昨日，為回應《中華人民共和國個人資訊保護法》的各項要求，中國網路空間安全協會和國家計算機網路應急技術處理協調中心起草了團體標準《應用商店App個人資訊收集使用上架審核和管理規範（徵求意見稿）》和《移動智慧終端個人資訊保護指南（徵求意見稿）》。

其中，在應用商店App個人資訊收集使用方面，徵求意見稿明確，存在收集的個人資訊超出實現功能的最小必要範圍、在使用者拒絕收集非必要個人資訊后，頻繁徵求使用者同意、以捆綁多項功能、捆綁必要與非必要個人資訊等方式，誘導、強迫使用者一次性授權同意個人資訊處理規則等行為，平臺運營者應當拒絕移動應用程式進入本平臺。

平台運營者在受理移動應用程式進入平臺的申請時，應當要求開發者至少提交並核實以下資訊：

a） 移動應用程式的名稱、包名、版本號、更新日期、基本功能服務等基本資訊;

b） 移動應用程式開發者的姓名或者名稱、個人信息保護負責人或者機構的聯繫方式;

c） 使用者隱私協定全文文本，涉及為兒童提供服務的，還宜提交單獨的兒童個人資訊保護協定;

d） 開發者未提供上述資訊或者提供虛假資訊的，平台運營者應當拒絕其移動應用程式上架。

隱私協定審核隱私協定有下列情形之一的，平臺運營者應當拒絕移動應用程式進入本平臺：

a） 未提示使用者閱讀隱私協定;

b） 以預設選擇同意隱私協定的方式徵求用戶意見;

c） 未完整、詳細、逐項列出收集的個人資訊類別、說明收集的必要性、實現的服務或使用目的;

d） 未完整、詳細、逐項說明申請許可權所實現的服務或使用目的、使用者能否拒絕授權、不可拒絕的理由;

e） 未完整、詳細、逐項列出嵌入的 SDK 名稱、包名、開發者名稱、嵌入目的、收集的個人資訊類型、使用的系統許可權;

f）隱私協定中存在免除個人資訊保護相關主要義務、排除使用者主要個人資訊權益等不合理情形。

申請和調用許可權審核移動應用程式申請或者調用許可權，有下列情形之一的，平台運營者應當拒絕移動應用程式進入本平臺：

a） 在使用者未使用任何功能時（如：App 啟動過程中）申請或者調用許可權;

b） 在使用者使用功能過程中，申請或者調用與實現當前功能無關的許可權; T/CSAC XXXXX—XXXX2

c） 因使用者不同意打開非必要許可權而拒絕提供服務;

d） 在使用者拒絕打開非必要許可權后，頻繁徵求使用者同意，干擾使用者正常使用;

e） 在申請許可權時，未同步告知使用者其目的，或者告知的目的與實際情況不符;

f） 僅以改善服務品質、提升用戶體驗、定向推送資訊、研發新產品等非功能性需求為由，強制要求使用者打開許可權。

個人資訊處理行為審核移動應用程式收集使用個人資訊，有下列情形之一的，平臺運營者應當拒絕移動應用程式進入本平臺：

a） 以捆綁多項功能、捆綁必要與非必要個人資訊等方式，誘導、強迫使用者一次性授權同意個人資訊處理規則，例如進入App或註冊登錄時強制要求使用者同意隱私協定全部條款;

b） 收集的個人資訊超出實現功能的最小必要範圍，包括收集個人資訊的類型、頻率、數量、方式、精度、場景等;

c） 因使用者不同意收集非必要個人資訊而拒絕提供服務;

d） 未經使用者自主選擇，默認開啟非基本功能服務收集個人資訊;

e） 在使用者拒絕收集非必要個人資訊后，頻繁徵求使用者同意，干擾使用者正常使用;

f） 在收集敏感個人資訊時，未向使用者同步告知其目的;

g） 僅以改善服務品質、提升用戶體驗、定向推送資訊、研發新產品等非功能性需求為由，強制要求使用者同意收集個人資訊;

h） 收集了個人資訊但未提供聲稱的功能;

i）未向使用者提供有效的查詢、更正、刪除以及撤回同意收集個人資訊的途徑;

j）具有定向推送資訊功能的，未向使用者提供關閉定向推送信息的選項;

k） 具有註冊帳號功能的，未提供有效的用戶賬號註銷功能，或者為註銷用戶帳號設置不必要或者不合理條件。