愈发严格的App隐私监管

自2019年开始,监管便开始关注 App隐私合规问题,通报了一批又一批App,关注较多的问题主要是 违规收集和使用用户信息、采集用户权限等行为。随着监督力度逐渐加大,治理对象从App扩展到SDK、小程序、应用分发平台(如应用商店),甚至是手机厂商和网络接入服务提供者。

1、手机厂商

手机厂商早已加入了隐私生态建设的阵营,最早的小米手机自带“照明弹”功能,能拥有上帝视角窥见App在后台的行为,例如自启动和关联启动等,甚至是对App一些行为的拦截,实现对用户个人隐私信息的保护;渐渐的,更多的手机厂商也开始具备类似功能。

2、应用市场

应用市场也“不甘示弱”,纷纷开始履行自己的监督职责,在《移动互联网应用程序个人信息保护管理暂行规定》公开征求意见中 第九条便提到了对分发平台的要求:“对新上架APP实行上架前个人信息处理活动规范性审核,对已上架APP在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;”。

3、预装应用

10月9日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 智能手机预装应用程序基本安全要求》(征求意见稿)并向社会公开征求意见,对智能手机中的预装应用进行管理和规定,用简单的话概括:不是系统非必要功能的App 支持用户卸载,且卸载后不影响系统正常使用(崩溃、无法驱动 ;不可直接卸载App应当提供禁止使用选项;预装应用对个人信息的采集和使用也需遵循和App一样的规定法则。

4、小程序监管

随着 App 专项治理行动的广泛开展和相关宣传工作的有力支持,用户对于其在使用 App 时的隐私保护意识和能力逐渐提升。但对于小程序,大部分用户自身个人信息保护意识和能力仍然不足。
小程序作为App功能的“浓缩”、简易版,在使用过程中无疑也需要遵循App隐私合规相关的要求,隐私政策、明示申请、不过度采集、、、一个都不能少。2021年11月,海南网信办就通报了 肯德基 和 必胜客点单小程序 违法违规收集个人信息的行为。

1)小程序和APP的差异:

受限于小程序平台的要求和技术限制,小程序和APP存在如下差异:
一是小程序有权调用的 API 少于 App。小程序无法绕过小程序 平台直接调用手机系统 API 并和系统互动;App 则可调用所有手机系 统 API,直接与系统对话,实现修改手机系统音量、网络连接等功能。
二是小程序可获取的权限少于 App。小程序只能获取小程序平台 已经从手机系统获取的权限,通常仅限于用户信息、地理位置、后台 定位、相册、通讯地址、发票、录音、摄像头、运动步数;而 App 能 够获取的手机系统权限多达一百余项,其中不乏日历、通讯录、麦克 风、短信等敏感权限。
三是小程序的权限管理方式异于 App。小程序的权限管理通常是 从小程序平台“设置”中选择“允许”或“拒绝”某项权限,且一次 只能进行一款小程序的权限设置;App 的权限管理则可在手机系统设 置中完成,且可实现集中管理,即可一次性针对多款 App 的权限情况 进行修改。
四是小程序推送消息的渠道少于 App。小程序只能发送模板消息, 或在被用户主动订阅后进行推送,App 则可以随时随地为用户推送消 息。

2)小程序和平台的关系

  • 目前所有小程序必须依托小程序平台搭建的入口进入,因此小程序能够获取的信息范围受限于平台规则。二者的关系主要体现在两个 方面:小程序通过平台获取信息,以及平台为保护个人信息对小程序 提出要求。
  • 涉及到用户个人信息保护时,平台通常从数据收集和存储与授权,数据使用规范、数据安全、地理位置四个方面对小程序提出要求:
    数据收集、存储与授权方面,小程序采集用户数据之前,必须确 保经过用户同意,并向用户如实披露采集数据内容、数据用途、使用 范围等相关信息;
    数据使用规范方面,小程序不得向其他用户或任何第三方显示用 户个人信息8或用于任何未经用户及平台授权的用途;
    数据安全方面,平台要求小程序谨慎保管所使用的账号、密码和 密钥,保护用户授权的隐私信息与数据;
    地理位置方面,平台要求,只有在服务过程中确有实际需要的, 小程序才能向用户申请获取实时位置信息;

3)小程序评估关注点:

评测包括两大部分:
一是隐私政策评测,考察小程序的隐私政策中关于小程序运营者 收集、使用、存储和保护个人信息的描述是否清晰和全面。

  • 登录注册页面提供独立的隐私政策协议(谨防:小程序无隐私政策协议、是平台通用的隐私政策协议、隐私政策协议链为空),并且需要用户主动同意;
  • 隐私政策应适用于小程序
    小程序和App后台的服务器和数据库通常是共用的,但App和小程序在很多涉个人信息的场景下,由于小程序平台的限制,对个人信息处理活动存在明显区别,这导致App的隐私政策中部分业务功能及其对应收集的个人信息可能同小程序不相匹配,因此在开展小程序个人信息合规的过程中,建议小程序运营者针对性地制定适用小程序自身业务功能需要的隐私政策。

二是数据 安全检测,检测小程序在收集、传输、共享、删除等重点环节中的个 人信息安全风险。

  • 超范围收集个人信息,带来数据违规收集风险
  • 明文传输个人信息,带来数据非法获取风险
  • 未告知用户关闭权限路径,带来权限持续开放风险
  • 关闭授权后仍使用之前授权信息,带来数据滥用风险:用户需要仅注销某小程序中的账号而不是注 销自己的小程序平台账号时,可关闭对于小程序的“用户信息”授权
  • 默认共享用户个人信息,带来数据脱离控制风险
  • 未提供删除个人信息渠道,带来数据过度留存风险

小程序用户隐私保护指引内容介绍
小程序个人信息合规要点及操作指引

5、违规推送弹窗信息

2022年10月13日,在工信部“回头看”行动中,通报了一批 “违规推送弹窗信息”的App,依据便是2022年9月30日生效的由网信办发文的 《互联网弹窗信息推送服务管理规定》,规定重点想解决利用弹窗违规推送信息、弹窗广告标识不明显、广告无法一键关闭、恶意炒作违背公序良俗的内容、推送频次过多等合规问题。
1)适用范围:

第二条 在中华人民共和国境内提供互联网弹窗信息推送服务,适用本规定。
本规定所称互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。
本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。

web网站页面上的弹窗内容(包括弹窗内容除了第三方企业的广告,自己平台的广告也算在此弹窗范围内)

2)具体要求
和之前App隐私合规问题相比,弹窗推送的问题更多是对互联网内容问题的关注。

第五条 提供互联网弹窗信息推送服务的,应当遵守下列要求:
(一)不得推送《网络信息内容生态治理规定》规定的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容,不得以恶意翻炒为目的,关联某一话题集中推送相关旧闻;
(二)未取得互联网新闻信息服务许可的,不得弹窗推送新闻信息,弹窗推送信息涉及其他互联网信息服务,依法应当经有关主管部门审核同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可;
(三)弹窗推送新闻信息的,应当严格依据国家互联网信息办公室发布的《互联网新闻信息稿源单位名单》,不得超范围转载,不得歪曲、篡改标题原意和新闻信息内容,保证新闻信息来源可追溯;
(四)提升弹窗推送信息多样性,科学设定新闻信息和垂直领域内容占比,体现积极健康向上的主流价值观,不得集中推送、炒作社会热点敏感事件、恶性案件、灾难事故等,引发社会恐慌;
(五)健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,配备与服务规模相适应的审核力量,加强弹窗信息内容审核;
(六)保障用户权益,以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等,充分考虑用户体验,科学规划推送频次,不得对普通用户和会员用户进行不合理地差别推送,不得以任何形式干扰或者影响用户关闭弹窗,弹窗信息应当显著标明弹窗信息推送服务提供者身份;
(七)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得利用算法实施恶意屏蔽信息、过度推荐等行为;不得利用算法针对未成年人用户进行画像,向其推送可能影响其身心健康的信息;
(八)弹窗推送广告信息的,应当具有可识别性,显著标明“广告”和关闭标志,确保弹窗广告一键关闭;
(九)不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息,不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。

可概括为:

  • 推送内容要健康、积极,不得恶意炒作、哗众取宠;
  • 推送新闻内容要获得互联网新闻信息服务许可,推送新闻消息客观真实;
  • 保障用户利益:告知推送形式/频次,不得区别推送造成用户信息茧房,利用算法来“作恶”,提供可关闭功能来关闭推送;
  • 未成年人:不得利用算法针对未成年人用户进行画像,向其推送可能影响其身心健康的信息;
  • 广告推送:应当具有可识别性,显著标明“广告”和关闭标志,确保弹窗广告一键关闭;不得以弹窗方式来实现恶意引流、流量劫持;

Referer:
https://www.sohu.com/a/588349744_617676

后记

随着监管力度的推进,监管范围、关注内容势必也会有所拓宽不断深入,让我们保持敬畏、拭目以待!

posted @ 2022-10-16 11:33  人间修行  阅读(254)  评论(0编辑  收藏  举报