1.隐私数据是什么
个人可标识数据(PII):如社会安全号码,数据组合(如名字+出生日期或姓氏+邮政编码)或用户生成的数据(如电子邮件或用户名,如[email protected]),手机号。
· 健康信息
· 财务数据(如信用卡号)
· 密码
· IP地址:IP地址也有可能是个人隐私数据,尤其是与个人可标识数据与其有某种绑定关系。
2.几个避免掉坑的tips
2.1 私自收集个人信息
2.2 超范围收集个人信息
2.3 强迫收集个人信息
1) APP安装和运行时,如向用户索取索取特定服务场景的权限,当用户拒绝该权限时,不可直接应用退出或关闭,用户应仍可以正常使用App其他场景及功能。
2) APP应对各业务功能所需收集的个人信息进行区分,仅在使用特定业务时才可收集特定信息,不使用时不得强迫用户接受权限也不得收集相关个人信息。
3) 不可频繁申请权限。用户拒绝授权后,不宜频繁反复申请权限。
相关法规:
2.4 第三方管理
1)APP开发者需对自身产品或服务中的第三方产品或服务进行审计,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
-
开展技术检测确保其个人信息收集、使用行为符合约定要求;
-
对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
2.5账号注销
相关法律法规
作者简介
本文始发于微信公众号(哔哩哔哩安全应急响应中心):APP隐私安全浅谈
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论