您现在的位置: 合规中心 > 合规自查及参考 > APP合规要点(参考)

APP合规要点(参考) 最后更新时间: 2022年09月08日

一、常见问题类型


问题类型

表现形式

未公开收集使用规则

1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

未明示收集使用个人信息的目的、方式和范围

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

未经用户同意收集使用个人信息

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

4.以默认选择同意隐私政策等非明示方式征求用户同意;

5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

8.未向用户提供撤回同意收集个人信息的途径、方式;

9.违反其所声明的收集使用规则,收集使用个人信息。

违反必要原则,收集与其提供的服务无关的个人信息

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4.收集个人信息的频度等超出业务功能实际需要;

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

未经同意向他人提供个人信息

1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;

3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。

未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息

1.未提供有效的更正、删除个人信息及注销用户账号功能;

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

二、个人信息


1、依据国家标准《 GB/T 35273—2020 信息安全技术 个人信息安全规范 》表A.1 个人信息举例 

个人基本资料

个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

网络身份标识信息

个人信息主体账号、IP地址、个人数字证书等

个人健康生理信息

个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等

个人教育工作信息

个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等

个人财产信息

银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

个人通信信息

通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等

联系人信息

通讯录、好友列表、群列表、电子邮件地址列表等

个人上网记录

指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等

个人常用设备信息

指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息

个人位置信息

包括行踪轨迹、精准定位信息、住宿信息、经纬度等

其他信息

婚史、宗教信仰、性取向、未公开的违法犯罪记录等

2、依据国家标准《 GB/T 35273—2020 信息安全技术 个人信息安全规范 》表B.1 个人敏感信息举例 

个人财产信息

银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

个人健康生理信息

个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等

其他信息

性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

三、权限列表


依据国家标准《 GB/T 41391—2022信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求 》表D.1 安卓可收集个人信息权限、表D.2iOS可收集个人信息权限

1、安卓可收集个人信息权限

序号

权限分组

权限名

功能描述

可访问的个人信息

业务功能示例

1

CALENDAR

日历

READ_ CALENDAR 读取日历

允许 App 读取用户日历数据

系统日历中的日程安排、备忘、行程等信息

例如,日程规划、事件提醒、票务预订等

2

WRITE_CALENDAR编辑日历

允许 App 写入用户日历数据

3

CALL_LOG通话记录

READ_CALL_LOG读取通话记录

允许 App 读取用户通话记录

通话联系人名称、通话号码、通话日期、通话时长等通话记录信息

例如,通话记录管理、备份与恢复,骚扰拦截、SOS 紧急求助等

4

WRITE_CALL_LOG 编辑通话记录

允许 App 写入用户通话记录

5

PROCESS_OUTGOING_CALLS 监控呼出电话

允许 App 查看正在拨打的号码,并将呼叫重定向到其他号码或终止呼出电话

用户呼出的电话号码、呼叫状态等信息

例如,呼出电话监控场景、儿童手表等

6

CAMERA相机

CAMERA 拍摄

允许 APP 使用摄像头

照片或视频信息

例如,拍摄照片视频、扫描二维码/条形码、人验识别等

7

CONTACTS通讯录

READ_ CONTACTS读取通讯录

允许 App 读取用户通讯录

联系人姓名、手机号码、公司、邮箱地址等信息

例如,通讯录管理与备份、添加联系人等

8

WRITE_CONTACTS编辑通讯录

允许 App 写入用户通讯录

9

GET_ ACCOUNTS 获取App 账户

允许 App 从账户服务中获取 App 账户列表

账户服务中的App 账户列表

账号登录场景等

10

LOCATION位置

ACCESS_FINE_LOCATION 访问精准定位

允许 App 获取基于GPS 等的精准地理位置

精准地理位置信息

例如,定位当前用户位置、拍照记录照片拍摄位置、社交分享位置、线上到线下上门服务定位用户位置等需要用户精准位置的场景

11

ACCESS_COARSE_LOCATION 访间粗略位置

允许 App 获取基于基站、IP 地址等的粗略地理位置

粗略地理位置信息

例如,外卖、本地生活服务等分区域信息推荐、基于城市或地域进行新闻推送等基于粗略用户地理位置的场景

12

ACCESS_BACKGROUND_ LOCATION 支持后台访问位

允许 App 在后台运行时使用位置信息(需要 App 获得访问置粗略位置或访问精准位置权限)

实时地理位置信息、行踪轨迹

例如,地图导航、网络约车、运动健身等场景

13

MICROPHONE麦克风

RECORD_ AUDIO 录音

允许 App 使用麦克风进行录音

录音内容

例如,语音即时通信、语音识别、音视频录制、直播等语音输人场景

14

PHONE电话

READ_PHONE_STATE读取设备信息

允许 App 通过此权限获取设备 IMEI、IMSI 等唯一设备识别码,以及手机通话状态等

唯一设备识别码(如 IMEI、IMSD)等

进行用户常用设备的标识,用于监测 App 账户异常登录、关联用户行为

15

READ_PHONE_NUMBERS 读取本机电话号码

允许 App 读取用户的本机电话号码

手机号码

读取本机号码场景

16

CALL_ PHONE 拨打电话

允许 App 直接拨打电话

-

例如,在 App 内直接拨打商家、快递员、客服电话等

17

ANSWER_ PHONE_ CALLS接听电话

允许 App 接听拨入的电话

-

例如,在驾驶模式下直接接听来电等

18

ADD_ VOICEMAIL 添加语音邮件

允许 App 向邮件中添加语音附件

语音邮件内容

-

19

USE_SIP 使用网络电话

允许App 拨打/接听SIP 网络电话

-

例如,接听、拨打网络电话等

20

ACCEPT_HANDOVER继续进行来自其他 App的通话

允许 App 维续进行在其他 App 中发起的通话

-

-

21

SENSORS传感器

BODY_ SENSORS 获取身体传感器信息

允许 App 访间身体内部状况相关的感器数据,一般特指心率传感器数据

心率等身体传感器数据

例如,健康类 App 及可穿戴设备显示心率等状况

22

SMS短信

SEND_SMS 发送短信

允许 App 发送短信

短信

例如,便捷短信查询与服务订阅、短信优化编辑与发送、SOS 紧急求助等

23

RECEIVE_SMS 接收短信

允许 App 接收短信

例如,便捷短信查询与服务订阅、短信优化编辑与发送、短信功能体验增强、骚扰栏截与上报垃圾短信、短信智能服务、SOS 紧急求助等

24

READ_SMS 读取文字讯息(短信或彩信)或彩信

允许 App 读取短信

短信、彩信内容

例如,短信管理、验证

码便捷获取、骚找拦截与上报垃圾短信等

25

RECEIVE_WAP_PUSH接收 WAP 推送

允许 App 接收 WAP推送信息

WAP 推送消息

例如,短信管理、WAP消息推送场景等

26

RECEIVE_MMS 接收彩信

允许 App 接收彩信

彩信

例如,验证码便捷获取、便捷短信查询与服务订阅、短信功能体验增强、骚找拦裁、短信管理等

27

STORAGE存储

READ_EXTERNAL_STORAGE 读取外置存储器

允许 App 读取外置存储器

外置存储器存储的个人文件

例如,文件管理、阅读器等打开本地文件的场景等

28

WRITE _EXTERNAL _STORAGE 写入外置存储器

允许 App 写入外置存储器

例如,存储拍摄的照片和视频,及下载文件、需要下载大量资源的游戏场景等

29

ACCESS_MEDIA_LO CATION读取照片位置信息

允许 App 读取照片文件中包含的拍摄地点信息

照片拍摄地点信息

例如,展示照片拍摄地点的场景等

30

ACTIVITY_ RECOGNITION身体活动

ACTIVITY_RECOGNITION 识别身体活动

允许 App 获取身体活动相关信息,如未移动、步行、跑步、骑行、在车辆中等

特定身体活动变化信息(如未移动、步行、跑步、骑车、坐车等)

例如,需要对用户的身体活动进行识别和分类的场景等

注:支持后台访问位置(ACCESS_ BACKGROUND_ LOCATION)、读取照片位置信息(ACCESS_MEDIA_LOCATION)、识别身体活动(ACTIVITY_ RECOGNITION)为安卓 10 中新增权限;监控呼出电话(PROCESS_OUTGOING_CALLS)已在安卓 10 中废弃。

2、iOS可收集个人信息权限

序号

受保护的资源

权限名

功能描述

可访问的个人信息

1

Calendar and Reminders 

日历与提醒事项

Calendars日历

访问用户的日历数据

日历数据

2

Reminders 提醒事项

访问用户的提醒事项

提醒事项

3

Camera and Microphone

相机与麦克风

Camera 相机

访问设备的相机

拍摄的照片与视频

4

Microphone 麦克风

访问设备的麦克风

语音数据

5

Contacts 通讯录

Contacts 通讯录

访问用户的联系人

联系人数据

6

Health 健康

Health Records 健康记录

读取临床健康记录

临床健康记录

7

Health Share 读取

HealthKit健康数据

从 HealthKit存储读取样本

健康数据

8

Health Update 更新

HealthKit 健康数据

将样本保存到 HealthKit存储

9

Location 定位服务

Location Always and When In Use始终访问位置

始终访问用户的位置信息

位置信息

10

Location 访问位置

访间用户的位置信息

11

Location When In Use 使用期间访问位置

使用 App 期间(前台运行时)访间用的位置信息

12

Media Player 媒体与Apple Music

Media Library 媒体库

访问用户的媒体库

Apple Music、音乐和视频活动以及媒体资料库

13

Motion 运动与健身

Motion 运动与健身

访问设备的加速度计

身体活动、步数统计、已爬楼层数等在内的传感器数据

14

Photos 照片

Photo Library Additions只写照片库

只写访问用户照片库

照片库中的图片和视频

15

Photo Library 读取和写入照片库

读取和写入用户照片库

四、合规文件指引


为了更及时高效地落实合规要求,我们建议各位开发者充分了解现有以及陆续将发布的有关个人信息保护的法律、法规、政策、标准等,以下资料供参考:

1、《GB/T 35273-2020 信息安全技术 个人信息安全规范》

https://www.tc260.org.cn/front/postDetail.html?id=20200920130917

2、《关于开展App违法违规收集使用个人信息专项治理的公告》

http://www.cac.gov.cn/2019-01/25/c_1124042599.htm

3、《关于开展APP侵害用户权益专项整治工作》

http://www.gov.cn/xinwen/2019-11/07/content_5449660.htm

4、《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

5、《关于开展纵深推进APP侵害用户权益专项整治行动》

http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm

6、《App违法违规收集使用个人信息行为认定方法》

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

7、《App违法违规收集使用个人信息自评估指南》

https://mp.weixin.qq.com/s/BEDY7-DVarejeUXN8dXqNQ

8、《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》

https://www.tc260.org.cn/front/postDetail.html?id=20200918162332

9、《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》

https://www.tc260.org.cn/front/postDetail.html?id=20190531230315

10、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》

https://www.tc260.org.cn/front/postDetail.html?id=20200722134829

11、《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》

https://www.tc260.org.cn/front/postDetail.html?id=20200330091643

12、《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》

https://www.tc260.org.cn/front/postDetail.html?id=20200918163359

13、《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引》

https://www.tc260.org.cn/front/postDetail.html?id=20201126161240

返回顶部 示例中心 常见问题 智能客服 公众号
二维码