2022 年 App 上架稽核問題集錦,全面踩坑上線不迷路

語言: CN / TW / HK

theme: smartblue

相信這幾年負責過上架應用市場的 App 開發,或多或少都躺過上線稽核的坑,經歷過的各種問題也是千奇百怪,今天就給大家做個彙總,希望可以幫助大家少走彎路,爭取做一個“優雅”的客戶端開發。

首先,近年來為了 “淨化” App 環境、保護使用者隱私和優化使用者體驗,各部委大致出臺過如下所示的相關法規:

| 內容 | 時間 | | ------------------------------------------------------------------------------------------------------------------------- | ---------------- | | 《教育移動網際網路應用程式備案管理辦法》 | 2019 年 11 月 13 日 | | 《App違法違規收集使用個人資訊行為認定方法》 | 2019 年 12 月 30 日 | | 《常見型別移動網際網路應用程式必要個人資訊範圍規定》 | 2021 年 03 月 22 日 | | 《個人資訊保護法》 | 2021 年 11 月 1 日 | | 《移動網際網路應用程式(App)個人資訊保護治理白皮書》 | 2021 年 11 月 22 日 | | 《網際網路使用者賬號資訊管理規定》 | 2022 年 1 月 1 日 | | 《資料出境安全評估辦法》 | 2022 年 9 月 1 日 | | 《網際網路彈窗資訊推送服務管理規定》 | 2022 年 9 月 30 日 |

可能還有一些我不知道的遺漏,那不知道這些法規你是否都聽說過,這裡舉一些常見例子:

  • 《網際網路使用者賬號資訊管理規定》 的第十二條就是在 App 展示使用者 IP 的要求相關條款
  • 《常見型別移動網際網路應用程式必要個人資訊範圍規定》就規定了 App 類目所能獲取的許可權範圍和個人資訊索取範圍,例如新聞資訊類、瀏覽器類、安全管理類、應用商店類等無須個人資訊,即可使用基本功能服務。

針對上面這個無需許可權和個人資訊也要提供基本功能服務,如下動圖所示,今日頭條、知乎和懂車帝就是很好的參考例子,在不同意個人隱私協議的情況下,會有僅瀏覽的模式,在這個情況下依然可以閱讀內容而不是退出 App

| | | | | ------------------------------------------------------ | ------------------------------------------------------ | ------------------------------------------------------ |

所以嚴格意義上講,現在 App 按照類目的規定,如果你的 App 在某些類目就只能獲取對應許可權,多了就是違規,而且一些類目必須使用者在沒有提供許可權和同意協議的情況下,也必須提供服務

  • 《網際網路彈窗資訊推送服務管理規定》裡就有: 彈窗推送廣告顯著標明“廣告”,一鍵關閉,提供取消渠道等

如下圖所示,從意見稿開始之後,基本大部分 App 的啟動廣告就限制了有效點選範圍,產品經理也不能拍著腦袋讓你加各種奇奇怪怪的跳轉。

首先使用者必須同意了你才能收集,不同意是不能收集,所以 App 裡各式各樣的彈出框就來了,這也是目前最常見的“合規方式”。

而匯出個人資訊的功能普遍是通過郵箱傳送實現,事實上目前還有不少 App 沒提供類似支援,還有 App 必須提供使用者登出功能,這也是現在 App 開發的必選項,另外 App 還需要提供個性化推薦的開關能力,不然也有稽核風險,當時有時候只是需要你放個按鍵。

| image-20220909162615563 | | | ----------------------------------------------------------------------------- | ------------------------------------------------------ |

另外,在《個保法》的提案裡也提及了不能以使用者不提供個人資訊為由不提供服務,當時實際執行往往還是要看應用類目。

而在使用者個人資訊認定裡,裝置id (Android ID) 絕對是重災區 ,因為幾乎是個 App 就會使用到裝置 ID,特別是接入的各類第三方 SDK 服務裡普遍都會獲取。

而處理方法也是普通粗曠,使用者不同意隱私協議,就不初始化各類 SDK ,當然,有時候你可能還是會遇到某些奇葩的稽核,明明你已經做了處理,平臺還認定你違規,這時候可能你就需要學會申訴,不要傻傻自己一直摸索哪裡還不對。

總的來說上架問題一般是和個人資訊隱私相關的問題最多,而常見的問題有:

  • 未經使用者允許手機個人資訊
  • 所需資訊和服務無關,過度收集
  • 未提供匯出和刪除個人資訊的功能服務
  • 存在個人資訊洩漏風險
  • 未明確公佈個人資訊收集的目的和使用範圍

最後這一條也是經常出現問題的點,例如現在會要求你提供哪些 SDK 使用了哪些許可權和資訊,收集規則是什麼用於做什麼 ,這也就需要 App 裡提供更詳細和豐富的隱私政策內容,當然 SDK 提供方也要。

而一般情況下最常見也是最容易觸發整改的,就是裝置ID,MAC 地址等相關內容,或者說你的 App 其實根本不需要這些也能提供服務,就如前面 《常見型別移動網際網路應用程式必要個人資訊範圍規定》裡的要求一樣。

這裡還有個關鍵,那就是使用者在同意隱私條款時,你不能預設勾選,也就是有需要使用者同意☑️的 UI 時,預設時不能選中,需要使用者手動勾選同意。

當然,隨著稽核顆粒度的細化,越來越多奇奇怪怪的問題出現了,例如 Apk 裡的資原始檔存在安全洩漏問題 ,而解決該問題的有效方法就是:混淆和加固

加固和混淆也適用於以下相關問題的解決,當然,加固的話建議選用第三方付費服務,免費加固的坑實在太多了

| | | | | ------------------------------------------------------- | ------------------------------------------------------- | ------------------------------------------------------- |

| | | | | ------------------------------------------------------- | ------------------------------------------------------- | ------------------------------------------------------- |

  • 《資料出境安全評估辦法》 裡針對資料出境也做了要求,其中最直觀的例子就是:高德 SDK 無法在以外地區範圍服務

當然,不只是相關法規,平臺有時候也有自己的規定和理解,比如有幾位群友,先後在小米因為 App 裡提供 UI 和商店截圖一致被打回,理由是應用截圖與應用實際功能不符 ,相信遇到這類問題的兄弟是相當鬱悶,因為不一致這個認定其實很主觀

| | | | ------------------------------------------------------- | ------------------------------------------------------- |

另外小米等平臺還有以沒通過Monkey 自動化測試為理由拒絕上架 ,一般這種情況推薦自己上傳 testit.miui.com ,通過小米自動化測試後在上傳稽核時把你通過截圖作為附加,這樣可以解決稽核時的扯皮問題。

有時候一些平臺也會有安全掃描,例如華為就會掃描同名的包名,然後附上 git 連結告訴你風險

| | | | ------------------------------------------------------- | ------------------------------------------------------- |

另外,華為稽核時可能會對你的產品邏輯提出他們的想法,比如空白頁面,新增引導,沒有客服返回渠道等等。

| | | | ------------------------------------------------------- | ------------------------------------------------------- |

還有另外一個高風險點就是自啟動,相信我,如果你要上架平臺,2022 年了就不要再想做什麼保活相關的邏輯了

除此之外,如果平臺說你存在問題,儘量想辦法要到檢測報告,因為有時候一些平臺委託的第三方可能會不是很“靠譜“,然後需要你自己出錢區做”二次付費檢測“。

| | | | ------------------------------------------------------- | ------------------------------------------------------- |

除了上面的問題之後,如果你還遇到如下圖類似問題,都可以通過一些官方平臺的檢測如 https://open.oppomobile.com/opdp/privacyDetection/appCenter 幫助查詢問題,這樣也許就可以幫老闆省下一筆開銷,當然有一些第三方開源平臺如 Hegui3.0PrivacySentry 等專案,也可以幫助你解決一些實際問題

最後,如果關於什麼上架稽核或者安全合規等問題,歡迎留言評論,也許以後本篇可以作為一個更新集合,繼續幫助到更多需要的可憐 App 開發