App个人信息保护常见问题及处置指南.docx

1范围12App个人信息保护十大常见问题及处置指南12.1 未说明收集使用的个人信息目的、类型、方式 12.2 隐私政策未征得用户明示同意 32.3 超范围收集32.4 强制捆绑授权62.5 未经用户同意收集个人信息 72.6 申请权限或收集个人敏感信息未同步告知目的92.7 实际收集使用个人信息行为与声明不一致 102.8 未经同意向第三方提供个人信息 122.9 未提供删除、更正或投诉举报的功能或渠道 132.10 未提供有效的注销用户账号途径 15参考文献 182）翻开或关闭Wi-Fi、蓝牙、GPS等；3）拍摄、录音、截屏、录屏等；4）读写用户短信、联系人等个人信息。e）不应隐蔽收集个人信息，当录音、拍摄、录屏、定位等敏感功 能在后台执行时，应采用显著方式（如图标闪烁、状态栏提示、自定 义提示条等）提示用户。f）不应在用户不知情或未授权的情况下，通过号。式读取并上 传剪切板中包含的个人信息和公共存储区中的区履济“g）对于用户直接向第三方提供个人每翻蟒笊不私自收集用户 直接向第三方提供的个人信息。2.6 申请权限或收集个人敏感信J窿同步£知目的问题描述App申请权限或申请权限或收集仝人毓筋息时，未同步告知收集目的，或目的描述情形步告知个人敏感信息收集目的。收集身份证件号码、 银行账户、个人生物识别信息等个人敏感信息时，未同步告知用户其 目的。例如App收集面部识别特征前未展示单独协议或进行显著特 殊说明，在用户点击“继续”后，App在无任何提示的情况下便开始采 集用户的面部识别特征。情形二：未告知权限申请目的。App申请权限时未同步告知权限 的申请目的，例如仅通过操作系统弹窗向用户申请权限，且未告知权限申请目的。情形三：目的告知不明确。目的描述不明确、难以理解，例如将 目的描述为“为保证某某权限相关功能的正常使用”、“为了保证App 正常运行”、“为了提高用户体验”等，未具体明确地说明权限的使用 目的。2.6.1 处置指南该问题的处置建议，包括但不限于：、厂'a）收集个人生物识别信息前，单独向用户告如个人生物识别信息的目的、方式和范围，以及存逑呦萨并征得用户 的明示同意。b）收集身份证号、银行账虫布函费等个人敏感信息时，同步 告知用户收集使用目的，楚管易于理解。c）申请权限时应熊克索黄申请目的，目的明确且易于理解， 不包含任何欺诈式赢鑫导用户授权的描述。作系统提艮申请弹窗中编辑具体明确的申请目的；权限申请系 统弹窗中无法编辑目的的，建议通过App弹窗提示等方式，向用户告 知权限的申请目的。2.7 实际收集使用个人信息行为与声明不一致271问题描述App实际收集使用个人信息行为与声明不一致，是指App实际 收集使用的个人信息超出用户授权范围，或实际行为与其所声明的隐私政策等收集使用规那么存在偏差、不一致，其典型问题情形包括但不情形一：实际收集使用个人信息的范围与隐私政策所述不一致。 例如，实际收集使用个人信息范围超出隐私政策所述，即实际提供的 个人信息未在隐私政策中或以其他形式说明；实际收集使用个人信息 的范围少于隐私政策所述，即声明了实际并未提供的个人信息、权限 或并未提供的业务功能。 70情形二：故意欺瞒、掩饰收集使用个人号量赢微的，诱骗用 户同意收集个人信息或申请翻开权限。象也人为由申请通 讯录权限，用户翻开权限后上传整盘箭费翔将该类信息用于发送 商业广告或其它目的；又如通当噪修、优惠等方式欺骗误导用 户提供身份证号码以及 花息。情形三：隐私哽睥麟明显偏差、错误。即隐私政策所述与 实际情况存在明显藁叁误，甚至出现大篇幅抄袭导致隐私政策内2.7.2 处该问题的处置建议，包括但不限于：a）实际提供的个人信息类型、申请翻开可收集使用个人信息的权 限、提供的业务功能等，与隐私政策等收集使用规那么中相关内容一致, 不超出隐私政策等收集使用规那么所述范围。b）严格遵守隐私政策等收集使用规那么，App收集或使用个人信息的功能设计同隐私政策保持一致、同步调整。c）明示收集使用个人信息的目的需真实、准确，不故意欺瞒、掩 饰收集使用个人信息的真实目的，不诱骗用户同意收集个人信息或打 开可收集个人信息权限。2.8 未经同意向第三方提供个人信息问题描述App未经同意向第三方提供个人信息，是指App未经用户同意， 也未做匿名化处理，私自将其他第三方应用或服务岁舞共享个人 信息，其典型问题情形包括但不限于：情形一 ：App未经同意直接向第节或步卷息。例如存在 App客户端直接向第三方服务器传瞥如设备识别信息、商 品浏览记录、搜索使用习惯、善您列表等），或者数据传输 至App后台服务器后，空其提供的个人信息等行为，但 未在隐私政策中说警著方式明示用户，或未经用户授权同 意,也未做匿华觥犷情嵌解K未经同意向第三方提供个人信息。例如存在 嵌入的马、插件将个人信息传输至第三方服务器的行为，但 未在隐私政策中说明或以其他显著方式明示用户，或未经用户授权同 意，也未做匿名化处理。2.8.1 处置指南该问题的处置建议，包括但不限于：a）如存在从客户端直接向第三方发送个人信息的情形，包括通过 客户端嵌入第三方代码、插件（如SDK）等方式向第三方发送个人信息的情形，需事先征得用户同意，经匿名化处理的除外。b）如个人信息传输至服务器后，App运营者向第三方提供其收集 的个人信息，需事先征得用户同意，经匿名化处理的除外。c）如向第三方传输的个人信息类型、接收数据的第三方身份等发 生变更的，需以适当方式通知用户，并征得用户同意。d）如App接入第三方应用，当用户使用第三方应用时，需在征得方提供后，自行以主动填写等方式向第三方直接密e） App提供者宜对于接入的第三方通即|信息的合法、正当、必要性等方面进行审核，并明确标g） App宜对第三2入第三方代码贿用户同意后，再向第三方应用提供个人信息。当用户获知应用为第三f）用户跳转至第三方应用时使用规贝h使用的权限进行审核，要求引限最小化。孥商功能为第三方提供。 '户关注第三方应用的收集At检测、平安审计等手段，确保第三方代码或插h）f件收集、符合约定要求。2.9 未提供删除、更正或投诉举报的功能或渠道问题描述App未提供删除、更正或投诉举报的功能或渠道，是指App未 提供有效且能及时响应的删除、更正或投诉举报的功能或渠道，或设 置不合理条件，其典型问题情形包括但不限于：情形一：无法删除个人信息或设置不合理条件。例如，App未提供有效的个人信息删除功能或渠道；为删除个人信息设置不合理条件；未按相关要求或约定时限响应用户删除个人信息请求等。情形二：无法更正个人信息或设置不合理条件。例如，App未提 供有效的个人信息更正功能或渠道；为更正个人信息设置不合理条 件；未按相关要求或约定时限响应用户更正个人信息请求；用户已完 成更正个人信息操作，但App后台并未完成的等。情形三：未提供个人信息申诉渠道或用户申诉机。例如， 未建立并公布个人信息平安投诉、举报渠道，或蠢诵繇艮内（承 诺时限不得超过15个工作日，无承诺时髀螳洛个工作日为限） 受理并处理的。2.9.1 处置指南该问题的处置建议，翎赢承率：Illib）宜提供俨专颦式及时响应个人信息更正、删除请求，需人 工处理徐限内（承诺时限不得超过15个工作日，无承诺 时限的飞展耻作日为限）完成核查和处理。c）更正和删除个人信息的功能应简单易操作，不设置不必要或不合理的条件。d）用户更正、删除个人信息等操作完成时，App后台及时执行完 成相关操作，因法律法规规定需要留存个人信息的，不再将其用于日 常业务中。e）建立并公布可受理个人信息平安问题相关的投诉、举报渠道,受理可采取在线操作、客服 、电子邮件等方式。f）妥善受理用户关于个人信息相关的投诉、举报，并在承诺时限 内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为 限）受理并处理。2.10 未提供有效的注销用户账号途径问题描述App未提供有效的注销用户账号途径，是指Ap叱秽供有效的账号的功能或渠道；通过App客服 等渠道提交注情形一：无法注销或未按要求举律龈/App未提供注销用户在承诺时限内（不超日）完成核查和处理；注销成功后,销申请后，未按相关要求或约第完成注销；受理注销账户请求后，未未按相关要求或约定发澹户个人信息进行删除或匿名化处理（法律法 规另有用户难以找到注销入口，或注销操作流程非常 复杂不情形二：设置不合理的注销账号条件。例如：注销过程进行身份 核验时，要求用户提交超过App注册、使用时提供的个人信息类型 （如注册使用时未提供身份信息，但是注销时要求提供手持身份证照 片、绑定银行卡等）；对于采用同一账号注册登录多个App的情形, 注销或退出单个App将导致其他无必要业务关联的App不能使用； 要求用户填写精确的历史操作记录作为注销的必要条件等。2.10.1 处置指南该问题的处置建议，包括但不限于：a）提供简便易操作的注销功能或渠道，假设有可能宜在应用或网站 上设置便捷的交互页面提供在线注销功能，且注销入口易于访问，注 销状态易于查询。b）不设置不合理的注销条件，不响应账号注销请求的情形不超过 GB/T 35273-2020信息平安技术个人信息平安规范枣注e）给出的 情形。注：如用户自愿选择放弃账号下相应权益（如XX 眩聋啜r,假设有可能宜允许 用户注销账号。c）注销过程如需进行身份核验提供超出注册、使用 等服务环节提供的个人信息类学帘修3时要求额外提供手持身 份证照片、银行卡绑定、我曲瞬"d）制定并公开疗颓疑，明示账号注销的条件、后果、方法、 流程等信息。注：信息保护政策的章节，也可制定单独的注销协议。注销请求，需要人工处理的，在承诺时限内（不 超过15个完成核查和处理。f）用户注销后的数据处理，建议：1）注销后停止对用户个人信息的收集和使用，并按照相关要 求和约定删除其个人信息或匿名化处理；2）因法律法规规定需要留存个人信息的，将其隔离存储，不再将其用于日常业务活动中;3）注销时因验证用户身份所提供的个人敏感信息，完成用户 身份验证后立即删除或匿名化处理。g）多个App共用一个账号体系时,单个App注销建议：1）用户可退出或注销单个App,且不影响无必要业务关联App 的正常使用；2）提供解除单个App用户账号使用关系等措施实现注销，并 对该App账号以外其他个人信息进行删医©）3）如多个App之间存在必要业务关联好需在 注销前向用户详细说明账号销条件、注销 后果等信息。注：存在必要业务关联，是指如一蟹嘛举弁4漓的账号，将会导致其他App的必 要业务功能无法实现或者服务雇蟒石露。参考文献1国家标准信息平安技术 移动互联网应用程序（App）收集个人信息基本规范（征求意见稿）.2020-01-20.2中国电子技术标准化研究院.App个人信息保护合规十大常见问 题及处置策略.2019-10-25.3 App专项治理工作组.App申请权限时告知目的，是眺一举吗？.2019-06-25.1范围本实践指南给出了当前Appi个人信息保护十大常见问题及典型 问题情形，同时给出了问题相应的处置建议。本实践指南适用于App提供者防范和处置个人信息保护常见问 题，也可为App开发者、移动互联网应用分发平台运营者和移动智 能终端厂商提供参考。2 App个人信息保护十大常见问题及处置指南未说明收集使用的个人信息目的、类型方式/2.1.1 问题描述App未说明收集使用的个人信息目的/类型、方式，是指未逐一 列出App （包括委托的第三方或嵌入的第三方代码、插件）收集使用 个人信息的目的、方式和范围等，其典型问题情形包括但不限于：情形一：使用概括性描述或不完整列举收集个人信息的业务功能 及收集个人信息的目的、类型、方式。例如使用“等、例如”等方式不 完整列举个人信息收集类型。情形二：未列出嵌入的第三方代码、插件收集使用个人信息的目 的、类型、方式。App嵌入了收集用户个人信息的第三方代码或插件 （如第三方SDK）,但未通过隐私政策或其他显著方式（如第三方 代码或插件隐私政策链接）向用户明示第三方代码或插件的个人信息 收集使用行为。1本实践指南中的App是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的 应用软件。情形三：未列出委托的第三方收集使用个人信息的目的、类型、方式。App委托第三方进行个人信息处理，未通过隐私政策或其他方 式向用户明示委托第三方的个人信息收集使用行为。以适当方式通知用户。例如未及时更新隐私政策，或未提醒用户阅读处置指南该问题的处置建议，包括但不限于:a）完整、清晰、区分说明各业务功能所”加州信息。宜根据用户使用习惯逐项说明各业务功能收集而於息的目的、类型、方式, 防止使用“等、例如”等方式b）使用Cookie等同类技术（包括脚本、Clickstream、Web信标、 Flash Cookie内嵌”忒链够;收集个人信息时，简要说明相关机 制，以及收集个多小耍嫡的、类型。插件（如SDK）收集个人信息，说明第三方代吸1 缪类型或名称,及收集个人信息的目的、类型、方式。d）如存在委托第三方处理个人信息、，说明委托第三方的类型或身 份、涉及的个人信息类型、委托处理目的等。e）收集使用个人信息的目的、方式、范围发生变化时，更新隐私政策等收集使用规那么，并以推送消息、邮件、弹窗、红点提示等方式 提醒用户阅读发生变化的条款。2.2 隐私政策未征得用户明示同意221问题描述App隐私政策未征得用户明示同意，是指App采用默认选择同 意等非明示方式征得用户同意，其典型问题情形包括但不限于：情形二：默认勾选同意。例如，App在注下方“我已阅读并同意服务许可协议及隐私政策”前的匈提前替用户打情形一：未提示用户阅读隐私政策。未在用户首次使用或用户注 册时主动提示用户阅读隐私政策，或以缩小字号、减淡颜色、遮挡等 方式诱导用户略过隐私政策链接。该问题的处置建议;不限于:a）为用户提同意、或显著提醒用户阅读后同意隐私政处置指南策的选项勾选框形式征得同意的，不默认勾选同意。亍App或用户注册时，主动提示用户阅读隐私政策。如通过弹窗等形式主动展示隐私政策的主要或核心内容，帮助用户理 解收集个人信息的范围和规那么进而做出决定。2.3 超范围收集问题描述App超范围收集，是指违反必要原那么，收集与业务功能无关的个 人信息，或收集个人信息的范围、频度等超出实现App业务功能实际需要，其典型问题情形包括但不限于:情形一：收集无关个人信息。提供的个人信息类型与App提供 的业务功能无关，例如未提供短信功能的App读取短信数据。情形二：强制收集非必要个人信息。因用户不同意收集非必要个诱导或强制采集个人生物识别信息、手持身钛阖诱导或强制采集个人生物识别信息、手持身钛阖济等个人敏感信息，如可以通过密码方式验证而确”安冷等 识别或人脸识别的方式验证。，却诱导用户使用指纹情形三：过度索权。您索取权限3,例如：申请翻开与人信息，App拒绝提供业务功能。例如：因用户拒绝提供某服务类型 最小必要个人信息2以外的信息，App拒绝提供该类型服务基本业务 功能；仅以改善服务质量、提升用户体验、定向推送信息壬研发新产 品等为由，强制要求用户同意收集个人信息；在百绝提供时，提业务功能；App在用户未使用相关功能或服务通讯录、位置、短信、麦克风、相机等权限。App所提供业务功育呼美的野；App安装和运行时，向用户申请当 前服务类型非必鬟薪短篇1拒绝授权申请后，App退出、关闭或拒情形注：服务类型的必要系统权限，可参考信息平安技术移动互联网应用程序（App） 收集个人信息基本规范的常见服务类型最小必要个人信息进行判断。:收集时机和频度不合理。例如：收集个人信息的频度超 出App业务功能实际需要，特别是在静默状态或在后台运行时，收 集个人信息的频度和数量超出业务需要，如预订车票功能场景下每12最小必要个人信息，是指保障某一服务类型正常运行最少够用的个人信息，一旦缺少将导致该服务类型 基本业务功能无法实现或无法正常运行。3本实践指南中的“权限”指“可收集个人信息权限”。秒上传一次用户精确定位信息；用户关闭App后，App未经用户同 意通过自启动、关联启动方式收集个人信息。2.3.1 处置指南该问题的处置建议，包括但不限于：a）结合实际的业务功能和场景所需，App提供的个人信息类型应 与业务功能有直接关联，不收集与所提供业务功能无关的个人信息。c）参考信息平安技术移动互联网成App）收集个人信息基本规范，明确App所提供的服龄:最小必要个人信息范b）遵循最小必要原那么，仅申请App业务功能所"眇限，不申 请与App业务功能无关的权限（即使用户可选疑注1：信息平安技考 了常见服务类学时注2：网络安£标法围，且不因用户拒绝提供最小烂个超息以外的信息，拒绝提供该 类型服务的基本业务功能。方承因界感的程序（App）收集个人信息基本规范，给出 小瀛不人信息。实践指南一移动互联网应用程序（App）系统权限申请使用指 买的业务功能例如，及与常见服务类型相关程度较低，不建议d）如色或撤回授予某服务类型非必要系统权限，App不应 强制退出或关闭，且不影响与此权限无关的业务功能使用。e） App所需的权限应在对应业务功能执行时动态申请，在用户未 触发相关业务功能时，不提前申请与当前业务功能无关的权限。f）权限申请获得授权后，自动采集个人信息的频率应在实现App业务功能所必需的最低合理频率范围内，且仅访问满足业务功能需要 的最少个人信息。g）除为满足法律法规规定、保护公共利益和个人重要人身财产权 利之外，App开展业务活动时不应限定使用个人生物识别信息作为唯 一实现业务目标的方式。2.4 强制捆绑授权问题描述App强制捆绑授权，是指以捆绑、频繁打搅等不合理方式征得用 户同意收集个人信息或申请系统权限，其典型问题括但不限 于：情形一：要求用户一次性同意翻开多个可收集个人信息权限，用 户不同意那么无法安装或使用。例女时，以捆绑打包用，安装完成后申请的所有权限"翻开（如Android版App设置targetSdkVersion 小于情形二：频底在用户明确拒绝权限申请后，频繁申请限骚扰口，对于用户可选提供的权限，在用户明确拒绝后， 每当其重新翻开App或进入相应界面，都会再次向用户索要或以弹 窗等形式提示用户缺少相关权限，干扰用户正常使用。情形三：以捆绑方式征得新增类型个人信息提供的同意。App新增业务功能申请提供的个人信息超出用户原有同意范围，假设用户不 同意，那么拒绝提供原有业务功能（新增业务功能取代原有业务功能的 除外）。2.4.1 处置指南该问题的处置建议，包括但不限于：a）安卓App的目标API等级应不低于23 （targetSdkVersion二23）, 目标API等级宜及时更新适配安卓新版本。注：截至本实践指南发布时，推荐设置目标API等级不低于28。b）App宜区分基本业务功能和附加业务功能，不通过捆绑服务类 型、捆绑基本业务功能和附加业务功能等方式，强制野求组户一次性 授权同意个人信息收集请求。c）对于仅为实现附加功能、个性化服如埠I#陶本验，同时又 并非App实现基本业务功能所必要的曲超超单独征得用户同 意,并保障用户可拒绝个人信息用户拒绝此类信息后不影响其正常使用App基华d）如用户明确拒期能所需权限，App不应频繁申请系 统权限干扰用户可露非由用户主动触发功能，且没有该权限 参与此业益喊）。“频繁”的形式包括但不限于：景在用户拒绝权限后，48小时内弹窗提示用户翻开限的次数超过1次；2）每次重新翻开App或使用某一业务功能时，都会向用户索 要或提示用户缺少相关系统权限。2.5 未经用户同意收集个人信息问题描述App未经用户同意收集个人信息，是指实际收集使用个人信息的行为未经用户同意或违背用户意愿，其典型问题情形包括但不限于:情形一：征得同意前开始收集个人信息。例如App首次运行时,用户点击同意隐私政策前已产生个人信息收集行为。后，仍收集相关个人信息。例如用户拒绝 权限后，仍存在收集IMEI行为。情形四：未征得用户同意读取剪切板区的个人信息。如银行类App未在隐私政策中说明会板内容，当用户翻开银行类App,提示用户是否向剪号转账的情形情形五：私自调用权限例如，使用相机、麦情形三：私自截留用户向第三方提供的个人信息易用户同意, 收集用户向第三方（包括接入的第三方应用）爆高芯篦息。克风、位置等敏感臂感信息时，在用户不知情情况下隐 蔽读取并上传就次*处掣旨用心俨该建议，包括但不限于：a）用户点击同意隐私政策前，不产生任何个人信息收集行为。b）将权限申请的触发时间点置于用户点击同意隐私政策后。c）如App不存在下载、读取外部存储文件的实际业务功能，可直接在App自有的目录下进行保存，不建议申请外部存储权限。d）以下操作应由用户主动触发，并在用户知情情况下执行：1）执行拨打 、发送短信等操作;