⽹络安全标准实践指南—移动互联⽹应⽤程序(App)个⼈信息安全防范指引
(征求意见稿)
信安秘字[2020]18号
各有关单位:
为帮助App运营者了解和重视个⼈信息保护合规常见问题,采取相应措施持续提升App个⼈信息保护⽔平,秘书处组织编制了《⽹络安全标准实践指南—移动互联⽹应⽤程序(App)个⼈信息安全防范指引(征求意见稿)》。
根据《全国信息安全标准化技术委员会<⽹络安全标准实践指南>管理办法(暂⾏)》要求,秘书处现组织对《⽹络安全标准实践指南—移动互联⽹应⽤程序(App)个⼈信息安全防范指引(征求意见稿)》⾯向社会公开征求意见。如有意见或建议,请于2020年4⽉13⽇前反馈⾄秘书处。
全国信息安全标准化技术委员会秘书处
2020年3⽉30⽇
⽹络安全标准实践指南
移动互联⽹应⽤程序(App)
个⼈信息安全防范指引
(征求意见稿)
本实践指南依据法律法规和政策标准要求,基于相关评估⼯具数据统计和近期疫情防控App发现的问题,给出了当前App个⼈信息保护合规的常见问题和防范策略,建议App(含⼩程序)运营者和疫情防控App参考本实践指南,采取相应措施持续提升个⼈信息保护⽔平。
问题 1:超范围收集
App超范围收集个⼈信息的问题情形,包括但不限于:
情形⼀:收集⽆关信息。收集的个⼈信息类型或申请的系统权限与 App 提供的业务功能⽆关。例如未提供短信相关功能的 App 申请短信权限。
情形⼆:强制收集⾮必要信息。因⽤户不同意收集⾮必要个⼈信息或打开⾮必要权限,App 拒绝提供业务功能。必要个⼈信息是指保障 App 业务功能正常运⾏所最少够⽤的个⼈信息,包括⼀旦缺少将导致 App 服务⽆法实现或⽆法正常运⾏的个⼈信息,以及法律法规要求必须收集的个⼈信息。例如浏览器 App 强制索要位置权限收集个⼈位置信息,⽤户拒绝提供位置权限则⽆法使⽤ App 任何功能。
情形三:收集频率不合理。收集个⼈信息的频率超出 App 业务功能实际需要。例如酒店预订 App 每 1 秒上传⼀次⽤户精确定位信息。
该问题的防范策略,包括但不限于:
1)不收集与 App 所提供服务⽆关的个⼈信息,不申请与 App 所提供服务⽆关的系统权限(即使⽤户可选择拒绝)。2)遵循最⼩必要原则,仅收集/申请与 App 业务功能有直接关联的个⼈信息类型/系统权限。
3)App 收集个⼈信息前向⽤户明⽰收集信息的⽬的、⽅式和范围,并征得⽤户同意,告知同意⽅式应符合相关法律法规、政策和标准的要求。
4)收集个⼈信息的频率应在 App 实现业务功能所必需的合理范围内。
4)收集个⼈信息的频率应在 App 实现业务功能所必需的合理范围内。
5)App 尽量避免收集不可变更的设备唯⼀标识(如 IMEI 号、MAC 地址等),⽤于保障⽹络安全和运营安全的除外。6)App 收集疫情联防联控所必需的个⼈信息坚持最⼩范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点⼈,⼀般不针对特定地区的所有⼈。
7)针对⼀些没有⾼风险的区域、场所或不涉及⾼风险⼈,疫情防控 App 宜尽可能缩⼩⾝份登记的个⼈信息填写范围,达到可追溯的⽬的即可。例如,收集个⼈信息可参考“前台匿名,后台实名”等⽅式,⽤户可提供⼿机号,⽆需填写⾝份证号或上传⾝份证图⽚。
问题 2:⽆法注销或设置不合理注销条件
App ⽆法注销或设置不合理条件的问题情形,包括但不限于:
情形⼆:设置不合理注销条件。例如:注销过程进⾏⾝份核验时,要求⽤户提交超过 App 注册、使⽤时收集的个⼈信息类型,如提供⼿持⾝份证照⽚、绑定银⾏卡等;对于采⽤同⼀账号注册登录多个App 的情形,⽤户注销单个 App 只能注销⽤户账号,导致⽤户⽆法使⽤其他相关 App;要求⽤户填写精确的历史操作记录作为注销的必要条件等。
该问题的防范策略,包括但不限于:
1)提供简便易操作的注销功能,不设置不合理的注销条件。
2)及时响应⽤户注销请求,需要⼈⼯处理的,应在承诺时限内(不超过 15 个⼯作⽇)完成核查和处理。
3)⽤户注销后停⽌对⽤户个⼈信息的收集和使⽤,并按照相关要求和约定删除其个⼈信息或匿名化处理。因法律法规规定需要留存个⼈信息的,不再将其⽤于⽇常业务活动中。
4)注销时因验证⽤户⾝份所收集的个⼈敏感信息,达成⽬的后⽴即删除或匿名化处理。
5)⽤户采⽤同⼀账号注册登录多个 App 时,可提供解除单个App ⽤户账号使⽤关系的渠道。不存在的情人歌词
6)明确疫情防控 App 收集个⼈信息的使⽤范围、保存时间和事后处置措施,确保为疫情防控、疾病防治收集的个⼈信息,不⽤于其他⽤途,并在疫情结束后能够及时删除或依法合理处置,涉及账号注册功能的,应提供注销功能。
问题 3:强制捆绑授权
App 强制捆绑授权的问题情形,包括但不限于:
情形⼀:必须同意开启 App 申请的所有权限,否则⽆法安装或使⽤。例如,⽤户安装 App 时,以捆绑打包形式申请其向操作系统声明的所有权限,⽤户不同意则⽆法安装或使⽤,安装完成后申请的所有权限默认打开(如 Android 版 App 设置 targetSdkVersion ⼩于 23所致)。
情形⼆:必须同意开启所有服务类型,否则⽆法使⽤。例如,当App 提供多种服务类型的业务功能时,
采⽤功能捆绑的⽅式强迫⽤户⼀次性接受多种或所有服务类型的业务功能收集个⼈信息/系统权限的请求,⽤户不同意则⽆法使⽤App;⼜如,仅以改善服务质量、提升⽤户体验、定向推送信息、研发新产品等为由,强制要求⽤户同意收集个⼈信息/系统权限。
情形三:频繁索权。对于⽤户可选提供的系统权限,在⽤户拒绝后,每当其重新打开 App 或进⼊相应界⾯,都会再次向⽤户索要或以弹窗等形式提⽰⽤户缺少相关权限,⼲扰⽤户正常使⽤。
该问题的防范策略,包括但不限于:
1)Android 版 App 设置 targetSdkVersion 值应不⼩于 23,建议设置 targetSdkVersion 值不⼩于 26。
2)尽量避免强制索取权限等强制收集⾏为,尤其不以改善服务质量、提升⽤户体验、定向推送信息、研发新产品等为
2)尽量避免强制索取权限等强制收集⾏为,尤其不以改善服务质量、提升⽤户体验、定向推送信息、研发新产品等为由,强制要求⽤户同意收集个⼈信息。
3)当⽤户同意 App 收集某服务类型的最⼩必要信息时,不因⽤户拒绝提供最⼩必要信息之外的个⼈信息⽽拒绝提供该类型服务。
4)⽤户不授权同意使⽤、关闭或退出特定业务功能的,不影响⽤户⾃主选择使⽤的其他业务功能的正常使⽤。
5)适当区分 App 基本功能与附加功能。对于仅为实现附加功能、个性化服务、提升⽤户体验,同时⼜并⾮ App 实现基本功能所必要的个⼈信息,可单独征得⽤户同意,并保障⽤户可拒绝的权利。⽤户拒绝此类信息后不影响其正常使⽤App 基本功能。
6)合理设置系统权限的申请时机和频率,当⽤户拒绝权限申请后,除⾮该系统权限是⽤户主动触发的功能所必要,否则不应频繁申请或提⽰缺少相关权限,⼲扰⽤户正常使⽤。
问题 4:⽆隐私政策
App ⽆隐私政策的问题情形,包括但不限于:
情形⼀:未制定个⼈信息收集使⽤规则。例如通过 App、⽹站、⼩程序等收集使⽤个⼈信息,但未制定隐私政策,或隐私政策未包含收集使⽤个⼈信息规则。
情形⼆:未在 App 中公开隐私政策。例如在 App 界⾯中⽆法到隐私政策,或者隐私政策链接⽆效、⽂本不能正常显⽰等。
该问题的防范策略,包括但不限于:
2)疫情防控 App 宜以“简版隐私政策”、“个⼈信息保护声明”等⽅式,在注册、登录、填写个⼈信息等页⾯,以显著⽅式公开收集使⽤个⼈信息的关键规则,如收集个⼈信息的⽬的、类型,保存时间、安全措施及投诉渠道等。
问题 5:默认选择同意
App 默认选择同意的问题情形,包括但不限于:
菜花情形⼀:默认勾选同意。例如,App 在注册/登录界⾯下⽅“我已阅读并同意服务许可协议及隐私政策”前的勾选框中提前替⽤户打钩;注册/登录界⾯下⽅只给出隐私政策链接,并未说明注册/登录后是否视为同意隐私政策。
情形⼆:诱导⽤户略过隐私政策。例如,以缩⼩字号、减淡颜⾊、遮挡等⽅式诱导⽤户略过隐私政策链接,或未能在⽤户⾸次使⽤或⽤户注册时主动提⽰⽤户阅读隐私政策。
该问题的防范策略,包括但不限于:
1)为⽤户提供主动选择同意、或显著提醒⽤户阅读后同意隐私政策的选项,对于通过勾选框形式征得同意的,不默认勾选同意。
2)征得⽤户同意前,不产⽣收集个⼈信息⾏为或私⾃打开系统权限。
3)在⾸次运⾏ App 或⽤户注册时,主动提⽰⽤户阅读隐私政策,宜通过弹窗等形式主动展⽰隐私政策的主要或核⼼内容,帮助⽤户理解收集个⼈信息的范围和规则进⽽做出决定。
问题 6:未充分明⽰个⼈敏感信息使⽤规则
App 未充分明⽰个⼈敏感信息收集使⽤规则的问题情形,包括但不限于:
该问题的防范策略,包括但不限于:
2)收集⾝份证号、银⾏账号、⾏踪轨迹等个⼈敏感信息时,同步告知⽤户其⽬的,⽬的应明确且易于理解。
3)疫情防控 App 收集详细地址、⾏程证明(如机票、船票、⽕车票)、个⼈健康⽣理信息(如体温信息)等个⼈敏感信息时,宜同步告知⽤户使⽤⽬的。
问题 7:申请权限⽬的不明
App 申请权限⽬的不明的问题情形,包括但不限于:2020各省高考时间
情形⼀:未告知申请⽬的。App 申请系统权限时未同步告知权限的申请⽬的,例如仅通过操作系统弹窗向⽤户申请系统权限,且未告知权限申请⽬的。
情形⼆:⽬的告知不明确。例如将⽬的描述为“需要您开启存储权限,以保证存储相关功能的正常使⽤”,未具体明确地说明权限的使⽤⽬的。
该问题的防范策略,包括但不限于:
Android 版 App 建议通过 App 弹窗提⽰等⽅式,向⽤户告知系统权限的申请⽬的,⽬的应明确且易于理解;iOS 版App 可在系统提供的权限申请弹窗中编辑具体明确的申请⽬的。
问题 8:未提供删除、更正或投诉举报的功能或渠道
App 未提供删除、更正或投诉举报的功能或渠道的问题情形,包括但不限于:
情形⼀:未按规定提供删除个⼈信息功能。例如,App 未提供有效的个⼈信息删除功能;为删除个⼈信息设置不合理条件;未按相关要求或约定时限响应⽤户删除个⼈信息请求等。
情形⼆:未按规定提供更正个⼈信息功能。例如,App 未提供有效的个⼈信息更正功能;为更正个⼈信息设置不合理条件;未按相关要求或约定时限响应⽤户更正个⼈信息请求;⽤户已完成更正个⼈信息操作,但 App 后台并未完成的等。
情形三:未提供个⼈信息安全投诉举报渠道。例如,未建⽴并公布个⼈信息安全投诉、举报渠道,或
未在承诺时限内(承诺时限不得超过 15 个⼯作⽇,⽆承诺时限的,以 15 个⼯作⽇为限)受理并处理的。
该问题的防范策略,包括但不限于:
1)提供有效的更正、删除个⼈信息的途径。
2)⽤户⽆法通过在线操作⽅式及时响应个⼈信息更正、删除请求的,App 运营者在承诺时限内(承诺时限不得超过 15个⼯作⽇,⽆承诺时限的,以 15 个⼯作⽇为限)完成核查和处理。
3)更正和删除个⼈信息的过程应简单易操作,不设置不必要或不合理的条件。
4)⽤户更正、删除个⼈信息等操作完成时,App 后台需同步执⾏完成相关操作,法律法规另有规定的除外。
6)妥善受理⽤户关于个⼈信息相关的投诉、举报,并在承诺时限内(承诺时限不得超过 15 个⼯作⽇,⽆承诺时限的,以 15 个⼯作⽇为限)受理并处理。
7)通过个⼈信息的⼤数据分析等⾃动化决策机制来判断⽤户个⼈健康状态的疫情防控 App,应提供反馈渠道及时处理因⾃动化决策机制⽽严重影响⽤户个⼈权益的问题。
问题 9:隐私政策内容与实际不符
App 隐私政策内容与实际不符的问题情形,包括但不限于:
情形⼀:实际收集个⼈信息超出隐私政策所述范围。即未完整告知所收集个⼈信息类型以及⽤于实现的功能或⽬的。
情形⼆:实际收集个⼈信息少于隐私政策所述范围。即声明了实际并未收集的个⼈信息或实际并未提供的功能。
情形三:隐私政策所述与实际情况存在明显偏差、错误。甚⾄出现⼤篇幅抄袭导致隐私政策内容不实等。
该问题的防范策略,包括但不限于:
1)隐私政策中所述内容应与 App 实际业务相符,并逐⼀说明各业务功能收集个⼈信息的⽬的、类型、⽅式,不使
⽤“等、例如”等⽅式不完整列举。
2)实际收集使⽤个⼈信息/系统权限的⽬的、⽅式、范围等,不超出隐私政策等个⼈信息收集使⽤规则的⽤户授权范围。
为什么不取消绿皮火车3)严格遵守收集使⽤规则,App 收集或使⽤个⼈信息的功能设计同隐私政策保持⼀致、同步调整。
4)收集使⽤个⼈信息的⽬的、⽅式、范围发⽣变化时,应更新隐私政策等收集使⽤规则并提醒⽤户阅读。
问题 10:未告知同意第三⽅ SDK 收集⾏为
会计实习心得体会未告知同意第三⽅ SDK 收集⾏为的问题情形,包括但不限于:
情形⼀:未明⽰第三⽅ SDK 收集⾏为。App 嵌⼊了收集⽤户个⼈信息的第三⽅ SDK,但未通过隐私政策或其他显著⽅式(如第三⽅SDK隐私政策链接)向⽤户明⽰第三⽅SDK的个⼈信息收集⾏为。
情形⼆:未经同意通过第三⽅ SDK 向第三⽅提供个⼈信息。未经⽤户同意,也未作匿名化处理,App 通过嵌⼊的第三⽅ SDK 向第三⽅提供个⼈信息。
教师节礼品该问题的防范策略,包括但不限于:
1)对嵌⼊的收集⽤户个⼈信息的第三⽅ SDK 进⾏披露,告知第三⽅ SDK 类型,及收集使⽤的个⼈信息的⽬的、⽅式和范围,如存在第三⽅ SDK 将个⼈信息传输⾄的,也需说明跨境传输个⼈信息的⽬的、类型和接收⽅等。
2)如 App 以嵌⼊第三⽅代码和插件(如 SDK)等⽅式向第三⽅提供个⼈信息,应在发送前征得⽤户同意的,或对个⼈信息进⾏匿名化处理。
3)宜采取技术检测、安全审计等⼿段,确保第三⽅ SDK 收集、使⽤⾏为符合约定要求。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论