导读
6月17日,全国信息安全标准化技术委员会秘书处发布国家标准《信息安全技术应用商店的App个人信息处理规范性审核与管理指南(征求意见稿)》(以下简称“《应用商店App审核与管理指南》”),面向社会广泛征求意见。意见反馈截止日为2022年8月16日。
《应用商店App审核与管理指南》旨在为应用商店的App个人信息处理规范性审核与管理提供统一标准,可作为移动互联网应用程序分发平台履行如下法定义务的参考;同时,也可作为App运营者自查个人信息处理活动规范性的参考。

概要
一、适用范围与内容概览
(一)适用范围
《应用商店App审核与管理指南》适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
其中,应用商店指提供移动互联网应用程序下载、安装、升级等分发服务的各类平台,包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及
小程序、快应用、H5 页面等新形态分发平台。
该定义范围与其他法规对App分发平台的定义基本保持一致:
(1)《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第三条:
App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。
(2)《移动互联网应用程序信息服务管理规定》第二十六条、第二条:移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
(二)内容概览
《应用商店App审核与管理指南》分为正文与附录两大部分。
1、正文
含“范围”“规范性引用文件”“术语和定义”“缩略语”“应用商店运营者的审核管理流程”“App进入应用商店前的个人信息处理活动审核”“App进入应用商店后的个人信息安全管理”七部分。
其中,“应用商店运营者的审核管理流程”“App进入应用商店前的个人信息处理活动审核”“App进入应用商店后的个人信息安全管理”三部分为应用商店运营者对App审核与管理的核心要求。
2、三个资料性附录
附录A“App审核材料参考模板”;
附录B“App下载页面展示内容示例”;
附录C“个人信息安全问题投诉举报渠道示例”。
二、重点:应用商店运营者对App的审核与管理
应用商店运营者审核管理App个人信息处理活动的流程见图1,主要包括App进入应用商店前的个人信息处理活动审核和App进入应用商店后的个人信息安全管理。

图 1 应用商店运营者的审核管理流程
(一)App进入应用商店前的个人信息处理活动审核
1、制定并公示App个人信息处理活动审核规则
2、审核App运营者提交的信息,对于未完整提交如下信息的,宜拒绝App上架
(1)App运营者信息

(2)App基本信息

(3)个人信息保护政策

(4)收集的个人信息范围

(5)申请的敏感系统权限列表
安卓App


iOS App

(6)涉及收集个人信息的第三方SDK信息

3、审核验证App个人信息处理活动
(1)App基本信息
提交服务类型与实际提供的服务是否相符;
隐私政策链接是否有效、隐私政策是否标注生效日期;
运营者联系方式是否有效。
(2)App个人信息处理规则
是否明示收集的个人信息类型,说明收集的必要性、通过收集的个人信息实现的相关服务或使用目的;
是否明示申请权限所实现的业务功能服务或使用目的、用户可否拒绝授权(如不可拒绝则说明用户拒绝授权的影响);
是否明示申请敏感系统权限时需同步告知的内容,提交敏感系统权限申请时的屏幕截图;
是否明示嵌入的第三方SDK名称、包名、SDK运营者名称、嵌入目的、收集的个人信息类型、使用的敏感系统权限。
(3)App个人信息处理活动
是否在App首次运行时通过弹窗等明显方式提示用户阅读隐私政策、隐私政策是否存在默认勾选同意;
处理敏感个人信息是否单独进行声明;
个人信息收集:
a)收集的个人信息是否超出实现业务功能或使用目的最小必要的范围,是否存在强制收集非必要个人信息的情形;
b)是否收集未在个人信息保护政策中声明的个人信息;
c)是否收集了未提供隐私政策中声称的功能相关的个人信息但未发现存在该功能;
d)首次打开App时,是否在未告知用户并获得用户明示同意(如点击同意隐私政策等收集个人信息规则)的情况下,就收集应用程序列表、用户唯一设备识别码(如Android ID)等个人信息;
e)静默状态(包括后台运行)或自启动、被关联启动后,是否未向用户提供服务且未告知用户并获得用户明示同意的情况下,读取用户公共存储空间数据,或读取用户个人信息。
个人信息对外提供:
a)向第三方传输包含个人信息的数据,是否在隐私政策中说明相关情形;
b)存在向其他个人信息处理者提供个人信息、公开等情形,是否未说明处理目的、涉及的个人信息类型、接收方名称等信息。
权限使用:
a)是否强制要求用户一次性打开多个权限;
b)在用户使用功能过程中,申请或者调用实现当前功能所必须权限的范围之外的其他权限;
c)是否因用户不同意打开非必要权限或收集非必要个人信息而拒绝提供服务;
d)是否存在用户拒绝授权或拒绝收集非必要个人信息后,频繁征求用户同意干扰用户正常使用的情况;
e)是否在申请权限或收集敏感个人信息时,未同步告知用户其目的,或者告知的目的与客户端实际情况不符。
个人信息主体权利:
a)是否未向用户提供有效的查询、更正、删除以及撤回同意收集个人信息的途径;
b)具有定向推送信息功能的,是否未向用户提供关闭定向推送信息的选项;
c)具有注册账号功能的,是否未提供有效的用户账号注销功能,或者为注销用户账号设置不必要或者不合理条件。
4、审核结果反馈与申诉处理
(1)记录审核结果,并保留至少6个月;
(2)宜向 App 运营者说明拒绝上架的理由;
(3)提供意见反馈渠道,及时受理依依申诉。
对于已经进入应用商店的App,应用商店运营者在审核验证中发现存在问题的,需对其进行通知整改和处理,符合拒绝进入情形的,将其从应用商店中下架。
应用商店中的App发生版本更新时,应用商店运营者宜按照进入平台程序对App更新版本进行审核。
(二)App进入应用商店后的个人信息安全管理
1、在下载界面清晰、全面展示App个人信息处理情况
(1)App基本信息;
(2)App运营者公开信息;
(3)隐私政策(App下载界面应支持用户下载可复制的隐私政策文本电子文档);
(4)个人信息处理活动规则:收集个人信息情况,系统权限申请情况,第三方SDK情况;
(5)快速举报通道(宜将常见的个人信息处理问题设为选择项)。
2、显著标识App个人信息安全情况
(1)认证标识,如App安全认证、政务民生App标识;
(2)负面信息标识,如近期存在公开通报标识,宜将同一App运营者提供的不同App的负面信息进行汇总,负面信息标识仅展示3年内数据;
(3)年龄标识。
应用商店宜根据App的版本变更不断更新标识,同时为App运营者提供关于标识的反馈渠道。
3、App运营者管理
(1)签署协议,明确义务;
(2)制定App运营者禁入/退出管理制度(即黑名单制度);
(3)对不同App运营者提出一致要求;
(4)对App运营者的相关开发人员进行个人信息保护相关的培训和考核。
4、日常监督与问题处置
(1)定期抽取App进行日常检查;
(2)设立便捷用户投诉举报渠道;
(3)敦促存在问题的App运营者在15个工作日内进行整改,拒不整改或者未在规定时间内按照要求整改的,予以下架处置;
(4)定期汇总分析App情况,并形成报告上报;
(5)定期上报在App上架审核、存量审核过程中发现个人信息处理问题,且App运营者未能如期完成整改并上架的App运营者名单和问题;
(6)对于App下架并停止运营旧版本,重新上架新版本且名称、App 运营者信息等变更,但延续使用用户注册信息等数据提供服务的,要求 App 进行申报,未主动申报的,进行记录并予以警告;
(7)配合主管、监管部门执法。
正文
关于国家标准《信息安全技术应用商店的App个人信息处理规范性审核与管理指南》征求意见稿征求意见的通知
2022-06-17
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术应用商店的App个人信息处理规范性审核与管理指南》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2022年08月16日前反馈给信安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
全国信息安全标准化技术委员会秘书处
























6月17日,全国信息安全标准化技术委员会秘书处发布国家标准《信息安全技术应用商店的App个人信息处理规范性审核与管理指南(征求意见稿)》(以下简称“《应用商店App审核与管理指南》”),面向社会广泛征求意见。意见反馈截止日为2022年8月16日。
《应用商店App审核与管理指南》旨在为应用商店的App个人信息处理规范性审核与管理提供统一标准,可作为移动互联网应用程序分发平台履行如下法定义务的参考;同时,也可作为App运营者自查个人信息处理活动规范性的参考。

概要
一、适用范围与内容概览
(一)适用范围
《应用商店App审核与管理指南》适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
其中,应用商店指提供移动互联网应用程序下载、安装、升级等分发服务的各类平台,包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及
小程序、快应用、H5 页面等新形态分发平台。
该定义范围与其他法规对App分发平台的定义基本保持一致:
(1)《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第三条:
App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。
(2)《移动互联网应用程序信息服务管理规定》第二十六条、第二条:移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
(二)内容概览
《应用商店App审核与管理指南》分为正文与附录两大部分。
1、正文
含“范围”“规范性引用文件”“术语和定义”“缩略语”“应用商店运营者的审核管理流程”“App进入应用商店前的个人信息处理活动审核”“App进入应用商店后的个人信息安全管理”七部分。
其中,“应用商店运营者的审核管理流程”“App进入应用商店前的个人信息处理活动审核”“App进入应用商店后的个人信息安全管理”三部分为应用商店运营者对App审核与管理的核心要求。
2、三个资料性附录
附录A“App审核材料参考模板”;
附录B“App下载页面展示内容示例”;
附录C“个人信息安全问题投诉举报渠道示例”。
二、重点:应用商店运营者对App的审核与管理
应用商店运营者审核管理App个人信息处理活动的流程见图1,主要包括App进入应用商店前的个人信息处理活动审核和App进入应用商店后的个人信息安全管理。

图 1 应用商店运营者的审核管理流程
(一)App进入应用商店前的个人信息处理活动审核
1、制定并公示App个人信息处理活动审核规则
2、审核App运营者提交的信息,对于未完整提交如下信息的,宜拒绝App上架
(1)App运营者信息

(2)App基本信息

(3)个人信息保护政策

(4)收集的个人信息范围

(5)申请的敏感系统权限列表
安卓App


iOS App

(6)涉及收集个人信息的第三方SDK信息

3、审核验证App个人信息处理活动
(1)App基本信息
提交服务类型与实际提供的服务是否相符;
隐私政策链接是否有效、隐私政策是否标注生效日期;
运营者联系方式是否有效。
(2)App个人信息处理规则
是否明示收集的个人信息类型,说明收集的必要性、通过收集的个人信息实现的相关服务或使用目的;
是否明示申请权限所实现的业务功能服务或使用目的、用户可否拒绝授权(如不可拒绝则说明用户拒绝授权的影响);
是否明示申请敏感系统权限时需同步告知的内容,提交敏感系统权限申请时的屏幕截图;
是否明示嵌入的第三方SDK名称、包名、SDK运营者名称、嵌入目的、收集的个人信息类型、使用的敏感系统权限。
(3)App个人信息处理活动
是否在App首次运行时通过弹窗等明显方式提示用户阅读隐私政策、隐私政策是否存在默认勾选同意;
处理敏感个人信息是否单独进行声明;
个人信息收集:
a)收集的个人信息是否超出实现业务功能或使用目的最小必要的范围,是否存在强制收集非必要个人信息的情形;
b)是否收集未在个人信息保护政策中声明的个人信息;
c)是否收集了未提供隐私政策中声称的功能相关的个人信息但未发现存在该功能;
d)首次打开App时,是否在未告知用户并获得用户明示同意(如点击同意隐私政策等收集个人信息规则)的情况下,就收集应用程序列表、用户唯一设备识别码(如Android ID)等个人信息;
e)静默状态(包括后台运行)或自启动、被关联启动后,是否未向用户提供服务且未告知用户并获得用户明示同意的情况下,读取用户公共存储空间数据,或读取用户个人信息。
个人信息对外提供:
a)向第三方传输包含个人信息的数据,是否在隐私政策中说明相关情形;
b)存在向其他个人信息处理者提供个人信息、公开等情形,是否未说明处理目的、涉及的个人信息类型、接收方名称等信息。
权限使用:
a)是否强制要求用户一次性打开多个权限;
b)在用户使用功能过程中,申请或者调用实现当前功能所必须权限的范围之外的其他权限;
c)是否因用户不同意打开非必要权限或收集非必要个人信息而拒绝提供服务;
d)是否存在用户拒绝授权或拒绝收集非必要个人信息后,频繁征求用户同意干扰用户正常使用的情况;
e)是否在申请权限或收集敏感个人信息时,未同步告知用户其目的,或者告知的目的与客户端实际情况不符。
个人信息主体权利:
a)是否未向用户提供有效的查询、更正、删除以及撤回同意收集个人信息的途径;
b)具有定向推送信息功能的,是否未向用户提供关闭定向推送信息的选项;
c)具有注册账号功能的,是否未提供有效的用户账号注销功能,或者为注销用户账号设置不必要或者不合理条件。
4、审核结果反馈与申诉处理
(1)记录审核结果,并保留至少6个月;
(2)宜向 App 运营者说明拒绝上架的理由;
(3)提供意见反馈渠道,及时受理依依申诉。
对于已经进入应用商店的App,应用商店运营者在审核验证中发现存在问题的,需对其进行通知整改和处理,符合拒绝进入情形的,将其从应用商店中下架。
应用商店中的App发生版本更新时,应用商店运营者宜按照进入平台程序对App更新版本进行审核。
(二)App进入应用商店后的个人信息安全管理
1、在下载界面清晰、全面展示App个人信息处理情况
(1)App基本信息;
(2)App运营者公开信息;
(3)隐私政策(App下载界面应支持用户下载可复制的隐私政策文本电子文档);
(4)个人信息处理活动规则:收集个人信息情况,系统权限申请情况,第三方SDK情况;
(5)快速举报通道(宜将常见的个人信息处理问题设为选择项)。
2、显著标识App个人信息安全情况
(1)认证标识,如App安全认证、政务民生App标识;
(2)负面信息标识,如近期存在公开通报标识,宜将同一App运营者提供的不同App的负面信息进行汇总,负面信息标识仅展示3年内数据;
(3)年龄标识。
应用商店宜根据App的版本变更不断更新标识,同时为App运营者提供关于标识的反馈渠道。
3、App运营者管理
(1)签署协议,明确义务;
(2)制定App运营者禁入/退出管理制度(即黑名单制度);
(3)对不同App运营者提出一致要求;
(4)对App运营者的相关开发人员进行个人信息保护相关的培训和考核。
4、日常监督与问题处置
(1)定期抽取App进行日常检查;
(2)设立便捷用户投诉举报渠道;
(3)敦促存在问题的App运营者在15个工作日内进行整改,拒不整改或者未在规定时间内按照要求整改的,予以下架处置;
(4)定期汇总分析App情况,并形成报告上报;
(5)定期上报在App上架审核、存量审核过程中发现个人信息处理问题,且App运营者未能如期完成整改并上架的App运营者名单和问题;
(6)对于App下架并停止运营旧版本,重新上架新版本且名称、App 运营者信息等变更,但延续使用用户注册信息等数据提供服务的,要求 App 进行申报,未主动申报的,进行记录并予以警告;
(7)配合主管、监管部门执法。
正文
关于国家标准《信息安全技术应用商店的App个人信息处理规范性审核与管理指南》征求意见稿征求意见的通知
2022-06-17
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术应用商店的App个人信息处理规范性审核与管理指南》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2022年08月16日前反馈给信安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
全国信息安全标准化技术委员会秘书处
























