前言:
近年来,移动互联网应用程序(App)得到广泛应用,同时,App强制授权、过度索权、超范围收集个人信息的问题也被社会各方高度重视。国家有关部门陆续发布了《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕 164号)、《个人信息保护法》等一系列法律法规和执行依据,为App运营者提升完善个人信息保护提供重要依据。为帮助开发者进一步完善提升个人信息保护,特制定此合规指引,供开发者参照自查,及时整改,不断完善对用户的个人信息保护。
本合规指引主要分为四部分:第一部分为根据多项规定,对各类收集使用个人信息保护问题、标准和要求进行归纳、梳理;第二部分为隐私合规场景典型问题和完善建议;第三部分为注册应用管理平台的合规要求;第四部分是对开发者用户个人信息保护的相关规定汇总,供开发者进一步深入学习。
一、APP个人信息保护合规要求
1、产品合规
| 合规事项 |
合规要求 | 具体示例(以下示例仅供签考, 开发者应当按照自己 APP的情况进行合规) |
主要根据 |
| 1、隐私弹窗 | (1)APP首次运行 应当有隐私弹窗, 弹窗内容应当 明确提示用户 阅读隐私政策; (2)隐私弹窗中 应当有用户协议、 隐私政策链接; (3)隐私弹窗应 有拒绝同意的按钮 |
《App违法违规收集使用 个人信息行为认定方法》 第—条:一、以下行为可被 认定为"未公开收集使用规则” 2.在App首次运行时未通过 弹窗等明显方式提示 用户阅读隐私政策等 收集使用规则; |
|
| 2、隐私政策 | (1)APP应当 有独立的隐私政策 |
/ | 《App违法违规收集使用个 人信息行为认定方法 》第—条:一、以下行为可被认 定为"未公开收集使用规则” 1.在App中没有隐私政策, 或者隐私政策中没有 收集使用个人信息规则; |
(2)隐私政策 应当包含SDK清单, 且SDK清单中 应当将SDK采集的 字段信息准确披露 |
第三方SDK目录 ·为保障【应用名称】 相关功能的实现与 应用安全稳定 的运行,我们可能会 接入由第三方 提供的软件开发包 (SDK)实现相关目的。 ·我们会对合作方 获取信息的软件工 具开发包,(SDK) 进行严格的安全监测, 以保护数据安全。 ·我们对接入的 相关第三方SDK在 目录中列明。 安卓操作系统 第三方SDK列表 “某某"地图 ·使用目的·使用场景 ·涉及的个人信息类型: ·第三方主体: ·收集方式:隐私政策链接: |
《App违法违规收集使用 个人信息行为认定方法》第二条: 二、以下行为可被认定为" 未明示收集 使用个人信息的目的、 方式和范围” 1.未逐—列出App(包括委托的 第三方或嵌入 的第三方代码、插件)收集 使用个人信息的目的、方式、 范围等; |
|
(3)不得默认勾选 同意隐私政策 及其他个人 信息处理相关协议; 如“默认勾选框"或“ 登录即同意用户协议、 隐私政策", 均为“默认勾选同意” ,不符合要求 |
《App违法违规收集使用个 人信息行为认定方法》 第三条:三、以下行为可被认定为" 未经用户同意收集使用个人信息” 4.l以默认选择同意隐私政策 等非明示方式征求用户同意; |
||
(4)建议:为提升用户理解, 可通过简版隐私 政策帮助用户阅读 |
《工业和信息化部关于 开展信息通信 服务感知提升行动的通知》 ∶应以简洁、清晰、易懂的方式, 向用户提供APP产品隐私政策摘要 |
||
3、用户未同意隐私弹窗, 不得收集用户信息 |
在用户未同意隐私弹窗前 ,不得收集Mac地址、IMEI、 手机号等个人信息 |
/ | 《App违法违规收集使用 个人信息行为认定方法 》第三条:三、以下行为可被认定为" 未经用户同意收集使用个人信息” 1.征得用户同意前就开始 收集个人信息或 打开可收集个人信息的权限; |
4、用户协议和 隐私政策公示 |
(1)用户协议和隐私政策应 当在APP内有专门的 链接予以公示; (2)隐私政策公示链接, 从首页进入不得超过 4次点击操作。 |
《App违法违规收集使用 个人信息行为认定方法》 第—条:一、以下行为可被 认定为"未公开收集使用规则” 3.隐私政策等收集使用 规则难以访问, 如进入App主界面后, 需多于4次点击等操作 才能访问到; |
|
5、权限及个人 信息违规收集 |
(1)不得用户明确表示 不同意后 ,仍收集个人信息或打开可 收集个人信息的权限, (2)不得频繁征求用户同意、 干扰用户正常使用; (3)不得超出用户授权范围 收集信息或打开权限; (4)不得要求用户一次性同意 或捆绑同意打开多个可收集 个人信息的权限,用户 不同意则无法使用; (5)不得超出业务功能需要 高频收集个人信息; (6)不得收集与业务功能 无关的个人信息或权限。 (7)收集个人敏感信息时, App应通过显著方式 (包括但不限于弹窗方式)向 用户明示收集、使用个人信息 的目的、方式、范围。 |
/ | 《App违法违规收集使用个人 信息行为认定方法》第三条: 三、以下行为可被认定为" 未经用户同意收集使用个人信息” 2用户明确表示不同意后, 仍收集个人信息或打开可收 集个人信息的权限, 或频繁征求用户同意、 干扰用户正常使用; 3.实际收集的个人信息或 打开的可收集个人 信息权限超出用户授权范围; 5.未经用户同意更改其设置的 可收集个人信息权限状态, 如App更新时自动将用户设置 的权限恢复到默认状态; 7.以欺诈、诱骗等不正当方式 误导用户同意收集个人 信息或打开可收集个人 信息的权限, 如故意欺瞒、 掩饰收集使用个人信息的 真实目的; 9.违反其所声明的 收集使用规则, 收集使用个人信息。 四、以下行为可被认定为“ "违反必要原则,收集与 其提供的服务无关的个人信息” 1.收集的个人信息类型或打开的 可收集个人信息权限 与现有业务功能无关; 4.收集个人信息的频度等 超出业务功能实际需要; 6.要求用户—次性同意打开多个 可收集个人信息的权限, 用户不同意则无法使用。 |
6、最小必要数据收集 |
在收集最小必要的个人 信息的情形下,仍能保证用户 能使用APP的基本功能服务 收集IMEI、IMSI、设备Mac 地址、软件安装列表等 个人信息,不超出明示收集目 的的合理关联范围, 不得超出必要范围高频次采集 |
/ | 《常见类型移动互联网应用程 序必要个人信息范围规定》 第三条本规定所称必要个人信息, 是指保障App基本功能 服务正常运行所必需的个人信息, 缺少该信息App 即无法实现基本功能服务。 具体是指消费侧用户个人信息, 不包括服务供给侧用户个人信息。 第四条App不得因为用户 不同意提供非必要个人信息, 而拒绝用户使用其基本功能服务。 |
7、算法合规及 个性化展示退出选项 |
如果APP提供定向推送功 能【若APP具备此功能】, 需要向用户提供关闭或 退出个性化推荐功能的 选项或开关,如个性化 内容退出、个性化广告退出 APP如如利用个人信息进行 自动化决策,应当保证 决策的透明度和结果公平、 公正,不得对个人在 交易价格等交易条件上 实行不合理的差别待遇。 退出个性化推荐, 不应再有"猜你喜欢”、 “定推"等个性化推荐 逻辑的内容 |
/ | 《App违法违规收集使用 个人信息行为认定方法》 第三条:三、以下行为可被认定为 "未经用户同意收集使用个人信息” 6.利用用户个人信息和 算法定向推送信息, 未提供非定向推送信息的选项; |
| 8、账号注销 | App应提供注销账号 的途径(如在线功能界面、 客服电话等),并在用户 注销账号后, 及时删除其个人信息或 进行匿名化处理 |
《App违法违规收集使用 个人信息行为认定方法》 第六条: 六、以下行为可被认定为" 未按法律规定提供删除 或更正个人信息功能"或“ 未公布投诉、举报方式等信息” 1.未提供有效的更正、 删除个人信息及注销 用户账号功能; |
|
9、用户申诉 与反馈 |
1、隐私政策中至少提供 以下—种投诉渠道: (1)电子邮件; (2)电话; (3)传真; (4)在线客服; (5)在线表格。 2、对于投诉、 举报处理的承诺时限 不得超过 15个工作日。 |
1、如果您对个人信息保护 问题有投诉、 建议、疑问,您可以将问题 发送至(****@***.com), 我们核查并验证您的用户 身份后会及时反馈您的投诉与举报; 2、如对本隐私政策内容 有任何疑问、 意见或建议, 您可通过登录"*****” 页面入口与我们联系。 |
《App违法违规收集使用 个人信息行为认定方法》 第六条: 六、以下行为可被认定为 "未按法律规定提供删除 或更正个人信息功能"或" 未公布投诉、举报方式等信息” 5.未建立并公布个人 信息安全投诉、举报渠道, 或未在承诺时限内 (承诺时限不得超过15个工作日, 无承诺时限的,以15个 工作日为限)受理并处理的。 |
2、隐私政策内容合规
| 事项 |
合规要点 | 示例 以下示例仅供签考, 开发者应当按照自己APP的情况进行合规 |
| 1、明示收集个人信息的业务场景 | 1、应当将收集个人信息的业务功能逐项列举; 2、不应使用"等、例如"字样。 |
业务功能是指App面向 个人用户所提供的一类完整服务, 包括地图导航、网络约车、 即时通讯、社区社交、网络支付、 新闻资讯、网上购物、短视频、 快递配送、餐饮外卖、交通票务 |
2、业务功能与所收集个人 信息类型应当——对应 |
隐私政策中对每个业务功能都应说明其所 收集的个人信息类型,不应出现多个业务功 对应—类个人信息的情况。 |
隐私政策示 例1.1发布与互动 1.1.1信息发布 a.您发布内容、评论、 提问或回答时,我们将收集您 发布的信息,并展示您的昵称、 头像、发布内容。 b.您使用上传图片、发布音 视频功能时,我们会请求您 授权相机、相册(存储空间)、 照片、麦克风权限。 您如果拒绝授权提供, 将无法使用此功能,但不影响 您正常使用「应用名称」的其他功能。 c.您发布信息并选择显示位置时, 我们会请求您授权地理位置权限, 并收集与本服务相关的位置信息。 您如果拒绝授权提供精确 地理位置信息, 将无法使用此功能, 但不影响您正常使用 「应用名称」的其他功能。 d.请注意,您公开发布的 信息中可能会涉及用户或 他人的个人信息,若您公开发布 的信息中包含他人个人信息的, 在上传发布之前,您需确保为 法律法规允许使用或已获得 合法授权。 |
3、明示各项业务功能所收集 的个人信息类型 |
每个业务功能在说明其所收集的个人信息类型时 ,应在隐私政策中逐项列举,不应使用"等、 例如"等方式概括说明。 |
***公司及其关联方(简称“我们" ,注册地址为:****K)作为** APP的运营者,深知个人信息 对您的重要性,我们将按照法 律法规的规定,保护您的个人 信息及隐私安全。 |
4、应当显著标识个人 敏感信息类型 |
隐私政策应对个人敏感信息类型进行显著标识(如字体加粗 、标星号、下划线、斜体、颜色等)。注:个人敏感 信息包括生物识别、宗教信仰、特定身份、医疗健康、 金融账户、行踪轨迹等信息,以及不满十四周岁 未成年人的个人信息等。 |
隐私政策示例 1.我们如何存储个人信息 1.1存储地点 我们依照法律法规的规定, 将在境内运营过程中收集和 产生的您的个人信息存储于 中华人民共和国境内。 目前,我们不会将上述信息 传输至境外,如果我们向 境外传输,我们将会遵循相关 国家规定或者征求您的同意。 1.2存储期限 我们仅在为提供【应用名称】 及服务之目的所必需的期间内 保留您的个人信息:您发布的 信息、评论、点赞等相关信息, 在您未撤回、删除或未注销 帐号期间,我们会保留相关信息。 超出必要期限后,我们将对您 的个人信息进行删除或匿名化处理, 但法律法规另有规定的除外。 |
| 5、应当说明App运营者的基本情况 | 隐私政策应对App运营者基本情况进行描述 ,至少包括: 1、公司名称;2、注册地址; |
|
6、应当说明个人信息存储 和超期处理方式 |
隐私政策应对个人信息存放地域(国内、国外)﹔ 存储期限(法律规定范围内最短期限或明确的期限) 、超期处理方式进行明确说明。 |
|
| 7、应说明个人信息的使用规则 | 如果App运营者将个人信息用于用户画 像、个性化展示等,隐私政策中应说明 其应用场景和可能对用户产生的影响。 |
/ |
| 8、个人信息出境情况 | 如果存在个人信息出境情况,隐私政策中应 将出境个人信息类型逐项列出并显著标识 (如字体加粗、标星号、下划线、斜体、颜色等) |
/ |
| 9、个人信息安全保护措施和能力 | 隐私政策中应对App 运营者在 个人信息保护方面采取的措施和具备的 能力进行说明,如身份鉴别、 数据加密、访问控制、恶意代码防范、安全审计等。 |
/ |
10、对外共享、转让、 公开披露个人信息规则 |
如果存在个人信息对外共享、转让、 公开披露等情况,隐私政策中应明确以下内容: 1、对外共享、转让、公开披露个人信息的目的; 2、涉及的个人信息类型; 3、接收方类型或身份。 |
/ |
| 11、用户权利保障机制 | 隐私政策中应对以下用户操作方法提供明确说明: 1、个人信息查询; 2、个人信息更正; 3、个人信息删除; 4、用户账户注销; 5、撤回已同意的授权 |
/ |
| 12、用户申诉渠道和反馈机制 | 1、隐私政策中至少提供以 下—种投诉渠道: (1)电子邮件; (2)电话; (3)传真; (4)在线客服; (5)在线表格。 2、对于投诉、举报处理的承诺时限 不得超过15个工作日 |
1、如果您对个人信息保护问题 有投诉、建议、疑问,您可以 将问题发送至 (****@***.com),我们核查并验证 您的用户身份后会及时对您的投诉 或举报进行回复;2、如对本隐私政策 内容有任何疑问、意见或建议, 您可通过登录"****”页面入口 与我们联系。 |
| 13、隐私政策时效 | 应明确标识隐私政策发布、生效或更新日期 | / |
14、隐私政策不应存在 免责等不合理条款 |
App运营者不应在用户协议、服务协议、隐私政 策等文件中出现免除自身责任、加重用户责任、 排除用户主要权利条款。 |
/ |
二、常见隐私问题与合规指引
1.违规收取个人信息
| 合规要求 |
重点关注 | 典型问题 |
合规建议 |
| ·APP应以隐私政策弹窗等形式向用户明示个人信息收集使用的目的、方式和范围,清晰明示并经用户同意; ·APP应以隐私政策弹窗等形式向用户明示第三方SDK收集使用个人信息的目的、方式和范围,清晰明示并经用户同意。 ·未经用户同意不得存在APP或第三方SDK收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的情况。 ·APP首次启动,在征求用户同意环节,应提供明确的同意和拒绝选项,不应使用"好的”"、“我知道了"等无法清晰表达用户意愿的词语。 |
·APP在用户第—次安装启动时是否以隐私政策弹窗向用户展示隐私政策等说明APP数据处理活动的规则。 ·APP隐私政策弹窗中征求用户同意是否有明确表示"同意"和"拒绝"的两个选项。 用户同意隐私政策弹窗前是否就开始违规收集用户信息。 |
·APP在用户第—次安装启动时没有隐私政策 弹窗。 |
·APP在用户第—次安装启动时增加隐私政策弹窗向用户展示隐私政策等说明APP数据处理活动的规则的文案。 ·交互设计提供明确"同意"和“拒绝"的选项征求用户同意。 ·用户同意弹窗后再调用系统接口获取用户信息。 |
·有隐私政策弹窗,但是用户同意前APP和第三方SDK就开始收集用户信息。 |
|||
| ·APP在用户第—次安装启动有隐私政策弹窗,但是没有提供表示“拒绝"的按钮或表示“同意"的按钮使用了"好的、我知道了"等文案。 | |||
| · APP注册/登录服务,在征求用户同意环节,不应设置为默认同意/勾选。 | ·注册和登录过程中均需要展示隐私攻策文本并征求用户同意 ·注册登录界面对于隐私政策文本的确认不能设置为用户默认同意。 |
·注册登录界面使用"登录即同意"的交互方式,属于默认用户同意隐私政策。 | ·注册登录流程均需要向用户展示隐私政策文本并征求用户同意。 ·采用勾选框方式让用户确认政策文本。 ·不要默认勾选同意。 |
| ·注册登录界面使用"勾选框“的交互方式,但是默认勾选同意。 |
2、违规使用个人信息
| 合规要求 | 重点关注 | 典型问题 | 合规建议 |
APP未向用户明示个人信息处理的目的、 方式和范围,不应将IlMEI、IMSI、 设备MAC地址、软件安装列表、 位置、联系人、通话记录、日历、 短信、本机电话号码、图片、音视频等 个人信息发送给第三方SDK等产品或服务。 |
APP应该在隐私政策中披露 所有第三方的数据共享行为。 APP应i该在征得用户同意后 再使用第三方SDK进行数据处理活动。 |
有隐私政策弹窗, 但是用户同意前 APP就将用户数据 发送给了第三方。 |
·应在用户同意隐私 政策弹窗后再 将用户数据共享给第三方。 |
APP没有在隐私政 策文本中披露所有 将用户信息共享 给第三方的行为。 |
·应在隐私政策中披露 所有将用户信息 共享给第三方的行为, 包括不限于第三方名称、 共享给第三方的用户数据类型、 数据共享目的、 第三方对于用户数据的处理 规则说明(隐私政策链接) |
3、强制用户使用定向推送功能
| 合规要求 |
重点关注 | 典型问题 |
合规建议 |
APP隐私政策存在“根据您的偏好进行 个性化推荐"等内容,明示存在定向推送功能, 应提供退出或关闭个性化展示模式的选项 如拒绝接受定向推送信息,或停止、退出、 关闭相应功能的机制。 APP以个人信息处理规则单窗等形式 明示存在定向推送功能,页面中应显著 区分定向推送服务,显著方式包括 但不限于:标明"个性化推荐"、“定推"、 “猜你喜欢"等能显著区分的字样,或通过 不同的栏目、版块、页面分别展示等。 |
用户拒绝提供权限 也不应影响APP基本功能使用。 权限应尽量在使 用场景申请。 APP不得颍繁申请 权限强扰用户。 |
·用户拒绝授予权限, APP直接退出或循环弹窗 向用户申请权限。 ·用户注册登录时候 触发权限申请, 用户必须同意授权才 可以进行下—步。 |
·无论用户拒绝任何权限, APP都需要向用户提供基础功能。 ·权限应尽量在使用权限 对应的相关功能或服务时申请。 ·用户拒绝权限时应设置合 理的权限申请间隔,避免频繁 申请权限骚扰用户。 |
APP在未向用户提供服务的 时候就提前申请通讯录、 定位、短信、录音、 相机、日历等权限。 |
|||
APP每次启动都会都会 申请被用户拒绝的权限。 |
快手广告营销平台满足众多企业推广营销需求,可以通过快手短视频广告满足不同的营销目的,效果也是非常不错的,快手广告营销平台为广告主提供了非常丰富的广告资源和完善的推广能力,如果你有好的资源想在快手进行广告投放,欢迎咨询王尘宇,为您提供专业的解答,助您实现品牌的推广以及流量的增长。
文章均来自互联网如有不妥请联系作者删除QQ:314111741 地址:http://www.mqs.net/post/20795.html
添加新评论