Android应用市场上架uni-app(5+App)应用合规指南，以及收到工信部或应用市场合规整改通知的解决办法

背景

为有效治理App强制授权、过度索权、超范围收集个人信息等现象，落实《网络安全法》《消费者权益保护法》的要求，保障个人信息安全，2019年1月，中央网信办、工信部、公安部、市场监管总局等四部委发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，在全国范围组织开展App违法违规收集使用个人信息专项治理，并陆续出台完善了《App违法违规收集使用个人信息行为认定方法》、《GB/T 35273-2020 信息安全技术个人信息安全规范》等标准规范。

根据以上规范要求，各大应用市场都加强应用的检测，要求应用必须符合相关政策，否则应用将有被通报或下架的风险。

目前开发者最常碰到的以下问题：

违规收集个人信息
强制、频繁、过度索取权限

针对以上问题，请参考下文的解决方案，务必仔细阅读，注意各细节问题。

首先碰到此问题请更新到HbuilderX3.1.14及以上版本

如何解决"违规收集个人信息"问题

关于收集个人信息问题，首先应用必须配置“隐私与政策”协议框，其次必须在“隐私与政策”非常清楚、全面地说明（不要用可能收集、了解用户信息这种模糊不清晰的词语）收集用户个人信息的目的、方式和范围，用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。

注意：根据政策要求隐私提示框显示之前不能调用涉及个人信息相关API（如设备标识），因此需要更新到HBuilderX3.1.14及以上版本重新提交云端打包

第一步：配置隐私与政策提示框

必须确保应用存在《隐私政策》，在应用首次启动时弹出提示并取得用户同意。
注意：一定要配置使用“template”模式隐私与政策提示框，详情参考https://ask.dcloud.net.cn/article/36937

第二步：在隐私政策中添加DCloud相关条款

请在《隐私政策》中必告知用户您的应用基于DCloud uni-app(5+ App/Wap2App)开发，添加如下参考条款：
我们的产品基于DCloud uni-app(5+ App/Wap2App)开发，应用运行期间需要收集您的设备唯一识别码（IMEI/android ID/IDFA、SIM 卡 IMSI 信息）以提供统计分析服务，并通过应用启动数据及异常错误日志分析改进性能和用户体验，为用户提供更好的服务。

第三步：在隐私政策中添加其它三方SDK的条款

uni-app默认集成三方SDK

SDK名称	SDK包名	SDK用途	可能获取的个人信息类型	调用的设备权限	官网链接
阿里weexSDK	com.taobao	uni-app基础模块默认集成，用于渲染uniapp的nvue页面引擎	存储的个人文件	读取外置存储器、写入外置存储器	http://doc.weex.io/zh
fresco图片库	com.facebook.fresco	uni-app基础模块默认集成，用于nvue页面加载图片使用	存储的个人文件	读取外置存储器、写入外置存储器	https://www.fresco-cn.org/

如果您的应用使用了依赖三方SDK的模块也需要将其合规条款添加到《隐私政策》中

UniPush

SDK包名：
com.getui.gtc 、com.igexin.sdk

HX3.1.14+ 个推SDK已升级到3.2.0.0版本适配合规问题

UniPush是DCloud联合个推公司推出的集成型统一推送服务，使用了个推提供的SDK，因此需要在《隐私政策》中添加“个推消息推送SDK”相关说明。
建议《隐私政策》添加 “与授权合作伙伴共享”条款中，将个推的用户隐私政策加入其中，并向终端用户逐一明示您嵌入的SDK收集使用个人信息的目的、方式和范围。参考内容如下：
消息推送服务供应商：由每日互动股份有限公司提供推送技术服务，我们可能会将您的设备平台、设备厂商、设备品牌、设备识别码等设备信息，应用列表信息、网络信息以及位置相关信息提供给每日互动股份有限公司，用于为您提供消息推送技术服务。我们在向您推送消息时，我们可能会授权每日互动股份有限公司进行链路调节，相互促活被关闭的SDK推送进程，保障您可以及时接收到我们向您推送的消息。详细内容请访问《个推用户隐私政策》（需将《个推用户隐私政策》超链至：http://docs.getui.com/privacy）。

更多详情请参考【个推合规指南】

statistic

友盟统计：

HX3.1.14+ 友盟SDK已升级到9.3.8版本适配合规问题

当你集成了统计模块。您需要确保App有《隐私政策》，并且在用户首次启动App时就弹出《隐私政策》取得用户同意！！！
您务必告知用户您选择友盟+SDK服务，请在《隐私政策》中增加如下参考条款：“我们的产品集成友盟+SDK，友盟+SDK需要收集您的设备Mac地址、唯一设备识别码（IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI 信息）以提供统计分析服务，并通过地理位置校准报表数据准确性，提供基础反作弊能力。”
您务必确保用户同意《隐私政策》之后。再调用相关api！！！！

具体可参考【友盟合规指南】

OAuth

OAuth模块集成的三方SDK说明

SDK名称	SDK包名	SDK用途	可能获取的信息类型	调用的设备权限	SDK隐私政策链接
微信	com.tencent.mm	微信登录	存储的个人文件	读取外置存储器、写入外置存储器	https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
新浪微博	com.sina.weibo	新浪微博登录	存储的个人文件、IMEI、openid	读取外置存储器、写入外置存储器	https://weibo.com/signup/v5/privacy?spm=a1zaa.8161610.0.0.4f8776217Wu8R1
QQ登录	com.tencent.open	QQ登录	IMEI、openid、位置信息	访问粗略位置、访问精准定位、后台访问地理位置、读取外置存储器、写入外置存储器、读取手机状态和身份	https://ti.qq.com/agreement/qqface.html?appname=mqq_2019
个验一键登录	com.g.elogin、com.g.gysdk	一键登录	运营商信息	读取外置存储器、写入外置存储器	https://docs.getui.com/privacy/

Share模块集成的三方SDK说明

SDK名称	SDK包名	SDK用途	可能获取的信息类型	调用的设备权限	SDK隐私政策链接
微信	com.tencent.mm	微信分享	存储的个人文件	读取外置存储器、写入外置存储器	https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
新浪微博	com.sina.weibo	新浪微博分享	存储的个人文件、IMEI、openid	读取外置存储器、写入外置存储器	https://weibo.com/signup/v5/privacy?spm=a1zaa.8161610.0.0.4f8776217Wu8R1
QQ	com.tencent.open	QQ分享	IMEI、openid、位置信息	访问粗略位置、访问精准定位、后台访问地理位置、读取外置存储器、写入外置存储器、读取手机状态和身份	https://ti.qq.com/agreement/qqface.html?appname=mqq_2019

Payment

Payment模块集成的三方SDK说明

SDK名称	SDK包名	SDK用途	可能获取的信息类型	调用的设备权限	SDK隐私政策链接
微信	com.tencent.mm	微信支付	存储的个人文件	读取外置存储器、写入外置存储器	https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
支付宝	com.alipay	支付宝支付	暂无	读取网络状态	https://render.alipay.com/p/c/k2cx0tg8

Speech

Speech模块集成的三方SDK说明

SDK名称	SDK包名	SDK用途	可能获取的个人信息类型	调用的设备权限	SDK隐私政策链接
百度语音识别	com.baidu.speech	语音识别	IMEI、openid	获取网络状态、访问Wi-Fi状态、读取手机状态和身份	https://ai.baidu.com/ai-doc/REFERENCE/Qkdykq1r3
讯飞语音	com.iflytek	语音识别	IMEI、openid	获取网络状态、访问Wi-Fi状态、读取手机状态和身份	https://www.xfyun.cn/doc/policy/privacy.html

Map & Geolocation

Map & Geolocation模块集成的三方SDK说明

SDK名称	SDK包名	SDK用途	可能获取的个人信息类型	调用的设备权限	SDK隐私政策链接
高德	com.amap.api	地图&定位	IMEI、openid、位置信息	获取网络状态、访问Wi-Fi状态、位置信息、访问粗略位置、访问精准定位、读取手机状态和身份	https://lbs.amap.com/agreement/compliance
百度	com.baidu	地图&定位	IMEI、openid、位置信息	获取网络状态、访问Wi-Fi状态、位置信息、访问粗略位置、访问精准定位、读取手机状态和身份	https://map.baidu.com/zt/client/privacy/index.html

ad广告

ad广告模块集成的三方SDK说明

SDK名称	SDK包名	SDK用途	可能获取的个人信息类型	调用的设备权限	SDK隐私政策链接
快手	com.kwad.sdk	广告	IMEI、openid、位置信息	获取网络状态、访问Wi-Fi状态、位置信息、读写外置存储器、读取手机状态和身份	https://www.kuaishou.com/about/policy
优量汇	com.qq.e	广告	IMEI、openid、位置信息	获取网络状态、访问Wi-Fi状态、位置信息、读写外置存储器、读取手机状态和身份	https://imgcache.qq.com/..privacy
穿山甲	com.bytedance.sdk .openadsdk.adhost	广告	IMEI、openid、位置信息	获取网络状态、访问Wi-Fi状态、位置信息、读写外置存储器、读取手机状态和身份	https://www.pangle.cn/privacy/partner

其它

《隐私政策》必须非常清楚、全面地说明（不要用可能收集、了解用户信息这种模糊不清晰的词语）收集用户个人信息的目的、方式和范围。
如果应用使用“通讯录”、“短信”等相关功能，请根据应用业务场景进行描述。

如何解决"强制、频繁、过度索取权限"问题

对于权限问题，主要注意以下几个方面：
1、应用中没有对应的服务或场景时，不要申请对应权限（例如没有使用到位置的服务时，不要申请定位权限）
2、应用申请权限时，如果用户拒绝，不要直接退出APP无法使用。千万不要将应用启动时申请“读写手机存储”和“访问设备信息”权限设置为“always”，详情参考：https://ask.dcloud.net.cn/article/36549
3、调用申请权限相关时，如果用户拒绝，非用户主动触发功能，不要重复调用API触发弹出申请权限窗口影响用户使用

在开发uni-app中还需要注意以下问题：
不要在页面生命周期onShow中调用可能触发权限提示框的API，如[uni.getLocation](https://uniapp.dcloud.io/api/location/location?id=getlocation)、[uni.chooseImage](https://uniapp.dcloud.io/api/media/image?id=chooseimage)等。