“近期,我局通过抽测发现本市部分APP存在…等侵害用户权益和安全隐患类问题。截至目前,尚有X款APP未整改或整改不到位,现予以公开通报(详见附件)。…我局通报本市部分存在侵害用户权益行为的APP并要求整改。截至目前,仍有X款APP未整改或整改不到位,现予以下架处置(详见附件)…”。
对App是否侵害用户权益、是否存在安全隐患,各地信息通信管理局早已启动了主动监管,相信大量App运营者已经了解过类似通知,甚至部分App还曾经被列入通报甚至下架的范围。面对App被监管要求“下架”,运营者如何自救?运营者有机会采取哪些处理方式来适度降低“下架”的不利影响?本文予以整理,以供探讨。
一、监管要求App“下架”的依据
《网络安全法》《数据安全法》《个人信息保护法》等在法律层面共同明确出“主管部门”在责令改正、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证方面的权力,网信办发布《移动互联网应用程序信息服务管理规定》明确赋予“应用程序分发平台”(或称“应用商店”)依法依约采取警示、暂停服务、下架等处置措施的权利与义务,而工信部在发布的《移动智能终端应用软件预置和分发管理暂行规定》中也要求“分发平台”和“预置了分发平台的生产企业”对于含有法律、行政法规禁止内容的和在通信主管部门监督检查中发现的恶意应用软件,应予以及时下架。
工信部信息通信管理局于2021年发布,目前尚处在征求意见阶段的《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿),其第十六条规定更为具体,即:
“发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:(一)责令整改与社会公告。对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。(二)下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。……”
虽然该规定仍处在征求意见阶段,但结合2023年北京市、浙江省等通信管理局发布的通报中对通报后不整改进继而下架的时间多数控制在5-7个工作日来看,在其他生效法律法规尚未明确的阶段,对该征求意见稿体现的处理思路应予充分重视。
二、被“下架”的后果
被下架的后果可以分显性、隐性两部分,显性后果,是App将面临至少40个工作日的禁止重新上架;隐性后果,主要是基于App持续正常运营的合同利益、推广利益可能受损。
1. 显性后果:禁止重新上架
现行有效的法律法规未明确指出下架状态的具体保持时间区间,通常参考前述工业和信息化部信息通信管理局《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿)第十六条第一款第(二)项规定的“40个工作日”,实务中应用商店在执行下架要求时,在法律法规并未明确后续具体处理方式的情况下,也一般不愿主动突破前述时限。因此,一旦被监管要求下架,将面临至少40个工作日的禁止重新上架。所以,笔者认为,对被下架的时间应以40个工作日为下限,上限不明,将取决于监管送达的正式文书中要求整改的项目、App整改情况以及各应用商店的配合情况。如果整改得当,理论上讲,在满40个工作日基础上增加应用商店上架申请的审核时间后,即可满足恢复上架的时间要求,但实务中也有如滴滴出行因审查、整改工作等因素导致1年半后重新恢复上架的特例。
2. 隐性后果:合同利益及其他潜在商业利益
一旦App被下架,运营者参与的部分合同中的权利义务可能受到影响,如《投资协议》中的投资人、平台的《推广服务协议》中的委托方等,若比较关注App的可用状态、持续运营能力,并将其设置为违约条件、解约条件的,如“App被下架或无法持续运营持续达到N日……”,那么不排除App被下架引发合同责任。
此外,遭遇下架对于新用户数据、现有用户流量都是有一定反效果的,若正处于App主动投放推广期间,则恐难以实现原计划的推广效果。
3. 下架≠停止运营
需要注意的是,被“下架”不等于被无限期禁止运营、停止运营,也不是必然禁止新用户注册,需要结合监管送达的正式文书内容判断本应用程序未来将要受到限制的行为项。一般来说,仅下架不会直接导致运营者立即中断服务,下架期间不影响原已下载的用户的使用。
以滴滴出行为例,其被“禁止新用户注册”是基于网络安全审查办公室2021年7月2日发布的《关于对“滴滴出行”启动网络安全审查的公告》,公告中提出“审查期间‘滴滴出行’停止新用户注册”,而应用程序被“下架”是基于国家网信办2021年7月4日发布《关于下架“滴滴出行”App的通报》,监管“通知应用商店下架‘滴滴出行’App”。直至2023年1月16日,滴滴官方微博才公布恢复滴滴出行的新用户注册,而在此后滴滴出行App才在各应用商店恢复上架,1月18日小米应用商店恢复上架,1月19日App Store恢复上架。而在此期间,已经下载应用程序的原有用户仍然可以正常使用打车、接单等功能。
三、运营者在App“下架”前的自救思路
在App“下架”前,运营者仍有机会实现自救,或者至少争取减少下架带来的不利影响,我们可以区分不同阶段讨论。
1. 已知即将被要求“下架”
各应用商店通常设置有运营者(在协议关系中多对应为“开发者”)在履行申请程序后“主动下架”的机制,只是流程和处理时限或有不同,对于已被要求“下架”或已知将要被“下架”的运营者,此时尚有“主动下架”的机会。在应用商店层面接到“下架”通知并对特定App采取下架处理前,运营者可以按照特定应用商店的发布者规则,申请主动下架。
为了分析“主动下架”和“被动下架”的区别,我们需要先了解“被动下架”的依据,除了前述网信办、工信部发布的规定外,各应用商店在与开发者的服务协议中,也一般均设置了应用商店有采取“具体处理措施”的权利和条款。
· App Store适用——Apple 开发者计划许可协议
Apple Developer Program License Agreement (Chinese Simplified)
3.3计划要求
将要提交到 AppStore定制应用程序分发或 TestFlight或通过临时分发方式进行分发的任何应用程序必须按照文档和计划要求进行开发,当前的相关要求在下文的第33节中进行了规定。相应产品、库和通行证遵循相同的标准:
法规遵从性:
3.3.28您将遵循任何适用的监管要求,包括完全遵守与在美国生产、营销和分发您的应用程序相关的所有适用法律、法规和政策,尤其是美国食品和药物管理局(EDA)以及其他美国监管机构的要求 例如 FAA HHSFTC和FCC,以及您的应用程序在其境内提供或使用的任何国家、领土或地区的任何其他适用监管机构的法律、法规和政策,例如MHRA,CFDA。但是,您同意您不会寻求任何监管营销许可或做出任何可能导致任何Apple产品被视为受监管或可能对Apple施加任何义务或限制的决定。如果您向Apple提交您的应用程序供其选择和分发,即表明您声明并保证您完全遵守任何适用的法律、法规和政策,包括但不限干与您在美国以及您计划向其供应应用程序的其他国家、领土或地区中制造、营销和分发应用程序有关的所有FDA法律、法规和政策。……。您同意根据第 14.5节规定的程序,在涉及任何此类监管要求时,就有关您的应用程序的任何投诉或投诉威胁及时通知Apple公司,如果发生这种情况,Apple可以从分发中移除您的应用程序。
注:14.5为通知
· 豌豆荚适用——阿里应用分发开放平台开发者协议细则
(更新日期:2022年11月18日)https://aliApp-open.9game.cn/wiki/?p=1495#4
六、服务的变更、中断和终止
2、开发者理解并同意,本平台为了服务整体运营的需要,有权在平台作公告通知后,在不事先通知单个开发者的情况下修改、中断、中止或终止平台内的各项服务,而无须向开发者或第三方负责或承担任何赔偿责任。
本平台权利和义务
7、本平台有权对开发者所提交的信息(包括但不限于文字、图片、应用软件、视频等)进行审核,亦有权对开发者所提交应用个人信息保护相关合规性进行审核,并有权决定是否上线或下线开发者所上传的应用或其他内容,开发者应按平台的要求及规则提交、修改并变更,但本平台的审核并不免除或转移开发者应承担的责任及义务。
· 华为应用市场适用——《华为开发者联盟用户协议》
(2023年01月06日版本, 2023年02月02日发布)
11 对本服务的管理
您理解,在符合适用的法律法规前提下,出于运营及改善本服务的目的 (包括但不限于欺诈防范、风险评估、调查及客户支持),我们有权采取必要措施确保您遵守本协议及适用的法律,或法院、政令、行政机关或其它政府机关的命令或要求。我们有权随时审视您的内容是否合适或是否符合本协议。若我们发现您的内容违反了本协议或不符合公序良俗,我们有权在不事先通知的情况下随时酌情预审、迁移、拒绝、修改和/或移除您的内容。
15 由华为中止或终止
我们可能依照适用法律中止、限制、取消或终止您访问全部或部分本服务,而不对任何个人或第三方承担任何责任。我们会在采取前述行动前尽力通知您。但若出现如下情形,我们可能在不事先通知您的情况下立即中止、限制、取消或终止您访问全部或部分本服务:
(a) 您违反或华为有理由认为您即将违反本协议,包括其中包含的任何约定、政策或指南;
(b) 您或代表您行事的任何人进行欺诈或违法活动,或向华为提供虚假或误导信息;
(c) 依照有效法律程序响应执法部门或政府机关提出的要求;
……
通过上述应用商店的条款设置情况,我们不难看出,应用商店通常会通过与开发者之间的协议或规则明确应用商店的“下架”权利(可能表述为处理措施、中止或其他),确保自身免责,个别应用商店甚至有权利主张在该等情况下的违约责任。一旦“被动下架”,实质是因违反法律法规规定进而被采取处理措施,在开发者的服务协议、应用商店规则层面,开发者一方将更容易被认定违约,进而承担潜在损失,而“主动下架”则能够让开发者在协议层面争取到一定的解释空间。
2. 已被“通报”,尚未被要求“下架”
通常运营者不会直接收到App“下架”的通知,而是先收到监管方面关于App存在侵害用户权益等不当行为的通报。
截至2023年3月21日,工业和信息化部信息通信管理局发布了共计28批《关于侵害用户权益行为的APP(SDK)通报》,按照通报内容来看,逾期不整改或整改不到位的,才会被依法依规进行处置并予以行政处罚。
而各地方通信管理局的通报则相较而言更有规律可循,以北京市通信管理局发布的通报为例,将通报分为两部分,“存在问题的APP清单”和“予以下架的APP清单”,对于进入“存在问题的APP清单”中的App,如未在指定时限内完成整改的,则在下一期进入“予以下架的APP清单”。
· 北京市通信管理局关于问题APP的通报(2023年第四期),2023-05-31发布
· 北京市通信管理局关于问题App的通报(2023年第三期),2023-04-26发布
· 北京市通信管理局关于问题App的通报(2023年第二期),2023-04-03发布
· 北京市通信管理局关于问题App的通报(2023年第一期)(2023年1月30日),2023-01-31发布
· 北京市通信管理局关于29款互联网APP的通报(2022年12月30日),2023-01-11发布
· ……
因此,一旦收到监管方面的通知或被通报,运营者应注意及时联系监管问询,并严格在指定时限内完成整改,主动向监管汇报整改进展,避免进入被“下架”的范围。
3. 尚未被“通报”
运营者应注意保持与监管的良好沟通,除了关注法律法规的更新情况外,也需要关注监管层面发布的针对App的公告、通知,同步关注工信部信通局和地方通信局的通报、通知。考虑到各地的安排或有差异,建议提前了解当地监管通知的主要更新渠道,如官网、官方公众号、综合政务发布公众号等。
工信部信通局通报:
工业和信息化部信息通信管理局官网“App侵害用户权益专项整治行动”版块“App侵害用户权益专项整治行动 - 通知公告”,官网查询地址https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/tzgg/index.html
地方局通报:
各地方通信管理局官网的“政务公开-通知公告”栏目,以及各地方通信管理局的公众号可以查询到地方局对问题App的通报和下架通知。
① 北京市通信管理局官网“政务公开-通知公告”栏目,官方公众号“北京通信业”,基本保持同步更新,官网查询地址https://bjca.miit.gov.cn/zwgk/tzgg/index.html
② 浙江省通信管理局官网,官方公众号“浙江省通信管理局”,基本保持同步更新,官网查询地址https://zjca.miit.gov.cn/zwgk/tzgg/index.html
③ 上海市通信管理局官网,官方公众号“上海通信圈”,2022年以公众号通报为主,2023年目前通报情况暂未查询到更新,官网查询地址https://shca.miit.gov.cn/zwgk/tzgg/index.html
此外,建议运营者及时关注监管动向,比如工信部信通局的“App侵害用户权益专项整治行动”、北京市通信管理局的“App隐私合规和网络数据安全专项整治”、浙江省通信管理局的“2023年移动互联网应用服务能力‘浙里跃升’专项行动”等,对于特定监管区域内的违规表现形式、处理方式、整改期限等,均有一定的解释和指引作用。另外,在部委公告部署工作的基础上,各地方监管还可能会提出更细化、更可参照的通知。举例而言,2023年2月6日,工信部发布了工信部信管函〔2023〕26号《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》,为响应该工作部署,浙江省通信管理局在2023年4月11日发布《关于开展2023年移动互联网应用服务能力“浙里跃升”专项行动的通知》,相比较两份通知,浙江省通信管理局的通知中在原工作目标、工作内容的部署内容基础上,提出了更细化的工作安排时间表,还提出了多项清单,提示重点企业范围、各类被监管对象的责任,为企业自查总结和工作报告提供模板。对被监管对象而言,在合规整改工作中更容易比照、执行与反馈。
总结
App运营者需要积极主动落实个人信息保护方面的合规义务,关注法律法规、监管政策的变化,以求符合法律法规及规范性文件的合规要求,而面对个人信息保护日趋严格,任何主体其实都无法保障完全合规、完全排除自身被“通报”、被“下架”的可能。因此,作为App运营者,在不断自评与整改的同时,提前了解监管“下架”通知的正确处理方式,提前设置内部应对机制,实属必要。而对于现有的及未来将签署的合同,其中以App的可用状态、持续运营能力作为标准的条款,运营者也应考虑重新斟酌、细化。