安卓应用安全指南 5.5.3 处理隐私数据 高级话题

5.5.3 处理隐私数据 高级话题

原书:Android Application Secure Design/Secure Coding Guidebook

译者:飞龙

协议:CC BY-NC-SA 4.0

5.3.3.1 隐私政策的背景和上下文

对于智能手机应用获取用户数据,并向外传输该数据的情况,需要准备并显示应用隐私策略,来通知用户一些详细信息,例如收集的数据类型,以及数据被处理的方式。 应包含在应用隐私政策中的内容,在 JMIC SPI 所倡导的 Smartphone Privacy Initiative 中详细说明。 应用隐私策略的主要目标应该是,清楚地声明应用将访问的用户数据的所有类型,数据将用于何种用途,数据将存储在何处以及数据将发送到哪里。

除了应用隐私策略之外,另一个文档是企业隐私策略,它详细说明了公司从各种应用收集的所有用户数据将如何存储,管理和处置。 企业隐私政策对应隐私政策,传统上用于遵循日本个人信息保护法。

准备和展示隐私政策的适当方法的详细说明,以及各种不同类型的隐私政策所起的作用的讨论,可参见文件“对 JSSEC 智能手机创建和展示应用隐私政策的讨论”,可从以下 URL 获得:http://www.jssec.org/event/20140206/03-1_app_policy.pdf(只有日语)。

5.5.3.2 术语表

在下表中,我们定义了这些准则中使用的许多术语;这些定义摘自文件“对 JSSEC 智能手机创建和展示应用隐私政策的讨论”(http://www.jssec.org/event/20140206/03-1_app_policy.pdf)(只有日语)。

术语描述
企业隐私政策为保护个人数据而定义的企业政策。 根据日本的个人信息保护法创建。
应用隐私政策特定于应用的隐私策略。 根据日本内务和通信部(MIC)的智能手机隐私计划(SPI)的指导原则创建。 最好提供摘要,和包含容易理解的解释的详细版本。
应用隐私政策的摘要版本一份简要文件,简要概述了应用将使用哪些用户信息,用于何种目的,以及这些信息是否会提供给第三方。
应用隐私政策的详细版本这是一份详细的文件,符合智能手机隐私计划(SPI)和日本总务省(MIC)的智能手机隐私计划 II(SPI II)规定的 8 项内容。
用户易于更改的用户数据Cookie,UUID,以及其他。
用户难以更改的用户数据IMEIs, IMSIs, ICCIDs, MAC 地址, OS 生成的 ID, 以及其他。
需要特别处理的用户数据位置信息,地址本,电话号码,邮箱地址,以及其他。
posted @ 2018-04-05 18:23  绝不原创的飞龙  阅读(11)  评论(0编辑  收藏  举报  来源