《GB_T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南.docx》由会员分享,可在线阅读,更多相关《GB_T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南.docx(22页珍藏版)》请在三一办公上搜索。
1、OB中华人民共和国国家标准GB/T437392024网络安全技术应用商店的移动互联网应用程序(APP)个人信息处理规范性审核与管理指南Cybersecuritytechnology-AuditandmanagementguideforpersonalinformationprocessingnormativenessofmobileinternetapplicationsinAppstores2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会目次前言II范围12规范性引用文件13术语和定义14缩略语25应用商店中App的审核与管理流程26应用商店中App个
2、人信息处理活动审核36.1 App个人信息处理活动审核规则公示36.2 APP上架申请信息受理36.3 App个人信息处理活动审核验证36.4 审核结果反馈与申诉处理46.5 存量App与版本更新审核57应用商店中APP个人信息安全管理57.1 个人信息处理情况的展示57.2 个人信息安全相关标识57.3 App运营者管理67.4 日常监督与问题处置6附录A(资料性)APP个人信息处理活动审核材料参考模板7附录B(资料性)APP下载页面展示内容示例15附录C(资料性)个人信息安全问题投诉举报渠道示例18参考文献19本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草
3、规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国移动通信集团有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京邮电大学、中国网络空间研究院、华为技术有限公司、OPPO广东移动通信有限公司、北京小米移动软件有限公司、北京百度网讯科技有限公司、北京抖音信息服务有限公司、北京快手科技有限公司、北京三快在线科技有限公司、维沃移动通信有限公司、公安部第三研究所、中国网络安全审查技术与认证中心、中国电子科技集团公司第十五研究所、蚂蚁科技集团股份有限公
4、司、长扬科技(北京)股份有限公司、北京时代新威信息技术有限公司、郑州信大捷安信息技术股份有限公司、武汉安天信息技术有限责任公司、北京指掌易科技有限公司。本文件主要起草人:张滨、邱勤、何延哲、廖建新、袁捷、张峰、徐思嘉、杜雪涛、刘胜兰、赵禧、张晨、金涛、胡影、任彦、江为强、于乐、周莹、刘畅、李文琦、白雪、姜伟、薛晨、周晨炜、郝春亮、邵冰、刘昊鑫、窦禹、王义磊、衣强、李实、路晓明、朱雪峰、付艳艳、杨明慧、汪定、钠卿、杜文博、郭建领、懈、王海棠、杨魏函、赵乃萱、戴卓恒、黄厚瑞、张欢、王普、王昕、落红R李超然、祖岩岩、文赵盈洁、贾科、张艳、申永波、鲁青、樊华、张磊、吴月升、徐天妮、易立、刘健、董晶晶、
5、彭晋、林冠辰、白晓媛、赵华、王连强、杨玉忠、俞政臣、于海洋、文峨伦、彭媒余丽娜、柳扬、刘冬、王光涛、彭根、蔡旭、赵峰、马丹、王雅莉、现、桂艳峰、王福海、张志远。网络安全技术应用商店的移动互联网应用程序(APP)个人信息处理规范性审核与管理指南1范围本文件给出了应用商店运营者对移动互联网应用程序(APP)个人信息处理规范性审核与管理指南。本文件适用于指导应用商店运营者开展APP个人信息安全审核与管理,也为监管部门及第三方机构对应用商店运营者审核与管理App个人信息处理活动的能力开展评估提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件
6、,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T190112021管理体系审核指南GB/T250692022信息安全技术术语GB/T352732020信息安全技术个人信息安全规范GB/T413912022信息安全技术移动互联网应用程序(APP)收集个人信息基本要求3术语和定义GB/T190112021GB/T250692022、GB/T352732020和GB/T413912022界定的以及下列术语和定义适用于本文件。3.1移动互联网应用程序mobileinternetapplication;APP运行在移动智能终端上向用户提供信息服务
7、的应用程序。注:包括移动智能终端预置、下载安装的应用程序和小程序。来源:GB/T413912022,3.1,有修改3.2移动互联网应用程序运营者mobileinternetplicationoperator移动互联网应用程序的所有者、管理者或提供者。注:简称APP运营者。来源:GB/T413912022,3.23.3应用商店Appstore提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。注:包括应用市场、分发网站、具有分发能力的移动互联网应用程序等。3.4应用商店运营者Appstoreoperator应用商店的所有者、管理者或提供者。3.5审核audit为获得客观证据并对其进行客观
8、的评价,以确定满足准则的程度所进行的系统的、独立的并形成文件的过程。来源:GB/T190112021,3.1,有修改3.6个人信息处理活动personalinformationprocessingactivity个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。3.7AR务类型servicetype移动互联网应用程序提供的业务功能分类。来源:GB/T413912022,3.5,有修改3.8系统敏感权限systemsensitivepermission移动智能终端操作系统向移动互联网应用程序开放的,具有收集个人信息功能的系统权限。注:简称系统权P戚权限。来源:GB/T4139120
9、22,3.10,有修改3.9必要个人信息necessarypersonalInfdnnation保障移动互联网应用程序基本业务功能正常运行所必需的个人信息,缺少该信息移动互联网应用程序即无法实现基本业务功能。来源:GB/T413912022,3.84缩略语下列缩略语适用于本文件。APK:安卓系统软件安装包(AndroidPackage)IMEI:国际移动设备识别码(IntematiOnalMobileEquipmentIdentity)IMSI:国际移动用户识别码(InlernalionalMobileSubscriberIdentity)SDK:软件开发工具包(SOftWareDevelop
10、mentKit)5应用商店中加P的审核与管理流程应用商店运营者审核与管理APP个人信息处理活动主要包括APP进入应用商店前的个人信息处理活动审核和APP进入应用商店后的个人信息安全管理。在APP进入应用商店前,应用商店运营者对申请上架的App(含新申请上架的App、版本更新需重新上架的APP)以及存量APP的个人信息处理活动进行审核,并在APP通过审核后进行上架;在APP进入应用商店后,应用商店运营者对上架APP进行安全管理,并在APP存在用户投诉举报及有关主管、监管部门通报的违法违规处理个人信息问题时督促其进行整改。6应用商店中APP个人信息处理活动审核6.1 APP个人信息处理活动审核规则
11、公示应用商店运营者制定简明、清晰、易于理解的APP个人信息处理活动审核规则并公开发布,保证App运营者和社会公众可便捷获取。6.2 APP上架申请信息受理应用商店运营者在受理APP进入应用商店的申请时,对APP运营者所提交的App相关信息进行审核。对于未完整提交以下信息的,应用商店运营者应拒绝APP上架。a)APP运营者信息,包括APP运营者主体名称、APP运营者联系方式(联系邮箱选填,其他必填)(可参考附录A的A,l)ob)App基本信息,包括名称、包名、版本号、更新日期、服务类型、安装文件(如APK文件)(可参考A.1,服务类型宜参照GB/T413912022的附录A并根据实际情况选择)。
12、注1:当APP服务类型不属于GB/T413912022的附录A给出的常见服务类型时,将实现用户主要使用目的的业务功能划分为APP的基本业务功能,将APP的基本业务功能所对应的服务类型确定为APP的服务类型。O个人信息保护政策(即隐私政策),包括生效日期、全文文本、可查看全文的有效链接,面向不满14周岁的未成年人提供服务的还宜提交单独的未成年人个人信息保护政策(可参考A.1)。注2:应用商店运营者可要求APP运营者勾选是否对未满14周岁的未成年人提供服务,若勾选是,则APP运营者提供相应的未成年人个人信息保护政策,并由应用商店运营者依据其提供的信息进行审核;若勾选否,则ApP运营者无需提供未成年
13、人个人信息保护政策。d)收集的个人信息范围,包括提供的服务类型、收集的个人信息类型(个人信息类型表述可参考A.2)以及通过收集的个人信息所实现的业务功能/使用目的(可参考A.3)oe)申请的系统敏感权限列表,包括申请的系统敏感权限名称、相关业务功能/使用目的、用户可否拒绝授权(如不可拒绝则说明用户拒绝授权的影响)、是否仅本地化使用(可参考A.4)。f)涉及收集个人信息的第三方SDK信息:包括名称、包名、SDK运营者名称、嵌入目的、SDK收集的个人信息类型、SDK使用的系统敏感权限(可参考A.5)。6.3 APP个人信息也活动审核验证6.3.1 屐应用商店运营者对App运营者提交的APP运营者信
14、息、App基本信息以及个人信息处理规则(如个人信息保护政策等)等上架申请信息进行审核,对APP运营者提供的APP运营者信息进行核验,确保主体身份信息真实有效、联系方式畅通,并对APP个人信息处理活动进行验证。对于经审核发现提交信息不完整,或经验证发现个人信息处理活动存在问题的,应拒绝APP上架请求。同时,应用商店运营者宜建立自动化处理能力,以提高审核和验证效率。应用商店运营者因客观条件所限(如自动化审核技术不成熟等)无法在限定时间内完成部分内容审核的,可要求APP运营者提供证明材料并存档,同时结合用户投诉举报情况对存档证明材料进行审核,处置措施参照7.4c)。6.3.2 APP基本信息及个人信
15、息处理规则审核针对APP运营者提交的上架申请信息,应用商店运营者进行审核后APP存在以下情形之一的,视为App未通过审核:a) App基本信息中声明的服务类型与APP实际提供的服务不相符;b) APP隐私政策链接无效、隐私政策未标注生效日期(如仅注明日期的视为生效日期);c) APP运营者身份信息不真实、联系方式虚假无效;d)未明示收集的个人信息类型,未说明收集的必要性、通过收集的个人信息实现的相关服务或使用目的;e)未明示申请权限所实现的业务功能/使用目的、用户可否拒绝授权(如不可拒绝需说明用户拒绝授权的影响);0未明示申请系统敏感权限时需同步告知的内容,未提交系统敏感权限申请时的屏幕截图;
16、g)未明示嵌入的涉及收集个人信息的第三方SDK名称、嵌入目的、收集的个人信息类型、使用的系统敏感权限。6. 3.3APP个人信息处理活动验证针对APP运营者的个人信息处理活动,应用商店运营者结合自身技术手段及App运营者提供的证明材料进行验证,验证发现APP存在以下情形之一的,视为APP未通过审核:a)未在App首次运行时通过弹窗等明显方式提示用户阅读隐私政策;b)隐私政策存在默认勾选同意的情形;c)处理敏感个人信息未征得用户的单独同意,如获取生物识别(人脸、指纹等)、医疗健康、金融账户、行踪轨迹等信息;d)收集的个人信息超出实现业务功能/使用目的最小必要的范围,并且存在强制收集非必要个人信息
17、的情形;e)收集未在个人信息保护政策中告知的个人信息或打开未告知的可收集个人信息的权限;D强制要求用户一次性打开多个非必要权限;g)在用户使用功能过程中,申请或者调用实现当前功能所必须权限范围之外的其他权限;h)因用户不同意打开非必要权限或收集非必要个人信息而拒绝提供基本业务功能;i)存在用户拒绝授权或拒绝收集非必要个人信息后,频繁征求用户同意干扰用户正常使用的情况;注:“频繁”的形式包括但不限于:单个场景在用户拒绝授权且选择不再提示后,仍然弹窗向用户索要授权;每当用户重新打开App或使用无关的业务功能时,都会再次向用户索要授权或提示用户缺少相关授权。j)在申请系统敏感权限时,未同步告知用户其
18、目的,或者告知的目的与实际情况不符;k)收集了隐私政策中声称的功能相关的个人信息,但不存在该功能;1)未向用户提供有效的查询、更正、删除以及撤回同意收集个人信息的途径;m)具有定向推送信息和个性化展示功能的,未向用户提供关闭的选项;n)具有注册账号功能的,未提供有效的用户账号注销功能,或者为注销用户账号设置不必要或者不合理条件;0)向第三方传输包含个人信息的数据,但未在隐私政策中说明相关情形;p)首次打开APP时,未告知用户且未获得用户明示同意(如用户未点击同意隐私政策等收集个人信息规则)的情况下,就收集应用程序列表、用户唯一设备识别码等个人信息;q)静默状态(包括后台运行)或自启动、被关联启
19、动后,未告知用户且未获得用户明示同意的情况下,读取用户公共存储空间数据(如相册、文件、录音等),或读取用户个人信息(如短信、联系人,通话记录、口历数据、传感器数据、位置信息、设备信息等)。6.4 审核结果反馈与申诉处理应用商店运营者应记录APP审核结果,重点记录未通过审核的情况,审核记录在审核发生之后保留至少6个月。应用商店运营者应向APP运营者说明未通过审核或拒绝上架的理由,并为APP运营者提供意见反馈渠道,及时受理APP运营者对审核结果的异议申诉,在5个工作日内完成对审核结果反馈、申诉的处理。6.5 存-App与版本更新审核对于已经进入应用商店的App,应用商店运营者在审核验证中若发现存在
20、不满足要求的,对其进行通知限时整改,符合禁入情形且未按时完成整改的,将其从应用商店中下架。应用商店中的APP发生版本更新时,应用商店运营者应按照进入应用商店的程序对APP更新版本进行审核,在APP通过审核后下架APP旧版本并上架APP更新版本。7应用商店中APP个人侑息安全管理7.1个人信息处理情况的展示应用商店运营者应在应用商店的APP下载页面清晰、明确地展示和介绍以下APP个人信息处理情况。a)App基本信息:App名称、App版本号、涉及的服务类型。b)App运营者信息:App运营者主体名称、APP运营者联系方式(如联系邮箱等)。O隐私政策:隐私政策链接、个人信息处理活动规则。其中,个人
21、信息处理活动规则的内容包括:D收集个人信息情况,包括个人信息类型(区分必要和可选个人信息)、相关业务功能/使用目的;注1:展示方式参考附录B的B.1。2)系统权限申请情况,包括申请的系统权限名称(注明是否可拒绝)、相关业务功能/使用目的;注2:展示方式参考B.2。3)涉及收集个人信息的第三方SDK情况,包括SDK名称、相关业务功能/使用目的、收集的个人信息类型和使用的系统权限。注3:展示方式参考B.3o注4:打开隐私政策链接后显示隐私政策文本,且支持用户下载或可复制的隐私政策文本电子文档。d)快速举报通道:包括个人信息问题投诉、举报渠道。注5:举报通道的设计宜简便易操作,并将常见的个人信息处理
22、问题设为选择项。应用商店宜在APP下载页面采用菜单折叠、表格、链接等方式显著展示a)d)中内容,方便用户下我App时查阅参考。7.2个人信息安全相关标识应用商店运营者宜通过设置不同颜色、形状图标等方式对APP进行显著标识,帮助用户快速了解App个人信息处理活动情况,宜提供包括但不限于以下标识。a)认证标识:对通过个人信息保护、网络安全相关认证的APP予以专属标识。b)分类标识:对具有不同功能属性的APP进行分类标识(如政务民生、医疗健康、生活娱乐等)。注1:在适宜时按照用户搜索意图对带有“政务民生”标识的APP予以优先展示。c)负面信息标识:1)对1年内被个人信息保护相关主管、监管部门公开通报
23、存在个人信息处理问题的APP进行特殊标识;2)对1年内曾因违法违规处理个人信息导致下架的APP进行特殊标识。注2:上述标识信息包含次数、问题类型等要素,涉及的具体问题还能以点击链接等方式予以展示。注3:将同一APP运营者提供的不同APP的负面信息进行汇总,形成标识在APP运营者的信息查询界面予以展示。d)年龄标识:提供APP运营者可自行选择年龄分级标识的功能。对于主要针对不满14周岁的未成年人提供服务的App,予以未成年人专属标识。7.3 APP运营者管理应用商店运营者应指导督促APP运营者提升个人信息保护的意识和能力,制定并公开发布App运营者管理制度,包括但不限于:a)在与APP运营者签署
24、的相关协议中,明确APP运营者遵循合法、正当、必要、诚信原则开展个人信息处理活动,履行个人信息安全的义务;b)制定APP运营者禁入/退出管理制度(即黑名单制度),对于APP运营者发布的APP多次未通过审核的,可在一段时间内禁止其提交APP上架申请;c)对不同APP运营者在审核标准、展示样式等个人信息保护方面的要求遵循一致性原则,不根据APP运营者身份、影响力、市场地位等因素,在其申请系统权限等方面提供默认开启等便利条件;d)宜对APP运营者的相关开发人员进行个人信息保护相关的培训和考核,以增进其对审核标准和相关要求的理解。7.4 日常监督与问题处置应用商店运营者对APP个人信息处理活动进行日常
25、监管,及时处理用户投诉举报和主管、监管部门通报的个人信息处理问题,包括但不限于:a)根据下载量、举报记录、更新时间、历史违规记录等要素确定抽样审核的优先级,定期选取一定比例的App进行日常抽查,抽查过程宜参照第6章执行;b)设立便捷的渠道接收用户关于APP个人信息处理问题的投诉举报,并对用户投诉举报的本平台APP违法违规个人信息处理活动的问题,在合理期间内向用户进行响应,使用户确认其举报已被接收受理;注:投诉举报渠道示例参考附录CC)经核验用户反映问题属实的,按情况严重程度对APP进行限时在架整改或立即下架处置,情况严重且拒不整改或者未在规定时间内按照要求整改的,予以下架处置;d)按照主管、监
26、管部门的监管要求,对典型举报问题、App审核情况、问题App处置情况进行汇总分析并形成报告上报主管、监管部门;e)定期将下架App的名单和问题上报主管、监管部门;f)对主管、监管部门通报的存在违法违规个人信息处理问题的App,配合采取督促整改、下架等措施;g)对发现的违法违规线索,保存有关记录,及时报主管、监管部门。附录A(资料性)App个人信息处理活动审核材料参考模板A.lAPP运营者及APP基本信息表App运营者及APP基本信息表见表A.1。A.1APP运营者及APP基本信息衰APP运营者信息APP名称APP运营者主体名称APP运营者联系电话APP运营者联系邮箱AP谴本信息名称包名版本号更
27、新日期服务类型安装文件隐私政策信息生效日期文档链接全文文本(可设置上传按钮)&表中所有黑体突出显示的项目填写信息均不能为空,如果涉及不存在该情形的情况,则通过设置“其他”“无”等选项或自定义方式进行填写。A.2APP收集的个人侑息类型App收集的个人信息类型见表A.2o表A.2APP收集的个人信息类型类型详细类别身份信息身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳台通行证等证件号码、证件有效期、证件照片或影印件等个人姓名、生日、性别、民族、国籍、籍贯、婚姻状况、家庭关系、工作关系、社交关系等生物识别信息个人基因、指纹、声纹、掌纹、眼纹、耳廓、虹膜、笔迹、步态、面部识别特征
28、等张号信息个人信息主体账号、IP地址、个人数字证书等健康信息个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史、吸烟史等,以及与个人身体健康状况相关的信息,如体重、身高、体温、肺活量、血压、血型等履历信息学历、学位、教育经历(如入学日期、毕业日期、学校、院系、专业等)、成绩单、资质证书、培训记录、奖惩信息、受资助信息等个人职业、职位、职称、工作单位、工作地点、工作经历、工资、工作表现、简历、培训记录等财务信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记
29、录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录、虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息等通信信息通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),以及描述个人通信的元数据(如通话时长)等短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等联络信息通讯录、好友列表、群列表、电子邮件地址列表等住址、个人电话号码、电子邮件地址等上网记录个人在业务服务过程中的操作记录和行为数据,包括网站浏览记录、软件使用记录、点击记录Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录、访问时间(含登录时间、
30、退出时间)等;用户使用某业务的行为记录,如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录等设备识别码指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/AndroidID/IDFA/OpcnlDID/GUID/CPUID/BoolIDOAIDSIM卡IMSl信息等)等在内的描述个人常用设备基本情况的信息位置行踪包括行踪轨迹、精准定位信息、住宿信息、经纬度等、基站信息、WiFi信息综合信息用户相册、应用列表、剪切板、第三方张号、日历行程信息、通知栏信息、运行中的进程其他信息婚史、宗教信仰、兴趣爱好、性取向、未公开的违法犯罪记录等注:上述个人信息类型参考G
31、B/T352732020的附录A和附录B进行梳理和扩充。A.3APP收集个人信息详情表(提交审核版)App收集个人信息详情表(提交审核版)见表,3o痴.3APP收集个人信息详情表(提交审核版)个人信息详细类别相关业务功能/使用目的收集个人信息的方式处理个人信息的方式使用个人信息的频率是否敏感个人信息是否为实现功能或目的所必需如:精准定位信息如:用于确定用户位置,提供地图搜索展示和导航服务如:用户触发功能获取、启动应用默认获取、后台不定期获取、关联启动获取等如:单次读取、本地存储、上传到www.*.Com域名服务罂等。其中上传通讯录、通话记录、短信、应用列表、剪切板的,需要列明上传的详细字段如:
32、读取频率小于10次,小于100次,大于100次等口是口否是口否注:衣中所有黑体突出显示的项目填写信息均不能为空;APP运营者需将获取详细类别个人信息的相关业务功能/使用目的进行逐项列举,便于应用商店按照业务场景进行APP违规判定。A.4APP申请系统敏感权限详情表(提交审核版)安卓系统敏感权限,通常是安卓操作系统预定义保护级别(PrOteCtion1.eVel)为危险(dangerous)级别的权限。此类权限与用户隐私和设备安全密切相关,需要APP在运行时动态向用户申请。安卓11及以下版本的App申请系统敏感权限详情表(提交审核版)见表A.4。表A.4安卓APP申请系统敏感权限详情表(提交审核
33、版)序号权限分组权限名相关业务功能/使用目的用户可否拒绝授权是否仅本地化使用备注(如不可拒绝的理由等)1CA1.ENDAR日历READ_CA1.ENDAR读取日历如:日程规划、事件提醒、票务预订等口是口否口是否2WRITE.CA1.ENDAR编编日历A.4安卓App申请系统敏感权限详情表(提交审核版)(续)序号权限分组权限名相关业务功能/使用目的用户可否拒绝授权是否仅本地化使用备注(如不可拒绝的理由等)3CA1.1.1.OG通话记录READ_CA1.1._1.OG读取通话记录如:通话记录管理、备份与恢复,骚扰拦截、SoS紧急求助等4IYRlTE_CA1.1.JOG编辑施话值录5PROCESS_
34、OUTGOING_CA1.1.S呼叫控制如:呼出电话监控场景、儿童手表等6CAMERA相机CAMERA拍摄如:拍摄照片视频、扫描二维码/条形码、人脸识别等7CONTACTS通讯录READ_CONTACTS读取通讯录如:通讯录管理与备份、添加联系人等8WRITECONTACTS编野通讯录9GET_ACCOUNTS获取APP账户如:账号登录场景等101.OCATION位置ACCESS_FINE_1.OCATION访问精准定位如:定位当前用户位置、拍照记录照片拍摄位置、社交分享位置、线上到线下上门服务定位用户位置等需要用户精准位置的场景11ACCESS_COARSE_1.OCATloN访问粗略位置如
35、:外卖、本地生活服务等分区域信息推荐、基于城市或地域进行新闻推送等基于粗略用户地理位置的场景12AeCESS.BACKGROUND1.oCATloN支持后台访问位置如:地图导航、网络约车、运动健身等场景13MICROPHONE麦克风REeoRD_AUDIO录音如:语音即时通信、语音识别、音视频录制、直播等语音输入场景*A.4安卓App申请系统敏感权限详情表(提交审核版)(续)序号权限分组权限名相关业务功能/使用目的用户可否拒绝授权是否仅本地化使用备注(如不可拒绝的理由等)14PHONE电话READ_PHONE_STATE读加设备宿息如:进行用户常用设备的标识,用于监测APP账户异常登录、关联用
36、户行为15READ_PHONE_NUMBERS读取本机电话号码如:读取本机号码场景16CA1.1._PHoNE拨打电话如:在APP内直接拨打商家、快递员、客服电话等17ANSWER_PHONECA1.1.S接听电话如:在驾驶模式下直接接听来电等18ADD_VOICEMAI1.添加语音邮件19USE_SIP使用网络电话如:接听、拨打网络电话等20ACCEPTHANDOVER允许切换通话21SENSORS传感器BODYSENSORS获取身体传感器信息如:健康类APP及可穿戴设备显示心率等状况22SMS短信SEND_SMS发送短信如:便捷短信查询与服务订阅、短信优化编辑与发送、SOS紧急求助等23R
37、ECEIVE_SMS接收短信如:便捷短信查询与服务订阅、短信优化编辑与发送、短信功能体验增强、骚扰拦截与上报垃圾短信、短信智能服务、SOS紧急求助等24READ-SMS读取文字讯息(短信或彩信)如:短信管理、验证码便捷获取、骚扰拦截与上报垃圾短信等25RECEIVEWAPPUSH接收WAP推送如:短信管理、WAP消息推送场景等26RECEIVEJiMS接收彩信如:验证码便捷获取、便提短信查询与服务订阅、短信功能体验增强、骚扰拦截、短信管理等表A.4安卓App申请系统敏感权限详情表(提交审核版)(续)序号权限分组权限名相关业务功能/使用目的用户可否拒绝授权是否仅本地化使用备注(如不可拒绝的理由等
38、)27STORAGE存储READ_EXTERNA1._STORAGE读取外置存储区如:文件管理、阅读器等打开本地文件的场景等28WRITE_EXTERNA1._SToRAGE写入外置存储区如:存储拍摄的照片和视频,及下载文件、需要下载大量资源的游戏场景等29ACCESS_MEDIA_1.OCATION读取照片位置信息如:展示照片拍摄地点的场景等30ACTIVITY.RECOGNITION身体活动ACTIVITY,RECOGNITION识别身体活动如:需要对用户的身体活动进行识别和分类的场景等注,表中所有黑体突出显示的项目填写信息均不能为空;APP运营者需将安卓APP申请系统敏感权限的相关业务功
39、能/使用目的进行逐项列举,便于应用商店按照业务场景进行APP违规判定;应用商店运营者可根据对安装文件的检测结果,向APP运营者列出仅涉及其所声明系统权限的系统权限申请使用情况表,供APP运营者进一步填写。iOS14及以下版本的APP申请系统敏感权限详情表(提交审核版)见表A.5,iOS权限的使用场景宜参考表A.4的“相关业务功能/使用目的”。表A.5iOSAPP申请系统敏感权限详情表(提交审核版)序号受保护的资源权限名相关业务功能/使用目的用户可否拒绝授权是否仅本地化使用备注(如不可拒绝的理由等)1CalendarandReminderS日历与提醒事项CalendarS日历口是否口是否2ReI
40、ninderS提醒事项3CameraandMicrophone相机与麦克风Camera相机4MiCrOPhOne麦克风5Contacts通讯录ContaCtS通讯录表A.5iOSApp申请系统敏感权限详情表(提交审核版)(续)序号受保护的资源权限名相关业务功能/使用目的用户可否拒绝授权是否仅本地化使用备注(如不可拒绝的理由等)6Health健康HealthReCOrdS健康记录7HealthShare读取HcalthKit健康数据8HealthUPdate更新HeaIIhKil健康数据91.ocation定位服务1.ocationAlwaysandWhenInUse始终访问位置101.OCat
41、iOn访问位置111.ocationWhenInUse使用期间访问位置121.ocationTemporary临时访问位置13McdiaPlayer媒体与AppleMusicMedia1.ibrary媒体库14Motion运动与健身MOtion运动与健身15Photos照片Photo1.ibraryAdditions只写照片库16Photo1.ibrary读取和写入照片库注:表中所有黑体突出显示的项目填写信息均不能为空;APP运营者需将QSApp申请系统敏感权限的相关业务功能/使用目的进行逐项列举,便于应用商店按照业务场景进行APP违规判定;应用商店运营者可根据对安装文件的检测结果,向APP运
42、营者列出仅涉及其所声明系统权限的系统权限申请使用情况表,供APP运营者进一步填写。A.5App内嵌第三方SDK详情表(提交审核版)App内嵌第三方SDK详情表(提交审核版)见表A.6。表A.6APP内嵌第三方SDK详情表(提交审核版)序号SDK名称SDK包名SDK营者主体名称相关业务功能/使用目的收集的个人信息类型处理个人信息的方式使用的系统敏感权限XXX正在运行的应用列表、粗略地理位置信息、已安装应用列表、本机IMEI号、手机SIM卡序列号、本机IM-Sl号等单次读取、本地存储、上传到ww.*.com域名服务器等。其中上传通讯录、通话记录、短信、应用列表、剪切板等,需要列明上传的详细字段RE
43、ADPHONESTATE读取电话状态、ACCESSCOARSE1.OCATION访问粗略位置2注:表中所有黑体突出显示的项目填写信息均不能为空。附录B(资料性)App下载页面展示内容示例B.1APP收集个人信息详情表(下载页面展示版)App收集个人信息详情表(下载页面展示版)见表B.1,App收集个人信息类型透明化展示示意图见图B.1。个人信息类型是否敏感个人信息相关业务功能/使用目的是否为实现功能或目的所必需是口否口是否*B.1APP收集个人信息详情表(下载页面展示版)注:表中所有黑体突出显示的项目填写信息均不能为空。收集个人信息类型O以下数据关联到个人身份(账号或设备)多于7个类型为增色.
44、4.24类型为就色.33个为绿色(以12类个人信点为例必要10账号信息显示15个字)O信息,*Q身份信息j黑丹)业务功他、蔺要描述使用目的.不超过字、仪U示】5个字.共余向容通过点由H情计处点击可菱看具体收柒的个人可选信息支操可迭业务功能展示15个字)色显示15字(D(S.)0财务信息1吸图B.1App收集个人信息类型透明化展示示意图8.2 APP申请系统敏感权限详情表(下载页面展示版)安卓App申请系统敏感权限详情表(下载页面展示版)见表B.2,iOSAPP申请系统敏感权限详情表(下载页面展示版)见表B.3,App申请开启系统权限透明化展示示意图见图B.2。仅本地化使用O存储U(显示15个字)(显示15个字)砂通讯录U(显示15个字)采集个人信息发克风U(fi示15个字)0电话U使用场景(显示15个字)申请开启的系统权限标注心的为用户可白主选择拒络的系续权限权限如数破多T6个为检色,3-6个为遂i色,32个为绿色
