如何做好采集合規,規避合規風險?
我梳理了壹份App合規指南,為了您的App采集合規,我們強烈建議您仔細閱讀以下《指南》,及時調整合規措施,及時進行自查。
目前監管都關註哪些違規采集問題?我應當如何做到合規?
(壹) 違規收集用戶個人信息方面
1、“私自收集個人信息”:即App未明確告知收集使用個人信息的目的、方式和範圍並獲得用戶同意前,收集用戶個人信息。
2、“超範圍收集個人信息”:即App收集個人信息,非服務所必需或無合理應用場景,超範圍或超頻次收集個人信息,如通訊錄、位置、身份證、人臉等
解決方法:
1、為解決“私自收集個人信息”問題,您應當為App準備壹份獨立的《隱私政策》,向用戶明示App收集使用個人信息的目的、方式和範圍。如存在涉及收集使用兒童個人信息相關業務功能的,需制定針對兒童的個人信息保護規則。如果您使用友盟+SDK,需在《隱私政策中》向用戶說明SDK提供的服務及采集情況(參考條款詳見後文)。
2、為解決“超範圍收集個人信息”問題,您應當確保您的采集均與App服務功能相關,所涉個人信息字段均已在《隱私政策》中公示,並得到用戶授權。
(二)違規使用用戶個人信息方面
1、“私自***享個人信息給第三方”:即App未經用戶同意與其他應用***享、使用用戶個人信息,如設備識別信息、商品瀏覽記錄、搜索使用習慣、常用軟件應用列表等。
2、“強制用戶使用定向推送功能”:即App未向用戶告知或未以顯著方式標示,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息,用於定向推送或精準營銷,且未提供關閉該功能的選項。
解決辦法:
1、如果您未在隱私政策中披露使用友盟+SDK,那麽可能被認定為“私自***享個人信息給第三方”,為解決此問題,您可以在《隱私政策》附錄中披露SDK的具體情況,並附上隱私政策鏈接。如您集成的SDK較多,可在《隱私政策》附錄中以表格的方式壹壹載明,參考格式詳見後文。
2、為解決“強制用戶使用定向推送功能”的問題,我們建議如您提供定向推送功能,應在《隱私政策》中向用戶告知,並對定向推送進行顯著標示。同時,您應當向用戶提供關閉定向推薦的選項,以保證用戶的選擇權,滿足監管要求。
(三)不合理索取用戶權限方面
1、“不給權限不讓用”:即App安裝和運行時,向用戶索取與當前服務場景無關的權限,用戶拒絕授權後,應用退出或關閉。
2、“頻繁申請權限”:即App在用戶明確拒絕權限申請後,頻繁申請開啟通訊錄、定位、短信、錄音、相機等與當前服務場景無關的權限,騷擾用戶。
3、“過度索取權限”:即App在用戶未使用相關功能或服務時,提前申請開啟通訊錄、定位、短信、錄音、相機等權限,或超出其業務功能或服務外,申請通訊錄、定位、短信、錄音、相機等權限。
解決辦法:
1、為解決“不給權限不讓用”問題,您應當註意通過《隱私政策》等方式向用戶詳細說明App需要調取的權限及目的,並保證權限調取均與服務功能相關。當用戶拒絕無關權限時,仍可以正常使用App其他功能。
2、為解決“頻繁申請權限”問題,您需要註意在用戶拒絕授權後,不宜頻繁(如48小時內)反復申請權限。
3、為解決“過度索取權限”問題,您應當確保App所需權限均與所提供的業務功能相關。對於短信、通訊錄、麥克風等高敏感權限,應當謹慎索取,並向用戶明確告知,取得用戶授權。
(四)為用戶賬號註銷設置障礙方面
“賬號註銷難”:即App未向用戶提供賬號註銷服務,或為註銷服務設置不合理的障礙。
解決辦法:
1、為用戶提供賬號註銷入口;
2、賬號註銷時需要用戶提供的信息,不得超過用戶註冊及使用App期間所提供的信息;3、賬號註銷後,應及時刪除用戶信息,或在實現日常業務功能所涉及的系統中去除用戶個人信息,使其保持不可被檢索、 訪問的狀態;
4、用戶賬號註銷的響應時間最多不超過15個工作日。
哪些個人信息字段或權限屬於監管要求寫在《隱私政策》中的內容?
App應當在《隱私政策》中列明所采集的個人信息字段,並向用戶說明采集目的與用途。《隱私政策》範本可參考《GB/T 35273-2020 信息安全技術 個人信息安全規範》的附錄D。
對於個人信息字段,詳見《GB/T 35273-2020 信息安全技術 個人信息安全規範》的附錄A/B。
關於個人信息權限,iOS系統重點關註:定位、通訊錄、日歷、提醒事項、照片、麥克風、相機、健康等;Android系統重點關註:日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信、存儲等。
請註意,目前監管規定並未禁止上述采集,但您需要保證您的采集行為均與業務功能合理相關,並且遵守“告知+同意”的規則對用戶進行披露,取得用戶授權。
《隱私政策》如何合規展示?
1、您應當保證《隱私政策》的獨立性及易讀性。《隱私政策》應單獨成文,而不是作為《用戶協議》或其他文件的壹部分存在。用戶進入App主功能界面後,通過4次以內的點擊/滑動,能夠訪問到《隱私政策》。
2、《隱私政策》應逐項列舉各項業務功能及所收集的個人信息類型,並對個人敏感信息類型進行顯著標識(如字體加粗、標星號、下劃線、斜體、顏色等),個人敏感信息類型詳見《GB/T 35273-2020 信息安全技術 個人信息安全規範》的附錄B。
3、《隱私政策》應由用戶自主選擇是否同意,註意不要以默認勾選“同意”的方式取得用戶授權。
以上為自行整理歸納的關於隱私合規檢測中問題點的整改方向和建議,後續會不斷完善更新,請開發者參考
如對APP隱私合規檢測存在疑惑,可以在評論區留言!