移动应用安全服务

1 商品说明
1.1 服务目标
采用本地核查、渗透测试、自动化检测、协助整改等方式对评估工作范围内的APP应用软件、隐私政策文本、各项业务功能及所收集的个人信息类型、个人信息处理规则及用户权益保障、不合理条款、收集使用个人信息的目的、方式、范围、必要性、授权行为、对用户权利保障的途径进行合规性评估，同时为后续合规性分析及综合合规分析提供参考数据。

1.2 服务架构
合规评估服务主要分为四个阶段，包括评估准备阶段、评估实施阶段、评估分析阶段、评估验收阶段。这些阶段中前两个阶段没有严格的顺序关系，阶段工作可根据实际情况灵活处理。

1.2.1 评估准备阶段
本阶段主要是前期的准备和计划工作，包括明确评估目标，确定评估范围，组建评估管理与实施团队，对APP应用业务功能结构、规章制度和技术措施等进行初步调研，沟通和确认评估分析方法，协商并确定评估项目的实施方案，并得到被评估单位的许可。尽管评估准备阶段的工作比较琐碎，但准备阶段中充分、细致和沟通、合理、精确的计划，是保证评估工作得以顺利实施的关键。

1.2.2 评估实施阶段
在准备阶段完成之后，将依靠已建立起来的评估管理与实施团队，遵照准备阶段中确定的实施方案进行评估。首先要进行的就是遍历APP应用的构成功能要素——业务功能与其对应的个人信息，以及识别和验证已有安全合规措施的有效性——为下一阶段的评估分析收集必要的基础数据。本阶段除了要进行有关要素的识别工作以外，还需要进行要素的分类、验证、检查、访谈以及要素间的关联等活动，这由所选用的具体评估方法而定。

1.2.3 评估分析阶段
经过实施阶段之后，已经得到了影响被评估APP应用合规评估·的基本数据，包括APP应用业务结构、合规功能措施、应用行为数据等。接下来需要根据被评估单位的实际情况对其合规场景进行分析，描述和评价各检测项的合规情况，从而确定APP应用合规项符合情况。经过与被评估单位的沟通与协商，应以被评估单位所接受的形式，提交合规评估分析报告与合规整改建议。

1.2.4 评估验收阶段
经过分析阶段之后，已经得到了本次评估工作的合规评估报告。接下来需要召开项目总结会，向被评估单位领导小组汇报合规评估情况，在描述不符合项之后表述出采取何种对策防范、符合合规要求，并将问题的轻重缓急描述清楚。经过全面的协助整改过程，最后完成全部的整改合规工作，然后总结汇报经过领导小组认可后，双方进行项目验收工作，交接文档，签字验收。

1.3 阶段服务内容
1.3.1 合规性识别
合规性识别是整个评估中最重要的一个环节。合规性识别可以以APP应用为核心，针对每一项需要保护的基本要求,识别可能不符的情况，并对合规性的符合程度进行评估；也可以从隐私政策文本、收集使用个人信息行为、对用户权利的保障等层次进行识别，然后与APP应用对应起来。合规性识别的依据是国家安全标准和安全规范的安全要求。

注：本服务共55项检测点，检测覆盖范围包括《中华人民共和国网络安全法》、《个人信息保护法（草案）》、《GB/T 35273-2020-信息安全技术 个人信息安全规范》、《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范(征求意见稿)》、《移动互联网应用程序（App）收集使用个人信息自评估指南》、《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》、《移动互联网应用程序（APP）系统权限申请使用指南》、《移动互联网应用程序（App）使用软件开 发工具包（SDK）安全指引》、《App违法违规收集使用个人信息自评估指南》、《App申请安卓系统权限机制分析与建议》、《App违法违规收集使用个人信息行为认定方法》、《关于开展APP侵害用户权益专项整治工作的通知（工信部信管函〔2019〕337号）》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知（工信部信管函〔2020〕164号）》、《个人信息出境安全评估办法（征求意见稿）》、《儿童个人信息网络保护规定》的16个标准的技术检测要点。

1.3.1.1 隐私政策的独立性、易读性
识别内容从APP应用中找到隐私政策，对其包括展现形式、发布形式、访问形式、阅读形式等方面进行识别评估。

识别方法：本地核查

1.3.1.2 清晰说明各项业务功能及所收集个人信息类型
从软件开发设计方案、APP应用软件业务功能、隐私政策文本等方面进行识别评估。

识别方法：本地核查、自动化检测

1.3.1.3 清晰说明个人信息处理规则及用户权益保障
从单位基本情况、个人信息的存储位置、存储期限、处理方式、个人信息使用规范、个人信息出境情况、个人信息安全保护情况、对外共享、转让、公开披露个人信息规则、用户权利保障机制、隐私政策时效与更新情况等方面进行识别评估。

识别方法：本地核查、自动化检测、渗透测试

1.3.1.4 不应在隐私政策等文件中设置不合理条款
从隐私政策条款等方面进行识别评估。

识别方法：本地核查

1.3.1.5 收集个人信息应明示收集目的、方式、范围
从隐私政策文本、APP应用系统权限、个人信息收集、使用、提示形式等方面进行识别评估。

识别方法：本地核查、自动化检测

1.3.1.6 收集使用个人信息应经用户自主选择同意，不应存在强制捆绑授权行为
从APP应用软件功能选项、授权请求、用户自主行为、私自收集使用、超频调用、自启动关联启动、截留个人信息等方面进行识别评估。

识别方法：本地核查、自动化检测

1.3.1.7 收集个人信息应满足必要性要求
从收集个人信息类型范围、业务功能、用户自主选择行为、系统权限等方面进行识别评估。

识别方法：本地核查、自动化检测

1.3.1.8 支持用户注销账号、更正或删除个人信息
从APP应用软件系统功能、用户申诉处理情况、不合理条件等方面进行识别评估。

识别方法：本地核查、自动化检测

1.3.1.9 及时反馈用户申诉
从APP反馈用户申述处理情况等方面进行识别评估。

识别方法：本地核查

1.3.2 合规性分析
在合规性识别的基础上，进一步分析被评估APP应用及其动态行为调用所存在的各方面合规性即基础合规措施、收集使用行为、隐私合规性。并依据其合规性符合程度进行评判。从而为最后综合合规分析提供参考数据。

2 服务类型
2.1 专家服务基础版
服务内容：个人隐私专家检测+人工解读+复测
功能描述：服务工程师针对《（工信部信管函〔2019〕337号）和工信部信管函〔2020〕164号》、《APP用户权益保护测评规范》等十几个检测标准，从隐私政策文本、APP收集使用个人信息行为、APP运营者对用户权利的保障共20项进行合规测评，发现不符合项并输出164号文个人信息合规测评报告。

服务包含：初测、报告解读、复测1-2次

2.2 专家服务高级版
服务内容：1、个人隐私专家检测+人工解读+复测+人工解读；2、4小时人工指导应用修复过程；3、191号+164号文法规培训解读
功能描述：服务工程师针对《移动互联网应用程序（App）收集使用个人信息自评估指南》、《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》、《（工信部信管函〔2019〕337号）和工信部信管函〔2020〕164号》、《APP用户权益保护测评规范》等18个检测标准，从隐私政策文本、APP收集使用个人信息行为、APP运营者对用户权利的保障共55项进行合规测评，发现不符合项并输出全量个人信息合规测评报告。

服务包含：初测、报告解读、复测1-2次

2.3 专家服务加急包
服务内容：1、个人隐私专家检测+人工解读+复测+人工解读；2、4小时人工指导应用修复过程；3、191号+164号文法规培训解读
功能描述：服务工程师针对《移动互联网应用程序（App）收集使用个人信息自评估指南》、《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》、《（工信部信管函〔2019〕337号）和工信部信管函〔2020〕164号》、《APP用户权益保护测评规范》等18个检测标准，从隐私政策文本、APP收集使用个人信息行为、APP运营者对用户权利的保障共55项进行合规测评，发现不符合项并输出全量个人信息合规测评报告。

服务包含：初测、报告解读、复测1-2次

加急包：检测时间缩短1天，最多购买2个