近期APP个人信息保护以及整改措施的相关新闻受到广泛关注,开发者对于合规的理解与实践也时有疑问。作为服务了国内几十万开发者的移动开发者服务提供商,极光一直高度重视用户个人信息保护、数据合规及数据安全问题,并持续更新、严格规范与开发者间的使用协议,提供便于使用的隐私政策模板,助力开发者更好地贯彻合规相关工作。同时为了高效推进与落实相关规定,让开发者更清楚地理解极光SDK的合规性及在个人信息和隐私保护方面的方法和措施,极光编写了《极光开发者应用合规指南》,并将根据法律法规和国家标准持续更新,供广大开发者参考。
一、常见的违规问题有哪些?开发者应当如何做到合规?
Q:什么是违规、超范围收集用户个人信息?
A:违规收集个人信息即APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。超范围收集个人信息是指APP、SDK收集的个人信息的类型与实现产品或服务的业务功能没有直接关联。
开发者需做到:
l 制定一份独立的《隐私政策》,向用户明示收集使用个人信息的目的、方式和范围。
l 为解决“超范围收集个人信息”问题,您应当确保您的采集均与APP服务功能相关,所涉个人信息字段均已在《隐私政策》中公示,并得到用户授权。
使用极光SDK时需做到:
l 您的隐私政策应向终端用户明示您在APP中部署极光SDK收集使用个人信息的目的、方式和范围等,提供的数据安全保护标准应不低于和极光的协议约定。根据相关法律法规,极光SDK为实现部分业务功能、需要收集终端用户的“网络信息”和/或“位置信息”,前提是终端用户需要授权开启“读写SD卡权限”、“网络访问权限”、“设备信息权限”和/或“位置权限”。如果您的终端用户不想被收集上述信息,可以通过关闭“读写SD卡权限”、“网络访问权限”、“设备信息权限”和/或“位置权限”实现。(请在极光官网最底部的菜单栏【关于我们-隐私政策】页面查看具体业务功能、场景描述及信息处理方式)
Q:什么是违规使用个人信息?
A:即APP、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。
开发者需做到:
l APP应遵循“目的明确”的原则,即对收集的个人信息具有明确、清晰、具体的处理目的。同时应向终端用户明示您处理个人信息的目的,并确保对个人信息的处理不超出所明示的目的范围。
使用极光SDK时需做到:
l 极光建议APP开发者在其隐私政策中列明“极光SDK收集、使用APP最终用户个人信息的类型、目的及范围”,并在《隐私政策》中明确告知终端用户,您谨慎地选择了极光作为合作方,委托其收集、使用、加工和处理终端用户个人信息,并允许极光对已收集的数据进行去标识化和聚合性的处理后,构建极光数据库用以提供数据服务。但您同样应向终端用户提供易于操作的选择退出机制,帮助终端用户行使其作为个人信息主体的相关权利。
Q:什么是APP强制、频繁、过度索取权限?
A: 即APP安装和运行时,向用户索取与当前服务场景无关的权限;在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为;未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
开发者需做到:
l 为解决“强制索取权限”问题,您应当注意通过《隐私政策》等方式向用户详细说明APP需要调取的权限及目的,并保证权限调取均与服务功能相关。当用户拒绝无关权限时,仍可以正常使用其他功能。
l 为解决“频繁索取权限”问题,您需要注意在用户拒绝授权后,不宜频繁反复申请权限。
l 为解决“过度索取权限”问题,您应当确保APP所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限,应当谨慎索取,并向用户明确告知,取得用户授权。
Q:什么是APP频繁自启动和关联启动?
A: 自启动和关联启动针对不同的软件和使用场景的需求不尽相同,例如需要及时收到信息的社交、办公类APP,自启动和关联启动是一种强需求,如果关掉会影响相应APP的必要信息推送。但对于使用频次低、场景窄的APP,自启动和关联启动的合理性需要考量。
开发者需做到:
遵循“公开透明”和“最小必要”原则。APP开发者应向用户告知且经用户同意的情况下进行自启动或关联启动,并仅在合理的使用场景下,以为终端用户提供服务为目的,以最小的频次对APP的自启动与关联启动进行配置设置。
使用极光SDK时需做到:
极光SDK只在APP开发者已知的情况下,帮助APP启动应用后台进程从而收到消息。同时极光也关注APP通过自启动、关联启动被唤醒的频次是否合理,是否符合实现产品或服务的业务功能所必需的最低频率。
二、开发者如何草拟合规的隐私政策?
为帮助开发者方便快捷地制定隐私政策,极光针对地图导航、网络约车、网上购物等 21 类 APP所需的必要信息进行了整理,并输出细分至各个类型APP的隐私政策模板,供开发者参考使用,开发者可从以下路径下载文档:登录极光官网-进入开发者平台-应用设置-隐私政策栏点击更新协议-上传协议文档-下载协议模板。
三、隐私政策如何合规展示?
l 在页面“设置/通用”-“隐私”-“隐私政策”
l 展示在注册入口处
l 用户初次注册时,弹出框形式应可下拉,且界面应至少停留10秒,以用户勾选、点击“同意”或“下一步”等形式取得用户同意
l 用户协议、隐私政策修订后,需要重新弹出并再次获得用户同意,弹出框形式可下拉,以用户主动勾选、点击“同意”等形式呈现
l 用户协议、隐私政策应方便用户再次访问
四、极光对APP开发者的合规审查
l 当开发者用户首次创建应用或老用户未上传隐私政策时,极光会在“应用设置”界面自动提示开发者上传隐私政策并进入系统审核流程,审查APP开发者是否依法依规撰写隐私政策、取得终端用户的授权。
l 对于收集用户个人信息不合规的开发者,极光会要求APP开发者修订其隐私政策。在隐私政策上传界面,极光还为开发者用户提供了一站式的隐私政策模板服务,为开发者用户提供便捷的隐私合规建议。
l 同时,为提升线上审核的准确性,我们会不定期地对已上传的隐私政策进行人工审核并比对审核结果,优化审核程序。在与开发者合作过程中,极光会根据现行法律法规、国家标准以及官方通报,定期调研或抽查有合作的开发者的隐私政策。对隐私政策不符合规定的开发者,极光会发出整改通知要求开发者进行合规整改,直至符合合规要求。
五、极光推送SDK采取的防止用户个人信息泄露的具体制度及技术措施
从数据处理生命周期角度来看,极光在提供服务过程中对个人信息的处理分为数据采集阶段、数据传输阶段、数据存储阶段、数据使用阶段、数据处置阶段。每一个阶段极光推送SDK均采取了相应的技术措施以保障用户个人信息的安全性,防止泄露用户隐私。
作为深耕推送服务市场十年的移动开发者服务提供商,极光秉承"以开发者为中心"的战略导向,不断打磨、迭代产品技术,拓展多方合作,期望能为开发者提供更好更全面的服务,并为保护数据安全与用户个人信息,推进移动应用生态合规发展,构建良性发展的互联网生态环境而努力。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )