与此同时,各部门也大力推动提升移动互联网应用服务质量,切实维护用户合法权益,取得积极社会成效。不过部分企业服务行为不规范、相关环节责任落实不到位等问题仍时有发生。随着新情况新问题不断出现,国家层面适应新形势发展,不断修订旧规、发布新规。
政策“组合拳”治理APP
2022年6月,网信办发布新修订的《移动互联网应用程序信息服务管理规定》( 下称新《规定》 ),旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。
新《规定》要求,应用程序提供者和分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
去年年底,为规范移动互联网应用程序信息服务管理,进一步压实应用程序分发平台主体责任,网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动,加强移动互联网应用程序全链条管理,着力解决损害用户合法权益的突出问题。
在搜索查找环节,专项行动重点打击“山寨APP”,严厉打击各类假冒APP以相似标志、图片、文字以假乱真,欺骗用户访问下载、违规收集个人信息、传播不良有害信息。
在下载安装环节,专项行动集中整治强制、捆绑下载安装,重点治理应用程序关闭、退出等按钮失灵,未经用户同意自动下载安装的行为。严厉打击通过默认勾选标记,误导用户点击下载安装捆绑软件的行为。严厉打击以赚钱为诱饵诱导用户下载,重点治理应用程序分发平台恶意推广赚钱类应用程序。
专项行动还针对运行使用环节的问题,要求全面整治各类应用程序弹窗多且难屏蔽的问题。严格规范功能设置,从严整治应用程序设置卸载障碍、强制自动续费等严重侵害用户权益的行为。同时,严厉打击诱导充值,从严惩处应用程序诱导未成年人充值消费。
今年2月,工信部印发《进一步提升移动互联网应用服务能力的通知》( 下称《通知》 ),围绕提升用户服务感知、提升行业管理能力,即“两提升”,共提出26条措施。一是聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等,针对性提出改善用户服务感知的12条措施。二是从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即APP开发运营者、分发平台、SDK( 软件开发工具 )、终端和接入企业,提出14条措施。
提升用户服务感知,强化“守门人”责任
《通知》从规范安装卸载、优化服务体验、加强个人信息保护、响应用户诉求等关键点方面提出要求,保障用户知情权、选择权,维护群众合法权益。
关于规范安装卸载,《通知》提出3方面要求:一是确保知情同意安装,二是规范网页推荐下载行为,三是实现便捷卸载。
围绕用户广泛关注、反映较为突出的问题,《通知》提出4点要求。一是窗口关闭用户可选。对于开屏和弹窗信息窗口难以关闭、“摇一摇”乱跳转等问题予以规范。二是服务事项提前告知。清晰明示产品功能权益及资费等内容,特别是存在开通会员、收费等附加条件的应显著提示。三是启动运行场景合理。在非服务所必需或无合理场景下,不得进行自启动、关联启动、或者唤醒、调用、更新等行为。四是服务续期及时提醒。在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户,并提供便捷的退订和取消途径。
《通知》聚焦超范围收集使用个人信息、规则告知不充分、过度索取权限等群众反映突出的问题,进一步细化相关要求。不得强制要求用户同意超范围或者与服务场景无关的个人信息处理行为;通过简洁、清晰、易懂的方式告知用户个人信息处理规则,发生变动应及时告知;在业务功能启动时,动态申请所需权限,特别是在调用终端相册、通讯录、位置等权限时,应同步告知用户申请该权限的目的。
在提升行业管理能力方面,《通知》指出,推动APP开发运营者练好“内功”,提高用户权益保护的意识和能力,是强化源头治理的根本。首先,完善内部管理机制。明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节。其次,增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护,做好监测和风险处置。再次,按照“谁使用,谁负责”的原则,加强对所使用SDK的管理。
分发平台作为连接APP开发运营者和用户之间的桥梁,要落实好“守门人”责任。《通知》着重从事前、事中、事后3个方面指导分发平台“守好门、把好关”,事前要严格APP上架审核,事中要强化在架APP巡查以及事后要完善分发管理机制。
构建“双全”治理体系
“移动互联网应用服务涉及APP开发运营、分发、运行等多个链条,需要行业上下游各企业主体加强协同、共同努力营造健康的服务生态。”工信部相关负责人在解读《通知》时称。
《通知》聚焦行业发展出现的新问题,提出体系化治理新思路,着力构建“全流程、全链条”综合治理体系。
SDK作为软件开发工具,主要作用是为APP开发运营者提供定位、支付、社交、广告等成型的功能程序模块,让APP开发成本更低、迭代更迅速、功能更丰富。近年来,SDK功能不断拓展,专业化程度越来越高,是APP开发运营的必要工具。据统计,目前主流APP中基本都嵌入使用了SDK,平均每款APP使用SDK的数量约20款,已然成为移动互联网应用服务链条上的重要环节。
SDK和APP作为行业上下游,紧密关联。《通知》从SDK自身以及使用者APP两个角度提出规范要求。从APP的角度,加强SDK使用管理,对SDK进行个人信息保护能力评估,通过合同等形式明确约定各自责任,集中展示并及时更新嵌入的SDK相关信息。从SDK角度,建立信息公示机制,明示基本信息及个人信息处理规则;优化功能配置,明确SDK功能及其对应的个人信息收集范围;加强服务协同,向APP开发运营者提供合规使用指南。
智能手机等终端作为安装运行APP的载体,要更好发挥底层管控的技术优势,筑牢保障用户权益的安全防线。对此,《通知》提出强化终端的3个能力。一是运行管理能力。为用户提供APP自启动和关联启动的关闭功能以及便捷的相关设备识别码重置选项,监测防范未经用户同意私自启动、下载、安装等行为。二是记录提醒能力。增强对APP权限调用行为的记录能力,建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制。三是风险预警能力。推动开展APP电子签名认证,向用户进行预警提示,提高对仿冒、不良、违规等风险APP的识别能力。
在推动《通知》落实方面,该负责人强调:“各部门应加强协同,构建完善政府监管、行业自律、社会监督、用户参与的共治格局,为群众提供高质量的移动互联网应用服务。”
