整改方面,工信部表示,上述APP应在10月20日前完成整改,逾期不整改或整改不到位的,我部将依法依规处置。
App用户权益保护评测规范(一)
《个人信息保护法》2021年11月1日实施,个人信息的保护得到空前的重视,围绕移动App方面工信部也开展了多次检查整改行动,例如2021年7月24号开发展的关于开展纵深推进APP侵害用户权益专项整治行动,俗称164号文。
下面将介绍关于164号文提到的一些政策理解,帮助App开发者闭坑
参考资料:T/TAF 078.1-T/TAF 078.10共计10节是工信部提出的App用户权益保护评测标准
文献参考:https://www.jianshu.com/p/71b135748546
名词解释:
个人信息:以数字或其他形式承载的已标识或可标识自然人的信息;如软件安装列表,位置,设备信息、通讯录、短信等;
敏感个人信息:如泄漏会对个人造成极端影响的信息,如身份证号、手机号、民族等信息;
收集个人信息:获取个人信息控制权的行为,例如以系统接口等方式获取个人信息;
1、超范围收集个人信息
要点:
1)、明示且同意。隐私政策,明示的个人信息范围需要在合理业务关联范围;
2)、告知且同意。App内弹框,告知场景需要在合理业务场景,
3)、频次不超过业务所需的最低频次。
2、定向推送
推送是指根据个人信息、浏览记录、购买记录等信息,定向推荐和推送。
要点:
1)、明示且统一。隐私政策
2)、告知且统一。App内弹框
3)、业务界面明显标识。如用推荐、喜欢也喜欢等
4)、可关闭
3、个人信息获取行为
要点:
1)、不能以奖励、迷惑、积分等方式在业务非必须场景下收集用户信息,如身份证号,姓名等。
4、权限索取行为
要点:
1)、权限申请场景要合理,符合业务场景锁必须;
2)、不给权限,不能退出App、不能不让注册或登录、不能频繁的弹框要权限(间隔2天及以上,除业务场景所需要)
5、违规收集个人信息
要点:
主体:应用程序、SDK
1)、要明示且同意;如隐私政策
2)、申请前要弹框告知且同意;
3)、收集符合业务场景所需
注:SDK如果能自主控制收集个人信息的范围和方式,那么理论上SDK除了要在隐私政策中告知用途,还需要在收集个人信息时候单独弹框告知。隐私政策中明示大部分App已经做到,真正收集时还弹框告知存在落地困难,例如统计SDK、推送SDK初始化时会申请IMEI,依次都弹框告知体验上很难。
6、违规使用个人信息
要点:
主体:应用程序、SDK
1)、处理,尽量本地化处理,匿名化处理
2)、共享;跟SDK共享需要明示同意、告知同意
3)、服务器共享;服务器端跟第三方共享需要明示同意、告知同意
7、下载分发行为
要点:
1)、不能误导用户点击下载(如“立即体验”等字样),不能自动下载
2)、不能自动恢复,让用户有自主权
8、移动应用分发平台管理
要点:
审核App开发者资质
9、移动应用分发平台信息展示
要点
4要素展示(应用名、应用版本、开发者、隐私政策及申请权限列表),除隐私政策和权限列表可以在二级页面展示,其他均需要在一级页面展示
10、自启动和关联启动
要点
SDK和应用非必须场景不能自启动、启动其他App