App隐私合规注意事项和相关材料

合规条文相关资料

最新《移动互联网应用程序信息服务管理规定》2022年8月1日起施行
http://www.cac.gov.cn/2022-06/14/c_1656821626455324.htm
全国APP技术检测平台（APP公共服务系统）
https://app.caict.ac.cn/#/home
《网络安全法》http://www.moj.gov.cn/pub/sfbgw/flfggz/flfggzfl/202101/t20210122_151156.html、
《信息安全技术个人信息安全规范》https://www.isccc.gov.cn/zxyw/fwzzrz/fwzzrzzn/images/2017/09/06/898D626AA34FF57F0575B31DABF79743.pdf
《关于开展纵深推进APP侵害用户权益专项整治行动》http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm、
《App违法违规使用个人信息自评估指南》http://www.cac.gov.cn/2019-11/07/c_1574658334765452.htm、
《App违法违规收集使用个人信息行为认定方法》http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm、
《关于开展纵深推进APP侵害用户权益专项整治行动的通知（工信部信管函〔2020〕164号）https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_c229d4f7d84041be84ff51824c32cf89.html
《移动互联网应用程序个人信息保护管理暂行规定》http://www.gov.cn/xinwen/2021-04/26/content_5602780.htm

合规检测工具

App个人信息保护合规评估工具

https://zcpt.cesidsat.com//web/login

合规检测平台搭建

https://blog.csdn.net/YSR1282855229/article/details/126927194

App隐私合规相关材料下载

https://download.csdn.net/download/YSR1282855229/86544535

一	未公开收集使用规则
1	在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则
2	在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则
3	隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到
4	隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等
二	未明示收集使用个人信息的目的、方式和范围
1	未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等
2	收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等
3	在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解
4	有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等
三	未经用户同意收集使用个人信息
1	App虽然具备隐私政策也在首次运行时通过弹窗等方式提示用户阅读隐私政策，但在用户可阅读并决定是否同意隐私政策前，App已要求用户提交个人信息（如用户手机号、网络（含三方登录）账号、IP地址等）或授权使用收集个人信息的权限（如电话、存储、位置等）
2	征得用户同意前就开始收集个人信息或打开可收集个人信息的权限 (例如，未经用户同意收集或打开收集以下信息的权限：IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频信息或权限)
3	用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限；或用户明确拒绝与当前服务场景无关权限，频繁弹窗、反复申请，干扰用户正常使用
4	实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围
5	以默认选择同意隐私政策等非明示方式征求用户同意
6	未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态
7	收集用户个人信息用于定向推送或广告精准营销，未以显著方式标示且未经用户同意，且未提供关闭定向推送功能的选项
8	以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的
9	非服务所必需或无合理场景，通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为
10	未向用户提供撤回同意收集个人信息的途径、方式
11	违反其所声明的收集使用规则，收集使用个人信息
四	违反必要原则，收集与其提供的服务无关的个人信息
1	APP、SDK非服务所必需或无合理应用场景，特别是在静默状态下或在后台运行时，超范围收集个人信息
2	首次安装运行，用户未同意隐私政策前或同意隐私政策后非服务所必需或无应用场景时，App申请打开的可收集个人信息权限，用户拒绝后，应用自动退出或关闭
3	App首次安装及运行期间，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关
4	因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能
5	APP运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，应用自动退出或关闭
6	App安装运行和使用期间，未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限
7	App新增业务功能申请收集的个人信息超过用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外
8	收集个人信息的频度等超出业务功能实际需要
9	仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息
10	要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用
五	未经同意向他人提供个人信息
1	既未向用户告知、未经用户同意，由客户端直接向第三方提供个人信息，包括App客户端及嵌入的第三方代码、插件等方式向第三方提供个人信息，经匿名化处理的除外。未告知用户或未经用户同意的情形包括但不限于：a）App首次运行，用户已阅读但未同意隐私政策；b）运行中App置于后台无业务场景；c）App运行中客户端发送至第三方的个人信息未以隐私政策等明显形式告知用户同意
2	既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息
3	App接入第三方应用，未经用户同意，向第三方应用提供个人信息
六	未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息
1	未提供有效的更正、删除个人信息及注销用户账号功能
2	为更正、删除个人信息或注销用户账号设置不必要或不合理条件
3	虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理
4	更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的
5	未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的
七	APP频繁自启动和关联启动
1	APP未向用户告知且未经用户同意，或无合理的使用场景，频繁自启动或关联启动第三方APP
八	欺骗误导用户下载APP及开屏广告骚扰用户
1	通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP，特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP
2	App启动后显示弹窗、文字、整屏图片、视频广告等信息，存在以下骚扰用户行为：a) 开屏广告没有标识或标识不易发现；b)未提供可操作关闭或跳过的按钮或类似控件，致使用户必须完整观看或等待广告内容播放/显示结束；c)虽然提供了操作关闭或跳过的按钮或控件，但控件尺寸过小（且周边未设置安全区）、颜色过浅、位置隐蔽等不易识别和操作，或点击控件操作无效，致使用户无法或难以跳过或关闭；d)在开屏广告或显示页面未提供用于跳转的专门控件或链接，而是点击屏幕任意位置则跳转到广告相关产品或其他无关页面；或点击跳过/关闭控件区域也会跳转至广告相关产品或App无关页面
九	应用分发平台上的APP信息明示不到位
1	应用分发平台上未明示APP运行所需权限列表及用途，未明示APP收集、使用用户个人信息的内容、目的、方式和范围
十	应用分发平台管理责任落实不到位
1	应用分发平台管理责任落实不到位。APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效
十一	清朗·移动应用程序PUSH弹窗
1	弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓