数字化时代,企业数据合规和个人信息保护的重要性日益凸显,信息资源已成为重要的生产要素和社会财富。近年来,国家网络安全法律体系不断完善,数据保护、个人信息保护等相关法律法规密集出台,民众网络安全感满意度有所提升。移动应用App作为服务提供的主阵地,更是个人信息保护的前沿战场与核心区域。
手机银行App,凭借其卓越的即时响应速度、极致便捷的操作体验以及一站式综合服务能力,已深深融入公众的日常生活,成为不可或缺的金融工具。它们不仅极大地拓宽了金融服务的边界,提升了服务获取的便捷性与效率,还深刻重塑了金融服务的质量标准。鉴于手机银行App深度依赖于大数据驱动,其在保障用户个人信息合规的角色上更显关键。
中国电子银行网联合中国金融认证中心(CFCA)信息安全服务部移动安全团队,对48款手机银行App,包括六大国有行,12家股份制银行,部分城商行、农商行、农信社以及民营银行的个人信息合规进行了测评。测试共分为隐私政策透明度与合理性、用户权利保障、用户授权过程的合理性等三部分。
本次手机银行App个人信息合规测评工作,旨在提高银行业金融机构对个人信息保护的重视程度,提升其对个人信息保护的能力,减少和防范对用户信息侵害事件的发生,推动中国银行业手机银行App合规高质量发展,为践行“金融为民”贡献力量。
本文主要为“总体测评指标及结果”和“手机银行App隐私政策透明度与合理性测评”两部分。后续还将连续推出“手机银行App用户权利保障测评”和“手机银行App用户授权过程的合理性测评”,敬请持续关注。
测评对象
本次测评对象为48款手机银行App,通过主流应用市场(包括华为应用市场、腾讯应用宝、vivo应用市场、小米应用市场)和相关银行官方网站进行下载,均取测评期间的最新版本,详细情况可以查看文末附录。
测评依据
本次测评从法律法规出发,同时参考相关国家标准及同业经验,其中法律法规如下:
·《中华人民共和国网络安全法》
·《中华人民共和国数据安全法》
·《中华人民共和国个人信息保护法》
参考的规范、标准、指南包括:
·《GB/T 35273-2020 个人信息安全规范》
·《App违法违规收集使用个人信息行为认定方法》
·工信部信管函〔2020〕164号《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
·《JR/T 0171-2020 个人金融信息保护技术规范》
·《常见类型移动互联网应用程序必要个人信息范围规定》
·《GB/T-41391-2022 移动互联网应用程序(App)收集个人信息基本要求》
·《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》
·《GB/T 42582—2023 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》
·工信部《APP用户权益保护测评规范》
测评方法
测试设备
本次测评通过安卓设备进行测试,测试设备型号为谷歌Pixel 3与Pixel 6。
测试时间
本次测评时间为2024年6月17日至2024年7月19日,测试对象采集时间同样为本时间段内。
测试方法
本次测评采取人工与工具测评相结合的方式,针对App本身与App内隐私文本两者相结合,主要参照《GB/T 42582—2023 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》进行案例设计和测试执行,测评完成后再对测试项进行交叉验证,最终完成测评工作。
总体测评指标及结果
本次测评共选取32个测评项,同时将测评项分为隐私政策透明度与合理性、用户权利保障及用户授权过程的合理性3个类别,共计总分100分,其中隐私政策透明度与合理性39分,用户权利保障22分,用户授权过程的合理性39分。详细测评指标内容可以查看文末附录。
测评总体情况如下:
1、总体得分
测试结果显示,48款手机银行App得分均超过60,其中61%的App得分超过80。手机银行App在个人信息合规方面取得了显著进步,整体表现超越了其他类别的应用程序。
图:测评总体得分情况
得分前十的手机银行App分别为:
光大银行手机银行App
广东南粤银行手机银行App
广发银行手机银行App
平安银行手机银行App
苏州银行手机银行App
上海农商银行手机银行App
兴业银行手机银行App
中国工商银行手机银行App
邮储银行手机银行App
营口银行手机银行App
备注:以上排名不分先后,按首字拼音顺序排序,首字拼音相同按次字拼音顺序排序,以此类推,第十名分值相同情况共同列入本名单。
2、App权限及隐私政策相关数据统计
本次测评针对App申请权限方面以及部分操作步骤也进行了统计,结果显示:App申请权限总体仍然较多。作为金融App,一定的权限申请用于风控有助于降低用户交易风险,同时高风险权限平均值明显较低,总体来看,手机银行App在收集用户个人信息方面表现出了一定的节制;但隐私政策声明的高危权限和实际申请的高危权限尚有一定差距,值得重视;此外在撤回授权同意的方法上和登录后访问隐私政策步骤数量,大部分手机银行App都能做到简单易用,以下为相关详细数据。
最大值
最小值
平均值
App申请权限数量
134
19
58
App申请的高风险权限数量
46
6
15
隐私政策中声明的高危权限(组)数量
12
4
7
撤回授权同意的方法数量
5
1
2
登录后访问隐私政策的步骤数量
5
2
4
表:App权限及隐私政策相关统计(平均值为四舍五入后的整数值)
3、主流合规方案实现统计
目前对于生物识别协议、申请敏感权限时的提示方式等内容,虽然业界并未有完全统一的要求,但是也有一些主流合规方案为大家普遍接受,以下是本次测评中的主流方案及占比。
主流方案
测评中实现比例
生物识别(人脸、声纹等)协议
单独协议
41.66%
申请敏感权限时的提示方式
单独弹窗
93.75%
App启动后是否立即申请权限
否
95.83%
注册方式
支持线上直接注册
85.42%
注销方式
支持线上注销
89.58%
是否具备关闭个性化推送的开关
具备关闭开关
52.08%
表:App主流合规方案实现统计(实现比例为四舍五入后的整数值)
手机银行App隐私政策透明度与合理性测评
隐私政策是用户了解企业收集使用个人信息合规情况的途径,也是企业告知用户如何处理个人信息的最直接方式,个人信息保护法的第六条要求处理个人信息应当具有明确、合理的目的,而第七条就明确要求了处理个人信息应当遵循公开、透明原则。故本次测评中第一大部分内容就是对手机银行App隐私政策的透明度与合理性进行测评。本次测评选取了14个相关的测评项进行测评,具体内容如下:
序号
测评内容
1
检查个人信息保护政策所告知的信息是否真实、准确、完整。
2
检查个人信息保护政策中是否包含个人信息保护政策的发布、生效或更新日期。
3
检查个人信息保护政策中是否包含个人金融信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等。
4
检查个人信息保护政策中是否包含收集、使用个人金融信息的目的,以及目的所涵盖的各个业务功能,例如将个人金融信息用于推送商业广告,将个人金融信息用于形成直接用户画像及其用途等。
5
检查个人信息保护政策中是否包含各业务功能分别收集的个人金融信息,以及收集方式和频率、存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)等个人金融信息处理规则和实际收集的个人金融信息范围。
6
检查个人信息保护政策中是否包含遵循的个人金融信息安全基本原则,具备的数据安全能力,以及采取的个人金融信息安全保护措施。
7
检查个人信息保护政策中是否包含提供个人金融信息后可能存在的安全风险,及不提供个人金融信息可能产生的影响。
8
检查收集年满14周岁未成年人的个人信息前,是否征得未成年人或其监护人的明示同意;不满14周岁的,是否征得其监护人的明示同意。
9
检查是否逐一列出App收集使用个人信息的目的、方式、范围等。
10
检查是否逐一列出第三方SDK收集使用个人信息的目的、方式、范围等。
11
检查App是否已建立已收集个人信息清单和与第三方共享个人信息清单
12
检查App在征得用户同意前是否存在收集个人信息或打开可收集个人信息的权限的情况。
13
检查实际打开的可收集个人信息权限是否超出用户授权范围。
14
检查个人信息处理者向其他个人信息处理者提供其处理的个人信息的,是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
表:隐私政策透明度与合理性检测项
图:隐私政策透明度与合理性得分情况(满分为39分)
本分项测评得分前十的手机银行App分别为:
哈尔滨银行手机银行App
华夏银行手机银行App
交通银行手机银行App
平安银行手机银行App
浦发银行手机银行App
上海农商银行手机银行App
苏州银行手机银行App
天津银行手机银行App
兴业银行手机银行App
邮储银行手机银行App
中国建设银行手机银行App
备注:以上排名不分先后,按首字拼音顺序排序,首字拼音相同按次字拼音顺序排序,以此类推,第十名分值相同情况共同列入本名单。
典型案例
以下将通过一些App的优秀合规案例以及风险案例对本次测评中通过率较低的测评项进行阐述及分析。
优秀案例
1、需逐一列出第三方SDK收集使用个人信息的目的、方式、范围等。
测评依据
《App违法违规收集使用个人信息行为认定方法》:未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
案例展示
图:优秀案例1-1
图:优秀案例1-2
根据相关标准,以上案例中该客户端详细列举了每一个SDK,并包含了SDK收集使用个人信息的目的、方式、范围以及隐私政策链接(联系方式)、SDK名称、SDK厂商等信息,并详细列举收集的个人信息,不存在使用“等”、“例如”及其他概括性或模糊语句描述。
建议
针对这一项,我们建议开发者:
·明确列出所有收集用户信息的第三方SDK及其收集个人信息的目的、方式和范围。
·告知第三方SDK的名称、厂商以及易于访问的隐私政策链接或者联系方式。
·定期审查和更新第三方SDK收集使用个人信息的描述,确保隐私政策描述和App实际使用匹配。
·条件允许的情况下可将SDK列表整理成条理更清晰的表格等形式,并以超链接的形式放在二级页面,方便用户阅读,并减少一级页面的内容。
2、在客户端内是否具备个人信息采集清单、个人信息共享清单。
测评依据
工信部信管函〔2021〕292号《工业和信息化部关于开展信息通信服务感知提升行动的通知》:
(二)建立个人信息保护“双清单”。
各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在App二级菜单中展示,方便用户查询。
已收集个人信息清单应简洁、清晰列出App(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
与第三方共享个人信息清单应简洁、清晰列出App与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
案例展示
图:优秀案例2-1
图:优秀案例2-2
以上案例中客户端内均在二级菜单设有个人信息收集清单和第三方信息共享清单,并且个人信息收集清单是随着时间动态变化的,方便用户直观的看到某个时间段内App收集的个人信息。
建议
针对这一项,我们建议开发者:
·在客户端的二级菜单中增加个人信息采集清单和个人信息共享清单。
·确保个人信息采集清单是动态变化的,以反映用户数据的最新状态。
·提供易于理解和操作的用户界面,让用户能够轻松访问和管理自己的个人信息。
·定期审查和更新个人信息清单,确保其内容与最新的法律法规和用户需求保持一致。
风险案例
1、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围
测评依据
《App违法违规收集使用个人信息行为认定方法》:
3.3实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。
GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》:
6.5.1-a) 应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与App业务功能无关的系统权限。注1:声明,是指在应用程序清单文件(如安卓的AndroidManifest.xml文件、iOS的Info.plist等)中向操作系统说明所需的系统权限。
案例展示
图:风险案例1-1
图:风险案例1-2
图:风险案例1-3
以上案例中,案例1-1个人信息保护政策中缺少读取手机状态和身份权限的描述,案例1-2个人信息保护政策中缺少读取手机状态和身份、读取电话号码、读写外部存储空间权限的描述,案例1-3缺少录音权限、读写外部存储空间权限的描述。
建议
常见缺少描述的权限如获取应用账户、修改或查看电话拨号、读取手机状态和身份、读取电话号码、读写外置存储、读取通话记录等,本次测评中具体缺失情况如下图所示。
图:缺失权限统计展示
针对这一项,我们建议:
·开发者完善自身权限管理制度和流程,在权限引入时明确权限使用目的并同步至个人信息保护政策;
·涉及第三方SDK引入的权限也同样进行管理,防止第三方SDK引入预期外的权限;
·在版本打包完成后,检查App权限清单并与个人信息保护政策进行核对,防止出现上述问题。
2、需逐一列出App收集使用个人信息的目的、方式、范围等
测评依据
《App违法违规收集使用个人信息行为认定方法》:
2.1未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
工信部信管函〔2020〕164号《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》:
3.1.1.违规收集个人信息。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
建议
常见的缺少描述的信息有设备硬件序列号、指定包名信息、运营商名称、SSID、BSSID、MAC地址等,详见下图:
图:缺失行为统计展示
针对这一项,我们建议:
·在开发过程中严格限制App自身代码对设备信息的获取行为或使用统一信息获取框架,通过拦截对特定设备信息的获取行为进行预防;
·也可以在版本打包完成后,进行专项检测,验证App自身对设备信息的获取情况,防止出现上述问题。
附录
测评App版本与下载途径
App名称
版本
下载市场
版本上线日期
安徽农金
4.0.4
华为应用市场
2024.5.23
渤海银行
6.2.11
小米应用市场
2024.6.17
北京银行
8.1.2
vivo应用市场
2024.5.30
沧州银行
3.0.22
华为应用市场
2024.3.27
丹东银行
3.4.0
vivo应用市场
2024.6.18
大连银行
5.2.1
腾讯应用宝
2024.5.22
光大银行
11.0.6
华为应用市场
2024.6.6
广东南粤银行
8.0.7
华为应用市场
2024.07.05
广发银行
9.2.0
vivo应用市场
2024.5.28
赣州银行
5.2.24
vivo应用市场
2024.2.26
广州银行
5.2.0
小米应用市场
2024.6.03
河北银行
6.4.2
银行官方网站
2024.2.4
邯郸银行
5.2.4
vivo应用市场
2024.5.23
哈尔滨银行
4.5.9
vivo应用市场
2024.6.13
恒丰银行
5.0.9
vivo应用市场
2024.6.14
华润银行
5.0.3
华为应用市场
2024.6.11
华夏银行
5.3.8.1
腾讯应用宝
2024.7.4
吉林银行
6.0.9
腾讯应用宝
2024.6.19
交通银行
8.3.0
vivo应用市场
2024.5.22
昆仑银行
3.1.2
vivo应用市场
2024.3.30
昆山农商银行
3.1.9
腾讯应用宝
2024.6.9
廊坊银行
6.1.0
银行官方网站
2024.6.5
民生银行
8.21
华为应用市场
2024.5.22
平安口袋银行
6.22.1
银行官方网站
2024.6.20
浦发银行
13.1.3
华为应用市场
2024.6.13
山东农信
5.2.6
vivo应用市场
2024.6.11
上海农商银行
7.5.2
华为应用市场
202.7.1
上饶银行
1.8.0.1
腾讯应用宝
2024.2.4
苏州银行
6.0.3
vivo应用市场
2024.5.15
天府手机银行
4.0.0.14
银行官方网站
2024.6.24
天津农商银行
6.5.6
小米应用市场
2024.6.20
天津银行
7.0.9
银行官方网站
2024.6.14
邢台银行
3.12.0
华为应用市场
2024.7.1
厦门国际银行
4.2.5
vivo应用市场
2024.5.26
厦门银行
6.6.4
华为应用市场
2024.5.29
兴业银行
6.0.13
vivo应用市场
2024.6.14
邮储银行
9.5.0
vivo应用市场
2024.5.24
营口银行
4.3.0
银行官方网站
2024.3.4
裕民银行
3.9.7
银行官方网站
2024.6.27
中国工商银行
9.1.0.5.1
腾讯应用宝
2024.6.12
中国建设银行
7.3.0
华为应用市场
2024.6.3
中国农业银行
9.1.0
华为应用市场
2024.4.24
中国银行
9.0.1
华为应用市场
2024.6.30
自贡银行
3.1.0
小米应用市场
2024.4.3
张家港农商行
5.9.9
腾讯应用宝
2024.6.9
招商银行
12.2.0
华为应用市场
2024.5.9
浙商银行
5.2.15
华为应用市场
2024.6.19
中信银行
10.3.0
华为应用市场
2024.5.31
测评指标详细内容
序号
测试内容
检测方法
依据标准与对应条目
1
检查个人信息保护政策所告知的信息是否真实、准确、完整。
1、查看个人信息保护政策,验证其不应存在使用概括性或模糊语句描述收集个人信息的业务功能及收集个人信息的目的、类型、方式的情况,如“例如”、“等”;
《GBT35273-2020个人信息安全规范》:
5.4c)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;(注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)
5.4d)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
5.5个人金融信息控制者在制定个人信息保护政策时,其内容包括以下内容:
1)个人金融信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等;
2) 收集、使用个人金融信息的目的,以及目的所涵盖的各个业务功能,例如将个人金融信息用于推送商业广告,将个人金融信息用于形成直接用户画像及其用途等;
3) 各业务功能分别收集的个人金融信息,以及收集方式和频率、存放地域、存储期限等个人金融信息处理规则和实际收集的个人金融信息范围;
4) 对外共享、转让、公开披露个人金融信息的目的、涉及的个人金融信息类型、接收个人金融信息的第三方类型,以及所承担的相应法律责任;
5) 遵循的个人金融信息安全基本原则,具备的数据安全能力,以及采取的个人金融信息安全保护措施;
f5) 个人金融信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人金融信息副本的方法、约束信息系统自动决策的方法等;
7) 提供个人金融信息后可能存在的安全风险,及不提供个人金融信息可能产生的影响;
8) 处理个人金融信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
《App违法违规收集使用个人信息行为认定方法》:
1.1在App中没有个人信息保护政策,或者个人信息保护政策中没有收集使用个人信息规则;
3.8未向用户提供撤回同意收集个人信息的途径、方式。
JR/T0171-2020《个人金融信息保护技术规范》:
7.1.1-c)收集个人金融信息前,应向个人金融信息主体明确告知金融产品或服务需收集的个人金融信息类别,以及收集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申诉的渠道及响应时限等),并获得个人金融信息主体的明示同意。
2
检查个人信息保护政策中是否包含个人信息保护政策的发布、生效或更新日期。
2、查看个人信息保护政策,其内容需要包含:
a)生效时间、发布/更新时间;
3
检查个人信息保护政策中是否包含个人金融信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等。
b)个人金融信息控制者的基本情况,至少说明机构的注册名称、地址和联系方式;
4
检查个人信息保护政策中是否包含收集、使用个人金融信息的目的,以及目的所涵盖的各个业务功能,例如将个人金融信息用于推送商业广告,将个人金融信息用于形成直接用户画像及其用途等。
c)收集、使用个人金融信息的目的,以及目的所涵盖的各个业务功能;
5
检查个人信息保护政策中是否包含各业务功能分别收集的个人金融信息,以及收集方式和频率、存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)等个人金融信息处理规则和实际收集的个人金融信息范围。
d)个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限);
e)个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;
6
检查个人信息保护政策中是否包含遵循的个人金融信息安全基本原则,具备的数据安全能力,以及采取的个人金融信息安全保护措施。
f)遵循的个人金融信息安全基本原则,具备的数据安全能力,以及采取的个人金融信息安全保护措施;
7
检查是否提供个人金融信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人金融信息副本的方法、约束信息系统自动决策的方法等。
g)访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法(至少需要有操作步骤,仅说明用户可以在App查询个人信息属于不符合要求);
h)检查提供哪些撤回用户同意的方法;
8
检查个人信息保护政策中是否包含提供个人金融信息后可能存在的安全风险,及不提供个人金融信息可能产生的影响。
i)提供个人金融信息后可能存在的安全风险,及不提供个人金融信息可能产生的影响;
9
检查是提供处理个人金融信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
j)个人金融信息主体询问、投诉的渠道和机制,以及应至少说明外部纠纷解决机构,外部纠纷解决机构为法院或行业主管部门等机构;
10
检查收集个人生物识别信息前,是否单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意(注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)。
k)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
11
检查收集年满14周岁未成年人的个人信息前,是否征得未成年人或其监护人的明示同意;不满14周岁的,是否征得其监护人的明示同意。
l)个人信息保护政策中明确说明了未成年人信息的收集使用规则。
12
检查在App首次运行时是否通过弹窗等明显方式提示用户阅读个人信息保护政策等收集使用规则。
安装并运行App,其在首次安装并运行时应通过弹窗方式提示用户阅读个人信息保护政策等收集使用规则。
《App违法违规收集使用个人信息行为认定方法》1.2在App首次运行时未通过弹窗等明显方式提示用户阅读个人信息保护政策等收集使用规则;
13
检查个人信息保护政策等收集使用规则是否易于访问,进入App主界面后,访问个人信息保护政策点击不多于4次。
1、进入App后查看个人信息保护政策,其到最终版本(简体中文版本)的个人信息保护政策的步骤不超过4步,包括点击、滑动;
2、登录后在App内未提供个人信息保护政策链接属于不符合的情形。
《App违法违规收集使用个人信息行为认定方法》:
1.3个人信息保护政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到。
GBT35273-2020《信息安全技术个人信息安全规范》:
5.5-d)个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接。
GBT42574-2023 《信息安全技术个人信息处理中告知和同意的实施指南》:
8.1-1)以公开且便于个人查阅的方式展示个人信息保护政策;个人信息保护政策支侍拷贝,下载等方式以便于个人保存其内容。
注1:使用交互式界面长期展示个人信息保护政策时,不能藏匿太深,如打开产品或服务的主界面后,个人不多于4次点击、滑动等操作能查看到个人信息保护政策。
14
检查是否逐一列出App收集使用个人信息的目的、方式、范围等。
1、查看个人信息保护政策,应包含从业务功能维度(参考GB35273 附录D)描述收集使用个人信息的目的、方式、范围的内容;
2、检查个人信息保护政策,应包含对App采集设备信息的列举且列举齐全,如MAC地址、Android ID等。
《App违法违规收集使用个人信息行为认定方法》:
2.1未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
工信部信管函〔2020〕164号《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》:
3.1.1.违规收集个人信息。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
15
检查是否逐一列出第三方SDK收集使用个人信息的目的、方式、范围等。
1、检查个人信息保护政策,应包含逐一列明集成的第三方SDK收集使用个人信息的目的、方式和范围的内容;
2、检查个人信息保护政策,应包含对SDK采集设备信息的列举且列举齐全,如MAC地址、Android ID等。
16
检查App是否已建立已收集个人信息清单和与第三方共享个人信息清单。
检查App,应具备个人信息采集清单、个人信息共享清单,并在APP二级菜单中展示,方便用户查询,已收集个人信息清单包含已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等,第三方共享个人信息清单列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
工信部信管函〔2021〕292号《工业和信息化部关于开展信息通信服务感知提升行动的通知》:
(二)建立个人信息保护“双清单”。
各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单(首批设立“双清单”的企业名单见附件),并在App二级菜单中展示,方便用户查询。(2021年12月底前完成)
已收集个人信息清单应简洁、清晰列出App(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
与第三方共享个人信息清单应简洁、清晰列出App与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
17
检查隐私政策中是否说明在更新后再次征得用户同意、个人信息保护政策的更新内容。
1、查看个人信息保护政策内容,应具备会在个人信息保护政策更新后再次征得用户同意的相关描述;
2、查看个人信息保护政策内容,应说明本次个人信息保护政策的更新内容。
《App违法违规收集使用个人信息行为认定方法》:
2.2收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新个人信息保护政策等收集使用规则并提醒用户阅读等。
GBT35273-2020《信息安全技术个人信息安全规范》:
5.5-f)在a)所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。
《个人信息保护法》:
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
18
检查App在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,是否同步告知用户其目的,且目的明确、易于理解。
1、打开App并触发相关功能,其在申请敏感权限时应弹窗告知用户权限申请目的;
2、App在申请敏感权限时弹窗的提示内容中不可为包含当前场景的使用目的而非权限本身的使用目的(如:OCR时提示信息告知用户申请权限用于OCR但实际仍然会在其他功能中使用);
3、打开App并触发相关功能,其在收集敏感信息时(证件图片、证件号码、银行卡号)应具备单独的提示信息,告知用户敏感信息的收集目的。
《App违法违规收集使用个人信息行为认定方法》:
2.3在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解。
GBT35273-2020《信息安全技术个人信息安全规范》:
5.4-b)收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
19
检查App在征得用户同意前是否存在收集个人信息或打开可收集个人信息的权限的情况。
1、安装并运行App,App首次运行时应先弹出个人信息保护政策,征得用户明示同意后,再获取权限或信息(注:WebView控件在App首次运行,同意个人信息保护政策前加载时,不应采集mac 或应用列表);
2、点击不同意个人信息保护政策,查看是否进入浏览模式,若进入浏览模式且会采集个人信息或打开可收集个人信息的权限,则应告知用户浏览模式采集的个人信息/权限、使用目的等情况并征得用户同意后再获取信息或打开可收集个人信息的权限,否则应在进入浏览模式的情况下不采集个人信息或打开可收集个人信息的权限,若用户点击不同意后App退出,则退出过程中不可采集信息或申请权限。
《App违法违规收集使用个人信息行为认定方法》:
3.1征得用户同意前就开始收集个人信息或打开可收集个人信息的权限。
GBT35273-2020《信息安全技术个人信息安全规范》:
5.3-b)应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息。
JR/T0171-2020《个人金融信息保护技术规范》:
6.1.1-c)应采取技术措施(如弹窗、明显位置URL链接等),引导个人金融信息主体查阅个人信息保护政策,并获得其明示同意后,开展有关个人金融信息的收集活动。
20
检查App在明确拒绝授权后,是否多次频繁弹窗或其他形式地征求用户同意授权,影响用户正常使用。
1、运行并监控App行为,检查其在用户明确表示不同意后,不会收集个人信息;
2、运行并监控App行为,检查其在用户明确表示不同意后,不会频繁征求用户同意、干扰用户正常使用。(为支持App正常运行,或用户主动选择使用的某一具体功能触发征得同意的动作,不属于频繁干扰情形。例如用户拒绝授权“相机”权限后的48小时内,主动选择使用拍摄、扫码等功能时,App再次申请打开该权限的情形不属于频繁干扰)。
《App违法违规收集使用个人信息行为认定方法》:
3.2用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用。
GBT35273-2020《信息安全技术个人信息安全规范》:
5.3-d)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意。
21
检查实际打开的可收集个人信息权限是否超出用户授权范围。
反编译App并核对个人信息保护政策,检查App清单文件中声明的高危权限应和个人信息保护政策中权限相关描述的内容一致。
《App违法违规收集使用个人信息行为认定方法》3.3实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。
GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》6.5.1-a) 应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与ApP业务功能无关的系统权限。注1:声明,是指在应用程序清单文件(如安卓的AndroidManifest.xml文件、iOS的Info.plist等)中向操作系统说明所需的系统权限。
22
检查App在申请隐私政策授权时,是否默认选择同意。
1、安装并启动App,App首次启动时应弹窗告知用户个人信息保护规则,并征得用户明示同意;
2、使用App,App首次登录和注册界面应有个人信息保护政策链接,并要求用户主动勾选或同意,不可设置为默认勾选,切换账号登录时应要求用户再次勾选同意个人信息保护政策;
3、安装并启动App,App首次启动时弹窗告知用户个人信息保护规则并征得用户同意时,应提供明确的同意或拒绝按钮。
《App违法违规收集使用个人信息行为认定方法》:
3.4以默认选择同意个人信息保护政策等非明示方式征求用户同意。
JR/T0171-2020《个人金融信息保护技术规范》:
7.1.1-a)不应欺诈、诱骗,或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息。
23
检查App收集的个人信息类型或打开的可收集个人信息权限是否超出现有业务功能(如启动后即开始索权,未在触发相应业务功能时再索权)。
1、打开App并尝试登录,App在登录前不可申请与当前业务功能无关的权限,例如:
a)位置权限:启动后,用户未见首页时不可申请,首页中存在业务功能需要位置信息时可根据实际需要进行申请
b)存储权限:App登录及登录前无必要不可申请存储权限;
2、登录App后触发与权限相关的业务功能,其不可申请与当前业务功能无关的权限。
《App 违法违规收集使用个人信息行为认定方法》:
4.1 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
GB/T35273-2020 《个人信息安全规范》:
5.2-a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现。
JR/T 0171-2020 《个人金融信息保护技术规范》:
7.1.1-b) 收集个人金融信息应遵循最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与无法实现前述目的。
GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》6.5.1-a) 应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与ApP业务功能无关的系统权限
24
检查App实现基本功能(转账)时需要采集的信息是否在规范要求的范围之内。
检查App实现基本功能(转账)时需要采集的必要信息应符合《常见类型移动互联网应用程序必要个人信息范围规定》,例如,手机银行类:
a)注册用户移动电话号码;
b)用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、 银行预留移动电话号码;
c)转账时需提供收款人姓名、银行卡号码、开户银行信息。
《常见类型移动互联网应用程序必要个人信息范围规定》
JR/T0171-2020《个人金融信息保护技术规范》
7.1.1-b)收集个人金融信息应遵循最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与无法实现前述目的。
GBT41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》
6.1最小必要收集
25
检查用户不同意收集非必要个人信息或拒绝打开非必要权限,App业务是否能正常使用。
1、App不可存在启动时申请权限,拒绝后无法正常打开App的情况;
2、更换新设备,首次登录时,不可必须人脸,强制使用人脸验证违背《常见类型移动互联网应用程序必要个人信息范围规定》、《信息安全技术人脸识别数据安全要求》;
3、使用App,检查App在使用涉及申请权限的功能时,用户拒绝打开非必要权限,App业务功能需可以正常使用。
《App违法违规收集使用个人信息行为认定方法》4.2因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能。
GBT35273-2020《信息安全技术个人信息安全规范》5.3-d)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》6.5.1-f) 如用户拒绝或撤回同意系统权限授权,宜为用户提供无需系统权限亦可实现业务功能的替代解决方案;
GBT 41819-2022《信息安全技术 人脸识别数据安全要求》5-b)b)
应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别;应同时提供人脸识别方式和非人脸识别方式,并由自然人选择使用。
26
检查App启动时同意个人信息保护政策后是否要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用App。
1、App启动时同意个人信息保护政策后不可要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用App;
2、App登录时不可要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用App。
《App违法违规收集使用个人信息行为认定方法》4.6要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
27
检查个人信息处理者向其他个人信息处理者提供其处理的个人信息的,是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
检查个人信息保护政策,其中涉及个人信息共享时应向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,或承诺实际发生共享时,向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
《中华人民共和国个人信息保护法》第二十三条
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
《GBT35273-2020个人信息安全规范》
b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
c)共享、转让个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
28
检查是否提供有效的更正、删除个人信息及注销用户账号功能。
检查App功能,应提供有效的更正、删除个人信息及注销用户账号功能。
《App违法违规收集使用个人信息行为认定方法》6.1未提供有效的更正、删除个人信息及注销用户账号功能。
GBT35273-2020《信息安全技术个人信息安全规范》8.5-a)通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;
29
检查在进行更正、删除个人信息及注销账号时,是否设置不必要、不合理的条件。
1、检查App注册功能,若App提供线上注册功能则需提供线上注销功能;
2、检查App注销条件,不可设置不合理注销条件。包括注销时需要提供的信息多于注册和使用,注销单个账号视同注销其他App账号,必须填写精确历史操作记录才可注销等。
《App违法违规收集使用个人信息行为认定方法》6.2为更正、删除个人信息或注销用户账号设置不必要或不合理条件。
GBT35273-2020《信息安全技术个人信息安全规范》8.5-a)通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;
30
检查个人信息保护政策中用户权利实现机制人工处理的承诺时限。
检查个人信息保护政策中对用户权利实现机制中人工处理的承诺时限,需要在15个工作日内完成核查和处理。
《App违法违规收集使用个人信息行为认定方法》6.3虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理
31
检查个人信息保护政策中用户投诉举报机制人工处理的承诺时限。
检查个人信息保护政策中声明的用户投诉举报机制中人工处理的承诺时限,需要在15个工作日内受理并处理。
GBT35273-2020《信息安全技术个人信息安全规范》8.8个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。
《App违法违规收集使用个人信息行为认定方法》6.5未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
JR/T0171-2020《个人金融信息保护技术规范》7.1.1-c)收集个人金融信息前,应向个人金融信息主体明确告知金融产品或服务需收集的个人金融信息类别,以及收集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申诉的渠道及响应时限等),并获得个人金融信息主体的明示同意。
32
App的自启动情况
检查App是否存在如下情形:
1、App伴随系统启动而自启动;
2、在结束进程后,App自启动;
3、App监听系统广播自启动;
4、App在多任务列表中关闭后仍然留存子进程或主进程。
《TTAF 146—2023安卓系统移动智能终端应用后台启动行为规范》。
《GBT-41391-2022 移动互联网应用程序(App)收集个人信息基本要求》:
6.7-d)在非服务所必需或者无合理场景下,不应自启动或者关联启动其他App。
工信部《APP用户权益保护测评规范》之《TTAF 078.10-2020 APP用户权益保护测评规范 自启动和关联启动行为》:
a)App未向用户明示未经用户同意,且无合理的使用场景,不应自启动或关联启动其它App;
b)App向用户明示但未经用户同意,不应自启动或关联启动其它 App;
c)App非服务所必需或无合理应用场景,不应自启动或关联启动第三方App;
d)SDK 非服务所必需或无合理应用场景,不应启动或关联启动App。
本文作者可以追加内容哦 !
