《窥一斑而知全豹:2023年度APP治理全景梳理与展望.docx》由会员分享,可在线阅读,更多相关《窥一斑而知全豹:2023年度APP治理全景梳理与展望.docx(15页珍藏版)》请在优知文库上搜索。
1、窥一斑而知全豹:2023年度APP治理全景梳理与展望作者:蔡鹏(中伦律师事务所)高维钊(中伦律师事务所)陈雨婕(中伦律师事务所)发布日期:2024.02.26一、引言根据有关数据显示,2023年中国移动互联网用户总规模达到12.27亿。中国几乎所有的行业和人群均被移动互联网无缝覆盖。而APP、小程序等作为移动互联网时代最核心的应用,一直是监管部门在个人信息保护领域的重点监管对象。本文针对2023年度APP、小程序等治理和监管进行了全景梳理,试图从监管部门的执法中,梳理有关合规重点和企业应对方案,并进一步分析移动互联网产业数据保护的趋势,以期为相关企业的数据治理和合规应对提供帮助和启示。二、监管
2、框架近年来,监管部门已建立了一套“事前(备案)-事中(检查)-事后(通报)”的APP治理全流程监管路径: 事前监管-备案。2023年8月4日,监管部门针对APP事前备案做出了进一步的规定,发布关于开展移动互联网应用程序备案工作的通知(工信部信管(2023)105号,简称“APP备案通知”),以规范APP、小程序上线前备案事宜。 事中监管-检查。自2019年1月起,监管部门接连发布关于开展APP违法违规收集使用个人信息专项治理的公告关于开展APP侵害用户权益专项整治工作的通知关于开展纵深推进APP侵害用户权益专项整治工作的通知(工信部信管函(2020)164号,简称“164号文”)关于开展信息通
3、信服务感知提升行动的通知(工信部信管函(2021)292号)以及关于进一步提升移动互联网应用服务能力的通知(工信部信管函(2023)26号,简称“26号文”),以开展APP专项治理活动。 事后监管-通报。违规APP(SDK)侵犯用户权益行为的通报,已成为监管部门最常用的监管手段。三、APP违规通报全景回顾由于事前监管和事中监管均有明确的法律依据,有关流程趋向成熟。而APP事后监管则呈现出多样化、多维度和多层级治理之势。据此,本文重点对2023年度发生的APP事后监管特点进行梳理。1 .监管部门通报特点(1)工信部门为违规APP通报主要监管部门通过梳理监管通报我们很容易发现,工信部门是违规APP
4、监管通报的主力军。无论是工信部还是地方通管局,违规APP通报成为了监管部门的日常活动,通常每月会发布一批违规APP通报。在工信部层面,2023年共计通报9批次违规APP(SDK),在地方通管局层面,以浙江为例共计通报12批次违规APPo在网信层面,网信部门作为个人信息保护工作的统筹协调部门,在过去的一年中很少发布针对违规APP的通报,仅浙江网信办在2023年11月集中通报了156款浙江属地的违规APP。虽然网信部门未开展常规违规APP的通报工作,但是网信部门针对APP的违规检测行为也在持续开展。国家网信办下属单位中国网络空间安全协会持续针对各类APP个人信息收集情况进行测试,并将测试结果公开发
5、布。我们可以预测,网信部门在后续亦有可能通过违规通报的方式开展APP的监管工作。(2)国家和地方层面关注的产品形态不同在通报的违规产品形态方面,APP、小程序和SDK均是监管部门关注的产品形态。通过梳理我们发现,国家和地方层面的监管部门关注产品形态的重点不同。 在国家层面,自2022年第一批监管通报开始,工信部已针对SDK违规收集用户信息进行了专项检测,并针对违规情形对外通报。 在地方层面,北京、浙江重点关注APP的合规,其通报的违规产品为全部为APP产品,而上海、广东两地通报的产品形态既包括APP也包括微信小程序。目前地方层面尚未针对SDK进行重点关注。(3)各地监管部门通报违规APP流程不
6、同通过监管部门发布的通报的内容中也可以看出,在国家和地方层面对于通报违规APP的流程也有所不同。 在国家层面,根据工信部发布的通报内容,我们发现监管通常会先圈选一部分群众关注的特定类型的APP、SDK以及小程序,如第三方机构检测发现侵犯用户权益行为,即予以通报,被通报的APP、SDK以及小程序应按照要求整改。 在地方层面,根据北京和广东的通报内容可以发现,在违规APP被通报前,监管部门会要求相关产品进行整改,如未整改或未按照要求整改的,则可能被通报,如被通报后仍不整改的,则会被进一步通报下架。2 .工信部及重点地方通管局通报内容梳理本部分重点梳理了工信部以及互联网企业较为活跃的地方通管局(北京
7、、上海、广东、浙江)的全部通报内容,从不同维度、不同特点对典型违规行为、常见违规APP类别等进行数据分析,以可视化的方式展现2023年度违规APP通报重点内容。(1)工信部a.通报的APP(SDIo、小程序数量梳理从工信部对外公开发布的信息来看,工信部在2023年共计通报9批次存在侵害用户权益行为的APP(SDK)及小程序,累计292款,涉及229款APP,19款小程序以及44款SDKo从通报的APP、SDK和小程序的数量来看,APP虽然仍是监管的重点对象,但同时SDK也逐步成为工信部的监管重点。工信部2023年通报 APP/SDK/小程序数工信部2023年通报b.违规情形梳理在通报的存在侵害
8、用户权益行为的APP(SDK)及小程序中,共计通报了19类违规行为,其中强制、频繁、过度索取权限是被通报最多的违规情形,远超其他的违规行为。除了权限问题外,违规收集个人信息,欺骗误导强迫用户以及超范围收集个人信息也是常见的侵犯用户权益的违规行为。工信部2023年通报 具体违规行为通报次数(2)北京通管局a.通报、下架的APP数量梳理从北京通管局对外公开发布的信息来看,北京通管局在2023年共计通报11批次存在侵害用户权益行为的APP,累计通报150款APP、下架70款APP。其中,被通报后并未按照要求完成整改,从而被下架的APP多达67款。北京通管局2023年通报Mi-Ittas第二批通报第三
9、批通报第四M通掖第五IItifl报第六枇通报SIt批通报第八批通报第九MiIiS第十戕通报第十一批通报b.违规情形梳理在通报的存在侵害用户权益行为的APP中,共计通报了22类违规行为,通报次数最多的违规行为包括未经用户同意收集使用个人信息,应用数据任意备份风险,违反必要原则收集个人信息,未明示收集使用个人信息的目的、方式和范围以及APP频繁自启动和关联启动。此外,较之其他的地方通管局,北京通管局通报的违规行为更加细致和丰富,除了164号文列明的整治内容外,还包括安全JanUS签名机制漏洞、呢bview远程代码执行漏洞、ZiP文件解压目录遍历漏洞、开屏弹窗信息骚扰用户、威胁数据安全问题以及未移除
10、有风险的Webview系统隐藏接口漏洞等涉及技术安全的问题。北京通管局2023年通报通报和下架的APP具体违规行为120通报APP下架APP(3)上海通管局a.通报的APP数量梳理从上海通管局对外公开发布的信息来看,上海通管局在2023年共计通报4批次未按照要求整改APP及小程序,累计91款,涉及69款APP、22款小程序。上海通局2023年通报 APPJWJMB APP ,he序上海通局2023年通报 APP4可序b.违规情形梳理在通报的未按照要求整改的APP及小程序中,共计通报了11类违规行为,通报次数最多的违规行为包括违规收集个人信息,APP强制、频繁、过度索取权限以及未明示个人信息处理
11、规则。值得关注的是,上海通管局特别关注了响应用户投诉以及行权问题,在2023年通报了未承诺投诉处理时效以及未及时响应用户诉求的违规行为。上海通管局2023年通报具体违规行为通报次数(4)广东通管局从广东通管局对外公开发布的信息来看,广东通管局在2023年共计通报8批次未按照要求整改的APP及小程序,累计321款,以及7批次要求下架的APP及小程序,累计128款。广东通管局2023年通报APP/小程序数量下架蝠序,26a.未按照要求整改的APP及小程序通报数据梳理在通报的未按照要求整改的APP及小程序中,共计9类违规行为被通报,其中:在违规APP中最为常见的违规行为体现为违规收集个人信息、违规索
12、取权限以及频繁自启动和关联启动;在违规小程序中最为常见的违规行为体现为违规收集个人信息、APP强制、频繁、过度索取权限以及账号注销难的问题。广东通管局2023年通报未按照要求整改的APP及小程序的违规行为300 APP 小程序b.要求下架的APP通报数据梳理在通报的要求下架的APP及小程序中,共计通报了8类违规行为。要求下架的APP及小程序通常是在前一批次已经通报过,但仍未按要求整改的APP及小程序。从数据中也可以看出,APP及小程序难以整改的突出问题仍集中在违规收集个人信息、违规索取权限以及频繁自启动和关联启动上。广东通管局2023年通报下架APP及小程序的违规行为1201008060402
13、0 APP BJy0(5)浙江通管局从浙江通管局对外公开发布的信息来看,浙江通管局在2023年累计通报了12批次的违规APP,累计171款,以及1个批次要求下架的APP,共计42款。值得特别关注的是,浙江通管局在通报过程中,会将APP进行分类。通过分析可以发现,浙江通管局针对APP的分类主要依据常见类型移动互联网应用程序必要个人信息范围规定中常见APP的分类。a.以APP类型为维度在2023年,浙江通管局通报了27类常见APP的违规行为,其中:被通报的违规APP中,实用工具类、网上购物类、即时通信类APP数量最多,占总通报APP数量约45%。此外,在北京通管局通报的违规APP的类别中,学习教育
14、类违规APP的数量最多,而在上海通管局通报的APP类型以网络游戏类和房屋租售类APP居多。从通报的APP类型可以看出各地通管局针对不同类型APP的关注度的差异。有5大类型的APP被通报超过了IO款产品,包括实用工具类、网上购物类、即时通信类、学习教育类以及网络社区类APP。浙江通皆局2023年通报APP类型及数b.以常见违规行为为维度在通报的未按照要求整改的APP中,共计9类违规行为被通报。从数据中也可以看出,违规收集个人信息、违规使用个人信息、超范围收集个人信息、违规索取权限以及频繁自启动和关联启动为最常见的违规行为。9%浙江通管局2023年通报未按照要求整改APP的违规行为14012010
15、0806040200买用工具类网上购物类即时通信类学习貌育类网络社区类本地生活类房屋租售类新闻资讯类,演出票务类C.下架的APP在通报的要求下架的APP中,共计通报了5类违规行为。从数据中也可以看出,违规收集个人信息、违规索取权限是最难以完成整改的典型违规行为。浙江通管局2023年通报下架APP的违规行为收集个人信息违规使用个人信息超范图收集个人信息APP强制、频繁、过度索取权限AP喷酷自启动和关联启动户使用定向推送功能四、APP典型违规行为合规启示1 .违规处理个人信息的典型行为与合规启示在个人信息处理全生命周期中,工信部和地方通管局均关注的违规行为包括:违规收集个人信息、超范围收集个人信息、收集个人信息明示告知不到位、违规处理个人信息(含开展自动化决策)、违规向他人提供个人信息、强制用户使用定向推送功能等。据此,我们根据上述关注重点,结合法律法规的要求以及实践经验,作出合规提示如下:tA6MN*AaWFrBM)*三rHIMWewtxfA*
免费区 