移動互聯(lián)網程序收集使用個人信息自評估使南(word版)

1、TG260-PG-20202A移動互聯(lián)網程序（App）收集使用個人信息自評估使南摘要2016年網絡安全法頒布，明確我國網絡安全保護的基本要求和制度， 并將個人信息保護問題作為網絡安全的重要內容予以規(guī)定。本實踐指南依據(jù)網絡安全法等法律法規(guī)要求，參照App違法違 規(guī)收集使用個人信息行為認定方法和有關國家標準，結合檢測評估工作經 驗，歸納總結出App收集使用個人信息的六個評估點：是否公開收集使用個人 信息的規(guī)則；是否明示收集使用個人信息的目的、方式和范圍；是否征得用戶 同意后才收集使用個人信息；是否遵循必要原則，僅收集與其提供的月辰務相關 的個人信息；是否經用戶同意后才向他人提供個人信息；是否提供刪

2、除或更正 個人信息功能，或公布投訴、舉報方式等信息，供App運營者自評估參考使 用。小程序、快應用等運營者也可參考其中的適用條款進行自評估。評估點一：是否公開收集使用個人信息的規(guī)則1.1是否公開隱私政策等收集使用規(guī)則一 a）隱私政策通過彈窗、文本鏈接、附件、常見問題（FAQs）等界面或形式 展示。b）隱私政策中包含收集使用個人信患規(guī)則的相關內容。c）隱私政策文本鏈接有效，文本可正常顯示。d）如存在涉及收集使用兒童個人信息相關業(yè)務功能的，需制定針對兒童的 個人信息保護規(guī)則。注1：詳見2019年國家互聯(lián)網信息辦公室令（笫4號）兒童個人信息網絡保護規(guī)定。注2：例如收集不滿十四周歲的未成年人個人信息的

3、教育類APP，需制定針對兒童的個人 信息保護規(guī)則.1.2是否提示用戶閱讀隱私政策等收集使用規(guī)別a）在App首次運行或用戶注冊時主動提示用戶閱讀隱私政策。注：例如可采用通過彈窗、突出鏈接等主動方式提示用戶閱閱讀隱私政策.。b）避免使用不明顯的方式展示隱私政策鏈接，導致用戶不易發(fā)現(xiàn)隱私政 策。注：例如采用與背景色相近的字體、刻意縮小字號、彈出鍵盤遮擋、置于邊緣等為不明 顯方式展示隱私政策鏈接。1.3隱私政策等收集使用規(guī)則是否易于訪問a）用戶進入主功能界面后，通過4次（含）以內的點擊等操作，能夠訪 問到隱私政策。b）盡可能在界面的固定路徑展示隱私政策（或其鏈接），以便用戶隨時訪 問和獲取，避免僅在注

4、冊/登錄界面展示隱私政策鏈接，或只能以咨詢客服等方 式查找隱私政策等情形。注1：例如遏過“我一設置-關于”或者“我的一設置一隱私“等用戶熟悉路徑展示隱私 政策.不頻繁變更展示隱私政策的路徑。注2：在首次展示隱私政策時，宜說明查找隱私政策的方法、珞徑。c）隱私政策以單獨成文的形式發(fā)布，而不是作為用戶協(xié)議、用戶須知等 文件中的一部分存在。注：如果因展示條件等特殊原因使用用戶協(xié)議、用戶須知等文件描述個人信怎敢收集使 用規(guī)則，則盡可能以顯著標識并以連續(xù)篇幅呈現(xiàn)。1.4隱私政策等收集使用規(guī)則是否易于閱讀a）隱私政策文本文字顯示方式不會造成閱讀困難。注1：例如可采取與App其他界面等同的樣式。注2：例如文

5、本字號過小、顏色與背景色相近，行間距過密、字跡模糊、列寬大干手機屏 幕等易造成閱讀困難。B）提供簡體中文版隱私政策。C）隱私政策內容使用標準化的數(shù)字、圖示，采用通用的語言習慣，避免誤用概念、術語或存在有歧義的語句等。1.5公開的收集使用規(guī)則是否完整a）對App運營者基本情況進行描述，至少包括組織名稱、注冊地址或常 用辦公地址、個人信息保護工作機構或相關負責人聯(lián)系方式。b）說明隱私政策的發(fā)布、生效或更新曰期。c）說明收集使用個人信息的目的、方式、范圍。注：詳見本實踐指南2.1節(jié).d）對個人信息存放地域（境內、境外哪個國家或地區(qū)）、存儲期限（法律規(guī)定范圍內最短期限或明確的期限）、超期處理方式進行說

6、明。e）如果將個人信息用于用戶畫像、個性化展示等，說明其應用場景和可 能對用戶權益產生的影響。注：如部分業(yè)務功能不涉及用戶甚像、個性化展示，可在規(guī)則中明確說明。f）如果存在個人信息出境情形，說明出境個人信息類型并顯著標志。注：例如可采用字體加粗、標星號、下劃線、斜體、不同顏色等顯著標識方式。g）對個人信息保護方面采取的措施和具備的能力進行說明。h）如果存在個人信息對外共享、轉讓、公開披露的情況，說明以下內容：對外共享、轉讓、公開披露個人信息的目的；涉及的個人信息類型； 接收方類型或身份。i）對以下用戶權利和相關操作方法進行說明：個人信息查詢；個人信息更正；個人信息刪除；用戶賬號注銷；撤回已同意

7、的授權。j）至少說明以下一種投訴、舉報渠道：電子郵件；電話； 在線客 服；在線表單；即時通信賬號。注：本節(jié)相關定義和內容可參考GB/T35273-2020信息安全技術個人信息安全規(guī)范5.5 節(jié)。評估點二是否明示收集使用個人信息的目的、方式和范圍2.1是否逐一列出收集使用個人信息的目的、方式、范圍等a）完整、清晰、區(qū)分說明各業(yè)務功能所收集的個人信息。宜根據(jù)用戶使用習慣逐項說明各業(yè)務功能收集個人信息的目的、類型、方式，避免使用 “等、例如”等方式不完整列舉。注：業(yè)務功能通常是指App為面向用戶的具體使用需求所提供的一類完整的取務類型，如 地圖導航、網絡約車、即時通信、網絡支付、新聞資訊、網上購物、

8、短視頻、快遞物流、餐飲 外賣、交通票務、婚戀相親、房產租賃、求職招聘、網絡借貸等。b）使用Cookie等同類技術（包括腳本、Clickstream、Web信標、FlashCookie、內嵌Web鏈接等）收集個人信息時，簡要說明相關機制，以及收 集個人信息的目的、類型。c）如嵌入的第三方代碼、插件（如SDK）收集個人信息，說明第三方代碼、插件的類型或名稱，及收集個人信息的目的、類型、方式。注：例如可采用隱私政策、彈窗提示、文字備注、文本鏈接等方式說明。2.2收集使用個人信息的目的、方式、范圍發(fā)生變化時是否通知用戶a）收集使用個人信息的目的、方式和范圍發(fā)生變化時，以適當方式遽知用戶。注：例如可采用

9、更新隱私政策等收集使用規(guī)則并以推送消息、郵件、彈窗、紅點提示等方 式提醒用戶閱讀發(fā)生變化的條款。2.3是否同步告知申請打開權限和要求提供個人敏感信息的目的a）在申請打開可收集個人信息權限時，通過顯著方式同步告知用戶其目的，對目的的描述明確、易懂。注1：常見可收集個人信患權限類型有：iOS系統(tǒng)：定位、遏訊、日歷、提醒事項、照片、麥克風、相機、健康等；Android系統(tǒng)：日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信、 存儲等。注2：例如可采用彈窗提示、用途描述等顯著方式告知。b）在要求用戶提供個人敏感信息時，通過顯著方式同步告知用戶其目的，對目的的描述明確、易懂。注1：個人敏感信

10、息定義見GB/T35273-2020信息安全技術 個人信息安全規(guī)范3.2 節(jié)。注2：例如可采用彈窗提示、用途描述等顯著方式告知。2.4收集使用規(guī)則是否易于理解a）有關收集使用規(guī)則的內容需簡練、結構清晰、重點突出。注：例如使用晦澀難懂的詞語，冗長繁瑣的篇幅，大量專業(yè)用語、邏輯結構混亂等易造 成用戶難以理解.評估點三：是否征得用戶同意后才收集使用個人信息3.1收集個人信息或打開可收集個人信息權限前是否征得用戶同意a）收集個人信息前提供可由用戶自主作出同意或不同意的選項.注：例如提供“退出”、“上一步“、“關閉”、“取消”的按紐等方式洪供用戶作出不間 意的選項。b）未征得用戶同意前，不收集個人信息或

11、打開可收集個人信息的權限。注1：例如用戶首次使用App時，在未得知收集個人信息的目的并作出同意前，App就開 始收集個人信息的行為屬于未征得用戶同意收集個人信息。注2：相關定義和內容可參考GB/ T 35273-2020信息安全技術個人信息安全規(guī)范5.4 節(jié)。c）未征得用戶同意前，不利用Cookie等同類技術或通過調用可收集用戶個人信息的權限、接口等方式收集個人信息.3.2用戶明確表示不同意收集后是否仍收集個人信息a）用戶通過拒絕提供個人信息、不同意收集使用規(guī)則、拒絕提供或關閉權限等操作，明確表示不同意收集某類個人信息后，不以任何形式收集該類個 人信息或打開該類可收集個人信息權限.3.3用戶明

12、確表示不同意收集后是否頻繁征求用戶同意、干擾用戶正常使 用a）用戶明確表示不同意收集后，不在每次重新打開App、或使用某一業(yè)務 功能時，向用戶頻繁詢問（如48小時內詢問超過一次）是否同意收集該類個人 信患。b）用戶明確表示不同意打開某類可收集個人信息權限后，不在每次重新 打開App、或使用某一業(yè)務功能時，向用戶頻繁詢問（如48小時內詢問超過一 次）是否同意打開該類可收集個人信息權限。注：為支持App正常運行，或用戶主動選擇使用的某一具體功能觸發(fā)征得同意的動作，不 屬千頻繁干擾情形。例如用戶拒絕授權“相機”權限后的48小時內，主動選擇使用拍攝、掃 碼等功能時，App再次申請打開該權限的情形 不屬

13、于頻繁干擾。3.4實際收集的個人信息是否超出用戶授權范圍a）收集使用個人信息的過程需與其所聲明的隱私政策等收集使用規(guī)則保 持一致。實際收集的個人信息類型、申請打開可收集使用個人信息的權限等與 隱私政策等收集使用規(guī)則中相關內容一致，不超出隱私政策等收集使用規(guī)則所 述范圍。3.5是否以默認選擇同意隴隱私政策等非明示方式征求用戶同意a）在首次運行、用戶注冊等時，可通過彈窗、突出鏈接等明示方式提醒 用戶閱讀隱私政策后征求用戶同意，不采用默認勾選隱私政策等非明示方式。b）通過設置“下一步”注冊”登錄即代表同意“等方式征求用戶同意的情形，除以顯著方式展示隱私政策等收集使用規(guī)則外，還需明確執(zhí)行上述 動作與同

14、意隱私政策之間的邏輯關系，以達到主動提醒用戶主動閱讀隱私政策 后征求用戶同意的效果。注：隱私政策等收集使用規(guī)則未發(fā)生變化時無需反復征求用戶同意。如App更新后，隱 私政策無變化時，無需再次征求用戶同意隱私政策。3.6是否未經用戶同意更改其設胃的可收集個人信息權限狀態(tài)a）未經用戶同意，不私自更改用戶設置的可收集個人信息權限和收集使 用個人信息相關功能的狀態(tài)。注：例如未經用戶同意，在更新升級后，將用戶設置的可收集個人信息權 限恢復到默認 狀態(tài)，或將用戶已關閉的使用通訊錄匹配好友等功能重新打開。3.7存在定向推送信息情形的是否提供非定向推送信息的選項a）存在利用用戶個人信息和算法定向推送信息情形時（

15、包括利用個人信 息和個性化推薦算法等推送新聞和信息、展示商品，推送廣告等），需為用戶提 供拒絕接收定向推送信息，或停止、退出、關閉相應功能的機制，或不基于個 人信息和個性化推薦算法等推送的模式、選項。注：相關定義和內容可參考GB/T35273-2020信息安全技術個人信息安全規(guī)范7.5 節(jié)。3.8是否以不正當方式誤導用戶同意收集個人信息a）明示收集使用個人信息的目的需真實、準確。不故意欺瞞、掩飾收集 使用個人信息的真實目的，不誘騙用戶同意收集個人信息或打開可收集個人信 息權限。注：例如App提示用戶打開通訊錄權限以參與紅包、金幣、抽獎等活動。事實上，通訊錄 權限與上述活動之間毫無關聯(lián)，App誘

16、騙用戶打開通訊錄權限后，立即上傳用戶通訊錄信息， 并將該類信息用于發(fā)送商業(yè)廣告或其它目的。3.9是否向用戶提供撤回同意收集個人信息的途徑、方式a）向用戶提供撤回同意收集個人信息的途徑、方式，并在隱私政策等收 集使用規(guī)則中予以明確。b）如用戶拒絕或撤回特定業(yè)務功能收集個人信息的同意時，除非用戶拒 絕或撤回的個人信息是其他業(yè)務功能所必需，否則不暫停其他業(yè)務功能，或降 低其他業(yè)務功能的服務質量。c）如用戶拒絕或關閉可收集個人信息權限時，不影響用戶正常使用與該 權限無關的業(yè)務功能，除非該權限是保證App正常運行所必需。注1：相關定義和內容可參考GB/T 35273-2020信息安全技術個人信息安全規(guī)范

17、8.4 節(jié)。注2：如用戶需要撤回對同意App收集使用其所有個人信息的授權，可采取注銷賬號等方 式執(zhí)行。3.10是否違反其所聲明的收集使用規(guī)則a）開展個人信息處理活動需嚴格遵循所公開的隱私政策等收集使用規(guī) 則，并遵守與用戶的約定；如個人信息使用目的、方式、范圍等發(fā)生變化的， 需再次征得用戶同意。評估點四：是否遵循必要原則，僅收集與其提供的服務相關的個人信息4.1是否收集與業(yè)務功能無關的個人信息a）不收集與業(yè)務功能無關的個人信息。b）不申請打開與業(yè)務功能無關的可收集個人信息權限。4.2用戶是否可拒絕收集非必要信息或打開非必要權限a）收集與業(yè)務功能相關但非必要的個人信息或申請打開相關但非必要的 可收

18、集個人信息權限時，需由用戶自主選擇同意，如用戶不同意，不影響其使 用現(xiàn)有業(yè)務功能或相關服務。b）不將同意收集其他業(yè)務功能所需的個人信息或同意打開其他業(yè)務功能 所需的可收集個人信息權限，作為用戶使用當前業(yè)務功能的前提條件。c）如提供無需注冊即可使用的服務模式（如僅瀏覽、游客模式），當用戶 拒絕同意該類服務模式以外的個人信息收集行為時，不影響其使用僅瀏覽等功臺匕能匕。注1:必要信息指與此務功能直接相關的個人信息。缺少該個人信息則無法提供最基本的 服務。必要信息范圍可參考信息安全技術移動互聯(lián)網應用程序（App）收集個人信息基本規(guī) 范，如果業(yè)務類型不在該標準內，則可根據(jù)其業(yè)務特點，參考該標準相關定義和

19、理念6自行分 析。注2：相關內容和實踐案例可參考GB/T 35273-2020信息安全技術個人信息安全規(guī)范 5.3節(jié)及其附錄C。4.3是否以非正當方式強迫收集用戶個人信息a）根據(jù)用戶主動填寫、點擊、勾選等自主行為，作為各個業(yè)務功能收集使用個人信息的前提條件。b）新增業(yè)務功能申請收集的個人信息超出用戶原有同意范圍時，不因用 戶拒絕新增業(yè)務功能收集個人信息的請求，拒絕提供原有業(yè)務功能，新增業(yè)務 功能取代原有業(yè)務功能的除外。c）不僅以改善服務質量、提升使用體驗、研發(fā)新產品、定向推送信息、 增強安全性等為由，強制要求個人信息主體同意收集個人信息。d）不以捆綁方式強制要求用戶一次性同意打開多個可收集個人

20、信息權 限。注：例如將安卓版App的TargetSdkVersion值設置低于23，通過聲明機制在安裝App時 要求用戶一次性同意打開多個可收集個人信息權限屬于捆綁方式。4.4收集個人信息的頻度是否超出業(yè)務功能實際需要a）收集個人信息的頻度不超出業(yè)務功能實際需要，在用戶使用某業(yè)務功 能過程中，僅收集與當前業(yè)務功能相關的個人信息。b）在App未打開或處于后臺運行狀態(tài)時，不收集用戶個人信息，除非業(yè) 務功能需要后臺運行時繼續(xù)提供服務，如導航功能等。注：在用戶主動關閉App后未經用戶同意不采用自啟動、關聯(lián)啟動方式收集個人信息。 接入第三方應用時，不私自截留第三方應用收集的個人信息。注：例如信息查詢.類

21、App。在用戶向第三方應用提交相關個人信息時，截留用戶個人信 息并上傳至其后端服務器的行為屬于私自截留個人信息。評估點五：是否經用戶同意后才向他人提供個人信息5.1向他人提供個人信息前是否征得用戶同意a）如存在從客戶端直接向第三方發(fā)送個人信息的情形，包括通過客戶端嵌入第三方代碼、插件（如SDK）等方式向第三方發(fā)送個人信息的情形，需事先 征得用戶同意，經匿名化處理的除外。b）如個人信息傳輸至服務器后，App運營者向第三方提供其收集的個人信 息，需事先征得用戶同意，經匿名化處理的除外。c）如向第三方傳輸?shù)膫€人信息類型、接收數(shù)據(jù)的第三方身份等發(fā)生變更 的，需以適當方式通知用戶，并征得用戶同意。注：“匿名化”的定義可參考GB/T 35273-2020信息安全技術個人信息安全規(guī)范3.14 節(jié)。d）向接入的第三方應用提供個人信息前是否經用戶同意。e）如App接入第三方應用，當用戶使用第三方應用時，需在征得用戶同 意后，再向第三方應用提供個人信息；當用戶獲知應用為第三方提供后，自行 以主動填寫等方式向第三方直接授權的除外。f）App運營者宜對于接入的第三方應用收集個人信息的合法、正當、必要 性等方面進行審核，明確標識相關業(yè)務功能為第三方提供，并提醒用戶關注第