APP 合规之路

近来热搜频现 “拼多多远程操作删除用户相册照片”， “腾讯QQ读取浏览器历史”等大厂APP侵犯用户隐私新闻。 用户对隐私问题越来越注重，再也不是某互联网大佬说的“中国人民很愿意用隐私换取便捷”时代。在这样的大环境下，作为一个IT从业者，我们在其中需要注意什么呢？

首先我们了解下目前的APP合规现状：近期200+款 APP 被广东省通信管理局责令整改或关停，其中不乏腾讯/字节系等大公司APP，主要存在“违规收集、使用个人信息”，“强制、频繁、过度索取权限”，“隐私协议未列明收集个人信息目的、方式和范围”等问题。那么以上的依据和法规又是在哪里呢?在这里先简单的给大家讲讲APP合规建设之路。

其实在2019年3月APP专项治理工作组就出过“APP 违法违规收集使用个人信息自评估指南”，此后不断更新迭代相关文档。于2020年3月7号正式发布国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》。把“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”等加入安全规范中，该规范实施日期为2020年10月1日开始。 并在后续陆陆续续的发布了各种《网络安全标准实践指南》，其中包含了《移动互联网应用程序（App）收集使用个人信息自评估指南 》、《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》、《移动互联网应用程序（App）系统权限申请使用指南》、《移动互联网应用程序（App）个人信息保护常见问题及处置指南》等。那么在其中我在合规这条路都踩了哪些坑呢？

一、收集使用个人信息自评估

1、注意用户首次打开 APP或者 首次注册的时候需要 显眼 的提示用户阅读隐私政策

踩坑点：
（1）一般 APP 隐私政策放在登录/注册页面底部，Android手机进入登录/注册页面，默认定位至输入框，弹出键盘，遮挡住隐私政策链接

建议：弹窗提示用户查看隐私协议，确保用户可以显眼查看，并且路径不超过4层

（2）踩坑点：首次打开没有查看隐私政策入口