支付宝小程序：小程序用户信息授权设计规范

小程序用户信息授权设计规范

产品 Demo 要求

1. 小程序向支付宝申请能力开放的行业和场景必须真实有效，不得将能力使用在未在申请中明确描述的其他行业；在申请获取开放能力许可后，小程序行业有所变更的，应及时向支付宝重新申请能力开放。?

2. 在向支付宝申请能力开放时，只能申请用户可以使用相关功能的最少信息，如：仅电子政务服务和其他强实名认证场景方可申请用户证件号码能力开放。

提交 Demo 内容需要与实际业务场景一致。风险提示：

• 上传DEMO与业务场景无关的，则在用户信息字段开放申请时不予通过。

• 在用户信息授权的关键环节，最后实际上架小程序须与 Demo 保持一致，上架小程序实际页面与 Demo 差别过大或完全不相关的，可能会导致小程序上架申请不通过。

1. 获取用户信息前，小程序应以授权弹窗等形式明确获取用户授权，授权文案中需要明确以下信息：用户授权的应用或商户名称，用户授权的具体信息描述。

Demo 需要明确展示具体获取个人信息的授权页面，授权页面上的文案需要与实际申请的开放能力、小程序应用名称保持一致。

1. 只有在必须需要用户信息的场景，才可以要求用户进行信息授权，典型场景如下：

   • 不得在非用户信息必须场景下要求用户进行信息授权。

     例如：机票查询时不得要求用户授权手机号或证件号码，仅在机票预订环节方可要求用户进行信息授权。

   • 不得强制用户进行捆绑授权：若同一个小程序提供多项服务且每项服务所需的用户信息不完全相同，那么用户使用其中一项服务只需要授权该服务所需的用户信息，小程序不得强制要求用户授权与所使用服务无关的用户信息。

     例如：当小程序同时提供会员登录和资产认证服务时，会员登录仅需要用户手机号码，而资产认证需要验证用户的证件号码，小程序不得在用户进行会员登录时即要求用户同时授权手机号码和证件号码信息给到小程序。

   • 用户拒绝授权后，不可以循环跳出授权弹窗要求，导致用户无法退出或继续使用小程序其他非用户信息必须的基本功能。

Demo 和申请描述需要明确展示授权页面的触发条件和拒绝后的产品逻辑，主要包括：

• 触发用户信息授权弹窗之前的产品页面。

• 用户点击拒绝后小程序的处理和呈现页面。

从支付宝申请会员能力开放和移动端组件、权限开放能力的小程序Demo设计必须包括关键内容：

• 授权前小程序页面（授权弹窗触发页面）。

• 授权弹窗页面，包括授权文案详细。

• 用户授权后小程序展示页面。

• 用户拒绝授权后小程序展示页面。

1. 不得强制要求用户进行信息授权，不授权则导致用户无法体验任何功能，小程序需要保留用户拒绝授权的权利，如：当用户拒绝地理位置授权时，可以让用户自行定位并选择所属城市；或允许用户使用其他非地理位置必须的功能。

1. 用户授权体验：

   • 不得首屏弹窗：在用户刚进入小程序，尚未使用任何小程序功能时，不得要求用户进行敏感信息授权。

   • 用户拒绝授权后，不可以在非用户信息必须的场景下，重复跳出授权弹窗要求用户进行授权，造成过度用户打扰。

   • 在需要获取多个用户信息或多个移动端权限时，需要注意用户授权弹窗应该清晰地进行展示，授权弹窗之间不得相互重叠或相互覆盖。