ComplianceManual杭州市律協數字經濟法律專業委員會APP合規手冊/使用說明本APP合規手冊為對近兩年來常見的APP重點違規項的說明及合規建議。鑒于不同檢測當向具有相關資質的專業人士尋求咨詢或幫助。30個常見重點檢測項匯總檢測項4.隱私政策等收集使用規則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提7.在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解等用戶同意、干擾用戶正常使用11.實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍APP合規手冊16.未向用戶提供撤回同意收集個人信息的途徑、方式17.違反其所聲明的收集使用規則，收集使用個人信息18.收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關21.收集個人信息的頻度等超出業務功能實際需要22.僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，強制要求用25.APP接入第三方應用，未經用戶同意，向第三方應用提供個人信息26.未提供有效的更正、刪除個人信息及注銷用戶賬號功能15個工作日為限)完成核查和處理30.未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內(承諾時限不得超過APP合規手冊 1 1 1 2 3 3 3 5 7 7 7 9 14 14 14 16 16 18 18 21 21 22 22 27 27 29 29 38 38 39 39 40 40 41 41 43 43 44 44 46 47 47 47 48 49 49 51 51 51 51 51 54 553.1有效的更正、刪除個人信息功能或注銷賬號功能-檢測項26、27、28、29 553.2建立并公布個人信息安全投訴、舉報渠道并及時處理-檢測項30 56 56 56 58 60 60 60 60 62 62 62 64 65 65 66 66 67 67 68 70 70 70 71 71 72 72 73 75 77 81 85 85 87 89 89 89 90 90 91 91 91 92 93 93 93 93 93 93 95 95 95 955.2保障老年用戶個人信息安全 95APP合規手冊APP合規手冊11個人信息保護政策規范1.1檢測項5未逐一列出APP(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等。1.1.1檢測標準1.APP個人信息保護政策中未完整列舉逐項說明APP實際業務功能收集使用個人信息類1.1.2違規案例1.1.3合規建議1.建議在個人信息保護政策中，完整說明各業務功能所收集的個人信息，避免使用"等、例如、包括但不限于不完整方式列舉。APP合規手冊APP合規手冊223.個人信息保護政策表述建議：如采集個人信息字段，需要說明采集的具體字段、使用1.1.4賬號注冊、登錄與綁定1.2檢測項41.2.1檢測標準1.2.2合規建議3.行間距應該設置為1.5倍或2倍，以增加文本的可讀性。4.列寬應該與屏幕寬度相匹配，以確保用戶能夠完整地查看所有的文本內容。以幫助用戶快速了解重點內容。8.在設計個人信息保護政策頁面時，應該盡可能地避免使用專業術語，或者在文本中提APP合規手冊APP合規手冊33以上建議有助于確保個人信息保護政策易于理解和遵循，并且有助于減少用戶可能遇到的困難。1.3檢測項81.3.1檢測標準有關收集使用規則的內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等。1.3.2合規建議1.簡化規則：盡量使用簡潔明了的語言來解釋收集使用規則，避免使用專業術語和復雜的語句結構。個人信息保護政策結構需清晰明了，有段落分層，易于用戶閱讀。2.使用易懂的詞語：盡量使用大眾化的詞語來解釋規則，避免使用過于專業化的詞語。們希望分享的信息類型，并明確說明每種類型的用途。2.1檢測項1在APP中沒有個人信息保護政策，或者個人信息保護政策中沒有收集使用個人信息規則。2.1.1檢測標準1.APP應提供由APP運營者制定的關于用戶個人信息的收集、使用等方面的規則，即"個人信息保護政策"。APP合規手冊APP合規手冊442.1.2違規案例1.個人信息保護政策中未放置"第三方SDK清單鏈接。APP合規手冊APP合規手冊552.1.3合規建議1.建議根據下圖合規實例，在個人信息保護政策彈窗中，添加放置"第三方SDK清單2.2檢測項3個人信息保護政策等收集使用規則難以訪問，如進入APP主界面后，需多于4次點擊等2.2.1檢測標準1.個人信息保護政策訪問路徑設置過深，多于4次點擊操作訪問到。APP合規手冊APP合規手冊662.2.2合規建議1.建議將個人信息保護政策的訪問路徑放置在網站或應用程序的顯著位置，例如應用程APP合規手冊APP合規手冊772.3檢測項2在APP首次運行時未通過彈窗等明顯方式提示用戶閱讀個人信息保護政策等收集使用規2.3.1檢測標準1.APP首次運行，未通過"明顯方式提示用戶閱讀個人信息收集使用規則，視為"未2.3.2合規建議1在.APP首次運行時，必須通過明顯的方式向用戶提示個人信息收集使用規則，并告知3.1檢測項6收集使用個人信息的目的、方式、范圍發生變化時，未以適當方式通知用戶，適當方式包括更新個人信息保護政策等收集使用規則并提醒用戶閱讀等。3.1.1檢測標準1.在收集使用個人信息的目的、方式和范圍發生變化時，應更新個人信息保護政策，并通過彈窗、推送通知、紅點提示、電子郵件、信函、電話等適當方式提醒用戶重新閱APP合規手冊APP合規手冊883.1.2違規案例式通知用戶并提醒用戶閱讀。3.1.3合規建議個人信息保護政策更新后是否會再次彈窗用戶重新確認。APP合規手冊APP合規手冊993.2檢測項93.2.1檢測標準經用戶同意就收集用戶設備信息、應用程序列表等個人信息。3.3.APP安裝后，用戶授權同意個人信息保護政策前，就打開可收集個人信息的權限。3.2.2違規案例1.同意個人信息保護政策前即開始調用個人信息API。2.在申請權限前未設置同意拒絕選項。APP合規手冊APP合規手冊3.2.3合規建議1.同意個人信息保護政策前不得以任何方式收集個人信息。例如，如存在在個人信息保護政策中已明示，但在征得用戶同意前開始收集"MAC地址""ME"等個人信息的否會被執行，若被執行，則違規。(來源:vivo開放平臺)2.將相關SDK初始化調整至用戶同意個人信息保護政策后。檢查代碼邏輯，在用戶未點擊同意個人信息保護政策的情況下，存在將IMEI信息、設備MAC地址、軟件安裝征得用戶同意。在用戶同意之前，應用程序不應該收集任何個人信息。建議在彈窗中明確告知用戶必要的信息和操作步驟，并提供明顯的"同意"或"拒絕按鈕，此處APP合規手冊APP合規手冊1.下載行為堆棧，查看APP收集(IMEI、Android_ID、SIM序列號)信息的具體函數下載報告右上角行為堆棧，篩選"APP行為數據"一"同意個人信息保護政策前-"獲取IMEI、獲取SIM序列號、獲取Android_ID"，右側會顯示對應的函數調用棧。APP合規手冊APP合規手冊示例修復代碼:APP合規手冊APP合規手冊APP合規手冊APP合規手冊3.3檢測項123.3.13.3.1檢測標準3.3.2合規建議2.強制閱讀勾選：企業應當將同意個人信息保護政策的勾選框放置在注冊或登錄按鈕前，以確保用戶在注冊或登錄前必須主動勾選同意個人信息保護政策，從而使用戶不得不戶同意。4.1檢測項5未逐一列出APP(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等。4.1.1檢測標準1.APP個人信息保護政策中未完整列舉逐項說明APP實際業務功能收集使用個人信息類型、目的、方式。APP合規手冊APP合規手冊4.1.2違規案例APP內未見"第三方個人信息共享清單"和"已收集個人信息清單"。4.1.3合規建議第三方公司名稱產品/類型共享信息名稱使用目的使用場景敏感權限共享方式第三方個人信息處理規則內嵌SDK名單XX有限公司XXSDKIMEI、OAID幫助用戶登錄和分享內容至第三方應用在用戶每次登錄和分享時使用SDK本機采集XXXXXXXXXXXX........(無此類共享情況，填“無”)關聯APP名單XX有限公司XXAPPIMEI、戶畫像個性化推薦向用戶推薦產品時使用內部數據庫共享XXXXXX........(無此類共享情況，填“無”)APP合規手冊APP合規手冊第三方合作商名單XX有限公司安全保障IMEI、OAID異常行為分析用戶使用APP過程中 實時同步后臺接口傳輸XXXXXX........(無此類共享情況，填“無”)其他第三方分類........5.1檢測項195.1.1檢測標準5.1.2違規案例APP合規手冊APP合規手冊5.1.3合規建議1.建議增加僅瀏覽模式，且在僅瀏覽模式下不收集用戶任何個人信息。APP合規手冊APP合規手冊滿足要求。個人信息保護政策和用戶協議不管有沒有登錄同意，都應通過路徑可查到。參考京東等電商APP，在僅瀏覽模式下還是可以瀏覽商品詳情。6.1.1合規建議注冊時進行必要的指引方便用戶閱讀與理解進一步確保告知同意場景下，用戶授權的真實性、有效性。7.兒童個人信息保護規則7.1.1合規建議APP合規手冊APP合規手冊知):關系。APP合規手冊APP合規手冊個人信息字段采集規范1.1個人信息字段庫(不斷更新)個人基本資料個人基本資料自然人基本情況信息，如個人姓名、生日、年齡、性別、民族、國籍、籍貫、婚姻狀況、家庭關系、住址、個人電話號碼、電子郵件地址、興趣愛好等個人身份信息個人身份信息可直接標識自然人身份的信息，如身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證、港澳臺通行證等證件號碼、證件有效期、證件照片或影印件等個人生物識別信息個人生物識別信息生物識別原始信息（如樣本、圖像等）和比對信息（如特征值、模板等如人臉、指紋、步態、聲紋、基因、虹膜、筆跡、掌紋、耳廓、眼紋等網絡身份標識信息網絡身份標識信息可直接標識網絡或通信用戶身份的信息及賬戶相關資料信息（金融賬戶除外如用戶賬號、用戶ID、即時通信賬號、網絡社交用戶賬號、用戶頭像、昵稱、個性簽名、IP地址、賬戶開立時間等個人健康生理信息健康狀況信息與個人身體健康狀況相關的一般信息，如體重、身高、體溫、肺活量、血壓、血型等個人醫療信息個人因生病醫治等產生的相關記錄，如病癥、住院志、醫囑單、檢驗報告、體檢報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史、吸煙史等個人教育工作信息個人教育信息個人受教育和培訓情況相關信息，如學歷、學位、教育經歷（如入學日期、畢業日期、學校、院系、專業等）、成績單、資質證書、培訓記錄等個人工作信息個人求職和工作情況相關信息，如個人職業、職位、職稱、工作單位、工作地點、工作經歷、工資、工作表現、簡歷等個人財產信息金融賬戶信息金融賬戶及賬戶相關信息，如銀行卡號、支付賬號、銀行卡磁道數據（或芯片等效信息）、銀行卡有效期、證券賬戶、基金賬戶、保險賬戶、公積金賬戶、公積金聯名賬號、賬戶開立時間、開戶機構、賬戶余額、支付標記信息等個人交易信息交易過程中產生的交易信息和消費記錄，如交易訂單、交易金額、支付記錄、透支記錄、交易狀態、交易日志、交易憑證、賬單，證券委托、成交、持倉信息，保單信息、理賠信息等個人資產信息個人實體和虛擬財產信息，如個人收入狀況、房產信息、存款信息、車輛信息、納稅額、公積金繳存明細（含余額、基數、繳納公司、公積金中心、狀態等）、銀行流水、虛擬財產（虛擬貨幣、虛擬交易、游戲類兌換碼等）、個人社保與醫保存繳金額等個人借貸信息個人在借貸過程中產生的信息，如個人借款信息、還款信息、欠款信息、信貸記錄、征信信息、擔保情況等身份鑒別信息身份鑒別信息用于身份鑒別的數據，如賬戶登錄密碼、銀行卡密碼、支付密碼、賬戶查詢密碼、交易密碼、銀行卡有效期、銀行卡片驗證碼（CVN和CVN2）、USBKEY、動態口令、U盾（網銀、手機銀行密保工具信息）、短信驗證碼、密碼提示問題答案、手機客服密碼、個人數字證書、隨機令牌等個人通信信息個人通信信息通信記錄，短信、彩信、話音、電子郵件、即時通信等通信內容（如文字、圖片、音頻、視頻、文件等及描述個人通信的聯系人信息聯系人信息描述個人與關聯方關系的信息，如通訊錄、好友列表、群列表、電子郵件地址列表、家庭關系、工作關系、社交關系等個人上網記錄個人操作記錄個人在業務服務過程中的操作記錄和行為數據，包括網頁瀏覽記錄、軟件使用記錄、點擊記錄、Cookie、發布的社交信息、點擊記錄、收藏列表、搜索記錄、服務使用時間、下載記錄、訪問時間（含登錄時間、退出時間）等業務行為數據用戶使用某業務的行為記錄（如游戲業務：用戶游戲登錄時間、最近充值時間、累計充值額度、用戶通關記錄）等個人設備信息可變更的唯一設備識別碼AndroidID、IDFA、IDFV、OA不可變更的唯一設備識別碼IMEI、IMSI、MEID、設備MAC地址、硬件序列號、ICCID等應用軟件列表終端上安裝的應用程序列表，如每款應用軟件的名稱、版本等個人位置信息粗略位置信息僅能定位到行政區、縣級等的位置信息，如地區代碼、城市代碼等精確位置信息能具體定位到個人的地理位置數據，包括行蹤軌跡、經緯度、住宿信息、小區代碼、基站號、基站經緯度坐標等個人標簽信息個人標簽信息基于個人上網記錄等各類個人信息加工產生的用于對個人用戶分類分析的描述信息，如App偏好、關系標簽、終端偏好、內容偏好等標簽信息個人運動信息個人運動信息步數、步頻、運動時長、運動距離、運動方式、運動心率等其他個人信息其他個人信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄等2.1檢測項182.1.1檢測標準APP合規手冊APP合規手冊2.1.2違規案例1.根據"《常見類型移動互聯網應用程序必要個人信息范圍規定》(三十一)基本功獲取用戶個人信息的敏感API被以下SDK調用。SD卡_創建目錄獲取Androidldcn.jguang(極光SDK調用2次)com.baidu.mobstat(百度移動統計，調用1次)com.baidu.android(未知，調用1次)com.baidu.mobstat(百度移動統計，調用1次)獲取IP地址cn.jguang(極光SDK調用8次)com.baidu.location(百度定位SDK(Android調用32次)cn.jguang(極光SDK,調用7次)com.baidu.mobstat(百度移動統計，調用2次)_TYPE_LIGHTcom.huawei.hms.scankit(com.huawei.hms:scan:2.4.301調用4獲取藍牙MAC地址com.baidu.mobstat(百度移動統計，調用3次)com.baidu.mobstat(百度移動統計，調用6次)com.baidu.location(百度定位SDK(Android調用3次)com.clj.fastble(未知，調用次)SD卡刪除文件com.loctek.secretary(APP自身，調用次)com.baidu.location(百度定位SDK(Android調用2次)com.baidu.location(百度定位SDK(Android調用次)com.iflytek.aiui(科大訊飛AIUIsdk調用4次)com.baidu.location(百度定位SDK(Android調用2次)監聽GNSS狀態com.baidu.location(百度定位SDK(Android調用2次)注冊定位更新事件通知com.baidu.location(百度定位SDK(Android調用4次)SD卡創建文件com.baidu.location(百度定位SDK(Android調用次)獲取imsicom.baidu.location(百度定位SDK(Android)調用1次)2.存在部分未見合理應用場景下的超范圍收集。2.1.3合規建議3.確認必要性和合規性APP合規手冊APP合規手冊5.評估對用戶的影響評估個人信息收集對用戶的影響，包括信息泄露的風險、隱私權利的限制等。6.審查個人信息保護政策不斷更新個人信息采集流程與評估，以確保符合法律法規和行業標準的要求，并及時更新個人信息保護政策，保障用戶的權益。3.1檢測項213.1.1檢測標準2.APP后臺自動收集用戶設備IMEI號、IMSI號、地理位置等信息過于頻繁，超出業務3.1.2違規案例1.測試時間約為33分鐘，APP或SDK收集個人信息的頻次超過實際業務需求。(標黃為APP合規手冊APP合規手冊3.1.3合規建議收集(監聽傳感器)信息的具體函數堆棧信息。2)根據函數調用棧復查APP源代碼，定位到對應的函數進行修正。不要按照固定頻率收集信息，應按照實現功能的最小頻APP合規手冊APP合規手冊4.1檢測項22僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，強制要求用戶同意收集個人信息。4.1.1檢測標準相結合，收集使用個人信息的類型應與具體業務功能相對應。4.1.2違規案例人信息保護政策后無法使用APP，存在強制收集用戶同意風險。4.1.3合規建議場景說明和個人信息行為后，可以得知是AAPP合規手冊APP合規手冊備標識符。站、軟件版本號、網絡接入方式、類型、狀態、網絡質我們采用合并鏈路技術進行技術推送，在啟動App授權同意讀取用戶終端內的通訊錄。通訊錄屬于敏感個人的信息僅用于上述用途。如果不同意，將會無法使用聯系將文件分享至其他app，我們則需要收集您的已安裝應用列務。我們需從您的終端讀取已安裝應用列表，當您分享型號、操作系統版本號、設備標識符；不同的標識符您需提供手機號碼作為賬戶登錄名，登錄時我們還需要收集根據相關法律反洗錢的規定，您需要提供真實可追溯的SIM卡以及為防止使用虛擬SIM號碼進行注冊以獲取應用內福利的行為，取并儲存您的SIM序列號，我們會定期篩查違反國家法律以及戶，涉嫌違法的我們將配合執法部門在法律的規定內提供您的SIM您需提供手機號碼作為賬戶登錄名，登錄時我們還需要收集個人信息收集方式：嵌入第三方SDK，SDK收集傳輸個人信息收集范圍：采集設備標識符（IMEI/Mac/a器），是否為真實用戶。在您使用錄像照相相關功能時，會獲取加速個人信息保護政策鏈接：.運營商、訪問日期和時間以驗證用戶所使用設備是否是合法設備，進行安個人信息收集范圍：系統運營信息、網絡狀態信息、iOSNetBroadcastObserver；為了監聽用戶桌面wi能使用正常，我們使用了AppHomeWidgetProviderXXSDK具有自啟動功能，為確保本應用處于關閉或后臺運行狀態下可動或關聯啟動行為，是因實現功能及服務所必要的動）能力，其目的是確保推送通道的穩定性，以信息，本應用須使用（自啟動）能力，將存在一定頻率通過系在你分享或接收被分享的信息、參加活動等情形下，我們聯動等功能或服務。我們僅在本地識別出剪切板內容屬于聯動等指令時才會將其上傳我們的服務器。除此之外，我板的其他信息至我們的服務器。另外，我們可能需要讀取板功能以判斷是否有相關口令碼信息，我們收集該信息在用該功能上傳您的照片/圖片/視頻，以實現發表評讀寫本地存儲權限為確保您游戲安全以及賬號的數據并存儲，需要讀寫本地存儲權限，包含修改/刪除在法律允許的信息處理范圍內，當您訪問我們的網站們會收集和使用您的位置信息以便為您規劃到達組織對您所在位置信息的收集，但可能因此無法使用我們成為中心用戶時，您需要提供手機號碼以創建賬號，并識別信息（如登錄密碼等如果您僅需使用基本搜索功能，您無需注冊成為注冊/登錄：當您注冊、登錄我們的產品與/或服務時，為了碼進行核驗，將導致注冊/登錄失敗，但不影響您使用視們也有權通過含電信運營商等在內的第三方機構驗證您實性、合法性及有效性，必要情況下我們還有權通過授權從騰訊QQ、微信、Apple賬戶、移動通訊服務商等后，將您的第三方賬戶與您的XXX通用賬號進行綁定，第三方賬戶直接登錄并使用我們的部分產品或服們可能從第三方獲取您授權共享的設備賬戶信息（頭像本個人信息保護政策后將您的第三方賬戶與您的XXX限，我們也僅會在您主動點擊客戶端內麥克風圖標APP合規手冊APP合規手冊4.2檢測項174.2.1檢測標準4.2.24.2.2合規建議1.開展個人信息處理活動需嚴格遵循所公開的《個人信息保護政策》等收集使用規則4.3檢測項20提供原有業務功能，新增業務功能取代原有業務功能的除外。4.3.1檢測標準集時，則拒絕提供原有業務功能。4.3.2合規建議APP合規手冊APP合規手冊敏感個人信息字段采集規范產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨個人因生病醫治等產生的相關記錄，如病癥、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等系統賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友列表、群組列表、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信喪失對個人信息的控制能力，造成個人信息擴散范圍和用途不可控。某些個人信息在泄漏后，被以違背個人信息主體意愿的方式直接使用或與其他信息進行關聯分析，可能對濫用：某些個人信息在被超出授權合理界限時使用(如變更處理目的、擴大處理范圍APP合規手冊APP合規手冊2.1檢測項182.1.1檢測標準2.1.2違規案例2.1.3合規建議1.建議開發者確認是否存在下單業務中收集用戶敏感個人信息的合理業務場景，如存在3.敏感個人信息字段的聲明3.13.1檢測項73.1.1檢測標準生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。3.1.2違規案例1.在要求用戶填寫敏感個人信息時，未同步聲明申請其目的、方式和范圍，以及存儲時間;2.收集用戶敏感個人信息目的彈窗無拒絕選項。APP合規手冊APP合規手冊3.1.3合規建議1.在要求用戶填寫敏感個人信息時，同步明確說明收集信息的目的和用途。個人信息保性、驗證您的身份、保障您及其他用戶的安全以及便于您參與專屬優惠活動，我們將收集您的真實身份信息，包括您的姓名、身份證號碼、手機號碼、附說明的身份證權限聲明及調用規范APP合規手冊權限聲明及調用規范權限聲明及調用規范序號相關權限細分權限功能描述1讀取日歷允許APP讀取用戶日歷數據2編輯日歷允許APP寫入用戶日歷數據3通話記錄讀取通話記錄允許APP讀取用戶通話記錄4編輯通話記錄允許APP寫入用戶通話記錄5監聽呼出電話允許APP查看正在撥打的號碼，并監聽、控制或終止呼出電話6相機相冊查看調取增刪改允許APP查看、調取、增加、刪除相冊內容7拍攝允許APP使用攝像頭8通訊錄讀取通訊錄允許APP讀取用戶通訊錄9編輯通訊錄允許APP寫入用戶通訊錄獲取應用賬戶允許APP從賬戶服務中獲取App賬戶列表位置訪問精準定位允許APP獲取基于GPS等的精準地理位置訪問粗略位置允許APP獲取基于基站、IP等粗略的理位置支持后臺訪問位置允許APP在后臺運行時使用位置信息（需要App獲得訪問粗略位置或訪問精準位置權限）麥克風錄音允許APP使用麥克風進行錄音讀取電話狀態（設備IMSI/IMEI號）APP可通過此權限獲取設備IMSI（國際移動用戶識別息，以及手機通話狀態等讀取本機電話號碼允許APP讀取用戶的本機電話號碼撥打電話允許APP直接撥打電話接聽電話允許APP接聽撥入的電話添加語音郵件允許APP向郵件中添加語音附件使用網絡電話允許APP撥打/接聽SIP網絡電話繼續進行來自其他APP的通話允許APP繼續進行在其他APP中發起的通話傳感器獲取身體傳感器（心率等）信息允許APP訪問身體內部狀況相關的傳感器數據，一般特指心率傳感器數據權限聲明及調用規范APP合規手冊權限聲明及調用規范短信發送短信允許APP發送短信接收短信允許APP接收短信讀取文字訊息（短信或彩允許APP讀取短信或彩信接收WAP推送允許APP接收WAP推送信息接收彩信允許APP接收彩信儲存讀取外置儲存器允許APP讀取外置存儲器寫入外置儲存器允許APP寫入外置存儲器30讀取照片位置信息允許APP讀取照片文件中包含的拍攝地點信息31訪問系統文件讀取系統文件允許APP讀取系統文件32上傳文件至系統允許APP上傳文件至系統33身體活動識別身體活動允許APP識別身體活動34用戶操作記錄用戶操作允許APP記錄用戶操作35通知離線推送通知權限允許APP離線推送通知2.1檢測項7在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等2.1.1檢測標準僅依賴系統彈窗但未在向用戶申請收集個人信息的權限時告知申請的目的，或未同步告知用戶收集使用敏感個人信息的目的。權限聲明及調用規范APP合規手冊權限聲明及調用規范2.1.2違規案例存在向用戶申請權限時未同步告知其目的。權限聲明及調用規范APP合規手冊權限聲明及調用規范2.1.3合規建議1.建議在申請權限時，采用彈窗、頂部提示、動畫等顯著方式進行同步說明，說明收集2.2檢測項112.2.1檢測標準2.實際收集的個人信息特別是敏感個人信息超出個人信息保護政策等相關規則的范圍。3.未真實披露收集使用個人信息的目的，欺騙用戶打開可收集個人信息的權限。2.2.2違規案例Nandroid.permission.SYSTEM_android.permission.RECO_COMMANDSandroid.permission.ACCESS_BAC了，如不控制獲取內容范圍，容易被認為獲取用戶個人隱私信息。可參考以下判例:/s/FCPDgdbozssp3TdAF5qp2A。2.2.3合規建議人信息保護政策中補充聲明其相關業務場景、目的。如無使用某些權限則刪除冗余權2.3檢測項152.3.1檢測標準1.未明示收集使用個人信息的真實/準確目的。存在故意欺瞞、掩飾收集使用個人信息2.非服務所必需或無合理場景，通過積分、獎勵、優惠等方式欺騙誤導用戶提供身份證2.3.2合規建議1.明示收集使用個人信息的目的需真實、準確。不故意欺瞞、掩飾收集使用個人信息的真實目的，不誘騙用戶同意收集個人信息。3.1檢測項233.1.1檢測標準將軟件安裝包中的targetsDkversion屬性值設置為低于23，安裝時，要求用戶一次3.1.2違規案例在更換頭像時同時收取相機、存儲權限，拒絕其中一個無法使用該功能。3.1.3合規建議1.建議將存儲和相機權限分開收取，僅同意相機權限可以拍照，僅同意存儲權限可以上3.2檢測項133.2.1檢測標準或將用戶已關閉的使用通訊錄匹配好友等功能重新打開。權限聲明及調用規范APP合規手冊權限聲明及調用規范3.2.2合規建議1.建議將隱私權限的開關控制功能設計為直接跳轉到Androidios系統的權限設置頁，4.1檢測項104.1.1檢測標準3.APP在用戶明確拒絕權限申請后，重新運行時，不應向用戶彈窗申請開啟與當前服務場景無關的權限，影響用戶正常使用。4.1.2違規案例存在重復申請權限但未告知其使用目的，點擊拒絕授權選項后，再次點擊功能按鈕，重復彈出權限申請。權限聲明及調用規范APP合規手冊權限聲明及調用規范4.1.3合規建議1.建議用戶明確表示不同意收集后不應再頻繁征求用戶同意，應超過48小時后再詢問APP合規手冊SDK接入規范1.1合規建議1.APP運營者應謹慎選擇第三方SDK服務商，并完善技術配置方案。某些SDK服務商在開放平臺會提供SDK合規的初始化技術配置方案，例如某知名SDK服務商提供的2.1超頻率收集個人信息-檢測項212.1.1檢測標準4.接入第三方應用時，不私自截留第三方應用收集的個人信息。5.APP(包含SDK)以特定頻率收集個人信息時，應向用戶明示并征得用戶同意。2.1.2違規案例APP合規手冊超頻次收集，圖片為ls收集多次)。例如下表中，百度定位SDK(Android)1秒收集IP地址個人信息32次，科大訊飛AIUIsdk1秒收集"獲取網絡接口MAC地址個人信息8次，均為SDK超頻次收集個人信息的情形。 com.huawei.hms.scankit（com.huawei.hms：scan:2.com.huawei.hms.scankit（com.huawei.hms：scan:2._TYPE_PRESSUREAPP合規手冊2.1.3合規建議2.2超范圍收集個人信息-檢測項182.2.1檢測標準APP合規手冊2.2.2違規案例2.2.3合規建議3.1有效的更正、刪除個人信息功能或注銷賬號功能-檢測項26、27、28、2926未提供有效的更正、刪除個人信息及注銷用戶賬號功能27為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件3.1.1檢測標準3.雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內(承諾時限不得超過15個工作日，無承諾時限的，以3.1.2合規建議1.建議APP開發者在停用SDK后，一方面應當及時移除自身APP中該SDK的代碼及調APP合規手冊3.2建立并公布個人信息安全投訴、舉報渠道并及時處理-檢測項3015個工作日，無承諾時限的，以15個工作日為限)受理并處理的。3.2.1檢測標準超過15個工作日，無承諾時限的，以15個工作日為限)受理并處理的。3.2.2合規建議訴、舉報的渠道，便于用戶對SDK個人信息收集、使用的違規行為進行投訴、舉報。2.個人信息保護政策至少說明以下一種投訴、舉報通道：1)電子郵件；2)電話3)15個工作日)受理并處理。4.SDK聲明規范4.1檢測項244.1.1檢測標準2.未告知用戶個人信息出境情形，將數據傳輸至境外。4.1.2違規案例下表為個人信息保護政策中未聲明SDK：標黃為未聲明的SDK，部分灰色為框架工具/云服務類SDK，標綠處可能為已接入SDK內嵌的相關SDKAPP合規手冊AndroidSupport庫AndroidX庫APP合規手冊com.huawei.hms:scan微博分享SDK4.1.3合規建議更新，確保文本內列出的網頁跳轉鏈接能夠正常運行。2.建議結合實際使用情況在第三方SDK目錄處繼續補充未聲明的SDK信息，已接入息，建議按照實際收集情況，逐一在個人信息保護政策文本中補充說明。4.2檢測項254.2.1檢測標準APP合規手冊4.2.2合規建議APP合規手冊個性化推薦規范1.1.1定義【來源:GB/T35273-20203.16】1.1.2解讀分析個性化推薦是一種根據用戶的興趣和行為特征，為其提供針對性的產品或內容推薦的方法。以下是判斷一個推薦是否屬于個性化推薦的幾個因素:5.推薦是否能夠提供多樣化和個性化的選項，以滿足用戶不同的需求和偏好。如果一個推薦系統同時滿足以上幾個要素，那么它就可以被認為是一種個性化推薦。2.1檢測項142.1.1檢測標準1.APP在個人信息保護政策中明確說明存在基于用戶興趣愛好、消費習慣等進行定向推送的功能，應在APP中提供關閉個性化推送的功能。2.1.2違規案例1.APP向用戶提供定向推送或個性化推薦功能并提供了關閉選項，但未設置為默認關閉，不符合規范要求。APP合規手冊顯著區分個性化推送服務，如標明個性化展示"或"定推"等字樣。(個性化開啟/2.1.3合規建議見相關內容存在明顯變化，建議開發者確認個性化開關真實有效。且個性化內容應該用"推薦""個性化推送明顯標識，在關閉后不再顯示個性化推送的內容。賬戶注銷規范APP合規手冊賬戶注銷規范賬戶注銷規范1.1檢測項26未提供有效的更正、刪除個人信息及注銷用戶賬號功能。1.1.1檢測標準息主體在線行使注銷賬戶的權利。1.1.2違規案例賬戶注銷規范APP合規手冊賬戶注銷規范1.1.3合規建議2.APP應提供在線注銷方式，并同步更改隱私協議對注銷的描述，或將注銷途徑優化更賬戶注銷規范APP合規手冊賬戶注銷規范○合規示例:APP設置明顯的游戲注銷入口。1.2檢測項27為更正、刪除個人信息或注銷用戶賬戶設置不必要或不合理條件1.2.1檢測標準決具體問題的通道。1.2.2違規案例1.2.3合規建議1.建議在注銷賬號頁面明確告知用戶，如注銷過程中有疑問或不能成功注銷可通過在線2.1檢測項272.1.1檢測標準3.不應要求用戶填寫精準的歷史操作記錄作為必要注銷條件。2.1.2違規案例有的要手持身份證錄視頻》2.1.3合規建議不應多于注冊、使用等服務環節收集的個人信息；(2)注銷時，不得要求用戶提供手持身份證正反面照片，更正個人信息時要求不得提供人臉認證信息等敏感個人信息；(3)不應要求用戶填寫精準的歷史操作記錄作為必要注銷條件。3.1檢測項27為更正、刪除個人信息或注銷用戶賬戶設置不必要或不合理條件。3.1.1檢測標準3.1.2違規案例3.1.3合規建議1.建議確認當用戶注銷賬號后是否存在捆綁注銷其他產品賬號的行為，如存在則建議取消捆綁注銷的行為，僅為用戶提供注銷此賬號的服務。如不存在則建議修改個人信息注2:產品或服務沒有獨立的賬戶體系的，可采取對該產品或服務賬號以外其他個人信息進行刪除，并切斷賬戶體系與產品或服務的關聯等措施實現注銷。4.1檢測項274.1.1檢測標準4.1.2違規案例4.1.3合規建議1.建議在注銷賬號頁面明確告知用戶，如注銷過程中有疑問或不能成功注銷可通過在線應的注銷功能按鈕4.2檢測項28雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應用戶相應操作，需人4.2.1檢測標準4.2.2違規案例賬戶注銷規范APP合規手冊賬戶注銷規范4.2.3合規建議1.在個人信息保護政策中說明清楚處理時間，方便用戶的使用。法律明確規定必須由我們保留的個人信息外(如您在小紅書交易相關的信息)，您的個人信息將會從小紅書移除。APP合規手冊APP合規手冊個人信息主體權利處理規范1.1檢測項16APP應向用戶提供撤回同意收集個人信息的途徑、方式。1.1.1檢測標準1.1.2違規案例APP合規手冊APP合規手冊1.1.3合規建議息保護政策聲明路徑為一致(實際操作為：我的-設置-系統權限管理)。2.1檢測項30未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內受理并處理的。2.1.1檢測標準1.未建立并公布個人信息安全投訴、舉報渠道。2.未按照法律法規要求或APP承諾時限(承諾時限不得超過15個工作日，無承諾時限2.1.2違規案例個人信息保護政策中客服電話打不通，APP內客服電話可以打通。建議排查是否為正確2.1.3合規建議1.就該違規案例的合規建議：建議修改個人信息保護政策中客服電話與實際客服電話一APP合規手冊/廣告頁規范/1.1.1檢測標準性，能夠使消費者辨明其為廣告。(華為平臺內《APP廣告審核規范標準解讀》)"廣告。(《vivo開放平臺-開放平臺應用審核規范》5.3應用內廣告)1.1.2違規案例1.1.3合規建議2.不得含有虛假或者引人誤解的內容，不得欺騙、誤導、誘導用戶。2.1.1檢測標準1.應用廣告的彈出不得影響用戶的正常操作體驗，干擾其他應用或影響終端設備功能。2.1.2違規案例(來源于：華為平臺內《APP廣告審核規范標準解讀》)2.在用戶習慣點擊的功能區域突然彈出廣告2.1.3合規建議3.不得在用戶點擊返回鍵和主屏鍵等系統功能鍵時彈出廣告。3.1.1檢測標準2.檢測APP開屏廣告是否有跳過或關閉按鈕，跳過按鈕不得通過倒計時形式出現。(《騰訊應用開放平臺-政策與規范-隱私政策審核規范》應用寶隱私合規檢測項目說明)APP合規手冊式時，應當提示用戶點擊的范圍和位置，并經用戶主動選擇點擊該范圍之后才進行跳轉或使用。不得欺騙誤導強迫用戶點擊廣告。應用寶隱私合規檢測項目說明、《viwo開放平臺開放平臺應用審核規范》5.3應用內廣告、《華為應用市場審核指南》5.應用廣告)1.未清晰明示下載按鈕2.使用"是否立即開始游戲誘導用戶點擊APP合規手冊3.1.3合規建議1.APP廣告頁面、開屏廣告、主屏等功能頁面，無顯著APP下載提示，不應點擊廣告頁戲"、"領取紅包等誘導方式。3.不得存在誘導用戶跳轉其他頁面的文字、圖片或視頻鏈接。4.不得通過使用整屏圖片、視頻等作為跳轉或下載鏈接，誘導用戶點擊或易造成用戶誤7.啟動屏廣告點擊后跳轉至其他APP時，應當在廣告內容中顯著標明警示語，告知用戶廣告關閉4.1.1檢測標準用審核規范》5.3應用內廣告)4.1.2違規案例(來源：《viwo開放平臺-開放平臺應用審核規范》5.3應用內廣告、《華為應用市