背景及必要性

• 自2019年1月23日四部门联合发布专项治理公告，至2022年4月15日国标41391发布，APP合规隐私监管体系已渐趋完善，逐渐形成企业自查、监管抽查、平台检查、第三方协查的基本形态。

• 2019年3月，企业根据监管要求自查整改；2019年5月开始，网信、工信等监管部门开始通报下架违规应用；2020年7月开始，分发平台审核管理责任被加强，各大平台组建APP隐私检查能力和审核机制，APP上架前需要先通过平台的检查；从20年后，APP隐私合规检测工具大开花，例如：bangbang\aijiami\qianxin\tengxun\。

• 对于APP运营者来说，APP同时受到用户、平台、监管部门三方监督，隐私保护不合格在上架和运营中都会存在阻力，严重情况下还会引发诉讼、下架、停运的风险。

政策发展

APP合规必看清单
《164号文-工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
《191号文-APP违法违规收集使用个人信息行为认定方法》
《337号文-工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》
《524行动-双清单-工业和信息化部关于开展信息通信服务感知提升行动的通知》
《APP收集使用个人信息自评估指南》
《APP系统权限申请使用指南》
《GBT 35273-2020 信息安全技术 个人信息安全规范》
《GBT 41391-2022 信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》

监督检查与响应

隐私合规响应团队

• 合规/法务：负责解读监管要求，隐私合规测试，指导APP隐私设计和整改方向、编制隐私政策

• 研发：负责按照合规/法务要求执行落实隐私设计

• 运营/GR/客服：负责接收整改通知、投诉等，并与分发平台/监管部门/用户进行沟通

• 流程：建议5天内响应完毕

  1. 运营/GR/客服接收整改要求后，反馈给合规/法务；

  2. 由合规/法务复现问题、解读整改要求、并指导研发修改；

  3. 研发修改APP、合规/法务修改隐私政策后，由合规/法务进行复测，通过后反馈。

渠道检查

目前各大分发平台在应用上架前均会对APP进行隐私常规检查（扫一遍隐私政策、跑一遍基本功能），发现问题后，应用会被拒审打回修改，基本不规定整改时间，谁要上架谁着急。
注意：

• 不清楚就问渠道要调用栈或详细数据；

• 渠道检查出哪些问题就改哪些问题；

• 多数sdk使用、个人信息收集的问题可以通过修改隐私政策解决；

• 渠道会误报

工信部检查

首次通知5天改完并反馈整改报告和新包，没改完的就公开通报；通报后，还是没有改好的，直接全面下架；下架40天后才能再次上架。

• 首次整改通知通常会通过渠道下发给企业，或对接人

• 一般一月一次通报，每次通报会包含整改和下架两部分

• 属地管局会通报和工信部也会通报，见后方资源地址

• 部分地区管局在通报APP问题时，会同步要求企业进行通保备案及其他检查。

网信办检查

属地网信办偶有抽查，一般给一周时间反馈《整改报告》，没有强制要求多久改完。

• 一般通过对接人联系企业

• 网信办通报，见后方资源地址

APP合规基础检查

查隐私政策

• APP启动后弹窗，简要说明并附链接，有“同意”“不同意”按钮

• 注册登录界面有隐私政策链接和是否同意的勾选

• 应用内，用户点击4步必须看到隐私政策的内容

• 不同意隐私政策不得立即退出，再次说明原因或提供仅浏览模式

• 隐私政策格式参考35273附录和各大应用的实例

• “用到的，必须披露”

查sdk

• 主动接入的第三方sdk，要在隐私政策中披露

• 已知的嵌套的sdk，最好也披露

• 安卓组件可以不披露

• 可以使用成熟工具或开源查，也可以自行收集整理第三方sdk库，与APP（dex、services、activity等）做对比

查个人信息

• 35273中有归类的个人信息要做披露

• APP必要收集的个人信息可以参照41391附录A

• 41391中不建议收集的6类不可变更标识符，最好不要收集

• 可以使用成熟工具或开源工具查

查权限

• 需要披露的权限可参考41391附录D

• 使用前必须先/同时说明目的

• 使用过的必须披露，不使用的不能为了以后使用而在代码中留存

• 可以用成熟工具或开源工具查，也可以对照检查manifest文件

其他

• 能尽量少收集的就少收集

• 用户的同意行为后台要有记录，应用必须给用户提供撤销同意的方法

• 应用使用剪切板时，应该申请同意，不要私自读取

• targetsdkversion<=23，部分渠道已经要求升到30

• APP跳转要获得用户同意，不能私自乱蹦

常用地址

• 信通院：https://v.caict.ac.cn/#/home

• 病毒中心：https://www.cverc.org.cn/index.htm

• APP专项治理小组：https://www.pipchina.cn/h5/

• 信通院sdk：https://sdk.caict.ac.cn/official/#/home

• 工信部APP治理专项：https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/gzdt/index.html

• 工信部通报：https://wap.miit.gov.cn/jgsj/xgj/gzdt/index.html

• 北京通管局：https://bjca.miit.gov.cn/zwgk/tzgg/index.html

• 四川通管局（川渝两地）：https://scca.miit.gov.cn/zwgk/wlaqgl/index.html

• 网信办：https://www.cac.gov.cn/index.htm