目前APP隐私政策保护主要在以国标GB/T 35273-2017《个人信息安全规范》,APP专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》作为主要标准依据,尤其是《指南》是目前官方可能唯一发布的相对比较具体的重要参考。
上一篇介绍了隐私政策的主要组成部分和一些关键点,本文重点介绍APP用户端的要求和设计方案。
在《个人信息安全规范》中要求了隐私政策需要单独成文。目前各个APP基本上都加入了隐私政策的内容,并提供链接供用户查阅。
但是,这样做是不是就足够了?上一遍文章中也提到隐私政策编制和公示后,还有一个重要的步骤就是用户要同意隐私政策。这就相当于和用户间签订了一份协议或者合同,所以依据法律规定,这份协议时需要用明确知晓并同意。这就涉及到三个场景:
用户启动APP时;
用户注册账号时;
用户登录账号或执行关键操作时。
在用户首次启动APP时要进行隐私政策弹窗或有单独的页面提示隐私政策,这个弹窗中应该有3个元素:隐私条款内容的重点介绍;隐私政策文件访问链接;用户是否同意隐私政策的选项。
隐私弹窗是对条款的概要,所以内容篇幅并不用长篇大论,要突出重点。
第一,要说明为了提供服务,我们需要收集和使用个人信息;
第二,要说明我们主要会使用哪些系统权限,如位置信息,拍照等;
第三,要说明用户的权利,如撤销授权等。
以上是一般的描述要要点,其他由于APP业务形态需用户提前知晓和注意的方面也需要列出。
特别注意的是,要在合适的位置提供《隐私政策》文本的链接跳转,一般在文本最后处。
例如,苏宁隐私文案为页面式:
例如,淘宝隐私文案为弹窗式:
1)基本情况解析
APP的隐私弹窗是在APP启动时进行的,也就是说用户APP选择同意隐私政策前,我们和用户都没有达成该协议,所以在此前不应该存在任何收集个人信息的行为。
特别注意,APP收集信息一般有通过APP程序自动收集,通过系统权限收集,用户录入或触发收集,这三种情况都不应该出现在用户授权隐私政策前。市场经常遇到的情况:
在隐私政策授权前,申请系统权限如位置信息,存储权限等;
在隐私政策授权前,APP后台已经收集了手机号,设备信息等。
2)不可重复提醒
APP的隐私弹窗一般在APP首次启动进行弹窗,当用户同意或拒绝后都不应该再次频繁弹窗。这里推荐的方案和原则如下:
仅在第一次启动APP时进行弹窗;
如果,用户拒绝隐私政策且不能未用户提供服务(APP必须关闭)的情况,再用户下次启动APP是还应弹窗。
隐私政策需要用户明确同意该协议后方可生效,但不可以强迫用户签订。所以通常必须为用户提供同意和拒绝两个选项。
要求中也有规定不可以有暗示或者倾向性的提示,所以两个选项需要是均等的排列,也就是不可以默认同意,不可以存在一个按钮很难发现。
用户点击“同意”后,视为隐私政策生效,可以正常进入APP,并按照政策内容对个人信息进行收集和使用。
用户点击“拒绝”后的处理方式,目前对于是否可以退出APP,即拒绝未用户提供服务存在一定的争议。主要问题在于“访客权利”,拒绝服务是否属于强迫用户接受条款的行为,“访客”是否有在不提供个人信息的情况下访问APP中公开的内容。
笔者认为,是否可以拒绝服务应该还是依据APP服务对象,业务特点,相关法律依据来判定,需要APP运营者对拒绝服务行为的必要性有合理的解释。比如,金融类APP等行业法规要求也可以作为依据。
目前的一般的做法:
用户点击“拒绝”后,提示用户,再次拒绝就退出APP。如淘宝:
用户点击“拒绝”后,提示用户如果仅浏览必须提供哪些信息,再次拒绝就退出APP。如同程旅游:
APP如果没有匿名访问模式,可以不进行隐私弹窗,在用户注册和登录时已勾选同意或其他方式同意隐私弹窗。
例如支付宝不支持匿名访问,启动APP时直接进入登录界面,所以可以单独授权同意隐私政策,和登录过程一起进行,如下:
1)注册时的用户授权隐私政策
一般注册时应当要用户勾选同意或弹窗提示,不可以默认同意。例如京东注册页面会先进行弹窗:
例如苏宁是用户勾选同意的方式:
2)登录或关键操作时的用户授权隐私政策
登录时为什么要用户授权隐私政策?
第一种就是提供匿名状态访问APP内容的场景,匿名状态用户无需同意全部的隐私条款,即APP只能收集少量匿名访问必要的信息(详见:2.1说明),此时如果用户要进行下单,登录等操作将退出匿名状态,APP需要对其进一步收集信息,比如订单,登录凭证等,此时用户就要授权全部隐私条款。
第二种就是不提供匿名访问的APP,用户在进入APP时必须要进行登录操作,此时登录和授权操作可以同时进行。如支付宝:
根据《指南》中对隐私政策的要求:
“如果发生业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负费人联络方式变更等情形时,隐私政策应进行相应修订,并通过电子邮件、信函、电话、推送通知等方式及时告知用户”
所以,可以看出隐私政策变更后需要告知用户,一般常用的方式是APP消息推送方式,推送时间一定要在生效时间前2-3天。
隐私政策更新授权
隐私政策更新后是否需要用户重新授权,在目前的《规范》和《指南》中并没有明确的提及相关要求和做法。但如果把隐私政策作为一个有法律效应的协议类文件,其内容变化后是需要用户重新签署才可以生效的。
1)重新授权方案
更新隐私政策后,在隐私政策生效日(隐私政策文件中需说明,详见上一篇)当日,进行隐私政策更新的提示弹窗,内容类同与隐私政策弹窗,用户重新选择授权和拒绝。
这种方式在安全合规和法律风险方面是无懈可击的,但实际操作难度也比较大,主要是用户拒绝更新后隐私政策的处理方式,因为原隐私政策还是生效的,如何对新条款进行不生效处理在实际实现上比较困难。
2)弹窗提示方案
更新隐私政策后,在隐私政策生效日或前几日弹窗提示用户隐私政策更新了,并提供用户撤销隐私授权的方案,比如联系客服,注销账号等。
这种方式因为通过弹窗提示,所以也做到了明确知情,如果用户继续使用该产品也就是认可了更新的条款。
这两种方式是笔者认为比较好的处理方式,但是很遗憾目前没有找到实际的实践案例。
用户主动提交个人信息常见于订单类APP(电商,用车,旅游等),此类APP通常需要用户录入个人信息已用来完成订单,如用户电话,详细地址等信息。用户提交信息并存储系统这种系统功能就是收集个人信息行为的功能。用户主动提交的方式一般会有两种:
输入框等直接填写个人信息,如输入手机号,身 份 证号,地址等
开启拍照,GPS等系统功能,利用系统功能收集信息
个人信息收集的原则:“向用户明示收集、使用个人信息的目的、方式、范围”,利用系统功能收集个人信息的方式在后续单独介绍,这里主要说明用户输入情况。
《指南》中提出“收集个人敏感信息时,App应通过弹窗提示等明显方式向用户明示收集、使用个人信息的目的、方式、范围”,但是如果每个下单,输入信息的页面都出现一次弹窗会很影响用户体验,因此目前通用的做法是在页面明显的位置加一行提示语。
提示语要说明收集了哪些信息,使用的目的、方式、范围,尽量简洁,字体不能过小或使用浅色。否则就不满足“明显方式”的规定了。
例如:苏宁和同程旅游
因为风控或业务需要,有时APP需要自动收集用户个人信息,如手机号、浏览记录,设备号等。此类自动改收集行为是用户不可见的,需要注意以下几点:
不可以在隐私政策授权前进行收集
收集频率应保持最小原则,比如设备信息和手机号,大多数情况收集1次就够了
在隐私政策中一定有说明,并有合理的用途。
本篇主要介绍了隐私政策展示和授权功能,APP个人信息收集在实践中的一些心得体会
在用户端方面主要还应该有“系统权限申请”,“用户权利保障”,“第三方应用”三个重点部分,后续会尽快总结一下
作为一个混迹在互联网公司的安全狗的悲哀,太长篇幅的完成时间会很慢很慢。
*本文原创作者:Alkaid13,本文属于FreeBuf原创奖励计划,未经许可禁止转载