TC260-PG-20203A 网络安全标准实践指南 —移动互联网应用程序（App）个人信息保 护常见问题及处置指南 （v1.0-202009） m o c . 5 b u h t i g 全国信息安全标准化技术委员会秘书处 2020 年 9 月 本文档可从以下网址获得： www.tc260.org.cn/ 前 言 《网络安全标准实践指南》（以下简称《实践指南》） 是全国信息安全标准化技术委员会（以下简称“信安标委”） 秘书处组织制定和发布的标准相关技术文件，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣 传网络安全相关标准及知识，提供标准化实践指引。 b u m o c . 5 h t i g I 声 明 本《实践指南》版权属于信安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译《实践指南》的 任何部分。凡转载或引用本《实践指南》的观点、数据， 请注明“来源：全国信息安全标准化技术委员会秘书处”。 m o c . 5 b u h t i g 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、中国 网络安全审查技术与认证中心、北京理工大学、清华大学、 公安部第一研究所、北京信息安全测评中心、中国移动通信 集团有限公司等单位的技术支持。 II 摘 要 本实践指南依据法律法规和政策标准要求，针对App存 在的超范围收集、强制索权、频繁索权、未同步告知收集目 的等问题，基于对相关问题出现频率的统计，给出了当前App 个人信息保护十大常见问题和处置指南，建议App运营者参 考本实践指南防范和处置相关问题。 b u m o c . 5 h t i g III 目 录 1 范围 ...................................................................... 1 2 App 个人信息保护十大常见问题及处置指南 ..................................... 1 2.1 未说明收集使用的个人信息目的、类型、方式 ............................. 1 2.2 隐私政策未征得用户明示同意 ........................................... 3 2.3 超范围收集........................................................... 3 2.4 强制捆绑授权......................................................... 6 2.5 未经用户同意收集个人信息 ............................................. 7 2.6 申请权限或收集个人敏感信息未同步告知目的 ............................. 9 2.7 实际收集使用个人信息行为与声明不一致 ................................ 10 2.8 未经同意向第三方提供个人信息 ........................................ 12 2.9 未提供删除、更正或投诉举报的功能或渠道 .............................. 13 2.10 未提供有效的注销用户账号途径 ....................................... 15 参考文献.................................................................... 18 b u m o c . 5 h t i g IV 1 范围 本实践指南给出了当前 App1个人信息保护十大常见问题及典型 问题情形，同时给出了问题相应的处置建议。 本实践指南适用于 App 提供者防范和处置个人信息保护常见问 题，也可为 App 开发者、移动互联网应用分发平台运营者和移动智 能终端厂商提供参考。 m o c . 5 2 App 个人信息保护十大常见问题及处置指南 2.1 未说明收集使用的个人信息目的、类型、方式 2.1.1 问题描述 b u App 未说明收集使用的个人信息目的、类型、方式，是指未逐一 列出 App（包括委托的第三方或嵌入的第三方代码、插件）收集使用 h t i g 个人信息的目的、方式和范围等，其典型问题情形包括但不限于： 情形一：使用概括性描述或不完整列举收集个人信息的业务功能 及收集个人信息的目的、类型、方式。例如使用“等、例如”等方式不 完整列举个人信息收集类型。 情形二：未列出嵌入的第三方代码、插件收集使用个人信息的目 的、类型、方式。App 嵌入了收集用户个人信息的第三方代码或插件 （如第三方 SDK），但未通过隐私政策或其他显著方式（如第三方 代码或插件隐私政策链接）向用户明示第三方代码或插件的个人信息 收集使用行为。 本实践指南中的 App 是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的 应用软件。 1 1 情形三：未列出委托的第三方收集使用个人信息的目的、类型、 方式。App 委托第三方进行个人信息处理，未通过隐私政策或其他方 式向用户明示委托第三方的个人信息收集使用行为。 情形四：收集使用个人信息的目的、方式、范围发生变化时，未 以适当方式通知用户。例如未及时更新隐私政策，或未提醒用户阅读 等。 2.1.2 处置指南 m o c . 5 该问题的处置建议，包括但不限于： a) 完整、清晰、区分说明各业务功能所收集的个人信息。宜根据 用户使用习惯逐项说明各业务功能收集个人信息的目的、类型、方式， b u 避免使用“等、例如”等方式不完整列举。 h t i g b) 使用Cookie等同类技术（包括脚本、Clickstream、Web 信标、 Flash Cookie、内嵌 Web 链接等）收集个人信息时，简要说明相关机 制，以及收集个人信息的目的、类型。 c) 如嵌入的第三方代码、插件（如SDK）收集个人信息，说明第 三方代码、插件的类型或名称，及收集个人信息的目的、类型、方式。 d) 如存在委托第三方处理个人信息，说明委托第三方的类型或身 份、涉及的个人信息类型、委托处理目的等。 e) 收集使用个人信息的目的、方式、范围发生变化时，更新隐私 政策等收集使用规则，并以推送消息、邮件、弹窗、红点提示等方式 提醒用户阅读发生变化的条款。 2 2.2 隐私政策未征得用户明示同意 2.2.1 问题描述 App 隐私政策未征得用户明示同意，是指 App 采用默认选择同 意等非明示方式征得用户同意，其典型问题情形包括但不限于： 情形一：未提示用户阅读隐私政策。未在用户首次使用或用户注 册时主动提示用户阅读隐私政策，或以缩小字号、减淡颜色、遮挡等 方式诱导用户略过隐私政策链接。 m o c . 5 情形二：默认勾选同意。例如，App 在注册/登录界面下方“我已 阅读并同意服务许可协议及隐私政策”前的勾选框中提前替用户打 钩；注册/登录界面下方只给出隐私政策链接，并未说明注册/登录后 b u 是否视为同意隐私政策。 2.2.2 处置指南 h t i g 该问题的处置建议，包括但不限于： a) 为用户提供主动选择同意、或显著提醒用户阅读后同意隐私政 策的选项，对于通过勾选框形式征得同意的，不默认勾选同意。 b) 在首次运行App或用户注册时，主动提示用户阅读隐私政策。 如通过弹窗等形式主动展示隐私政策的主要或核心内容，帮助用户理 解收集个人信息的范围和规则进而做出决定。 2.3 超范围收集 2.3.1 问题描述 App 超范围收集，是指违反必要原则，收集与业务功能无关的个 人信息，或收集个人信息的范围、频度等超出实现 App 业务功能实 3 际需要，其典型问题情形包括但不限于： 情形一：收集无关个人信息。收集的个人信息类型与 App 提供 的业务功能无关，例如未提供短信功能的 App 读取短信数据。 情形二：强制收集非必要个人信息。因用户不同意收集非必要个 人信息，App 拒绝提供业务功能。例如：因用户拒绝提供某服务类型 最小必要个人信息2以外的信息，App 拒绝提供该类型服务基本业务 功能；仅以改善服务质量、提升用户体验、定向推送信息、研发新产 m o c . 5 品等为由，强制要求用户同意收集个人信息；在非必需的服务场景， 诱导或强制采集个人生物识别信息、手持身份证照片等个人敏感信 息，如可以通过密码方式验证而确保安全性的，却诱导用户使用指纹 b u 识别或人脸识别的方式验证。 h t i g 情形三：过度索权。App 超范围索取权限3，例如：申请打开与 App 所提供业务功能无关的权限；App 安装和运行时，向用户申请当 前服务类型非必要权限，用户拒绝授权申请后，App 退出、关闭或拒 绝提供该类型服务基本业务功能；App 在用户未使用相关功能或服务 时，提前申请开启通讯录、位置、短信、麦克风、相机等权限。 注：服务类型的必要系统权限，可参考《信息安全技术 移动互联网应用程序（App） 收集个人信息基本规范》的常见服务类型最小必要个人信息进行判断。 情形四：收集时机和频度不合理。例如：收集个人信息的频度超 出 App 业务功能实际需要，特别是在静默状态或在后台运行时，收 集个人信息的频度和数量超出业务需要，如预订车票功能场景下每 1 最小必要个人信息，是指保障某一服务类型正常运行最少够用的个人信息，一旦缺少将导致该服务类型 基本业务功能无法实现或无法正常运行。 3 本实践指南中的“权限”指“可收集个人信息权限”。 2 4 秒上传一次用户精确定位信息；用户关闭 App 后，App 未经用户同 意通过自启动、关联启动方式收集个人信息。 2.3.2 处置指南 该问题的处置建议，包括但不限于： a) 结合实际的业务功能和场景所需，App收集的个人信息类型应 与业务功能有直接关联，不收集与所提供业务功能无关的个人信息。 b) 遵循最小必要原则，仅申请App业务功能所必需的权限，不申 m o c . 5 请与App业务功能无关的权限（即使用户可选择拒绝）。 c) 参考《信息安全技术 移动互联网应用程序（App）收集个人 信息基本规范》，明确App所提供的服务类型和最小必要个人信息范 b u 围，且不因用户拒绝提供最小必要个人信息以外的信息，拒绝提供该 h t i g 类型服务的基本业务功能。 注 1：《信息安全技术 移动互联网应用程序（App）收集个