APP隐私政策设计注意事项
指导政策及文件
法律法规
应用型文件
- 《App违法违规收集使用个人信息行为认定方法》
- 《常见类型移动互联网应用程序必要个人信息范围规定》
- 《信息安全技术 个人信息安全规范》
- 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
APP相关方案设计
1.隐私政策弹窗
政策引用
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 ——《中华人民共和国个人信息保护法》
在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则 ——《App违法违规收集使用个人信息行为认定方法》
产品方案
(1)用户首次启动APP后,立即以【弹窗】【全屏页面】等形式提示用户阅读《用户协议》及《隐私协议》;
(2)若用户未同意,可通过二次弹窗再次提醒;
2.隐私政策打开方式
政策引用
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; ——《中华人民共和国个人信息保护法》
征得用户同意前就开始收集个人信息或打开可收集个人信息的权限 ——《App违法违规收集使用个人信息行为认定方法》
产品方案
(1)在未登录状态下,《用户协议》及《隐私政策》可使用默认浏览器打开,而非APP内置浏览器;
3.注册/登录时提醒勾选协议
政策引用
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 ——《中华人民共和国个人信息保护法》
以默认选择同意隐私政策等非明示方式征求用户同意 ——《App违法违规收集使用个人信息行为认定方法》
产品方案
(1)《用户协议》及《隐私政策》需默认为未选中状态;
(2)未勾选状态下不支持用户登录;
(3)未勾选状态下,点击【登录】时,可通过toast、抖动、弹窗提醒等形式引导用户勾选《用户协议》及《隐私政策》;
(4)存在多种登录方式时,切换登录方式《用户协议》及《隐私政策》的勾选状态可由前端记录;
(5)“一键登录”时需增加《运营商认证服务协议》;
4.在APP中增加隐私政策入口
政策引用
在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到; ——《App违法违规收集使用个人信息行为认定方法》
产品方案
(1)在APP中需明示《用户协议》及《隐私政策》,常见路径有以下几种:
- 我的——设置——关于QQ音乐——隐私政策;
- 我的——设置——协议中心;
5.APP权限索取方式
政策引用
学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为:注册用户移动电话号码。 ——《常见类型移动互联网应用程序必要个人信息范围规定》
用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围 ——《App违法违规收集使用个人信息行为认定方法》
以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的 ——《App违法违规收集使用个人信息行为认定方法》
未向用户提供撤回同意收集个人信息的途径、方式 ——《App违法违规收集使用个人信息行为认定方法》
用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用 ——《App违法违规收集使用个人信息行为认定方法》
产品方案
(1)厘清APP必要权限与非必要权限,可参考《常见类型移动互联网应用程序必要个人信息范围规定》;
- 必要权限:如不提供,则无法正常使用APP基础功能;此部分权限可在用户打开APP后即索取;
- 非必要权限:如不提供,可正常使用APP基础功能,涉及某些功能时需进一步索取权限;此部分权限在使用到该功能时,才索取对应权限;
(2)索取权限时,需明示索取权限范围、索取权限目的,常见做法如下
- 安卓:优先弹出自研弹窗“权限目的、范围”;【同意】后弹出系统授权弹窗;
- IOS:直接修改系统授权弹窗文案以描述上述内容;
- 用户某项权限后,不可主动再次进行该权限索取,用户主动触发除外;
6.系统权限开启/关闭
政策引用
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 ——《中华人民共和国个人信息保护法》
未向用户提供撤回同意收集个人信息的途径、方式 ——《App违法违规收集使用个人信息行为认定方法》
产品方案
- 在APP内提供应用权限管理页面,可直接跳转至系统设置进行关闭/启用;
7.隐私政策更新告知
暂未找到合适图片
政策引用
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 ——《中华人民共和国个人信息保护法》
收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等 ——《App违法违规收集使用个人信息行为认定方法》
- 隐私政策更新后,需通过弹窗、站内信等方式触达用户;
8.个人信息收集
政策引用
在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解 ——《App违法违规收集使用个人信息行为认定方法》
产品方案
(1)在收集个人信息需增加相关说明,明示收集目的;
9.个性化设置
政策引用
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 ——《中华人民共和国个人信息保护法》
利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项 ;
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息 ——《App违法违规收集使用个人信息行为认定方法》
强制用户使用定向推送功能。重点整治APP、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。 ——《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
7.5 个性化展示的使用 对个人信息控制者的要求包括: a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容; 注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。 b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项; 注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项; 2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。 d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。 ——《信息安全技术 个人信息安全规范》
强制用户使用定向推送功能。重点整治APP、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。 ——《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
产品方案
(1)在APP中使用个性化推送的内容应明显标注,使用“推荐”、“个性化”等字眼;
(2)在APP中需提供开启/关闭个性化推送的开关,关闭后不再根据个人信息进行推荐;
10.注销账户
政策引用
8.5 个人信息主体注销账户 对个人信息控制者的要求包括: a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作; b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理; c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型; d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等; 注 1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行 详细说明。 注 2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。 e) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等; f) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。 ——《信息安全技术 个人信息安全规范》
产品方案
- 在APP内需提供注销功能,常用的注销入口有以下几种:
- 在我的——设置——账号管理——【注销】;
- 通过【客服】提供注销功能;
- 具体注销逻辑视产品形态及业务而定,注销完成后不可再使用该用户的信息;
附件
附件一:Android涉及个人信息权限
| 序号 | 权限分组 | 权限名 | 功能描述 | 可访问的个人信息 | 业务功能示例 |
| 1 | CAENDAR日历 | READ_CALENDAR读取日历 | 允许App读取用户日历数据 | 系统日历中的日程安排、备忘、行程等信息 | 例如日程规划、事件提醒、票务预订等 |
| 2 | WRITE_CALENDAR编辑日历 | 允许App写入用户日历数据 | |||
| 3 | CAMERA相机 | CAMERA拍摄 | 允许App使用摄像头 | 照片或视频信息 | 例如拍摄照片视频、扫描二维码/条形码、人脸识别等 |
| 4 | CONTACTS通讯录 | READ_CONTACTS读取通讯录 | 允许App读取用户通讯录 | 联系人数据 | 例如通讯录管理与备份、添加联系人等 |
| 5 | WRITE_CONTACTS编辑通讯录 | 允许App写入用户通讯录 | |||
| 6 | LOCATION位置 | ACCESS_FINE_LOCATION访问精准定位 | 允许App获取基于GPS等的精准地理位置 | 精准地理位置信息 | 例如定位当用户位置、拍照记录照片拍摄位置、社交分享位置、O2O上门服务定位用户位置等需要用户精准位置的场景 |
| 7 | ACCESS_COARSE_LOCATION访问粗略位置 | 允许App获取基于基站、IP等粗略的地理位置 | 粗略地理位置信息 | 例如外卖、本地生活服务等分区域信息推荐、基于城市或地域进行新闻推送等基于粗略用户地理置的场景 | |
| 8 | MICROPHONE麦克风 | RECORD_AUDIO录音 | 允许App使用麦克风进行录音 | 录音内容 | 例如语音即时通信、语音识别、音视频录制、直播等语音输入场景 |
| 9 | PHONE电话 | READ_PHONE_STATE读取电话状态 | App可通过此权限获取设备IMSI(国际移动用户识别码)、IMEI(国际移动设备识别码)等设备唯一标识信息,以及手机通话状态等 | 设备唯一标识信息(如IMEI、设备序列号) | 进行用户常用设备的标识,可用于监测App账户异常登录、关联用户行为 |
| 10 | CALL_PHONE拨打电话 | 允许App直接拨打电话 | 实时通话行为 | 例如在App内直接拨打商家、快递员、客服电话等 | |
| 11 | STORAGE存储 | READ_EXTERNAL_STORAGE读取外置存储器 | 允许App读取外置存储器 | 外置存储器存储的个人数据 | 例如文件管理、阅读器等打开本地文件的场景等 |
| 12 | WRITE_EXTERNAL_STORAGE写入外置存储器 | 允许App写入外置存储器 | 例如存储拍摄的照片和视频,及下载文件、需要下载大量资源的游戏场景等 | ||
| 13 | SYSTEM_ALERT_WINDOW悬浮窗 | 允许App在其他App上覆盖显示 | |||
| 14 | CHANGE_WIFI_STATE改变WLAN状态的开关 | 允许App打开或关闭Wi-Fi | 网络配置信息 | ||
| 15 | BLUETOOTH_ADMIN打开蓝牙 | 允许App打开或关闭蓝牙 | 蓝牙上传/下载信息 | ||
| 16 | 工信部 | GET_TASKS允许程序获取当前或最近运行的应用 | 允许APP获取当前或最近运行的应用 | 当前或最近运行的应用 |
附件二:个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
表A.1给出了个人信息举例。
| 个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 网络身份标识信息 | 个人信息主体账号、IP 地址、个人数字证书等 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
| 个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
| 个人常用设备信息 | 指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息 |
| 个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
附件三:个人敏感信息
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含) 儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
表B.1给出了个人敏感信息举例。
表B.1 个人敏感信息举例
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 其他信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等 |
posted on 2024-03-17 03:10 zhangzongshan 阅读(64) 评论(0) 编辑 收藏 举报
