前述
为帮助APP开发运营者更好履行个人信息保护的责任和义务、增强用户权益保护意识,根据《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》等法规要求,阿里应用分发开放平台整理了常见隐私不合规问题及整改建议,以便开发者在自查自纠过程中参考,希望能与广大开发者共同推进移动互联网健康有序发展。
须知
个人信息处理者开展个人信息处理活动应遵循合法、正当、必要;公开收集使用规则;明示收集使用信息的目的、方式和范围及保证安全等原则。对存在问题的APP,开发者应认真开展自查自纠工作,对发现的问题立行立改,自觉举一反三,加强管控。
目录
违规场景1:APP未以个人信息处理规则弹窗等形式向用户明示个人信息处理的目的、方式和范围,存在收集个人信息行为。
整改建议:
- APP应以个人信息处理规则弹窗等形式向用户明示个人信息处理的目的、方式和范围,并需征求用户同意;
- APP应以个人信息处理规则弹窗等形式向用户明示第三方SDK处理个人信息的目的、方式和范围,并需征求用户同意。
违规场景2: APP 以个人信息处理规则弹窗等形式向用户明示个人信息处理的目的、方式和范围,未清晰明示处理个人信息;或者未清晰明示在静默状态下或在后台运行时收集个人信息的目的、方式和范围,存在收集个人信息行为。
整改建议:在隐私政策中,逐一列出说明APP、第三方SDK收集个人信息的目的、方式、和范围;以及说明在静默状态下或后台运行时收集个人信息(如有)的目的、方式和范围。
违规场景3: APP 以个人信息处理规则弹窗等形式向用户明示个人信息处理的目的、方式和范围,但未经用户同意, APP、SDK存在私自收集个人信息行为。
整改建议:首次启动APP时,在隐私政策弹窗上设置“同意”按钮,或注册登录页展示隐私政策并提供复选框,征得用户同意,且需同意后方可申请收集服务所需的个人信息。
违规场景4: APP 在征求用户同意环节,未提供明确的同意和拒绝选项,或设置了默认同意。
整改建议:不应仅使用”好“、“好的”、“我知道了””已阅读“等无法清晰表达用户同意的词语。 应在隐私政策弹窗上设置“同意”按钮,或在登录注册页设置置空的复选框“我已阅读并同意”。
违规场景:APP、SDK在非服务所必需或无合理应用场景,特别是在静默状态下或后台运行时,超范围、超频次收集个人信息。
整改建议:
- APP、SDK收集个人信息的范围不要超出隐私政策中描述的范围;
- 收集个人信息的频率不应超出其实现产品或服务的业务功能所必需的最低频率。
违规场景:APP、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。
整改建议:
- APP向第三方共享个人信息时,需向用户清晰明示个人信息处理的目的、方式和范围,以及第三方的身份、目的及个人信息类型,并征求用户同意;
- 未经用户同意,不可以将个人信息发送给第三方SDK等产品或服务。
违规场景:APP未向用户明示未经用户同意,且无合理的使用场景,存在自启动或关联启动其他APP行为。
整改建议:
- 在隐私政策中说明自启动或关联启动的应用场景、频次;
- APP进程自启动或关联启动需要在服务必需或合理应用场景,且不能超出提供服务所需的最低频次;
相关政策:
关于印发《App违法违规收集使用个人信息行为认定方法》的通知
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》