信息安全技術移動互聯(lián)網應用程序(App)個人信息安全測評規(guī)范GB/T42582—2023 2規(guī)范性引用文件 3術語和定義 4縮略語 25測評流程與方式 35.1概述 5.2測評流程 5.3測評方式 45.4測評環(huán)境和工具 56測評實施內容 56.1個人信息收集的測評 56.2個人信息存儲的測評 6.3個人信息使用的測評 6.4個人信息主體權利的測評 6.5個人信息的委托處理、共享、轉讓、公開披露的測評 6.6個人信息安全事件處置的測評 6.7組織個人信息安全管理要求的測評 7結果判定 8報告編制 附錄A(資料性)App運營者基本信息采集表 附錄B(資料性)測評單元編號說明 附錄C(資料性)App欺詐、誘騙、誤導方式收集個人信息行為舉例 附錄D(資料性)不同場景下App收集個人信息的頻率參考 附錄E(資料性)App申請?zhí)囟愋拖到y(tǒng)權限或收集特定類型系統(tǒng)信息時的額外告知參考 附錄F(資料性)僅針對App進行測評時適用的測評單元 參考文獻 1信息安全技術移動互聯(lián)網應用程序(App)個人信息安全測評規(guī)范本文件規(guī)定了依據GB/T35273—2020開展移動互聯(lián)網應用程序個人信息安全測評的測評流程以及對各項安全要求進行測評的方法。本文件適用于指導第三方測評機構對移動互聯(lián)網應用程序個人信息安全進行測評，以及主管監(jiān)管部門對移動互聯(lián)網應用程序個人信息安全進行監(jiān)督管理，移動互聯(lián)網應用程序運營者開展個人信息安全自評時參照執(zhí)行。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術術語GB/T35273—2020信息安全技術個人信息安全規(guī)范GB/T41391—2022信息安全技術移動互聯(lián)網應用程序(App)收集個人信息基本要求3術語和定義GB/T25069—2022、GB/T35273—2020和GB/T41391—2022界定的以及下列術語和定義適用運行在移動智能終端上的應用程序。注：包括移動智能終端預置、下載安裝的應用程序和小程序。App運營者mobileinternetapplicationoperator移動互聯(lián)網應用程序所有者、管理者或提供者。軟件開發(fā)工具包softwaredevelopmentkit;SDK協(xié)助軟件開發(fā)的軟件庫。注：軟件開發(fā)工具包通常包括相關二進制文件、文檔、范例和工具的集合。隱私政策privacypolicy說明移動互聯(lián)網應用程序處理個人信息規(guī)則的文本。注：個人信息保護政策包含的內容見GB/T35273—2020中5.5。2測評對象targetoftestingandevaluation移動互聯(lián)網應用程序個人信息安全測評流程中不同測評方式作用的對象。對測評流程進行劃分的最小獨立單元。注：每個測評單元包括指標要求、測評對象、測評方式、測評步驟、單元判定等5項內容，可獨立驗證符合性。基于應用程序開放接口實現(xiàn)的，用戶無需安裝即可使用的移動互聯(lián)網應用程序。注：應用程序通過公開其應用程序編程接口(API)或函數(shù)，使外部的程序可以增加該應用程序的功能或使用該應用程序的資源，而不需要更改該應用程序的源代碼。使用移動互聯(lián)網應用程序的個人信息主體。注：用戶通常包括消費側用戶和服務供給側用戶，消費側用戶是使用移動互聯(lián)網應用程序服務的個人消費者，服務供給側用戶是通過移動互聯(lián)網應用程序提供服務的用戶，例如網絡約車類移動互聯(lián)網應用程序的消費側用戶是乘客，服務供給側用戶是駕駛員。由移動互聯(lián)網應用程序運營者之外的其他法人實體提供，通過移動互聯(lián)網應用程序直接面向用戶提供服務的應用程序。注1:第三方應用的提供形式，通常包括SDK、小程序、Web頁面等。如果SDK沒有直接向用戶提供服務，則不屬于本文件所稱的第三方應用。注2:雖與App運營者屬于不同法人實體，但與App運營者屬于同一企業(yè)集團，且遵守同一套管理制度、統(tǒng)一進行安全和運維管理的，不屬于App運營者的第三方。關聯(lián)公司通常屬于App運營者的第三方。與運行在用戶移動智能終端上的App相對應，支撐App運營的整個后端系統(tǒng)。移動智能終端操作系統(tǒng)向移動互聯(lián)網應用程序開放的，具有收集個人信息功能的系統(tǒng)權限。注：簡稱系統(tǒng)權限或權限。4縮略語下列縮略語適用于本文件。API:應用程序編程接口(ApplicationProgrammingInterface)ICCID:集成電路卡識別碼(IntegrateCircuitCardIDentity)IDFA:廣告標識符(IDentifierForAdvertising)IMEI:國際移動設備識別碼(InternationalMobileEquipmentIdentity)3IMSI:國際移動用戶識別碼(InternationalMobileSubscriberIdentity)MAC:媒體訪問控制(MediaAccessControl)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)5測評流程與方式App個人信息安全測評主要針對App運營者、App服務端、App和相關文檔資料等測評對象開展，測評流程包含測評準備、測評實施、測評結果判定和測評報告編寫4個階段，根據測評目標需要，也可以包含被測對象的整改與復測階段，見圖1。測評報告編寫測評報告編寫整改上復測輸小測評結論整體測評結果判定測評單元結果判定結果確認及資料山還教錄測評實施環(huán)境準備測評方案編制及確認工具和表單準備測評對象和測評單元確定信息收集測評結果判定測評準備圖1App個人信息安全測評流程圖5.2測評流程測評準備階段的主要內容及要求如下。a)App運營者基本信息的收集。測評人員應收集被測評App運營者提供的被測App樣本、App功能說明、App收集使用個人信息情況說明等材料(提交材料內容見附錄A)。為提高測評結果的準確性，對于有特殊登錄需求的App,測評人員應要求被測App運營者提供對應登錄賬號。b)測評對象和測評單元確定。測評人員應根據對App運營者基本信息的分析，確定測評工作的具體測評對象和適用的測評單元，例如需驗證的App功能范圍、查看的制度文檔、核查的服務端系統(tǒng)、訪談的人員崗位等。c)測評工具和測評表單準備。測評人員應根據確定的測評對象和測評單元，初步確定測評工作中所使用的測評工具和測評記錄表。d)測評方案編制與確認。測評人員應編制App個人信息安全測評方案，方案內容應涵蓋測評對況，測評人員還需要App運營者提供額外的信息材料或進行現(xiàn)場調研。測評方案編制完成后，測評人員應針對方案內容與App運營者進行確認，避免測評對生產環(huán)境帶來次生風險。測評實施階段的主要工作包括如下內容。4a)測評實施環(huán)境準備。開始實施測評時，測評人員應進行技術檢測工具的部署、調試和狀態(tài)確認，保障技術檢測工具輸出結果的可靠性。b)工具和人工測評及結果導出和記錄。測評人員按照第6章規(guī)定的測評方法實施測評，并將測評流程中獲取的證據進行詳細、準確的導出、記錄。c)結果確認及資料歸還。測評實施階段完成時，測評人員應與被測App運營者確認測評實施階段全部完成且形成了對應的測評記錄，并確認測評實施階段記錄的證據的準確性。確認測評實施動作完成后，測評人員應歸還被測評App的相關資料、移交相關權限和賬號。測評結果判定階段的主要工作包括如下內容。a)測評單元結果判定。測評人員通過證據分析，給出每一個測評單元的判定結果。b)整體測評結果判定。測評人員根據測評單元的判定結果確定App個人信息安全測評的整體結果。c)輸出測評結論。測評人員根據整體測評結果給出App個人信息安全測評的結論。5.2.4整改與復測根據測評目標需要，App個人信息安全測評可以添加整改與復測階段。整改與復測階段的主要工作包括如下內容。a)輸出整改建議。測評人員根據測評記錄和結果判定，針對單元判定結果為不符合的測評單元，給出App個人信息安全整改建議。b)實施整改。被測App運營者根據整改建議實施整改。c)整改結果復測。App運營者整改完成后，測評人員再次對初次測評時判定為不符合的測評單元進行測評，并給出復測的結果判定。如果整改措施對其他測評單元產生影響，則還需對被影響的其他測評單位進行復測。測評報告編寫階段，測評人員根據App個人信息安全測評記錄和結果判定，編制測評報告并加蓋理解或不同理解的可能性，排版應規(guī)范。5.3測評方式App個人信息安全測評實施過程中，測評人員可采用的基本測評方式包括但不限于以下五種。a)文檔審查：指測評人員查看App運營者的個人信息保護相關文檔資料，分析App現(xiàn)有的或計劃采取的個人信息保護措施。文檔資料包括但不限于：2)系統(tǒng)文檔，例如用戶手冊、管理員手冊、系統(tǒng)設計和需求文檔、接口文檔等；3)個人信息安全相關文檔，例如個人信息保護影響評估報告、個人信息保護合規(guī)審計報告、個人信息安全測試報告、個人信息安全應急預案、個人信息委托處理合同、個人信息對外提供合同、個人信息處理記錄等。b)服務端核查：指測評人員核查App服務端個人信息安全相關配置情況和個人信息處理活動情況，核實App運營者的個人信息保護制度和個人信息安全策略落實情況，核實App服務端是否在用戶同意范圍內處理個人信息。c)功能驗證：指測評人員以用戶身份操作使用App,依據與App的交互過程，驗證App收集使5用個人信息和保障用戶個人權利的情況。d)技術檢測：指測評人員通過App個人信息安全檢測工具獲得App未在交互界面顯示的個人信息收集使用情況，并進行分析以幫助測評人員獲取證據。e)人員訪談：指測評人員與被測評App運營者的管理、技術人員進行溝通。根據對測評人員所提問題的回答，測評人員為測評獲得相應信息，并驗證收集到的證據。5.4測評環(huán)境和工具App個人信息安全測評環(huán)境和工具應滿足以下基本要求：a)保障硬件平臺、網絡環(huán)境、操作系統(tǒng)、測評軟件等自身安全性，不因測試環(huán)境降低App安全性；b)最小化對App運行狀態(tài)的影響，能夠運行App完整的業(yè)務功能并進行檢測；c)能夠解析App基本屬性信息，包括但不限于App權限聲明等；d)能夠識別和記錄App運行時收集個人信息的行為，包含收集個人信息行為的時間、頻次、范口及目標IP所在地區(qū)等；f)宜提供多種方式(如截圖、視頻、調用棧等)支撐檢測記錄有效性；g)宜采用真機測評環(huán)境對App進行檢測，提高測評結果準確性；h)宜具備API調用棧及輸入參數(shù)、返回值的跟蹤，本地文件訪問記錄，本地SSL代理，界面元素識別和自動點擊等功能；i)宜支持對采用加固(加殼)技術保護的App的識別和檢測；j)能夠記錄測評人員和測評過程，并限制未授權人員查看測評記錄。6測評實施內容6.1個人信息收集的測評6.1.1收集個人信息合法性的測評本測評單元針對GB/T35273—2020中5.1a),測評方法如下。注1:測評單元的編號規(guī)則見附錄B。a)指標要求：App中不應存在以欺詐、誘騙、誤導的方式收集個人信息的情況。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度，是否明確要求App不應以欺詐、誘騙、誤導的方式收集個人信息；2)查看App個人信息保護政策，是否存在以欺詐、誘騙、誤導的方式描述個人信息收集行為3)通過功能驗證、技術檢測查看App是否存在以欺詐、誘騙、誤導的方式收集個人信息的e)單元判定：如果1)為肯定，2)、3)為否定，則符合本測評單元指標要求，否則不符合本測評單元6指標要求。本測評單元針對GB/T35273—2020中5.1b),測評方法如下。a)指標要求：App不應隱瞞自身所具有的收集個人信息的業(yè)務功能。d)測評步驟：1)查看并記錄App個人信息保護政策等文件中告知的收集個人信息的業(yè)務功能及其對應個人信息收集情況；實際收集個人信息的業(yè)務功能及其對應個人信息收集情況；3)比較App告知的和實際存在的業(yè)務功能和收集個人信息情況，判斷App是否存在隱瞞收集個人信息的業(yè)務功能。e)單元判定：如果3)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.1c),測評方法如下。a)指標要求：App運營者不應從非法渠道獲取個人信息。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度，是否明確要求不應從非法渠道獲取個人信息；2)訪談App運營相關人員，詢問獲取個人信息的渠道，判斷App運營者獲取個人信息的渠道是否合法；3)隨機選擇幾類個人信息，查看App運營者是否能證明這些個人信息來源的合法性；4)通過功能驗證、技術檢測、服務端核查，查看是否存在被監(jiān)管部門認定為存在違法違規(guī)收集個人信息行為且未進行整改的情況。e)單元判定：如果1)、2)、3)為肯定，4)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.1.2收集個人信息最小必要的測評本測評單元針對GB/T35273—2020中5.2a),測評方法如下。a)指標要求：App必須收集的個人信息應是保障其基本業(yè)務功能正常運行最少夠用的個人信息。d)測評步驟：1)通過功能驗證查看App提供的基本業(yè)務功能，結合功能驗證、技術檢測查看App是否強制收集必要個人信息范圍外的其他個人信息；注：服務類型正常運行最少夠用的個人信息及相關要求見GB/T41391—2022中附錄A。72)通過功能驗證、技術檢測查看App是否強制用戶打開非必要權限。e)單元判定：如果1)、2)均為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.2a),測評方法如下。a)指標要求：App收集的個人信息的類型應與實現(xiàn)其業(yè)務功能有直接關聯(lián)。d)測評步驟：1)查看App個人信息保護政策中描述的App收集的個人信息是否與業(yè)務功能有直接關聯(lián)；2)通過技術檢測查看App是否在配置文件中聲明與App的所有業(yè)務功能均沒有直接關聯(lián)的權限；3)通過功能驗證、技術檢測查看App申請的可收集個人信息的權限是否與業(yè)務功能有直接關聯(lián)；4)通過功能驗證、技術檢測查看App實際收集的個人信息是否與業(yè)務功能有直接關聯(lián)。注1:直接關聯(lián)是指沒有該個人信息的參與，與之相對應的服務功能無法實現(xiàn)。注2:特定類型個人信息收集要求見GB/T41391—2022中附錄C。e)單元判定：如果1)、3)、4)均為肯定且2)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.2a),測評方法如下。a)指標要求：用戶未使用App特定功能時，不應提前要求用戶授權該功能需要的權限或要求用戶填寫該功能需要的個人信息。c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看App是否提前要求用戶授權當前未使用的特定功能所需的權限或要求用戶填寫當前未使用的特定功能需要的個人信息。注：用戶未使用App特定功能時要求用戶授權相應權限的行為，例如用戶進入客服功能時，在未使用拍照和語音功能的情況下，要求用戶授權攝像頭和麥克風權限。e)單元判定：如果1)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.2b),測評方法如下。a)指標要求：App自動采集個人信息的頻率應是實現(xiàn)App的業(yè)務功能所必需的最低頻率。d)測評步驟：1)通過技術檢測查看App及其嵌入的第三方SDK和接入的第三方應用在前臺、后臺和靜默運行時自動收集個人信息的頻率，結合App運營者提供的證明材料，判斷App自動收集個人信息的頻率是否是實現(xiàn)App的業(yè)務功能所必需的最低頻率。8注1:App自動收集個人信息的頻率可參考其調用可讀取個人信息的API的頻率或發(fā)送包含個人信息的網絡數(shù)據包的頻率。注2:不同場景下App采集個人信息的合理頻率和相應的檢測環(huán)境參考附錄D。e)單元判定：如果1)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.2c),測評方法如下。a)指標要求：App間接獲取個人信息的數(shù)量應是實現(xiàn)App業(yè)務功能所必需的最少數(shù)量。d)測評步驟：1)通過查看App的個人信息保護政策和功能驗證查看App是否存在間接獲取個人信息的行為；2)訪談App運營者，詢問是否存在間接獲取個人信息的行為；3)查看App運營者的個人信息安全相關管理制度，是否明確要求間接獲取個人信息的數(shù)量應是實現(xiàn)App業(yè)務功能所必需的最少數(shù)量；4)通過功能驗證、技術檢測查看App間接獲取的個人信息是否為實現(xiàn)App業(yè)務功能所必需的最少數(shù)量；5)查看在間接獲取的場景下是否有獲取個人信息的協(xié)議，協(xié)議中是否規(guī)定了獲取個人信息的類型、數(shù)據量以及與業(yè)務功能的關聯(lián)關系，判斷App間接獲取個人信息的數(shù)量是否是App業(yè)務功能所必需的最少數(shù)量。注：App間接獲取個人信息的行為包括第三方賬號登錄時獲取用戶的昵稱、頭像，內嵌第三方購物平臺時聚合展示用戶在不同第三方購物平臺的訂單信息，獲取用戶的第三方信用評分，獲取用戶的第三方用戶畫像等。e)單元判定：如果1)、2)為否定，則本測評單元為不適用；如果1)～5)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.1.3多項業(yè)務功能自主選擇的測評本測評單元針對GB/T35273—2020中5.3a),測評方法如下。a)指標要求：App不應通過捆綁多項業(yè)務功能的方式，要求用戶一次性授權同意其未使用的業(yè)務功能收集個人信息的請求。d)測評步驟：1)通過功能驗證查看App是否在安裝時要求用戶一次性授權其申請的全部權限；2)通過功能驗證查看App是否在首次啟動時一次性連續(xù)彈窗要求用戶授權當前還未使用的業(yè)務功能所需的權限；3)通過功能驗證查看App是否在首次啟動時要求用戶填寫當前未使用的業(yè)務功能所需的個人信息；4)通過功能驗證查看App是否在用戶注冊、登錄賬號時，強制要求用戶授權該賬號關聯(lián)的其他App收集的個人信息；5)通過功能驗證查看App提供多項業(yè)務功能時，是否明確列出各項業(yè)務功能，并就每個業(yè)9務功能收集個人信息的請求分別征求用戶同意。e)單元判定：如果1)～4)為否定且5)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3b),測評方法如下。a)指標要求：App應把用戶自主作出的肯定性動作，如主動點擊、勾選、填寫等，作為產品或服務的特定業(yè)務功能的開啟條件。c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看App提供的業(yè)務功能類型，如地圖導航、網絡約車、網絡支付等。查看App是否在首次啟動時默認開啟除基本業(yè)務功能外其他涉及收集個人信息的業(yè)務功能；2)查看用戶打開App后是否能通過自主選擇的方式開啟特定業(yè)務功能，如通過主動點擊、e)單元判定：如果1)為否定且2)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3b),測評方法如下。a)指標要求：App應僅在用戶開啟業(yè)務功能后，才開始收集該業(yè)務功能需要的個人信息。d)測評步驟：1)通過功能驗證、技術檢測查看App是否在首次啟動時默認開啟App基本業(yè)務功能外的其他業(yè)務功能，并開始收集基本業(yè)務功能最小必要個人信息范圍外的其他個人信息；2)通過功能驗證、技術檢測查看App是否在用戶開啟特定業(yè)務功能后才開始收集對應業(yè)務功能需要的個人信息或申請打開業(yè)務功能需要的權限。e)單元判定：如果1)為否定且2)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3b),測評方法如下。a)指標要求：App在未向用戶告知或未經用戶同意，或無合理的使用場景時，不應自啟動或關聯(lián)啟動其他App并收集個人信息。d)測評步驟：1)通過技術檢測查看App是否存在自啟動并在自啟動后收集個人信息的行為；2)通過技術檢測查看App在使用或靜默狀態(tài)是否存在關聯(lián)啟動其他App并收集個人信息3)查看App的個人信息保護政策中是否說明App具有自啟動或關聯(lián)啟動其他App并收集個人信息的行為；4)通過功能驗證查看App自啟動或關聯(lián)啟動其他App后收集個人信息的行為是否征得用5)結合App運營者提供的證明材料，判斷App自啟動或關聯(lián)啟動其他App并收集個人信息的行為是否合理。e)單元判定：如果1)、2)為否定，則本測評單元為不適用；如果1)或2)為肯定且3)、4)、5)均為肯定，則符合本測評單元指標要求；否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3c),測評方法如下。a)指標要求：App關閉或退出業(yè)務功能的途徑或方式應與用戶選擇使用業(yè)務功能的途徑或方式同樣方便。c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看App是否向用戶提供自主選擇關閉或退出特定業(yè)務功能的途徑或方式；2)通過功能驗證查看App關閉或退出的途徑或方式是否與用戶使用或開啟特定業(yè)務功能的途徑或方式同樣便捷，如一鍵關閉或退出特定業(yè)務功能的按鈕或途徑。e)單元判定：如果1)、2)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3c),測評方法如下。a)指標要求：用戶選擇關閉或退出特定業(yè)務功能后，App應停止該業(yè)務功能的個人信息收集活動。d)測評步驟：1)進入App某項業(yè)務功能，通過功能驗證、技術檢測查看App收集的個人信息；2)關閉或退出該業(yè)務功能，通過功能驗證、技術檢測查看App收集的個人信息；3)對比該業(yè)務功能關閉或退出前后App收集的個人信息，判斷用戶選擇關閉或退出特定業(yè)務功能后，App是否停止該業(yè)務功能的個人信息收集活動。e)單元判定：如果3)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3d),測評方法如下。a)指標要求：用戶不授權同意使用、關閉或退出特定業(yè)務功能的，App不應頻繁征求用戶的授權同意。c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看用戶不同意某一業(yè)務功能收集非必要個人信息后，App是否再次詢問用戶同意收集該類個人信息；2)通過功能驗證查看用戶不同意打開某項可收集個人信息的非必要權限后，App是否再次詢問用戶是否同意打開該項可收集個人信息的權限；3)通過功能驗證查看用戶關閉或退出特定業(yè)務功能后，在未使用該特定業(yè)務功能時，App是否再次詢問用戶打開特定業(yè)務功能。注：再次詢問的表現(xiàn)方式包括但不限于彈窗或持續(xù)性提示等中斷或干擾用戶正常操作的行為。持續(xù)性提示是指在App界面持續(xù)展示用戶可見的提示文本、圖片、滾動字幕、鏈接等，用戶不主動點擊關閉或同意收集個人信息則提示信息無法自行消除的行為。e)單元判定：如果1)、2)、3)均為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3e),測評方法如下。a)指標要求：用戶不授權同意使用、關閉或退出特定業(yè)務功能，App不應暫停用戶自主選擇使用其他的業(yè)務功能，或降低其他業(yè)務功能的服務質量。d)測評步驟：1)通過功能驗證查看用戶關閉或退出特定業(yè)務功能，App是否妨礙其他業(yè)務功能繼續(xù)正常使用；2)通過功能驗證查看用戶關閉或退出特定業(yè)務功能，App是否故意設置障礙影響用戶體驗。e)單元判定：如果1)、2)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3e),測評方法如下。a)指標要求：App新增業(yè)務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，不應拒絕提供原有業(yè)務功能。d)測評步驟：1)查看App的個人信息保護政策，對比App新增業(yè)務功能申請收集的個人信息。進入App新增業(yè)務功能界面，不同意新增業(yè)務功能申請收集的個人信息或不打開可收集個人信息權限，查看App是否妨礙其他業(yè)務功能繼續(xù)正常使用。注：新增業(yè)務功能取代原有業(yè)務功能的除外。e)單元判定：如果1)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.3f),測評方法如下。a)指標要求：App不應僅以改善服務質量、提升使用體驗、研發(fā)新產品、增強安全性等為由，強制要求用戶同意收集個人信息。d)測評步驟：1)查看App的個人信息保護政策，或通過功能驗證，記錄僅以改善服務質量、提升使用體驗、2)通過功能驗證，不提供僅以改善服務質量、提升使用體驗、研發(fā)新產品、增強安全性為由收集的信息，查看App是否拒絕提供各項服務。注：為保障App基本的業(yè)務安全性，而非增強安全性而收集的個人信息，不在此項檢測范圍內。e)單元判定：如果2)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.1.4收集個人信息時授權同意的測評本測評單元針對GB/T35273—2020中5.4a),測評方法如下。a)指標要求：App收集個人信息，應向用戶告知收集、使用個人信息的目的、方式和范圍等規(guī)則，并獲得用戶的授權同意。d)測評步驟：1)查看App的個人信息保護政策，是否以結構化清單的方式逐一列出App(包括接入的第2)通過功能驗證查看App基本業(yè)務功能開啟前(如用戶初始安裝、首次使用等),是否通過交互界面(如彈窗、文字說明、提示條、提示音等形式),向用戶告知基本業(yè)務功能所必要收集的個人信息和處理情況，以及用戶拒絕提供或拒絕同意收集將造成的影響，并通過用戶對信息收集主動做出肯定性動作(如勾選、點擊“同意”等)征得其明示同意；3)通過技術檢測查看App是否在征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限；4)通過技術檢測查看App是否在未征得用戶同意的情況下收集個人信息；5)通過技術檢測查看App實際收集的個人信息或打開的可收集個人信息權限是否超出用戶授權范圍；6)通過技術檢測查看App是否未經用戶同意更改其設置的可收集個人信息設置狀態(tài)，如App更新時自動將用戶設置的隱私設置恢復到默認狀態(tài)。注1:技術檢測時需關注不需要系統(tǒng)權限就可以自動收集的個人信息，包括但不限于設備信息(例如An-注2:App中可收集個人信息設置包括App的系統(tǒng)權限設置，也包括App中涉及個人信息處理的設置，例如個性化推送的開關、推薦好友的開關、用戶畫像的標簽、對App中接入的第三方應用提供個人信息的授權等。注3:App實際收集個人信息超出用戶授權范圍的情況，如App以添加聯(lián)系人為由申請通訊錄權限，用戶打開權限后App讀取并上傳整個通訊錄；App聲明申請獲取地理位置權限用于獲得粗略地理位置，但用戶授權后App實際獲取了精確地理位置等。e)單元判定：如果1)、2)為肯定且3)～6)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.4b),測評方法如下。a)指標要求：App收集敏感個人信息前，應征得用戶的單獨同意，并應確保用戶的單獨同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示。d)測評步驟：1)查看App的個人信息保護政策，是否對需要收集的敏感個人信息進行了明確標識或突出顯示，是否明確說明了涉及收集敏感個人信息的業(yè)務功能，各業(yè)務功能收集敏感個人信息息委托處理、共同處理和對外提供情況等；2)通過功能驗證查看App在收集用戶敏感個人信息時，是否通過交互界面(如彈窗、文字說明、提示條、提示音等形式)向用戶清晰明確告知收集使用該敏感個人信息的目的、必要等規(guī)則，以便用戶在作出具體的授權同意前，能充分考慮對其具體影響，并通過用戶對每項敏感個人信息收集主動、單獨作出肯定性動作(如逐項勾選、逐項點擊“同意”等)征得其明示同意；3)通過功能驗證查看App在申請打開可收集敏感個人信息的權限時，是否同步告知用戶收集使用規(guī)則，且告知內容清晰明確，并取得用戶單獨同意，告知內容是否包括權限申請的目的、訪問字段、權限調用精度、權限調用場景、后臺權限調用情況、信息上傳情況、權限調用頻次等；查看App申請?zhí)囟愋拖到y(tǒng)權限或收集特定類型系統(tǒng)信息時，是否額外告知詳細處理規(guī)則；4)通過技術檢測查看App在讀取剪切板、應用程序列表時，是否向用戶告知并征得用戶單獨同意；5)通過功能驗證查看App是否將收集多項敏感個人信息的行為一次性征得用戶同意，或者將收集同一項敏感個人信息但用于不同處理目的的行為一次性征得用戶同意。注1:收集用戶實名信息時僅說明用于實名制認證、收集地理位置信息時僅說明用于基于地理位置的相關服務，申請存儲權限時僅說明用于改進用戶體驗等未說明詳細使用場景的可認為屬于說明不清晰的情況。注3:App申請?zhí)囟愋拖到y(tǒng)權限或收集特定類型系統(tǒng)信息時的額外告知內容參考附錄E。e)單元判定：如果1)～4)均為肯定且5)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.4c),測評方法如下。a)指標要求：App收集個人生物識別信息前，應單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得用戶的單獨同意。d)測評步驟：1)查看App的個人信息保護政策，是否對需要收集的個人生物識別信息進行了明確標識或突出顯示，是否明確說明了涉及收集個人生物識別信息的業(yè)務功能，收集個人生物識別信和對外提供等情況；2)通過功能驗證查看App在收集用戶個人生物識別信息時，是否通過交互界面(如彈窗、文字說明、提示條、提示音等形式)向用戶清晰明確告知收集使用個人生物識別信息的目的、等規(guī)則，以便用戶在作出具體的授權同意前，能充分考慮對其具體影響，并通過用戶主動、單獨作出肯定性動作(如單獨勾選、單獨點擊“同意”等)征得其明示同意；3)查看App在申請打開可收集個人生物識別信息的權限時，是否同步告知用戶其目的，且目的說明清晰明確。e)單元判定：如果1)、2)、3)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.4d),測評方法如下。a)指標要求：App收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意；不滿14周歲的，應征得其監(jiān)護人的單獨同意。d)測評步驟：1)查看App的個人信息保護政策中是否告知了征得未成年人監(jiān)護人同意的機制；2)如果App中存在設定生日、年齡等相關功能，設置年齡為14周歲以下，查看App是否有相應機制征得監(jiān)護人的單獨同意；3)訪談App運營者，在收集年滿14周歲的未成年人的個人信息前，是否具備相應措施征得未成年人或其監(jiān)護人的單獨同意。e)單元判定：如果1)、2)、3)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.1.4.5測評單元(PIC-23)本測評單元針對GB/T35273—2020中5.4e),測評方法如下。a)指標要求：App運營者間接獲取個人信息時，應要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進行確認。b)測評對象：文檔資料。d)測評步驟：1)訪談App運營者相關人員，確認App運營者是否通過間接渠道獲取個人信息；2)查看App運營者在間接獲取個人信息時，是否通過相關合同或協(xié)議保障個人信息來源的合法性；3)訪談App運營者間接獲取的個人信息的類型以及來源，是否對其來源的合法性進行確認。e)單元判定：如果1)為否定，則本測評單元為不適用；如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.4e),測評方法如下。a)指標要求：App運營者間接獲取個人信息時，應了解個人信息提供方已獲得的個人信息處理b)測評對象：文檔資料。d)測評步驟：1)訪談App運營者相關人員，確認App運營者是否通過間接渠道獲取個人信息；2)查看App運營者在間接獲取個人信息前，是否已通過相關合同或協(xié)議明確提供方已獲得的個人信息處理的授權同意范圍，包括使用目的，用戶是否授權同意轉讓、共享、公開披3)訪談App運營者是否了解已獲得的個人信息處理的授權同意范圍，包括使用目的，用戶e)單元判定：如果1)為否定，則本測評單元為不適用；如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.4e),測評方法如下。a)指標要求：App間接獲取個人信息時，如開展業(yè)務所需進行的個人信息處理活動超出已獲得的授權同意范圍的，應在獲取個人信息后的合理期限內或處理個人信息前，征得用戶的明示同意或通過個人信息提供方征得用戶的明示同意。d)測評步驟：1)查看App運營者在間接獲取個人信息時，是否通過相關合同或協(xié)議明確提供方已獲得的個人信息處理的授權同意范圍，包括使用目的，用戶是否授權同意轉讓、共享、公開披露、刪除等；2)訪談App運營者是否了解已獲得的個人信息處理的授權同意范圍，包括使用目的，用戶3)通過訪談App運營者或服務端核查，查看App運營者開展業(yè)務需進行的個人信息處理活動是否超出該授權同意范圍；4)通過功能驗證查看App是否對超出原授權同意范圍部分征得用戶的明示同意。e)單元判定：如果3)為否定，則本測評單元不適用。如果3)、4)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.1.5個人信息保護政策的測評本測評單元針對GB/T35273—2020中5.5a),測評方法如下。a)指標要求：應制定個人信息保護政策，個人信息保護政策內容應至少滿足GB/T35273—2020中5.5a)的要求。c)測評方式：功能驗證。d)測評步驟：1)查看App的個人信息保護政策是否包括了GB/T35273—2020中5.5a)的要求；2)查看App的個人信息保護政策是否明確標識了發(fā)布更新日期；3)查看App的個人信息保護政策是否以結構化清單形式逐一列出各項業(yè)務功能收集的個確說明哪些個人信息為必要的個人信息以及不提供個人信息對用戶的影響；4)查看App的個人信息保護政策是否以結構化清單形式逐一列出各項業(yè)務功能涉及的第三方個人信息處理者(包括以第三方應用形式接入App、以第三方SDK形式嵌入App和向第三方提供個人信息的其他情形)名稱，及其對應收集的個人信息類型、收集目的、方5)通過功能驗證查看App是否提供摘要版?zhèn)€人信息保護政策。e)單元判定：如果1)～5)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.5b),測評方法如下。a)指標要求：App的個人信息保護政策所告知的信息應真實、準確、完整。d)測評步驟：1)查看App的個人信息保護政策披露的App運營者的基本情況，包括主體身份、聯(lián)系方式，通過工商信息查詢、撥打聯(lián)系電話、向聯(lián)系郵箱發(fā)送郵件等方式驗證上述信息是否真2)通過技術檢測查看App的各項業(yè)務功能及其對應收集的個人信息，驗證App的業(yè)務功能以及各業(yè)務功能分別收集的個人信息類型是否與個人信息保護政策告知的信息相符；3)通過技術檢測查看App的個人信息收集方式，驗證App的個人信息收集方式是否與個人信息保護政策披露的個人信息收集方式相符；4)通過功能驗證查看App的個人信息保護政策披露的用戶個人權利和實現(xiàn)機制，如查詢、更正、刪除、注銷賬戶、撤回授權同意、獲取個人信息副本等的途徑和方式，通過操作App相應功能、撥打聯(lián)系電話、向聯(lián)系郵箱發(fā)送郵件等方式驗證上述信息是否真實、準確、完整；5)通過功能驗證查看App的個人信息保護政策披露的處理用戶詢問、投訴的渠道和機制，以及外部糾紛解決機構及聯(lián)絡方式，通過操作App相應功能、撥打聯(lián)系電話、向聯(lián)系郵箱發(fā)送郵件等方式驗證上述信息是否真實、準確、完整；6)通過人員訪談和服務端核查驗證個人信息保護政策對個人信息存儲期限、存儲位置、存儲7)通過人員訪談和服務端核查驗證個人信息保護政策對個人信息的共享、轉讓、公開披露行8)通過人員訪談和服務端核查驗證個人信息保護政策對個人信息安全防護措施的告知是否e)單元判定：如果1)～8)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.5c),測評方法如下。a)指標要求：App的個人信息保護政策的內容應清晰易懂，符合通用的語言習慣，使用標準化的c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看App是否提供簡體中文版?zhèn)€人信息保護政策；2)通過功能驗證查看App個人信息保護政策的字體大小、顏色、排版是否易于閱讀；3)通過功能驗證查看App個人信息保護政策語言是否通順且易于理解，不存在概念混淆、4)通過功能驗證查看App個人信息保護政策是否存在錯別字，錯別字是否造成理解上的e)單元判定：如果1)、2)、3)為肯定且4)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.5d),測評方法如下。a)指標要求：App個人信息保護政策應公開發(fā)布且易于訪問。d)測評步驟：1)通過功能驗證查看App首次啟動時是否通過彈窗等明顯方式提示用戶閱讀個人信息保護政策等收集使用規(guī)則；2)通過功能驗證查看App進入注冊及登錄頁面(若有注冊、登錄功能),是否具有個人信息保護政策或個人信息保護政策有效鏈接；3)通過功能驗證查看App運行并進入主界面后，是否通過4次及以下點擊等操作能訪問到個人信息保護政策。e)單元判定：如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.5e),測評方法如下。a)指標要求：App個人信息保護政策應逐一送達用戶；當成本過高或有顯著困難時，可以公告的形式發(fā)布。c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看App中是否可以找到被測App提供的個人信息保護政策；2)若在App中未找到個人信息保護政策，則判斷是否存在逐一送達個人信息保護政策時成本過高或有顯著困難的情況。例如當App不存在用戶交互界面時，此種情況下，查看App運營者是否在其官方網站公開發(fā)布個人信息保護政策。e)單元判定：如果1)、2)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中5.5f),測評方法如下。a)指標要求：App運營者在個人信息保護政策所載事項發(fā)生變化時，應及時更新個人信息保護政策并重新告知用戶。d)測評步驟：1)查看個人信息保護政策是否標注了更新日期；2)根據測評單元PIC-27的符合情況，查看App是否存在個人信息保護政策所載事項發(fā)生變化時，未及時更新個人信息保護政策的情況；3)若個人信息保護政策更新過，查看App是否向用戶告知了更新后的個人信息保護政策并就更新的事項重新取得用戶的同意；4)通過服務端核查和訪談App運營者，查看App是否有在個人信息保護政策更新后，重新取得用戶同意的機制。e)單元判定：如果2)為否定且1)、3)、4)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.1.6征得授權同意例外的測評測評單元(PIC-32)本測評單元針對GB/T35273—2020中5.6,測評方法如下。a)指標要求：App運營者收集、使用個人信息不必征得用戶的授權同意的情形，應滿足GB/T35273—2020中5.6的要求。c)測評方式：功能驗證。d)測評步驟：1)查看個人信息保護政策是否告知了“征得授權同意的例外”;2)查看“征得授權同意的例外”中是否包含不合理的例外情形。e)單元判定：如果1)為肯定且2)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.2個人信息存儲的測評6.2.1個人信息存儲時間最小化的測評本測評單元針對GB/T35273—2020中6.1a),測評方法如下。a)指標要求：App運營者保存?zhèn)€人信息的期限應為實現(xiàn)用戶授權使用的目的所必需的最短時間，法律法規(guī)另有規(guī)定或者用戶另行同意的除外。d)測評步驟：1)查看App運營者是否設立針對個人信息保存期限的個人信息安全相關制度，是否明確要求保存?zhèn)€人信息的期限為實現(xiàn)用戶授權使用目的所需最短時間，是否明確相關法律、行政法規(guī)要求保存?zhèn)€人信息的最短期限；2)訪談App運營者針對各類個人信息的保存期限，包括制度中規(guī)定的、程序中設置的等，判斷保存期限是否滿足最短時間要求；3)查看App服務端是否有針對超期數(shù)據的甄別方式，是否有針對超期數(shù)據進行處理的記錄；4)查看對于已經超出用戶授權使用目的所必需的最短時間的個人信息，App運營者能否提供法律法規(guī)的另行規(guī)定或者用戶另外同意的證明材料；5)查看對于已經超出用戶授權使用目的所必需的最短時間的個人信息，但法律、行政法規(guī)規(guī)定的保存期限未屆滿的，App運營者是否停止除存儲和采取必要的安全保護措施之外e)單元判定：如果1)～5)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中6.1b),測評方法如下。a)指標要求：超出個人信息保存期限后，應對個人信息進行刪除或匿名化處理。d)測評步驟：1)查看App運營者是否設立針對超期個人信息進行刪除或匿名化處理的個人信息安全相關制度；2)詢問并查看App運營者是否有針對超期數(shù)據處理的技術手段；3)查看App運營者針對超期數(shù)據進行處理的日志信息，是否對超期數(shù)據進行了處理；4)查看刪除或匿名化處理數(shù)據的結果是否達到徹底刪除或匿名化后不可還原的要求；5)查看保存敏感個人信息的存儲介質在報廢處理時，App運營者是否采用物理銷毀等方式銷毀介質，以確保敏感個人信息無法被恢復。e)單元判定：如果1)～5)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標6.2.2去標識化處理的測評測評單元(PIS-03)本測評單元針對GB/T35273—2020中6.2,測評方法如下。a)指標要求：收集個人信息后，App運營者宜立即進行去標識化處理，并采取技術和管理方面的措施，將去標識化后的信息與可用于恢復識別個人的信息分開存儲并加強訪問與使用權限管理。d)測評步驟：1)查看App服務端是否在收集個人信息后，立即進行去標識處理；2)詢問并查看App運營者是否有相關的管理制度，規(guī)定了收集個人信息后將去標識化后的信息與可用于恢復識別個人的信息分開存儲，可用于恢復識別個人的信息在訪問權限、審批流程、日志記錄、安全審計等方面是否有更嚴格的規(guī)定；3)查看App服務端，驗證去標識化后的信息與可用于恢復識別個人的信息是否在數(shù)據庫表級別及以上分開存儲；4)查看App服務端，驗證可用于恢復識別個人的信息的訪問和使用權限相關的審批流程、日志記錄、安全審計方面是否有效。e)單元判定：如果1)～4)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.2.3個人敏感信息傳輸和存儲的測評本測評單元針對GB/T35273—2020中6.3a),測評方法如下。a)指標要求：傳輸和存儲敏感個人信息時，應采用加密等安全措施。d)測評步驟：1)通過功能驗證和文檔審查查看App是否存在收集用戶敏感個人信息的行為；2)查看App設計文檔，在傳輸和存儲敏感個人信息時是否采用加密等安全措施；3)通過技術檢測查看App是否以明文形式通過網絡傳輸用戶敏感個人信息；4)通過技術檢測查看App是否以明文形式將敏感個人信息存儲在用戶終端中；5)查看App服務端是否以明文形式存儲敏感個人信息。e)單元判定：如果1)為否定，則本測評單元為不適用；如果1)、2)為肯定，3)、4)、5)均為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中6.3b),測評方法如下。a)指標要求：App收集個人生物識別信息的，應將其與收集的個人身份信息分開存儲。d)測評步驟：1)通過功能驗證和文檔審查查看App是否存在收集個人生物識別信息的行為；2)查看App運營者的個人信息安全相關管理制度或App設計文檔是否明確將收集的個人生物識別信息與個人身份信息分開存儲；3)采用技術手段檢測App本地是否將收集的個人生物識別信息與個人身份信息分開存儲；4)查看App服務端，是否將收集的個人生物識別信息與個人身份信息分開存儲。e)單元判定：如果1)為否定，則本測評單元為不適用；如果1)～4)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中6.3c),測評方法如下。a)指標要求：App應采取恰當措施以避免存儲原始個人生物識別信息。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度或App設計文檔是否明確不存儲個人生物識別信息的原始信息；2)通過技術檢測查看App是否將個人生物識別信息的原始信息存儲在用戶終端中；3)查看App服務端是否存儲個人生物識別信息的原始信息。e)單元判定：如果1)為肯定且2)、3)、4)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.2.4App運營者停止運營的測評本測評單元針對GB/T35273—2020中6.4a),測評方法如下。a)指標要求：App運營者應確保停止運營后及時停止繼續(xù)收集個人信息的活動，并有相應機制保障實施。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度，是否明確要求停止運營產品或服務后及時停止繼續(xù)收集個人信息的活動；2)詢問App運營者是否存在停止運營產品或服務的情況；3)如果存在停止運營產品或服務的情況，詢問是否及時停止繼續(xù)收集個人信息，查看App服務端是否有停止繼續(xù)收集個人信息的機制和相關記錄。注：停止繼續(xù)收集個人信息的活動，如停止某服務后，移除僅供該e)單元判定：如果1)、2)、3)為肯定，則符合本測評單元指標要求，如果1)為肯定且2)為否定，也符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中6.4b),測評方法如下。a)指標要求：App運營者應明確要求在停止運營其產品或服務時，將停止運營的通知以逐一送達或公告的形式通知用戶，并有相應機制保障實施。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度，是否明確要求在停止運營其產品或服務時，將停止運營的通知以逐一送達或公告的形式通知用戶；2)詢問App運營者是否存在停止運營產品或服務的情況；3)如果存在停止運營產品或服務的情況，詢問是否將停止運營的通知以逐一送達或公告的形式通知用戶，查看App服務端發(fā)送通知的實現(xiàn)機制和相關記錄。e)單元判定：如果1)、2)、3)為肯定，則符合本測評單元指標要求，如果1)為肯定且2)為否定，也符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中6.4c),測評方法如下。a)指標要求：App運營者應明確要求在停止運營其產品或服務時，對其所持有的個人信息進行刪除或匿名化處理，并有相應機制保障實施。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度，是否明確要求在停止運營其產品或服務時，對其所持有的個人信息進行刪除或匿名化處理；2)詢問App運營者是否存在停止運營產品或服務的情況；3)如果存在停止運營產品或服務的情況，詢問是否對其所持有的僅與該產品或服務有關的個人信息進行刪除或匿名化處理，查看App服務端相應的實現(xiàn)機制和相關記錄；4)查看刪除或匿名化處理結果是否符合相關要求。e)單元判定：如果1)～4)為肯定，則符合本測評單元指標要求，如果1)為肯定且2)為否定，也符合本測評單元指標要求，否則不符合本測評單元指標要求。6.3個人信息使用的測評6.3.1個人信息訪問控制措施的測評本測評單元針對GB/T35273—2020中7.1a),測評方法如下。a)指標要求：App運營者應對被授權訪問個人信息的人員，建立最小授權的訪問控制策略，使其只能訪問職責所需的最小必要的個人信息，且僅具備完成職責所需的最少的數(shù)據操作權限。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度，是否建立個人信息分類制度，是否依據個人信息分類建立訪問控制策略，訪問控制策略是否符合最少授權原則，如各類角色僅能訪問職責所需的最少夠用的個人信息，是否建立個人信息訪問授權審批流程；2)核查App服務端是否符合個人信息訪問控制策略要求，例如不同權限的賬號所能訪問的個人信息類型、相關API等是否滿足最小授權機制，App服務端的角色賬號訪問和操作個人信息是否經過授權審批；3)核查是否存在相應的記錄，如針對個人信息訪問權限和時效進行審批的記錄、App服務端的角色定義和賬號分配進行審批的記錄。e)單元判定：如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標本測評單元針對GB/T35273—2020中7.1b),測評方法如下。a)指標要求：App運營者應對個人信息的重要操作設置內部審批流程，如進行批量修改、拷貝、下載等重要操作。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度是否明確了各類個人信息的重要操作范圍，是否針對個人信息重要操作定義了內部審批流程，審批流程是否覆蓋所有定義的個人信息重要操作范圍；2)核查App服務端的賬號角色執(zhí)行個人信息的重要操作時是否符合審批流程要求；3)核查是否存在相應的個人信息重要操作審批記錄，App服務端的重要操作是否有日志e)單元判定：如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中7.1c),測評方法如下。a)指標要求：App運營者應對安全管理人員、數(shù)據操作人員、審計人員的角色進行分離設置。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度是否明確定義了安全管理人員、數(shù)據操作人員、審計人員各類角色的崗位職責，是否對各類角色的崗位分離有明確要求；2)核查實際崗位人員職責是否與管理制度一致，是否進行了崗位分離；3)核查App服務端賬號角色是否覆蓋安全管理人員、數(shù)據操作人員、審計人員，各類角色是否相互獨立，是否不存在同一賬號配置多個角色的情況。e)單元判定：如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中7.1d),測評方法如下。a)指標要求：App運營者確因工作需要，需授權特定人員超權限處理個人信息的，應經個人信息保護責任人或個人信息保護工作機構進行審批，并記錄在冊。b)測評對象：文檔資料。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度是否明確超權限處理個人信息的規(guī)定或流程設置，是否明確由個人信息保護責任人或個人信息保護工作機構對超權限處理個人信息進行審批；2)核查App運營者是否由個人信息保護責任人或個人信息保護工作機構對超權限處理個人信息進行審批；3)核查App運營者針對超權限處理個人信息是否存在相應的記錄。e)單元判定：如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。如果App運營者的相關管理制度規(guī)定不允許出現(xiàn)超權限處理個人信息的情形，則本測評單元為不適用。本測評單元針對GB/T35273—2020中7.1e),測評方法如下。a)指標要求：對于訪問、修改敏感個人信息等操作行為，App運營者宜在對角色權限控制的基礎上，按照業(yè)務流程的需求觸發(fā)操作授權。c)測評方式：服務端核查。d)測評步驟：1)核查App服務端是否具備相應機制實現(xiàn)按照業(yè)務流程的需求觸發(fā)操作授權。注：按照業(yè)務流程的需求觸發(fā)權限授權，如當收到客戶投訴時，投訴處理人員才能訪問該用戶的相關信息。e)單元判定：如果1)為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.3.2個人信息展示限制的測評測評單元(UPI-06)本測評單元針對GB/T35273—2020中7.2,測評方法如下。a)指標要求：涉及通過界面展示個人信息的，App運營者宜對需展示的個人信息采取去標識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風險。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度或設計文檔中是否明確了存在個人信息展示的系統(tǒng)范圍，以及各類各級個人信息在進行展示時的安全管理要求；2)通過功能驗證查看App中涉及個人信息展示的界面在展示個人信息時是否按管理要求對個人信息進行了去標識化處理等措施；3)通過核查查看App服務端中涉及個人信息展示的界面在展示個人信息時是否按管理要求對個人信息進行了去標識化處理等措施。e)單元判定：如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.3.3個人信息使用目的限制的測評本測評單元針對GB/T35273—2020中7.3a),測評方法如下。a)指標要求：App運營者使用個人信息時，不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯(lián)的范圍。因業(yè)務需要，確需超出上述范圍使用個人信息的，應再次征得用戶明示同意。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度是否要求收集使用個人信息前，征求用戶的明示同意；要求超出征求同意范圍收集使用個人信息的，再次征得用戶明示同意；2)通過功能驗證查看App的個人信息保護政策說明的個人信息收集使用目的，服務端核查App運營者使用個人信息時，是否超出與收集個人信息時所聲稱的目的具有直接或合理關聯(lián)的范圍；3)服務端核查App運營者因業(yè)務需要，確需超出征求同意范圍使用個人信息時，是否存在再次征得用戶明示同意的機制；4)核查App運營者是否存在超出征求同意范圍使用個人信息的歷史行為，是否為此再次征得用戶的明示同意；5)核查App接入的第三方應用和嵌入的第三方SDK收集個人信息的行為發(fā)生變化時，包括接入的第三方應用和嵌入的第三方SDK的數(shù)量、類型發(fā)生變化，或者第三方應用和嵌入的第三方SDK處理個人信息的目的發(fā)生變化時，是否再次征得用戶明示同意。e)單元判定：如果1)、3)、4)、5)為肯定且2)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中7.3b),測評方法如下。a)指標要求：App運營者對收集的個人信息進行加工處理而產生的信息，能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的，應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的授權同意范圍。d)測評步驟：1)查看App運營者處理個人信息活動環(huán)節(jié)中是否對加工處理產生的，能夠單獨或與其他信息結合識別特定自然人身份或反映特定自然人活動情況的個人信息，規(guī)定了對應的管理制度、處理策略及相應技術措施；2)服務端核查個人信息加工處理的情況，產生的信息是否能夠單獨或與其他信息結合識別特定自然人身份或反映自然人活動情況；3)服務端核查針對加工處理后產生的個人信息的管理和使用等是否符合收集個人信息時獲得的授權同意范圍。e)單元判定：如果2)為否定，則本測評單元為不適用；如果1)、2)、3)均為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.3.4用戶畫像使用限制的測評本測評單元針對GB/T35273—2020中7.4a),測評方法如下。a)指標要求：App運營者不應對用戶進行包含淫穢、色情、賭博、迷信、恐怖、暴力的內容以及對d)測評步驟：1)查看App運營者的個人信息安全管理制度中是否禁止對用戶進行包含淫穢、色情、賭博、2)通過服務端核查和詢問相關管理人員、技術人員、產品經理，了解用戶畫像的分析活動3)向用戶提供用戶標簽管理功能的，通過功能驗證查看App的用戶標簽管理頁面中對用戶4)App服務端包含用戶標簽管理功能的，核查服務端對用戶標簽的類型、列表與配置規(guī)歧視等內容。e)單元判定：如果1)、2)為肯定且3)、4)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中7.4b),測評方法如下。a)指標要求：App運營者在業(yè)務運行或對外業(yè)務合作中使用用戶畫像時，不應侵害公民、法人、情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩序。d)測評步驟：1)查看App運營者的個人信息安全相關管理制度中是否包含對用戶畫像的相關管理規(guī)定；2)通過服務端核查、人員訪談查看用戶畫像的使用是否涉及侵害保護公民、法人和其他組織的合法權益；3)通過服務端核查、人員訪談查看用戶畫像的使用是否危害國家安全，宣揚恐怖主義，宣揚民族歧視，傳播暴力、淫穢、色情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩序等注：侵害公民合法權益的行為包括App運營者使用用戶畫像，對交易條件相同的個人實施差異化定價的行為(大數(shù)據殺熟)等。e)單元判定：如果1)為肯定且2)、3)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。本測評單元針對GB/T35273—2020中7.4c),測評方法如下。a)指標要求：App運營者除為實現(xiàn)用戶授權同意的使用目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。d)測評步驟：1)查看管理制度中是否包含對用戶畫像使用的相關管理規(guī)定，是否明確除為實現(xiàn)用戶授權同意的使用目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人；2)核查App服務端功能或日志，檢查用戶畫像的使用情況，確認是否存在非必要場景中使用明確身份指向性信息進行精確畫像的情況。例如生成用于推送廣告的人物畫像中不應使用可識別個人的信息。e)單元判定：如果1)為肯定且2)為否定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。6.3.5個性化展示使用的測評本測評單元針對GB/T35273—2020中7.5a),測評方法如下。a)指標要求：App運營者在向用戶提供業(yè)務功能的過程中使用個性化展示的，應顯著區(qū)分個性化展示的內容和非個性化展示的內容。c)測評方式：功能驗證。d)測評步驟：1)通過功能驗證查看App是否存在個性化推薦的業(yè)務功能；2)通過功能驗證查看App是否向用戶同時提供包含個性化展示和非個性化展示的業(yè)務功能；你喜歡”等字樣顯著區(qū)分個性化展示和非個性化展示的內容；4)當App提供的業(yè)務功能使用個性化展示時，查看App是否通過不同的欄目、板塊、頁面等或其他顯著方式區(qū)分個性化展示和非個性化展示內容；5)通過功能驗證查看App利用用戶個人信息和算法定向推送信息時，是否提供非定向推送信息的展示內容。e)單元判定