1月8日,工业和信息化部信息通信管理局通报第二批侵害用户权益行为的App名单,15款产品在列。
第一批未按要求完成整改的3家企业,已于1月3日依法组织下架。
这里面大多都为我们熟识的APP,看到这些不由得胆战心惊,瑞幸也算我们经常点的下午茶,知米也是我们常用来备考的单词软件,简直是太大意了。
那么,自网站的信息安全不断整改之后,app安全也慢慢被提上日程。就关于印发《App违法违规收集使用个人信息行为认定方法》的通知进行一个小小的分析。
2019年12月30日8点,网信网发布了关于印发《App违法违规收集使用个人信息行为认定方法》的通知,由国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四大单位联合发布,通知号为国信办秘字[2019] 191号,主要针对APP违法违规收集使用个人信息。
主要是针对隐私政策的,严格要求APP中必须要有隐私政策,且隐私政策中要包含收集使用个人信息规则的条目,在首次运行时必须通过弹窗等明显方式提示用户阅读隐私政策。同时,隐私政策要容易访问,容易阅读,文字大小适中,颜色刚好,像之前看到的苏宁、微信的都是比较好的典范。
主要是针对个人信息的目的、方式和范围的。要求必须一一列出这几点,且在发生变化时,要采用更新隐私政策提醒用户阅读等适当的形式通知用户,比如更新之后需要弹出隐私政策让用户确认同意才可继续使用。如果涉及到敏感信息收集需要同步告知用户目的,必须明确、简单直观。不仅如此,收集使用规则的内容也必须简单直观,容易理解,不得使用大量专业术语让用户难以理解。
是用户同意收集使用个人信息。这里面有几点比较重要,一点是用户必须明确同意才能够收集,也不得干扰用户和直接收集,第二点是不能超出收集范围,更新或者发生变化时需要用户重新选择更改或者设置权限状态,第三点是隐私政策应该用户主动勾选而不得直接默认同意,不得诱骗误导用户非法收集,或者违反规则收集,同时要提供撤回收集的途径。
针对收集个人信息最小化原则,最主要的一点是用户不同意收集非必要个人信息或者打开非必要权限或者一次性打开多个收集权限时,拒绝提供业务功能的,就好比如说,不同意某个APP的位置权限,然后就闪退掉了,这就是违法行为了。而且不得强制要求用户收集个人信息,仅仅因为服务质量用户体验等原因。
是关于第三方提供个人信息的,表明要向第三方提供用户个人信息需要经过用户同意,而且要做匿名化处理,不然像很多用户个人信息泄露就是因为这样,一个地方传到另一个地方,同时也不可以直接数据传输到后台供第三方收集。其次,接入第三方应用时,也要明确告知用户,征求同意才可提供个人信息。
是针对用户注销删除个人信息和投诉举报两个部分,要求企业必须提供有效的更正、删除个人信息和注销账号的功能,不得设置不必要或不合理条件,提供了同时还要及时响应,需要人工处理的话要规定时限且不得超过。后台要随时保持跟进操作行为。
企业同时要建立和公布个人信息安全投诉和举报渠道,要承诺时限且在规定时限内完成。
这一部办法细化了《网络安全法》关于APP收集个人用户信息的实施,具体落实到这六大方面,无关很多技术要求,但是要求企业和用户必须重视个人信息保护,在APP的攻坚战中取得战胜的号角!
*本文原创作者:咸味奶黄豆沙包,本文属于FreeBuf原创奖励计划,未经许可禁止转载