《合规那些事儿》系列文章,主要通过对监管单位通报的违规点进行分析,以便开发者能通过文章内的分析内容,尽可能的降低违规风险。
1 。
从近年来工信部的通报结果中,不难发现,APP涉嫌强制、频繁、过度索取用户权限在通报的问题中占据着极大比例。
“APP技术霸凌”主要表现为:安装时要求权限过多、APP没有必要使用的权限却还是需要用户提供、用户明确拒绝权限之后又反复多次索取。
2 。
为了帮助大家进一步理解APP强制、频繁、过度索取用户权限,以下例举几个典型的场景:
# 强制索取权限
APP首次启动时,向用户索取录音权限,用户选择拒绝授权,应不影响用户进入APP并使用APP,但实际表现却为APP直接退出或者无法进入。
# 频繁索取权限
用户明确拒绝了相机权限申请,之后在APP运行期间,即使用户并未使用到必须使用相机权限的业务场景,但APP仍频繁弹出弹窗向用户索取相机权限。
# 过度索取权限
APP未提供与日历权限相关的业务或服务,例如签到、打卡等,但仍向用户申请了日历权限。
3 。
《信息安全技术个人信息安全规范》指出:移动互联网应用个人信息收集活动,应当遵循权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与这七项个人信息安全基本原则。
部分APP在隐私政策内容中关于权限的申明方面已经基本符合整改要求,在“最小必要”与“目的明确”原则上,有部分APP仍不够完善。
“目的明确”原则指的是APP向用户明示收集使用个人信息的目的、方式和范围,且收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。
“最小必要”原则指的是不收集与APP提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限,而是只收集满足业务功能所必需的最少类型和数量的个人信息,自动收集个人信息的频率不超过业务功能实际所需的频率。
4 。
相比于iOS系统提供的“APP运行时使用/始终开启/不开启”这三个选项,安卓系统的隐私选项粒度较粗,绝大多数用户只能选择“开启”或“关闭”,这意味着一旦授予后,该权限并不会随应用状态的改变(进入或退出使用状态)而发生变化。
只要拿到相关权限,APP可能在正常提供相关服务的同时,“顺手”获取用户的隐私数据,不管这些数据是否属于“服务必需之外”。
因此,个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规,否则,一旦涉嫌用户信息不当使用都要承担相应后果。
本期暂且说到这儿,下期我们接着聊「欺骗误导强迫用户」。
WebEye增长合规服务一站式解决您的App安全合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。
WebEye 为全球企业提供⼀站式数字媒体营销解决方案、增长效率工具平台、云服务、安全合规、游戏发行服务。我们汇集全球优质的移动营销资源,用大数据精准决策,用AI管理创意素材,用智能化平台实现聚合广告投放。WebEye云计算服务与多云管理平台、安全合规服务助力企业全面数字化转型。子品牌ModooPlay为国内外游戏开发者提供全渠道、一站式的游戏发行服务。