国家网信办拟规定：应用商店需在当地备案，应防范数据造假

1月5日，国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定（征求意见稿）》（下称“征求意见稿”），对自2016年8月1日起正式施行的版本进行了修订，并向社会公开征求意见，反馈截止时间为1月20日。

南都·隐私护卫队注意到，征求意见稿在2016年版本的基础上进行了较大篇幅的细化和修改，不仅为应用程序提供者和应用程序分发平台各设专章，还拟针对当下应用程序提供者营造虚假流量、履行未成年人网络保护义务等热点话题新增规定。

有专家表示，征求意见稿相较旧版更加细化、可操作性更强，但或许还应纳入其他管理对象；而落实其中整治诱导下载、流量造假等规定的难点在于，应用分发市场需把握开展审核工作的范围及程度。

1

小程序、浏览器插件被纳入监管对象

征求意见稿在2016年版本的基础上进行了较大篇幅的细化和修改。2016年版本全文仅十一条，且未区分章节。征求意见稿则为应用程序提供者和应用程序分发平台各设专章，并针对当下应用程序提供者营造虚假流量、履行未成年人网络保护义务以及应用程序的风险上报制度等热点话题新增了相关规定。

值得注意的是，征求意见稿中的应用程序分发平台不仅将应用商店囊括在内，还包括了快应用、互联网小程序、浏览器插件等平台分发服务类型。

浙江垦丁律师事务所联合创始人麻策认为，相较于之前的版本，征求意见稿中的各项规定更加细化，可操作性更强。北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括也表示，征求意见稿“既是对之前执法监管经验的总结，也是对产业及民众诉求的一次全面回应”。

不过，麻策同时指出，征求意见稿也存在一些局限。比如仅针对通过互联网提供分发服务的应用分发市场，但实际还有大量的应用分发不会通过互联网，而是由智能硬件等预装程序来完成。“现在手机的出货量很高，这个市场非常大，但我觉得（征求意见稿）并未将其纳入其中。”

2

明确网络安全漏洞申报机制

去年12月，工业和信息化部（下称“工信部”）发布通报称，近日，阿里云发现阿帕奇Log4j2组件（基于Java语言的开源日志框架）存在远程代码执行漏洞，可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害。

随后阿里云就此事作出公开回应，称其因早期未意识到该漏洞的严重性，未及时共享漏洞信息，并承诺今后将强化漏洞报告管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

征求意见稿针拟规定，应用程序应当符合网络安全相关国家标准的强制性要求。应用程序提供者发现其应用程序存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

这一规定承袭了我国法律法规此前针对发现网络安全漏洞时企业应采取的做法的相关规定。自2017年施行的网络安全法第二十五条规定，在发生危害网络安全的事件时，网络运营者应当立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

具体而言，于今年9月起施行的《网络产品安全漏洞管理规定》中明确规定，网络产品提供者应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息，报送内容包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

3

解决流量造假难点在把握审核尺度

据南都·隐私护卫队梳理，工信部曾多次通报指出，多个应用程序分发平台存在App信息明示不到位、上架审核不严、存量问题清理不彻底、登记核验App开发运营者信息不准确，误导用户下载等问题。

征求意见稿从自身规范和平台监管两方面提出了要求：应用程序提供者应当规范经营管理行为，不得通过虚假宣传、捆绑下载等行为，或者利用违法和不良信息诱导用户下载，不得通过机器或人工方式刷榜、刷量、控评，营造虚假流量；应用程序分发平台应当建立应用程序监测评估机制，提升技术能力和管理效能，坚决打击网络黑灰产，防范下载量、评价指标等数据造假行为，不得以虚构下载量、编造评价等方式进行虚假宣传。

实际上，近年来监管方面一直动作不断。去年4月，工信部新闻发言人、信息通信管理局局长赵志国表示，将加大对工具类、通信类等App欺骗诱导用户下载等问题的整治力度；5月，国家互联网信息办公室副主任盛荣华强调打击网络水军、流量造假、黑公关，治理算法滥用行为；12月，中央网信办提出要重点关注应用商店、小程序等平台环节，整治制造虚假阅读量、评论量等问题。

为何整治措施不断，流量造假的问题却一直难以解决？麻策分析，要落实这一规定，还存在一些“老难题”，即应用分发市场作为互联网信息服务提供者，其监管尺度——如开展审核工作的范围及程度依然难以界定。

“根据意见稿，应用市场的审核成为一种实质性的监管要求，一旦其中的应用发生问题，应用市场是否要承担相应责任？”麻策指出，在当下司法实践中，对互联网信息服务提供者往往会采取较为中性的事后处置制度，“互联网信息服务提供者事先没有义务来审核应用内信息合规状况，但如果事后有人举报或被监管处罚，应用市场就要配合处理。”

在吴沈括看来，落实该规定特别需要注意自动化、生态式监管工具和方法的配备，并且需要通过革新投诉举报机制，通过提高社会监督水平来降低监管成本，增强平台等各类主体的主动治理意愿，提高监管的指向性和针对性。

4

备案要求趋于细化意味着更易落地

在2016年的版本中，有关应用商店的备案要求为“从事互联网应用商店服务，还应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。”

与之不同的是，征求意见稿中规定，应用程序分发平台在其业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案时，需要提交五类材料，其中包括平台运营主体基本情况，平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等。

在麻策看来，备案早已在实践中有所要求，值得注意的是，征求意见稿对其进行细化的同时，还新增了网信办需向社会公示已履行备案手续平台名单的要求。

“之前是没有这个渠道去查询的。”他向南都·隐私护卫队表示，“这说明备案制度接下来可能会进入实质性的轨道。以前的规定更偏于形式化，我认为修订稿中细化的备案要求会更加容易落地。”

此外，麻策还指出，征求意见稿中要求备案时需提供的材料都属于较为常规的必要信息，并不会导致平台在该过程中承担过多的压力。“备案制度的核心目的在于，通过备案的方式让各监管部门了解应用市场有哪些类型及数量，以便更好地通过它们实现治理。”

吴沈括进一步指出，这种备案机制设计，目的是厘清在业务生态中各角色的权利、义务和责任，通过这种方式实现有效的溯源和过程管控，通过提高主体的责任水平和责任要求来强化深度治理的监管思路，避免出现链条式的大范围风险传播。

采写：南都见习记者 樊文扬