2024移動應(yīng)用分發(fā)平臺APP個人信息保護(hù)自動化檢測實施指南

移動應(yīng)用分發(fā)平臺移動應(yīng)用分發(fā)平臺APP動化檢測實施指南目次前言 3引言 4目次前言 3引言 41范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 2±概述 26個人信息保護(hù)自動化檢測方法 3I應(yīng)用分發(fā)平臺個人信息保護(hù)自動化檢測實施指南1 本文件為APP個人信息保護(hù)相關(guān)要求的自動化檢測提供指導(dǎo)。APPAPP對自APP應(yīng)用分發(fā)平臺個人信息保護(hù)自動化檢測實施指南1 本文件為APP個人信息保護(hù)相關(guān)要求的自動化檢測提供指導(dǎo)。APPAPP對自APP2 （TD/T4184——2022移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范TD/T××××——××××個人信息保護(hù)術(shù)語T/TAE0F8APP用戶權(quán)益保護(hù)測評規(guī)范系列標(biāo)準(zhǔn)T/TAE12±—2022應(yīng)用分發(fā)平臺APP審核規(guī)范3 下列術(shù)語和定義適用于本文件。3.1移動能端 ?martmobileterminal3.2移動聯(lián)應(yīng)用程序 MobileInternetAppli×ationAPP[來源：TD/T××××——××××個人信息保護(hù)術(shù)語]3.31應(yīng)用分發(fā)平臺appli×ationdi?tributionplatformAPPAPP3.4靜默狀態(tài)?ilen×e?tateAPPAPP應(yīng)用分發(fā)平臺appli×ationdi?tributionplatformAPPAPP3.4靜默狀態(tài)?ilen×e?tateAPPAPP4 縮略語下列縮略語適用于本文件。AP移互網(wǎng)用（WoilItenetAplatin）SD軟開包（o￡treDeelomenKi0C光字識（0pgalCaraterReggnio‘ 概述‘.1TD/T4184——2022/頻繁APPAPP、APP//及不合格案例。‘.2APP、SDKAPP策后，點擊并使用APP功能。隱私政策提?。夯?CR等識別技術(shù)從APP內(nèi)部提取到隱私政策文本內(nèi)容。APPSDK‘.32圖1 自化測境自動化檢測工具：部署在應(yīng)用服務(wù)器上運行，同時提供web服務(wù)以進(jìn)行自動化檢測。圖1 自化測境自動化檢測工具：部署在應(yīng)用服務(wù)器上運行，同時提供web服務(wù)以進(jìn)行自動化檢測。應(yīng)用服務(wù)器：作為工具運行載體，以及應(yīng)用。檢測環(huán)境如圖1所示，手機通過數(shù)據(jù)線連到應(yīng)用服務(wù)器，自動化檢測工具安裝部署至應(yīng)用服務(wù)器。完成檢測環(huán)境部署后，開發(fā)者通過自動化檢測工具提供的web服務(wù)提交APP包。6 6.16.1.1未見明示違規(guī)行為：APPIWEI、IWSIWACSTPISTCI[來源：YD/T4184—2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.2]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：動態(tài)檢測、場景模擬、隱私政策提取。:2)提取隱私政策文本，檢查內(nèi)容是否明示個人信息收集使用的目的、方式和范圍；d）檢測不合格案例：1）收集個人信息行為前，應(yīng)用內(nèi)無隱私政策；2）涉及到處理用戶個人信息的APP，隱私政策內(nèi)容不包含個人信息收集使用的目的、方式、范圍；6.1.2有明示未同意違規(guī)行為:APP以個人信息處理規(guī)則彈窗等形式向用戶明示個人信息處理的目的、方式和范圍，未經(jīng)用戶同3意，收集IMEI、IMSI、設(shè)備MAC地址、SUPI、SUCI、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息。[來源：YD/T4184——2022意，收集IMEI、IMSI、設(shè)備MAC地址、SUPI、SUCI、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.3]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）c)推薦檢測方法:APP是否2）APPd）檢測不合格案例：隱私政策同意前，APP收集個人信息。6.1.3明示不清晰違規(guī)行為:APP以個人信息處理規(guī)則彈窗等形式向用戶明示個人信息處理的目的、方式和范圍，未清晰明示處理IMEIIMSIMACSUPISUCI[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.4]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：動態(tài)檢測、隱私政策提取、隱私政策文本分析c)推薦檢測方法:1）提取隱私政策內(nèi)的個人信息收集列表；2）檢測APP前臺、后臺、靜默狀態(tài)運行時實際的個人信息收集列表，與隱私政策個人信息收集列表對比。d）檢測不合格案例：1）APP運行時收集的個人信息不在隱私政策所列的個人信息收集范圍內(nèi)。46.1.43DK違規(guī)行為:APPSDK6.1.43DK違規(guī)行為:APPSDKSDK收集IMEIIMSIMACSUPISUCI[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.5]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測:SDKSDKd）檢測不合格案例：1）第三方SDK存在個人信息采集行為，沒有隱私政策；2）隱私政策內(nèi)容不包含第三方SDK個人信息處理的目的、方式、范圍；6.1.3DK違規(guī)行為:APP以個人信息處理規(guī)則彈窗等形式向用戶明示第三方SDK處理個人信息的目的、方式和范圍，未經(jīng)用戶同意，第三方SDK收集IMEI、IMSI、設(shè)備MAC地址、SUPI、SUCI、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.6]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）c)推薦檢測方法:1）模擬同意隱私政策前場景，包括靜止不動、退出、點不同意等未點擊“同意按鈕”的形式，檢測SDK是否存在個人信息收集。5d）檢測不合格案例：1）在同意隱私政策前，SDK存在收集個人信息行為。6.1.63DK違規(guī)行為:APPSDKd）檢測不合格案例：1）在同意隱私政策前，SDK存在收集個人信息行為。6.1.63DK違規(guī)行為:APPSDKSDK處理IMEI、IMSIMACSUPI、SUCISDKSDKSDK[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.7]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測c)推薦檢測方法:1）提取隱私政策內(nèi)的第三方SDK個人信息收集列表；2）檢測第三方SDK前臺、后臺、靜默狀態(tài)運行時實際的個人信息收集列表，與隱私政策第三方SDK個人信息收集列表對比。d）檢測不合格案例：SDKSDKSDKSDK6.1.7同意不清晰違規(guī)行為:APP在征求用戶同意環(huán)節(jié)，未提供明確的同意或拒絕選項。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.8]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：6動態(tài)檢測:d）檢測不合格案例：1）權(quán)限彈窗或隱私政策選擇按鈕的文字描述為好的、我知道了。2）權(quán)限彈窗或隱私政策沒有拒絕選項。6.1.8默認(rèn)同意違規(guī)行為:APP動態(tài)檢測:d）檢測不合格案例：1）權(quán)限彈窗或隱私政策選擇按鈕的文字描述為好的、我知道了。2）權(quán)限彈窗或隱私政策沒有拒絕選項。6.1.8默認(rèn)同意違規(guī)行為:APP在征求用戶同意環(huán)節(jié)，設(shè)置為默認(rèn)同意。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》5.9]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：動態(tài)檢測c)推薦檢測方法:1）首次啟動應(yīng)用，檢測隱私政策是否采用復(fù)選框選擇同意操作，檢測復(fù)選框是否默認(rèn)勾選同意。d）檢測不合格案例：1）隱私政策彈框存在默認(rèn)同意的情形，例如：采用復(fù)選框，且復(fù)選框默認(rèn)勾選同意。6.2超范圍收集個人信息檢測6.2.1APP違規(guī)行為:APPIMEI、IMSI、設(shè)備MACSUPI、SUCIa)APP未向用戶明示收集以上個人信息的頻次，未經(jīng)用戶同意，以特定頻次收集個人信息；[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.3]針對該要求的自動化檢測可參考如下實現(xiàn)方法:7a)預(yù)置條件:APP包b）自動化檢測方式：動態(tài)檢測c)推薦檢測方法:1）APP前臺狀態(tài)運行時，檢測是否存在以特定頻次收集某項個人信息。a)預(yù)置條件:APP包b）自動化檢測方式：動態(tài)檢測c)推薦檢測方法:1）APP前臺狀態(tài)運行時，檢測是否存在以特定頻次收集某項個人信息。2）若存在收集行為，檢測隱私政策有無相關(guān)內(nèi)容。d）檢測不合格案例：1）APP前臺運行時以特定頻率（如每30秒）收集個人信息。2）存在收集行為，隱私政策無相關(guān)內(nèi)容6.2.23DK違規(guī)行為:SDK在收集IMEIMACSUPISUCIa)APP未向用戶明示第三方SDK收集以上個人信息的頻次，未經(jīng)用戶同意，第三方SDK以特定頻次收集個人信息。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.5]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測c)推薦檢測方法:1）檢測SDK前臺狀態(tài)運行時是否存在特定頻率的個人信息收集；2）若存在收集行為，檢測隱私政策有無相關(guān)內(nèi)容。d）檢測不合格案例：1）SDK（30）6.2.3APP違規(guī)行為:APPIMEI、IMSIMACSUPISUCI8[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.6]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.6]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測c)推薦檢測方法:1）提取隱私政策內(nèi)的個人信息收集列表；2）檢測APP與隱私政策個人信息收集列表對比。3）檢測APP與隱私政策個人信息收集列表對比。注：APP1）d）檢測不合格案例：1）APP靜默狀態(tài)運行時存在收集個人信息行為，且收集的個人信息不在隱私政策所列的個人信息收集范圍內(nèi)。2）APP后臺狀態(tài)運行時存在收集個人信息行為，且收集的個人信息不在隱私政策所列的個人信息收集范圍內(nèi)。6.2.4APP違規(guī)行為:APPIMEIIMSIMACSUPISUCI、a)APP未向用戶明示在靜默狀態(tài)下或在后臺運行時收集以上個人信息的頻次，未經(jīng)用戶同意，以特定頻次收集個人信息；[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.7]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測、場景模擬c)推薦檢測方法:91）檢測APP靜默或后臺狀態(tài)運行時是否存在特定頻率的個人信息收集；2）若存在收集行為，檢測隱私政策有無相關(guān)內(nèi)容。注：APP進(jìn)入靜默狀態(tài)后延長一定時間（如1分鐘）后進(jìn)行檢測。d）檢測不合格案例：（301）檢測APP靜默或后臺狀態(tài)運行時是否存在特定頻率的個人信息收集；2）若存在收集行為，檢測隱私政策有無相關(guān)內(nèi)容。注：APP進(jìn)入靜默狀態(tài)后延長一定時間（如1分鐘）后進(jìn)行檢測。d）檢測不合格案例：（306.2.‘3DK違規(guī)行為:APP在靜默狀態(tài)下或在后臺運行時，第三方SDK收集IMEI、IMSI、設(shè)備MAC地址、SUPI、SUCI、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息超出其所明示的收集目的的合理關(guān)聯(lián)范圍。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.8]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測:SDKAPPSDKSDK實際收集的個人信息收集，與隱私政策個人信息收集列表對比。檢測APPSDKSDK實際收集的個人信息收集，與隱私政策個人信息收集列表對比。注：APP1）d）檢測不合格案例：1）APP靜默狀態(tài)運行時第三方SDK存在收集個人信息行為，且收集的個人信息不在隱私政策所列的個人信息收集范圍內(nèi)。2）APP后臺狀態(tài)運行時第三方SDK存在收集個人信息行為，且收集的個人信息不在隱私政策所列的個人信息收集范圍內(nèi)。6.2.63DK違規(guī)行為:1SDKIMEI、IMSIMACSUPISUCI、SDKIMEI、IMSIMACSUPISUCI、a)APP未向用戶明示在靜默狀態(tài)下或在后臺運行時第三方SDK收集以上個人信息的頻次，未經(jīng)用戶同意，在靜默狀態(tài)下或在后臺運行時，第三方SDK以周期性頻次收集個人信息；[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》6.9]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測、場景模擬c)推薦檢測方法:1）檢測第三方SDK靜默或后臺狀態(tài)運行時是否存在特定頻率的個人信息收集；2）若存在收集行為，檢測隱私政策有無相關(guān)內(nèi)容。注：APP進(jìn)入靜默狀態(tài)后延長一定時間（如1分鐘）后進(jìn)行檢測。d）檢測不合格案例：SDK（306.3違規(guī)使用個人信息檢測6.3.1未明示同意共享違規(guī)行為:APPIMEIIMSIMACSUPI、SUCISDK[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》7.2]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測、場景模擬c)推薦檢測方法:1）SDK1SDK（SDKd）檢測不合格案例：SDK（SDKd）檢測不合格案例：SDKSDK6.3.2違規(guī)行為:APP以個人信息處理規(guī)則彈窗等形式向用戶明示個人信息處理的目的、方式和范圍，未清晰明示共享的第三方身份、目的及個人信息類型，用戶同意后，將IMEI、IMSI、設(shè)備MAC地址、SUPI、SUCI、軟件安裝列表、位置、聯(lián)系人、通話記錄、日歷、短信、本機電話號碼、圖片、音視頻等個人信息發(fā)送給第三方SDK等產(chǎn)品或服務(wù)。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》7.4]針對該要求的自動化檢測可參考如下實現(xiàn)方法:a)預(yù)置條件:APP包b）自動化檢測方式：隱私政策提取、隱私政策文本分析、動態(tài)檢測c)推薦檢測方法:1）檢測隱私政策，是否明示了第三方SDK的使用目的/SDK用途、數(shù)據(jù)類型/SDK收集的個人信息、鏈接這些關(guān)鍵字；2）SDKSDKSDK6.4強制、頻繁、過度索取權(quán)限檢測6.4.1APP違規(guī)行為:APP運行時，向用戶索取電話、通訊錄、定位、短信、錄音、相機、存儲、日歷等權(quán)限，用戶拒絕授權(quán)后，APP退出或關(guān)閉，拒絕注冊或登錄，或拒絕提供與申請權(quán)限無關(guān)的功能服務(wù)。[來源：YD/T4184——2022《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測評規(guī)范》9.2]針對該要求的自動化檢測可參考如下實現(xiàn)方法:1a)預(yù)置條件:APP包b）自動化檢測方式：場景模擬、隱私政策提取、隱私政策文本分析、動態(tài)檢測c)推薦檢測方法:1a)預(yù)置條件:APP包b）自動化檢測方式：場景模擬、隱私政策提取、隱私政策文本分析、動態(tài)檢測c)推薦檢測方法:1）APPAPPd）檢測不合格案例：1）APP授權(quán)被拒絕后自動關(guān)閉，或出現(xiàn)白屏、卡屏現(xiàn)象；6.4.2APP違規(guī)行為:APP運行時，向用戶