近年来,随着经济的迅速发展,互联网作为经济运行的载体,其移动互联网应用程序(以下简称 App)的数量也随之增多,用户规模持续扩大,使用范围覆盖了经济生产和社会生活的各个方面。App既是移动互联网的重要载体之一,也是个人信息保护的重要领域。
目前,政府各部门对App上的个人信息保护工作高度重视,起草出台了一系列相关法律法规和国家标准进行规制,同时开展了一系列专项整治行动,大批存在侵害用户权益行为的App被通报整改乃至下架处理。本文作者将从各个角度详解被通报及下架的企业App的违法违规行为,希望对各个企业App起到警示作用。
一、企业App哪些违规行为可能会被通报
1.被通报的App数量分析
根据中华人民共和国工业与信息化部(以下简称“工信部”)App侵害用户权益专项整治行动专栏通知公告显示,《关于侵害用户权益行为的App通报》第一批开始于2019年12月19日,其中2019年通报了2批;2020年通报了7批;截止2021年8月25日,通报了9批;全部一共通报了18批,共计通报了1407个App。各批通报App数量趋势请见下图:
2.被通报的类别分析
从App被通报的侵害用户权益行为来看,从2019年底到现在,一共包括以下几种类型:违规收集个人信息;App强制、频繁、过度索取权限;违规使用个人信息;超范围收集个人信息;强制用户使用定向推送功能;欺骗误导用户下载App;应用分发平台上的App信息明示不到位;欺骗误导用户提供个人信息;应用分发平台管理责任不到位;账号注销难;私自共享给第三方;不给权限不让用等等。其中,违规收集个人信息、App强制、频繁、过度索取权限、违规使用个人信息是App整改下架的前三大原因。
二、企业App哪些违规行为可能会被下架
从工信部公布的通知公告来看,关于下架App最早的通报是在2020年1月3日,其中2020年发布的《关于下架侵害用户权益App的通报》一共6批,2021年1月至8月25日一共通报了6批,总共通报了12批。除了工信部之外,各地通信管理局也按照工信部App整治行动部署开展App监督检查,下架名单一并在App侵害用户权益专项整治行动专栏公示。各批通报App数量趋势请见下图:
总体来说,侵害用户权益行为的App通报与下架App的通报相对应,通报后一定期限后未完成整改的予以下架处理,发布下架App名单。此外值得注意的是,其中第十批下架的App中还通报了5家企业在App不同版本中反复出现同类问题,由监管部门依法暂停其违规行为,予以直接下架处理。因此,企业对于App中侵害用户权益行为应当积极进行整改,否则可能对自身的经营造成重大影响。
2.被下架的类别分析
从App被通报的侵害用户权益行为来看,出现问题最多的仍然是个人信息收集使用领域,包括违规收集、使用个人信息、超范围收集个人信息、欺骗误导用户提供个人信息;其次是App强制、频繁、过度索取权限。总体来看,违规收集使用个人信息和App强制、频繁、过度索取权限是App通报下架的前两大原因,其中违规收集使用个人信息是最主要原因。
根据《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,被下架的App完成整改并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
值得注意的是,根据上述暂行规定,被下架的App在40个工作日内不得通过任何渠道再次上架,因此一旦被下架,将对App的经营造成极大影响,需要企业引起重视,做好日常的App自评估和合规工作,防止整改下架情况发生。
三、企业应当如何整改?
根据工信部的通知,对企业App通报整改的主要法律法规依据包括《网络安全法》《个人信息保护法(已发布尚未生效)》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》《移动智能终端应用软件预置和分发管理暂行规定》等。其中《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称 暂行规定)中规定了前述五类监管对象应当履行的个人信息保护义务,同时也属于对各类主体的整改要求,我们对此进行了梳理和总结,详见下表:
除了对于各个分类主体的监管要求之外,暂行规定还列举了对于从事App个人信息处理活动的相关主体的通用要求,例如加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则;应当以清晰易懂的语言告知用户个人信息处理规则等。这些要求与App相关其他法规基本一致。
四、企业将被采取哪些监管措施?
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》中明确,发现App从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施。
除此之外,对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施;构成犯罪的,还将由公安机关依法追究刑事责任。
被下架的App完成整改并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
五、企业App合规建议
目前,政府部门高度重视App中的个人信息保护工作。工信部连续两年开展专项整治行动,重点整治包括App违规收集使用个人信息、App强制、频繁、过度索取权限等问题。同时,监管部门畅通投诉举报通道,任何组织和个人发现违反暂行规定行为的,可以向监管部门或中国互联网协会、中国网络空间安全协会投诉(通过互联网信息服务投诉平台(https://ts.isc.org.cn/)或12321)举报。
面对日趋严格的监管动态,企业可采取以下措施:
1.根据暂行规定等相关法律法规和国家标准,对App进行自评估,检查有无违法违规收集使用个人信息等问题,如果存在应当积极按照要求进行规范整改。
2.重点规范整改目前着重整治的违规收集个人信息、App强制、频繁、过度索取权限、违规使用个人信息、超范围收集个人信息等问题。
3.制定个人信息保护内部管理制度,建立相关内部控制制度,加强人员教育培训,建立健全相关应急预案。
4.积极落实网络安全等级保护工作,依法按照相应的级别开展相应的等级测评、制度建立、开展自查、备案报告等工作。
5.持续关注App方面的法律法规出台情况和监管动态,根据政府部门的监管动向随时调整App收集使用个人信息的规则和相应的程序操作处理规则。
综上所述,企业App一旦被通报整改下架,将对企业的运营管理、现金流、资金链乃至企业信誉带来非常大的影响。如果App被通报,企业应当引起足够重视,立即与专业人士沟通,在其指导下在期限内积极整改,防止App下架对企业带来重大不利影响。
END