《信息安全技术个人信息安全规范》自评价表

《信息安全技术个人信息安全规范》自评价表

要求类要求子类要求项评价要点自评估结果备注

个人信息控制者是否存在以不正当方式收集个

人信息的情况，如在App功能界面或个人信息

保护政策中以欺诈、诱骗、误导的方式要求用

户提供个人信息；

a）个人信息控制者不应以欺诈、诱骗、个人信息控制者是否建立相关管理制度明确要

误导的方式收集个人信息、；求App不以欺诈、诱骗、误导的方式收集个人信

息；

是否存在其他因欺诈、诱骗、误导收集个人信

息被法院或有关行政机构形成相应判决或处罚

个人信息5.1收集个人信的情形。

的收集息的合法性是否存在隐瞒收集个人信息的业务功能，即存

在实际收集个人信息的业务功能多于个人信息

保护政策或用户协议等告知范围，如通过嵌入

第三方代码、插件（实现第三方登录、分享、

b）个人信息控制者不应隐瞒产品或服支付等功能）收集个人信息，但未向用户明示

务所具有的收集个人信息的功能；其规则：

是否存在业务功能隐瞒收集个人信息的情形：

（1）App使用cookie及其同类技术收集可

标记个人行为、个人身份的信息时，未向用户

明示其规则；

要求类要求子类要求项评价要点自评估结果备注

（2）App故意欺瞒、掩饰收集使用个人信

息或隐瞒使用可收集个人信息权限的真实目

的，如以添加联系人为由申请通讯录权限，用

户打开权限后上传整个通讯录等；

（3）业务功能存在其他故意隐瞒而未告知

实际收集个人信息的情况；

是否存在私自截留第三方收集的个人信息的情

形，如在用户使用接入的第三方应用时（如访

问网站、H5页面、使用小程序等），在未告知

用户的前提下，私自截取留存第三方应用收集

的个人信息。

是否存在利用撞库、钓鱼等渗透技术或社会工

程学手段非法获取个人信息的情形；

通过第三方共享或转让获得个人信息，第三方

的共享、转让行为是否征得个人信息主体的同

C）个人信息控制者不应从非法渠道获取

思；

个人信息；

是否存在利用网络爬虫等技术越权访问收集个

人信息的情形；

是否存在其他个人信息控制者无法证明其获取

的个人信息来源合法性的情况。

a）收集的个人信息的类型应与实现产品App实际收集的个人信息与所提供业务功能是

5.2收集个人信或服务的业务功能有直接关联；直接关否无任何相关性（不论是否强制要求用户提

息的最小必要联是指没有该等信息的参与，产品或服供）；

务的功能无法实现；App是否存在申请可收集与业务功能无关的个

要求类要求子类要求项评价要点自评估结果备注

人信息的系统权限的行为（不论是否强制要求

用户提供）。

是否存在App在首次运行前存在自动采集个人

信息的行为；

App在用户使用某一业务功能时，自动采集个

人信息的频率是否超出该业务功能实际所需的

b）自动采集个人信息的频率应是实现频率,且个人信息控制者能否合理说明该频率；

产品或服务的业务功能所必需的最低App在后台运行时是否存在频繁自动采集个人

频率；信息的行为；

是否存在其他以不合理频率收集个人信息的情

形，例如在用户使用App某一业务功能过程中，

其收集的个人信息与当前业务功能无关（与其

他业务功能有关）。

个人信息控制者是否存在无法合理说明的超数

C）间接获取个人信息的数量应是实现产

量（类型、范围等）间接获取的个人信息的情

品或服务的业务功能所必需的最少数

形。

量。

如不涉及间接获取个人信息，该项不适用。

是否存在将多项系统权限打包、捆绑，要求用

户全部打开的情形；

a）不应通过捆绑产品或服务各项业务功

App是否存在注册一个账号视同注册并自动登

5.3多项业务功能的方式，要求个人信息主体一次性接

录多个相关应用的账号的情形；

能的自主选择受并授权同意各项业务功能收集个人

App是否存在某个功能模块当用户未提供个人

信息的请求；

信息或拒绝授予系统权限，则该模块整体无法

使用或App拒绝提供所有服务的情形，且该个

要求类要求子类要求项评价要点自评估结果备注

人信息/系统权限非模块所必要的情形；

是否存在App通过更新方式增加业务功能时

（新增业务功能将取代原有业务功能的除外），

如需收集的个人信息超出原有同意范围，因用

户拒绝新增业务功能收集个人信息的请求而拒

绝提供原有业务功能的（如App更新后个人信

息保护政策增加了新增业务功能的相关描述，

且要求用户点击同意整个个人信息保护政策才

能正常使用App的，如用户点击不同意，App拒

绝提供更新前己同意的业务功能）的情形；

是否存在其他将多项业务功能打包、捆绑，要

求用户全部接受的情形，如App要求个人信息

主体一次性接受并授权同意所有业务功能收集

个人信息的,不同意则拒绝提供任何单一服务。

是否存在与基本服务类型相关性不大的业务功

能时，未提供个人信息主体自主选择开启该功

b）应把个人信息主体自主做出的肯定能机会的情形；

性动作，如主动点击、勾选、填写等，是否存在强制收集非必要个人信息的情形：

作为产品或服务的特定业务功能的开3）App某一业务功能中，实际收集的个

启条件。个人信息控制者应仅个人信息人信息超出必要信息范围，且采用强制方式要

主体开启该业务功能后，开始收集个人求用户提供；

信息；（2）App将同意收集其他业务功能所需的

个人信息或同意开启其他业务功能所需可收集

个人信息权限,作为业务功能开启的前提条件；

要求类要求子类要求项评价要点自评估结果备注

（3）App提供无需注册即可使用（如浏览、

游客模式）的业务模式，因用户拒绝收集支撑

浏览、游客等模式以外的个人信息，App拒绝提

供所有业务功能（如在首次打开时，需要用户

点击是否同意个人信息保护政策的，如用户点

击不同意个人信息保护政策，App拒绝提供所

有业务）。

C）关闭或退出业务功能的途径或方式应

App存在与主要服务类型相关性不大的业务功

与个人信息主体选择使用业务功能的

能时，是否提供与开启该功能同样便捷的关闭

途径或方式同样方便。个人信息主体选

功能；

择关闭或退出特定业务功能后，个人信

退出某业务功能后，该功能是否仍收集相关个

息控制者应停止该业务功能的个人信

人信息。

息收集活动；

在关闭或退出特定业务功能后，是否存在频繁

打扰情形。如在每次重新打开App时，某一业务

功能重新询问是否同意收集个人信息，或在用

户使用与该个人信息无关的功能时频繁询问

d）个人信息主体不同意使用、关闭或退（如24小时内弹窗提醒用户打开次数超过1

出特定业务功能的，不应频繁征求个人次）是否同意收集个人信息”

信息主体的同意。在用户明确拒绝授权后，是否存在频繁征求用

户同意、干扰用户正常使用的情形，如在每次

重新打开App时，某一业务功能重新索要用户

已拒绝的系统权限，或在用户使用与该系统权

限无关的功能时频繁索要（如24小时内弹窗提

要求类要求子类要求项评价要点自评估结果备注

醒用户打开次数超过1次）用户已拒绝的系统

权限。

e）个人信息主体不同意使用、关闭或退

关闭或退出特定业务功能时，是否同时暂停了

出特定业务功能的，不应暂停个人信息

其他业务功能的，或者故意设置障碍影响用户

主体自主选择使用的其他业务功能，或

体验的。

降低其他业务功能的服务质量。

f）不得仅以改善服务质量、提升使用体

App是否存在仅以改善服务质量、提示使用体

验、研发新产品、增强安全性等为由，

验、研发新产品、增强安全性等为由，强制要

强制要求个人信息主体同意收集个人

求个人信息主体同意收集个人信息的情形。

信息O

a）收集个人信息，应向个人信息主体告是否存在未征得个人信息主体的授权同意已开

知收集、使用个人信息的目的、方式和始收集使用个人信息的情形，如下：

范围，并获得个人信息主体的授权同（1）App收集个人信息前未提供任何形

思；式的由用户主动选择同意或不同意（包括退出、

注1:如产品或服务仅提供一项收集、使上一步、关闭、取消等）的选项；

用个人信息的业务功能时，个人信息控（2）App首次运行时，在提示用户阅读个

5.4收集个人信

制者可通过隐私政策的形式，实现向个人信息保护政策并征得用户同意前，已经发生

息时的授权同意

人信息主体的告知；产品或服务提供多了收集个人信息的行为（包括利用Cookie等同

项收集、使用个人信息的业务功能的，类技术收集个人信息后，才向用户说明相关收

除隐私政策外，个人信息控制者宜在实集使用规则的情形）；

际开始收集特定个人信息时，向个人信（3）未经用户同意，App私自调用可收集

息主体提供收集、使用该个人信息的目用户个人信息的系统权限或相关函数（如调用

的、方式和范围，以便个人信息主体在相关函数收集应用程序列表）：

要求类要求子类要求项评价要点自评估结果备注

作出具体的授权同意前，能充分考虑对（4）在用户明拒绝App收集行为后，仍收

其的具体影响。集个人信息（如用户通过拒绝相关权限明确表

注2：符合本标准5.3和a）要求的实现方达不同意收集IMEI、地理位置信息的意愿后，

法,可参考附录CApp通过读取公共存储区等方式继续收集相关

个人信息）；

是否存在未经用户同意更改系统权限，包括

App更新时在未向用户进行明示并征得同意

的前提下，更改原有的系统权限设置（如将用

户设置的系统权限恢复到默认状态）的情形。

是否存在以下问题或情形：

1采.用默认勾选的方式，诱导用户略过个人信

息保护政策；

2.刻意使用灰色字体、缩小字号、遮挡等方式诱

b）收集个人敏感信息前，应征得个人信导用户略过个人信息保护政策；

息主体的明示同意，并应确保个人信息3收.集个人敏感信息时，除个人信息保护政策

主体的明示同意是其在完全知情的基外未通过其他形式（如弹窗提示、显著标识、

础上自主给出的、具体的、清晰明确的特殊说明等）的增强式告知收集个人信息的目

意愿表示；的；

4申.请涉及收集个人敏感信息的系统权限时未

同步说明收集目的。

如不涉及收集个人敏感信息的场景，则该项不

适用。

C）收集个人生物识别信息前，应单独向

是否存在以下问题或情形：

个人信息主体告知收集、使用个人生物

要求类要求子类要求项评价要点自评估结果备注

识别信息的目的、方式和范围，以及存1收.集个人敏感信息前，未单独向个人信息主

储时间等规则，并征得个人信息主体的体告知收集、使用个人生物识别信息的相关规

明示同意；则，或未征得个人信息主体的明示同意。

注：个人生物识别信息包括个人基因、2收.集个人生物识别信息前，单独向个人信息

指纹、声纹、掌纹、耳廓、虹膜、面部主体告知的收集、使用相关规则内容不完整，

识别特征等。如缺失目的、方式、范围及存储时间中任一要

素。

如不涉及收集个人生物识别信息时，该项不适

用。

是否存在以下问题或情形：

1存.在收集使用未成年人的个人信息“但未通

d川攵集年满14周岁未成年人的个人信

过个人信息保护政策等告知并征得未成年人或

息前，应征得未成年人或其监护人的明

监护人的同意。

示同意；不满14周岁的，应征得其监

2教.育、游戏等App主要业务功能涉及收集14周

护人的明示同意；

岁以下（含）未成年人的个人信息时，未设置有

效筛选条件验证是否为未成年人的。

e）间接获取个人信息时：

1）应要求个人信息提供方说明个人信是否存在以下问题或情形：

息来源，并对其个人信息来源的合法性1.无法说明个人信息提供方已获得的个人信息

进行确认；处理的授权范围：

2）应了解个人信息提供方已获得的个2本.组织开展业务需进行的个人信息处理活动

人信息处理的授权同意范围，包括使用超出原授权同意范围，在处理个人信息前未征

目的，个人信息主体是否授权同意转得个人信息主体明示同意。

让、共享、公开披露、删除等。

要求类要求子类要求项评价要点自评估结果备注

3）本组织如开展业务所需进行的个人

信息处理活动超出该授权同意范围的，

应在获取个人信息后的合理期限内或

处理个人信息前，征得个人信息主体的

明示同意。或通过个人信息提供方征得

个人信息主体的明示同意。

a）应制定个人信息保护政策，内容应包

是否存在以下问题或情形：

括但不限于：

1无.个人信息保护政策或个人信息保护政策未

1）个人信息控制者的基本情况，包括主

单独成文的；

体身份、联系方式；

2个.人信息保护政策内容不完整且缺少如下重

2）收集、使用个人信息的业务功能，以

要内容：

及各业务功能分别收集的个人信息类

（1）未告知个人信息控制者基本情况（主

型。涉及个人敏感信息的，需明确标识

体身份、联系方式）任一要素内容；

或突出显示；

（2）未逐项说明收集、使用个人信息的业

5.5个人信息保3）个人信息收集方式、存储期限、涉及

务功能以及各业务功能与其所收集的个人信息

护政策数据出境情况等个人信息处理规则；

类型的对应关系；

4）对外共享、转让、公开披露个人信息

（3）未明确标识或突出显示其收集使用个

的目的、涉及的个人信息类型、接收个

人敏感信息内容；

人信息的第三方类型，以及各自的安全

（4）未告知收集使用个人信息的目的、方

和法律责任；

式、类型、范围；

5）个人信息主体的权利和实现机制，如

（5）未告知个人信息存储地点（境内、境

查询方法、更正方法、删除方法、注销

外哪个国家或地区）、存储期限、超期处理方

账户的方法、撤回同意的方法、获取个

式；

人信息副本的方法、对信息系统自动决

要求类要求子类要求项评价要点自评估结果备注

策结果进行申诉的方法等；(6)涉及对外提供个人信息情形而未告知

6)提供个人信息后可能存在的安全风对外提供规则：如涉及数据出境情况未告知个

险，及不提供个人信息可能产生的影人信息处理规则(包含不存在个人信息出境情

响；形未明确说明)；涉及对外共享、转让、公开

7)遵循的个人信息安全基本原则，具备披露，未告知对外共享、转让、公开披露个人

的数据安全能力，以及采取的个人信息信息的目的、涉及的个人信息类型、接收个人

安全保护措施，必要时可公开数据安全信息的第三方类型，以及各自的安全和法律责

和个人信息保护相关的合规证明；任。

8)处理个人信息主体询问、投诉的渠道(7)未完整告知个人信息主体查询、更正、

和机制，以及外部纠纷解决机构及联络删除、注销及撤销授权同意、获取个人信息副

方式。本以及对信息系统自动决策结果进行投诉的权

利和实现机制；

(8)未告知提供个人信息后可能存在的安

全风险，以及不提供个人信息可能产生的影响；

(9)未告知遵循的个人信息安全基本原

贝U,具备的数据安全能力，以及采取的个人信

息安全保护措施；

(10)未告知处理个人信息主体询问、投

诉的渠道和机制，以及外部纠纷解决机构及联

络方式；

(11)未体现个人信息保护政策当前版本

发布、生效或更新日期的。

b)个人信息保护政策所告知的信息应

是否存在以下问题或情形：

真实、准确、完整；

要求类要求子类要求项评价要点自评估结果备注

LApp存在实际收集使用个人信息行为与声明

不一致，如：

(1)各项业务功能中，发现任一业务功能

存在实际收集的个人信息少于个人信息保护政

策描述；

(2)App实际申请的系统权限、以及调用

系统权限函数的行为与个人信息保护政策所描

述不同。

2.App收集或使用个人信息的功能设计未与个

人信息保护政策保持一致、同步调整，如：

(1)个人信息保护政策描述与实际功能明

显不相符，存在照搬、抄袭其他个人信息保护

政策的情形；

(2)App更新时收集使用规则发生变化，

未同步调整个人信息保护政策内容的情形。

是否存在以下问题或情形：

1.个人信息保护政策文本文字显示方式(字体

C)个人信息保护政策的内容应清晰易过小、过密、颜色过淡、重叠模糊不清等)造

懂，符合通用的语言习惯，使用标准化成阅读困难的；

的数字、图示等，避免使用有歧义的语2.个人信息保护政策的内容晦涩难懂，不符合

言；通用的语言习惯,存在错别字或有歧义的语句，

未使用标准化的数字、图示，未提供简体中文

版个人信息保护政策等；

要求类要求子类要求项评价要点自评估结果备注

3.权限口的说明等收集使用规则内容过于冗长

繁琐、结构混乱、用词难懂（如使用大量专业

术语）有歧义、避重就轻、定义有误等情形。

是否存在如下个人信息保护政策不易查找访问

的情况：

l.App提供了个人信息保护政策但在其交互界

d）个人信息保护政策应公开发布且易

面未展示个人信息保护政策链接，只能在应用

于访问，例如，在网站主页、移动应用

商店或通过搜索、咨询客服等方式查找到个人

程序安装页、附录C中的交互界面或设

信息保护政策的；

计等显著位置设置链接；

2.App提供了个人信息保