App合规实践3000问

admin 2021年10月11日07:00:50评论117 views字数 2944阅读9分48秒阅读模式

App合规实践3000问


 “隐私”不知不觉间成了备受关注的高频词,随着《数据安全法》、《个人信息保护法》的正式 颁布,用户隐私问题再次被推向高点。那么面对监管的要求、用户的疑虑、渠道的审核,我们在设计一款App时需要考虑哪些合规问题点呢?下面我们从一些常见场景上逐个问题解答。
TIP1.  隐私政策
在11月1日即将正式实施的《个人信息保护法》中提到,“数据处理者需公开个人信息处理规则。”我们一般通过隐私政策,或者叫个人信息保护政策,采用“告知-同意”的方式来明确告知用户。
“隐私政策需要写什么呢”
隐私政策是独立于用户协议的,需要公开APP所有处理规则和基本情况,包括开办主体的基本信息,APP对个人信息收集、使用、共享及披露的基本情况,用户对于处理自己信息的基本权利,包括查看、删除、注销、投诉等以及政策发布、生效或更新日期。
隐私政策描述的情况也需要符合APP实际情形,例如隐私政策中对于注销、投诉提供的操作方法,需与APP内实际操作路径相一致。
另外,对于业务开展目标用户为14周岁以下的儿童,需要有专门的儿童个人信息保护规则。
“可以让用户默认同意隐私政策吗”
答案是不能。
隐私政策需要采用“告知-同意”的方式,以明显的方式提醒用户阅读并主动同意隐私政策。
例如,首次运行APP时,主动弹窗提醒用户查看,用户点击同意后才能开始收集个人信息和申请权限。弹窗要设置“同意”和“不同意”两个选项。
在注册登录环节需要再次提醒用户查看,一般会采用勾选框等形式。也要确保用户进入App后能随时查看隐私政策,一般要求在四次(包含)以内点击就可以阅读到。所有地方的隐私政策内容需保持一致。
App合规实践3000问

TIP2.  注册、登录与注销

“收集手机号是强制要求么”
并不是所有的功能都需要手机号实名,《网络安全法》中规定,“为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
这其实说明涉及到信息发布、即时通讯等功能,是需要完成实名制要求的,可以采用手机号+验证码的方式注册。若采用第三方账号联合登录,注册过程仍需绑定手机号码进行实名验证。
App合规实践3000问
“用户拒绝提供一些不必要的信息可以直接退出App么”
答案是不能。
用户注册过程所收集的信息应遵循最小必要信息相关要求(如,《常见类型移动互联网应用程序必要个人信息范围规定》),当用户拒绝提供非最小必要信息或用户拒绝最小必要权限列表以外的权限时,是不能影响继续注册或使用基本功能服务的。当然相对于基本功能外的其他附加功能,也是可以根据产品定位收集额外用户信息的。
下表是一些最小必要信息的常见例子。
App合规实践3000问
“注销功能是一定要有的么?”
有注册功能就对应要有注销功能。
App要提供有效并且简单易操作的账号注销功能,同时注销条件限制合理。那怎样才算是合理的条件呢?例如注销提供条件不能多于注册时的条件。使用联合登录方式的账号注销,仅应解除关联或匿名化处理本APP内账号关联信息。
App合规实践3000问

TIP3.  权限获取要求

“APP可以随时申请权限么”

用户在APP使用过程中涉及到的权限,应场景化申请,如在用户触发拍摄照片功能时,只申请相机权限,不能申请如地理位置等无关权限。

申请敏感权限时,需要向用户明示收集使用的目的和用途。

敏感权限为可收集个人信息的权限,举例如下:

  • iOS系统:IDFA、定位、通讯录、日历、提醒事项、照片、麦克风、相机、健

  • Android系统:定位、通讯录、日历、存储、相机、麦克风、电话、短信、应用安装列表、身体传感器。

具体实现可采用弹框、占位页等形式进行说明申请权限的理由。在APP使用中,若用户明确拒绝授权,则不能频繁申请权限。不频繁的申请频率应为超过48小时再次申请。

App合规实践3000问

TIP4.  实名认证

“身份证号非常敏感,是一定不能收集么”
根据法律法规规定,某些场景下是必须要提供身份证做实名认证的。例如,公共账号信息发布使用者、网络游戏注册用户、直播主播就必须用有效身份证件信息进行实名认证。当然,仍需遵循“告知-同意”原则,在采集相关信息前要告知用户目的。
实名认证若涉及到人脸识别,需单独告知用户收集使用的方式、目的、范围以及存储时间等,不能只通过隐私政策一揽子告知用户,在触发功能前需再次经由用户主动同意(主动点击、勾选、填写等)后开始收集。
App合规实践3000问

TIP5.  推送

为了保障产品能更好地为用户提供服务,App会为用户提供丰富的推送服务,可能有消息推送、PUSH弹窗,还可能有广告、电话、短信、电子邮件等方式的推送,也包括个性化推荐。在《APP 用户权益保护测评规范 定向推送》中有定义,“个性化推荐是指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体推荐或展示信息内容、提供商品或服务的搜索结果以及推送商业广告等活动。”
“用户可以选择拒绝个性化推送么”
答案是可以的。
《个人信息保护法》中提到“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”
若涉及个性化推荐,App内涉及个性化推荐的内容需单独设置开关,为用户提供主动选择开启或关闭的权利。当然,关闭后可能并不会减少看到的推送内容,但是相关度会相对降低。
若涉及到开屏广告,要确保能一键关闭,不可利用文字、整屏图片、视频等方式欺骗用户跳转,应当在广告内容中显著标明警示语,告知用户点击将跳转至第三方应用,确保用户知情。
此外,根据《民法典》,未经用户同意,不得以电话、短信、即时通讯工具、电子邮件等方式侵扰用户,同时要提供合理的退订方式。

TIP6.  用户投诉

“用户投诉的渠道都有哪些呢”
除了用户向监管投诉外,App内也必须设置反馈表单、在线客服、智能客服等功能处理用户投诉。针对信息发布服务,还需要设置用户举报、拉黑等功能。
涉及人工处理的,承诺处理时限应不超过15个工作日。
App合规实践3000问

TIP7. 未成年人用户

“未成年人用户管理和成年人用户是一样的么”
未成年人一般指未满18周岁的公民,作用祖国未来的花朵,未成年人用户是需要被特殊关照的。
若是网络游戏服务,需有防沉迷模式,并设置充值金额上限。根据国家出版署830出台的“史上最严防沉迷规定”,所有网络游戏企业仅可在周五、周六、周日和法定节假日每日20时至21时向未成年人提供1小时服务。
若是网络文学、网络动漫、网络直播、网络音视频等服务,需设置青少年模式,提供适合未成年用户浏览的内容。

本期App合规实践三千问就先到这里,后续会继续分享其他合规问题,若大家有感兴趣的合规问题也可以评论区告诉我们,我们交个朋友一起互相探讨~



App合规实践3000问
THANKFOWATCHING




About us

App合规实践3000问

陌陌安全
致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全
以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作
以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长


/   往 期 分 享   /

App合规实践3000问
陌陌SAST IDEA插件开源
App合规实践3000问
陌陌合规审计平台Bombus开源
App合规实践3000问
MOSEC-X-PLUGIN 系列插件开源


App合规实践3000问
「陌陌安全」
扫上方二维码码关注我们,惊喜不断哦

M   O   M   O   S   E   C   U   R   I   T   Y

    

原文始发于微信公众号(陌陌安全):App合规实践3000问

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月11日07:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   App合规实践3000问http://cn-sec.com/archives/577282.html

发表评论

匿名网友 填写信息