APP 上架文件准备工作流

任务概览

这个工作流用于整理 APP 上架前需要准备或审阅的基础法律文件，重点包括隐私政策、用户服务协议、儿童个人信息保护规则，以及与这些文件配套的权限说明、SDK 清单、个人信息处理规则和上架审查材料。

它的目标不是让 AI “一键生成法律文件”，而是把上架文件准备拆成稳定流程：先还原真实业务，再整理数据处理场景，再生成文件结构，最后逐项复核文件是否和产品实际一致。

适合的场景包括新 APP 首次上架、已有 APP 版本更新、隐私政策改版、第三方 SDK 变更、增加未成年人或儿童使用场景、应用商店要求补充合规说明等。

不适合在缺少产品信息、SDK 清单、权限调用说明或实际业务流程时直接生成正式文件。法律文件必须反映真实业务，不能用模板替代事实确认。

输入与输出

输入材料：

1. APP 基本信息：产品名称、功能说明、目标用户、主要使用路径。
2. 个人信息处理场景：收集什么、为什么收集、怎么使用、保存多久、是否共享。
3. 权限调用清单：相机、相册、定位、麦克风、通讯录、通知等。
4. 第三方 SDK 清单：SDK 名称、服务商、用途、收集字段、共享方式。
5. 账号体系与用户行为：注册、登录、注销、投诉、客服、消息推送等。
6. 未成年人或儿童使用场景：是否面向儿童、是否实际可能被儿童使用、是否收集儿童个人信息。
7. 上架平台要求：应用商店、监管或内部审核提出的具体问题。

输出产物：

1. 隐私政策草案或修订说明。
2. 用户服务协议草案或修订说明。
3. 儿童个人信息保护规则草案，或“不单独触发”的判断记录。
4. APP 上架文件检查清单。
5. 待业务确认问题清单。
6. 文件一致性检查表。

流程步骤

Step 1：先还原产品真实业务

不要从模板开始写。先用一张表还原 APP 实际做什么：

这一步要尽量让产品、研发或运营补充事实。法律文件不能凭想象补齐业务。

Step 2：梳理个人信息处理场景

按场景拆，而不是按条款拆。每个场景至少确认：

• 收集的信息类型；
• 触发时机；
• 使用目的；
• 是否为实现核心功能所必需；
• 是否会对外共享、委托处理或接入 SDK；
• 用户能否关闭、撤回或删除；
• 是否涉及敏感个人信息。

如果某个字段或权限说不清用途，应进入“待业务确认问题清单”，不要直接写进文件。

Step 3：梳理权限与 SDK

APP 上架审核经常关注权限和 SDK。建议单独生成两张清单：

权限清单：

SDK 清单：

如果 SDK 真实收集字段不清楚，应回到 SDK 文档或研发配置确认。

Step 4：判断是否触发儿童个人信息保护文件

不要因为“可能有未成年人使用”就机械生成儿童规则。先判断：

• APP 是否明确面向不满 14 周岁儿童；
• 是否通过内容、功能、运营活动明显吸引儿童；
• 是否存在儿童账号、家长授权、校园、亲子、教育、游戏等场景；
• 是否实际收集儿童个人信息；
• 是否需要单独的儿童个人信息保护规则、监护人同意机制或专门提示。

如果暂不触发，也应形成判断记录，说明依据和待观察事项。

Step 5：生成文件结构，而不是直接定稿

AI 可以先生成文件结构：

• 隐私政策：信息收集、使用、共享、SDK、权限、用户权利、未成年人保护、联系方式、更新机制。
• 用户服务协议：账号、服务规则、用户行为、知识产权、责任边界、服务变更、争议解决。
• 儿童个人信息保护规则：适用范围、监护人同意、收集使用、共享委托、保存删除、儿童/监护人权利、联系方式。

生成结构后，再把每个条款和真实业务表逐项对应。

Step 6：做文件一致性检查

至少检查四类一致性：

1. 文件和产品实际一致；
2. 隐私政策和 SDK/权限清单一致；
3. 用户服务协议和产品规则一致；
4. 儿童规则和实际儿童场景一致。

典型问题包括：文件写了注销入口但产品没有；文件承诺不共享但接入了第三方 SDK；权限说明和实际弹窗不一致；儿童规则写得很完整但业务并没有对应机制。

Step 7：整理上架问题回复材料

如果应用商店或审核方要求补充说明，先把问题转成结构化回复：

• 对方问了什么；
• 对应哪个功能或文件条款；
• 需要研发/产品确认什么；
• 最终回复口径是什么；
• 是否需要同步修改文件。

不要只改回复，不改文件；也不要只改文件，不确认产品实际。

AI 介入点

AI 适合处理以下部分：

• 把产品描述整理成个人信息处理场景表；
• 根据 SDK 清单生成待确认问题；
• 生成隐私政策、用户服务协议、儿童规则的初稿结构；
• 检查多个文件之间是否出现明显矛盾；
• 把应用商店反馈整理成回复草稿；
• 生成业务确认清单和审阅表。

AI 不适合替代业务确认，也不适合在 SDK、权限、儿童场景不清楚时直接输出正式文件。

Prompt 模板

Prompt 1：从产品信息生成处理场景表

你是一名隐私合规工作流助手。请根据以下 APP 产品信息，整理个人信息处理场景表。

请输出表格，字段包括：
1. 功能模块
2. 用户动作
3. 可能收集的个人信息
4. 使用目的
5. 是否为核心功能必要
6. 是否涉及敏感个人信息
7. 是否涉及第三方 SDK 或对外共享
8. 需要业务确认的问题

要求：
- 不要编造未提供的功能。
- 不确定的地方写“待确认”。
- 不要直接生成隐私政策正文。

产品信息如下：
【粘贴 APP 功能说明、用户路径、权限说明】

Prompt 2：检查隐私政策和业务事实是否一致

请对照以下两份材料，检查隐私政策草案是否与 APP 真实业务一致。

材料 A：APP 个人信息处理场景表
材料 B：隐私政策草案

请输出：
1. 草案中已有且与业务一致的内容。
2. 草案中缺失但业务实际存在的处理场景。
3. 草案中写了但业务材料没有支撑的内容。
4. 可能过度承诺或表述不准确的条款。
5. 需要产品/研发/运营确认的问题清单。

要求：
- 不要直接认定合规或不合规。
- 每个问题都要说明对应的材料依据。

Prompt 3：判断儿童个人信息文件触发点

请根据以下 APP 功能和用户信息，判断是否可能需要单独准备儿童个人信息保护规则。

请按以下结构输出：
1. 是否明确面向不满 14 周岁儿童。
2. 是否存在儿童实际使用场景。
3. 是否收集儿童个人信息或可能识别儿童身份。
4. 是否需要监护人同意、单独提示或儿童规则。
5. 目前不能判断、需要业务确认的问题。
6. 如果暂不触发，建议保留哪些观察记录。

要求：
- 不要只因为“可能有未成年人使用”就直接判断必须准备儿童规则。
- 不要输出正式法律意见。

Prompt 4：生成上架文件检查清单

请基于以下 APP 材料，生成一份上架文件检查清单。

材料包括：
- APP 功能说明
- 个人信息处理场景表
- 权限清单
- SDK 清单
- 隐私政策草案
- 用户服务协议草案
- 儿童个人信息保护规则草案或判断记录

请输出：
1. 必查事项
2. 高风险不一致点
3. 需要业务补充的材料
4. 需要研发确认的技术事实
5. 文件中需要统一的措辞
6. 上架前最后人工复核清单

人工判断点

法律人必须判断：

1. 产品事实是否完整、真实；
2. SDK 和权限清单是否来自可靠来源；
3. 文件是否与实际业务一致；
4. 儿童个人信息规则是否真实触发；
5. 文件措辞是否过度承诺；
6. 上架回复是否需要同步修改正式文件；
7. 是否存在不能进入 AI 工具的敏感业务材料。

可复制资产

APP 上架文件准备 Checklist

• 已收集 APP 功能说明和用户路径。
• 已梳理个人信息处理场景表。
• 已梳理权限调用清单。
• 已梳理第三方 SDK 清单。
• 已判断是否涉及未成年人或儿童个人信息场景。
• 隐私政策与处理场景表一致。
• 用户服务协议与产品规则一致。
• 儿童个人信息保护规则与真实儿童场景一致；如不触发，已形成判断记录。
• 文件中的联系方式、注销方式、投诉渠道、更新机制可实际执行。
• 上架审核反馈已同步到正式文件或形成不修改理由。
• 所有输出均保留“不构成正式法律意见”的边界。

个人信息处理场景表模板

| 功能模块 | 用户动作 | 收集信息 | 使用目的 | 是否必要 | 是否敏感 | 是否共享/SDK | 待确认问题 |
|---|---|---|---|---|---|---|---|
| 注册登录 | 手机号登录 | 手机号、验证码 | 创建账号、身份验证 | 是 | 否 | 短信服务 SDK | 是否支持第三方登录 |
| 待补充 | 待补充 | 待补充 | 待补充 | 待补充 | 待补充 | 待补充 | 待补充 |

文件一致性检查模板

# APP 上架文件一致性检查

## 1. 隐私政策 vs 产品实际
- 缺失场景：
- 无业务支撑条款：
- 过度承诺：

## 2. 隐私政策 vs SDK / 权限清单
- 未披露 SDK：
- 权限用途不一致：
- 第三方链接缺失：

## 3. 用户服务协议 vs 产品规则
- 账号注销：
- 用户行为规则：
- 服务变更和终止：

## 4. 儿童个人信息保护判断
- 是否触发：
- 判断依据：
- 待确认事项：

## 5. 上架前人工复核
- 需要产品确认：
- 需要研发确认：
- 需要法务确认：

免责声明

本内容为 AI 法律工作流方法和实验记录，不构成正式法律意见，也不替代法律专业人士基于完整事实、具体产品场景和适用法律所作出的独立判断。APP 上架文件应以真实业务、实际技术实现、应用商店要求和最终人工复核为准。