本文由作者授权无讼阅读发布
网信办6月28日发布了《移动互联网应用程序信息服务管理规定》,这是继网信办发布互联网搜索新规后又一力作,作为互联网企业,特别是移动互联网商业模式下的企业,在这敏感期应当要引起警觉,因为国家层面很少有如此针对互联网的密集型“立法”,可见主管层面对互联网的重视程度。
目前很多解读都是从大局势上,或是针对消费者权益保护方面进行解读,但实际上,消费者或者用户权益的保护依据目前的法律,而无须这部APP新规即可获得保障,这部APP新规的意义在于明示主管部门的监管态度,划除实践中某些模棱两可的监管思维,这对互联网企业的影响可能非常大,所以,互联网企业应当引起足够的重视,并正确应对。
一、重新审视自己的商业定位
APP新规看起来管得很广,但从主体上来看,只管两类主体,即第一类为移动互联网应用程度提供者,根据新规规定,它的定义是“指提供信息服务的移动互联网应用程序所有者或运营者”,第二类为互联网应用商店,是指“通过互联网提供应用软件浏览、搜索、下载或开发工具和产品发布服务的平台”。
其中第一类主体是比较容易理解的,那一般就是创业者APP运营者或所有者,新规里将APP所有者和运营者区别开来,说明两者的含义并不一致。在PC互联网界,网站的运营者和所有者可能并不一致,所有者,即网站主办单位,可以通过ICP备案或许可情况来直接认定,没有ICP的就是黑网站,而运营者的认定可能是非常困难的,一般系关联企业受委托运营。而在移动互联网界,应用程序APP该如何认定所有者或运营者,除了应用商店披露的途径外,目前相关APP都申请了电子签名认证,可以作为增信手法,而针对APP运营者,实际上也是非常困难的,除非相关主体自行披露。在APP新规中,条款表述为“所有者或运营者”,说明只要能明确责任主体,一般是不会要求所有者运营者共同承担责任。因此,不论是所有者,还是运营者,在实际运营APP过程中,应当通过合同的方式明确各方权责,并在APP上作出明确的披露,从而避免本不该已方承担的责任自己苦咽。
第二类互联网应用商店可能会较为复杂。首先,本条规定的应用商店不只针对移动互联网,它表述的是“互联网应用商店”,因此通过PC端提供应用程序的也属于本新规管理对象;其次,某类应用商店提供的服务可能主打为安全助手,但实际上其内部嵌套有部分应用商店的属性,比如说百度手机卫士,主打安全,但其中也提供应用下载,因此,也属于本新规管理对象;最后,不要忘记了,应用商店本身也可能是个APP,即也属于移动互联网应用程序提供者。
在明确商业定位的条件下,作为互联网应用商店,就必须做好进行以前没有规定的“备案”工作了,即“从事互联网应用商店服务,还应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案”。
二、实名认证工作已明确刻不容缓
大部分的用户都巴不得能一键注册而一劳永逸,APP新规这次是非常明确地肯定了移动电话号码实名认证的方式可行的,新规是这么表述的:“对注册用户进行基于移动电话号码等真实身份信息认证”。所以,互联网企业,就千万别为了所谓的用户体验,允许用户以邮箱或者任何字符串进行注册了(还有些企业一键代注册,直接分配给用户用户名),在实名认证的大潮下,这实在是不可取的。
当然,问题也在于,让用户提供手机号码进行注册,难道就尽到实名认证了?手机号码又没有反馈手机号登记的用户真实姓名,除非移动运营商放开数据接口,或根据用户填写的真实姓名另接公安部身份认证系统,这当然是要花钱的,2-10块不等。新规给了这些数据源单位莫大的奖励(当然,这些单位对实名制进行了长期的努力)。这是实践中的一个难点,这也是为什么当时工信部也只敢要求仅仅是出台“工业和信息化部鼓励移动智能终端应用软件采用依法设立的电子认证服务机构颁发的数字证书进行签名“的鼓励而非强制性认证规范。百度今年就已经开始全面使用手机号码作为注册的唯一入口,现在已经很难看到百度允许使用邮箱进行注册,而细心的用户也能发现微信注册时已经渐渐和QQ号码注册划清界限。这就是这些大的互联网企业的良好嗅觉。
特别值得一提的是,不论目前法律有无明确规定,互联网金融企业都应当为自己的产品开发配备比手机注册更为严格的实名认证体系。例如,在P2P领域,正在酝酿中的《网络借贷信息中介机构业务活动管理暂行办法》就明确拟规定,参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。在去年股权众筹新规出台后,各大众筹网站均无一例外在实名认证的基础上,加添了“合格投资人”的认证环节(但很多都只是流于形式)。再者,在网络游戏的用户注册环节,就必须进行实名认证,甚至不允许只是使用手机号码注册等弱实名认证体系,所以游戏行为实名认证责任比APP新规要更为严格。网络游戏管理办法明确要求“网络游戏运营企业应当要求网络游戏用户使用有效身份证件进行实名注册,并保存用户注册信息”,这种模式如此要求主要是为了保护未成年人考虑。
三、第三方账户授权登陆问题
使用第三方账户进行注册或登陆时,需要使用OAuth协议,目前OAuth已到了2.0版本,这是一个授权开放的标准协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如头像、昵称等),而无需将用户名和密码提供给第三方应用。在某类豪车的配置中,厂商会配两把车钥匙给车主,一把全授权模式,一把限定授权模式,车主使用代客泊车服务时,可将限定授权模式的车钥匙交给泊车人,泊车人只能行驶限定的距离,不能开启车内娱乐系统、后备箱等。类似的,在第三方账户注册登陆时,第三方账户也只会经用户授权后提供该账户下的基本信息,如头像、昵称、性别等,而不会泄露密码,这就给用户注册登陆提供了便利。
但使用第三方账号注册登陆同样面临法律问题,基于OAuth授权注册的限制性,该类账户的注册信息并不能沉淀在已方网站上(甚至有可能完全被第三方账户网站收回授权),在法律上也难以构成明确的实名主体。因此,当乙方网站使用第三方账户进行注册时,仍应当进一步要求注册用户填写个人信息,切忌为了盲目追求用户注册的体验感而忽略这一紧要步骤。当然,不理解的用户经常要吐槽,我已经用了第三方账户进行注册和登陆,为啥还要重新进行注册?
四、注册用户知情权保护
这也是APP新规中值得一提的内容,APP新规明确要求“未向用户明示并经用户同意,不得开启地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序”。这条规定的大背景可能和去年网曝支付宝涉嫌强制开启用户手机摄像头或录音程序有关,作为APP都希望能获得最大限度的手机权限,这一方面能触发服务提高用户体验,另一方面也能获得更多的用户画像,从而增加用户粘性。但,确实太烦人。所以,互联网企业应当对功能权限的获取更加注意,应当获得用户开启权限的允许,否则触发投诉。
除此外,个人认为,还有一个APP功能非常重要,就是允许用户关闭APP通知,特别是导航栏通知,虽然目前很多APP都具备该功能开关,但实际上很多APP只是设了一个样式,实际上仍然会强行向用户推送APP信息,令人十分反感,个人对于该类APP一般都会强制卸载。
五、执法风暴就将来袭?
在中国有一种现象就是,你立你的法,我执我的章。意思就是很多立法规范其实并没有被严格执行,在互联网这个杂草丛生的地方,相关立法并不少,只是很多法律都是束之高阁。APP规范也一样,其实早在2014年,工信部8月28日在官网上就发布了《关于加强电信和互联网行业网络安全工作的指导意见》(以下简称《意见》),要求加强移动应用商店和应用程序安全管理,建立健全移动应用程序开发者真实身份信息验证。更为重要的一部规范文件是工信部在2015年年底发布的《移动智能终端应用软件(APP)预置和分发管理暂行规定(征求意见稿)》,这部规范主要针对移动终端硬件商(比如说锤子手机)预置应用程序,以及应用商店两类。其中也明确规定“从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有以下管理责任:(一)应登记所提供应用软件运营者、开发者的真实身份、联系方式等信息”等。由此可见,规范互联网行业的相关立法并不少,至于是否真的会引领一轮新的执法风暴来袭,我们将拭目以待!
实习编辑/王林