App個人信息收集合規(guī)清單、App個人信息收集負面清單

App個人信息收集合規(guī)清單評估項目評估內容合規(guī)評價最小必要原則收集的個人信息是否具有明確、合理、具體的個人信息處理目的？□是□否收集的個人信息是否僅限于實現(xiàn)處理目的所必要的最小范圍（包括類型、頻率、數(shù)量、精度等）？□是□否是否采取對個人信息影響最小的方式收集個人信息？□是□否收集的個人信息是否與處理目的直接相關？□是□否收集的個人信息的類型是否與實現(xiàn)產品或服務的業(yè)務功能有直接關聯(lián)？□是□否是否僅在用戶使用業(yè)務功能期間，收集該業(yè)務功能所需的個人信息？□是□否自動采集個人信息的頻率是否為實現(xiàn)產品或服務的業(yè)務功能所必需的最低頻率？□是□否間接獲取個人信息的數(shù)量是否為實現(xiàn)產品或服務的業(yè)務功能所必需的最少數(shù)量？□是□否告知同意通用要求在處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（1）個人信息處理者的名稱或者姓名和聯(lián)系方式；（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個人行使本法規(guī)定權利的方式和程序；（4）法律、行政法規(guī)規(guī)定應當告知的其他事項？□是□否是否采用顯著方式（如彈窗、圖文、動畫等）向用戶告知個人信息保護政策的核心內容（如所提供的基本業(yè)務功能、必要個人信息等），提示用戶閱讀個人信息保護政策，并取得用戶明示同意？□是□否是否向用戶明示App基本業(yè)務功能、擴展業(yè)務功能和必要個人信息范圍，并顯著區(qū)分必要和非必要個人信息？□是□否因法律法規(guī)規(guī)定收集個人信息，是否明示依據(jù)的法律法規(guī)具體規(guī)定，并僅用于法律法規(guī)所規(guī)定的用途？□是□否是否向用戶提供已收集其個人信息類型的查詢方法，查詢是否通過App獨立界面等方式展示？□是□否對于以間接獲取方式收集的個人信息，是否向用戶提供個人信息獲取來源的查詢方法？□是□否在間接獲取個人信息時，是否滿足如下要求？□是□否1是否要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進行確認？□是□否2是否了解個人信息提供方已獲得的個人信息處理的授權同意范圍，包括使用目的，個人信息主體是否授權同意轉讓、共享、公開披露、刪除等？□是□否3如開展業(yè)務所需進行的個人信息處理活動超出已獲得的授權同意范圍，是否在獲取個人信息后的合理期限內或處理個人信息前，征得個人信息主體的明示同意，或通過個人信息提供方征得個人信息主體的明示同意？□是□否拓展業(yè)務功能收集個人信息擴展業(yè)務功能是否由用戶主動選擇開啟？即是否把個人信息主體自主作出的肯定性動作，如主動點擊、勾選、填寫等，作為產品或服務的特定業(yè)務功能的開啟條件？□是□否是否僅在個人信息主體開啟該業(yè)務功能后，開始收集個人信息？□是□否關閉或退出業(yè)務功能的途徑或方式是否與個人信息主體選擇使用業(yè)務功能的途徑或方式同樣方便？□是□否個人信息主體選擇關閉或退出特定業(yè)務功能后，是否停止該業(yè)務功能的個人信息收集活動？□是□否收集敏感個人信息收集生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息時，是否同步告知用戶收集使用目的、處理敏感個人信息的必要性以及對個人權益的影響，并取得用戶單獨同意？□是□否收集不滿14周歲未成年人個人信息，是否制定包括如下內容的專門個人信息處理規(guī)則：（1）App運營者的名稱或名稱和聯(lián)系方式；（2）未成年人個人信息的處理目的、處理方式；（3）處理的未成年人種類、保存期限；（4）用戶行使個人信息權利的方式和程序；（5）處理未成年人個人信息的必要性；（6）對未成年人個人信息權益的影響？□是□否收集不滿14周歲未成年人個人信息，是否取得未成年人的父母或其他監(jiān)護人的單獨同意？□是□否提供多種服務類型App提供多種類型服務的，收集個人信息是否滿足如下要求？□是□否1是否按照服務類型制定個人信息保護政策，明示各類服務處理個人信息的目的、方式、范圍等？（各類服務的個人信息保護政策，可以是各類服務制定單獨的個人信息保護政策，也可以是按照服務類型匯總的個人信息收集使用規(guī)則）□是□否2是否按照服務類型分別向用戶申請?zhí)幚韨€人信息的同意？□是□否3App類型之外的其他服務類型，是否由用戶自主選擇啟用？□是□否4當用戶首次使用App類型之外的其他服務類型時，是否采取增強式告知方式明示該服務類型的個人信息處理規(guī)則，并取得用戶明示同意？（增強式告知同意可采用專門頁面或單獨步驟等用戶不易繞過的方式向用戶告知。）□是□否5如App提供的其他服務類型屬于《基本要求》附錄A給出的常見服務類型，其他服務類型是否按照附錄A確定相應類型的基本業(yè)務功能和必要個人信息范圍，保障用戶可拒絕或撤回同意收集非必要個人信息，并保障用戶可自主選擇開啟擴展業(yè)務功能？□是□否權限申請App申請可收集個人信息權限時，是否滿足以下要求？□是□否1是否僅聲明和申請實現(xiàn)App服務目的最小范圍的系統(tǒng)權限，不申請與App業(yè)務功能無關的系統(tǒng)權限？□是□否2是否僅在用戶使用相關業(yè)務功能后，才申請與當前業(yè)務功能相關的權限？□是□否3在申請權限時是否同步告知用戶權限申請目的，目的是否明確具體且易于理解，不包含任何欺詐、誘騙、誤導用戶授權的描述？□是□否4在操作系統(tǒng)支持的情況下，在申請相機、位置、麥克風等可收集個人信息權限時是否向用戶提供單次授權的選項？□是□否5如用戶拒絕或撤回同意系統(tǒng)權限授權，是否為用戶提供無需系統(tǒng)權限亦可實現(xiàn)業(yè)務功能的替代解決方案？□是□否權限使用App使用可收集個人信息權限，是否滿足如下要求？□是□否1權限申請授權后收集個人信息的頻率是否在實現(xiàn)App業(yè)務功能所必需的最低合理頻度范圍內？□是□否2權限申請授權后是否僅訪問滿足業(yè)務功能需要的最少個人信息？□是□否3如權限的使用目的、使用場景發(fā)生變化，是否重新告知用戶并取得同意？□是□否4以下操作是否由用戶主動觸發(fā)，且僅在用戶知情的情況下執(zhí)行：（1）執(zhí)行撥打電話、發(fā)送短信等操作；（2）打開或關閉藍牙、定位、無線局域網，以及獲取無線局域網內其他設備的信息等；（3）拍攝、錄音、截屏、錄屏等；（4）讀寫用戶短信、聯(lián)系人、相冊等個人信息？□是□否5申請使用設備管理器、輔助功能、監(jiān)聽通知欄、懸浮窗權限等權限時，是否具有明確的業(yè)務功能需求，向用戶詳細說明申請目的，并取得用戶單獨同意？□是□否App接入第三方應用是否建立第三方產品或服務接入管理機制和工作流程，必要時建立安全評估等機制設置接入條件？□是□否是否向用戶明確標識產品或服務由第三方提供？□是□否是否與第三方明確約定雙方的個人信息處理規(guī)則和保護責任，包括：（1）第三方應用收集個人信息的目的、方式、范圍；（2）第三方應用申請的系統(tǒng)權限和申請目的；（3）App提供給第三方應用的個人信息種類、保存期限、停止接入后的個人信息處理方式；（4）雙方的個人信息安全責任和應實施的保護措施；（5）第三方應用協(xié)助App響應用戶個人信息權利請求的措施？□是□否是否妥善留存第三方接入有關合同和管理記錄，確?？晒┫嚓P方查閱？□是□否是否要求第三方向用戶征得收集個人信息的同意，必要時核驗其實現(xiàn)的方式？□是□否是否要求第三方產品或服務建立響應用戶請求和投訴等的機制，以供用戶查詢、使用？□是□否是否監(jiān)督第三方產品或服務提供者加強個人信息安全管理，發(fā)現(xiàn)第三方產品或服務沒有落實安全管理要求和責任的，是否及時督促整改，必要時停止接入？□是□否產品或服務嵌入或接入第三方自動化工具（如代碼、腳本、接口、算法模型、軟件開發(fā)工具包、小程序等）的，是否采取以下措施？□是□否1是否開展技術檢測確保其個人信息收集、使用行為符合約定要求？□是□否2是否對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計？發(fā)現(xiàn)超出約定的行為的，是否及時切斷接入？□是□否App嵌入第三方SDK是否僅嵌入滿足App業(yè)務功能所需的最少數(shù)量的SDK？□是□否App向第三方SDK提供的個人信息是否僅限于實現(xiàn)處理目的所必要的最小范圍？□是□否是否與第三方SDK明確如下個人信息處理規(guī)則和保護責任：（1）SDK收集個人信息的目的、方式、范圍；（2）SDK申請的系統(tǒng)權限和申請目的；（3）SDK收集個人信息的保存期限，停止嵌入后的個人信息處理方式；（4）個人信息安全責任和保護措施；（5）SDK是否存在熱更新機制；（6）SDK是否存在自啟動、關聯(lián)啟動；（7）SDK收集個人信息是否涉及向境外提供；（8）SDK協(xié)助App響應用戶個人信息權利請求的措施？□是□否是否向用戶告知嵌入的第三方SDK名稱、SDK收集的個人信息種類、使用目的及申請的系統(tǒng)權限、申請目的等，并取得用戶同意？□是□否是否對SDK申請使用權限進行審核，確保其申請的權限具有明確、合理的使用目的，并監(jiān)督SDK的個人信息收集行為是否超出約定或用戶同意的范圍？□是□否如第三方SDK存在熱更新機制，App是否要求SDK采取如下措施：（1）在熱更新推送前向App運營者告知本次熱更新的具體內容及可能造成的影響；（2）如熱更新內容涉及個人信息處理目的、方式和范圍的變更，應通過郵件、電話等逐一送達方式告知App運營者？□是□否停止使用某SDK時，是否及時從代碼中移除該SDK的相關代碼？□是□否其他要求定向推送信息和用戶畫像場景采用唯一設備標識碼表示用戶時，是否使用可變更的唯一設備識別碼（如經隨機化處理后的MAC地址）？□是□否如存在讀取剪切板或公共存儲區(qū)的行為，是否告知用戶讀取的信息范圍和使用目的？□是□否當拍攝、錄音、錄屏、定位時，是否采用顯著方式提示用戶？□是□否是否參考有關國家標準在App設計、開發(fā)階段考慮最小必要等個人信息保護原則，同步規(guī)劃和建設App個人信息保護措施？□是□否App個人信息收集負面清單拒絕或撤回同意1.不應因用戶拒絕或撤回同意提供非必要個人信息，而拒絕用戶使用該App的基本業(yè)務功能；2.當用戶拒絕或撤回App個人信息收集、權限申請或業(yè)務功能使用的同意時，App應滿足以下要求：（1）不應強制退出或關閉App；（2）不應拒絕提供App基本業(yè)務功能或影響其他無關的業(yè)務功能使用，除非用戶拒絕同意App必要個人信息或基本業(yè)務功能；（3）不應頻繁申請授權干擾用戶正常使用，除非由用戶主動觸發(fā)業(yè)務功能，且沒有該個人信息或權限參與此業(yè)務功能無法實現(xiàn)。頻繁的形式包括但不限于：a）單個場景在用戶拒絕授權后，48h內彈窗提示用戶打開權限的次數(shù)超過1次；b）每當用戶重新打開App或使用無關的業(yè)務功能時，都會再次向用戶索要授權或提示用戶缺少相關授權。擴展業(yè)務功能1.如用戶拒絕使用、關閉或退出擴展業(yè)務功能，不應影響用戶使用基本業(yè)務功能；2.不應通過捆綁不同類型服務、捆綁基本業(yè)務功能和擴展業(yè)務功能、批量申請授權等方式，誘導、強迫用戶一次性同意個人信息收集請求；3.個人信息主體不同意使用、關閉或退出特定業(yè)務功能的，不應頻繁征求個人信息主體的授權同意；4.個人信息主體不同意使用、關閉或退出特定業(yè)務功能的，不應暫停個人信息主體自主選擇使用的其他業(yè)務功能，或降低其他業(yè)務功能的服務質量；5.不得僅以改善服務質量、提升使用體驗、研發(fā)新產品、增強安全性等為由，強制要求個人信息主體同意收集個人信息。權限申請1.在用戶未使用相關業(yè)務功能時，不應提前申請與當前業(yè)務功能無關的權限；2.不應以捆綁方式要求用戶一次性同意打開多個系統(tǒng)權限。權限使用1.未經用戶同意，不應更改用戶的系統(tǒng)權限和業(yè)務功能設置，如在App更新升級后，不得未經用戶同意將用戶設置的可收集個人信息權限恢復到默認狀態(tài)，或打開用戶已關閉的可收集個人信息的業(yè)務功能；2.當實現(xiàn)相關功能不需要回傳個人信息則不應回傳至后臺服務器；3.App通過權限獲得的個人信息和能力，不應在未經用戶同意的情況下提供給App接入的第三方應用或嵌入的第三方SDK使用。其他要求1.App不