简单整理了一份APP隐私合规评估所需要的法律和标准参考清单,不定时更新
转载请注明来源,谢谢
| 序号 | 类型 | 子属 | 发文部门 | 名称 | 发文时间 | 施行时间 | 监管要求 | 备注 |
| 1 | 法律法规 | 法律 | 国家互联网信息办公室 | 《中华人民共和国网络安全法》 | 7/11/2016 | 1/6/2017 | 《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律,对中国网络空间法治化建设具有重要意义。 | / |
| 2 | 国家互联网信息办公室 | 《中华人民共和国数据安全法》 | 10/6/2021 | 1/9/2021 | 《数据安全法》(2021)将与《国家安全法》(2015)、《网络安全法》(2017)、《网络安全审查办法》(2020)共同构成我国数据安全范畴下的法律框架。《数据安全法》作为我国第一部专门规定“数据”安全的法律,明确对“数据”的规制原则 | / | ||
| 3 | 国家互联网信息办公室 | 《中华人民共和国个人信息保护法》 | 20/8/2021 | 1/11/2021 | / | / | ||
| 4 | 国家互联网信息办公室 | 《中华人民共和国民法典》 | 28/5/2020 | 1/1/2021 | / | / | ||
| 5 | 国家互联网信息办公室 | 《关键信息基础设施安全保护条例》 | 30/7/2021 | 1/9/2021 | / | / | ||
| 6 | 国家互联网信息办公室 | 《消费者权益保护法》(第二次修订) | 25/11/2013 | 1/1/1994 | / | / | ||
| 7 | 行政法规 | 国务院 | 《网络安全审查办法》 | 16/11/2021 | 15/2/2022 | / | 2020年4月13日公布的《网络安全审查办法》废止 | |
| 8 | 国务院 | 《中华人民共和国电信条例》 | 6/2/2016 | 6/2/2016 | / | / | ||
| 9 | 国务院 | 《商用密码管理条例》 | 14/4/2023 | 1/7/2023 | / | / | ||
| 10 | 地方性法规 | / | / | / | / | / | / | |
| 11 | 部门规章和地方政府规章 | 四部委:国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅 | 关于开展App违法违规收集使用个人信息专项治理的公告 | 23/1/2019 | 23/1/2019 | 1、监管要求:遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息; 收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。2、监督部门:全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会。3、监管处罚:依据《网络安全法》、《消费者权益保护法》中的要求以及其他行政/刑事(公安部)处罚;4、鼓励企业进行App认证。 | 标志着App专项治理活动正式开启,App隐私合规的强监管时代来临… | |
| 12 | 四部委 | 【191号文】《APP违法违规搜集使用个人信息行为认定方法》 | 28/11/2019 | 28/11/2019 | 六类违法违规行为:未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能 或 未公布投诉、举报方式等信息 | 制定的背景:为App专项治理提供执法依据。 | ||
| 13 | 《常见类型移动互联网应用程序必要个人信息范围规定》 | 12/3/2021 | 12/3/2021 | / | / | |||
| 14 | 《互联网信息服务算法推荐管理规定》 | 31/12/2021 | 31/12/2021 | / | / | |||
| 15 | 国家互联网信息办公室 | 《网络信息内容生态治理规定》 | 15/12/2019 | 1/3/2020 | / | / | ||
| 16 | 工信部 | 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》 | 26/4/2021 | / | 一、治理对象进一步扩展:1、App开发运营者:是指从事APP开发和运营活动的主体;2、App分发平台,是指通过应用商店、应用市场、网站等方式提供APP下载、升级服务的软件服务平台;3、App第三方服务提供者,是指相对于用户和APP以外的,为APP提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体;4、移动智能终端生产企业,提供预置APP或者具备安装APP能力的移动智能终端设备的主体;5、网络接入服务提供者,从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为APP提供网络接入服务的电信业务经营者; | / | ||
| 17 | 《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函[2021] 164号)》 | 22/7/2020 | 22/7/2020 | 一、治理对象:App服务提供者、SDK提供者、应用分发平台(包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台)。二、监管要求:1、APP、SDK违规处理用户个人信息方面;2、设置障碍、频繁骚扰用户方面;3、欺骗误导用户方面;4、应用分发平台责任落实不到位方面 | 和 2019年 关于开展App违法违规收集使用个人信息专项治理的公告 相比,被监管的对象从仅App运营扩展到SDK提供者、应用分发平台;监管要求也更加具体。 | |||
| 18 | 关于开展APP侵害用户权益专项整治工作的通知 | 31/10/2019 | 31/10/2019 | 一、违规收集用户个人信息方面:1、私自收集个人信息。2、超范围收集个人信息。二、违规使用用户个人信息方面:3、私自共享给第三方。4、强制用户使用定向推送功能。三、不合理索取用户权限方面:5、不给权限不让用。6、频繁申请权限。7、过度索取权限。四、为用户账号注销设置障碍方面: 8、账号注销难。 | / | |||
| 19 | 电信和互联网用户个人信息保护规定 | 16/7/2013 | 1/9/2013 | / | / | |||
| 20 | 关于进一步提升移动互联网应用服务能力的通知 | 6/2/2023 | 6/2/2023 | / | / | |||
| 21 | 《规范互联网信息服务市场秩序若干规定》 | 7/12/2011 | 15/3/2012 | / | / | |||
| 22 | 《关于开展信息通信服务感知提升行动的通知(工信部信管函[2020]292号)》 | 1/11/2021 | 1/11/2021 | / | / | |||
| 23 | 《移动智能终端应用软件预置和分发管理暂行规定》 | 16/12/2016 | 1/7/2017 | / | / | |||
| 24 | 《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见)》 | 2022/11/30 | / | / | / | |||
| 25 | 《网络安全产品漏洞管理规定》 | 12/7/2021 | 1/9/2021 | / | / | |||
| 26 | 网信办 | 《儿童个人信息网络保护规定》 | 22/8/2019 | 1/10/2019 | / | / | ||
| 27 | 《数据出境安全评估办法》 | 7/7/2022 | 1/9/2022 | / | / | |||
| 28 | 《互联网弹窗信息推送服务管理规定》 | 9/9/2022 | 30/9/2022 | / | 代替《互联网弹窗信息推送服务管理规定(征求意见稿)》 | |||
| 29 | 《移动互联网应用程序信息服务管理规定》 | 14/6/2022 | 1/8/2022 | / | / | |||
| 30 | 公安部 | 《互联网个人信息安全保护指南》 | 28/4/2019 | 28/4/2019 | / | / | ||
| 31 | App专项治理工作组 | 《APP违法违规收集使用个人信息自评估指南》 | 1/3/2019 | 1/3/2019 | 1、隐私政策文本要求:独立性、易读性;清晰说明各项业务功能及所收集的个人信息类型;清晰说明个人信息处理规则及用户权益保障;不应设置不合理条款;2、APP收集使用个人信息行为:明示收集目的、方式、范围;应经用户自主同意、不强制捆绑授权;收集个人信息满足必要性要求;3、对用户权利的保障;支持注销、更正和删除个人信息;及时处理用户反馈和申述 | App专项治理工作组结合2017年和2018年“隐私条款专项评审”等工作经验,梳理出自评估指南以指导App运营者自查自纠。 | ||
| 32 | APP专项治理工作组 | 《App申请安卓系统权限机制分析与建议》 | 28/5/2019 | 28/5/2019 | / | / | ||
| 33 | 安全标准 | 国家标准 | 国家标准化管理委员会 | 《信息安全技术 个人信息安全规范(GB/T 35273-2020)》 | 6/3/2020 | 1/10/2020 | / | / |
| 34 | 国家标准化管理委员会 | 《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》 | 23/5/2023 | 1/12/2023 | / | / | ||
| 35 | 国家标准化管理委员会 | 信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020) | 19/11/2020 | 1/6/2021 | / | / | ||
| 36 | 国家标准化管理委员会 | 信息安全技术 个人信息去标识化指南(GB/T 37964-2019) | 30/8/2019 | 1/3/2020 | / | / | ||
| 37 | 国家标准化管理委员会 | 《信息安全技术 移动智能终端个人信息保护技术要求(GB/T 34978-2017)》 | 1/11/2017 | 1/5/2018 | / | / | ||
| 38 | 国家标准化管理委员会 | 《信息安全技术 个人信息处理中告知和同意的实施指南(GB/T 42574-2023)》 | 23/5/2023 | 1/12/2023 | / | / | ||
| 39 | 国家标准化管理委员会 | 《信息安全技术 人脸识别数据安全要求(GB/T 41819-2022)》 | 12/10/2022 | 1/5/2023 | / | / | ||
| 40 | 国家标准化管理委员会 | 《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》 | 15/4/2022 | 1/11/2022 | App收集使用个人信息的原则;30类App可搜集的最小必要信息、申请的最小必要权限 | 代替《信息安全技术 移动互联网应用(App)收集个人信息基本规范》征求意见稿 | ||
| 41 | 行业标准 | 全国信息安全标准化技术委员会秘书处 | 《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南(TC260-PG-20204A)》 | 18/9/2020 | 18/9/2020 | / | / | |
| 42 | 全国信息安全标准化技术委员会秘书处 | 《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引(TC260-PG-20205A)》 | 27/11/2020 | 27/11/2020 | / | / | ||
| 43 | 全国信息安全标准化技术委员会秘书处 | 《网络安全标准实践指南 移动互联网应用程序(App)收集使用个人信息自评估指南(TC260-PG-20202A)》 | 22/7/2020 | 22/7/2020 | 根据191号文中六类违法违规行为的自评做出解释 | 基于App违法违规收集使用个人信息自评估指南 、《App违法违规收集使用个人信息行为认定方法》,对自评估方法进行了详细的描述和场景扩充 | ||
| 44 | 全国信息安全标准化技术委员会秘书处 | 网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南(TC260-PG-20203A) | 18/9/2020 | 18/9/2020 | / | 代替《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》 | ||
| 45 | 全国信息安全标准化技术委员会秘书处 | 网络安全实践指南 移动互联网应用基本业务功能必要信息规范(TC260-PG-20191A) | 1/6/2019 | 1/6/2019 | / | / | ||
| 46 | 中国人民银行 | 《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019) | 27/9/2019 | 27/9/2019 | / | / | ||
| 47 | 团体标准 | 电信终端产业协会 | 移动智能终端及应用软件用户个人信息保护实施指南 (TTAF 066-2020) | 24/8/2020 | 24/8/2020 | / | / | |
| 48 | 电信终端产业协会 | 关于发布《APP用户权益保护测评规范 第1部分:超范围收集个人信息(TTAF 078—2023)》等6项团体标准的公告 | 26/6/2023 | 26/6/2023 | / | / | ||
| 49 | 电信终端产业协会 | 《App收集使用个人信息最小必要评估规范(TTAF 077-2020)》 | 14/5/2021 | 14/5/2021 | / | / | ||
| 50 | 中国信通院 | 《小程序个人信息保护研究报告》 | 11/6/2020 | 11/6/2020 | / | / |
