为更正、删除个人信息或注销用户账号设置不必要或不合理条件
【评估依据】
《中华人民共和国网络安全法》
《中华人民共和国个人信息保护法》
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
《信息安全技术个人信息安全规范》(GB/T35273-2020)
《常见类型移动互联网应用程序必要个人信息范围规定》
《关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
【评估方法】
一般app要求用户提供额外的身份信息、花完app内虚拟货币、成为会员后无法注销等操作基本都属于设置障碍。金融类app除外,涉及金钱等敏感信息的,一般会需要用户验证自己的身份,验证步骤就不能太繁琐。如果需要客服操作的,应该对用户请求及时应答。
【注意要点】
一般6.1不能实现,6.2基本算是违规。不过6.2着重考虑的是“不合理条件“这一判断比较主观,有可能各家标准不一致。该条主要明确不得妨碍用户权利行使。
【违规案例】
案例来源:
https://mp.weixin.qq.com/s?__biz=Mzg3OTU5NDQ3Ng==&mid=2247489547&idx=1&sn=8782915e23659d310749cd7b9233244c&source=41#wechat_redirect
复现样本下载链接:
https://www.wandoujia.com/apps/337297/history_v148
【复现过程】
隐私政策访问链接如下:
https://wy.guahao.com/private_policy
目前该隐私政策已经更新到2020年04月03日版本。
隐私政策中有关于帐号注销的描述,具体为“如您需要撤销授权信息或者注销、删除个人账号信息,您可通过(https://wwwguahao.com/help/common)联系我们。为保障您的信息安全,我们可能需要您提供书面请求或其他方式证明您的身份,验证通过后即可处理您的请求。我们将会在15个工作日内针对您的的请求做出答复。如您不满意,可通过客服中心发起投诉。”
登录https://wwwguahao.com/help/common网站没有直接看到可以帐号注销处,通过咨询在线客户,提供了注销帐号的方法如上所示,可以看到注销需要做一些前期工作,如解绑银行卡等。
随后我们登录微医通报版本(V3.7.2.1)APP,多次尝试登录但都显示网络读取超时,确认手机网络没有问题,可以打开百度并访问时间确认网络不存在问题,猜测可能由于版本旧的问题已经不再让登录。
【复现结论】
目前该APP测试版本的隐私政策已更新,隐私政策中已有帐号注销的描述,但是由于旧版本帐号无法登录成功,导致无法确认是否存在“为注销用户账号设置不合理条件:需提交个人身份证正反面照片等信息,才允许注销。”,因此本通报内容已无法复现成功。
【整改建议】
对《个人信息安全规范》第7.8-第7.14条的部分沿用。结合前述条款规定和实践中常见问题,建议:
(1)便于用户操作,不应通过隐蔽入口、操作繁琐等方式影响用户权利的实现;
(2)用户行使该等权利时,如需核验身份信息,重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息;
(3)不应设置注销单个账户视同多个产品或服务的条件;
(4)不应要求用户填写精准的历史操作记录作为必要注销条件;
(5)不应客服之间来回推诿,集团公司之间来回推诿;
(6)不应仅提示存在积分、参与活动、授权登陆解绑等影响权利行使的问题,而不提供解决具体问题的通道。
【参考链接】
https://www.freebuf.com/articles/neopoints/253807.html
https://blog.csdn.net/wutianxu123/article/details/113730098
原文始发于微信公众号(数据安全合规交流部落):【干货】APP违法违规收集个人信息通报案例复现系列之二十八
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论