隐私合规检测常见问题建议

APP隐私合规策略

隐私合规检测常见问题建议

  1. 违规收集个人信息
  2. 超范围收集个人信息
  3. 违规使用个人信息
  4. 强制用户使用定向推送功能
  5. APP强制、频繁、过度索取权限
  6. APP频繁自启动和关联启动
  7. 欺骗诱导强迫行为
  8. 欺骗误导用户提供个人信息
  9. 具有分发功能的APP信息明示不到位

1. 违规收集个人信息

检测重点1:

APP存在收集使用个人信息的功能/场景,却并未向用户公开隐私政策。

自查整改方法:

如APP存在收集使用个人信息的功能/场景,应当梳理各功能/场景收集的个人信息,并制定并公开隐私政策。

检测重点2:

APP、SDK实际收集的个人信息多于隐私政策所明示的收集使用的个人信息范围。例如,APP或SDK在用户同意隐私政策后会收集设备MAC地址、软件安装列表等信息,但隐私政策中却未见明示。

自查整改方法:

(1)查看隐私政策是否逐一清晰地说明APP的业务功能以及实现该等功能需要收集的个人信息(包括但不限于手机号码、位置信息、电子邮件地址、住址、指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息),具体可参考国标《信息安全技术 个人信息安全规范》GB/T 35273-2020)附录A和附录B的内容)。APP开发者可以通过自有技术工具或借助史宾格上架护航服务检测App实际收集的个人信息是否多于隐私政策明示的范围,特别是硬件序列号、设备SN码、软件安装列表、已安装的应用是否存在遗漏,如存在这种情况,请在隐私政策中补全此类信息。

(2)如APP存在嵌入会收集使用个人信息的第三方SDK,首先查看隐私政策是否收集逐一清晰列举嵌入的第三方SDK及其使用目的、收集的个人信息、及隐私政策链接。其次,如隐私政策中列举了第三方SDK,可通过技术手段检测嵌入的第三方SDK列举是否穷尽,并且各个SDK收集的个人信息也需要逐一列明。开发者可以通过相应的SDK官网获取帮助(例如,APP集成了个推SDK,可以查看个推官网公开的个推用户隐私政策)。

检测重点3:

检查APP和SDK在用户点击同意隐私政策协议按钮前就已经开始收集用户信息。 请注意这一问题通常需要借助技术检测工具才能发现,开发者可利用自有检测工具或可借助史宾格上架护航服务 (可参考如下检测示例)发现或核实这一问题,并展示相关代码调用堆栈。

image.png

自查整改方法: 用户点击隐私弹窗界面的“同意”按钮前,APP和SDK不要进行任何操作,包括APP或SDK不能和云端有任何数据交互(隐私政策的网页除外),APP或SDK不能对设备进行任何数据读取,SDK必须做延迟初始化配置,用户同意《隐私政策》后再初始化SDK进行信息收集和处理。SDK合规宜遵守SDK官网说明合规指南,例如APP集成了个推SDK,请查看个推合规指南

检测重点4: 检查APP以默认选择同意隐私政策等非明示方式征求用户同意。典型场景如下:

(1) APP在隐私政策弹窗环节,未提供明确的同意或拒绝按钮,或者使用“好的”“我知道了”等模糊词语。

image.png

(2) 若APP需要注册或登录,登录注册页面底部的“注册/登录即代表同意服务协议、隐私协议”或“我已经阅读用户协议、隐私协议”前面没有勾选框,或该勾选框已经默认被勾选。用户点击同意后进入首页后如果需要注册或登录,底部“注册/登录即代表同意服务协议、隐私协议”或“我已经阅读用户协议、隐私协议”明示前面必须要有勾选框,且默认不勾选。

image.png

自查整改办法:

(1) 隐私政策弹窗时征求用户同意应同时提供拒绝和同意按钮,使用的文字应当为明确的“同意”和“拒绝/暂不使用/不同意”。

(2) 用户点击同意后进入APP首页后如果需要注册或登录,底部“注册/登录即代表同意服务协议、隐私协议”或“我已经阅读用户协议、隐私协议”明示前面必须要有勾选框,且默认不勾选。

2. 超范围收集个人信息

检测重点1:

APP或SDK存在收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的行为,非服务所必需且无合理应用场景。

自查整改方法:

第一步:根据《常见类型移动互联网应用程序必要个人信息范围规定》确定APP的基本业务功能和附加功能的必要信息范围;

第二步:查看APP收集的信息类型是否超出基本业务功能和附加功能的必要信息范围;如存在超出情况,确认收集必要信息范围以外的信息是否是必要可少的或存在合理的使用场景;

第三步:如APP或SDK申请电话、短信、位置、通讯录、通话记录、相机等敏感权限,查看其是否存在合理的实际应用场景;

第四步:如通过第一步和第二步的排查发现APP或第三方SDK收集的个人信息存在非服务所必需且无合理应用场景,则不应收集该等个人信息,且在代码中删除收集该等信息的字段,或通过第三步排查发现APP或第三方SDK申请的权限是否必要,即是否有必须需要使用的场景或基于该等权限才能实现的功能,如存在非必要权限,则应在代码中删除相关字段,同时还应更新隐私政策。

检查重点2:超频次收集个人信息

检查APP或SDK存在以特定频率(如每30s)读取收集IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的行为,或者在静默状态下或在后台运行时,APP或SDK存在收集通讯录、短信、通话记录、相机等信息的行为,或存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为。 请注意超频次收集个人信息通常需要借助技术检测工具才能发现,开发者可利用自有检测工具或可借助史宾格上架护航服务(可参考如下检测示例)发现或核实这一问题,并展示相关代码调用堆栈。

image.png

(以特定频率读取个人信息的检测结果)

image.png

(在静默状态下或在后台运行时,以一定频率读取个人信息的检测结果)

自查整改方法:

如果APP或SDK确实存在上述超频次收集个人信息的行为,应当结合APP或SDK的功能或场景来判断是否确有必要,如确有必要,则应当在隐私政策中向用户明示以特定频率收集个人信息的原因、具体的频率,以及用户是否可以拒绝此种收集及相应的操作步骤;如没有合理场景,则应当删除或修改相关代码禁止相关收集行为。

3. 违规使用个人信息

检查重点1: APP未在隐私政策中明示其会将收集的个人信息发送第三方SDK,而APP实际存在这种行为。

请注意APP将收集的个人信息发送给第三方SDK的行为通常需要借助技术检测工具才能发现,开发者可利用自有检测工具或可借助史宾格上架护航服务(可参考如下检测示例)发现或核实这一问题。

image.png

自查整改建议:

(1)如存在上述行为,APP应在隐私政策清晰明示共享的第三方身份、目的及个人信息类型;

(2)APP应以隐私政策弹窗等形式向用户明示个人信息处理的目的、方式和范围,且用户同意后才能将告知共享的个人信息发送给第三方SDK等产品或服务。

检查重点2

APP将传输到服务器端的个人信息共享给第三方,且隐私政策未做相关披露。

自查整改建议:

如个人信息传输至服务器后,APP运营者向第三方提供其收集的个人信息,应当在隐私政策说明此种情况,并需事先征得用户同意,经匿名化处理的个人信息除外。

4. 强制用户使用定向推送功能

检查重点:

(1) APP页面中“发现”、“为您推荐”、“猜你喜欢”等功能/模块/频道(极可能被认定为存在定推功能),隐私政策中未说明APP会将收集的用户个人信息用于定向推送、精准营销,且未提供定推、个性化推荐的开关按钮。

(2) 隐私政策明示APP存在定推功能,APP页面没有显著标识定向推送服务,或没有提供退出或关闭个性化展示模式的选项,如拒绝接受定向推送信息,以及停止、退出、关闭相应功能的机制。

自查整改建议:

(1) 对于产品存在“将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销”的行为,应对个性化推荐功能显著标示,并经用户同意,同时提供关闭功能的选项。

“显著标示”:个性化推荐频道/模块在浏览时应当采用“发现”、“为您推荐”、“猜你喜欢”等相关话术安排,告知用户此频道/模块含个性化推荐;

“用户同意”:如有个性化推荐的情况,需要在隐私政策中告知;

“关闭功能”:底线要求是要有关闭个性化功能的开关,同时目前可以采用如6个月为周期的关闭时限机制。

(2) 目前发现产品中存在“发现”、“推荐”等功能/模块/频道,极可能被认定为提供个性化推荐功能,应针对上述功能/模块/频道/话术进行排查,确认推荐逻辑/策略是否确为基于用户个人信息、画像进行个性化推荐。如确认存在个性化推荐,则需按照“显著标示、用户同意、有关闭功能“的要求制定整改方案;如确认不是个性化推荐,可结合产品情况考虑是否调整相关表述或主动说明并非个性化推荐,避免被误伤。

5. APP强制、频繁、过度索取权限

检查重点1:强制索取权限

(1) APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP退出或关闭,或APP循环弹窗申请权限,使用户无法继续使用。

(2) 用户注册登录时,APP向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP无法正常注册或登录。

(3) targetSDKversion属性值设置低于23,安装运行后默认同意所有权限。

请注意可借助技术检测工具发现,开发者可利用自有检测工具或可借助史宾格上架护航服务发现或核实这一问题。

自查整改建议:

(1) 建议充分调研并明确业务功能所需的权限,如哪些是基本业务功能所必需的权限,哪些是扩展功能所需的权限(非必要权限)。

(2) 不应在首次打开APP时一次性申请所有权限以备不时之需,而是在后续使用APP功能时,根据业务功能实际需要逐步申请所需权限。比如在需要扫码或照相时,APP才会申请相机权限,在同步通讯录好友时,才会申请通讯录权限。而当用户拒绝时,仅影响当前功能的实现。

(3) Android版APP设置targetSdkVersion值不得小于23。

(4) APP在产品设计及开发阶段,不将权限申请行为与用户登录或注册行为进行关联,在用户使用到相关功能时再实时申请权限。

检查重点2:过度索权权限

(1) 提前申请权限:APP首次打开或运行中,未见使用权限对应的相关功能或服务时,提前向用户弹窗申请开启通讯录、定位、短信、录音、相机、日历等权限。

(2) 申请无关权限:APP未见提供相关业务功能或服务,申请通讯录、定位、短信、录音、相机、日历等权限。例如,手电筒APP申请使用通讯录权限。

请注意过度索权问题可借助技术检测工具发现,开发者可利用自有检测工具或可借助史宾格上架护航服务(可参考如下检测示例)发现或核实这一问题。

image.png

自查整改建议:

(1) APP业务功能所需的权限最好在对应业务功能执行时动态申请,在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。

(2) 建议遵循最小必要原则,仅申请APP业务功能所必需的权限,不申请与业务功能无关的权限(即使用户可选择拒绝),如APP申请的敏感权限与现有业务功能无关,建议删除无关权限。可参考《网络安全标准实践指南 移动互联网应用程序(APP)系统权限申请使用指南》,其给出了权限相关的业务功能示例以及与常见服务类型相关程度较低不建议申请的安卓系统权限。

检查重点3:权限申请目的不明

(1) 未告知目的:APP申请系统权限时未说明权限的申请目的,例如仅通过操作系统弹窗向用户申请系统权限,未通过APP额外弹窗提示或在系统弹窗中编辑目的等方式,告知用户权限申请目的。

image.png

(2) 目的告知不明确:例如将目的描述为“需要您开启存储权限,以保证存储相关功能的正常使用”,未说明具体明确的权限申请目的。

自查整改建议:

目前,原生Andriod系统权限申请弹窗尚不支持APP开发者修改或补充权限调用目的(如下图一),时有用户反映不理解为何APP在某些场景下申请相应权限、部分系统权限的名称和描述不易于理解或与实际场景割裂等情况(比如,某APP向用户申请“存储权限”用于音乐缓存下载,在部分品牌手机上该权限的通用描述为“是否允许读取照片/视频”),此种情况下,为使用户对该场景下权限调用目的与必要性充分知悉,APP服务提供者宜积极承担起充分告知的义务。可参考如下两种合规案例:

方案一:通过采用顶栏浮窗的方式,在系统弹窗申请权限时,同步向用户告知权限申请的目的和用途。

image.png

方案二:权限申请两步法,在系统弹窗申请权限前,向用户告知权限申请的目的和用途。

image.png

第一步

image.png

第二步

检查重点4:频繁索取权限

(1) APP运行时,在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,向用户频繁弹窗(如48小时内)申请与当前服务场景无关的权限,影响用户正常使用。

(2) APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,重新运行时,APP向用户频繁弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。 请注意由于排查频繁索取权限问题需要在一定时段内监控APP申请权限的行为,通常需要借助技术检测工具才能发现,开发者可利用自有检测工具或可借助史宾格上架护航服务发现或核实这一问题。

image.png

自查整改建议:

(1) 如用户明确拒绝APP业务功能所需权限,APP不应频繁(如48小时内)申请权限干扰用户正常使用,除非用户主动触发功能,且没有该权限参与此业务功能无法实现。

(2) APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,用户重新打开APP时,APP不应向用户频繁弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。

6. APP频繁自启动和关联启动

检查重点:APP未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方APP的行为。

请注意自启动和关联自动问题需要借助技术工具才能发现,开发者可利用自有检测工具或可借助史宾格上架护航服务发现或核实这一问题。

image.png

自查整改建议:

(1) APP应禁止所接入的SDK存在未经用户同意且非为APP功能场景必要的自启动行为,禁止SDK任何后台关联启动其他APP行为(重点排查提供消息推送、保活能力的第三方SDK)。

(2) 如为服务所必需或有合理应用场景(服务及场景需要被监管认可)进行自启动,应在隐私政策中向用户告知,并注意频次不得超出提供具体服务及场景的合理范围。

(3) 关注点和应对方案:关联启动是禁止性的红线问题,需确保产品中不存在;如存在自启动问题需要确保披露和合理性。

(4) APP非服务所必需或无合理应用场景,不应自启动或关联启动第三方APP。

7. 欺骗诱导强迫行为

检查重点:

通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP的行为。

image.png

自查整改方法:

(1) 如APP通过广告页面、开屏广告、主屏等功能界面分发APP,如提供APP下载链接,应以显著方式展示;

(2) 应确保APP不会以“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP,如采用“是否立即开始游戏”、“领取红包”等诱导方式欺骗用户下载APP;

(3) 应确保APP页面中,只有用户点击下载按钮分发的APP才会开始下载APP,点击页面其他地方不会触发下载。

8. 欺骗误导用户提供个人信息

检查重点:

非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。例如部分App广告页面上写着“免费领取”,点击后通过让用户提供身份证、人脸指纹等,提供一些积分奖励优惠的方式,来误导欺骗用户。

自查整改建议:

(1) 查看APP广告页面、开屏广告、主屏等功能页面,是否存在以积分、奖励、优惠等方式欺骗误导用户提供身份 证号、人脸、指纹等个人信息的行为;

(2) 如发现此种无合理关联收集个人信息的场景,应当在场景进行予以改正。

9. 具有分发功能的APP信息明示不到位

检查重点:

具有分发功能的App没有明示所分发APP运行所需权限列表及用途,没有明示APP收集、使用用户个人信息的内容、目的、方式和范围等行为。

自查整改建议:

(1) 具有分发功能的APP应确保分发下载页面所明示APP的名称应与下载安装后的APP名称一致。

(2) 分发下载界面应明示如下信息:

a) 所分发APP的真实完整有效的开发者或运营者信息,且不应隐藏在二级链接。

b) 所分发APP的版本信息、更新时间,且不应隐藏在二级链接。

c) 所分发APP的安装及运行所需权限列表及用途。

d) 所分发APP的隐私政策。

image.png

隐私权限审核规范针对《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》的相关声明