2020移動互聯(lián)網應用程序（App）個人信息保護常見問題及處置指南

移動互聯(lián)網應用程序（App）個人信息保護常見問題及處置指南2020IVIV目 錄范圍 1App個信保十常見題處指南 1說收使的人信目、型方式 1私策征用明示意 3范收集 3制綁權 6經戶意集人信息 7請限收個敏感息同告目的 9際集用人息行與明一致 10經意第方供個信息 12提刪、正投訴報功或道 13未供效注戶賬途徑 15參考獻 18PAGEPAGE10范圍本實踐指南給出了當前App1個人信息保護十大常見問題及典型問題情形，同時給出了問題相應的處置建議。本實踐指南適用于App提供者防范和處置個人信息保護常見問題，也可為App開發(fā)者、移動互聯(lián)網應用分發(fā)平臺運營者和移動智能終端廠商提供參考。App未說明收集使用的個人信息目的、類型、方式問題描述App情形一：使用概括性描述或不完整列舉收集個人信息的業(yè)務功能及收集個人信息的目的、類型、方式。例如使用“等、例如”等方式不完整列舉個人信息收集類型。App（如第三方SDK），但未通過隱私政策或其他顯著方式（1本實踐指南中的App是指通過預裝、下載等方式獲取并運行在移動智能終端上、向用戶提供信息服務的應用軟件。情形三：未列出委托的第三方收集使用個人信息的目的、類型、方式。App委托第三方進行個人信息處理，未通過隱私政策或其他方式向用戶明示委托第三方的個人信息收集使用行為。等。處置指南該問題的處置建議，包括但不限于：使用Cookie（ClickstreamCookie（如隱私政策未征得用戶明示同意問題描述AppApp情形一：未提示用戶閱讀隱私政策。未在用戶首次使用或用戶注情形二：默認勾選同意。例如，App在注冊/登錄界面下方“我已閱讀并同意服務許可協(xié)議及隱私政策”前的勾選框中提前替用戶打鉤；注冊/登錄界面下方只給出隱私政策鏈接，并未說明注冊/登錄后是否視為同意隱私政策。處置指南該問題的處置建議，包括但不限于：App超范圍收集問題描述AppApp業(yè)務功能實際需要，其典型問題情形包括但不限于：情形一：收集無關個人信息。AppApp最小必要個人信息2以外的信息，App誘導或強制采集個人生物識別信息、手持身份證照片等個人敏感信情形三：過度索權。App超范圍索取權限3，例如：申請打開與App注：服務類型的必要系統(tǒng)權限，可參考《信息安全技術移動互聯(lián)網應用程序（App）收集個人信息基本規(guī)范》的常見服務類型最小必要個人信息進行判斷。App12最小必要個人信息，是指保障某一服務類型正常運行最少夠用的個人信息，一旦缺少將導致該服務類型基本業(yè)務功能無法實現(xiàn)或無法正常運行。3本實踐指南中的“權限”指“可收集個人信息權限”。秒上傳一次用戶精確定位信息；用戶關閉App后，App未經用戶同意通過自啟動、關聯(lián)啟動方式收集個人信息。處置指南該問題的處置建議，包括但不限于：App（。（App）App注1：《信息安全技術移動互聯(lián)網應用程序（App）收集個人信息基本規(guī)范》，給出了常見服務類型的最小必要個人信息。2：（App）AppApp強制捆綁授權問題描述App戶同意收集個人信息或申請系統(tǒng)權限，其典型問題情形包括但不限于：戶不同意則無法安裝或使用。App（AndroidApp設置targetSdkVersion小于23所致）。App每當其重新打開App或進入相應界面，都會再次向用戶索要或以彈窗等形式提示用戶缺少相關權限，干擾用戶正常使用。情形三：以捆綁方式征得新增類型個人信息收集的同意。App（除外）。處置指南該問題的處置建議，包括但不限于：安卓AppAPI目標API注：截至本實踐指南發(fā)布時，推薦設置目標API等級不低于28。App并非AppAppAppApp單個場景在用戶拒絕權限后，481每次重新打開App或使用某一業(yè)務功能時，都會向用戶索未經用戶同意收集個人信息問題描述App未經用戶同意收集個人信息，是指實際收集使用個人信息的行為未經用戶同意或違背用戶意愿，其典型問題情形包括但不限于：情形一：征得同意前開始收集個人信息。例如App首次運行時，用戶點擊同意隱私政策前已產生個人信息收集行為。后，仍收集相關個人信息。例如用戶拒絕電話權限后，仍存在收集IMEI行為。（情形四：未征得用戶同意讀取剪切板或公共存儲區(qū)的個人信息App銀行類App，提示用戶是否向剪切板中的賬號轉賬的情形。處置指南該問題的處置建議，包括但不限于：如App接在AppWi-FiGPS）申請權限或收集個人敏感信息未同步告知目的問題描述App申請權限或收集個人敏感信息未同步告知目的，是指AppApp“繼續(xù)App限申請目的。目的描述為“為保證某某權限相關功能的正常使用”、“為了保證App正常運行”、“為了提高用戶體驗”等，未具體明確地說明權限的使用目的。處置指南該問題的處置建議，包括但不限于：App實際收集使用個人信息行為與聲明不一致問題描述AppApp限于：情形一：實際收集使用個人信息的范圍與隱私政策所述不一致。戶同意收集個人信息或申請打開權限情形三：隱私政策所述存在明顯偏差、錯誤。即隱私政策所述與處置指南該問題的處置建議，包括但不限于：未經同意向第三方提供個人信息問題描述App未經同意向第三方提供個人信息，是指App情形一：App未經同意直接向第三方提供個人信息。例如存在App（至App情形二：內嵌SDK未經同意向第三方提供個人信息。例如存在處置指南該問題的處置建議，包括但不限于：（如息的情形，需事先征得用戶同意，經匿名化處理的除外。如AppAppApp（如App未提供刪除、更正或投訴舉報的功能或渠道問題描述AppApp未情形一：無法刪除個人信息或設置不合理條件。例如，App未提供有效的個人信息刪除功能或渠道；為刪除個人信息設置不合理條件；未按相關要求或約定時限響應用戶刪除個人信息請求等。情形二：無法更正個人信息或設置不合理條件。例如，App未提供有效的個人信息更正功能或渠道；為更正個人信息設置不合理條App情形三：未提供個人信息申訴渠道或用戶申訴機制無效。例如，（承1515處置指南該問題的處置建議，包括但不限于：（1515）受理可采取在線操作、客服電話、電子郵件等方式。（1515未提供有效的注銷用戶賬號途徑問題描述AppApp情形一：無法注銷或未按要求注銷。例如：App未提供注銷用戶App15（App（對于采用同一賬號注冊登錄多個AppAppApp不能使用；處置指南該問題的處置建議，包括但不限于：GB/T35273-20208.7給出的情形。注：如用戶自愿選擇放棄賬號下相應權益（如XX幣、XX積分），若有可能宜允許用戶注銷賬號。流程等信息。注：注銷條款可作為個人信息保護政策的章節(jié)，