标准解读 | 移动互联网应用程序信息服务管理规定
作者: 日期:2022年07月08日 阅:1,527

近日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称“新《规定》”)。新《规定》将从2022年8月1日起正式施行。

《移动互联网应用程序信息服务管理规定》自2016年施行以来,对于维护网络信息内容生态,保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序的飞速发展,也涌现了许多新的问题与情况,需要适应形势发展进行修订与完善。修订后的新规从原来的十一条,增加至二十七条,包括信息内容应用程序提供者和应用程序分发平台的主体责任、行业自律、社会监督及行政管理等方面的条款。

1 适用对象

应用程序提供者:提供信息服务的移动互联网应用程序所有者或者运营者;

互联网应用商店:提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

梆梆安全专家解读

新《规定》第二条新增“应用程序信息服务”和“应用程序分发服务”的概念并对其做了定义。

应用程序信息服务:指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,如即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型;

应用程序分发服务:指通过互联网提供应用程序发布、下载、动态加载等服务的活动,如应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。

新《规定》的定义无疑扩大了应用程序及分发平台的范围,将小程序、浏览器插件等更多形式的互联网产品纳入了监管的范畴。

2 相关要求

应用程序提供者的合规义务

应用程序提供者作为监管生态中的主要环节,在移动应用安全体系中承担着“生产者”的角色,其自身责任的落地将会极大地助力移动应用程序信息服务的建设。

新《规定》细化明确了应用程序提供者的义务要求,一方面,对上位法进行了呼应,在数据安全、个人信息保护和未成年人保护方面,基本与现有法律保持一致;另一方面,针对应用程序提供者,对其他法律规定中的制度进行了明确。

一、新增注册用户的身份信息认证方式

增加了注册用户信息认证的方式,应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。

二、细化特殊信息服务的资质许可

在相关许可、备案或安全评估义务的履行方面做了细化,要求从事互联网新闻信息服务的,应当取得互联网新闻信息服务许可,而从事其他须经主管部门审核同意或取得相关许可的信息服务时,则须按照相应的要求审核通过或取得许可后才可向用户提供。

三、发现应用程序存在安全风险时的用户告知及报告义务

应用程序应当符合相关国家标准的强制性要求。在发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。在应用程序安全方面,应用程序提供者需要同时遵守《网络安全法》和本规定的要求,并关注《网络产品安全漏洞管理规定》中的相关义务。

四、细化数据及个人信息处理活动的义务

在数据处理活动方面,应用程序提供者应当建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测;应用程序提供者处理个人信息应当具有明确、合理的目的并公开处理规则,遵守相关规定,规范个人信息处理活动,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

五、具有舆论属性或社会动员能力的应用程序的安全评估要求

新《规定》结合《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》相关条款,重申应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能时,应当按照国家有关规定进行安全评估。

 梆梆安全应用程序提供者的应对策略
1)在应用开发中,应避免引入第三方不可控风险代码,这容易导致软件出厂时就自带病毒、木马或后门;

2)在应用上架前,应进行合规性检测,提前发现 App、SDK 中的不合规情况,并及时进行针对性整改;3)在应用发布前,应进行安全测评,提前修复严重漏洞,以实现版本迭代过程中的安全把控。

应用分发平台要求的合规义务

应用分发平台作为监管生态中的重要环节,在移动应用安全体系中承担着“守门人”的角色,其监管主体责任的落地将极大助力移动程序信息服务的建设。新《规定》将“互联网应用商店”替换为“移动互联网应用程序分发平台”,相比应用商店这样一种具体的产品覆盖更广,并对其做了五方面的义务规定。

一、新增上线备案时的材料提交要求

新《规定》第十七条在保留原先分发平台业务上线运营30日内备案的要求的基础上,细化列举了备案时需提交的材料内容,为不同地区的分发平台进行备案时可能需要用的备案材料的困惑做出了统一答复。

二、对应用程序的审核义务加强

应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。要求分发平台对应用程序提供者在审核信息内容、信息服务许可、安全评估、虚假宣传、数据安全等方面进行管理。

三、完善应用程序的分类管理制度及备案管理

应用程序分发平台应当对上架的应用程序建立分类管理制度,实施分类管理,并按类别向主管部门备案应用程序。

四、制定、公开管理规则及签订服务协议

分发平台应当制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。对违法违规及违反服务协议的应用程序,应用程序分发平台可依法依约采取警示、暂停服务、下架等处置措施,但须保存记录并向有关主管部门报告。

五、对应用程序服务提供者的身份信息验证及公示义务分发平台需要基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合对应用程序提供者的真实身份信息进行认证。并根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息。

 梆梆安全应用分发平台的应对策略

1)App信息明示运行所需权限列表及用途;

2)App信息明示App收集、使用个人信息的内容、目的、方式和范围等;

3)落实应用分发平台管理责任,应用在上架前进行合规检测,强化App上架审核机制,及时处理违法违规应用。新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。

3 梆梆安全助力移动应用合规

梆梆安全移动应用合规平台,借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术,对应用的合规情况、动态行为、软件成分、安全漏洞进行采集与分析,实现与应用分发平台审核上架系统做无缝对接,帮助用户发现应用违规行为并输出合规评估报告,保障应用上架后符合监管单位/机构的相关要求。

核心功能

  • 合规检测:依据 164 号文等检测规范进行自动化检测,输出检测结果,给出整改建议,输出合规检测报告,满足合规监管、企业自查自纠等应用合规检测场景。
  • 行为检测:借助深度定制的检测沙箱识别 App、SDK 的行为,对应用的权限使用、自启动/关联启动、数据通信传输、个人信息的明文传输、存储等行为进行分析,最大程度上检测出用户视角下不可发现的违规行为。
  • 成分检测:通过对应用进行自动化脱壳、反编译等技术分析应用内部SDK 特征信息,与平台内置 SDK 特征库进行对比,识别App 中集成的商业 SDK 以及开源 SDK。
  • 安全检测:通过安全检测引擎检测程序源文件、本地数据存储、内部数据交互、通信数据传输、恶意攻击防范能力等风险类型,全面评估被测应用的安全情况,准确定位问题根源,并呈现详细的问题描述及解决方案。

成立十余年来,梆梆安全的业务已覆盖政企、金融、运营商、能源、旅游、互联网、公安、医疗、IoT等,服务超10万家的企业及开发者用户,安全技术累计安装在10亿个移动终端上的100万+移动应用软件。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章