根据《管理规定》第二条第一款，《管理规定》适用于在中华人民共和国境内提供应用程序信息服务，以及从事互联网应用商店等应用程序分发服务。

首先，从地域范围上，规制的是在境内提供相关服务组织的行为。如果在境外提供应用程序信息服务或者应用程序分发服务，则不在本规章的规制范围。例如，因Google Play在国内不能使用，则不受《管理规定》的规制。

其次，从规制对象上，主要分为两类。第一类是“应用程序信息服务”，根据《管理规定》第二条，主要指向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型的应用程序，覆盖了用户经常使用的、且存在较高用户数量的应用程序。第二类是“应用程序分发服务”，即通过互联网提供应用程序发布、下载、动态加载等服务活动，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型，例如Apple Store、华为快应用中心以及微信小程序平台等。

《管理规定》第二十六条明确了两类适用主体，即移动互联网应用程序提供者以及移动互联网应用程序分发平台。前者指提供信息服务的移动互联网应用程序所有者或者运营者，后者则是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

根据《管理规定》，应用程序分发服务包含“互联网小程序平台”的行文逻辑，以及近期几份监管文件中对“移动互联网应用程序”属性的确认，我们认为《管理规定》中的移动互联网应用程序包含小程序。例如，某新闻资讯微信小程序的开发者，应当遵守《管理规定》有关“应用程序提供者”的合规要求；同时，微信小程序平台管理者也将构成《管理规定》中的“应用程序分发平台”。

《网络安全法》第二十四条规定：“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。”相较于年初发布的《移动互联网应用程序信息服务管理规定（征求意见稿）》（“《征求意见稿》”），《管理规定》第五条增加了有关网络可信身份战略的配合义务，即“应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，积极配合国家实施网络可信身份战略”。据此，应用程序提供者及应用程序分发平台在履行用户真实身份认证义务的同时，应当关注电子身份认证、电子身份互认的相关技术及标准动态，例如，公安部领导推动建设的网络电子身份标识（elD）与居民身份网络可信凭证（CTID）是目前较为常见的技术形态。

《网络安全法》《数据安全法》《个人信息保护法》《互联网新闻信息服务管理规定》以及《网络信息内容生态治理规定》均从不同角度要求有关互联网运营主体自觉接受社会监督，并对其投诉、举报及响应制度作出要求。根据《管理规定》第二十二条，应用程序提供者和应用程序分发平台应当自觉接受社会监督，设置醒目、便捷的投诉举报入口，公布投诉举报方式，健全受理、处置、反馈等机制，及时处理公众投诉举报。

《管理规定》第八条新增了“应用程序提供者应当对信息内容呈现结果负责，不得生产传播违法信息，自觉防范和抵制不良信息”的表述。在此，应用程序提供者作为互联网内容提供者（ICP），应当最大程度地避免其用户制作、复制、发布、传播的内容存在违法违规的情况。同时，《管理规定》第八条也不宜被视作对《民法典》《信息网络传播权保护条例》所确立的“避风港”原则的突破。

根据《管理规定》第八条，应用程序提供者应当健全信息内容审核管理机制，建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施，配备与服务规模相适应的专业人员和技术能力，对信息内容呈现结果负责。对此，应用程序提供者应当建立全流程的完整的内部审核管理机制，在用户注册、账号管理、信息审核、日常巡查、应急处置等各环节满足相关制度建立、人员配置与技术跟进的要求，切实地落实对信息内容呈现结果负责的主体责任。2021年发布的《关于进一步压实网站平台信息内容管理主体责任的意见》以及《互联网平台落实主体责任指南（征求意见稿）》均对加强内容管理与审核机制作出了规定。《管理规定》则从互联网信息服务入手再次重申应用程序提供者的内容审核管理义务。因此，互联网运营主体的内容审核义务及主体责任落实是当下监管关注的重点内容之一。

首先，应用程序提供者应满足用户的真实身份信息认证义务。根据《管理规定》第六条规定，应用程序提供者为用户提供信息发布、即时通讯等服务的，应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。信息发布与即时通信服务属于较为典型的应用程序信息服务，因而《管理规定》专门提及此两类服务类型的真实身份认证，但并不意味着仅有此两类信息服务类型需要满足用户真实身份认证义务。在此，仍应围绕“应用程序信息服务”以及《管理规定》所列明的服务类型展开理解，相关应用程序提供者均应履行用户的真实身份认证义务。

第二，根据《管理规定》第十六条，应用程序提供者应依法依规制定并公开管理规则，与注册用户签订服务协议，明确双方相关权利义务。对违反《管理规定》及相关法律法规及服务协议的注册用户，采取警示、限制功能、关闭账号等处置措施，保存记录并向有关主管部门报告。《管理规定》第十六条在 “制定并公开管理规则，与注册用户签订服务协议，明确双方相关权利义务”的内容前新增了“依据法律法规和国家有关规定”的表述；同时，删除了 “制定并公开平台公约”的规定。近年来，涉及平台运营者/经营者的相关规范性文件对平台管理规则、用户协议等作出了规定，其中不乏可纳入《管理规定》视域下提供信息服务的即时通讯、电子商务、论坛社区等平台主体。例如，根据《网络数据安全管理条例（征求意见稿）》第四十三条规定，互联网平台运营者应当建立与数据相关的平台规则，及时披露规则制定程序、裁决程序，修改完善平台规则应当充分采纳公众意见并接受社会监督。又如，根据《互联网平台落实主体责任指南（征求意见稿）》第十四条规定，互联网平台经营者应当提高规则透明度，履行与服务协议和交易规则相关的信息公示和报告制度。遵循规则制定、修改相关的公示、征求意见、听证和协商程序，保证相关规则的公开、公平、公正。

第三，《管理规定》强调了对未成年人的保护。《管理规定》第十三条修改了《征求意见稿》中“落实未成年人用户账号实名注册”的表述，将其调整为“落实未成年人用户账号真实身份信息注册”。同时，第十三条增加了“不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息”的内容。2022年3月出台的《未成年人网络保护条例（征求意见稿）》同样规定了“禁止利用网络制作、复制、发布、传播含有危害未成年人身心健康内容的信息”以及为未成年人提供信息发布、即时通讯等服务时“要求未成年人或者其监护人提供未成年人真实身份信息”的内容。在此，《管理规定》进一步强调了未成年人账号注册的真实身份信息要求，以及应用程序提供者对可能危害未成年人身心健康内容的审核禁止义务。应用程序提供者应当坚持最有利于未成年人的原则，关注未成年人健康成长，履行未成年人网络保护各项义务，依法严格落实未成年人用户账号真实身份信息注册和登录要求。对于应用程序提供者而言，除应当关注作为《管理规定》制定依据之一的《未成年人保护法》以及上文提到的《未成年人网络保护条例（征求意见稿）》外，还应当通过司法实践中的相关案例获得合规启示。例如，在北京互联网法院发布的自2018年建院以来的涉及未成年人网络纠纷的典型案例中，存在未成年人在网络游戏平台遭遇网络诈骗的案例。对于未成年人用户较多的游戏、网络平台等，应加大对侵害未成年人合法权益行为的审核力度，对用户加强关于违法犯罪行为的提示，不断提升未成年人的保护力度。又如，存在未成年人在网络直播平台不理性消费的典型案例，法院认定网络直播平台经营者在未成年人保护工作中存在机制缺失和管理漏洞，向平台发出司法建议以此督促其完善实名认证环节的控制。

首先，根据《管理规定》第七条，应用程序提供者提供互联网新闻信息服务的，应当取得互联网新闻信息服务许可。应用程序提供者提供其他互联网信息服务，依法须经有关主管部门审核同意或者取得相关许可的，经有关主管部门审核同意或者取得相关许可后方可提供服务。根据《互联网新闻信息服务管理规定》的相关规定，通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务，应当取得互联网新闻信息服务许可；互联网新闻信息服务，包括互联网新闻信息采编发布服务、转载服务、传播平台服务。此外，针对依法须获得相关许可的“其他互联网信息服务”，则取决于应用程序提供者所提供的具体服务类型。例如，对于提供电子商务信息服务的应用程序提供者，应根据《互联网信息服务管理办法》《电信业务分类目录》等文件申请“增值电信业务经营许可证-信息服务业务”（ICP证）以及“增值电信业务经营许可证-在线数据处理与交易处理业务”（EDI证）。

其次，根据《管理规定》第十四条，上线具有舆论属性或者社会动员能力的新技术、新应用、新功能，应当按照国家有关规定进行安全评估。根据网信办与公安部于2018年联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》的规定，具有舆论属性或社会动员能力的互联网信息服务包括：

（1）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；

（2）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

同时，根据《互联网新闻信息服务新技术新应用安全评估管理规定》第七条，互联网新闻信息服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的，应当自行组织开展新技术新应用安全评估；而根据《互联网信息服务算法推荐管理规定》第二十七条可知，具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。在此，《管理规定》第十四条的安全评估与算法推荐服务的安全评估范围重合，但在实践中是否由相同监管部门开展类似的安全评估程序，则有待观察。

在网络安全领域，《管理规定》第十条要求应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。在数据安全领域，《管理规定》第十一条明确开展应用程序数据处理活动，应当履行数据安全保护义务，建立健全全流程数据安全管理制度，采取保障数据安全技术措施和其他安全措施，加强风险监测。

例如，2021年实施的《信息安全技术 网络产品和服务安全通用要求》（GB/T 39276-2020）从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求。安全功能和安全保障均包含基本级和增强级安全要求。应用程序提供者应至少满足基本级安全通用要求，包括身份标识和鉴别、日志记录与审计、用户信息安全保护及密码使用与管理的安全功能要求，以及在设计和开发、生产和交付及运行和维护过程中需满足的安全保障要求。此外，根据网信办、工信部与公安部联合发布的《网络产品安全漏洞管理规定》，应用程序提供者负有网络产品安全漏洞管理义务，包括：（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者；（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等；（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。同时，未按要求采取补救措施或履行报告义务的应用程序提供者，面临由有关主管部门责令改正，给予警告至最高五十万元罚款（对直接负责的主管人员处最高十万元罚款）的行政责任。

在个人信息保护领域，《管理规定》调整了处理个人信息时不得强制取得用户同意的内容，以避免产生歧义。《管理规定》将《征求意见稿》所规定的“不得以任何理由强制要求用户同意非必要的个人信息处理行为”中的“非必要”删除，调整为“不得以任何理由强制要求用户同意个人信息处理行为”。我们理解，此处的修改说明即便是“必要的个人信息”，应用程序提供者也不得强制要求用户同意，而应当在隐私政策中告知用户所收集的必要个人信息以及为开展业务而收集相关个人信息的必要目的，并取得用户的同意。例如，即时通信类App为满足用户注册及对注册用户进行真实身份信息认证的要求而收集的“注册用户移动电话号码”即为“必要个人信息”， App运营者也应当告知用户并取得用户同意后方才收集此类个人信息。

《管理规定》第十二条重申处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则，遵守必要个人信息范围的有关规定，规范个人信息处理活动，采取必要措施保障个人信息安全，不得以任何理由强制要求用户同意个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。对于应用程序提供者而言，除应当遵守《个人信息保护法》《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中有关个人信息处理者的合规义务外，还应当重视《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》等对应用程序基本功能与必要个人信息的相关规定和国家标准。例如，对于提供信息服务的网络社区类App，其基本业务功能包括话题讨论、信息分享等信息服务，因而用于网络社区用户注册，满足对App注册用户进行真实身份信息认证的要求而收集的注册用户移动电话号码即为该App可收集的“必要个人信息”，而“用户地理位置信息”可能属于为满足App扩展业务功能而收集的个人信息则为“非必要但有关联个人信息”。根据《管理规定》的要求，无论收集何种个人信息，应用程序提供方均需告知用户处理其个人信息的方式与目的并取得用户同意，同时不能因用户不同意提供“地理位置”等非必要个人信息而拒绝用户使用话题发布等基本功能。

根据《管理规定》第九条，应用程序提供者不得通过虚假宣传、捆绑下载等行为，通过机器或者人工刷榜、刷量、控评等方式，或者利用违法和不良信息诱导用户下载。根据市场监督管理总局发布的《禁止网络不正当竞争行为规定（公开征求意见稿）》的规定，若应用程序提供者通过机器或者人工刷榜、刷量、控评等方式对自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传，欺骗、误导消费者或者相关公众，则可能构成不正当竞争行为。在实践中，存在较多诱导用户下载的案例。例如，2021年“3.15”晚会曝光了有的App名义上为清理手机垃圾，实则侵入老年人手机读取隐私信息，有的甚至设下精准陷阱进行诈骗，此类行为即属于利用违法和不良信息诱导用户下载。

此外，《管理规定》第十五条鼓励应用程序提供者积极采用互联网协议第六版（IPv6）向用户提供信息服务。此条要求并非《管理规定》对应用程序提供者的强制性要求，但根据网信办、发改委及工信部联合印发的《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》等相关文件的内容规划，应用程序提供者应积极配合采用互联网协议第六版（IPv6）向用户提供信息服务。

首先，《管理规定》进一步明确了应用程序分发平台的备案时限。《管理规定》第十七条将《征求意见稿》第十六条规定的“应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案”调整为“应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案”，删除了“业务”二字。换言之，应用程序分发平台应当于上线运营后的三十日内完成向所在地省级网信办的备案工作。同时，《管理规定》调整了对备案条件的表述。《征求意见稿》中规定“省、自治区、直辖市互联网信息办公室对备案材料的真实性、完备性进行审核，符合条件的应当予以备案”，而《管理规定》调整为“省、自治区、直辖市网信部门收到备案材料后，材料齐全的应当予以备案”。在此，《管理规定》取消了网信部门对备案材料真实性与完备性的审核要求，而以“材料齐全”作为备案条件。同时，《管理规定》在应用程序平台的备案材料中，删除了“公约”这一材料类型。

根据《管理规定》第十七条，应用程序平台自身的平台备案义务是指在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时，应当提交以下材料：

（1）平台运营主体基本情况；

（2）平台名称、域名、接入服务、服务资质、上架应用程序类别等信息；

（3）平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料；

（4）本规定第五条要求建立健全的相关制度文件；

（5）平台管理规则、服务协议等。

如上文分析，《管理规定》取消了网信部门对平台备案的真实性与完备性的审核要求，但要求平台备案的材料齐全；同时，《管理规定》要求网信部门及时公布已经履行备案手续的应用程序分发平台名单。对于应用程序平台而言，备案名单将在很大程度上为其满足基本合规情况完成背书。

《管理规定》改变了对上架应用程序备案地的规定。根据《征求意见稿》第十七条的规定，应用程序分发平台应将其上架的应用程序“向应用程序分发平台所在地省、自治区、直辖市互联网信息办公室备案”，但根据《管理规定》第十八条，应用程序分发平台对上架的应用程序应“按类别向其所在地省、自治区、直辖市网信部门备案”。在此，根据语义理解，应用程序分发平台应将其上架的应用程序进行分类管理，并向该应用程序所在地的省级网信部门提交备案，而非向应用程序平台自身所在地的省级网信部门备案。我们理解，此处改变符合《管理规定》第三条的“地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作”，同时也为实践中监管机构的管理工作开展提供便利。

在上架审核环节：根据《管理规定》第十九条，应用程序分发平台应采取复合验证等措施，对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证；根据《管理规定》第二十条，对申请上架和更新的应用程序进行审核，应从应用程序名称、图标、简介、注册主体真实身份信息以及业务类型是否存在违法违规等角度审核。根据《管理规定》第二十条，对于提供特殊服务类型的应用程序，例如通过应用程序提供互联网新闻信息服务的应用程序，应用程序平台应对相关许可等情况进行核验；又如应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能的，则应用程序平台应对安全评估情况进行核验。

在日常管理环节：《管理规定》第二十条要求加强对在架应用程序的日常管理，重点审查是否含有违法和不良信息，下载量、评价指标等数据造假，存在数据安全风险隐患，违法违规收集使用个人信息等情形。因此，应用程序分发平台不但需承担对违法和不良信息的内容管理义务，同时也应当在数据造假与数据安全两个方面对其上架的应用程序承担审核管理义务。在数据造假方面，根据市场监管总局关于《禁止网络不正当竞争行为规定（公开征求意见稿）》的规定，应用程序分发平台若对其上架应用程序的数据造假虚假宣传行为提供帮助，则涉嫌构成不正当竞争，面临责令停止违法行为，最高二百万元的罚款以及吊销营业执照的处罚。在数据与个人信息保护方面，应用程序分发平台可关注工信部定期对侵害用户权益行为的应用程序的通报，被要求整改的应用程序的问题集中在违法违规收集、使用用户个人信息方面，具有典型示范意义。

在应急处置方面：根据《管理规定》第二十一条，对违反《管理规定》及相关法律法规及服务协议的应用程序，应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施，保存记录并向有关主管部门报告。在实践中，应用程序分发平台应当针对违规程度不同的应用程序建立不同级别的处置措施，对于屡次违规或明显违反相关法律法规而遭到有关部门约谈的应用程序，应用程序分发平台应当对其采取下架措施。例如，某知名网络社区类App曾因屡次出现法律、法规禁止发布或者传输的信息，而被国家互联网信息办公室指导北京市互联网信息办公室派出工作督导组督促整改同时予以高额罚款，而该App也在各应用商店被下架处理。此外，根据《管理规定》第二十二条，应用程序分发平台同应用程序一样，需设置醒目、便捷的投诉举报入口，公布投诉举报方式，健全受理、处置、反馈等机制，及时处理公众投诉举报。

根据《管理规定》第二十条，应用程序分发平台应当加强对在架应用程序的日常管理，不得为违法违规收集使用个人信息的应用程序提供服务。近期，全国信安标委发布了《信息安全技术 应用商店的移动互联网应用程序（App）个人信息处理规范性审核与管理指南（征求意见稿）》（以下简称“《管理指南》”）。《管理指南》给出了应用商店运营者对App个人信息处理活动的审核与管理指南，适用于指导应用商店运营者审核管理App个人信息处理活动，也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。《管理指南》中的“应用商店”，也即“移动应用分发平台，包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台，以及小程序、快应用、H5 页面等新形态分发平台，”是“提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。”因此，作为《管理指南》适用主体的“应用商店”与《管理规定》中的应用程序分发平台的概念外延基本一致，应用程序分发平台可参考《管理指南》对其上架及在架的应用程序进行审核管理。根据《管理指南》，应用程序分发平台的审核管理流程可总结为：针对新申请上架的App、存量App以及发生版本更新的App，应用程序分发平台需对App个人信息处理活动进行审核，并在App通过审核后对其进行上架；在App进入应用程序分发平台后，应用程序分发平台需对App个人信息处理活动进行安全管理，并在App存在主管、监管部门通报的违法违规个人信息处理活动问题时对其采取督促整改、下架等措施。

《管理规定》要求应用程序提供者为用户提供信息发布、即时通讯等服务的，应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。这也是对《网络安全法》《互联网用户公众账号信息服务管理规定》等提出的实名制要求的衔接适用。

同时，《管理规定》要求应用程序提供者应当依据法律法规和国家有关规定，制定并公开管理规则，与注册用户签订服务协议，明确双方相关权利义务。对违反本规定及相关法律法规及服务协议的注册用户，应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施，保存记录并向有关主管部门报告。

《管理规定》要求应用程序提供者应当坚持最有利于未成年人的原则，关注未成年人健康成长，履行未成年人网络保护各项义务，依法严格落实未成年人用户账号真实身份信息注册和登录要求，不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务，不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。有关实名认证，《未成年人保护法》要求在游戏领域，国家建立统一的未成年人网络游戏电子身份认证系统，网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏；在网络直播领域，网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务；为年满十六周岁的未成年人提供网络直播发布者账号注册服务时，应当对其身份信息进行认证，并征得其父母或者其他监护人同意。向未成年人提供的信息内容的生态治理一直是立法和监管部门的关注重点，在《未成年人保护法》《未成年人网络保护条例（征求意见稿）》等法律法规和《关于进一步压实网站平台信息内容管理主体责任的意见》《关于加强网络直播规范管理工作的指导意见》等通知文件中被反复强调，在中央网信办启动的“清朗·暑期未成年人网络环境整治”专项行动中，也将持续聚焦解决网上危害未成年人身心健康的突出问题。各方应足够重视。

《管理规定》明确要求应用程序提供者通过应用程序提供互联网新闻信息服务的，应当取得互联网新闻信息服务许可，禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。此处衔接了《互联网新闻信息服务管理规定》提出的行政许可要求。

此外，出版，食品，医疗保健、药品和医疗器械，区块链等互联网信息服务也存在各自的行政许可或备案要求。应用程序提供者在拟开展某类信息服务前应提前调研和了解相关行业是否存在前置性的行政许可/审核同意要求，做好规划和布局。

应用程序提供者应对信息内容呈现结果负责，建立健全信息内容审核管理机制，建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施，配备与服务规模相适应的专业人员和技术能力。衔接和重申了《网络信息内容生态治理规定》等法规的相关要求。

《管理规定》明确禁止应用程序提供者通过虚假宣传、捆绑下载等行为，通过机器或者人工刷榜、刷量、控评等方式，或者利用违法和不良信息诱导用户下载。其实早在2016年，工信部印发的《移动智能终端应用软件预置和分发管理暂行规定》中就要求，生产企业和互联网信息服务提供者未经明示且经用户同意，不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。2021年市场监督管理总局发布的《禁止网络不正当竞争行为规定（公开征求意见稿）》规定，若应用程序提供者通过机器或者人工刷榜、刷量、控评等方式对自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传，欺骗、误导消费者或者相关公众，则可能构成不正当竞争行为。此前，在工信部组织的“APP侵害用户权益专项整治行动”中也曾就此问题向相关企业提出整改要求：在用户浏览页面内容时，未经用户同意或主动选择，不得自动或强制下载APP；推荐下载APP时，应同步提供明显的“取消”选项，切实保障用户的知情权、选择权；无合理正当理由，不得要求用户不下载APP就不给看，或者不让看全文。同时，工信部强调不得以折叠显示、主动弹窗、频繁提示、降低体验等方式强迫、误导用户下载、打开APP，或跳转至应用商店，影响用户正常浏览信息。此次《管理规定》将之前的立法和监管要求再次予以重申。

应用程序应当符合相关国家标准的强制性要求，发现应用程序存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

此外，《管理规定》要求应用程序提供者开展应用程序数据处理活动，应当履行数据安全保护义务，建立健全全流程数据安全管理制度，采取保障数据安全技术措施和其他安全措施，加强风险监测，不得危害国家安全、公共利益，不得损害他人合法权益。

在个人信息保护方面， 《管理规定》重申《个人信息保护法》等相关法规所明确要求的处理个人信息应当遵循的合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则，遵守必要个人信息范围的有关规定，规范个人信息处理活动，采取必要措施保障个人信息安全，不得以任何理由强制要求用户同意个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。有关必要个人信息范围，应用程序提供者可重点参考《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》等对于基本功能和必要信息范围的区分和认定标准。

同时，应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能，应当按照国家有关规定进行安全评估。

《管理规定》要求应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时，应当提交以下材料：

- 平台运营主体基本情况；

- 平台名称、域名、接入服务、服务资质、上架应用程序类别等信息；

- 平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料；

- 《管理规定》第五条要求建立健全的相关制度文件（信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度）；

- 平台管理规则、服务协议等。

上述材料齐全的网信部门应当予以备案，且国家网信部门将及时公布已经履行备案手续的应用程序分发平台名单。

《管理规定》同时规定了应用程序分发平台对所上架的应用程序的分类管理和备案义务，应用程序分发平台应当建立分类管理制度，对上架的应用程序实施分类管理，并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。

相比应用程序提供者，《管理规定》对应用程序分发平台提出了更高标准的实名认证要求，即应当采取基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的“复合验证”方式对申请上架的应用程序提供者进行真实身份信息认证。并根据应用程序提供者的不同主体性质，公示提供者名称、统一社会信用代码等信息，方便社会监督查询。

● 应用程序分发平台应当对申请上架和更新的应用程序进行审核，发现应用程序名称、图标、简介存在违法和不良信息，与注册主体真实身份信息不相符，业务类型存在违法违规等情况的，不得为其提供服务。

● 应建立应用软件管理机制，对应用软件进行审核及安全、服务等相关检测，对审核和检测中发现的恶意应用软件等违法违规软件，不得向用户提供；对所提供应用软件进行跟踪监测，及时处理违法违规软件，建立完善用户举报投诉处置措施等。

● 要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途，并将上述信息向软件下载用户明示。

● 应用程序提供的信息服务属于《管理规定》第七条规定的应当取得互联网新闻信息服务许可等范围的，应用程序分发平台应当对相关许可等情况进行核验；属于《管理规定》第十四条规定的应当进行安全评估的，应用程序分发平台应当对安全评估情况进行核验。

《管理规定》要求应用程序分发平台应当加强对在架应用程序的日常管理，对含有违法和不良信息，下载量、评价指标等数据造假，存在数据安全风险隐患，违法违规收集使用个人信息，损害他人合法权益等的，不得为其提供服务。

在App运营者的日常管理方面，《管理规定》要求应用程序分发平台应当依据法律法规和国家有关规定，制定并公开管理规则，与应用程序提供者签订服务协议，明确双方相关权利义务。指南征求意见稿对此提出了更为详细的指导，包括但不限于：

1）在与App运营者签署的相关协议中，明确App运营者遵循合法、正当、必要、诚信原则开展个人信息处理活动，履行个人信息安全的义务；

2）制定App运营者禁入/退出管理制度（即黑名单制度），对于App运营者发布的App多次未通过审核的，可在一段时间内禁止其提交App上架申请；

3）对不同App运营者在审核标准、展示样式等个人信息保护方面的要求遵循一致性原则，不根据App运营者身份、影响力、市场地位等因素，在其申请系统权限等方面提供默认开启等便利条件；

4）宜对App运营者的相关开发人员进行个人信息保护相关的培训和考核，以增进其对审核标准和相关要求的理解。

对于违反《管理规定》及相关法律法规及服务协议的应用程序，应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施，保存记录并向有关主管部门报告。

指南征求意见稿第7.4条提出了更为具体和多样的日常监督与问题处置方式，应用程序分发平台可结合自身情况将前述措施纳入日常监督和应急处置流程。