App隐私合规简论

360安全客 安全知识 53705 4

 

0x00. 引言

2020年,个人信息保护与信息安全领域的法律法规及行业标准呈爆发式发布。而App隐私合规依旧是老生畅谈的话题,延续2019年,2020年有关部门针对App个人信息侵权专项治理成立专项治理工作组,对三十万余App进行检测,对涉及违规 APP 通过通报、约谈、整改、下架等处罚形式,通过深度治理与曝光形式,达到改善 APP 的个人信息安全问题。

工信部副部长刘烈宏2020年11月27日在工信部召开的全国App个人信息保护监管会上表示“工信部将加大力度,从2021年初继续开展为期半年的专项整治,对有令不行、整改不彻底、反复出现问题、搞技术对抗的企业和App严厉处置。

2021年的执法力度将更加深入,SDK的具体技术实现将成为纵深检查点,行政执法方式将从专项治理式转为常态化。更加狠抓严查App侵害用户权益行为,紧盯反复出现问题被点名通报的重点企业。

同时推动App及SDK开发运营者、应用分发平台、第三方服务提供者、设备厂商、安全厂商自觉履行社会责任。”

那么作为App运营者在面对诸多监管和检查标准时应怎么处理和应对呢?本文将梳理部分在App隐私合规工作上的一些经验供大家参考。

 

0x01. App隐私合规要点

本文将从一个App从首次安装,账号注册,账号登录,功能使用,问题范围,账号注销这6个环节进行阐述。

1、首次安装

关键动作:同意《隐私政策》

A、交互形式

给予用户2个选择,“同意”或“拒绝”。

* 用户可以选择“拒绝”,若用户选择拒绝,可以提示将退出App;

* 仅在用户选择“同意”时,方可收集用户交互数据。

B、内容

方式一:简要说明同意文件的内容,说明要点即可;

方式二:内嵌点击同意动作相关文件的全文。

* 此部分可以参考产品经理或用户体验设计师的想法

C、数据交互:在用户点击“同意”或其他明示同意意思的按键前,禁止任何的数据采集。

* 检查方式:通过第三方工具进行抓包,可以选择外部工具采买、Github寻求开源方案或内部团队自研。

D、参考

2、账号注册

1)注、登一体登录方式

一般为验证码登录方式,前置判断输入手机号是否已生成帐号,如已有帐号则正常获取验证码输入验证码登录;

如未生成帐号,则在进入登录状态前,需单独签署《隐私政策》及其他用户协议内容,签署形式可为弹窗、手动Check Box勾选等。

2)单一注册方式

需单独签署《隐私政策》及其他用户协议内容,签署形式可为弹窗、手动Check Box勾选等。

* 需要注意,以上场景均不可以默认勾选或同意《隐私政策》,需用户自主勾选。

3、账号密码登录

常见做法,可以使用帐号密码登录的用户均已有帐号,并可以登录。可不附加协议。

也可根据各家法务小伙伴要求,是否签署协议等。

4、功能使用

1)信息收集

常见为表单填写,比如:意向用户线索收集。

2)权限申请

A、目的声明

发起权限申请前,应以弹窗的形式提前说明申请权限的场景(即业务场景)、目的、将会收集的信息。

形式:常见以弹框说明,其他形式亦可,需要注意提示时机。

B、 用户交互

a.当用户选择:同意,方开始收集对应权限的信息或行使对应权限功能;

b.当用户选择:拒绝,则在本次使用App时,如用户未主动触发功能则不应再次主动发起,或于48小时后再发起;

c.当用户选择:拒绝且不再提醒,则在App场景内将再不可发起授权,而是提供用户系统设置页面开启。

* 任何权限的拒绝均应仅影响该权限对应的业务功能,不应影响其它与该权限无关的功能;同时,拒绝权限不应闪退退出App。

C、参考

5、隐私中心

1)《隐私政策》查看

当用户进入App后,应提供《隐私政策》查看路径,且路径长度不应超过4步。

常见放置:我的或个人中心 – 设置 – 隐私设置或隐私政策。

2)隐私设置

隐私设置分为2部分。

其一,罗列App所需的所有权限,并根据实际授权状态标识为“已授权”“未授权”“去设置”,其中“去设置”应跳转至系统设置;此处的权限需要说明授权目的以所关联的业务场景。

其二,若为多个App关联,即A类App可以通过选择第三方登录方式,调用第三方App B进行登录。则B类App的隐私设置需设立“授权管理”以确保用户可以取消B类App对于其他业务的授权。

* 参考

 

6、账号注销

1)帐号可以注册则要提供注销功能,同时根据《电子商务法》的要求,不得给用户帐号注销设置障碍。比如:浏览器帐号注销需要提供帐号用户本人照片。

2)帐号注销的同时需要删除用户的个人信息,法律法规另有要求除外。

 

0x02. 其他说明

1、隐私政策完整性

隐私政策应清晰、准确、完整地描述个人信息控制者的个人信息处理行为。隐私政策模版可参考《GB/T35273-2020 信息安全技术 个人信息安全规范》附录D。

隐私政策中应明确App所使用的第三方SDK清单,并注明来源、使用目的及收集的个人信息。

* 请注意与企业实际业务开展情况进行编写。

2、用户权利响应

1)知情权

在App中表现形式为:隐私政策签署告知、用户提示、申请目的告知、用户信息采集告知。

2)访问权

在App中表现形式为:个人中心个人信息查看。

3)被遗忘权

在App中表现形式为:帐号注销功能实现。

4)更正权

在App中表现形式为:个人信息修改功能实现。

5)限制处理权

在App中表现形式为:隐私中心功能实现。

6)数据可携带权

在App中表现形式为:个人信息下载。

7)撤回同意

在App 中表现形式为:隐私中心功能实现或帐号注销功能。

* 以上所有功能,如非通过App自有功能实现,而是通过隐私政策明确的反馈路径,如:邮箱。则负责维护邮箱的同学应定期进行用户反馈回复。时间不得超过15个工作日。

 

0x03. 写在最后

在经过持续2年的专项治理之后,2021年将更加深入地开展工作。笔者认为后续应关注:第三方SDK的告知及安全性,App本身的安全性。包括但不限于:

1、引入前的安全评估,使用过程中的持续监督;

2、以明确的方式告知用户,App中嵌入的SDK及可能收集的信息;

3、提供用户第三方SDK授权开关。

隐私合规之路任重而道远,吾往矣。

(完)