1.授權(quán)同意
收集的內(nèi)容、使用的目的�����,就是通常的隱私政策協(xié)議文檔���,由個人在充分知情的前提下自愿��、明確作出同意或者勾選的動作����,不能默認(rèn)勾選和同意����。
在用戶同意之前�,任何涉及個人信息的內(nèi)容都不能運(yùn)行��,SDK初始化全都要在用戶同意之后��,不然就是私自收集���,檢測到就是違法違規(guī)行為�。
【SDK這一點很容易踩坑�����,大家需要注意】�。
2.收集范圍
《規(guī)定》已經(jīng)有了明確的指引,但是像金融行業(yè)因為要履行《反洗錢法》義務(wù)���,以及投資者適當(dāng)性管理要求案例化解析醫(yī)療機(jī)構(gòu)場景下的數(shù)據(jù)合規(guī)和個人信息保護(hù)要點���,所以收集的信息超過《規(guī)定》也是合法必要的。
一定要注意的是�����,App收集使用《規(guī)定》外的信息,需要有其他法律法規(guī)的支撐才行���。
補(bǔ)充說一下��,對于安全風(fēng)控這一類信息收集�����,比如設(shè)備指紋采集,如果所處行業(yè)沒有法律法規(guī)等正式文件支撐���,這些就都不屬于必要信息���。強(qiáng)制用戶同意才能使用的話,是存在違法違規(guī)風(fēng)險的���。
3.信息公示
需要公開收集使用規(guī)則����,其實就是照著隱私政策模板寫一個適合自己的隱私政策�����。
需要明示目的、方式和范圍���,這個除了需要在隱私政策里寫明�,還需要在具體的收集個人信息的業(yè)務(wù)場景里���,就是具體的頁面中����,寫明這些內(nèi)容�����。
以上的三點���,對應(yīng)的都是《個人信息保護(hù)法》中個人的知情權(quán)���,這是法律賦予的法定權(quán)益,從歷次通報的情況來看�,企業(yè)在這一方面還是需要加強(qiáng)重視。
互聯(lián)網(wǎng)類App����,目前潛在風(fēng)險較大的是大數(shù)據(jù)殺熟這一部分��,這個比較明顯損害人民群眾權(quán)益�����,第二十四條也明確寫了�,“不得對個人在交易價格等交易條件上實行不合理的差別待遇”���,并且個人有權(quán)拒絕���。
有自動化決策�����、依據(jù)用戶畫像定價這類功能的App�,還不讓用戶拒絕的,最好只在中午這么做��,因為早晚會出事�。
四、解決之道-方法與認(rèn)證介紹
App合規(guī)問題解決的核心思路���,我認(rèn)為就是要保護(hù)用戶合法權(quán)益���。
抓手是兩處�,一是要站在一個小白用戶角度去體驗App���,二是在專業(yè)的角度去測評和整改App�����。
小白用戶的體驗其一����,就是隱私政策要通俗易懂��。專業(yè)術(shù)語要盡量的沒有或者少用��;收集的信息依據(jù)要列明�,比如金融行業(yè)很多要求存儲時間不少于5年、20年�����,那就把相關(guān)的要求文件名稱和條款寫上去���。隱私政策雖然用戶不太看���,但是現(xiàn)在監(jiān)管方�����、應(yīng)用市場對這部分已經(jīng)開始關(guān)注了�,像應(yīng)用寶��、華為應(yīng)用市場��。
隱私政策寫完了���,UI設(shè)計完了���,買個某茶����,請公司職能部門的同事抽個一小時,幫你看一遍����,職能同事能看明白的,能理解的���,這八成沒啥問題了��。
隱私政策可以學(xué)習(xí)參考銀聯(lián)云閃付App��,內(nèi)容涵蓋很全��,也包括境外��,作者也極其資深�����,墻裂推薦�。
小白用戶還有個體驗就是以前App容易行坑蒙拐騙之事,之后是肯定不可以這樣��,以前很常見的欺騙���、誘導(dǎo)�、虛假的一些內(nèi)容或手段����,今后肯定也是重點打擊的對象。
專業(yè)角度的測評和整改����,需要借助專業(yè)的檢測工具���,或者服務(wù)公司開展檢測,依據(jù)工具或者專家的經(jīng)驗和建議����,找出問題項,然后整改���。
這里也分享一些經(jīng)驗和踩過的一些坑���。
服務(wù)公司這里就不說了,說一說發(fā)現(xiàn)問題后的事情��。
一般看到問題�,少不了和產(chǎn)品及開發(fā)一通。但是要記住一個原則�����,就是這方面的要求���,只能比外面嚴(yán)�,不能比外面松��。因為檢查到問題再通報�����,監(jiān)管其實不會聽你解釋��,必須限期內(nèi)整改��。這類問題在內(nèi)部消化掉�����,遠(yuǎn)比被監(jiān)管通報了再解決���,給企業(yè)�����、部門�、個人帶來的負(fù)面影響小����。這一點����,最好不要妥協(xié)�����。
至于解決具體途徑和方法�,可以大家好好商議。一個小技巧就是如果公司有比較高層級的合規(guī)或者法務(wù)部門的話����,最好拉上他們一起,他們是你的盟友�,要團(tuán)結(jié)一切可以團(tuán)結(jié)的力量。
再說一說常見容易出現(xiàn)問題的點�����。
首先�,是敏感個人信息的收集,需要單獨同意��,和同意隱私政策一樣�����,需要用戶手動去勾選然后才能收集�����。例如��,在涉及銀行卡的App業(yè)務(wù)場景中����,收集的銀行卡號碼,金融賬戶信息��,是需要說明目的并讓用戶單獨同意的�����。
另外就是工信部第17批次通報的位置信息獲取�����,這也是監(jiān)管后續(xù)關(guān)注的趨勢之一�,這個敏感個人信息的獲取,也需要單獨的授權(quán)同意��。從業(yè)務(wù)必要性來看,非必須位置信息的���,還是乖乖關(guān)掉比較穩(wěn)妥��。業(yè)務(wù)需要的���,更要注意獲取頻度,不能隨時隨地�����,獲取位置信息����。
再一個就是SDK的行為檢測。
企業(yè)的App在開發(fā)的時候���,大多數(shù)時候會需要融合三方的SDK��,關(guān)注的重點一般都在SDK是否給我提供了需要的功能,而忽略SDK是否超范圍收集了信息或者夾帶了私貨�����。在這一點上���,必須立場堅定態(tài)度鮮明�����,超過我們需要的,不必要的信息收集�����,必須關(guān)閉�����,不使用���。一旦松動�����,后患無窮��。
