最近几个月工信部对很多 APP,进行了通报整改。
我们公司的产品,也收到了应用宝商店的下架风险提醒,然后会告知有哪些地方可能会有问题,包括列举的几个成功案例的APP。
现在总结以下几点:
- 隐私协议和用户协议,和公司法务沟通一下,然后尽量完善一下使其符合最新要求和规定,可以参考一些符合工信部要求的成功案例的 APP 。
- 隐私协议弹框里面,尽量写出 APP 主要用到的一些权限说明使用场景。如果用户不同意隐私协议弹框,需要再弹一个再此确认弹框,引导用户去再重新查看隐私协议,或者用户退出应用。在首次展示隐私政策时,宜说明查找隐私政策的方法、路径。
- 在首页一定要弹的权限申请弹框,需要在同一隐私协议弹框之后,再去申请相关权限,而且在主页面尽量少的申请非必要权限,并且在弹出权限弹框时,通过一定的表现形式,来告知用户申请这个权限在 APP 里具体使用的场景。而且在首页申请的权限,如果用户未同意权限,下次打开 APP,不能再强制用户再次申请该权限(48小时内询问不超过一次)。包括在其他的地方申请动态权限的时候,都要通过相关形式告知用户为什么要使用该权限。
- 如果 APP 里用到友盟 SDK、闪验 SDK 等,需要在项目的 Application 的 onCreate() 里初始化的,将其初始化放在同意了隐私权限弹框后,再去初始化。最新的 友盟 SDK ,提供了在 Application 的 onCreate() 里调用 preInit() 方法,来符合工信部的要求。
- 如果在 APP 里的首页去弹出隐私协议弹框,那要注意主页里的相关代码有没有去获取系统信息,在用户未同意隐私协议前,不要用系统的 SimpleDateFormat、Date、DateFormat、Locale 等去获取系统系统相关的时间信息。如果隐私协议弹框放在闪屏页,相对影响的代码会少一些。
-
在App中隐私政策中没有收集使用个人信息规则。如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响。画像、个性化要在隐私协议中说明影响,并在设置中添加开关,参考淘宝。而且,撤回已同意的授权需要写明路径。利用用户个人信息和算法定向推送信息,需要提供非定向推送信息的选项。
- 用户通过拒绝提供个人信息、不同意收集使用规则、拒绝提供或关闭权限等操作,明确表示不同意收集某类个人信息后,不以任何形式收集该类个人信息或打开该类可收集个人信息权限。(48小时内询问不超过一次)
- 在隐私协议中写明更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;未建立并公布个人信息安全投诉,举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
自查整改办法:
1、不得收集与APP使用场景无关权限无合理场景或相关服务时,向用户申请权限,例如一款音乐类APP,用户点击同意隐私政策协议按钮后,进入APP立即向用户申请定位权限,此时没有使用到定位相关功能或场景,申请定位权限不合理,只有用户使用与定位相关的功能时,才可以向用户申请定位权限。(地图类APP进入APP后可以立即申请定位权限,因为APP当前的功能场景需要使用定位权限)
2、不得出现用户拒绝申请权限后自动关闭或退出APP强制申请权限,用户拒绝后APP自动关闭或退出,例如1款资讯类APP向用户申请麦克风权限,用户点击拒接后,APP自动退出关闭。麦克风权限并不是该APP正常使用的必须权限,用户不同意授权,APP可以不提供与麦克风权限相关的功能,但不能直接退出APP
3、不得出现申请权限被拒绝后反复、频繁弹窗申请APP申请权限,用户拒绝后反复、频繁弹窗继续申请,例如APP申请权限用户拒绝后,不停弹窗继续申请,干扰用户正常使用。APP申请权限用户拒接后,APP可不提供与该权限对应的功能,如果用户主动触发该功能,APP可弹窗说明该权限与功能的关系,向用户说明打开此项权限的方式,如果非用户主动触发该功能,APP在48小时内不得再次主动向用户申请该权限
4、不得提前收集APP未使用到的权限APP提前向用户申请权限,此项与第1条类似,主要查看APP是否有提前申请权限,比如在申请定位权限的同时,又继续向用户申请麦克风权限,虽然麦克风权限的确有对应的功能模块,但用户还未使用时,不能提前申请。
根据工信部【2020】164号文件 第三点第1条第①款:重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
可能的问题描述:
APP以隐私政策弹窗的形式向用户明示收集使用规则,未经用户同意,存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。
APP以隐私政策弹窗的形式向用户明示收集使用规则,但未见清晰明示APP收集设备MAC地址、软件安装列表等的目的方式范围,用户同意隐私政策后,存在收集设备MAC地址、软件安装列表的行为。
APP向用户明示SDK的收集使用规则,未经用户同意,SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。
APP向用户明示SDK的收集使用规则,但未见清晰明示SDK收集设备MAC地址、软件安装列表等的目的方式范围,用户同意隐私政策后,SDK存在收集设备MAC地址、软件安装列表的行为。
App在征求用户同意环节,设置为默认勾选。
根据工信部【2020】164号文件第三点第1条第②款:APP、SDK非服务所必须或无合理应用场景,特别是在静默状态下或在后台运行时,超范围手机个人信息的行为。
可能的问题描述:
APP未见向用户告知且未经用户同意,在业务功能中,存在收集安装列表、MAC等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
APP未见向用户明示SDK的收集使用规则,未经用户同意,SDK存在收集安装列表、MAC等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
APP未见向用户告知且未经用户同意,在授权前行为时,存在收集 安装列表、MAC等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
APP未向用户明示SDK的收集使用规则,未经用户同意,SDK在授权前行为时,存在收集安装列表、MAC 等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
根据工信部【2020】164号文件 第三点第2条第⑤款:重点整治APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点整治短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
可能的问题描述:
APP在用户明确拒绝通讯录/定位/短信/录音/相机/XXX等权限申请后,重新运行时,仍向用户弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。
APP首次打开(或其他时机),未见使用权限对应的相关产品或服务时,提前向用户弹窗申请开启通讯录/定位/短信/录音/相机/XXX等权限。
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》链接
http://www.gov.cn/zhengce/zhengceku/2020-08/02/content_5531975.htm
国家互联网信息办公室关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知(国信办秘字〔2021〕14号)链接
http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm