2024軟件開發(fā)包（SDK）個人信息處理規(guī)范

軟件開發(fā)包（SDK）個人信息處理規(guī)范目 次前言 II引言 III1范圍 12規(guī)性用件 13術和義 14縮語 2±總要求 2±.1SDK理人息架 2±.2SDK理人息則 3±.3SDK供與SDK用者方務 36個信處各節(jié)求 36.1人息集求 46.2人息儲求 ±人息用求 ±人息工求 66.±人息輸求 66.6人息外供求 66.F人息開求 6人息除求 6人息境求 FF用權保障 F8SDK提者求 F9評方法 89.1人息理環(huán)的評方法 89.2戶利障評方法 209.3SDK供的估法 21I軟件開發(fā)包（SDK）個人信息處理規(guī)范1 范圍（SDK）管部門、第三方評估機構等組織對軟件開發(fā)包的個人信息處理行為進行監(jiān)督、管理和評估。2 本文件沒有規(guī)范性引用文件。下列術語和定義適用于本文件。3.1移動互聯(lián)網(wǎng)應用程序appli×ationAPP3.2軟件開發(fā)包使用者?oftwaredevelopmentkitu?erSDKSDK3.3軟件開發(fā)包?oftwaredevelopmentkit協(xié)助軟件開發(fā)的軟件庫，包括相關的代碼、文檔、范例和工具的集合。3.4軟件開發(fā)包提供者?oftwaredevelopmentkitproviderSDKSDKSDK3.‘1個人信息per?onalinformation以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。3.6敏感個人信息?en?itiveper?onalinformation一旦泄露或者非法使用,可能導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。3.7敏感權限?en?itivepermi??ion?注：敏感權限通常由APP向移動智能終端系統(tǒng)作出權限申請，用戶授權后訪問。3.8自動決策 automatedde×i?ion縮略語下列縮略語適用于本文件。AP移應軟（ApigatiSDK：軟件開發(fā)包（So￡twareDevelopmentKit）‘ ‘.1 3DKSKKKKSDKSDKSDKSDK當SDKSDKSDK處理個人信息數(shù)據(jù)流轉框架圖如圖1所示。2圖1 3DK理人息據(jù)流框圖‘.2 3DKSDK提供者開展個人信息處理活動應遵循合法、正當、必要的原則，具體包括：SDK‘.3 3DK3DKSDK處理個人信息或為用戶提供服務時，涉及SDK使用者的，應滿足以下要求：若SDKSDK若SDKSDKSDKSDKSDK若SDKSDK3SDK提供者的個人信息處理規(guī)則應符合以下要求：SDKSDKSDKSDKSDK注：集成文檔可包括個人信息保護政策、開發(fā)者手冊等形式。若SDK若SDK5.3要求。2 3DKSDK提供者應提供合規(guī)指引內容，合規(guī)指引應符合以下要求：SDKSDKSDK為滿足SDKSDK宜給SDKSDKSDK注：集成文檔可包括個人信息保護政策、開發(fā)者手冊等形式。SDK的權限申請使用應符合以下要求：SDKSDKSDKSDKSDK4SDK的個人信息收集行為應符合以下要求：SDKSDK5.3SDKSDKSDKSDKSDKSDK5.3要求；SDK5.3SDK5.3SDK2 SDK提供者對個人信息存儲應符合以下要求：SDKSDKSDKSDKSDKSDKSDKSDK提供者對個人信息的使用應符合以下要求：SDK5.3要求；SDKSDK**±SDKSDKSDK提供者對個人信息的加工應符合以下要求:SDK5.3SDK5.3‘ SDK提供者對個人信息的傳輸應符合以下要求:SDKSDKSDK提供者對外提供個人信息，應符合以下要求:SDK5.35.3要求；SDKSDK提供者公開個人信息，應符合以下要求:SDK5.3SDK5.3SDK提供者刪除個人信息，應符合以下要求:SDKSDK5.36SDK5.3（用戶權利保障相關要求包括：SDK5.3SDK5.3SDK5.3SDKSDKSDK3DKSDK提供者作為個人信息處理者的要求包括：SDKSDKSDKSDKSDKSDKSDKFSDK評估編號評估項目6.1.1個人信息保護政策a）評估要求SDK提供者應制定個人信息保護政策，包括以下內容：SDK不需要告知的情形的可例外；SDK及其必要性。涉及敏感個人信息的，應明確標識或突出顯示，顯示方式不限于文字高亮、加粗等方式；g）SK提供者安全能力及提供用戶權利保障措施；d）對外提供、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型，以及各自的安全和法律責任。預置條件被測SDK處于正常狀態(tài)，被測SDK涉及個人信息測試步驟步驟一：查看SDKSDK不需要告知的情形的可例外；SDK及其必要性。涉及敏感個人信息的，應在自身個人信息保護政策中或由SDK使用者協(xié)助在APP個人信息保護政策中突出顯示，顯示方式不限于文字高亮、加粗等方式；g）SDK提供者提供的用戶權利保措施；d）對外提供、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型，以及各自的安全和法律責任。8預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.1.2評估項目6.1.1個人信息保護政策b）評估要求個人信息保護政策的內容應直觀、清晰，包括以下要求：a）以文檔、鏈接等形式在官網(wǎng)、代碼發(fā)布平臺等位置公開，查詢方式應清晰、便捷；b）通過合同、集成文檔或其他約定形式告知SDK使用者。預置條件被測SDK處于正常狀態(tài)，被測SDK涉及個人信息測試步驟步驟一：查看SDK查看個人信息保護政策是否以文檔、鏈接的形式在官網(wǎng)、代碼發(fā)布平臺等位置公開展示；查看個人信息保護政策是否以合同、集成文檔或其他約定的形式告知SDK使用者。預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6..個人信息保護政策g評估要求若SDK涉及處理不滿十四周歲未成年人的個人信息，則應制定專門的個人信息處理規(guī)則。預置條件被測SDK處于正常狀態(tài)，被測SDK涉及個人信息測試步驟步驟一：依次查看SDK的業(yè)務功能，是否涉及處理未滿十四周歲未成年人的個人信息；步驟二：若有，查看是否制定專門的個人信息處理規(guī)則。預期結果若步驟一結果為否，則測試項判定為不適用；若步驟二結果為是，則測試項判定為未見異常，步驟（2）結果為否，則判定為不符合要求。備注––評估編號評估項目6.1.1個人信息保護政策d）評估要求若SDK變更以同意為合法基礎的個人信息處理目的、方式、范圍的，應當重新取得同意，征得用戶同意時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，被測SDK涉及個信息測試步驟SDK方式、范圍；步驟二：若有，則查看SDK是否重新取得用戶同意。預期結果若步驟一結果為否，則測試項判定為未見異常；若步驟二結果為是，則測試項判定為未見異常，步驟（2）結果為否，則判定為不符合要求。備注––99.1.2 3DK評估編號9.1.2.1評估項目6.1.2SDK合規(guī)指引a）評估要求SDK合規(guī)指引內容應包括以下內容：要功能所涉及權限應提示SDK啟動開關等，應詳細告知SDKg）為滿足個人信息處理安全要求需SDK使用者協(xié)助的要求d）宜給SDK使用者提供基礎的合規(guī)資料參考，如法律法規(guī)要求、實踐指南等。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK提供者是否提供合規(guī)指引；步驟二：依次確認SDK業(yè)務功能，判斷SDK是否申請使用涉及個人信息的權限；步驟三：依次確認SDK業(yè)務功能，判斷SDK是否存在合規(guī)功能；步驟四：查看SDK合規(guī)指引中是否包括權限對應功能必要性及其對應的功能限制、非必要功能所涉及的權限非必要性；步驟五：查看SDK合規(guī)指引是否包括合規(guī)功能（如個性化推薦開關、數(shù)據(jù)收集可選、自啟動與關聯(lián)啟動開關等）適配及使用說明；步驟六：查看是否包含為滿足個人信息處理安全要求需SDK使用者協(xié)助的要求。預期結果若以上測試步驟結果皆為是，則測試項判定為未見異常；則測試項判定為未見異常；若以上測試步驟結果為是，則測試項判定為未見異常，其他情況則判定為不符合要求。備注––評估編號9.1.2.2評估項目6.1.2SDK合規(guī)指引b)評估要求SDK合規(guī)指引的內容應直觀、清晰，可選擇下列其中一種或多種方式提供：a）以文檔、鏈接等形式在官網(wǎng)、代碼發(fā)布平臺等位置公開，查詢方式應清晰、便捷；b）通過合同、集成文檔或其他約定形式告知SDK使用者。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK提供者是否制定并公開SDK合規(guī)指引；步驟二：若是，則查看SDK合規(guī)指引是否滿足以下其中一種形式：a）查看SDK合規(guī)指引是否以文檔、鏈接的形式在官網(wǎng)、代碼發(fā)布平臺等位置公開展示；b）查看SDK合規(guī)指引是否以合同、集成文檔或其他約定的形式告知SDK使用者。預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––10評估編號評估項目6.1.3權限申請使用要求a）評估要求SDK提供者應通過個人信息保護政策等方式簡潔、清晰、易懂地聲明涉及個人信息的功能所需的權限說明，包括權限的用途及其必要性；預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK提供者是否提供個人信息保護政策括權限用途及其必要性預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.3.2評估項目6.1.3權限申請使用要求b）評估要求SDK提供者對權限的申請使用應遵循最小必要原則，不應過度申請使用權限。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：依次查看SDK業(yè)務功能申請的權限列表，判斷是否在權限申請使用上遵循最小必要原則預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6..權限申請使用要求g評估要求SDK提供者在開發(fā)過程中應規(guī)范權限申請使用，若存在業(yè)務功能需申請敏感權限且需SDK使用者協(xié)助的，應由SDK使用者主動適配權限申請后實現(xiàn)相應功能。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔審查、人員訪談等形式，查驗SDK提供者在開發(fā)過程中是否規(guī)范申請使用權限步驟二：對應業(yè)務功能查驗代碼、設計文檔等，查看SDK申請的權限列表是否涉及敏感權限申請，權限申請使用是否由SDK使用者主動申請適配以實現(xiàn)相應功能預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.1.4個人信息收集行為要求a）評估要求SDK保存期限等內容；11預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK提供者是否提供個人信息保護政策；圍以及保存期限等內容預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.4.2評估項目6.1.4個人信息收集行為要求b）評估要求SDK收集個人信息之前，應征得用戶同意或取得處理個人信息的其他合法性基礎，征得用戶同意應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK是否存在個人信息收集行為步驟二：通過檢測工具、文檔審查等方式，查看SDK收集個人信息的行為是否經用戶同意或具備其他合法性依據(jù)預期結果若步驟一結果為否，則測試項判定為未見異常。若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6..個人信息收集行為要求g）評估要求SDK收集個人信息應遵循最小必要原則，應限于實現(xiàn)處理目的的最小范圍，應滿足以下要求：或實現(xiàn)處理目的的最小范圍；不應頻繁收集個人信息，SDKg）應優(yōu)先在終端本地完成產品或服務的業(yè)務功能，若本地無法實現(xiàn)的，再傳輸回服務器端。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：依次查看SDK功能，通過檢測工具查看不同業(yè)務功能下所收集個人信息的種類、頻次，是否超出約定范圍或實現(xiàn)處理目的的最小范圍步驟二：判斷SDK是否頻繁收集個人信息步驟三：查看SDK的業(yè)務功能，是否存在可在本地完成的功能，仍將個人信息傳輸回服務器。預期結果若以上測試步驟結果為否，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.1.4個人信息收集行為要求d）評估要求SDK收集敏感個人信息，應符合以下要求：a）SDK提供者收集敏感個人信息時，應具有特定目的和充分必要性，并向SDK使用者明示并告知處12理敏感個人信息的必要性以及對個人權益的影響；b）SDK提供者應提供方式和途徑用戶告知其處理敏感個人信息的必要性以及對個人權益的影響g）SDK提供者應取得用戶的單獨意，征得用戶同意時應滿足±.要求；d）SDK意，征得用戶同意時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：依次查驗SDK各項業(yè)務功能，是否涉及敏感個人信息收集步驟二：查看各項業(yè)務功能收集敏感個人信息是否具有特定目的和必要性，是否向SDK使用者明示告知處理敏感個人信息的必要性和對個人權益的影響步驟三：查看SDK提供者如APP是否提供方式和途徑，向用戶告知SDK處理敏感個人信息的必要性步驟四：查看SDK提供者是否獲取用戶的單獨同意，獲得用戶用戶同意的方式是否參照±.3要求步驟五：查看SDK提供者是否涉及不滿十四周歲的未成年人個人信息的處理獲得同意方式是否參照±.3要求預期結果若步驟一結果為否，則測試項判定為未見異常。若步驟一到步驟四結果為是，步驟五為否，則測試項判定為未見異常。若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.4.±評估項目6.1.4個人信息收集行為要求e）評估要求SDK自行提供服務時，不得以用戶不同意處理個人信息或撤回同意為由，拒絕提供產品或服務。處理個人信息屬于提供產品或服務所必需的除外。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK是否存在個人信息收集行為步驟二：依次查驗SDK業(yè)務功能，判斷SDK是否因用戶不同意處理個人信息或撤回同意為由，拒絕提供產品或服務，無法正常使用產品功能或服務預期結果若步驟一結果為否，則測試項判定為未見異常。若以上步驟結果為是，則測試項判定為不符合要求，否則判定為未見異常。備注––9.1.‘ 評估編號9.1.±.1評估項目6.2個人信息存儲要求a）評估要求SDK提供者若在移動智能終端本地存儲個人信息，應采取加密或訪問控制等安全技術保證個人信息不被破壞或損毀；預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK業(yè)務功能，是否涉及在移動智能終端本地存儲個人信息的功能13步驟二：查看移動智能終端本地存儲的文本文件、緩存、數(shù)據(jù)庫等，是否包含個人信息施預期結果若步驟一結果為否或步驟二結果為否，則測試項判定為未見異常。若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.±.2評估項目6.2個人信息存儲要求b）評估要求SDK提供者應對其服務端存儲的個人信息進行分類分級管理，采取不同級別的安全保障措施以確保個人信息在服務器端的安全存儲；預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔核驗、人員訪問、服務端核驗等多種方式判斷SDK服務端是否對個人信息進行分類分級管理步驟二：不同等級的個人信息是否采取不同的安全保障措施，如采用不同等級的加密方式、不同等級的權限設計等預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.±.3評估項目6.個人信息存儲要求g評估要求SDK使用者和SDK提供者所收集的個人信息存儲不應超過實現(xiàn)個人信息主體授權使用的目的所必需的最短時間，不應在用戶撤回同意或SDK提供者停止提供產品或服務之后繼續(xù)存儲，但法律法規(guī)另有規(guī)定或者個人信息主體另行授權同意的除外。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟通過文檔核驗、人員訪問、服務端核查、技術驗證等多種方式查看SDK服務端個人信息存儲期限是否是個人信息主體授權目的所必需的最短時間預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.±.4評估項目6.2個人信息存儲要求d）評估要求SDK提供者不應將其生成的可用于唯一標識移動智能終端的個人信息存儲在移動智能終端本地，并分享給其他SDK使用者用于用戶畫像或商業(yè)營銷等目的。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔核驗、人員訪問、技術驗證等多種方式查看SDK是否存在生成可用于唯一標識移動智能終端的個人信息步驟二：通過技術驗證的方式查看SDK是否未將該信息存儲在移動智能終端本地且未分享給其他SDK14使用者用于用戶畫像或商業(yè)營銷等目的預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.3個人信息使用要求a）評估要求SDK使用個人信息時，其目的應與告知用戶的目的一致。若存在超出的情況，應以站內信、通知公告等方式主動告知SDK使用者和用戶，并重新征得用戶同意，征得用戶同意時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔審查、功能核驗、服務端核查等方式，判斷SDK使用個人信息時，其目的是否與告知用戶的目的一致步驟二：若存在超出的情況，需確認是否以站內信、通知公告等方式主動告知SDK使用，是否保留相關記錄預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.6.2評估項目6.3個人信息使用要求b）評估要求SDK若存在個人信息展示的需求，展示位置包括在官網(wǎng)、SDK使用者前端等，宜對其展示的個人信息采取去標識化處理、掩碼等措施，如張**替代真實姓名。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK是否存在個人信息展示的需求步驟二：若存在，則查看個人信息是否采取去標識化、掩碼等措施處理預期結果若步驟一測試結果為否，則測試項判定為未見異常若以上步驟測試結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.個人信息使用要求g評估要求SDK若存在利用個人信息通過自動化決策方式向用戶進行信息推送或商業(yè)營銷的功能，為保證滿足能夠給用戶提供不針對其個人特征的選項或便捷的拒絕方式等要求，應給SDK使用者提供有效的功能說明、個性化推送的開關方式。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDKSDK提供者是否給SDK1±預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.3個人信息使用要求d）評估要求通過自動化決策方式作出對個人權益有重大影響的決定，SDK應提供相關說明，并為用戶提供僅通過自動化決策的方式作出決定的拒絕或申訴途徑并及時響應。提供用戶權利保障時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK是否存在通過自動化決策方式作出對個人權益有重大影響的決定途徑并及時響應。提供用戶權利保障時應滿足±.3預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.F.1評估項目6.4個人信息加工要求a）評估要求SDK加工個人信息前，應取得用戶的同意，征得用戶同意時應滿足±.3要求；預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔審核、問卷調研等方式，查看SDK是否會加工個人信息步驟二：若存在個人信息加工情況，是否征得用戶同意，是否滿足±.3要求預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.±個人信息傳輸要求a）評估要求SDK傳輸個人信息時，應對個人信息進行加密或使用安全的傳輸協(xié)議；預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟通過網(wǎng)絡抓包等其他技術方式，查看SDK傳輸個人信息時，是否使用HTTPS協(xié)議傳輸協(xié)議或對個人信息進行加密預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.8.216評估項目6.±個人信息傳輸要求b）評估要求SDK傳輸敏感個人信息時，應對個人信息進行加密或使用安全的傳輸協(xié)議的基礎上，宜對其采取單獨加密等措施。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟通過網(wǎng)絡抓包等其他技術方式，查看SDK傳輸敏感個人信息時，是否在安全傳輸協(xié)議的基礎上，對敏感個人信息單獨加密預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.6個人信息對外提供要求a）評估要求SDK對外提供個人信息時，應向用戶告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并征得用戶及SDK使用者的單獨同意，征得用戶同意時應滿足±.3要求。接收方變更原先的處理目的、處理方式的，應當重新取得同意，征得用戶同意時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK是否對外提供個人信息步驟二：若是，則查看SDK是否向用戶告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并征得用戶及SDK使用者的單獨同意步驟三：查看是否存在接收方變更原先的處理目的、方式的情況步驟四：若是，則查看SDK是否重新獲得用戶同意預期結果若步驟一結果為否，則測試項判定為未見異常。若步驟一和步驟二結果為是，步驟三結果為否，則測試項判定為未見異常。若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.9.2評估項目6.6個人信息對外提供要求b）評估要求SDK提供者委托處理個人信息的，應依據(jù)已告知用戶的個人信息處理種類、目的、方式進行委托，與準確記錄和存儲委托處理個人信息情況，必要時對受委托方進行審計。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK是否委托處理個人信息步驟二：若是，則查看SDK是否依據(jù)已告知用戶的個人信息處理種類、目的、方式進行委托及雙方的權利和義務，準確記錄和存儲委托處理個人信息情況步驟四：查看是否有必要時，對受委托方的審計機制和審計記錄預期結果若步驟一測試結果為否，則測試項判定為未見異常1F若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.個人信息對外提供要求）評估要求因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，SDK應向用戶告知接收方的名稱或者姓名和聯(lián)系方式。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔核驗等方式，查看SDK是否具備因合并等情況出現(xiàn)而轉移個人信息的制度和流程文檔步驟二：查看其中是否包括SDK應向用戶告知接收方的名稱或姓名，聯(lián)系方式等內容預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.F個人信息公開要求a）評估要求SDK提供者不應公開披露個人信息，若需公開個人信息應取得個人信息主體的單獨同意，征得用戶同意時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK提供者是否公開披露個人信息；步驟二：查看SDK提供者是否存在單獨獲取個人信息主體同意的形式或記錄等預期結果若步驟（1）測試結果為否，則測試項判定為未見異常若步驟（2）測試結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.10.2評估項目6.F個人信息公開要求b）評估要求SDK應在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息，用戶明確拒絕的除外。處理已公開的個人信息時，對個人權益有重大影響的，應取得用戶的同意，征得用戶同意時應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：查看SDK提供者是否存在公開披露個人信息的情況步驟二：查看是否存在處理已公開個人信息的合理范圍的評估機制及要求，確保SDK提供者在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息步驟三：查看是否存在處理已公開個人信息情況，對個人權益是否有重大影響的評估機制或記錄等，查看記錄中是否取得用戶的同意18預期結果若步驟一測試結果為否，則測試項判定為未見異常若以上測試步驟結果均為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號評估項目6.8個人信息刪除要求a）評估要求存儲的個人信息在完成其使用業(yè)務功能及目的、用戶撤回同意、SDK提供者停止提供產品或服務、或超出存儲期限后，SDK提供者應對個人信息進行刪除或匿名化處理。如需SDK使用者協(xié)同處理，應滿足±.3要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟通過文檔審核、技術檢測、服務端查驗等方式，查看存儲的個人信息在完成其使用業(yè)務功能及目的、用戶撤回同意、SDK提供者停止提供產品或服務、或超出存儲期限后，是否被刪除或匿名化處理預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.1.11.2評估項目6.8個人信息刪除要求b）評估要求用戶提出刪除個人信息的請求后，SDK提供者應及時響應用戶請求并刪除或匿名化個人信息。如需SDK使用者協(xié)助處理的，應滿足±.3要求。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，SDK提供者應當停止除存儲和采取必要的安全保護措施之外的處理。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理測試步驟步驟一：通過文檔審核、功能查驗等方式，查看用戶提出刪除請求后，SDK提供者是否會在十五個工作日及時響應用戶請求步驟二：若用戶刪除請求符合正常刪除范圍的，是否按照用戶要求盡快刪除或匿名化護措施確保個人信息不被使用預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––9.1.12 評估編號9.1.12評估項目6.9個人信息跨境要求評估要求SK（包含港澳臺地區(qū)。確需向境外轉移的，應符合法律、行政法規(guī)和行業(yè)主管部門規(guī)定的關于個人信息跨境的相關要求。預置條件被測SDK處于正常狀態(tài)，且被測SDK涉及個人信息處理19測試步驟步驟一：通過文檔審查、技術驗證等方式，檢測SDK發(fā)起的網(wǎng)絡請求，查看域名解析結果，判定SDK是否存在將個人信息轉移到中華人民共和國境外的情況步驟二：查看是否向個人信息主體告知并征得明示同意預期結果若步驟一測試結果為否，則測試項判定為未見異常若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––9.2 評估編號9.2.1評估項目F用戶權利保障a）評估要求SDK提供者應為用戶提供便捷有效的查閱、復制、更正、補充、刪除個人信息的渠道，提供用戶權利保障時應滿足±.3要求預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟是否按照±.3（如獨立的個人信息處理者或受托方預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.2.2評估項目F用戶權利保障b）評估要求SDK提供者基于個人同意處理個人信息的，應為用戶提供便捷有效的撤回同意的方式，提供用戶權利保障時應參考±.3要求預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟通過問詢、文檔審核、系統(tǒng)查驗、功能驗證等方式，確定SDK提供者基于個人同意處理個人信息時，檢查其是否按照±.3開關、關閉或禁用相應業(yè)務功能等。預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.2.3評估項目F用戶權利保障g評估要求用戶申請查閱、復制、更正、補充、刪除個人信息或撤回同意的，SDK提供者應及時響應，拒絕用戶請求的，應說明理由，提供用戶權利保障時應滿足±.3要求預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟APPSDKSDK步驟二：若申請被拒絕，檢查是否說明了具體理由；20預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.2.4評估項目F用戶權利保障d）評估要求有下列情形之一的，SDK提供者應主動刪除個人信息：a）處理目的已實現(xiàn)、無法實現(xiàn)或為實現(xiàn)處理目的不再必要；b）SDK提供者停止提供產品或服，或者保存期限以屆滿；g）個人撤回同意；合作協(xié)議約定的情形；SDK￡）法律、行政法規(guī)規(guī)定的其他情形。預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟SDK的情況：a）處理目的已實現(xiàn)、無法實現(xiàn)或為實現(xiàn)處理目的不再必要；b）SDKg）個人撤回同意；合作協(xié)議約定的情形；SDK￡）法律、行政法規(guī)規(guī)定的其他情形。預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––9.3 3DK評估編號9.3.1評估項目8SDK提供者要求a）評估要求SDK提供者與第三方共同決定個人信息的處理目的和處理方式的，應當約定好各自的權利和義務；預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟步驟一：檢查SDK是否存在與第三方共同決定個人信息的處理目的和處理方式的情況；步驟二：檢查SDK與第三方是否約定好各自的權利和義務預期結果若步驟一測試結果為否，則測試項判定為未見異常若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.3.2評估項目8SDK提供者要求b）21評估要求SDK提供者應建立便捷的個人行使權利的申請受理和處理機制；預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟SDK受理和處理機制；預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.3.3評估項目8DK提供者要g評估要求SDK提供者應根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，制定內部管理制度和操作規(guī)程，制定并組織實施個人信息安全事件應急預案預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟SDK制定并組織實施了個人信息安全事件應急預案；預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.3.4評估項目8SDK提供者要求d）評估要求SDK提供者應對個人信息實行分類管理預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟通過問詢、文檔審核、系統(tǒng)查驗等方式，檢查SDK提供者是否對個人信息實行了分類管理；預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––評估編號9.3.±評估項目8SDK提供者要求e）評估要求SDK提供者應采取相應的加密、去標識化等安全技術措施預置條件被評估SDK及宿主APP處于正常狀態(tài)測試步驟SDK化等安全技術措施；預期結果若以上測試步驟結果為是，則測試項判定為未見異常，否則判定為不符合要求。備注––22評估編號9.3.6評估項目8SDK提供者要求￡）評估要求SDK提供者應當定期對處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計