根据《征求意见稿》，移动智能终端对APP个人信息处理活动的管理宜遵循以下原则：

图 1 APP个人信息处理活动管理原则

按照APP在移动智能终端上的运行程序，《征求意见稿》将用户自主安装APP的生命周期分为安装、启动、运行、更新、退出、停用/卸载六个阶段。

需注意的是，尽管预置应用软件相应无安装环节，但是此类APP处理个人信息仍应具备合法性基础。在以同意为合法性基础的情况下，需获得用户同意后才能处理个人信息，不允许未经用户同意处理个人信息、不提供撤回同意选项。

图 2 APP在移动智能终端上的生命周期

根据每一环节的特征，《征求意见稿》总结了各阶段可能面临的合规风险：

图 3 APP个人信息处理活动安全风险

基于上述识别的各环节安全风险，《征求意见稿》相应给出了应对措施。

安装环节，《征求意见稿》特别关注对用户的安全提示义务，尤其是可能存在的病毒木马漏洞问题和系统权限一揽子开启问题，具体内容如下图所示：

图 4 APP安装风险管理

针对启动环节面临的自启动和关联启动问题，《征求意见稿》要求，移动智能终端宜采取以下措施，充分保障用户对于是否自启动和关联启动的决定权：

• 为用户提供管理APP自启动、被关联启动等行为的控制选项，并将默认选项设置为关闭状态，或

• 在APP首次自启动、被关联启动时提示用户，由用户选择是否允许自启动、被关联启动。

值得注意的是，APP自启动和关联启动属于工信部重点打击的侵害用户权益行为。2020年7月，工信部发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》，将APP频繁自启动和关联启动，列为重点整治行为。2020年11月，电信终端产业协会发布团体标准《APP用户权益保护测评规范 自启动和关联启动行为》，对APP是否可以自启动和关联启动其他APP，以及SDK是否可以启动或关联启动APP的内容做出了规定。《征求意见稿》相较于前述通知和团体标准而言，更进一步提出设置控制选项，更加有利于保护用户自主决定权。

运行环节涉及的个人信息处理场景较多，因此，《征求意见稿》提出了多方面的保护措施，包括：APP 使用个人信息提示、APP 调用个人信息行为记录、设备识别码访问控制、敏感数据访问控制、存储空间使用、系统权限能力增强。

(1) APP 使用个人信息提示

《征求意见稿》主要关注APP持续、频繁调用敏感系统权限（例如麦克风、相机、位置）的问题，要求在调用此类权限的同时，移动智能终端应当提供展示指示标识的功能，并对标识展示的方式、展示时机、含义简介和权限查询和调整做出了要求。

信安标委曾于2020年9月发布《网络安全标准实践指南—移动互联网应用程序（APP）系统权限申请使用指南》（“《指南》”），其中也规定了“访问显性化原则”，要求应避免隐蔽收集个人信息，当录音、拍摄、录屏、定位等敏感功能在后台执行时，应采用显著方式（如图标闪烁、状态栏提示、自定义提示条等）提示用户。

(2) APP 调用个人信息行为记录

移动智能终端是APP的载体，APP调用个人信息的行为需要通过移动智能终端的系统权限得以完成。因此，《征求意见稿》要求，移动智能终端对第三方应用软件和涉及个人信息处理活动的预置应用软件调用个人信息的行为应予以记录。记录的内容包括，APP调用敏感系统权限以及APP自启动和关联启动的行为。记录的位置可在操作系统设置界面的二级目录中的显著位置予以展示。

根据《征求意见稿》，敏感系统权限包括但不限于涉及通讯录、本机号码、短信、日历、打电话、发短信、存储等相关的权限，也称“可收集个人信息权限”。

此外，移动智能终端还应统计和展示调用行为的总量、次数等。保存APP调用个人信息的周期应不少于 7 天，同时根据终端配置水平的差异，设定调用行为保存次数阈值。

(3) 设备识别码访问控制

《征求意见稿》对于不可变更、可变更唯一设备识别码提出管理要求。包括：

在设备识别码的访问控制方面，前述《指南》亦提供了相关规定。包括：除安全风控场景外，APP不应使用READ_PHONE_STATE权限读取不可变更的设备唯一标识符（如IMEI等），建议根据应用需要优先采用可变更的标识方案。在定向推送和用户画像场景下标识用户时，应使用可重置的标识符，且标识符不与可识别用户身份信息或不可变更的唯一设备识别码关联。

(4) 敏感数据访问提示和控制

如前所述，除用户直接输入个人信息的情况外，APP运行环节中对个人信息的收集和使用多需依赖移动智能终端的系统设置权限予以完成，《征求意见稿》对移动智能终端上敏感数据/能力的访问提示和访问控制机制做出了规定，具体如下：

除上表外，《征求意见稿》还要求，应当限制APP在后台访问启动麦克风、启动相机、访问剪切板和首次在后台申请获得应用程序列表信息的能力。

(5) 存储空间使用

《征求意见稿》要求限制APP对公共存储区及其他APP私有存储目录下文件的访问，使得：

a) APP对存储空间的访问范围仅限于私有存储目录的文件以及用户授权后的公共存储区中的媒体文件（照片、视频、音频等）；

b) APP私有存储目录不能被其它APP访问。

此条规定明确了APP可以访问的存储区域的范围，在一定程度上回应了2021年曝光的微信、淘宝、QQ等APP在后台频繁读取用户相册问题。一般来说，相册应属移动智能终端中的公共存储区，APP调用应当对用户进行告知并获取授权。

(6) 系统权限能力增强

为了提升用户对系统权限能力的控制，《征求意见稿》要求移动智能终端加强权限申请授权粒度和使用机制。

图 6 APP系统权限能力增强

《征求意见稿》关注APP热更新对用户个人信息权益造成损害，因此要求移动智能终端通过技术、管理手段限制APP热更新。所谓“热更新”，指的是APP通过动态发代码的方式，在不发布新版本的情况下进行应用更新，该过程无需重启应用软件或资源包。APP可在后台自行下载数据进行更新，如避开应用商店的审核机制，用户可能通过热更新下载到病毒，对个人信息安全造成了重大隐患。2018年11月，苹果应用商店曾因热更新问题集中下架了拼多多、搜狗、科大讯飞、悦跑圈等中国多款知名APP。

根据《个人信息保护法》第四十七条，在处理目的已实现、无法实现或者为实现处理目的不再必要时或者个人撤回同意时，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除。一般来说，用户退出或卸载APP的行为，可以看作处理目的已经实现或者用户撤回同意，因此，《征求意见稿》要求，移动智能终端在用户退出/停用 APP 后，限制 APP的个人信息收集行为，并在APP卸载时，提供彻底删除 APP私有存储目录下数据的机制。

尽管《征求意见稿》的适用对象是移动智能终端，但APP和移动智能终端在保护用户个人信息权益方面可被视为“共同体”，没有移动智能终端在系统权限和功能提示和展示方面的必要支持，APP个人信息保护工作将缺少重要支撑。

根据《征求意见稿》的编制说明，标准将首先在牵头公司中进行应用试点，并逐渐推广到其它终端厂家。目前参与标准制定的起草单位包括了华为、OPPO、VIVO、小米、荣耀、三星等国内主要智能终端厂家，在这些行业领先者的实践和带领下，未来移动智能终端对APP个人信息保护所能提供的基础操作和功能保障将逐渐向精细化管理、用户自决权程度高的方向迈进。因此，APP提供者应当及时了解和关注移动智能终端个人信息保护的发展方向，将自身合规要求与移动智能终端提供的底层功能结合，从而为用户提供真正落实的个人信息保护操作和实践。