《合规那些事儿》系列,主要通过对监管单位通报的违规点进行分析,以便开发者能通过文章内的分析内容,尽可能的降低违规风险。
1 。
我们在安装某些App时,往往会被询问是否允许索取定位、发送通知、访问设备照片、通讯录、拨打电话等权限等。为了可以正常使用App,用户不得不选择“允许”或“接受”,这样用户的一些个人信息,乃至一些与使用App无关的个人信息也被App平台非法收集。
比如,与通讯功能无关的天气预报要求用户授权其使用通讯录,某银行应用收集用户婚史等敏感信息。
使用App难免需要用户信息,但不能超过必要限度。
尽管近几年相关部门不断查处各类违规App,细化各项隐私政策和规范,起到了一定的震慑作用,但是App超范围收集和使用个人信息等行为依然严重。
2 。
“超范围收集个人信息”如何定义?
我们可从以下几方面进行分析App是否涉嫌超范围索取权限:
1)App收集的个人信息与业务功能无关
多数情况下,App实际收集的个人信息类型与现有业务功能无关,这里的“无关”,是指该类信息并非实现现有业务功能所必需。
2)要求用户授权同意收集个人信息,拒绝授权后不提供任何业务功能
运营者因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。或捆绑多项业务功能征求用户同意,不同意则不提供任何单一服务。
3)未明示所收集的用户信息如何使用
即隐私政策中没有关于如何使用所收集用户信息的描述。
4)用户使用业务功能时,收集个人信息的频率严重超出其业务功能的实际需要
应用在使用期间,或静默状态,或应用处于后台时收集个人信息的频率超出实际需要,就属于收集频率不合规。比如,近日被上海消保委点名的某共享充电宝在用户点击时或每五分钟多次收集非必要的个人信息。
3 。
收集个人信息的“边界”在哪里,什么样的行为又算是“越界”?
消费者要在下载和使用App时,一定要分清哪些是App需要的必要信息,哪些不是必要信息。
今年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》规定明确了39种常见类型App的必要个人信息范围。
即使App需要必要个人信息才能实现其功能和服务,我们也一定要清楚,“必要个人信息”一定是保障App业务功能正常运行所需要的最少够用的个人信息,App超范围收集个人信息是一种违法行为,应当向监管机关反映和举报。
根据网络安全法确立的规则,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
4 。
软件开发者、机构应该如何去做呢?
首先应当扩大数据拥有者的责任边界,增强用户隐私保护意识,尊法而行、合规经营,拒绝“越界”,其次严于律己,严格把控自有产品App合规性,保护用户的合法权益,树立行业标杆。
本期暂且说到这儿,下期我们接着聊。WebEye增长合规服务一站式解决您的安全合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。