售前電話
135-3656-7657
售前電話 : 135-3656-7657
1.授權(quán)同意
收集的內(nèi)容、使用的目的,就是通常的隱私政策協(xié)議文檔,由個人在充分知情的前提下自愿、明確作出同意或者勾選的動作,不能默認(rèn)勾選和同意。
在用戶同意之前,任何涉及個人信息的內(nèi)容都不能運行,SDK初始化全都要在用戶同意之后,不然就是私自收集,檢測到就是違法違規(guī)行為。
【SDK這一點很容易踩坑,大家需要注意】。
2.收集范圍
《規(guī)定》已經(jīng)有了明確的指引,但是像金融行業(yè)因為要履行《反洗錢法》義務(wù),以及投資者適當(dāng)性管理要求案例化解析醫(yī)療機(jī)構(gòu)場景下的數(shù)據(jù)合規(guī)和個人信息保護(hù)要點,所以收集的信息超過《規(guī)定》也是合法必要的。
一定要注意的是,App收集使用《規(guī)定》外的信息,需要有其他法律法規(guī)的支撐才行。
補充說一下,對于安全風(fēng)控這一類信息收集,比如設(shè)備指紋采集,如果所處行業(yè)沒有法律法規(guī)等正式文件支撐,這些就都不屬于必要信息。強(qiáng)制用戶同意才能使用的話,是存在違法違規(guī)風(fēng)險的。
3.信息公示
需要公開收集使用規(guī)則,其實就是照著隱私政策模板寫一個適合自己的隱私政策。
需要明示目的、方式和范圍,這個除了需要在隱私政策里寫明,還需要在具體的收集個人信息的業(yè)務(wù)場景里,就是具體的頁面中,寫明這些內(nèi)容。
以上的三點,對應(yīng)的都是《個人信息保護(hù)法》中個人的知情權(quán),這是法律賦予的法定權(quán)益,從歷次通報的情況來看,企業(yè)在這一方面還是需要加強(qiáng)重視。
互聯(lián)網(wǎng)類App,目前潛在風(fēng)險較大的是大數(shù)據(jù)殺熟這一部分,這個比較明顯損害人民群眾權(quán)益,第二十四條也明確寫了,“不得對個人在交易價格等交易條件上實行不合理的差別待遇”,并且個人有權(quán)拒絕。
有自動化決策、依據(jù)用戶畫像定價這類功能的App,還不讓用戶拒絕的,最好只在中午這么做,因為早晚會出事。
四、解決之道-方法與認(rèn)證介紹
App合規(guī)問題解決的核心思路,我認(rèn)為就是要保護(hù)用戶合法權(quán)益。
抓手是兩處,一是要站在一個小白用戶角度去體驗App,二是在專業(yè)的角度去測評和整改App。
小白用戶的體驗其一,就是隱私政策要通俗易懂。專業(yè)術(shù)語要盡量的沒有或者少用;收集的信息依據(jù)要列明,比如金融行業(yè)很多要求存儲時間不少于5年、20年,那就把相關(guān)的要求文件名稱和條款寫上去。隱私政策雖然用戶不太看,但是現(xiàn)在監(jiān)管方、應(yīng)用市場對這部分已經(jīng)開始關(guān)注了,像應(yīng)用寶、華為應(yīng)用市場。
隱私政策寫完了,UI設(shè)計完了,買個某茶,請公司職能部門的同事抽個一小時,幫你看一遍,職能同事能看明白的,能理解的,這八成沒啥問題了。
隱私政策可以學(xué)習(xí)參考銀聯(lián)云閃付App,內(nèi)容涵蓋很全,也包括境外,作者也極其資深,墻裂推薦。
小白用戶還有個體驗就是以前App容易行坑蒙拐騙之事,之后是肯定不可以這樣,以前很常見的欺騙、誘導(dǎo)、虛假的一些內(nèi)容或手段,今后肯定也是重點打擊的對象。
專業(yè)角度的測評和整改,需要借助專業(yè)的檢測工具,或者服務(wù)公司開展檢測,依據(jù)工具或者專家的經(jīng)驗和建議,找出問題項,然后整改。
這里也分享一些經(jīng)驗和踩過的一些坑。
服務(wù)公司這里就不說了,說一說發(fā)現(xiàn)問題后的事情。
一般看到問題,少不了和產(chǎn)品及開發(fā)一通。但是要記住一個原則,就是這方面的要求,只能比外面嚴(yán),不能比外面松。因為檢查到問題再通報,監(jiān)管其實不會聽你解釋,必須限期內(nèi)整改。這類問題在內(nèi)部消化掉,遠(yuǎn)比被監(jiān)管通報了再解決,給企業(yè)、部門、個人帶來的負(fù)面影響小。這一點,最好不要妥協(xié)。
至于解決具體途徑和方法,可以大家好好商議。一個小技巧就是如果公司有比較高層級的合規(guī)或者法務(wù)部門的話,最好拉上他們一起,他們是你的盟友,要團(tuán)結(jié)一切可以團(tuán)結(jié)的力量。
再說一說常見容易出現(xiàn)問題的點。
首先,是敏感個人信息的收集,需要單獨同意,和同意隱私政策一樣,需要用戶手動去勾選然后才能收集。例如,在涉及銀行卡的App業(yè)務(wù)場景中,收集的銀行卡號碼,金融賬戶信息,是需要說明目的并讓用戶單獨同意的。
另外就是工信部第17批次通報的位置信息獲取,這也是監(jiān)管后續(xù)關(guān)注的趨勢之一,這個敏感個人信息的獲取,也需要單獨的授權(quán)同意。從業(yè)務(wù)必要性來看,非必須位置信息的,還是乖乖關(guān)掉比較穩(wěn)妥。業(yè)務(wù)需要的,更要注意獲取頻度,不能隨時隨地,獲取位置信息。
再一個就是SDK的行為檢測。
企業(yè)的App在開發(fā)的時候,大多數(shù)時候會需要融合三方的SDK,關(guān)注的重點一般都在SDK是否給我提供了需要的功能,而忽略SDK是否超范圍收集了信息或者夾帶了私貨。在這一點上,必須立場堅定態(tài)度鮮明,超過我們需要的,不必要的信息收集,必須關(guān)閉,不使用。一旦松動,后患無窮。