前言
近年来,移动互联网应用程序(APP,也包括快应用、小程序等新应用形态,为方便开发者理解,以下统称为“APP”)得到广泛应用,但同时APP强制授权、过度索权、超范围收集个人信息的问题也被社会各方高度重视。为此国家有关部门陆续发布了《网络安全法》、《数据安全法》、《个人信息保护法》、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号、《常见类型移动互联网应用程序必要个人信息范围规定》等一系列相关法规和执行依据,为APP运营者提升完善个人信息保护提供重要依据。所以指定本
SDK 合规指引,供开发者参照自查,及时整改,不断完善对用户的个人信息保护。
1. APP合规要求
1.1.
隐私弹窗
(1)APP首次运行应当有隐私弹窗,弹窗内容应当明确提示用户阅读隐私政策;
(2)隐私弹窗中应当有用户协议、隐私政策链接;
(3)隐私弹窗应有拒绝同意的按钮
1.2.
隐私政策
(1)APP应当有独立的隐私政策
(2)隐私政策中需明确说明各项业务功能所收集个人信息目的、方式、范围
(3)隐私政策应当包含第三方信息共享清单SDK清单
(4)隐私政策中应当包含申请系统权限的说明
(5)不得默认勾选同意隐私政策
1.3.
用户未同意隐私政策前,不得收集用户信息
(1)在用户未同意隐私政策前,不得收集Mac地址、IMEI、IDFA等设备标识符、读取剪切板信息等
1.4.
用户协议和隐私政策公示
(1)用户协议和隐私政策应当在APP内有专门的链接予以公示;
(2)隐私政策公示链接,不得超过4次点击操作。
1.5.
权限及个人信息违规收集
(1)不得用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限;
(2)不得频繁征求用户同意、干扰用户正常使用;
(3)不得超出用户授权范围收集信息或打开权限;
(4)不得要求用户一次性同意或捆绑同意打开多个可收集个人信息的权限,用户不同意则无法使用;
(5)不得超出业务功能需要高频收集个人信息;
(6)不得收集与业务功能无关的个人信息或权限。
(7)收集敏感个人信息时,APP 应通过显著方式(包括但不限于弹窗方式在隐私政策中对敏感个人信息进行加粗加黑进行显著提示)向用户明示收集、使用个人信息的目的、方式、范围。
1.6.
最小必要数据收集
(1)在仅能收集最小必要的个人信息的情形下,仍能保证用户能使用APP的基本功能服务
1.7.
个性化展示退出选项
(1)如果APP提供定向推送功能【若APP具备此功能】,需要向用户提供关闭或退出个性化推荐功能的选项或开关
1.8.
个人信息主体权利
(1)用户享有查阅、复制、更正、补充、删除其个人信息的权利以及改变或撤回其授权同意的权利。APP应当为用户实现个人信息管理设置合理实现路径并及时进行响应。
1.9.
账号注销
(1)APP 应提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理
1.10.
用户申诉与反馈
(1)隐私政策中至少提供以下一种投诉渠道:
(2)对于投诉、举报处理的承诺时限不得超过15个工作日。
1.11.
广告样式合规
在涉及应用下载广告时:
(1)在用户进行下载行为前,需明示即将进行下载行为,并由用户主动选择下载;
(2)在用户进行下载行为前,应对用户披露所下载应用的应用名称、开发者、版本号、应用权限、隐私政策、产品功能。
2. APP隐私政策合规要求
1、APP需制定一份独立的隐私政策,该隐私政策应当符合个人信息保护、数据安全相关的国家法律法规、监管政策要求、国家标准及开发者与我方平台的约定。开发者应当保证APP隐私政策的独立性和明显提示性,即APP隐私政策应单独成文,在APP首次运行时通过弹窗等明显方式提示用户阅读并获取用户同意。隐私政策应向用户明示收集使用个人信息的目的、方式和范围,但请注意,仅是改善服务质量、提升用户体验、定向推送信息、研发新产品还不足以成为要求用户授权同意收集其个人信息的理由。隐私政策应由用户自主选择是否同意,不应以默认勾选同意的方式或是以欺骗诱导的方式取得用户同意。
2、开发者应当在用户主动授权同意APP隐私政策后,再初始化所接入的具体SDK进行个人信息的收集与处理。开发者保证已在APP隐私政策中明确告知用户已接入具体SDK产品作为合作方为用户提供相关服务,并遵从国家法律法规、政策及标准的要求,在APP隐私政策的第三方信息共享清单中披露具体SDK产品收集使用个人信息的目的、方式和范围等情况,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。
|
合规要求 |
合规要点 |
示例【以下示例仅供参考,开发者应当按照自己APP的情况进行合规】 |
|
1、明示收集个人信息的业务场景 |
(1)应当将收集个人信息的业务功能逐项列举;
(2)不应使用“等、例如”字样。 |
业务功能是指APP面向个人用户所提供的一类完整服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等 |
|
2、业务功能与所收集个人信息类型应当一一对应 |
隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。 |
隐私政策示例
1.1 发布与互动
1.1.1 信息发布
a.您发布内容、评论、提问或回答时,我们将收集您发布的信息,并展示您的昵称、头像、发布内容。
b.您使用上传图片、发布音视频功能时,我们会请求您授权相机、相册(存储空间)、照片、麦克风权限。您如果拒绝授权提供,将无法使用此功能,但不影响您正常使用【应用名称】的其他功能。
c.您发布信息并选择显示位置时,我们会请求您授权地理位置权限,并收集与本服务相关的位置信息。您如果拒绝授权提供精确地理位置信息,将无法使用此功能,但不影响您正常使用【应用名称】的其他功能。
d.请注意,您公开发布的信息中可能会涉及用户或他人的个人信息,若您公开发布的信息中包含他人个人信息的,在上传发布之前,您需确保为法律法规允许使用或已获得合法授权。 |
|
3、明示各项业务功能所收集的个人信息类型 |
每个业务功能在说明其所收集的个人信息类型时,应在隐私政
策中逐项列举,不应使用"等、例如"等方式概括说明。 |
同上【隐私政策示例】 |
|
4、应当显著标识敏感个人信息类型 |
隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、
标星号、下划线、斜体、颜色等)。
注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)未成年人的个人信息等。(该定义见
GB/T 35273《个人信息安全规范》3.2 节) |
同上【隐私政策示例】 |
|
5、应当说明APP运营者的基本情况 |
隐私政策应对 APP 运营者基本情况进行描述,至少包括:(1)公司名称;(2)注册地址;(3)个人信息保护相关负责人联系方式 |
***公司及其关联方(简称“我们”,注册地址为:*****)作为**APP的运营者,深知个人信息对您的重要性,我们将按照法律法规的规定,保护您的个人信息及隐私安全。 |
|
6、应当说明个人信息存储和超期处理方式 |
隐私政策应对个人信息存放地域(国内、国外);存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式
进行明确说明。 |
隐私政策示例
1.我们如何存储个人信息
1.1 存储地点我们依照法律法规的规定,将在境内运营过程中收集和产生的您的个人信息存储于中华人民共和国境内。目前,我们不会将上述信息传输至境外,如果我们向境外传输,我们将会遵循相关国家规定或者征求您的同意。
1.2 存储期限我们仅在为提供【应用名称】及服务之目的所必需的期间内保留您的个人信息:您发布的信息、评论、点赞等相关信息,在您未撤回、删除或未注销账号期间,我们会保留相关信息。超出必要期限后,我们将对您的个人信息进行删除或匿名化处理,但法律法规另有规定的除外。 |
|
7、应说明个人信息的使用规则 |
如果 APP 运营者将个人信息用于用户画像、个性化推荐等,
隐私政策中应说明其应用场景和可能对用户产生的影响。 |
/ |
|
8、个人信息出境情况 |
如果存在个人信息出境情况,隐私政策中应逐项告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类并显著标识(如字体加粗、标星号、下划线、
斜体、颜色等),以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得用户的单独授权同意。
同时,应当按照《个人信息保护法》第三章
第三十八条至第四十一条的相关规定履行法定程序方可提供。 |
/ |
|
9、个人信息安全保护措施和能力 |
隐私政策中应对 APP 运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、
恶意代码防范、安全审计等。 |
/ |
|
10、对外共享、转让、公开披露个人信息规则 |
如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:(1)对外共享、转让、公开披露个人信息的目的;(2)涉及的个人信息类型;(3)接收方类型或身份。 |
/ |
|
11、用户权利保障机制 |
隐私政策中应对以下用户个人信息管理的路径进行明确说明:(1)个人信息查阅、复制;(2)个人信息更正、补充;(3)个人信息删除;(4)用户账户注销;(5)改变授权范围或撤回已同意的授权 |
/ |
|
12、用户申诉渠道和反馈机制 |
隐私政策中至少提供以下一种投诉渠道:
(1)电子邮件;
(2)电话;
(3)传真;
(4)在线客服;
(5)在线表格。
2、对于投诉、举报处理的承诺时限不得超过15个工作日 |
1、如果您对个人信息保护问题有投诉、建议、疑问,您可以将问题发送至(****@***.com),我们核查并验证您的用户身份后会及时反馈您的投诉与举报;2、如对本隐私政策内容有任何疑问、意见或建议,您可通过登录“*****”页面入口与我们联系。 |
|
13、隐私政策时效 |
应明确标识隐私政策发布、生效或更新日期 |
/ |
|
14、隐私政策不应存在免责等不合理条款 |
APP 运营者不应在用户协议、服务协议、隐私政策等文件
中出现免除自身责任、加重用户责任、排除用户主要权利条款。 |
/ |
3.
法律法规及监管政策
请开发者认真研读学习以下法律法规和监管政策文件,确保合法合规开展APP运营活动及与我方合作,充分保障用户合法权益,切实履行个人信息保护与数据安全的法律责任。
7、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(164号文)
8、《信息安全技术个人信息安全规范》(GB/T 35273-2020)
9、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(337号文)
10、《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(26号文)
12、网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南
13、网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南
14、网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引