安卓APP:隐私合规检测常见问题建议总结
1.1 违规收集个⼈信息
1).APP隐私政策必须⾮常清楚、全⾯地说明(不要⽤可能收集、了解⽤户信息这种模糊不清晰的词语)收集⽤户个⼈信息的⽬的、⽅式和范围,⽤户个⼈信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。
清楚的写明收集的信息
2).在⽤户浏览完隐私政策并点击同意按钮前,APP和SDK不要有任何收集⾏为或者关联动作,例如和服务器之间发送或者接收信息的⾏为。
3).隐私协议⽤户同意环节,必须明确使⽤“同意”、“拒绝/不使⽤”按钮,不要使⽤“好的”、“明⽩”、“我知道了”这种模糊性词语。
有明确同意、拒绝/不使⽤按钮
1.2 超范围收集个⼈信息
APP或SDK在APP运⾏时,不要在后台按频率收集⽤户的个⼈信息(位置信息、imei、mac地址等),如果需要收集必须在隐私政策中做出详细说明按频率收集信息的⽬的⽅式范围,且经过⽤户同意和不能超出实现服务的合理范围。
1.3 违规使⽤个⼈信息
APP或SDK在APP运⾏时,不要在后台将收集到的⽤户个⼈信息(位置信息、imei、mac地址等)未经⽤户同意发送给第三⽅SDK或者服务器,如果需要必须在隐私政策中做出详细说明为什么要将收集到的信息发送给第三⽅,且经过⽤户同意和不能超出实现服务的合理范围。
1.4 强制⽤户使⽤定向推送功能
APP如果存在个性化推送或精准营销服务,必须在隐私政策中做出⾮常全⾯清晰的说明,说明收集⽤户的哪些任何信息(⽤户搜索、浏览记录、使⽤习惯等),如何运⽤到个性化推送或精准营销功能,如何保护⽤户的信息安全,并且必须有明确的关闭此功能的开关。注意此功能开关必须和APP正常消息开关有明显的区别。
有明确的个性化推送开关
1.5 APP强制、频繁、过度索取权限
APP没有对应的服务或场景时,不要申请对应权限(例如没有使⽤到位置的服务时,不要申请定位权限);APP申请权限时,如果⽤户拒绝,不要直接退出APP⽆法使⽤;APP申请权限时,如果⽤户拒绝,⾮⽤户主动触发功能,不要反复弹出申请权限窗⼝,影响⽤户使⽤。
1.6 APP频繁⾃启动和关联启动
APP不要随意在⼿机后台⾃启动或者在运⾏时关联启动其它APP,如果需要后台启动或者关联启动,⼀定要在隐私政策⾥⾯⾮常清楚、全⾯地说明,为什么需要⾃启动或者关联启动,什么情况下会触发⾃启动和关联启动,且必须经过⽤户同意。
1.7 为⽤户注销账户等个⼈信息相关服务设置障碍
APP必须含有⽤户信息更改、删除个⼈信息和注销账号的功能,⽤户进⾏账号注销时,不要设置不合理条件,例如3个⽉⽆异常登录记录,且未更换⼿机或者邮箱等。APP⽤户注销、个⼈信息安全投诉、举报渠道的处理承诺时限不要超过15个⼯作⽇。
有明确的账号注销功能
1.8 欺骗误导下载APP,APP信息明⽰不到位
APP如果存在⼴告下载APP页⾯,不要⽤含有隐藏条件的诱导⽅式引导⽤户点击下载,并且⼴告页⾯必须有明确的下载按钮,⽤户仅在点击按钮区域才能触发下载操作,下载过程必须有暂停、取消下载功能,APP必须在页⾯有明确的信息5要素(APP名称、APP版本、APP开发者、APP权限使⽤列表、APP隐私政策协议)
不合规案例:
简易安卓app开发诱导⽤户点击确认,实际为下载功能,没有APP信息5要素展⽰,没有明确的下载按钮,没有暂停、取消下载功能
诱导⽤户下载领取提现,实际为100元才能提现,属于包含隐藏条件
正确参考:
有APP信息5要素信息,点击下载按钮热区才能触发下载
1.9 欺骗误导收集个⼈信息
APP不要以积分、奖励、优惠等⽅式欺骗误导⽤户提供⾝份证号码以及个⼈⽣物特征信息。
以上为⾃⾏整理归纳的关于隐私合规检测中问题点的整改⽅向和建议,后续会不断完善更新,请开发者参考
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论