作者：马军、姜赫 宁人律师事务所

2022年6月14日，国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》（以下简称“《规定》”），《规定》将原《规定》的十一条增加至二十七条，在原《规定》的基础上结合《个人信息保护法》等新规进行了大量的细化、完善和增加，整体上将移动互联网应用程序的特点与现行法规进行了衔接，本文对《规定》的主要内容进行了梳理，并希望通过法规解读预判未来监管走向。

一、增加并完善相关定义

在定义上，《规定》根据近年来移动互联网应用程序的发展，对原有的定义进行了修改，增加了对“应用程序信息服务”和“应用程序分发服务”的概念界定，确保《规定》能够涵盖移动互联网应用程序的各类新业态，具体内容为：

（一）增加“应用程序信息服务”定义

应用程序信息服务，是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。

（二）完善“移动互联网应用程序分发平台”定义

原《规定》定义“互联网应用商店”是通过互联网提供应用软件浏览、搜索、下载或开发工具和产品发布服务的平台。《规定》删除了“浏览”“搜索”，将“互联网应用商店”规范概念为“移动互联网应用程序”，将平台的分发行为定义为“提供移动互联网应用程序发布、下载、动态加载等分发服务行为”。可见，《规定》对提供“浏览、搜索”等非实质分发行为进行了剔除，不能提供发布、下载、动态加载的行为不能作为分发服务行为。

《规定》针对应用程序分发服务定义采取定义+列举的方式，服务内容在与互联网应用程序分发平台功能对应的同时，列举了应用程序分发平台的类型，包括“应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型”，较原《规定》单一的“应用商店”而言，极大地拓宽了互联网应用程序分发平台的类型。

二、应用程序提供者规定

原《规定》对于应用程序提供者的要求集中在第七条，共六项；而《规定》将其扩充至第二章共十一条。《规定》对于应用程序提供者新增的义务基本上均为现有法律法规已经规定的内容，此处仅作为应用程序提供者义务的总集出现，具体要求依旧需要具体适用其他相关法律规定。

（一）信息内容管理义务

信息内容管理一直以来都是我国互联网管理的重要部分，《网络安全法》第四十七条即规定了网络运营者信息管理义务。《规定》亦在原《规定》的基础上对此进行了补充和调整。相比原《规定》第七条第（三）项的要求，《规定》增加了应用程序提供者的原则性义务要求，即要求应用程序提供者对信息内容呈现结果负责，不得生产传播违法信息，自觉防范和抵制不良信息。

在具体实施层面，《规定》第八条第二款则要求应用程序提供者建立健全信息内容审核管理机制，建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施，配备与服务规模相适应的专业人员和技术能力。

事实上，2020年3月1日起施行的《网络信息内容生态治理规定》已对网络信息内容服务平台提出类似要求，《规定》与之相比细化了对于与服务规模相适应的技术能力的要求。具体来讲，应用程序提供者应当使用技术手段支持账号管理、信息审核、日常巡查、应急处置等各项管理措施，也可以使用关键字词、图像等方式自动识别、过滤违法和不良信息。

（二）网络安全管理义务

《规定》第十条与《网络安全法》第二十二条的规定紧密衔接，要求应用程序符合相关国家标准的强制性要求；要求应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。与此同时，在发现应用程序安全缺陷、漏洞等风险造成或者可能造成个人信息泄露、篡改、丢失时，应用程序提供者还应按照《个人信息保护法》第五十七条的规定通知以下事项：1.发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；2.个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；3.个人信息处理者的联系方式。

（三）数据安全管理义务

《规定》第十一条规定了应用程序提供者的数据安全义务，亦与《数据安全法》第二十七条、二十九条的规定紧密衔接，包括：建立健全全流程数据安全管理制度，采取保障数据安全技术措施和其他安全措施，加强风险监测等。由于《数据安全法》对数据的定义较为宽泛，应用程序提供者应当注意，其掌握的任何以电子或者其他方式对信息的记录都需要纳入数据安全保护的框架下。

（四）个人信息保护义务

移动互联网应用程序一直以来都是个人信息保护治理的重点和难点，《规定》第十二条亦对应用程序提供者的个人信息保护义务进行了规定。该条根据《个人信息保护法》要求应用程序提供者处理个人信息遵循合法、正当、必要和诚信的原则。在具体的处理活动方面，则结合《个人信息安全规范》的要求，提出了以下要求：具有明确、合理的目的并公开处理规则，遵守必要个人信息范围的有关规定，规范个人信息处理活动，采取必要措施保障个人信息安全，不得以任何理由强制要求用户同意个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。总体而言，本条并未在现有的个人信息保护体系上对应用程序提供者提出新的合规要求，而是重在与现有规范体系的衔接。

（五）未成年人保护义务

《规定》第十三条增加了应用程序提供者的未成年人保护义务，主要是采取“最有利于未成年人的保护原则”。最有利于未成年人保护原则是《未成年人保护法》第四条确定的原则，其要求处理涉及未成年人事项，应当符合下列要求：“1.给予未成年人特殊、优先保护；2.尊重未成年人人格尊严；3.保护未成年人隐私权和个人信息；4.适应未成年人身心健康发展的规律和特点；5.听取未成年人的意见；6.保护与教育相结合。”虽然，未成年人的隐私权和个人信息仅属于最有利于保护未成年人原则的具体一种原则，但对于未成年人个人信息保护的义务依旧适用《未成年人保护法》第四条的全部规定。

具体而言，在用户注册与识别方面，要求应用程序提供者落实未成年人用户账号真实身份信息注册和登录要求，在账号注册登录涉及处理未成年人个人信息时，应当按照《个人信息保护法》第三十一条要求“取得父母或其他监护人员的同意”，并且“需要建立专门的未成年人个人信息保护制度”；在产品和服务内容方面，不得向未成年人用户提供诱导其沉迷的相关产品和服务，不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息，均是与《未成年人保护法》“最有利于未成年人保护的原则”相一致。

三、应用程序分发平台

原《规定》对于应用程序分发平台的要求集中在第八条，共四项；而《规定》将其扩充至第三章共五条。总体上讲，应用程序分发平台的平台责任和管理权能均得到了进一步加强，体现了主管部门对于应用程序分发平台在移动互联网应用程序治理过程中发挥更重要作用的构想。具体内容如下：

（一） 备案