7月22日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。会议强调,2020年治理工作将在去年基础上,进一步加大整治工作力度,加强App、小程序违规采集个人信息相关问题的检测与治理。据悉,工信部将在2020年8月底前上线运行全国App技术检测平台管理系统,12月10日前完成覆盖40万款主流App检测工作。
那么,对于App和小程序开发者,如何做好采集合规,规避合规风险?
友盟+特按照目前法律及监管要求梳理并发布《友盟+ App/小程序合规指南》(以下简称“指南”),帮助您了解App检测关注重点,并为您提供完整易懂的合规解决方案。此外,我们也将在《指南》中向您展示友盟+数据安全与隐私保护技术能力,帮助您了解友盟+个人信息保护体系。
为了您的App采集合规,我们强烈建议您仔细阅读以下《指南》,及时调整合规措施。如果您是小程序开发者,可参考App检测关注重点,及时进行自查。
一、目前监管都关注哪些违规采集问题?我应当如何做到合规?
问题点 |
问题详情 |
解决方案 |
(一)违规收集用户个人信息方面 |
1、“私自收集个人信息”:即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。 2、“超范围收集个人信息”:即App收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等 |
1、为解决“私自收集个人信息”问题,您应当为App准备一份独立的《隐私政策》,向用户明示App收集使用个人信息的目的、方式和范围。如存在涉及收集使用儿童个人信息相关业务功能的,需制定针对儿童的个人信息保护规则。如果您使用友盟+SDK,需在《隐私政策中》向用户说明SDK提供的服务及采集情况(参考条款详见后文)。 2、为解决“超范围收集个人信息”问题,您应当确保您的采集均与App服务功能相关,所涉个人信息字段均已在《隐私政策》中公示,并得到用户授权。 |
(二)违规使用用户个人信息方面 |
1、“私自共享个人信息给第三方”:即App未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。 2、“强制用户使用定向推送功能”:即App未向用户告知或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。 |
1、如果您未在隐私政策中披露使用友盟+SDK,那么可能被认定为“私自共享个人信息给第三方”,为解决此问题,您可以在《隐私政策》附录中披露友盟+SDK的具体情况,并附上友盟+隐私政策链接。如果您同时使用其他SDK,也请您按照同样的方式进行披露。如您集成的SDK较多,可在《隐私政策》附录中以表格的方式一一载明,参考格式详见后文。 2、为解决“强制用户使用定向推送功能”的问题,我们建议如您提供定向推送功能,应在《隐私政策》中向用户告知,并对定向推送进行显著标示。同时,您应当向用户提供关闭定向推荐的选项,以保证用户的选择权,满足监管要求。 |
(三)不合理索取用户权限方面 |
1、“不给权限不让用”:即App安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。 2、“频繁申请权限”:即App在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。 3、“过度索取权限”:即App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。 |
1、为解决“不给权限不让用”问题,您应当注意通过《隐私政策》等方式向用户详细说明App需要调取的权限及目的,并保证权限调取均与服务功能相关。当用户拒绝无关权限时,仍可以正常使用App其他功能。 2、为解决“频繁申请权限”问题,您需要注意在用户拒绝授权后,不宜频繁(如48小时内)反复申请权限。 3、为解决“过度索取权限”问题,您应当确保App所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限,应当谨慎索取,并向用户明确告知,取得用户授权。 |
(四)为用户账号注销设置障碍方面 |
“账号注销难”:即App未向用户提供账号注销服务,或为注销服务设置不合理的障碍。 |
为解决“账号注销难”问题,您需要:1、为用户提供账号注销入口;2、账号注销时需要用户提供的信息,不得超过用户注册及使用App期间所提供的信息;3、账号注销后,应及时删除用户信息,或在实现日常业务功能所涉及的系统中去除用户个人信息,使其保持不可被检索、 访问的状态;4、用户账号注销的响应时间最多不超过15个工作日。 |
二、目前监管对App/小程序使用SDK是什么态度?
根据《个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》等规定可知,目前监管规定并未禁止App/小程序使用SDK,但对使用SDK提出了“告知+同意”的行为要求 ——即您需要通过《隐私政策》向用户告知App/小程序使用的全部SDK,并取得用户授权。
从行业价值角度看,SDK的出现,使开发者无需对产品的每个功能进行开发,也不需要为这些功能购置相应的网络和服务器资源,直接在App/小程序中集成SDK即可完成产品功能迭代,大大节省了研发成本和硬件投入,缩短开发周期。在追求高效便捷的互联网时代,SDK已成为移动应用生态中极重要的一环。
三、如果您使用友盟+SDK,如何做到合规?
您需要通过《隐私政策》向用户告知您的App/小程序使用友盟+SDK收集、使用用户个人信息以提供相应服务,并取得用户授权。前述“告知”可通过表格形式在《隐私政策》附录中披露,参考格式如下(具体请点击【阅读原文】查看详情):
您也可以在《隐私政策》“数据共享与披露”章节中直接增加如下推荐条款:
1、如您的App使用友盟+SDK,请增加:
“我们的产品集成友盟+SDK,友盟+SDK需要收集您的设备Mac地址、唯一设备识别码(IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI 信息)以提供统计分析服务,并通过地理位置校准报表数据准确性,提供基础反作弊服务。”
2、如您的小程序使用友盟+SDK,请增加:
“我们的小程序集成友盟+SDK,友盟+SDK需要收集您在小程序平台去标识化ID(如openid/unionid/userid)以及您设置的公开信息(昵称/头像/性别/地区/语言)以提供统计分析服务。”
值得提醒的是,您应确保在App/小程序首次运行时通过弹窗等明显方式提示用户阅读您的《隐私政策》并取得用户授权,之后再初始化SDK进行信息采集。
四、哪些个人信息字段或权限属于监管要求写在《隐私政策》中的内容?
App/小程序应当在《隐私政策》中列明所采集的个人信息字段,并向用户说明采集目的与用途。《隐私政策》范本可参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录D。
对于个人信息字段,详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录A/B。
关于个人信息权限,iOS系统重点关注:定位、通讯录、日历、提醒事项、照片、麦克风、相机、健康等;Android系统重点关注:日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储等。
请注意,目前监管规定并未禁止上述采集,但您需要保证您的采集行为均与业务功能合理相关,并且遵守“告知+同意”的规则对用户进行披露,取得用户授权。
五、《隐私政策》如何合规展示?
1、您应当保证《隐私政策》的独立性及易读性。《隐私政策》应单独成文,而不是作为《用户协议》或其他文件的一部分存在。用户进入App主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。
2、《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等),个人敏感信息类型详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。
3、《隐私政策》应由用户自主选择是否同意,注意不要以默认勾选“同意”的方式取得用户授权。展示方式参考如下:
六、友盟+ SDK如何保证采集合规?
友盟+始终严格遵守国家法律及监管规定,杜绝无应用场景的采集行为,做到数据技术服务的合规、透明。友盟+各类SDK所采集的所有个人信息字段及相应采集目的和用途,均在官网公示,杜绝违规采集。
为了保障您以及您最终用户的信息安全,我们将按照行业通行标准、努力采取合理的物理、电子和管理方面的安全措施来保护您的信息,并尽最大合理努力使您以及您最终用户的信息不会被泄漏、毁损或者丢失。在您的浏览器与服务器之间交换数据时受 SSL协议加密保护;我们对网站提供HTTPS协议安全浏览方式;我们会使用加密技术提高个人信息的安全性;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制,尽力确保只有授权人员才可访问个人信息;以及我们会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。我们有行业先进的以数据为核心、围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性。
七、在数据安全与个人信息保护方面,友盟+取得哪些权威认证?
我们取得了非银行业的最高安全等级保护标准——公安部信息安全三级等保认证,以及ISO/IEC 27001:2013信息安全管理体系认证和ISO/IEC 27018:2019公有云个人信息保护管理体系认证,成为国内大数据行业首个通过ISO/IEC 27018:2019公有云个人信息保护管理体系认证的公司,也是为数不多的同时取得ISO国际隐私合规双认证的大数据公司。
八、如果App用户不希望其个人信息被友盟+处理,应当如何应对?
您可以告知App用户通过访问 https://outdip.umeng.com/opt_out.html 行使opt-out权利。一旦终端用户行使opt-out权利,其信息将不会被友盟+进行处理。我们建议您在《隐私政策》中嵌入友盟+的opt-out链接,以便终端用户更便捷地行使退出权。
《友盟+ App/小程序合规指南》基于现行法律法规及监管政策、执法重点整理,我们强烈建议您也对这些监管规定的更新与发布情况时刻保持关注,您可参考的资料包括:
-
《GB/T 35273-2020 信息安全技术 个人信息安全规范》
-
《儿童个人信息网络保护规定》
-
《移动互联网应用程序(App)收集使用个人信息自评估指南 》
-
《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范(草案)》
在数据智能领域深耕十年的友盟+,深知SDK服务对于移动应用生态发展的重要性。我们致力于不断研发、创新SDK的数据服务类型,帮助App开发者大幅度提升开发效率,降低开发成本;也不断通过提高SDK的易用性和灵活性,为App提供更流畅、便捷的用户体验。
友盟+期待与您一起,推进移动应用生态合规发展,为维护良好行业环境而努力!
(具体详情及合规规范参考请点击左下角【阅读原文】)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/39775.html