App备案尘埃落定,重要数据、数据安全风险评估、App安全管理再添新国标

来源:TMT法律论坛

文章摘要
近日,在App治理方面,继App备案尘埃落定后,信安标委发布App生命周期安全管理指南,细化了App生命周期阶段管理和风险监测管理的安全管理规定。

近日,在App治理方面,继App备案尘埃落定后,信安标委发布App生命周期安全管理指南,细化了App生命周期阶段管理和风险监测管理的安全管理规定。在个人信息保护方面,北京市网信办发布了关于扫码消费服务违规收集使用消费者个人信息的案例解析及合规指引,进一步规范扫码消费服务经营行为,保护消费者个人信息合法权益。此外,信安标委近日接连发布多份国家标准公开征求意见,聚焦重要数据处理安全要求、数据安全风险评估等关键领域,旨在为企业处理重要数据、开展数据安全风险评估工作提供实操指引。
一、HOTSPOT 热点洞察
1、App备案的五个焦点问题速览
2023年8月4日,工信部印发《工业和信息化部关于开展移动互联网应用程序备案工作的通知》(以下简称“《应用程序备案通知》”)。为此,我们梳理了与《应用程序备案通知》相关的五个焦点问题,供企业参考。
一、如何理解应用程序备案?非经营性应用程序是否也需备案?
根据《应用程序备案通知》,应用程序备案实质上成为了应用程序接入网络、上架应用市场、被终端预置的准入门槛要求。此外,由于备案需提交应用程序主办者的真实身份信息与联系信息,这为主管机关提供了监管抓手,使之在相关应用程序涉及违法违规行为时,可准确定位责任主体。
《应用程序备案通知》对经营性应用程序(即从事经营性互联网信息服务的应用程序)与非经营性应用程序均提出了备案要求。需要注意的是,除备案之外经营性应用程序可能还需根据具体服务类型另行取得相应许可。
二、哪些应用程序需要履行备案手续?谁是应用程序备案的义务主体?
根据《应用程序备案通知》,在中华人民共和国境内从事互联网信息服务的应用程序主办者应当履行备案手续。其中,“应用程序”指包含智能终端预置、下载、安装的程序,以及基于应用软件开放平台接口开放的、用户无需安装即可使用的程序等,即包括移动智能终端、可穿戴智能终端、车联网等智能终端上的通过预置或下载安装的App与基于应用软件开放平台接口开发的小程序、快应用。
《应用程序备案通知》未明确定义何为“应用程序主办者”。一般而言,应用程序备案主体与应用程序内协议中描述的运营主体应保持一致。
三、备案需要经过哪些流程?什么情况下需变更、注销备案?
根据《应用程序备案通知》,通过预置或下载安装的App应通过其网络接入服务提供者备案,基于应用软件开放平台接口开发的小程序、快应用应通过其分发平台备案。
《应用程序备案通知》明确:如发生应用程序信息变更或应用程序注销等情况,应用程序主办者应当通过网络接入服务提供者/分发平台向原备案机关履行变更、注销等手续。具体情形如下。
变更情形:《互联网信息服务备案登记表》内信息变更时应当变更,如主体信息、联系信息、应用程序信息、接入信息变更等;变更备案期间,不影响应用程序正常使用。参照《非经营性互联网信息服务备案管理办法》第十四条规定,备案变更应当提前三十日办理。
注销情形:终止提供服务时应当注销;其中,若选择注销主体,则该主体下已备案的网站、应用程序等将被一并注销。参照《非经营性互联网信息服务备案管理办法》第十五条规定,注销备案应在终止提供服务当日进行。
四、小程序备案与App备案有何不同?如何填写备案材料?
《应用程序备案通知》明确应用程序主办者应如实填报《非经营性互联网信息服务备案登记表》,该表内需填写主办者真实身份信息、应用信息与网络接入信息。其中,小程序、快应用无需提供网络接入信息,且就应用信息提供而言,小程序、快应用备案仅需填写名称和图标,包名或ID,运行平台、SDK服务厂商及功能类型信息,新闻、影视、宗教等前置审核材料,类目及语种,而无需提供App备案所需填写的域名列表、公钥、MD5。
微信平台已于近日发布“微信小程序备案操作指引”,相关备案系统将于9月1日正式上线。根据微信目前公开信息,小程序备案所需提交的小程序信息主要为Appid、小程序名称、服务内容标识、互联网信息服务前置审批文件与选填备注。
结合网站备案实践与各大平台已发布的备案指南,在填写备案材料的过程中,如下要点值得企业关注:
根据主办单位性质差异,所需的证明材料存在不同;
涉及从事新闻、出版、药品和医疗器械、网约车等需须经有关主管部门审核同意的互联网信息服务的,需提供相关前置审批材料;
主体负责人与ICP负责人,均可由外籍人员担任,但考虑到ICP负责人需经人脸核验身份,且平台、通管局等可能与相关人员就备案及后续监管进行沟通,故我们理解ICP负责人最好由了解具体应用程序的境内人员担任,当主体负责人与ICP负责人填写的不是法定代表人时,部分地方通管局可能要求提供法定代表人授权书;
应提供有效的主体负责人与ICP负责人的联系方式,不同人不能使用同一个号码,应急联系电话应填写与其工作生活密切联系的紧急联系人的电话;
一般而言,相关证件有效期应大于或等于3个月;
同一主体下,应用程序和网站可以使用相同的域名进行备案,支持备案到四级域名及单独使用三级或四级域名备案;
各省通管局可能会要求提供其他材料,工信部亦会根据实际情况,对备案信息和有关承诺书要求进行调整。
五、应用程序备案有效期多长?未按规定备案或备案不通过有什么后果?
在不存在被注销等特殊情况下,应用程序备案永久有效。未按规定进行应用程序备案或备案不通过,可能面临如下后果:
无法接受网络接入服务提供者、分发平台、智能终端生产企业提供的网络接入、分发、预置等服务;
未履行备案手续,或者超出备案的项目提供服务的,由当地通管局责令限期改正;拒不改正的,责令关闭服务;
未标明备案编号的,由当地通管局责令改正,处5000元以上5万元以下的罚款。
2、北京网信办发布扫码消费服务违规收集使用消费者个人信息案例解析及合规指引
2023年8月30日,北京市互联网信息办公室公开发布《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》(以下简称“《指引》”),以进一步规范北京市扫码消费服务经营行为,切实保护消费者个人信息合法权益。《指引》以《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规为依据,聚焦于发票开具、停车场缴费、餐饮买单等市民日常生活常见场景,整理出“强制或诱导消费者关注公众号”“未通过弹窗等显著方式告知消费者隐私政策”“频繁提示注册登录,干扰消费者使用”“强制消费者提供与功能无关的个人信息”“违规向第三方提供消费者个人信息”“未向消费者提供删除个人信息的功能选项”等六类违规问题,并针对性提供了合规指引,可供相关企业参考。
3、新国标要点速览,聚焦重要数据、数据安全风险评估、App安全管理
1) 信安标委发布《信息安全技术重要数据处理安全要求(征求意见稿)》
2023年8月25日,全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求(征求意见稿)》(以下简称“《安全要求》”),旨在与《信息安全技术重要数据识别指南(征求意见稿)》一并对我国重要数据的识别规则与安全要求进行明确,以落实相关企业的重要数据安全保护要求。
《安全要求》主要包括设施安全、数据处理活动安全以及运行与管理安全三方面。其中,数据处理活动安全层面对重要数据全生命周期(收集、存储、使用与加工、传输与提供、公开、删除)中各项处理活动应满足的安全要求做出了梳理。随着重要数据两项重要国标征求意见稿的面世,企业应尽早将重要数据识别与保护工作提上日程。
2) 信安标委发布《信息安全技术数据安全风险评估方法(征求意见稿)》
2023年8月21日,全国信息安全标准化技术委员会秘书处发布《信息安全技术数据安全风险评估方法(征求意见稿)》(以下简称“《评估方法》”)。现就《评估方法》应关注的要点问题总结如下,供相关企业参考:



  1. 数据安全风险评估与个人信息保护影响评估(PIA)
    就评估适用情形而言,个人信息保护影响评估主要是在《个人信息保护法》第55条所规定的特定情形下所触发的、个人信息处理者的法定义务。同时作为一种事前合规要求,个人信息保护影响评估需在开展相关个人信息处理活动前进行。而《评估方法》则在5.4条中对于数据处理者应定期开展、应事前开展、宜事前开展、应重新开展、可根据实际需要开展数据安全风险评估的各类情形进行了具体规定。
    就评估内容而言,数据安全风险评估所涵盖的内容较个人信息保护影响评估更加丰富。如构成特定触发条件,个人信息保护影响评估工作完成情况本身可成为数据安全风险评估中的一个考察项。建议相关企业做好上述两类评估的衔接和协调,争取事半功倍,避免重复性的工作。

  2. 《评估方法》与TC260-PG-20231A《网络安全标准实践指南——网络数据安全风险评估实施指引》(以下简称“《实施指引》”)
    在适用范围方面,同作为数据安全风险评估的指引性文件,《评估方法》和《实施指引》均适用于指导数据处理者、第三方机构开展数据安全风险评估,以及有关主管监管部门实施数据安全检查评估时参考。但需注意的是,《实施指引》的适用范围限于各种电子数据。而《评估方法》则适用于任何以电子或者其他方式对信息的记录。
    在工作流程方面,相较于《实施指引》,《评估方法》对于“综合分析”阶段的工作开展给出了更为详细的风险归类方法、以及风险危害程度、风险发生可能性的量化分析与评价方法,并明确指出该等方法论可以与《实施指引》的相关内容兼容,为网络数据安全风险评估的开展提供进一步指引。
    3) 信安标委发布《GB/T42884-2023信息安全技术移动互联网应用程序(App)生命周期安全管理指南》
    2023年8月6日,全国信息安全标准化技术委员会秘书处发布《GB/T42884-2023信息安全技术移动互联网应用程序(App)生命周期安全管理指南》(以下简称“《指南》”),自2024年3月1日实施。《指南》分为“生命周期阶段管理过程”与“风险监测管理过程”两大板块,旨在为App提供者、App分发平台管理者以及移动智能终端厂商,提供应对开放生态下“恶意程序”“个人信息风险”“应用行为风险”和“安全漏洞”等安全问题的管理要求。
    二、NEWSLETTER 资讯速递
    1、立法动向 LEGISLATION
    1.财政部印发《企业数据资源相关会计处理暂行规定》
    2.《网络安全标准实践指南——生成式人工智能服务内容标识方法》正式发布
    3.《GB/T42884-2023信息安全技术移动互联网应用程序(App)生命周期安全管理指南》全文公开
    4.《信息安全技术重要数据处理安全要求(征求意见稿)》等4项国家标准公开征求意见
    5.《信息安全技术网络攻击和网络攻击事件判定准则(征求意见稿)》等3项国家标准公开征求意见
    6.《信息安全技术 数据安全风险评估方法》公开征求意见
    7.《信息安全技术数据交易服务安全要求》公开征求意见
    8.全国信息安全标准化技术委员会发布关于2023年第一批网络安全国家标准项目立项的通知,含个人信息保护合规审计指南
    9.全国信安标委发布关于下达4项网络安全推荐性国家标准计划的通知
    10.市场监管总局就《互联网广告可识别性执法指南》公开征求意见
    11.市场监管总局就《市场监督管理行政执法电子数据取证暂行规定》公开征求意见
    12.深圳发布首部企业合规地方标准
    2、行业动态 INDUSTRY TRENDS
    1.国家网信办发布第二批深度合成服务算法备案信息
    2.北京网信办发布《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》
    3.上海网信办指导多家网络金融理财服务类App运营企业加强个人信息保护合规工作
    4.上海网信办整治租借手机充电器场景侵害个人信息权益乱象
    5.上海浦东新区启动“网络安全五大行动”
    6.北京通管局发布关于问题App的通报(2023年第七期)
    7.上海通管局发布关于侵害用户权益行为App的通报(2023年第二批)
    8.演出票务类App个人信息收集情况测试报告发布
    9.短视频类App个人信息收集情况测试报告发布
    10.最高检发布“AI换脸”侵犯个人信息公益诉讼案
    11.全国首张数字不动产权证书在深圳正式发布
    3、海外动态 OVERSEAS
    1.欧盟:EDPS就金融数据准入框架发布意见
    2.欧盟:EDPS就支付服务拟议法规和指令发表意见
    3.英国:科学、创新和技术委员会发布人工智能治理报告
    4.英国:ICO发布关于发送包含个人数据的电子邮件的合规指南
    5.美国:NIST发布网络安全和隐私学习计划指南草案
    6.法国:CNIL就“关键处理”计算机系统相关风险建议草案征求意见
    7.西班牙:AEPD就未取得同意的数据处理活动对Joly Digital进行处罚
    8.西班牙:AEPD就违反数据最小化原则对欧洲某传媒公司进行处罚
    9.德国:DSK就健康数据法草案发布意见
    10.德国:DSK发布改善信用评分实践中消费者和数据保护的建议
    11.瑞士:联邦数据保护和信息专员发布数据保护影响评估指南
    12.挪威:数据保护机构发布员工监控指南
    13.泰国:NSTDA 发布人工智能道德准则
    14.印度尼西亚:通信和信息部将制定人工智能伦理准则
    15.约旦:众议院批准个人数据保护法修正案草案
    [资讯权威来源]
    立法动向
    1.http://m.mof.gov.cn/tzgg/202212/P020221209412040514536.pdf?eqid=997364e70007bd370000000364380f6c
    2.https://mp.weixin.qq.com/s/29tx9tEqvM2XTKqxHpdZBw
    3.https://mp.weixin.qq.com/s/5pvHj2ZdfCagdAKNFMwV3g
    4.https://mp.weixin.qq.com/s/Qrt3gFax3gM7gmFIyUVobA
    5.https://mp.weixin.qq.com/s/6OBk8Ksu7bdR3XCiyINDxw
    6.https://mp.weixin.qq.com/s/rWD6OPvIxXBoroYtoPYHPw
    7.https://www.tc260.org.cn/file/2023-08-25/626178de-b10b-4cc3-9cb2-8b7a9224b8de.pdf
    8.https://mp.weixin.qq.com/s/ay06IRCIE9IGSMpVWEDqgA
    9.https://mp.weixin.qq.com/s/o0jMosF9IhtksxEnaqYa6A
    10.https://www.samr.gov.cn/hd/zjdc/art/2023/art9683f89eca0f42a090edbeb110060fa0.html
    11.https://www.samr.gov.cn/hd/zjdc/art/2023/art
    cdb50d1a24374b97a6e4f2ec2a9e629c.html
    12.https://mp.weixin.qq.com/s/RiaUi9aw7od5N3Vl54P1Kw?scene=25#wechatredirect
    行业动态
    1.https://mp.weixin.qq.com/s/2Mj5bWMjUYXv5UIYw
    EakA
    2.https://mp.weixin.qq.com/s/3e3dw6V4M0wds3TQlFWz6w
    3.https://mp.weixin.qq.com/s/UjjSLGBeaGCvkjjJPr02w
    4.https://mp.weixin.qq.com/s/CxcHUvAs20xk0tHO8eCn5A
    5.https://mp.weixin.qq.com/s/WziBp6vkvPKcsNa13kZVPA
    6.https://mp.weixin.qq.com/s/adQF3c90ZvPjxHsvK07mvg
    7.https://mp.weixin.qq.com/s/uOWpfTZuOD0kc
    woFbaibQ
    8.https://mp.weixin.qq.com/s/w-BeSRzUbiHse7yUm3zvLA
    9.https://mp.weixin.qq.com/s/323prDp3iwBugjGhpotvA
    10.https://mp.weixin.qq.com/s/QjHrYfyToQQUvcqCsqjXwA
    11.https://www.21jingji.com/article/20230831/herald/51702149a8b922d5cc06d17043eeb112.html
    海外动态
    1.https://edps.europa.eu/press-publications/press-news/press-releases/2023/financial-and-payment-services-use-personal-data-should-remain-proportionate-and-fair
    en
    2.https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/overvaking-av-ansattes-bruk-av-elektronisk-utstyr/
    3.https://committees.parliament.uk/committee/135/science-innovation-and-technology-committee/news/197236/ai-offers-significant-opportunities-but-twelve-governance-challenges-must-be-addressed-says-science-innovation-and-technology-committee/
    4.https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/ico-publishes-new-guidance-on-sending-bulk-communications-by-email/
    5.https://csrc.nist.gov/pubs/sp/800/50/r1/ipd
    6.https://www.cnil.fr/fr/securite-des-systemes-risque-majeur-en-cas-de-violation-la-cnil-lance-une-consultation-publique-sur
    7.https://www.aepd.es/es/documento/ps-00489-2022.pdf
    8.https://www.aepd.es/es/documento/ps-00312-2023.pdf
    9.https://datenschutzkonferenz-online.de/media/st/230814DSKStellungnahmeGDNG-E.pdf
    10.https://datenschutzkonferenz-online.de/media/st/DSK-Handlungsempfehlungen
    VerbesserungdesDatenschutzesbeiScoringverfahren.pdf
    11.https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/dsfa.html
    12.https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/overvaking-av-ansattes-bruk-av-elektronisk-utstyr/
    13.https://waa.inter.nstda.or.th/stks/pub/2022/20220331-ori-ai-research-integrity-guideline.pdf
    14.https://www.kominfo.go.id/content/detail/51132/siaran-pers-no-254hmkominfo082023-tentang-lindungi-data-pribadi-kominfo-siapkan-pedoman-etika-ai/0/siaranpers
    15.https://www.representatives.jo/AR/NewsDetails/%D8%A7%D9%84%D9%86%D9%88%D8%A7%D8%A8
    %D9%8A%D9%8F%D9%82%D8%B1%D8%AD%D9%85%D8%A7%D9%8A%D8%A9%D8%A7%D9%84%D8%A8%D9%8A%D8%A7%D9%86%D8%A7%D8%AA%D8%A7%D9%84%D8%B4%D8%AE%D8%B5%D9%8A%D8%A9%D9%83%D9%85%D8%A7%D8%B9%D8%AF%D9%84%D9%87%D8%A7%D9%84%D8%A3%D8%B9%D9%8A%D8%A7%D9%86

技术驱动法律,专业成就未来