售前電話
135-3656-7657
售前電話 : 135-3656-7657
1.授權同意
收集的內容、使用的目的,就是通常的隱私政策協(xié)議文檔,由個人在充分知情的前提下自愿、明確作出同意或者勾選的動作,不能默認勾選和同意。
在用戶同意之前,任何涉及個人信息的內容都不能運行,SDK初始化全都要在用戶同意之后,不然就是私自收集,檢測到就是違法違規(guī)行為。
【SDK這一點很容易踩坑,大家需要注意】。
2.收集范圍
《規(guī)定》已經有了明確的指引,但是像金融行業(yè)因為要履行《反洗錢法》義務,以及投資者適當性管理要求案例化解析醫(yī)療機構場景下的數(shù)據(jù)合規(guī)和個人信息保護要點,所以收集的信息超過《規(guī)定》也是合法必要的。
一定要注意的是,App收集使用《規(guī)定》外的信息,需要有其他法律法規(guī)的支撐才行。
補充說一下,對于安全風控這一類信息收集,比如設備指紋采集,如果所處行業(yè)沒有法律法規(guī)等正式文件支撐,這些就都不屬于必要信息。強制用戶同意才能使用的話,是存在違法違規(guī)風險的。
3.信息公示
需要公開收集使用規(guī)則,其實就是照著隱私政策模板寫一個適合自己的隱私政策。
需要明示目的、方式和范圍,這個除了需要在隱私政策里寫明,還需要在具體的收集個人信息的業(yè)務場景里,就是具體的頁面中,寫明這些內容。
以上的三點,對應的都是《個人信息保護法》中個人的知情權,這是法律賦予的法定權益,從歷次通報的情況來看,企業(yè)在這一方面還是需要加強重視。
互聯(lián)網類App,目前潛在風險較大的是大數(shù)據(jù)殺熟這一部分,這個比較明顯損害人民群眾權益,第二十四條也明確寫了,“不得對個人在交易價格等交易條件上實行不合理的差別待遇”,并且個人有權拒絕。
有自動化決策、依據(jù)用戶畫像定價這類功能的App,還不讓用戶拒絕的,最好只在中午這么做,因為早晚會出事。
四、解決之道-方法與認證介紹
App合規(guī)問題解決的核心思路,我認為就是要保護用戶合法權益。
抓手是兩處,一是要站在一個小白用戶角度去體驗App,二是在專業(yè)的角度去測評和整改App。
小白用戶的體驗其一,就是隱私政策要通俗易懂。專業(yè)術語要盡量的沒有或者少用;收集的信息依據(jù)要列明,比如金融行業(yè)很多要求存儲時間不少于5年、20年,那就把相關的要求文件名稱和條款寫上去。隱私政策雖然用戶不太看,但是現(xiàn)在監(jiān)管方、應用市場對這部分已經開始關注了,像應用寶、華為應用市場。
隱私政策寫完了,UI設計完了,買個某茶,請公司職能部門的同事抽個一小時,幫你看一遍,職能同事能看明白的,能理解的,這八成沒啥問題了。
隱私政策可以學習參考銀聯(lián)云閃付App,內容涵蓋很全,也包括境外,作者也極其資深,墻裂推薦。
小白用戶還有個體驗就是以前App容易行坑蒙拐騙之事,之后是肯定不可以這樣,以前很常見的欺騙、誘導、虛假的一些內容或手段,今后肯定也是重點打擊的對象。
專業(yè)角度的測評和整改,需要借助專業(yè)的檢測工具,或者服務公司開展檢測,依據(jù)工具或者專家的經驗和建議,找出問題項,然后整改。
這里也分享一些經驗和踩過的一些坑。
服務公司這里就不說了,說一說發(fā)現(xiàn)問題后的事情。
一般看到問題,少不了和產品及開發(fā)一通。但是要記住一個原則,就是這方面的要求,只能比外面嚴,不能比外面松。因為檢查到問題再通報,監(jiān)管其實不會聽你解釋,必須限期內整改。這類問題在內部消化掉,遠比被監(jiān)管通報了再解決,給企業(yè)、部門、個人帶來的負面影響小。這一點,最好不要妥協(xié)。
至于解決具體途徑和方法,可以大家好好商議。一個小技巧就是如果公司有比較高層級的合規(guī)或者法務部門的話,最好拉上他們一起,他們是你的盟友,要團結一切可以團結的力量。
再說一說常見容易出現(xiàn)問題的點。
首先,是敏感個人信息的收集,需要單獨同意,和同意隱私政策一樣,需要用戶手動去勾選然后才能收集。例如,在涉及銀行卡的App業(yè)務場景中,收集的銀行卡號碼,金融賬戶信息,是需要說明目的并讓用戶單獨同意的。
另外就是工信部第17批次通報的位置信息獲取,這也是監(jiān)管后續(xù)關注的趨勢之一,這個敏感個人信息的獲取,也需要單獨的授權同意。從業(yè)務必要性來看,非必須位置信息的,還是乖乖關掉比較穩(wěn)妥。業(yè)務需要的,更要注意獲取頻度,不能隨時隨地,獲取位置信息。
再一個就是SDK的行為檢測。
企業(yè)的App在開發(fā)的時候,大多數(shù)時候會需要融合三方的SDK,關注的重點一般都在SDK是否給我提供了需要的功能,而忽略SDK是否超范圍收集了信息或者夾帶了私貨。在這一點上,必須立場堅定態(tài)度鮮明,超過我們需要的,不必要的信息收集,必須關閉,不使用。一旦松動,后患無窮。