近期陆续看到各地通信管理局陆续发布APP因隐私合规问题被下架要求整改的通知:
据某平台开发者显示数据,已下架2500+未按照要求整改的APP。
针对获取个人信息的应用程序,我国已有多部法规:《个人信息保护法》《移动互联网应用程序信息fuwu管理规定》《App违法违规收集使用个人信息行为认定方法》《移动互联网应用程序个人信息保护管理暂行规定》都明确了对APP合规的要求。
如《App违法违规收集使用个人信息行为认定方法》明确界定了以下六种类型包含的情况:
1、未公开收集使用规则;
2、未明示收集使用个人信息的目的、方式和范围;
3、未经用户同意收集使用个人信息;
4、违反必要原则,收集与其提供的fuwu无关的个人信息;
5、未经同意向他人提供个人信息;
6、未按法律规定提供删除或更正个人信息功能”或“未公布投诉、jubao方式等信息。
那么针对这些问题,该如何调整呢?
重点关注APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
合规指引:
1、APP需以个人信息处理规则弹窗等形式向用户明示个人信息处理的目的、方式和范围,清晰明示并经用户同意;
2、APP需以个人信息处理规则弹窗等形式向用户明示第三方SDK处理个人信息的目的、方式和范围,清晰明示并经用户同意;
3、APP在征求用户同意环节,应提供明确的同意和拒绝选项,不应仅使用“好的”、“我知道了”等无法清晰表达用户同意的词语;
4、APP在征求用户同意环节,不应设置为默认同意。
违规使用个人信息
重点关注APP、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供fuwu之外的目的,特别是私自向其他应用或fuwu器发送、共享用户个人信息的行为。
合规指引:
1、未明示共享:APP未向用户明示个人信息处理的目的、方式和范围,不应将IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息发送给第三方SDK等产品或fuwu;
2、未同意共享:APP以个人信息处理规则弹窗等形式向用户明示共享给第三方的行为,未经用户同意,不应将IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息发送给第三方SDK等产品或fuwu;
3、明示共享不清晰:APP以个人信息处理规则弹窗等形式向用户明示个人信息处理的目的、方式和范围,未清晰明示共享的第三方身份、目的及个人信息类型,用户同意后,不应将IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息发送给第三方SDK等产品或fuwu;
4、fuwu器端共享:APP未向用户告知且未经用户同意,不应将设备识别信息、商品浏览记录、搜索使用习惯、软件安装列表等个人信息传输至APPfuwu器后,向第三方产品或fuwu提供其收集的个人信息。
APP强制、频繁、过度索取权限
重点关注APP安装、运行和使用相关功能时,非fuwu所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点关注短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前fuwu场景无关权限的行为。重点关注未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
合规指引:
1、APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应退出或关闭。
2、APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应循环弹窗申请权限,使用户无法继续使用。
3、用户注册登录时,APP向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应无法正常注册或登录。
4、APP运行时,在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,不应向用户频繁弹窗申请与当前fuwu场景无关的权限,影响用户正常使用。
5、APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,重新运行时,APP不应向用户频繁弹窗申请开启与当前fuwu场景无关的权限,影响用户正常使用。
6、APPshou次打开或运行中,未见使用权限对应的相关功能或fuwu时,不应提前向用户弹窗申请开启通讯录、定位、短信、录音、相机、日历等权限。
7、APP未见提供相关业务功能或fuwu,不应申请通讯录、定位、短信、录音、相机、日历等权限。
欺骗误导用户下载APP
重点关注通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP的行为。
合规指引:
1、APP广告页面、开屏广告、主屏等功能页面,无显著APP下载提示,不应点击广告页面即自动下载非用户所自愿下载的APP。
2、APP广告页面、开屏广告、主屏等功能页面,不应通过“偷梁换柱”、“移花接木”等方式欺骗误导用户下载非用户所自愿下载的APP,包括但不限于“是否立即开始游戏”、“领取 红包”等诱导方式。
3、APP广告页面、开屏广告、主屏等功能页面,点击下载按钮以外区域,不应自动下载非用户所自愿下载的APP。
4、用户暂停或取消非主动点击触发下载的APP,关闭并重新运行本APP后,被用户暂停或取消;下载的APP不应自动恢复下载。
5、APP广告页面、开屏广告、主屏等功能页面,不应通过设置关闭障碍等方式欺骗误导强迫下载非用户所自愿下载的APP。
6、APP广告页面、开屏广告、主屏等功能页面,下载的APP不应与向用户所作的宣传或者承诺不符。
强制用户使用定向推送功能
重点关注APP、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精zhun营销,且未提供关闭该功能选项的行为。
合规指引:
1、明示定推:若APP的业务功能存在定向推送功能,应以个人信息处理规则弹窗等形式向用户明示,将收集的用户个人信息用于定向推送、精zhun营销;
2、明示第三方个人信息来源:若APP定向推送功能使用了第三方的个人信息来源,应以个人信息处理规则弹窗等形式向用户明示业务功能使用第三方的个人信息进行定向推送,并向用户明示第三方的个人信息来源;
3、标识定推:APP以个人信息处理规则弹窗等形式明示存在定向推送功能,页面中应显著区分定向推送fuwu,显著方式包括但不限于:标明“个性化推荐”、“定推”、“猜你喜欢”等其他能显著区分的字样,或通过不同的栏目、版块、页面分别展示等;
4、提供关闭选项:APP以个人信息处理规则弹窗等形式明示存在定向推送功能,应提供退出或关闭个性化展示模式的选项,如拒绝接受定向推送信息,或停止、退出、关闭相应功能的机制。
应用分发行为
合规指引:
包括应用分发平台信息展示:
1、应用下载页面所明示APP的名称应与下载安装后的APP名称一致。
2、应用下载界面展示真实完整有效的开发者或运营者信息。
3、应用下载页面应显著明示APP的开发者或运营者信息,不应隐藏在二级链接。
4、应用下载界面应明示APP的版本信息。
5、应用下载页面应显著明示APP的版本信息,不应隐藏在二级链接。
6、应用下载页面应明示APP的安装及运行所需权限列表及用途。
7、应用下载页面应明示APP的收集使用个人信息的内容、目的、方式和范围。