一

APP法规要求

Regulatory requirements

为实现网络安全领域的有法可依，有法必依，相关部门出台了大量的法律文件和国家、行业标准，作为执法依据，也提供给广大APP运营单位，作为运营时的重要参考。

App合规相关法规，大致可分为4个层级：

01

第一层

相关立法部门确定建立的有关法律，包括我们熟知的《个人信息保护法》、《网络安全法》等；

02

第二层

各部委制定的规章制度，包括网信办发布的《App违法违规收集使用个人信息行为认定方法》、工信部发布的《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》等。

03

第三层

相关机构发布的国家标准，例如GB/T 41391—2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》，GB/T 35273—2020《信息安全技术 个人信息安全规范》等

04

第四层

各行业自行发布的行业标准等

二

APP监管机构

Regulators

监管机构大致可分为：中央、地方两个层面的监管机构。

中央层面：网信办、工信部和国家计算机病毒应急处理中心

地方层面：包括各省的网信办、通管局和网安

有关执法动作类型：约谈、整改、通报、下架等处罚。

被通报类处罚的App，会在各监管部门的官网、公众号等主要媒体渠道，分批次进行曝光，造成诸如公司声誉降低、客户方评分降低等许多不良影响。

尤其在以APP为主要营收板块的相关公司，一旦APP通报后仍无法整改至合格程度，导致被全面下架，甚至将严重影响公司整体营运！

按工信部的流程，被下架的App在四十个工作日内无法再次提交审核。

换而言之，便是约2个月时间，被下架的App将无法上架应用市场！这对许多处于增量期APP几乎是致命的影响！

03

合规自查清单

Compliance

不得强制、频繁、过度索取权限

以下权限如未特意说明，皆为安卓操作系统预定义保护级别（Protection Level）为危险（dangerous）级别的权限。权限的基础知识可查看tc260发布的《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指南》。

1、不得收集与APP使用场景无关权限

无合理场景或相关服务时，不得向用户申请权限。例如：某短视频App，用户注册/登录时，向用户申请读取通讯录权限。读取通讯录权限与用户注册/登录无关，申请通讯录权限不合理，与当前使用场景无关。

2、不得出现用户拒绝申请权限后自动关闭或退出

APP不得强制申请权限，在用户拒绝后APP自动关闭或退出。例如社交APP在用户使用语音聊天功能时向用户申请麦克风权限，用户点击拒接后，APP自动退出关闭。麦克风权限并不是该APP正常使用的必须权限，用户不同意授权，APP可以不提供与麦克风权限相关的功能，但不能直接退出APP。

用户注册登录时，APP 向用户索取电话、存储等权限，用户拒绝授权后，APP 不应无法正常注册或登录。

3、不得频繁自启动或关联启动第三方应用

不得在未向用户告知、未经用户同意或无合理使用场景的情况下，频繁自启动或关联启动第三方应用。可查看是否声明android.permission.RECEIVE_BOOT_COMPLETED权限，如有则需检查是否存在自启动场景。

4、申请调取权限注意事项

在权限未开启时，每次申请调取权限的同时都需要弹窗（非安卓系统的弹窗），以告知调取权限目的，目的告知方式可参考中监管认可的创新方式。

安卓和IOS系统都需要索权时的弹窗目的告知（IOS系统可在系统弹窗中编辑，安卓系统需另行增加目的告知弹窗）

对于没有申请触发点的权限，不应在manifest中声明该权限。

目的告知弹窗文案示例：

单一场景调用单个权限，

应告知该场景下调取该权限的目的。

例如：“为使用功能A，请允许我们访问您的权限A”

多个场景调用单个权限

目的告知弹窗应将该权限的所有使用场景全部列出，使需要申请该权限的各个场景目的告知弹窗文案相同。

例如：“为使用功能A、功能B、功能C请允许我们访问您的权限A”

单一场景调用多个权限

应将多个权限的目的文案合并至一个目的告知弹窗中。

例如：“为使用A功能，请允许我们开启以下权限：

A权限：存储录屏文件（还可用于功能B）B权限：开启录屏语音（还可用于功能C、功能D）C权限：拍摄录屏（还可用于功能E）”