咨询热线:0756-8812662
专业文章 | 你的App真的是你的吗?——App代上架服务合规风险分析 更新日期: 2023-09-26 浏览:331

背景分析

Analysis

随着智能移动设备的不断发展,各类“移动互联网应用”(App,即mobile internet Application)逐渐成为人们生活中不可缺少的一部分。根据《移动互联网应用程序信息服务管理规定(2022)》的规定,应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。贯穿于用户衣、食、住、行、工作、娱乐等各环节的App大多通过各应用市场向用户提供集中的查询方式和下载渠道。“应用市场”即为《移动互联网应用程序信息服务管理规定(2022)》中所称的应用程序分发服务平台(下文称“应用程序分发平台”或“应用市场”),是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。典型的应用市场包括:安卓系统下的第三方市场和手机厂商市场以及苹果IOS系统下的App Store。典型的第三方市场例如应用宝、360手机助手;而华为、OPPO、VIVO和小米等,就属于手机厂商市场。

由于各应用市场是App的主要宣传、展示以及下载平台,因此App最终呈现并提供给用户的重要步骤就是要在各应用市场上完成上架。而《移动互联网应用程序信息服务管理规定(2022)》等监管规定的出台,对App提供者¹以及各应用市场都提出了更为严格的合规要求,这也使得各应用市场对App的上架审查和监管标准进一步提高。

基于相关法律法规的监管要求不断趋于严格,以及各App应用市场审核标准的不断提高,因不符合上架要求或不具备相关资质导致无法成功上架的App数量也不断增多。由于App提供者并不一定完全知晓和了解各类应用市场对于App上架以及后续更新的具体审核要求,为更高效便捷的完成上架,App提供者往往会选择委托专门的App代上架服务商完成全部的App上架及后续的更新工作。在此背景下,市场上出现了App代上架的专门服务,同时也滋生出了采用各类技术手段规避应用市场审核及法律法规监管的灰色服务方式。本文将结合实务经验,说明App上架的一般合规要求,分析目前市场上代上架服务的商业模式及其中可能存在的合规风险,为App提供者提出相关合规建议。

01

App上架的一般要求

(一)软件著作权

为明确App开发主体²,打击盗版软件和防范源代码抄袭,大多数应用市场均要求App提供者在申请App上架时提供计算机软件著作权证明,以验证App的知识产权归属,避免上架盗版App。

(二)ICP许可证

根据《互联网信息服务管理办法(2011修订)》、《中华人民共和国电信条例(2016修订)》以及《电信业务分类目录(2015年版)》的相关规定,通过互联网向上网用户有偿提供信息或者网页制作等服务活动的经营性互联网信息服务需要按规定取得增值电信业务经营许可证(即ICP许可证),App提供者大多数属于经营性互联网信息服务提供者,合规经营相关业务需要实现取得ICP许可证。而对于各应用市场来说,其作为应用程序分发平台,需按照《移动互联网应用程序信息服务管理规定(2022)》第20条的规定对申请上架的App提供者的相关资质情况进行审核,因此绝大多数平台均要求App提供者在申请上架时提供ICP许可证,以配合平台履行相应的监管义务。

(三)App备案

工信部于2023年8月发布《关于开展移动互联网应用程序备案工作的通知》,明确要求移动互联网应用分发平台、智能终端生产企业、互联网信息服务提供者等主体根据《互联网信息服务管理办法》及相关法律法规的规定,完成App备案工作,未按规定履行备案手续的,不得从事App互联网信息服务。对于移动互联网应用分发平台来说,除应通过“国家互联网基础资源管理系统”为平台内App提供者履行备案手续代为进行网上提交申请、查验审核方式等操作外,还应当对拟从事App互联网信息服务的组织或个人的用户真实身份、网络资源等信息进行查验,不得在明知或应知信息不准确的情况下为其代为履行备案手续。此外,App分发平台不得为未履行备案手续的App提供网络接入、分发、预置等服务。

综上,新规出台后,各应用市场为履行App分发平台的相关义务,均对App备案作出了相关要求:华为开发者联盟页面中单列“App备案FAQ”模块,并在该模块首部明确App备案的相关法律法规要求³;小米应用商店则在“小米开放平台”官方网站中公示了《移动应用程序(App)备案指引》文件,要求App主办者依规履行App备案手续;除华为、小米的应用平台出台了相关规定外,应用宝、OPPO、vivo等应用平台也在各自的应用开发者平台中公示了App备案的具体要求。

(四)特殊类型App需要具备的特殊资质

对于所提供信息服务包含金融、健康医疗、药品、教育、影音视频、直播、新闻资讯、宗教服务、深度合成服务、地图服务、网约车服务等内容的App提供者,其如需完成App上架,还应向应用市场类平台提交相关行业的特殊资质证明。典型如医疗服务类App需提交《医疗机构执业许可证》;教育类App需向省级教育行政部门完成备案;信托、金融理财服务类App需具备《金融许可证》、《经营证券期货业务许可证》等金融资质;影音视频类App需具备《信息网络传播视听节目许可证》;互联网宗教信息服务类App需具备《互联网宗教信息服务许可证》等。

(五)《隐私政策》《用户协议》等文件

除法律规定的相关资质外,大多数应用程序分发平台还要求App提供者在创建应用或更新版本时提交《隐私政策》《用户协议》等App必备文件,且App提供者必须保证所提交的文件版本与App内的文件版本完全保持一致。不仅如此,很多应用程序分发平台还会就《隐私政策》等文件的合规性作出专门指引,典型如:小米开放平台中设置有专门的App常见隐私问题合规指引模块,该模块中“常见隐私安全问题与自查整改指引”首款即为“隐私政策不合规”,内容主要包括隐私政策设置需重点关注的问题、自查整改指引,以及相关问题的案例公示等。

(六)苹果App Store的特别审核标准

App在苹果App Store上架时,App提供者除须事先准备好法律法规规定的App应具备的相关资质证明文件外,还需通过苹果公司规定的审核标准体系。根据《App Store 审核指南》,App上架前苹果公司会从“安全”、“性能”、“商务”、“设计”、“法律”等方面对其进行审查,不符合相关要求的App可能无法通过审核并最终完成上架。且《App Store 审核指南》中对App的创新性提出了较高要求,如已有大量同一或类似功能类型的App存在,除非拟上架的App能够提供独特、高质量的体验,否则将会被苹果公司拒绝上架。此外,代码重复、题材老旧单一等等都可能成为在App Store上架失败的原因。

02

App代上架服务

经检索,在淘宝、咸鱼、小红书等多家电商平台或信息咨询平台中,均存在宣称可提供App代上架服务的商家。App代上架服务范围较多,包括App研发、App软著以及相关资质办理,部分商家号称“App代运营一条龙互联网服务”,能够解决资质不全、资料不齐、申诉处理、App加固、隐私政策撰写等等问题。

据了解,目前提供App代上架服务的商家主要采用以下几种方式帮助App提供者规避应用平台的审核及监管,实现App上架:

(一)套壳上架(伪装上架)

此种方式是针对存在资质缺失、App类型较为敏感等情况导致无法成功上架至应用商店的App。套壳上架的主要操作方式是借用一个其他App的外壳,内嵌实际上架App的链接,用户下载App后通过多次点击或后台重进的方式跳转到使用实际上架的App。例如,某金融投资类App不具备《金融许可证》,无法向应用平台提供该资质,导致最终无法上架。此时App代上架服务商可能会另行准备一个无需《金融许可证》资质的普通信息提供服务类App,在该App根据应用市场要求完成上架后,在已上架的信息提供服务类App中内置跳转链接,在该链接中嵌套某金融投资类App的信息服务内容,用户可通过该跳转链接实际使用某金融投资类App。至此,某金融投资类App即借助信息提供服务类App的外壳实现了在应用市场的最终上架。

(二)白包上架

此类上架模式主要适用于苹果App Store的App上架。根据苹果公司的App上架流程,App提供者首先需注册应用市场内“开发者”账号,成功完成开发者账号注册,并创建Apple ID、申请证书等一系列前期工作后,方可在iTunes Connect中创建App,并最终将App 源代码包上传,最终等候App Store审核通过。

此外,苹果公司还为开发者提供App转让服务,开发者可将其Apple ID控制下的App转让至另一Apple ID的控制之下,由受让方Apple ID的持有者负责该App的更新、运营等。而根据目前能够检索到的苹果后台App转让条件,App转让的操作不涉及源代码和二进制文件的转让,因此这类操作不构成App软件著作权的转让;转让标的更可能是App在App Store上架期间运营形成的运营数据、版本记录,以及App已在App Store上架的资质。

苹果App转让条件(图片来源:七麦数据)

而所谓的“白包上架”正是利用了苹果系统下已上架App可转让的规则,据笔者以消费者身份与商家的沟通了解到,“白包”主要有两种来源:一是由代上架服务商自行编写或外包给其他技术方编写一个新的App,且将该App自行完成上架后,待机向购买方出售;二是服务商向其他主体回收白包App,收购的白包App是否经合法渠道或合法授权获得,服务商也难以确定。在完成“白包”的上架或收购后,App的转让方需要通过苹果的开发者平台进行操作,在满足App转让的条件后,转让方需填写App接收方的Apple ID,并最终点击确认平台内根据相关信息生成的《转让协议》,完成App 转让。App转让完成,即可实现App运营主体的变更,由新的运营主体通过自己的Apple ID进行App后续的版本更新和运营维护。

03

App代上架服务涉及的合规风险

从外观上看,本文所述的几类App代上架服务可能仅构成违反相关应用市场类平台的审核规则,事实上,这类行为还可能使服务接受方陷入App权属纠纷,并且可能存在更为严重的合规风险:

(一)相关App被应用市场平台下架的风险

采取违规手段上架的App面临着被应用市场平台下架的风险。除在申请App上架时对其进行初步审核外,《移动互联网应用程序信息服务管理规定(2022)》中还要求应用程序分发平台建立健全管理机制和技术手段,建立完善日常管理、应急处置等管理措施,对于违反相关法律法规及服务协议的应用程序,应当依法依约采取警示、暂停服务、下架等处置措施。因此,App成功上架并非一劳永逸,如应用程序分发平台在日常监管中发现App存在违法违规情况,仍有可能对其进行下架处理。

(二)与App权属争议相关的民事纠纷

1.App转让的标的是什么?

首先需要明确的是,App转让可能涉及多个层次或多项内容,包括但不限于软件著作权的转让、App内相关运营数据的转让以及App运营主体的变更等。而App代上架服务商一般不提供编写App源代码的相关服务,代上架服务仅可能涉及将App的源代码更新上传至应用市场,因此相关App的软件著作权在这一过程中并未发生权利主体的改变,相关App的软件著作权仍属于原软件著作权人。

其次,采用白包上架方式完成上架需要首先清空原有App的历史数据,如用户活动、支付、销售数据等,这类数据是否随App转让至App接收方应由双方协商决定。部分App转让方会在进行App转让前清空原有App的数据记录,仅向App接收方移交App的已上架资质及后续对该App的管理控制权。

因此,通过App Store等应用程序分发平台完成的App转让,其转让标的不是App软件本身(即App的软件著作权),而是App的已上架资质以及App的后续管理控制权限;如双方约定转让时保留该App历史数据的,转让标的还应涵盖该App原先运营管理过程中产生的,留存在应用程序分发平台后台系统中的相关数据。

2.App“一物二卖”的风险

实践中还存在一种情形:App代上架服务商实际掌握着应用程序分发平台中的开发者账号(如:Apple ID)及密码,在服务过程中,服务商直接以应用程序分发平台中的开发者的身份使用开发者账号及密码登录应用市场并进行后续上架、更新等所有操作。

以苹果旗下的应用程序分发平台App Store为例,在App Store体系中,代上架服务商只需要掌握Apple ID及密码,就能在App Store的后台系统中完成App的代上架及后续所有的维护、更新等操作,而App提供者或App开发者可以仅负责App内容或App源代码等底层技术逻辑的创造与更新,并不需要直接在App Store的后台系统中进行操作,实践中,很多委托了代上架服务的App开发者也几乎不会关注服务商怎么具体在App Store系统中进行操作。因此,在这类代上架服务过程中,服务商具有App Store体系中App的实际“控制者”身份,可以管理该App在App Store中的全部历史数据,甚至可能包括相关用户信息。

由于App提供者并未通过Apple ID直接对应用市场系统后台进行操作,主要是通过服务商了解相关情况,部分服务商为获取更高额利润,还可能将其掌握的App进行“一物二卖”:即对于已经作为“白包”出售,但长时间未收到该App提供者版本更新请求或已丧失用户活跃度的“僵尸App”,服务商会将“僵尸App”的历史数据及源代码等清空后重新进行售卖,并继续为新的买家提供App更新等服务。此时,因Apple ID和密码受服务商控制并未改变,新的App提供者向服务商提供新App的技术源代码以及内容设计,服务商再通过应用市场后台系统进行操作更改,这就会导致该账户下面的App实际呈现的内容发生改变,成为一个全新的App。在用户端,则可能出现这样一种情况:用户原来下载了一个A电商平台的App,过了一段时间之后更新版本后再次登录,呈现的却是一个B电商平台的App。如果此时原App提供者打算重新运营该“僵尸App”,就会发现App内容已经被完全替换,这就会出现“我的App不再是我的App”的情况,进而导致原App提供者与现App提供者就此产生纠纷,同时也会带来原App消费者合法权益受损的问题,进而导致原App提供者与自己平台消费者之间的纠纷。

由于App不具备有体性,不属于典型民法意义上的物,因此很难直接用物权关系来界定上述纠纷中各方之间的法律关系。笔者认为,在上述情形下,服务商二次出售App需事先清空原App提供者在App运营过程中产生的历史数据,而历史数据对于原App提供者来说也是具有经济价值的生产要素,虽然我国目前对如何确定数据权属暂未出台明确的法律规定,但数据同样具有经济价值属性,《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。该条规定实质上是认可了数据、网络虚拟财产作为民事权利客体的地位。且在俞彬华诉广州华多网络科技有限公司网络服务合同纠纷案、蒋某诉某网络科技公司网络侵害虚拟财产纠纷案等涉及网络虚拟财产的典型案例中,法院虽未对数据或网络虚拟财产的权属进行明确界定,但裁判观点均认可相关主体对涉案数据或网络虚拟财产具备权利主体资格;在蒋某诉某网络科技公司网络侵害虚拟财产纠纷案中,法院最终判决被告恢复原告账号内的相关数据信息,更是侧面证明了在司法实践层面,相关数据记录也可作为民事权利的客体存在。有学者认为,数据的权属问题可以从协调各方主体利益的角度出发,对不同类型的数据,分别赋予不同主体以不同的权利,对于公司、企业等主体在日常生产经营和社会活动中产生的非个人信息类数据,应当由该数据处理者对其合法处理的数据享有数据资产权,这类权益应当被视为一种新型的财产权,而非属于物权范畴的所有权。

结合司法实践及学界观点来看,App在应用市场系统中的历史数据应为App提供者在App运营过程中产生的非个人信息类数据,App提供者对其享有财产性权益。

综上,服务商未经App提供者同意清空相关历史数据并对App进行“一物二买”的行为已构成对App提供者财产性权益的侵犯,App提供者可就该服务商清空历史数据的行为主张侵权责任。如双方明确约定了服务商的服务期限或要求服务商保证App在应用平台上可正常下载,且应按照App提供者的要求及时更新等合同义务的,服务商“一物二买”的行为即构成违约,App提供者还可据此向该服务商主张违约责任。

(三)代上架服务商存在涉嫌非法获取计算机信息系统数据罪的刑事风险

根据《刑法(2020修正)》第285条的规定,违反国家规定,侵入除国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,或采用其他技术手段,获取该计算机信息系统中存储、处理或传输的数据,情节严重的,构成非法获取计算机信息系统数据罪。

由于他人的Apple ID及密码可以在任何计算机终端使用,是用于确认用户在计算机信息系统上操作权限的数据,属于计算机信息系统数据。因此在白包上架模式下,如服务商采用盗取他人Apple ID的方式非法取得他人Apple ID账号,并操作该账号转让该账号控制下的已上架App,则服务商的行为很可能构成非法获取计算机信息系统数据罪的实行行为,从主观方面来看,服务商对盗取他人Apple ID账号的行为存在主观故意,因此,主客观相结合,如服务商故意实施上述违法行为,且获取的违法所得达到五千元以上或所造成的经济损失达到一万元以上,则服务商可能构成非法获取计算机信息系统数据罪。

(四)App提供者可能构成掩饰、隐瞒犯罪所得罪或非法获取计算机信息系统数据罪、非法控制计算机信息系统罪的共犯

如App提供者在明知服务商向其提供的“白包”App属于犯罪所得,但仍然向服务商购买白包上架服务,则App提供者虽未实施非法侵入计算机信息系统的行为,但明知是他人通过非法侵入的方式获取的计算机信息系统数据仍予以收购的,可能因此构成掩饰、隐瞒犯罪所得罪。典型如(2021)粤0604刑初33号中,王某森明知马某亮向其提供的数据为马某亮犯罪所得,但仍予以收购,法院认为其行为已构成掩饰、隐瞒犯罪所得罪,最终判处王某森有期徒刑三年,缓刑四年,并处罚金人民币30000元。

如App提供者明知服务商利用盗号等非法方式获取已上架App,仍向服务商进行购买,并与服务商共同通过该非法所得获利的,还可能构成非法获取计算机信息系统数据罪或非法控制计算机信息系统罪的共犯。在于某军等非法获取计算机信息系统数据、非法控制计算机信息系统一案中¹⁰,于某军明知刘某利用非法软件在某医院的挂号平台中进行抢号,却仍向刘某购买其非法获得的挂号资源,并与刘某共同谋利,因此被法院认定与刘某构成共犯。

04

合规建议

实践中大量的App提供者会委托专门的服务商进行代上架及App在应用市场上的后续维护和更新工作,鉴于上文所阐述的合规风险,笔者建议,无论是App提供者还是代上架服务的服务商,都应当采取一系列措施防控合规风险。

01

签署书面合作合同

App提供者可在购买代上架服务前与代上架服务商约定代上架服务的具体范围,并明确要求代上架服务商采取合法手段取得App上架所需的材料。如代上架服务涉及App转让的,作为接收方的App提供者应当与转让方签署相关协议,明确双方的交割内容,包括但不限于转让标的、双方应如何进行配合、转让是否数据的转让、业务关系的转移以及用户个人信息的转移等,同时明确约定违约责任,一旦双方就合同履行产生纠纷,App提供者可依据合同主张自己的权利。

02

对服务商进行调查

在接受代上架服务前,App提供者应当对代上架服务商进行基础的尽职调查,考察代上架服务商的主体信息是否真实、是否曾受到行政处罚或承担过刑事责任、是否存在涉诉情况或不良征信情况、调查其之前提供代上架服务采用的方式是否合法;如涉及App转让的,还应审查代上架服务商是否与原App提供者签署过App转让协议;如服务商利用其在应用程序分发平台中的开发者账号为App提供者进行代上架及后续更新、维护等服务的,App提供者应核查服务商开发者账号的来源是否合法,如查阅其在应用市场上的登记信息等,在进行合作前对服务商的风险情况进行全面的了解。

03

对相关App的情况进行调查

如代上架服务涉及利用已上架App的,App提供者还可事先通过应用程序分发平台以及其他收集App历史版本和开发者记录的第三方平台查询App的历任开发者账号主体以及App的历史版本情况,尽量明确App的内容和当前所属的开发者账号,并结合对服务商的调查情况综合判断已上架App的来源是否存在合法风险。

对于代上架服务商而言,如果涉及“白包”上架,在回收该App时就要调查清楚该App是否权属清晰,是否存在潜在的纠纷,回收行为也需要有相关的合同依据,避免以非法技术手段获取他人合法运营的App。

04

合规进行用户个人信息的迁移

如App代上架涉及已上架App内用户个人信息转让及用户迁移的,App提供者应当与原App提供者明确约定双方对用户个人信息保护的责任范围。且App运营主体变更后,App内的《隐私政策》应当及时变更,就个人信息处理者的变化应当征得用户的同意,并将明确告知用户新App将如何处理用户个人信息,用户拒绝授权新的App提供者处理其个人信息的,新的App提供者不得擅自处理;原App提供者则应依据相关规定或约定对用户信息采取删除等处理措施。

05

结语

综上所述,虽然目前能够绕开应用程序分发平台审核的手段层出不穷,代上架服务似乎也已成为App产业链中的重要一环,但App提供者仍应关注App代上架服务可能带来的合规风险。随着App备案相关管理规定的出台,有关监管部门对App行业的监管要求不断趋于严格,购买代上架服务规避应用程序分发平台等主体的审核监管终归不是长久之计。对App提供者来说,依法依规取得App上架资质,不断完善优化App内容,实时关注并履行相关监管要求,才是长期合规运营App的最优解。

注释

1.本文所称App提供者/App运营者:是指App业务的实际经营者,主要为通过App宣传或开展业务,提供信息服务的主体。

2.本文所称App开发主体/App开发者:App的开发者与App的提供者可能是同一主体,也可能是接受App提供者委托,进行App软件开发企业或个人,主要提供软件技术等方面的服务。

3.https://developer.huawei.com/consumer/cn/doc/distribution/App/50130

4.https://dev.mi.com/distribute/doc/details?pId=1739

5.https://developer.Apple.com/cn/App-store/review/guidelines/#spam

6.本文所称开发者:是指在各应用程序分发平台成功注册开发者帐号,并获得应用程序分发平台授权,使用应用程序分发平台提供的产品和服务,开发、上架或向最终用户提供各类App的个人、法人或其它组织。(注:一个开发者账号下可能加挂多个App的情况,实践中开发者与App开发者、App提供者可能分别为不同的主体,开发者也可能为代上架服务商。)

7.案号:(2019)粤0192民初70号

8.案例来源 :《人民法院报》2021年7月15日第3版

9.程啸:《现代社会中的数据权属问题》,《法治日报》2022年4月20日第9版

10.案号:(2021)京0105刑初3068号

AUTHOR

作者介绍

樊思琪律师

京师深圳律所数字经济法律事务中心副主任、京师深圳律所金融科技法律事务部副主任、深圳市大数据产业协会、深圳市大数据研究与应用协会专家顾问、数据合规研究院高级研究员。

曾就职于银行、证券公司等多家金融机构,主要从事资产管理相关业务,以非标投资、房地产并购基金、股权投资基金以及资产证券化等业务为主,具有法律和金融复合知识背景。

业务领域:

企业合规、数据合规、投融资并购。

教育背景:

中南财经政法大学法学院

武汉大学法学院经济法系

专业资质:

证券从业资格证、基金从业资格证、CFA-LEVEL3 CANDITATE、德国TUV莱茵学院数据合规官DPO

AUTHOR

作者介绍

聂雯珺

京师深圳律所律师助理,具有检察机关实习经历,曾参与完成多个数据合规项目。

教育背景:

吉林大学法学学士


咨询热线
咨询热线: 0756-8812662 0756-8812686
留言咨询
来访路线
公众号
小程序
回到顶部