竺道

印度电子信息技术部发布《面向APP被禁用企业的告知询问函》

2020年6月9日,基于《2000年印度信息技术法》第69A节(允许印度电子信息技术部下达指令阻止公众通过电信设备访问网络信息)及其他相关条例,印度电子信息技术部通过了一则临时性法令禁止您的互联网应用程序(在印度境内范围)的使用。
此项临时性法令在紧急情况下得以颁布实施。根据《2000年印度信息技术法》第69A节内容和《2009年信息技术准则》第9条第(3)款(阻止公众获取信息的程序和保障措施)的指示,政府协调员、网络法部门、电子信息技术部联名将此针对一些应用程序的封锁请求提交给了上述准则第7条(请求审查)所指的委员会。政府委员会于2020年7月1日组织会议对此项请求和相关供参考的信息进行了评估。
经委员会对以上信息的审查评估,同意认为此请求符合《信息技术法》第69A节第(1)小节规定,并且其初衷源自对印度统一和完整主权、印度的国防和安全以及印度国民隐私和数据安全的保护。因此,委员会批准上述禁用指定范围应用程序的法令请求。委员会确知事件的严重性和采取补救措施的紧迫性,因此赞同支持电子和信息技术部在这方面采取的临时措施。委员会进一步建议涉及此禁令的应用程序研发/发布企业在遵守禁令的同时,须对违反第69A节规定的行为作出回应/澄清。
电子信息技术部于2020年6月29日通过的针对禁止使用指定互联网应用程序的临时法令和这封告知函将一并下发给涉及企业。同时附有一份调查问卷要求企业及时填写回复。
因此,涉及企业应从2020年7月8日起3周内针对此条禁令予以澄清并回答问卷中的问题,政府会视情况采取下一步回应措施。  问卷内容1. 公司相关信息:1.1 拥有此应用程序的公司名称是什么?1.2 这家公司是在哪个国家成立的?1.3 作为应用程序所有方的公司持股模式是什么?1.4 拥有该应用程序的公司控股/大股东的国籍或所在地是什么1.5 拥有此应用程序的公司是否有母公司?如果是,母公司名称是什么?1.6 母公司是什么时候,在哪个国家成立的?1.7 母公司总部在哪里?1.8 母公司在本公司的持股比例是多少?1.9 母公司是设在中国/香港以外的国家吗?1.10 母公司或其子公司或控股公司是否已在世界范围内任何一个国家上市?如果是,请分享详情。1.11 母公司和/或其子公司是否在其公司注册地所在国受法律约束。如果是,请采用附件所给的表格详细说明母公司及其子公司所受约束的法律条规。1.12 提供此应用程序使用国家的法庭案件或司法/裁决程序、行政审查或处罚的详情。1.13 是否有印度公司持有该应用程序所属企业的股份?请提供该印度实体的持股比例及注册详情。1.14 母公司和此应用程序所属的印度分支公司之间具体财务和技术往来是怎样的?1.15 这个应用在印度的用户总数是多少?在全球范围内的用户数量是多少?1.16 在过去三个财政年度,公司从印度的业务收入是多少?1.17 公司从印度获得的收入在哪里纳税?1.18 公司是否从世界各国政府或国有金融机构或企业获得任何形式的赠款或无息贷款。如果是,请提供详细信息。 2. 所有权相关信息:2.1 提供母公司及其子公司和控股公司的当前所有权详情。2.2 所有人、董事或任何其他成员是否与母公司或其任何子公司或控股公司的运营和管理有关,是否与任何政党有关联?如果是,请提供这些人的姓名及其所属政党。2.3 所有人、董事或任何其他成员是否与母公司或其任何子公司或控股公司的运营和管理有关联,与任何外国国有机构或企业有关联?2.4 印度的企业领导层结构是怎样的?请提供领导层的详细情况以及他们各自的国籍。2.5 如果应用程序的印度业务由一家在印度成立的公司控制和运营,请分享母公司和子公司所有者和管理层的公民身份信息。2.6 无论是由于大股东/控股股东在中国境外或其他原因,本公司应根据中国法律或其他受其约束的规则或法规共享其数据,这是否正确? 3. 服务和安全:3.1 提供应用程序提供的服务的详细信息。3.2 提供不同版本的应用程序所需权限的详细信息和实现这些权限的涉及功能,以及不同版本程序提供的特定服务。3.3 如果从全球其他地理位置的用户处获得的许可与从印度用户处获得的许可不同,请提供此类差异的详细信息和原因(如有)。3.4 提供与应用程序有关的安全漏洞、数据泄露或数据盗窃的详细情况。3.5 此程序对于突发事件响应、版本更新、漏洞披露和漏洞修复/缓解方案是什么?包括与印度计算机应急小组(CERT-IN)提前通知。3.6 您是否对基础设施和应用程序进行漏洞评估和渗透测试?这是由CERT-IN任命的任何公司执行的吗?如果没有,请提供执行此项工作的公司的名称和证书和这方面的最新报告。3.7 从用户设备上卸载应用程序时,是否会留下任何文件或配置?如果是,请提供详细信息。3.8 当应用程序向用户发送更新时,印度的用户从哪个服务器接收这些更新?3.9 通过应用程序提供的服务是否受任何财政援助、支持或补贴?如果是,那么是谁提供的,以什么形式提供?3.10 在有青少年儿童使用此程序的情况下,是否有任何机制来验证账户是否由儿童还是成年人管理或监控?3.11 如果是18岁以下的人,在收集他们的数据之前,是否已经得到父母的同意?3.12 目前应用程序上的内容是否因为某种特殊原因而被审查?3.13 此外,存储的数据是否可以用于除应用程序目的之外的任何第三方活动?请提供证据证明数据仅用于与应用程序相关的用途,而不是用于其他用途?3.14 该应用程序是否有来自印度境外的管理层参与和电影明星/社交媒体红人/记者等沟通,以推广应用程序上的任何特定内容?这种交流不必只在商业基础上进行。如有,请提供所立协议的详情。3.15 请提供过去一年在印度境内使用此应用程序/互联网网站进行广告宣传服务的客户详细资料。3.16 在2019年Pulwama攻击事件之后,该公司/应用程序是否审查了与攻击或肇事人员相关的内容?3.17 公司是否收到任何其他国家政府的指令,或应任何外国政府的命令对内容进行审查/编辑/修改/推广或降级?本公司或其任何关联机构是否因审查内容或影响任何外国司法管辖区的编辑控制而面临任何诉讼? 4. 隐私政策:4.1 提供印度应用程序隐私政策的详细信息。4.2 印度和其他国家的应用程序隐私政策有什么不同吗?请分享该应用程序在印度和其他国家隐私政策的区别细节。4.3 应用程序的隐私政策是否符合欧盟一般数据保护条例的规定?适用于印度用户的隐私政策是否遵循类似原则。请提供详细资料。4.4 应用程序的隐私政策是否符合2000年《印度信息技术法》及其规定?4.5 应用程序的隐私政策是否定义了应用程序从用户收集数据的目的?4.6 提供下列公司政策内容(如有):4.6.1 数据安全策略4.6.2 信息安全政策4.6.3 网络安全政策4.6.4 隐私政策4.6.5 加密策略4.7 应用程序的默认设置是自动将用户的配置文件设置为对所有人可见的公共配置文件吗?该应用程序是否还提供在指定半径范围内收集和提供其他用户列表的功能?4.8 应用程序是否有任何合规计划,以确保隐私控制功能正常?请详细说明应用程序的内置监控系统和质量保证协议。4.9 印度的用户是否对应用程序的隐私政策和做法提出了担忧。如果是,请列出印度用户提出的主要问题、采取的行动(如果有的话)以及公司对每一个主要问题的看法。 5. 数据相关信息:5.1 共享应用程序及其数据库所在服务器的位置。5.2 这些服务器是归公司所有还是由其他公司或服务提供商所有?如果不是公司所有,请提供拥有这些服务器的公司的详细信息。5.3 如果应用程序托管在云上,则提供有关云服务提供商、其位置和所有权的信息。5.4 该应用程序是否与同一公司或关联公司的任何其他应用程序业务部门共享数据?在这些应用程序、业务部门或关联公司之间共享数据流的详细信息。5.5 该应用程序是否获取用户的手机或互联网网络详细信息?如果是,需要哪些详细信息?这些详细信息的用途是什么?5.6 应用程序是否有任何机制或功能,可以自动收集和使用用户的信息,有或没有帐户?这些信息可以包括IP地址、浏览历史记录、设备ID、操作系统、位置数据、时区设置、设备型号、网络类型、设备ID和屏幕分辨率等。请提供详细资料。5.7 移动应用程序是否可以访问移动电话的地理位置?如果是,那么包含手机地理位置的数据存储在哪里?此外,声明母公司/联营公司/子公司成立的国家可以访问此类信息或请求访问这些信息,这是否正确?如已分享该等资料,请提供有关资料的详细资料?5.8 该应用程序是否在默认情况下在手机中启用“防止手机睡眠”选项?如果是,为什么?5.9 应用程序是否捕获用户移动电话设备上运行的其他应用程序的信息?如果是,应用程序捕获了哪些信息,收集和使用这些信息的目的是什么。5.10 应用程序是否有任何功能,或者过去是否有允许从剪贴板复制内容的功能,即使应用程序当前未被使用?是否通过任何应用程序更新纠正了相同的问题?如果是,什么时候纠正的?5.11 应用程序是否读取用户移动设备的主屏幕信息/设置?如果是,所有的细节是什么?5.12 应用程序是否读取用户移动电话设备上的徽章通知?如果是,为什么?5.13 应用程序是否读取、修改或删除SD卡的内容(如果安装在应用程序用户的手机上)?如果是,为什么?5.14 应用程序是否使用“粘性广播”功能?如果是,应用程序是否需要用户的许可才能启用“粘性广播”,向使用此功能的所有人发送信息?5.15 应用程序在移动设备上安装后是否会在文件系统中创建快捷方式?5.16 印度用户的数据在哪台服务器上发送和托管?这些数据是否也被带到其他服务器上?请共享过去六个月的服务器日志文件。5.17 服务器上托管的数据是以加密方式保存还是以其他方式保存?如果以加密方式保存,那么谁持有加密密钥?使用的加密级别是多少?5.18 应用程序通常使用内容交付网络(CDN)来按地理位置分布数据。您的应用程序是否通过加密的HTTP来传输这些数据,而HTTP很容易被操纵和篡改?5.19 公司或应用程序是否向第三方提供了访问用户个人数据的权限?如已分享该等资料,请提供有关资料的详细资料?5.20 提供完整的技术架构以及信息流和跨境数据流(如有)。5.21 通过应用程序收集的数据是否用于开发任何人工智能系统?如果是,请提供人工智能系统的所有权、用户、开发者、位置、性质和功能的细节。5.22 如果应用程序收到关闭任何帐户的请求,则应用户的请求,与该帐户相关联的数据是否已删除?5.23 请提供与此有关的任何证据。当用户未满18岁时,所述用户的全部数据被删除。在所有这些情况下,如果保留任何数据,请提供详细资料。5.24 应用程序是否获取用户数据?该公司是否在美国、欧盟或任何其他国家面临秘密获取用户数据的行为?5.25 公司是否将存储在应用程序服务器上的数据出售给任何第三方以获取商业利益或其他目的?5.26 存储在服务器上的数据是否与公司的商业合作伙伴、服务提供商、分析提供商、广告商和广告网络、执法机构和其他此类机构共享?如已分享该等资料,请提供有关资料的详细资料?5.27 请提供有关存储数据使用情况的详细信息,尤其是2019年12月至2020年6月期间。 6. 公众申诉补偿机制:6.1 该公司在印度是否有任何公共申诉补偿机制?如果是,则分享详细情况、收到和处理的申诉数量和主要类别。6.2 公司是否有任何全球公众申诉补救机制?如果是,请分享细节。