APP上线需要哪些合规配套文件用户协议隐私政策应如何展示

应用开发合规指南简介

近年来app开发者服务平台，随着信息技术的飞速发展和移动互联网应用的普及，越来越多的应用大量收集和使用个人信息。收集、滥用、泄露等问题对个人信息安全构成严重威胁。 2019年1月，中央网信办、工业和信息化部、公安部、国家市场监督管理总局联合发布《关于开展非法收集使用个人信息专项治理的公告》应用程序信息”（以下简称“公告”）。为落实《公告》相关部署，受四部门委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立专项治理工作组针对App非法收集、使用个人信息的行为（以下简称“App专项治理工作组”），专门推动对App非法收集、使用个人信息的评估。

日前，App专项治理工作组依据《网络安全法》、《消费者权益保护法》、《信息安全《技术个人信息安全规范》等法律法规和国家标准。评估指引》（以下简称《指引》），App运营者可参照该指引对其收集、使用个人信息的行为进行自查自纠，提高个人信息保护水平。

为了给App开发者和运营者在保护用户个人信息方面积极采取行动提供规则和参考，避免开发者因违反相关法律法规而遭受损失，APICloud特制定了《App开发合规性》指南”，旨在帮助引导开发者正确认识和强化用户个人信息保护意识，努力不断规范和完善自身产品线的信息保护策略。

APP上线需要哪些合规文件

用户协议

隐私政策

应如何显示隐私政策

在页面“设置/常规”-“隐私”-“隐私政策”

在注册入口处展示

如何主动展示合规证明文件

用户首次注册时，弹出框可以下拉形式显示，界面停留至少10秒app开发者服务平台，用户可以通过勾选获得用户同意，点击“同意”或“下一步”等。

用户协议和隐私政策修改后，会重新填写用户同意，弹出框可以以下拉形式显示，可以以用户“主动”的形式显示点击”、“同意”等。

用户协议、隐私政策应便于用户重新访问和更改其同意范围

哪些情况需要单独授权来区分基本业务功能和扩展业务功能

保护个人信息主体的同意权，首先要区分产品或服务的基本业务功能和扩展业务功能。划分方法如下：

产品或服务的基本业务功能应根据个人信息主体选择和使用所提供产品或服务的基本期望和最重要的需求来划定；服务质量的提高、用户体验和新产品的开发不应分开考虑。作为基本业务功能；产品或服务提供的基本业务功能之外的其他功能被定义为扩展业务功能。

扩展业务功能需要单独授权

在首次使用扩展业务功能前，应通过交互界面或设计（如弹窗、文字说明、填写框、提示栏、提示音等）。个人信息，并允许用户逐项选择加入扩展业务功能。

如何起草合规的隐私政策

应用包含哪些基本业务功能，可以收集哪些信息

基于个人信息采集量最少且充分的原则，针对地图导航、网约车、网购等21项基本业务功能，每类业务功能相关的必要信息范围为给定的。必要信息主要包括与基本业务功能相关的必要信息和与一般功能相关的必要信息：与基本业务功能相关的必要信息与基本业务功能直接相关，缺少个人信息会导致基本业务功能未能实现或无法正常运行；通用 功能相关必要信息是相关法律法规要求为确保移动互联网应用安全风险管控所需的个人信息。开发者可以根据一个或几个基本业务功能的应用，向用户申请收集必要的信息。详见《信息安全技术移动互联网应用（App）个人信息收集基本规范（草案）》

什么是个人信息

个人信息是指以电子或其他方式记录的能够识别特定自然人身份或单独或与姓名、出生日期、身份证号、个人生物特征信息、地址、通讯联系方式、通讯记录及内容、账户密码、财产信息、信用信息、行踪、住宿信息、健康生理信息、交易信息等。 ，一旦泄露、非法提供或滥用，可能危及人身和财产安全，容易导致个人名誉、身心健康受损或歧视性待遇。一般情况下，未满14周岁（含）儿童的个人信息和自然人的隐私信息属于个人敏感信息。

个人信息示例

敏感个人信息示例

隐私政策中的内容

隐私政策模板，请参考隐私政策模板

参考文献

《信息安全技术个人信息安全规范》（征求意见稿）

《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》

《App在违规和违规行为中收集和使用个人信息的自我评估指南》

《应用程序非法收集、使用个人信息的认定办法（征求意见稿）》