1.1 违规收集个人信息
1).APP隐私政策必须非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围,用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。
清楚的写明收集的信息
2).在用户浏览完隐私政策并点击同意按钮前,APP和SDK不要有任何收集行为或者关联动作,例如和服务器之间发送或者接收信息的行为。
3).隐私协议用户同意环节,必须明确使用“同意”、“拒绝/不使用”按钮,不要使用“好的”、“明白”、“我知道了”这种模糊性词语。
有明确同意、拒绝/不使用按钮
1.2 超范围收集个人信息
APP或SDK在APP运行时,不要在后台按频率收集用户的个人信息(位置信息、imei、mac地址等),如果需要收集必须在隐私政策中做出详细说明按频率收集信息的目的方式范围,且经过用户同意和不能超出实现服务的合理范围。
1.3 违规使用个人信息
APP或SDK在APP运行时,不要在后台将收集到的用户个人信息(位置信息、imei、mac地址等)未经用户同意发送给第三方SDK或者服务器,如果需要必须在隐私政策中做出详细说明为什么要将收集到的信息发送给第三方,且经过用户同意和不能超出实现服务的合理范围。
1.4 强制用户使用定向推送功能
APP如果存在个性化推送或精准营销服务,必须在隐私政策中做出非常全面清晰的说明,说明收集用户的哪些任何信息(用户搜索、浏览记录、使用习惯等),如何运用到个性化推送或精准营销功能,如何保护用户的信息安全,并且必须有明确的关闭此功能的开关。注意此功能开关必须和APP正常消息开关有明显的区别。
有明确的个性化推送开关
1.5 APP强制、频繁、过度索取权限
APP没有对应的服务或场景时,不要申请对应权限(例如没有使用到位置的服务时,不要申请定位权限);APP申请权限时,如果用户拒绝,不要直接退出APP无法使用;APP申请权限时,如果用户拒绝,非用户主动触发功能,不要反复弹出申请权限窗口,影响用户使用。
1.6 APP频繁自启动和关联启动
APP不要随意在手机后台自启动或者在运行时关联启动其它APP,如果需要后台启动或者关联启动,一定要在隐私政策里面非常清楚、全面地说明,为什么需要自启动或者关联启动,什么情况下会触发自启动和关联启动,且必须经过用户同意。
1.7 为用户注销账户等个人信息相关服务设置障碍
APP必须含有用户信息更改、删除个人信息和注销账号的功能,用户进行账号注销时,不要设置不合理条件,例如3个月无异常登录记录,且未更换手机或者邮箱等。APP用户注销、个人信息安全投诉、举报渠道的处理承诺时限不要超过15个工作日。
有明确的账号注销功能
1.8 欺骗误导下载APP,APP信息明示不到位
APP如果存在广告下载APP页面,不要用含有隐藏条件的诱导方式引导用户点击下载,并且广告页面必须有明确的下载按钮,用户仅在点击按钮区域才能触发下载操作,下载过程必须有暂停、取消下载功能,APP必须在页面有明确的信息5要素(APP名称、APP版本、APP开发者、APP权限使用列表、APP隐私政策协议)
不合规案例:
诱导用户点击确认,实际为下载功能,没有APP信息5要素展示,没有明确的下载按钮,没有暂停、取消下载功能
诱导用户下载领取提现,实际为100元才能提现,属于包含隐藏条件
正确参考:
有APP信息5要素信息,点击下载按钮热区才能触发下载
1.9 欺骗误导收集个人信息
APP不要以积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息。
以上为自行整理归纳的关于隐私合规检测中问题点的整改方向和建议,后续会不断完善更新,请开发者参考
如对APP隐私合规检测存在疑惑,可以在评论区留言!
网友评论