。


我們注意到,對于運營APP進行服務的企業是否應辦理ICP備案,《移動互聯網應用程序信息服務管理規定》等法規其實沒有做出明確規定,實務操作也不統一。此次教育部在上述教育APP備案手續中明確將ICP備案列為前置條件。實務中,ICP備案手續實際上由工信部通信管理局主管,相關教育企業應與通信管理局溝通協調、辦理備案手續。


(二) 金融類App備案管理


1、 備案要求


2019年9月份以來,中國人民銀行、以及中國互聯網金融協會相繼發布加強移動金融客戶端App安全管理的通知、安全規范及行業規范性文件,強化對通過移動終端為用戶提供金融交易服務的App的備案管理工作。


根據相關規定,中國互聯網金融協會要求客戶端App提供方向中國互聯網金融協會辦理備案,對于已經發布并正常提供服務的金融App,企業原則上應當在2020年元旦起1年之內完成備案工作。


同時,中國互聯網金融協會加大了對客戶端APP的自律管理措施。協會將根據工作需要對客戶端App安全管理情況實施非現場和現場檢查??蛻舳薃pp提供方應當配合檢查,如實提供有關文件、資料,不得隱瞞、拒絕和阻礙。此外,對于認真執行備案自律工作的客戶端APP提供方,中國互聯網金融協會將采取通報表彰、應用商店推薦和新聞宣傳等正向激勵措施,促進備案App的推廣。


而對于未按要求辦理備案的App提供方,將面臨中國互聯網金融協會的自律懲戒措施、甚至被加入黑名單。具體而言,協會可以根據情形采取納入特別關注名單、約談、發警示函、強制培訓、業內通報、公開譴責、暫停受理備案、注銷備案等自律懲戒措施并報告相關金融管理部門;而對于情節嚴重的情形,協會可以將其記入客戶端App安全管理黑名單,并向金融管理部門提出行政處罰建議。


2、 備案基本流程及手續


備案機構及備案系統

中國互聯網金融協會
移動金融客戶端應用軟件備案管理系統: https://finapp.nifa.org.cn

備案主體

(因在中國境內開展業務而提供移動客戶端App的)各銀行業金融機構;證券公司、基金公司、期貨公司、私募投資基金管理機構;保險集團(控股)公司、保險公司、保險資產管理公司;清算機構;各非銀行支付機構等

備案材料

(一)客戶端軟件提供方信息;

(二)客戶端軟件信息;

(三)客戶端軟件安全內控管理制度;

(四)個人信息保護策略;

(五)客戶端軟件安全證明材料;

(六)有關管理部門、中國互聯網金融協會要求的其他相關材料

備案流程

  • 受理及核實:協會將通過實地調查、面談,征詢有關管理部門(包括監管部門和自律組織等)等方式對申請材料進行核實;

  • 辦理備案:經核實客戶端App備案材料符合要求的,協會應當在5個工作日內辦理備案, 及時通過備案系統和其他途徑進行公示,并頒發給備案編號和備案標志。


3、 備案實施情況


根據中國互聯網金融協會的消息,該協會自2019年12月啟動了金融App實名備案工作,由各金融從業機構通過移動金融客戶端應用軟件備案管理系統向協會登記有關備案信息。


2020年5月19日,中國互聯網金融協會對第一批擬備案移動金融App名單進行了公示,共有33家機構的73款客戶端App入選,包括工商銀行、民生信用卡、京東金融、支付寶、微信、平安健康、銀聯云閃付、陸金所、東亞銀行等。我們注意到,中國互聯網金融協會表示將持續做好客戶端軟件備案、風險監測等行業自律管理工作,建議金融機構關注相關動向,做好辦理App備案的準備。


五、 App安全認證


根據2019年3月公布的《市場監管總局、中央網信辦關于開展App安全認證工作的公告》,為落實《網絡安全法》、《消費者權益保護法》的要求,市場監管總局、中央網絡信息辦公室決定開展App安全認證工作。App安全認證采取“自愿+鼓勵”的方式,具體來說,國家鼓勵App運營者自愿通過App安全認證,對于通過認證的App,國家鼓勵搜索引擎、應用商店等明確標識并優先推薦,以此實施正向激勵。


根據《市場監管總局、中央網信辦關于開展App安全認證工作的公告》及相關安全認證實施規則、細則,App安全認證手續及流程如下:


認證依據

《信息安全技術個人信息安全規范》及相關標準、規范

認證機構及檢測機構

認證機構: 中國網絡安全審查技術與認證中心

檢測機構:由認證機構根據認證業務需要和技術能力確定

申請主體

通過App向用戶提供服務的網絡運營者(簡稱“App運營者”)、且取得市場監督管理部門或有關機構注冊登記的法人資格

認證申請資料

  1) 認證申請書;

  2) 法人資格證明材料;

  3) App版本控制說明;

  4) 對認證要求符合性的自評價結果及相關證明文檔;

  5) 對App符合相關安全技術標準的證明文件;

  6) 不同發布渠道的版本差異性聲明;

  7) 其他需要的文件。

認證流程

  • 受理:認證機構對申請資料進行審核后做出受理決定,并向認證申請方反饋受理決定。

  • 決定:認證機構根據申請資料、技術驗證結論和現場審核結論等進行綜合評價,做出認證決定。認證決定通過后,由認證機構向認證申請方頒發認證證書,并授權獲證App運營者使用規定的認證標志。認證決定不通過的,終止認證。

  • 時限:自作出受理決定之日起至作出認證決定所實際發生的工作日,一般為90個工作日(不包含整改時間)。

  • 證書保持:認證機構應對認證證書的有效期做出規定,超過有效期的認證證書自行失效。當認證規則要求(如標準)發生變化時,應在認證機構確定的轉換期限內完成換證。

持續監督

  • App運營者申請認證后,需通過技術驗證和現場核查的綜合評價,獲取證書后仍需持續進行獲證后自評價,并配合認證機構的監督活動,監督方式包括日常監督和專項監督。


六、 上架應用商店的相關要求


企業為了推廣其提供或運營的App,除了通過本公司的網站推廣、下載之外,通常也采用將App上架應用寶、Apple Store等應用商店的方式進行推廣。以下根據《移動互聯網應用程序信息服務管理規定》的相關要求,梳理App上架應用商店所面臨相關法律及合同上的要求。


首先,提供App的企業應當與應用商店簽訂服務協議,明確雙方權利義務,共同遵守法律法規和平臺公約。此外,應用商店將對App提供企業進行以下管理。如果APP提供企業違反這些規定,應用商店視情況將采取警示、暫停發布、下架應用程序等措施,保存記錄并向有關主管部門報告真實性、安全性、合法性等審核,建立信用管理制度。


(1)對App提供企業進行真實性、安全性、合法性等審核,建立信用管理制度,并向所在地省、自治區、直轄市互聯網信息辦公室分類備案;

(2)督促App提供企業保護用戶信息,完整提供應用程序獲取和使用用戶信息的說明,并向用戶呈現;

(3)督促App提供企業發布合法信息內容,配備與服務規模相適應的專業人員;

(4)督促App提供企業發布合法應用程序,尊重和保護App提供企業的知識產權。


其次,根據《移動互聯網應用程序信息服務管理規定》, 在應用商店上架以后,App提供或運營企業應當嚴格落實信息安全管理責任,履行以下義務:


(1)按照“后臺實名、前臺自愿”的原則,對注冊用戶進行基于移動電話號碼等真實身份信息認證;

(2)建立健全用戶信息安全保護機制,收集、使用用戶個人信息應當遵循合法、正當、必要的原則;

(3)建立健全信息內容審核管理機制,對發布違法違規信息內容的,視情采取警示、限制功能、暫停更新、關閉賬號等處置措施,保存記錄并向有關主管部門報告;

(4)尊重和保護知識產權,不得制作、發布侵犯他人知識產權的應用程序;

(5)記錄用戶日志信息,并保存六十日。


本文梳理了企業上線、運營App時應注意的準入資質、主管行業備案、App安全認證的相關手續,以及將App上架應用商店進行推廣的相關要求,希望為企業提供助益。同時我們注意到,在企業運營App過程中,出現了諸多非法收集用戶個人信息的嚴重問題,國家互聯網信息辦公室、工信部、公安部、市場監督管理總局多次發起違規App調查活動,對于App如何合法收集、處理用戶個人信息,我們將在后續的App合規系列文章中進行分析,敬請關注。


1.2019年我國移動應用程序(APP)數量增長情況http://www.cac.gov.cn/2020-02/17/c_1583491211996616.htm

2.教育部同時規定,自2020年7月1日起,將對未完成ICP備案和定級備案工作的教育App提供者予以通報,限時1個月進行整改。7月31日前未完成整改的,將撤銷教育App備案。

3.非經營性互聯網信息服務,是指通過互聯網向用戶無償提供具有公開性、共享性信息的服務活動。

君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
云南快乐十分彩票