近期,工业和信息化部发布了《关于开展APP侵害用户权益专项整治工作的通知》,开展针对APP侵害用户权益专项整治行动。平安夜之际,数据大管家-友小盟给大家准备了一份合规贴士,希望各位开发者能够仔细阅读,并做好合规相关工作。
《关于开展APP侵害用户权益专项整治工作的通知》重点对以下四个方面8类问题开展规范整治工作:
(一)违规收集用户个人信息方面
1、“私自收集个人信息”。即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。
2、“超范围收集个人信息”。即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等
(二)违规使用用户个人信息方面
1、“私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。
2、“强制用户使用定向推送功能”。即APP未向用户告知或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。
(三)不合理索取用户权限方面
1、“不给权限不让用”。即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
2、“频繁申请权限”。即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。
3、“过度索取权限”。即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
(四)为用户账号注销设置障碍方面
1、“账号注销难”。即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。
我们强烈建议您仔细对照以上治理重点及其要求,逐条完善您的数据合规方案。
当您使用友盟+SDK服务时,参考以上监管关注重点,我们强烈建议您关注如下合规指南:
App开发者
APP需要准备哪些合规配套文件?必备的内容有哪些?
友小盟大管家
您需要分别准备《隐私政策》及《用户协议》,向用户明示收集使用个人信息的目的、方式和范围。您应当在《隐私政策》中明确告知用户您选择友盟+作为合作方,并委托合作方收集、使用、加工和处理最终用户个人信息。有关本告知内容建议您在隐私政策的“数据共享与披露”章节中透出。
推荐条款如下:
“为了统计分析等目的,我们的产品可能会集成第三方的SDK或其他类似的应用程序,例如友盟+SDK,友盟+SDK需要收集您设备的国际移动设备识别码(IMEI)、iOS广告标识符(IDFA)、设备Mac地址和设备型号等信息。为了您的信息安全,我们已与第三方SDK服务商约定严格的数据安全保密义务,这些公司会严格遵守我们的数据隐私和安全要求。除非得到您的同意,我们不会与其共享您的个人信息。为便于您更好地了解友盟+采集的数据类型及用途,以及何保护您的个人信息,您可以访问 https://www.umeng.com/policy了解友盟+隐私权政策。我们理解并尊重您的选择权,如果您不愿参与友盟+大数据计算,您也可以访问 https://outdip.umeng.com/opt_out.html 行使opt-out权利。”
APP开发者
《隐私政策》应当如何合规地展示?
友小盟数据大管家
1、 您应当保证《隐私政策》的独立性及易读性。《隐私政策》应单独成文,而不是作为《用户协议》或其他文件的一部分存在。用户进入APP主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。
2、《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线,斜体、颜色等)。
注: 个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录 和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等(该定义见GB/T35273《个人信息安全规范》3.2节)。
3、《隐私政策》应由用户自主选择是否同意,不应以默认勾选“同意”的方式取得用户授权。
参考交互界面如下:
APP开发者
我们的APP在使用友盟+SDK服务时,应注意什么?
友小盟大管家
您在下载友盟+SDK前,应当仔细阅读《SDK下载合规声明》,并按声明提示对您的《隐私政策》进行合规自查。您应确保在APP首次运行时通过弹窗等明显方式提示用户阅读您的《隐私政策》并取得用户授权,之后再初始化SDK进行信息采集。
APP开发者
如果用户不希望其个人信息被处理和使用,我应当如何应对?
友小盟大管家
您可以告知用户通过友盟+终端设备opt-out途径行使退出权利,一旦用户行使opt-out,其信息将不会被处理与使用,可访问:https://outdip.umeng.com/opt_out.html 通过行使opt-out权利。
我们也强烈建议您在《隐私政策》中透出我们的opt-out链接,以便用户更便捷行使退出的选择权。
APP开发者
我想了解一下友盟+在数据安全与合规方面做了哪些工作?
友小盟大管家
作为一家领先的第三方全域数据服务商,友盟+非常重视开发者和用户的数据安全及个人隐私,我们从组织建设、制度流程、技术工具和人员能力等多个方面综合对数据全生命周期实施保护,保障数据的可用性、保密性和完整性。
为了践行使命,友盟+积极参与并通过了公安部信息系统安全三级等保认证、ISO/IEC27001:2013信息安全管理体系以及ISO/IEC27018:2019公有云个人信息保护管理体系认证,成为数据行业首家通过ISO/IEC 27018:2019认证的公司。
为了让开发者以及用户充分了解我们数据安全与隐私保护的政策,我们在官网公布了友盟+数据安全与个人信息保护声明,可长按或扫一扫下方二维码(或访问:https://www.umeng.com/dataSecurityProtection)阅读并给我们提出建议。
友盟+数据安全与个人信息保护声明
为了持续向您提供更清晰的数据合规指南,我们近期将在官网推出合规指南专栏,请您持续关注!
参考文档:
《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》
点击“阅读原文”访问友盟+官网~