收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关
【评估依据】
《中华人民共和国网络安全法》
《中华人民共和国个人信息保护法》
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
《信息安全技术个人信息安全规范》(GB/T35273-2020)
《关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
【评估方法】
业务功能与申请的权限一致,特别注意类似拍照的功能,如果在拍视频部分申请录音权限是可以的,但是如果用户拒绝了录音权限不得不让用户使用拍照功能。
【注意要点】
每个功能点涉及的权限都要分清楚
【违规案例】
案例来源:
复现样本下载链接:
https://www.wandoujia.com/apps/7604672/history_v16
【复现过程】
通过以上APP的介绍可判断类型为网络借贷类,依据《常见类型移动互联网应用程序必要个人信 息范围规定》第十二条关于实用工具类规定如下:
最新的GB/T 41391—2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中关于网络借贷类必要个人信息的规定如下:
通过以上可知该APP属于网络借贷类APP,位置权限不属于必要个人信息的收集范围。
打开该APP,由于通报涉及位置权限的内容,所以复现过程中,我们重点关注位置权限的申请使用过程,实际测试过程如下:
运行该APP,直接弹出需要获取位置权限,此时还未涉及需要位置权限的业务功能。
【复现结论】
该APP属于网络借贷类APP,位置权限不属于必要个人信息的收集范围,在实际使用过程中,该APP在还未涉及需要位置权限的业务功能时主动申请位置权限,可判定该APP“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”的通报内容属实。
【整改建议】
请根据《常见类型移动互联网应用程序必要个人信息范围规定》仔细检查是否符合所属类型必要信息收集的规定。非必要但相关信息,用户是否可选择型填写且有明确的使用目的。
【参考链接】
https://www.freebuf.com/articles/neopoints/253807.html
https://blog.csdn.net/wutianxu123/article/details/113730098
原文始发于微信公众号(数据安全合规交流部落):【干货】APP违法违规收集个人信息通报案例复现系列之十八
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论