TCSAC001-2024個人計算機軟件分發(fā)要求

ICS35.03

CCSL67

T/CSAC

團體標準

T/CSAC001—2024

個人計算機軟件分發(fā)要求

PersonalComputerSoftwareDistributionRequirements

學兔兔標準下載

2024-1-4發(fā)布2024-1-4實施

中國網絡空間安全協(xié)會發(fā)布

T/CSAC001—2024

個人計算機軟件分發(fā)要求

1范圍

本文件規(guī)范了個人計算機軟件分發(fā)的業(yè)務流程，規(guī)定了技術架構、功能要求、接入規(guī)范、管理規(guī)范

以及安全要求。

本文件適用于個人計算機軟件分發(fā)業(yè)務，其他類型的軟件分發(fā)業(yè)務也可參考使用。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069-2022信息安全技術術語

YD/T4184-2023移動互聯(lián)網應用程序（APP）用戶權益保護測評規(guī)范

3術語、定義和縮略語

3.1術語和定義

GB/T25069-2022界定的以及下列術語和定義適用于本文件。

3.1.1

個人計算機personalcomputer

能夠接入通信網，具有能夠提供應用程序開發(fā)接口的計算機系統(tǒng)，具有安裝、加載和運行應用軟件

能力的終端。

3.1.2

個人計算機軟件personalcomputersoftware

可安裝在個人計算機內，能夠利用個人計算機系統(tǒng)提供的應用程序開發(fā)接口，實現(xiàn)某項或某幾項特

定任務的應用軟件，包含個人計算機預置應用軟件，小程序以及互聯(lián)網信息服務提供者提供的可以通過

網站、應用商店等應用分發(fā)平臺下載、安裝、升級的應用軟件。

3.1.3

學兔兔個人計算機軟件開發(fā)者personalcomputersoftwaredeveloper標準下載

組織開發(fā)并對開發(fā)完成的個人計算機軟件承擔責任的法人或者其他組織，個人計算機軟件的所有者、

管理者和提供者，包括個人計算機軟件的個人開發(fā)者和企業(yè)開發(fā)者。

3.1.4

個人計算機軟件分發(fā)源distributingsourceofpersonalcomputersoftware

1

T/CSAC001—2024

用以提供展示、下載、安裝、升級等個人計算機適用的軟件分發(fā)服務的互聯(lián)網媒體，包括軟件商店、

分發(fā)網站、以及具有分發(fā)能力的應用軟件。

3.1.5

個人計算機軟件庫softwarelibraryofpersonalcomputer

經檢測符合要求的個人計算機軟件的匯聚分享平臺，同時將個人計算機軟件合理分類并加入軟件索

引，提供給個人計算機軟件分發(fā)源對接、查詢和獲取。

3.2縮略語

下列縮略語適用于本文件。

PC個人計算機（PersonalComputer）

API應用程序接口（ApplicationProgrammingInterface）

SDK軟件開發(fā)工具包（SoftwareDevelopmentKit）

4個人計算機軟件分發(fā)流程

個人計算機軟件開發(fā)者在個人計算機軟件庫上傳個人計算機軟件，個人計算機軟件分發(fā)源定時從個

人計算機軟件庫同步入庫的個人計算機軟件，形成以個人計算機軟件庫為核心的應用分發(fā)體系。下圖1

為個人計算機軟件分發(fā)流程圖。

圖1個人計算機軟件分發(fā)流程圖

個人計算機軟件分發(fā)的業(yè)務流程如下：

a)個人計算機軟件開發(fā)者按照第6.1或6.2的要求完成個人計算機軟件庫的賬號申請；

b)個人計算機軟件開發(fā)者向個人計算機軟件庫提交要上架的個人計算機軟件，個人計算機軟件按

照第6.3的要求完成審核；

c)個人計算機軟件庫按照第6.4的要求將檢測符合要求的個人計算機軟件在個人計算機軟件庫

上架；

學兔兔d)個人計算機軟件分發(fā)源按照第6.5的要求在個人計算機軟件庫備標準下載案通過，完成對個人計算機軟

件分發(fā)源的認證，從個人計算機軟件庫獲取上架的個人計算機軟件。

2

T/CSAC001—2024

5功能要求

5.1個人計算機軟件庫功能要求

個人計算機軟件庫主要功能包括：

a)個人計算機軟件庫錄入符合檢測要求的個人計算機軟件；

b)個人計算機軟件升級版本，應待新版本檢測符合要求后，方可錄入個人計算機軟件庫；

c)個人計算機軟件被國家有關部門通報或者用戶舉報經查實者，應對違規(guī)行為進行限期整改，復

檢符合要求后后方可保持在個人計算機軟件庫；

d)個人計算機軟件庫定期進行軟件巡檢，若發(fā)現(xiàn)軟件存在違規(guī)行為，應對違規(guī)行為進行限期整改，

復檢符合要求后后方可保持在個人計算機軟件庫。

5.2個人計算機軟件分發(fā)源功能要求

個人計算機軟件分發(fā)源主要功能包括：

a)個人計算機軟件分發(fā)源從個人計算機軟件庫獲取個人計算機軟件，并以自然日為單位保持數(shù)據(jù)

從個人計算機軟件庫同步個人計算機軟件；

b)個人計算機軟件分發(fā)源要設計用戶選擇默認個人計算機軟件分發(fā)源的頁面入口，在對未入個人

計算機軟件庫的軟件分發(fā)行為進行安全提示時，只有默認的個人計算機軟件分發(fā)源才能進行安

全提示。

6個人計算機軟件庫接入要求

6.1個人計算機軟件個人開發(fā)者賬號申請

個人計算機軟件個人開發(fā)者在個人計算機軟件庫后臺申請開發(fā)者賬號時，應提供開發(fā)者姓名、身份

證信息、聯(lián)系方式。

6.2個人計算機軟件企業(yè)開發(fā)者賬號申請

個人計算機軟件企業(yè)開發(fā)者在個人計算機軟件庫后臺申請開發(fā)者賬號時，應提供以下內容：

——企業(yè)名稱、企業(yè)注冊地址、統(tǒng)一社會信用代碼、營業(yè)執(zhí)照彩色掃描件；

——企業(yè)法人代表姓名、身份證信息、聯(lián)系方式；

——賬號管理員姓名、身份證信息、聯(lián)系方式。

6.3個人計算機軟件審核要求

6.3.1適用

在新軟件上傳、在架軟件更新、用戶舉報核驗等情況下，對個人計算機軟件審核的要求，包括軟件

內容、功能和管理維護等方面。

學兔兔6.3.2軟件自身信息審核標準下載

軟件信息審核包括如下內容：

a)軟件名稱、包名、版本、簡要描述中，不應出現(xiàn)任何違法違規(guī)內容；

b)開發(fā)者提交的軟件名稱應與安裝后的桌面名稱一致，若軟件存在多個程序，應填寫主程序名稱；

c)軟件名稱不應出現(xiàn)不合理后綴，如與軟件無關內容、惡意引流內容等；

3

T/CSAC001—2024

d)軟件圖標、運行界面截圖不應出現(xiàn)任何違法違規(guī)內容，且應與軟件實際內容相符；

e)軟件圖標、運行界面截圖需清晰度高，不應出現(xiàn)模糊不清、拉伸壓縮、黑邊白邊、明顯鋸齒等

情況；

f)開發(fā)者提交的軟件圖標應與安裝后的桌面顯示圖標一致；

g)軟件圖標、描述信息等應避免與市場已有的個人計算機流行軟件高度重合,從而誤導用戶進行

使用；

h)開發(fā)者應該明確軟件運行過程中資源占用,并經過標準穩(wěn)定性測試，避免在使用過程中存在資

源泄漏而導致整機卡頓和穩(wěn)定性問題。

6.3.3軟件安裝功能審核

軟件安裝功能審核包括如下內容：

a)軟件在簡要描述中說明支持的操作系統(tǒng)版本、系統(tǒng)位數(shù)，系統(tǒng)架構(X86ORARM)測試環(huán)境下，

能夠正常安裝；

b)安裝界面若提供開機啟動選項，應顯示在醒目位置，且默認為不勾選。不應安裝過程中通過誤

導、強制等手段添加開機啟動項；

c)安裝界面若提供創(chuàng)建快捷方式選項，請顯示在醒目位置，且默認為勾選。若勾選選項，安裝成

功后至多創(chuàng)建一個快捷圖標；

d)安裝完成界面可提供立即啟動按鈕，但不應在用戶未授權情況下直接啟動軟件或其他子進程；

e)若安裝失敗，請?zhí)峁┟鞔_原因或錯誤碼；

f)安裝界面提供取消或關閉按鈕，若安裝進程打斷，系統(tǒng)將恢復到安裝前狀態(tài)；

g)軟件在安裝界面的顯著位置應該明示用戶許可協(xié)議等內容，不應在未經用戶同意和授權的情況

下直接安裝；

h)軟件如果存在靜默安裝行為和方式的，應提前報備和說明其靜默安裝參數(shù)和靜默安裝路徑參數(shù)

等（如果支持的話），以便個人計算機軟件分發(fā)源進行識別，以及部分個人計算機軟件分發(fā)源

在特定形式情況下進行安裝處理；

i)軟件如果存在靜默卸載和方式的，應提前報備和說明其靜默卸載參數(shù)等（如果支持的話），以

便個人計算機軟件分發(fā)源進行識別，以及部分個人計算機軟件分發(fā)源在特定形式情況下進行卸

載處理，避免通過文件強制刪除造成的用戶計算機文件殘留，影響體驗等；

j)安裝或使用過程中如果修改當前系統(tǒng)默認選項應經過用戶允許(例如文件默認打開方式)，避免

替換系統(tǒng)文件，或三方運行過程中引用公共文件。

6.3.4軟件運行功能審核

軟件運行功能審核包括如下內容：

a)軟件運行時不應出現(xiàn)崩潰、閃退、白屏或發(fā)生嚴重錯誤的情況；

b)軟件主功能不應無法使用或出現(xiàn)嚴重使用障礙；

c)軟件主功能應與軟件名稱、簡要描述中內容一致；

d)軟件運行后不應出現(xiàn)強制要求升級情況；

學兔兔e)若軟件功能僅供部分用戶使用，其簡要描述里應對限制范圍作出標準下載說明；

f)軟件主程序退出后，子進程應隨之關閉；

g)常駐程序應給出充分的存在理由，并且能夠在任務管理器中將其結束；

h)軟件不應存在誘導付費、自動扣費、隱形扣費等行為，所有付費項目應清晰展示；

i)開通付費功能后，軟件應提供相應功能以供使用；

j)兒童類軟件支付功能不應存在任何誘導兒童支付，或暗示兒童使用無密碼式快捷支付等內容。

4

T/CSAC001—2024

k)軟件運行的過程中如果需要訪問三方進程內容或數(shù)據(jù),需明確經過用戶允許；

l)軟件運行過程中避免自身代碼注入到三方進程運行,從而引起三方或系統(tǒng)穩(wěn)定性問題；

m)軟件運行過程中避免出現(xiàn)透明窗口,隱藏窗口模擬用戶操作點擊等行為。

6.3.5軟件安全性審核

軟件安全性審核包括如下內容：

a)軟件不應存在惡意行為，包括病毒木馬等；

b)軟件在未經允許的情況下不應修改系統(tǒng)默認配置、數(shù)據(jù)或終端設備功能；

c)軟件不應出現(xiàn)監(jiān)控用戶、侵犯隱私等行為；

d)軟件不應頻繁出現(xiàn)導致系統(tǒng)死機或重啟等情況；

e)軟件不應出現(xiàn)超正常需要，高占用CPU或內存進而影響用戶正常使用設備的情況；

f)軟件自身權限應以最小化為原則，當存在內核模塊時應對使用者溯源,避免內核模塊被三方惡

意軟件調用。

g)軟件應定期審核引用開源庫是否存在安全漏洞，及時更新自身漏洞。

6.3.6軟件個人信息保護審核

軟件個人信息保護審核包括如下內容：

a)軟件在收集、使用、提供個人信息行為方面應符合YD/T4184的5、6、7和12章的要求；

b)應按照附錄B開展用戶個人信息保護檢查。

6.3.7軟件卸載功能審核

軟件卸載功能審核包括如下內容：

a)軟件應具備正常卸載功能，可在系統(tǒng)功能-控制面板里進行卸載；

b)軟件卸載時不應出現(xiàn)閃退、崩潰，或其他無法卸載的情況；

c)卸載時不應自動刪除用戶數(shù)據(jù)，包括聊天記錄、圖片、視頻、文檔等；

d)卸載界面應提供刪除用戶數(shù)據(jù)的接口，包括刪除聊天記錄、圖片、視頻、文檔等；

e)除用戶授權要求外，軟件需卸載干凈無殘留；

f)若卸載失敗，需提供明確原因或錯誤碼；

g)軟件安裝時如修改系統(tǒng)默認選項,卸載時應恢復到安裝之前狀態(tài)。

6.3.8軟件承載內容審核

軟件內容審核包括如下內容：

a)軟件應當符合憲法等法律法規(guī)的規(guī)定，弘揚社會主義核心價值觀；

b)軟件不應含有危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統(tǒng)一的內容；

c)軟件不應含有損害國家榮譽和利益的內容；

d)軟件不應含有散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的內容；

e)軟件不應含有傳播色情、低俗或其他暗示性的內容；

學兔兔f)軟件不應含有破壞國家宗教政策，宣揚邪教和封建迷信的內容；標準下載

g)軟件不應含有賭博、彩票、借貸及其他涉金融類不良內容；

h)軟件不應含有強烈的暴力暗示，或引人不適的血腥內容；

i)軟件不應含有煽動民族仇恨、民族歧視、破壞民族團結、宣揚種族歧視等內容；

j)軟件不應含有宣傳、販賣、購買違禁物品的內容；

k)軟件不應含有散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的內容；

5

T/CSAC001—2024

l)軟件不應含有散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的內容；

m)軟件不應含有侮辱或者誹謗他人，侵害他人合法權益的內容；

n)軟件不應含有蹭炒教育熱點，曲解教育政策，兜售教育焦慮的內容；

o)軟件不應出現(xiàn)任何危害未成年人身心健康，或易造成不良導向的內容；

p)軟件不應出現(xiàn)其他違法違規(guī)內容。

6.3.9軟件承載廣告內容審核

軟件廣告審核包括如下內容：

a)軟件不應出現(xiàn)頻繁彈窗等惡意廣告行為影響用戶體驗，如用戶每次點擊操作均彈出廣告，關閉

廣告后仍彈出廣告導致用戶需連續(xù)關閉廣告；

b)軟件內廣告不應強制或誘導用戶點擊，不應存在未經用戶同意強制安裝軟件或捆綁下載的行為；

c)軟件內廣告不應欺騙、誤導、強迫用戶下載、安裝、使用第三方軟件的行為；

d)軟件應以顯著方式向用戶提供關閉或退出窗口的功能標識；

e)軟件內內廣告不應干擾其他應用或設備的功能。廣告應僅能在投放該廣告的軟件內展示，不應

存在霸占屏幕的行為，包括鎖屏界面、解鎖后的桌面，且軟件退出或關閉后，軟件內廣告應同

時關閉；

f)軟件內廣告不應包含色情低俗、賭博、反動、售賣違禁品等違法內容；

g)軟件內廣告不應含有欺詐、嚴重夸大或其他不符合《廣告法》要求的內容；

h)面向未成年人的軟件，其廣告應嚴格遵守相關法律及社會準則。

6.3.10軟件維護性審核

軟件維護性審核包括如下內容：

a)開發(fā)者超過一年未更新的軟件，應審核其軟件功能價值，判斷是否應繼續(xù)在架；

b)若發(fā)現(xiàn)同一開發(fā)者上傳多個內容相似度超過80%的軟件，應通過審核判斷其價值并酌情上架。

6.4個人計算機軟件上架

個人計算機軟件在按照第6.3的要求完成審核，個人/企業(yè)開發(fā)者在個人計算機軟件庫上架計算機

軟件，還應提供以下內容：

——軟件名稱、類別、版本號、簡要描述；

——軟件安裝包或下載地址；

——軟件圖標、運行界面截圖；

——軟件著作權證書、特殊軟件需資質證明（具體內容詳見附錄A）；

——支持的操作系統(tǒng)、系統(tǒng)位數(shù)；

——靜默安裝命令行參數(shù)、靜默卸載命令行參數(shù)。

以上內容需通過審核，在軟件本體可運行、基本功能可實現(xiàn)，無病毒與惡意程序，資質與其他信息

無誤后方可上架。

學兔兔6.5個人計算機軟件分發(fā)源認證標準下載

個人計算機軟件分發(fā)源服務端與個人計算機軟件庫服務端進行API對接時，應滿足如下要求來完成

個人計算機軟件分發(fā)源的認證：

a)提供個人計算機軟件分發(fā)源的公司名稱，聯(lián)系方式，營業(yè)執(zhí)照等信息；

b)明確與個人計算機軟件庫服務端的握手頻率和差量升級策略。

6

T/CSAC001—2024

7個人計算機軟件分發(fā)管理要求

7.1個人計算機軟件基本信息展示

個人計算機軟件分發(fā)源的軟件下載界面應展示以下必備信息：

——軟件名稱、分類、簡要介紹、版本號、更新時間、更新日志；

——軟件icon、運行界面截圖（不少于三張）。

以下信息為可選展示：

——軟件支持的操作系統(tǒng)類型、系統(tǒng)位數(shù)信息；

——軟件是否含有廣告、插件；

——軟件官方網站；

——用戶評分分值、評論數(shù)量、評論詳情；

——同類軟件相關推薦。

7.2個人計算機軟件安全標識

個人計算機軟件分發(fā)源通過設置不同顏色、形狀圖標等方式對個人計算機軟件進行顯著標識，幫助

用戶快速了解應用的安全性核驗結果，可提供以下標識：

——認證標識：對通過病毒檢測、插件檢測、人工綜合審核的軟件予以專屬標識；

——年齡標識：對于面向未成年人特殊群體的應用，應視情況予以專屬標識；

——其他標識：關于軟件是否收費、是否為壓縮包、是否為測試版、是否有廣告等情況，應予以專

屬標識。

7.3日常監(jiān)督與問題處置

個人計算機軟件開發(fā)源對個人計算機軟件實施常態(tài)化監(jiān)督機制，定期抽查軟件合規(guī)性，主動配合主

管部門通報要求，積極處理用戶投訴反饋，包括：

a)根據(jù)下載量、舉報記錄、更新時間、歷史違規(guī)記錄等要素確定抽樣優(yōu)先級，定期抽查軟件合規(guī)

性；

b)設立便捷的渠道接收用戶對個人計算機軟件的投訴舉報，及時針對舉報內容進行核驗；

c)定期巡查個人計算機軟件評論區(qū)，對涉及違反審核標準的用戶評論應給予重視并對評論內容進

行核實。

8安全要求

8.1數(shù)據(jù)安全

個人計算機軟件分發(fā)過程中的數(shù)據(jù)安全要求包括：

a)為把個人計算機軟件庫的個人計算機軟件同步給個人計算機分發(fā)源，需要添加數(shù)字簽名或哈希

值，以驗證數(shù)據(jù)在傳輸過程中的完整性；

學兔兔b)數(shù)據(jù)庫的個人計算機軟件版本維護信息可以與數(shù)據(jù)庫區(qū)分設置，標準下載只有在版本有變更情況時，分

發(fā)源才需要獲取新的數(shù)據(jù)，減少非必要訪問和拖庫行為的發(fā)生。

8.2安全審計

個人計算機軟件分發(fā)過程中的安全審計要求包括：

7

T/CSAC001—2024

a)為個人計算機軟件庫所依賴的軟件和操作系統(tǒng)建立安全更新和補丁管理策略，及時修補已知的

安全漏洞；

b)完整記錄開發(fā)者提交日志、審核人員審核日志，保留至少90天的日志，定期對日志進行審計，

以發(fā)現(xiàn)潛在的安全問題和未授權訪問或違規(guī)操作；

c)定期對個人計算機軟件庫系統(tǒng)所在服務器進行安全檢查，包括滲透測試、弱點掃描和配置審查。

學兔兔標準下載

8

T/CSAC001—2024

附錄A

（規(guī)范性）

特殊軟件資質證明

表A.1規(guī)定了申請?zhí)厥廛浖Y質證明的說明和要求。

表A.1特殊軟件資質證明要求

類型說明要求

須提供如下資料：

無融資功能網只具備貸款發(fā)放功能，不具1、包含此經營范圍的營業(yè)執(zhí)照

貸類應用備融資功能的網貸類應用2、電信與信息服務業(yè)務經營許可證

3、《金融許可證》或當?shù)卣?/p>

須提供如下資料：

1、包含此經營范圍的營業(yè)執(zhí)照

有融資功能網面向用戶發(fā)放貸款，同時還

2、電信與信息服務業(yè)務經營許可證

貸類應用具備融資功能

3、《金融許可證》或當?shù)卣?/p>

4、三方支付平臺或銀行簽署的資金托管或存管協(xié)議

指聚合各類網貸服務的平須提供平臺三家或三家以上產品的如下材料（不足三家則提供全部）

臺，該聚合平臺不涉及貸款1、包含此經營范圍的營業(yè)執(zhí)照

網貸聚合平臺

交易，交易在各網貸平臺上2、《金融許可證》或當?shù)卣?/p>

進行。3、與平臺簽署的合作協(xié)議

須提供如下資料：

其他金融理財其他提供互聯(lián)網金融理財1、包含此經營范圍的營業(yè)執(zhí)照

產品服務的應用2、《金融許可證》

3、三方支付平臺或銀行簽署的資金托管或存管協(xié)議

須提供如下資料：

金融信息展示軟件內容為金融信息展示，1、電信與信息服務業(yè)務經營許可證

類無實際交易支付的應用2、包含此經營范圍的營業(yè)執(zhí)照

3、免責函（請聯(lián)系客服/商務索要）

須提供如下資料：

貴金屬交易平提供貴金屬交易服務的應1、貴金屬交易會員證書或貴金屬交易所（中心）會員查詢截圖

臺用2、《電信與信息服務業(yè)務經營許可證》（ICP證）

3、包含此經營范圍的營業(yè)執(zhí)照

須提供如下材料之一

學兔兔1.《證券交易所的經營許可證》標準下載

證券類提供證券服務的應用

2.《證券投資咨詢業(yè)務資格證書》

3.《證券經營許可證》

須提供如下材料之一

基金類提供基金服務的應用1.《基金銷售業(yè)務資格證書》

2.《基金管理資格證書》

9

T/CSAC001—2024

類型說明要求

期貨類提供期貨服務的應用《經營期貨業(yè)務許可證》

股票類提供股票服務的應用《經營股票承銷業(yè)務資格證書》

外匯類提供外匯業(yè)務服務的應用《經營外匯業(yè)務許可證》

典當類提供典當服務的應用《典當經營許可證》

須提供如下資料：

銀行類各類銀行官方應用1、《金融許可證》

2、包含此經營范圍的營業(yè)執(zhí)照

須提供如下資料：

1、包含此經營范圍的營業(yè)執(zhí)照

保險類提供保險售賣服務的產品

2、經營保險業(yè)務的相關許可證，如《保險機構法人許可證》或《經營

保險業(yè)務許可證》等

根據(jù)應用服務范圍，分別提供對應資質證明：

1、《醫(yī)療機構執(zhí)業(yè)許可證》（醫(yī)療服務）

2、《互聯(lián)網醫(yī)療保健信息服務許可證》或ICP證（醫(yī)療保健信息）

3、《移動網藥品信息服務資格證書》、《互聯(lián)網藥品交易服務機構資

提供醫(yī)藥信息、買賣藥品、

格證書》（藥品信息、買賣藥品）

醫(yī)療類醫(yī)生咨詢、醫(yī)生預約等服務

4、《中華人民共和國醫(yī)療器械經營企業(yè)許可證》或《中華人民共和國

的應用

醫(yī)療器械生產企業(yè)許可證》（醫(yī)療器械）

5、與醫(yī)院的合作協(xié)議或（5-8位）醫(yī)生從業(yè)資格許可（接入醫(yī)院或醫(yī)

生在線提供醫(yī)療服務）

6、免責函

1.旅行社業(yè)務營業(yè)許可證（旅行社類）

旅游服務類提供各類旅游服務的應用2.《中國民用航空運輸銷售代理業(yè)務資格認可證書》發(fā)證機關應為中

國航空運輸協(xié)會（有售賣機票功能的）

勞務中介類提供勞務中介服務的應用《人才中介服務許可證》

移民中介提供移民中介服務的應用《因私出入境中介機構經營許可證》

支付類提供支付服務的應用《支付業(yè)務許可證》

新聞類提供新聞內容的應用《互聯(lián)網新聞信息服務許可證》（應用服務需與業(yè)務種類一致）

須提供如下資料：

1、開發(fā)者賬號需為簽約企業(yè)開發(fā)者賬號

提供網絡表演服務的直播

直播類2、提供《網絡文化經營許可證》，且許可證應有“網絡表演”資質，

類應用

并與營業(yè)執(zhí)照開發(fā)者信息一致

《互聯(lián)網信息信息服務許可證》

須提供如下資料：

1、授權者營業(yè)執(zhí)照

代理公司代替其他公司上

學兔兔應用授權代理2、代理商營業(yè)執(zhí)照標準下載

傳的應用

3、推廣授權協(xié)議、代理合同、知識產權轉讓協(xié)議三者中的任意一種，

需提供掃描件或是加蓋公章的復印件

10

T/CSAC001—2024

附錄B

（規(guī)范性）

用戶個人信息保護要求檢測內容及檢測方式

表B.1規(guī)定了個人計算機軟件分發(fā)要求對用戶個人信息保護要求的檢測內容及檢測方式。

表B.1用戶個人信息保護要求的檢測內容及檢測方式

檢測方式（功能驗證、

章節(jié)檢測項

技術檢測、文檔審查）

——未見明示

功能驗證、技術檢測、

軟件未以個人信息處理規(guī)則彈窗等形式向用戶明示個

文檔審查

人信息處理的目的、方式和范圍，不應收集個人信息。

——有明示未同意

軟件以個人信息處理規(guī)則彈窗等形式向用戶明示個人

功能驗證、技術檢測

信息處理的目的、方式和范圍，未經用戶同意，不應收集個

人信息。

——明示不清晰

軟件以個人信息處理規(guī)則彈窗等形式向用戶明示個人

信息處理的目的、方式和范圍，未清晰明示處理個人信息的功能驗證、技術檢測、

目的、方式和范圍，用戶同意后，不應收集相應個人信息；文檔審查

未清晰明示在靜默狀態(tài)下或在后臺運行時收集個人信

息的目的、方式和范圍，不應收集相應個人信息。

——未見明示SDK

軟件不應存

軟件未以個人信息處理規(guī)則彈窗等形式向用戶明示第功能驗證、技術檢測、

在違規(guī)收集

三方SDK處理個人信息的目的、方式和范圍，第三方SDK不文檔審查

個人信息行

應收集個人信息。

為

——明示SDK未同意

軟件以個人信息處理規(guī)則彈窗等形式向用戶明示第三功能驗證、技術檢測、

方SDK處理個人信息的目的、方式和范圍，未經用戶同意，文檔審查

第三方SDK不應收集個人信息。

——明示SDK不清晰

軟件以個人信息處理規(guī)則彈窗等形式向用戶明示第三

方SDK處理個人信息的目的、方式和范圍，未清晰明示第三

功能驗證、技術檢測、

方SDK處理個人信息的目的、方式和范圍，用戶同意后，第

文檔審查

三方SDK不應收集相應個人信息；未清晰明示在靜默狀態(tài)下

學兔兔或在后臺運行時第三方SDK收集個人信息的目的、方式和范標準下載

圍，第三方SDK不應收集相應個人信息。

——同意不清晰

軟件在征求用戶同意環(huán)節(jié)，應提供明確的同意和拒絕選功能驗證、技術檢測

項，不應僅使用“好的”、“我知道了”等無法清晰表達用

11

T/CSAC001—2024

檢測方式（功能驗證、

章節(jié)檢測項

技術檢測、文檔審查）

戶同意的詞語。

——默認同意

軟件不應存功能驗證、技術檢測

軟件在征求用戶同意環(huán)節(jié)，不應設置為默認同意。

在違規(guī)收集

——未見明示開發(fā)者名稱/名稱信息不一致

個人信息行功能驗證、技術檢測、

軟件須提供開發(fā)者自身的隱私政策，且隱私政策內的開

為文檔審查

發(fā)者名稱及應用名稱均需與在應用平臺上提交的信息一致。

——超范圍收集

軟件在收集個人信息時，不應超出其所明示收集目的的技術檢測、文檔審查

合理關聯(lián)范圍。

——超頻次收集

軟件未向用戶明示收集個人信息的頻率，未經用戶同

意，不應以特定頻率收集個人信息。

技術檢測、文檔審查

軟件向用戶明示收集個人信息的頻率，收集個人信息的

頻率不應超出其實現(xiàn)產品或服務的業(yè)務功能所必需的最低

頻率。

——SDK超范圍收集

軟件向用戶明示第三方SDK處理個人信息的目的、方式

技術檢測、文檔審查

和范圍，第三方SDK收集相應個人信息時不應超出其所明示

收集目的的合理關聯(lián)范圍。

——SDK超頻次收集

軟件不應存軟件未向用戶明示第三方SDK收集個人信息的頻率，未

在超范圍收經用戶同意，第三方SDK不應以特定頻率收集個人信息。

技術檢測

集個人信息軟件向用戶明示第三方SDK收集使用個人信息的頻率，

行為第三方SDK收集個人信息的頻率不應超出其實現(xiàn)產品或服務

的業(yè)務功能所必需的最低頻率。

——靜默后臺超范圍收集

軟件在靜默狀態(tài)下或在后臺運行時，收集個人信息不應技術檢測、文檔審查

超出其所明示的收集目的合理關聯(lián)范圍。

——靜默后臺超頻次收集

軟件未向用戶明示在靜默狀態(tài)下或在后臺運行時收集

個人信息的頻率，未經用戶同意，不應以特定頻次收集個人

信息。技術檢測、文檔審查

軟件向用戶明示在靜默狀態(tài)下或在后臺運行時收集個

人信息的頻率，收集個人信息的頻率不應超出其實現(xiàn)產品或

服務的業(yè)務功能所必需的最低頻率。

學兔兔——SDK靜默后臺超范圍收集標準下載

軟件在靜默狀態(tài)下或在后臺運行時，第三方SDK收集個技術檢測、文檔審查

人信息不應超出其所明示的收集目的的合理關聯(lián)范圍。

軟件不應存——SDK靜默后臺超頻次收集

技術檢測

在超范圍收軟件未向用戶明示在靜默狀態(tài)下或在后臺運行時第三

12

T/CSAC001—2024

檢測方式（功能驗證、

章節(jié)檢測項

技術檢測、文檔審查）

集個人信息方SDK收集個人信息的頻率，未經用戶同意，在靜默狀態(tài)下

行為或在后臺運行時，第三方SDK不應以特定頻次收集個人信息。

軟件向用戶明示在靜默狀態(tài)下或在后臺運行時第三方

SDK收集個人信息的頻率，在靜默狀態(tài)或在后臺運行時，第

三方SDK收集個人信息的頻率不應超出其實現(xiàn)產品或服務的

業(yè)務功能所必需的最低頻率。

——未明示共享

軟件未向用戶明示個人信息處理的目的、方式和范圍，技術檢測、文檔檢查

不應將個人信息發(fā)送給第三方SDK等產品或服務。

——未同意共享

軟件不應存軟件以個人信息處理規(guī)則彈窗等形式向用戶明示共享

功能驗證、技術檢測

在違規(guī)使用給第三方的行為，未經用戶同意，不應將個人信息發(fā)送給第

個人信息行三方SDK等產品或服務。

為——明示共享不清晰

軟件以個人信息處理規(guī)則彈窗等形式向用戶明示個人

功能驗證、技術檢測、

信息處理的目的、方式和范圍，未清晰明示共享的第三方身

文檔檢查

份、目的及個人信息類型，用戶同意后，不應將個人信息發(fā)

送給第三方SDK等產品或服務。

——未明示定向推送

若軟件的業(yè)務功能存在定向推送功能，應以個人信息處功能驗證、技術檢測、

理規(guī)則彈窗等形式向用戶明示，將收集的用戶個人信息用于文檔檢查

定向推送、精準營銷。

——未明示第三方個人信息來源

若軟件定向推送功能使用了第三方的個人信息來源，應

以個人信息處理規(guī)則彈窗等形式向用戶明示業(yè)務功能使用文檔檢查

軟件不應存第三方的個人信息進行定向推送，并向用戶明示第三方的個

在強制用戶人信息來源。

使用定向推——未標識定向推送

送功能行為軟件以個人信息處理規(guī)則彈窗等形式明示存在定向推

送功能，頁面中應顯著區(qū)分定向推送服務，顯著方式包括：功能驗證、技術檢測

標明“個性化推薦”、“定推”、“猜你喜歡”等其他能顯

著區(qū)分的字樣，或通過不同的欄目、版塊、頁面分別展示等。

——未提供關閉選項

軟件以個人信息處理規(guī)則彈窗等形式明示存在定向推

功能驗證、技術檢測

送功能，應提供退出或關閉個性化展示模式的選項，如拒絕

學兔兔接受定向推送信息，或停止、退出、關閉相應功能的機制。標準下載

軟件不應存——軟件未向用戶明示未經用戶同意，且無合理的使用場

功能驗證、技術檢測

在頻繁自啟景，不應自啟動或關聯(lián)啟動其它軟件。

動和關聯(lián)啟——軟件向用戶明示但未經用戶同意，不應自啟動或關聯(lián)啟

功能驗證、技術檢測

動行為動其它軟件。