据悉,工信部将在2020年8月底前上线运行全国App技术检测平台管理系统,12月10日前完成覆盖40万款主流App检测工作。
如何做好采集合规,规避合规风险?
我梳理了一份App合规指南,为了您的App采集合规,我们强烈建议您仔细阅读以下《指南》,及时调整合规措施,及时进行自查。
目前监管都关注哪些违规采集问题?我应当如何做到合规?
(一) 违规收集用户个人信息方面
1、“私自收集个人信息”:即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。
2、“超范围收集个人信息”:即App收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等
解决方法:
1、为解决“私自收集个人信息”问题,您应当为App准备一份独立的《隐私政策》,向用户明示App收集使用个人信息的目的、方式和范围。如存在涉及收集使用儿童个人信息相关业务功能的,需制定针对儿童的个人信息保护规则。如果您使用友盟+SDK,需在《隐私政策中》向用户说明SDK提供的服务及采集情况(参考条款详见后文)。
2、为解决“超范围收集个人信息”问题,您应当确保您的采集均与App服务功能相关,所涉个人信息字段均已在《隐私政策》中公示,并得到用户授权。
(二)违规使用用户个人信息方面
1、“私自共享个人信息给第三方”:即App未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。
2、“强制用户使用定向推送功能”:即App未向用户告知或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。
解决办法:
1、如果您未在隐私政策中披露使用友盟+SDK,那么可能被认定为“私自共享个人信息给第三方”,为解决此问题,您可以在《隐私政策》附录中披露SDK的具体情况,并附上隐私政策链接。如您集成的SDK较多,可在《隐私政策》附录中以表格的方式一一载明,参考格式详见后文。
2、为解决“强制用户使用定向推送功能”的问题,我们建议如您提供定向推送功能,应在《隐私政策》中向用户告知,并对定向推送进行显著标示。同时,您应当向用户提供关闭定向推荐的选项,以保证用户的选择权,满足监管要求。
(三)不合理索取用户权限方面
1、“不给权限不让用”:即App安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
2、“频繁申请权限”:即App在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。
3、“过度索取权限”:即App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
解决办法:
1、为解决“不给权限不让用”问题,您应当注意通过《隐私政策》等方式向用户详细说明App需要调取的权限及目的,并保证权限调取均与服务功能相关。当用户拒绝无关权限时,仍可以正常使用App其他功能。
2、为解决“频繁申请权限”问题,您需要注意在用户拒绝授权后,不宜频繁(如48小时内)反复申请权限。
3、为解决“过度索取权限”问题,您应当确保App所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限,应当谨慎索取,并向用户明确告知,取得用户授权。
(四)为用户账号注销设置障碍方面
“账号注销难”:即App未向用户提供账号注销服务,或为注销服务设置不合理的障碍。
解决办法:
1、为用户提供账号注销入口;
2、账号注销时需要用户提供的信息,不得超过用户注册及使用App期间所提供的信息;3、账号注销后,应及时删除用户信息,或在实现日常业务功能所涉及的系统中去除用户个人信息,使其保持不可被检索、 访问的状态;
4、用户账号注销的响应时间最多不超过15个工作日。
哪些个人信息字段或权限属于监管要求写在《隐私政策》中的内容?
App应当在《隐私政策》中列明所采集的个人信息字段,并向用户说明采集目的与用途。《隐私政策》范本可参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录D。
对于个人信息字段,详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录A/B。
关于个人信息权限,iOS系统重点关注:定位、通讯录、日历、提醒事项、照片、麦克风、相机、健康等;Android系统重点关注:日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储等。
请注意,目前监管规定并未禁止上述采集,但您需要保证您的采集行为均与业务功能合理相关,并且遵守“告知+同意”的规则对用户进行披露,取得用户授权。
《隐私政策》如何合规展示?
1、您应当保证《隐私政策》的独立性及易读性。《隐私政策》应单独成文,而不是作为《用户协议》或其他文件的一部分存在。用户进入App主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。
2、《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等),个人敏感信息类型详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。
3、《隐私政策》应由用户自主选择是否同意,注意不要以默认勾选“同意”的方式取得用户授权。
以上为自行整理归纳的关于隐私合规检测中问题点的整改方向和建议,后续会不断完善更新,请开发者参考
如对APP隐私合规检测存在疑惑,可以在评论区留言!