应用商店|从数据安全和个人信息保护谈APP和应用商店合规丨阿宇说法( 二 ) 移动互联网|信息安全|北京市

App运营者提交的基本信息及个人信息处理规则之前，应自查存在以下问题，否则可能无法通过应用商店运营者的审核：
a) App基本信息中涉及的服务类型与App实际提供的服务不相符；
b) App隐私政策链接无效、隐私政策未标注生效日期（如仅注明日期的视为生效日期）；
c) App运营者联系方式无效；
d) 未明示收集的个人信息类型，未说明收集的必要性、通过收集的个人信息实现的相关服务或使用目的；
e) 未明示申请权限所实现的业务功能服务或使用目的、用户可否拒绝授权（如不可拒绝则说明用户拒绝授权的影响）；
f) 未明示申请敏感系统权限时需同步告知的内容，未提交敏感系统权限申请时的屏幕截图；
g) 未明示嵌入的第三方SDK名称、包名、SDK运营者名称、嵌入目的、收集的个人信息类型、使用的敏感系统权限。
3.App个人信息处理活动合规自查
App运营者应自查App在个人信息处理活动中是否存在以下问题，应用商店运营者也应对以下问题进行验证：
a) 未在App首次运行时通过弹窗等明显方式提示用户阅读隐私政策、隐私政策存在默认勾选同意；
b) 处理敏感个人信息未单独进行声明，如获取生物识别（人脸、指纹等）、医疗健康、金融账户、行踪轨迹等信息；
c) 收集的个人信息超出实现业务功能或使用目的最小必要的范围，存在强制收集非必要个人信息的情形；
d) 收集未在个人信息保护政策中声明的个人信息；
e) 强制要求用户一次性打开多个权限；
f) 在用户使用功能过程中，申请或者调用实现当前功能所必须权限的范围之外的其他权限；
g) 因用户不同意打开非必要权限或收集非必要个人信息而拒绝提供服务；
h) 存在用户拒绝授权或拒绝收集非必要个人信息后，频繁征求用户同意干扰用户正常使用的情况；注：“频繁”的形式包括但不限于：单个场景在用户拒绝授权后， 48h内弹窗提示用户打开权限的次数超过1次；每当用户重新打开App或使用无关的业务功能时，都会再次向用户索要授权或提示用户缺少相关授权。
i) 在申请权限或收集敏感个人信息时，未同步告知用户其目的，或者告知的目的与客户端实际情况不符；
j) 收集了未提供隐私政策中声称的功能相关的个人信息但未发现存在该功能；
k) 未向用户提供有效的查询、更正、删除以及撤回同意收集个人信息的途径；
l) 具有定向推送信息功能的，未向用户提供关闭定向推送信息的选项。
m) 具有注册账号功能的，未提供有效的用户账号注销功能，或者为注销用户账号设置不必要或者不合理条件；
n) 向第三方传输包含个人信息的数据，但未在隐私政策中说明相关情形；
o) 首次打开App时，未告知用户并获得用户明示同意（如点击同意隐私政策等收集个人信息规则）的情况下，就收集应用程序列表、用户唯一设备识别码（如Android ID）等个人信息；
p) 静默状态（包括后台运行）或自启动、被关联启动后，未向用户提供服务且未告知用户并获得用户明示同意的情况下，读取用户公共存储空间数据（如相册、文件、录音等），或读取用户个人信息（如短信、联系人，通话记录、日历数据、传感器数据、位置信息、设备信息等）；
q) 存在向其他个人信息处理者提供个人信息、公开等情形，未说明处理目的、涉及的个人信息类型、接收方名称等信息。
二、应用商店运营者合规要求：
1.应用商店运营者的审核管理流程