前言

笔者准备从渗透测试转向数据安全，本文算是自己学习的笔记产出，如果有任何偏差和遗漏，欢迎各位大佬的指正。

超范围收集个人信息 

场景一：App未见向用户告知且未经用户同意，在业务功能中，存在收集XXX等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。

合规建议：

1. APP(包含SDK)收集使用(IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等)个人信息的过程需与其所声明的隐私政策等收集使用规则保持一致。
2. 实际收集的个人信息类型、申请打开可收集使用个人信息的权限等与隐私政策等收集使用规则中相关内容一致，不超出隐私政策等收集使用规则所述范围。

注意事项：

1. 工信部524行动提到了双清单，未来监管也会根据双清单内容验证是否超授权。
2. 对于剪切板的权限，即使隐私政策说明了，如不控制获取内容范围，仍然容易被认为获取用户个人隐私信息。可以参考以下判例：【法脉准绳】购物APP未经许可监测读取手机剪贴板信息？判了！
3. 对于个人信息权限的收集，评测机构的验证手段是通过技术手段反编译App，获取权限声明列表（Androidmanifest和info.plist），然后一一和隐私政策权限声明章节核对，确认权限声明和隐私政策一致。所以如果在实际业务中不使用某项权限时，除了在隐私政策和开发代码中移除相关内容，也需要在权限声明中删除，否则会被判为违规。

场景二：App未见向用户告知（未见向用户明示SDK的收集使用规则），且未经用户同意，存在每30s读取一次XXX信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能所必需的最低频率。

合规建议：

1. App（包含SDK）每30s读取一次位置信息不合理，即使是使用行踪轨迹功能
2. 在用户使用某业务功能过程中，仅收集与当前业务功能相关的个人信息，且收集的时间间隔不应太短，需至少超过30min
3. App（包含SDK）以特定频率收集个人信息时，应向用户明示并征得用户同意
4. 在App用户主界面点击Tab栏时，不应超平里收集个人信息，即使与业务相关，也不应每次点击都收集个人信息

场景三：App未见向用户告知（未见向用户明示SDK的收集使用规则），且未经用户同意，在静默状态下或在后台运行时，存在收集通讯录、短信、通话记录、相机等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。

合规建议：

1. App未打开或处于后台运行状态时，不收集用户个人信息，除非业务功能需要后台运行时继续提供服务，如导航功能等
2. APP 应在隐私政策中明示各服务场景所需收集的通讯录、短信、通话记录、相机等 信息的行为，且明示其必要性，并在收集前征求用户同意；

场景四：App未见向用户告知（未见向用户明示SDK的收集使用规则），且未经用户同意，在静默状态下或在后台运行时，存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。

合规建议：

1. 如有静默状态或在后台运行时存在收集通讯录、短信、通话记录、相机等信息的行为，在隐私政策中明示说明其必要性；
2. App静置状态下、收集个人信息(IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等)时，时间间隔应尽量拉长，至少每30min一次。
3. APP 在静默状态下或在后台运行时，APP 未向用户提供服务时，APP 本身及集成的 SDK不应超出其所明示收集目的的合理关联范围，游戏后台获取个人信息的频率每分钟不超过 1 次。