App信息保护合规审核(个⼈信息保护政策)APP信息保护合规审核
本⽂原地址:shenbh.github.io/posts/3370568460/
APP信息保护合规审核
原则:收集个⼈信息要公开透明的原则
协议–权限–⾏为–保障
⽤户信息收集、使⽤规则拨测lnx的定义域
“收集、使⽤个⼈信息”的公⽰情况:(单独成⽂、显著标⽰、主动授权、易读性)
“收集、使⽤个⼈信息”的⽬的⽅式内容的明⽰情况:(完整度、合理性、霸王条款、超范围约定)功能与声明的“收集、使⽤个⼈信息”内容是否⼀致:(明⽰程度、超范围收集动作)
“个⼈信息安全保护措施和能⼒”(数据加密、访问控制、恶意代码规范)
应⽤敏感权限过度申请拨测
APP所使⽤的SDK⽬标API级别(⼀揽⼦强制授权、规避安全机制)
APP所申请敏感权限授权⽅式及对应功能(敏感权限过度申请、个⼈信息违规收集)
⽤户申诉渠道和反馈机制:(投诉渠道、申诉结果)
⽤户权利保障机制:(个性化推荐退订、⽤户信息查询删除、账户注销、授权撤回)
APP侵权⾏为
APP信息保护合规审核判定规则细读
⼀、以下⾏为可被认定为“未公开收集使⽤规则”
1. 在App中没有隐私政策,或者隐私政策中没有收集使⽤个⼈信息规则;
2. 在App⾸次运⾏时未通过弹窗等明显⽅式提⽰⽤户阅读隐私政策等收集使⽤规则;
3. 隐私政策等收集使⽤规则难以访问,如进⼊App主界⾯后,需多于4次点击等操作才能访问到
APP提供的隐私政策应⽅便⽤户查、阅读
以下认定为违规:
1. 应⽤内未提供隐私政策,通过官⽹、客服咨询才能查看到隐私政策送老婆什么生日礼物
2. 隐私政策访问路径设置过深,多余4次点击操作访问到
例:
通过,“我的–设置–关于我们–协议条款–隐私政策”广东旅游景点推荐
不通过,“我的–设置–关于我们–帮助–协议条款–隐私政策”
高档发廊3. 仅⾸次运⾏时,通过弹窗的⽅式提供了隐私政策,进⼊应⽤后⽆法再次查看
4. 注册登录后在应⽤内不到隐私政策
4. 隐私政策等收集使⽤规则难以阅读,如⽂字过⼩过密、颜⾊过淡、模糊不清,或未提供简体中⽂版等。
PS. 隐私政策中应包含哪些内容
1. 个⼈信息控制着的基本信息:主体信息(全称)、联系⽅式。
2. 各业务功能收集个⼈信息的⽬录、⽅式、范围。
3. 是否涉及个⼈信息数据出境、个⼈信息存储期限、超期处理⽅式。
4. 对外共享、转让、公开披露个⼈信息的⽬的、⽅式、范围。
5. 查询、更正、删除个⼈信息、撤回授权信息、注销账号的⽅式等。
6. 个⼈信息的安全保障能⼒。【个⼈信息传输过程中要加密处理】
7. 提供个⼈信息后可能存在的安全风险,及不提供个⼈信息可能产⽣的影响。
8. 处理个⼈信息主体询问、投诉的渠道和机制,注意承诺期限不应超过15个⼯作⽇。
⼆、以下⾏为可被认定为“未明⽰收集使⽤个⼈信息的⽬的、⽅式和范围”
1. 未逐⼀列出App(包括委托的第三⽅或嵌⼊的第三⽅代码、插件)收集使⽤个⼈信息的⽬的、⽅式、范围等;
以下认定为违规:
1. 未完整列出收集个⼈信息的类型、⽬的
2. 未逐⼀说明申请电话、存储、通讯录、短信、位置、⽇历、相机、麦克风等权限的⽬的
3. 存在第三⽅SDK收集使⽤个⼈信息的⾏为,但未在隐私政策中明确告知
2. 收集使⽤个⼈信息的⽬的、⽅式、范围发⽣变化时,未以适当⽅式通知⽤户,适当⽅式包括更新隐私政策等收集使⽤规则并提醒⽤户新发展理念的内涵
阅读等;
3. 在申请打开可收集个⼈信息的权限,或申请收集⽤户⾝份证号、银⾏账号、⾏踪轨迹等个⼈敏感信息时,未同步告知⽤户其⽬的,或
者⽬的不明确、难以理解;
【主动申请权限、收集个⼈敏感信息时未同步告知⽬的:APP主动申请权限、收集个⼈敏感信息时应同步告知⽬的、收集使⽤规则】以下认定为违规:
1. APP在主动申请电话、存储、相机、麦克风、通讯录、短信、⽇历、位置等敏感权限之前或拒绝之后未明确告知⽬的
2. 申请敏感权限时虽同步告知⽬的,但告知⽬的不明确
3. 在收集个⼈⾝份证、个⼈声明信息的界⾯未同步告知收集该类个⼈信息的⽬的、使⽤规则等
⽰例:
4. 有关收集使⽤规则的内容晦涩难懂、冗长繁琐,⽤户难以理解,如使⽤⼤量专业术语等。
三、以下⾏为可被认定为“未经⽤户同意收集使⽤个⼈信息”
1. 征得⽤户同意前就开始收集个⼈信息或打开可收集个⼈信息的权限
得组词语1. 征得⽤户同意前就开始收集个⼈信息或打开可收集个⼈信息的权限
【反例如:配置第三⽅SDK不规范,⼀打开应⽤第三⽅SDK就去读取 / 授权请求个⼈信息 --整改–》把第三⽅SDK的初始化放到同意隐私政策之后】
【APP⾸次启动时,应通过明显⽅式提醒⽤户阅读隐私政策,并在授权同意前不应有任何收集个⼈信息或申请开启权限的⾏为】以下认定为违规:
1. 在⽤户授权同意隐私政策前申请开启权限
2. ⽤户授权同意隐私政策前,收集⽤户个⼈信息
3. ⽤户阅读隐私政策的过程中已经开始收集个⼈信息
反例:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论