2024年2月20日发(作者:容痴梅)
《移动APP隐私合规安全评估报告》模版
1 检测依据
全国人大常委会《中华人民共和国网络安全法》
全国人大常委会《个人信息保护法(草案)》
全国信息安全标准化技术委员会《GB/T 35273-2020-信息安全技术 个人信息安全规范》
全国信息安全标准化技术委员会《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》
全国信息安全标准化技术委员会《移动互联网应用程序(App)收集使用个人信息自评估指南》
全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》 全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》
App专项治理工作组《App违法违规收集使用个人信息自评估指南》
APP专项治理工作组《App申请安卓系统权限机制分析与建议》
四部委《App违法违规收集使用个人信息行为认定方法》
四部委《常见类型移动互联网应用程序必要个人信息范围规定》
工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
国家互联网信息办公室《个人信息出境安全评估办法(征求意见稿)》
国家互联网信息办公室《儿童个人信息网络保护规定》
电信终端产业协会-工信部团体标《移动智能终端与应用软件用户个人信息保护实施指南》
信终端产业协会-工信部团体标《APP收集使用个人信息最小必要评估规范》
电信终端产业协会-工信部团体标《APP用户权益保护测评规范》
2 应用基本信息
APP名称
XXXX
功能类型
网络支付、社交、工具
版本号
xxxx
包名称
文件SHA1
xxxxxxxxxxx
3 评估工具和规范
序号
设备名称
配置
备注
1
iPhone 12 Pro Max
iOS14.7.1 64G
2
谷歌pixe 16
安卓 10 64G内存
4 评估结果
4.1 风险概览
序号
风险大类
检测项目
风险等级
非产品所必需且无合理应用1
超范围收集个人信息
场景,超出与收集个人信息时所声称的目的有直接或合理关联的范围...
高
应用未向用户明示SDK的收集规则,未经用户同意,SDK在静默下或在后台运行2
违规使用个人信息
时....
高
应该未见向用户告知且未经用户同意
高
APP 未向用户明示未经用户同意,且无合理的 使用场景,存在频繁自启动或关3
应用频繁自启动和关联启动
联启动的行为。
中
4
...
...
...
4.2 风险详情
4.2.1 第三方SDK检测
序号
SDK名称
SDK类别
隐私政策是否申请
代码位置
1
XX地图
地图导航
√
2
XXX定位
地图导航
√
3
...
整改建议:无
4.2.2 隐私政策检测
应用收集数据和隐私政策申明信息:
序号
个人信息
隐私政策申明
应用获取
1
面部特征
√
√
2
指纹
√
3
短信
4
手机号码
5
通讯地址
6
姓名
7
出生日期
8
密码保护答案
9
消费记录
10
支付渠道
11
浏览记录
整改建议:
4.2.3 权限申请使用
序号
权限名称
隐私政策申明
1
录音
√
2
精准定位
√
3
后台访问位置
4
整改建议:
访问粗略位置
√
........
5 评估总结
经过本次检测共发现 XX 处风险,主要的问题有:
违规收集个人信息存在 X 个问题;
超范围收集个人信息存在 X 个问题;
违规使用个人信息存在 X 个问题;
未公开收集使用规则存在 X 个问题;
未明示收集使用个人信息的目的、方式和范围存在 X 问题;
未经同意收集使用个人信息存在 X 个问题;
违反必要原则收集与提供服务无关的个人信息存在 X 个问题;
未经同意向他人提供个人信息存在 X 个问题;
2024年2月20日发(作者:容痴梅)
《移动APP隐私合规安全评估报告》模版
1 检测依据
全国人大常委会《中华人民共和国网络安全法》
全国人大常委会《个人信息保护法(草案)》
全国信息安全标准化技术委员会《GB/T 35273-2020-信息安全技术 个人信息安全规范》
全国信息安全标准化技术委员会《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》
全国信息安全标准化技术委员会《移动互联网应用程序(App)收集使用个人信息自评估指南》
全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》 全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》
App专项治理工作组《App违法违规收集使用个人信息自评估指南》
APP专项治理工作组《App申请安卓系统权限机制分析与建议》
四部委《App违法违规收集使用个人信息行为认定方法》
四部委《常见类型移动互联网应用程序必要个人信息范围规定》
工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
国家互联网信息办公室《个人信息出境安全评估办法(征求意见稿)》
国家互联网信息办公室《儿童个人信息网络保护规定》
电信终端产业协会-工信部团体标《移动智能终端与应用软件用户个人信息保护实施指南》
信终端产业协会-工信部团体标《APP收集使用个人信息最小必要评估规范》
电信终端产业协会-工信部团体标《APP用户权益保护测评规范》
2 应用基本信息
APP名称
XXXX
功能类型
网络支付、社交、工具
版本号
xxxx
包名称
文件SHA1
xxxxxxxxxxx
3 评估工具和规范
序号
设备名称
配置
备注
1
iPhone 12 Pro Max
iOS14.7.1 64G
2
谷歌pixe 16
安卓 10 64G内存
4 评估结果
4.1 风险概览
序号
风险大类
检测项目
风险等级
非产品所必需且无合理应用1
超范围收集个人信息
场景,超出与收集个人信息时所声称的目的有直接或合理关联的范围...
高
应用未向用户明示SDK的收集规则,未经用户同意,SDK在静默下或在后台运行2
违规使用个人信息
时....
高
应该未见向用户告知且未经用户同意
高
APP 未向用户明示未经用户同意,且无合理的 使用场景,存在频繁自启动或关3
应用频繁自启动和关联启动
联启动的行为。
中
4
...
...
...
4.2 风险详情
4.2.1 第三方SDK检测
序号
SDK名称
SDK类别
隐私政策是否申请
代码位置
1
XX地图
地图导航
√
2
XXX定位
地图导航
√
3
...
整改建议:无
4.2.2 隐私政策检测
应用收集数据和隐私政策申明信息:
序号
个人信息
隐私政策申明
应用获取
1
面部特征
√
√
2
指纹
√
3
短信
4
手机号码
5
通讯地址
6
姓名
7
出生日期
8
密码保护答案
9
消费记录
10
支付渠道
11
浏览记录
整改建议:
4.2.3 权限申请使用
序号
权限名称
隐私政策申明
1
录音
√
2
精准定位
√
3
后台访问位置
4
整改建议:
访问粗略位置
√
........
5 评估总结
经过本次检测共发现 XX 处风险,主要的问题有:
违规收集个人信息存在 X 个问题;
超范围收集个人信息存在 X 个问题;
违规使用个人信息存在 X 个问题;
未公开收集使用规则存在 X 个问题;
未明示收集使用个人信息的目的、方式和范围存在 X 问题;
未经同意收集使用个人信息存在 X 个问题;
违反必要原则收集与提供服务无关的个人信息存在 X 个问题;
未经同意向他人提供个人信息存在 X 个问题;