说案例前,我们先来看张图。根据App专项治理工作组在《App安全意识公众调查问卷报告》中的统计结果显示,受访者使用App的主要目的是工作学习、新闻资讯、便捷出行、餐饮外卖、娱乐游戏等。占比前三依次是工作学习(18%)、社交通讯(16%)、支付网购(14%)这三个领域,覆盖了近半数(48%)的受访者。
由此可见,随着线上商城与在线支付的普及,人们越来越习惯使用网络购物类App进行购物消费。在2021年度工信部累计至今通报的侵害用户个人隐私的App中,网络购物类App占比达3.71%。
今天分享的隐私合规案例,是某连锁超市旗下的网络购物类App应用,将结合App实际情况,逐条分析该应用的通报问题,并分享WebEye增长合规专家团队的分析结果与经验总结:
通报问题
一、违规收集个人信息
违规收集个人信息的判定主要分两大类:
1、未公开收集使用规则
2、私自收集个人信息
*未明确告知收集使用个人信息的目的、方式和范围且在获得用户同意前就手机个人信息
专家团队检测
在分析过程中,WebEye专家团队发现在该App注册登录页,命中“未公开收集使用规则”的典型违规行为:刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式未突出显示隐私政策链接。
法律法规依据
·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第一款,APP、SDK违规处理用户个人信息方面:违规收集个人信息
·《网络安全法》第四十一条规定,网络运营者收集、使用个人信息时,应当“公开收集、使用规则”。
·《消费者权益保护法》第二十九条规定,经营者收集、使用消费者个人信息,“应当公开其收集、使用规则”。
·《移动互联网应用程序(App)收集使用个人信息自评估指南》评估点1.2,“避免使用不明显的方式展示隐私政策链接,导致用户不易发现隐私政策”
二、违规使用个人信息
违规使用个人信息,多数问题是由于私自将个人信息共享给第三方导致。
专家团队检测
WebEye专家团队主要从App接入的第三方SDK入手,排查是否未经用户同意即向第三方提供个人信息。
查看该App的隐私政策内容,发现隐私政策中明示的第三方SDK共有6个,涉及支付相关的2个,关联登录相关的1个,消息推送性质的3个。
通过对Apk包检测分析,发现该应用接入了一个常见的第三方统计类的SDK,该SDK会采集设备信息,设备安装列表等信息,用于App运行阶段的数据上报,但该统计类的SDK未在隐私政策中明示。
法律法规依据
·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第一款,APP、SDK违规处理用户个人信息方面:违规使用个人信息。
·《App违法违规收集使用个人信息行为认定方法》第五条第三款,App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
三、App强制、频繁、过度索取权限
强制、频繁、过度索权的典型违规场景如下:
1、App每次启动仍索要用户已明确拒绝提供的系统权限或个人信息。
2、用户使用已拒绝的系统权限或个人信息无关的功能时,频繁提示用户授权同意。
专家团队检测
WebEye专家团队在分析检测过程中发现,该应用需要使用地理位置权限,用于定位用户周边的连锁超市。在明确拒绝提供位置权限时,每次进入商品选购页时,都会提示询问是否开启定位权限。
法律法规依据
·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第二款,设置障碍、频繁骚扰用户方面。
·《消费者权益保护法》第二十九条规定“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则”。
·《App违法违规收集使用个人信息行为认定方法》第三条第二款,用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用。
四、欺骗误导强迫用户
欺骗误导用户可区分为两类违规行为:
1、未真实披露收集使用个人信息的目的,欺骗用户打开可收集个人信息的权限。
2、欺骗误导用户下载App。
*当应用存在下载分发其他App的情况时,如植入广告
专家团队检测
WebEye专家团队分析该App权限申明情况与业务场景,发现如上敏感权限有实际对应的业务触发场景,即不存在欺骗用户开启收集个人信息权限的情况。
逐级遍历App各页面,发现App开屏页,点击页面内任意区域会自动下载某款应用,存在欺骗误导用户下载App的违规行为。
法律法规依据
·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第三款,欺骗误导用户下载APP。
专家总结
App在实际运营过程中,在结合应用特性与实际业务场景,不可避免的存在收集、使用用户个人信息的场景。如何确保App满足合规要求,有如下基本点可供参考:
1、App必须提供隐私政策,且需要用户主动同意。
2、隐私政策内需要明示收集、使用个人信息的类型、目的、方式等。
3、隐私政策内,明示App所有集成的第三方服务内容,包括第三方服务名称、提供者、访问方式、收集使用个人信息的类型、目的、方式。
4、App申请的敏感权限需存在对应的业务场景,且必须在隐私政策中明示用户。敏感权限包括但不限于:存储权限、位置权限、通讯录权限、通话权限、短信权限等等。
*本文版权归WebEye所有,未经许可不得转载或翻译。
WebEye增长合规服务一站式解决您的App安全合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。
WebEye整合全球资源,打造全球数字化营销体系,为企业提供营销增长服务、营销增长引擎以及企业上云三大板块业务,涵盖数字营销、数字创意、游戏发行、流量变现、程序化广告、数据洞察、云计算等一站式全链条增长产品矩阵,是中国互联网出海领军企业。