你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
第二部分APP中的数据合规
李旻卓伟伟刘曦
一、监管情况
1.目前APP违法违规通报中的常见问题有哪些?
律师解答:
(1)侵犯公民个人信息的行为:
a.未公开收集使用规则:例如App中没有隐私政策,或者隐私政策中没有明确处理个人信息规则,App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则等。
b.未明示收集使用个人信息的目的、方式和范围,或以上信息发生变化时未以适当方式通知用户:申请打开可收集个人信息的权限或个人敏感信息时,未同步告知用户其目的,或者目的不明确;有关收集使用规则的内容晦涩难懂、冗长繁琐,不利于用户真正理解个人信息处理规则。
d.违反必要原则,收集与其提供的服务无关的个人信息,过度收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
(2)侵犯手机用户正常使用行为
a.违规调用手机权限,或过度索取权限,例如未告知用户就设定有权调用相册、录音或摄像头;
b.自启动或关联启动,例如未向用户明示未经用户同意,且无合理的使用场景即自启动或关联启动其它APP,或SDK非服务所必需或无合理应用场景即启动或关联启动APP。
c.强制或诱骗用户点击下载APP。
(3)违规使用用户个人信息类型
违规使用个人信息,私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。
(4)为用户用户行使个人权益设置障碍
a.APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。
b.APP未向用户提供反馈渠道。
2.应用商店也会对隐私合规进行审核么?
律师解答:会。《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》中特别对应用分发平台责任落实不到位方面予以整治,包括应用分发平台管理责任落实不到位,即APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效等问题。
《移动互联网应用程序信息服务管理规定》第二十条第二款规定:应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。第四款规定:应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。
因此应用商店有义务对上架软件的隐私合规政策予以审查。
3.应该去哪些网站获取监管动态呢?
4.目前监管的重点是那几个方面?
律师解答:主要还是围绕侵害用户权益方面:例如内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息(如设备安装列表、设备IMEI、IMSI、AndroidID、设备MAC地址等);APP强制、频繁、过度索取权限,违规使用个人信息;强制用户使用定向推送功能、欺骗误导强迫用户、应用分发平台上的APP信息明示不到位、超范围收集个人信息等。
二、隐私政策
5.APP制作隐私政策的法律依据?
律师解答:APP制作隐私政策的法律及其他规范性文件依据包括但不限于:《民法典》《网络安全法》《数据安全法》《个人信息保护法》《未成年人保护法》《消费者权益保护法》《电子商务法》《全国人大常委会关于加强网络信息保护的决定》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《电信和互联网用户个人信息保护规定》《规范互联网信息服务市场秩序若干规定》《App违法违规收集使用个人信息行为认定方法》等。
6.隐私政策的性质是什么?
7.告知义务的豁免应当如何理解?
律师解答:根据《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
除此以外,第二十二条、二十三条还规定了个人信息处理者因合并、分立、解散、被宣告破产等原因需要提供个人信息、向其他个人信息处理者提供其处理的个人信息、向境外提供个人信息的、处理敏感个人信息、国家机关为履行法定职责处理个人信息等情形下的告知义务。因此个人信息处理以告知为原则。
但第十八条规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条(即第十七条)第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
综上,仅在符合第十八条第一款规定的情形下实质上可以不告知,其他情形下都应当即时告知,或者在紧急情况消除后予以告知。
8.目前法律对隐私政策有哪些强制性要求?
(1)隐私政策应当明确收集、使用个人信息应该遵循合法、正当、必要的原则;
(2)隐私政策中需要明确收集、使用信息的目的、方式和范围,明示个人信息处理者的名称或者姓名、联系方式、处理个人信息的方式、种类、期限、个人享有的权利和救济方式;
(3)若涉及第三方委托处理个人信息的,隐私政策中应当说明第三方如何处理个人信息、处理的目的、方式和范围等;
(4)隐私政策需要公示,用户首次使用app或网络平台前网络服务提供者应当告知用户隐私政策内容;
(5)若隐私政策发生修改,也应当在修改生效前予以公示,并且告知用户不同意该修改内容的救济途径,如在修改生效前提出异议,或退出使用APP等。
9.一份完整的隐私政策应当包含哪些内容?
律师解答:参考《个人信息保护法》第十七条、第二十二条、第二十三条、第三十条、第三十九条规定,完整的隐私政策应当以显著方式、清晰易懂的语言真实、准确、完整地向个人用户告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式,个人信息处理者因合并、分立、解散、被宣告破产等原因需要个人信息的,或者个人信息处理者向其他个人信息处理者及境外提供其处理的个人信息的,个人信息也应当向个人信息主体告知接收方的名称或者姓名和联系方式。
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限。处理个人信息时应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。个人信息的处理方式,主要是指处理者对个人信息采取何种处理方法,具体包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
(三)个人行使《个人信息保护法》规定权利的方式和程序,即《个人信息保护法》第4章所规定的个人在个人信息处理活动中的权利,包括知情决定权、查阅复制权、数据携带权、更正补充权、删除权、解释说明权等。
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,隐私政策或服务协议应当将变更部分告知个人。
10.隐私政策中涉及敏感个人信息的收集和使用,存在哪些特殊要求?
(1)应当事前进行个人信息保护影响评估,并对处理情况进行记录。
(2)具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
(3)处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
(4)个人信息处理者处理敏感个人信息的,除《个人信息保护法》第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照《个人信息保护法》规定可以不向个人告知的除外。
(5)个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,并应当制定专门的个人信息处理规则。
11.隐私政策中涉及对外共享、转让、公开披露个人信息,应披露哪些内容?
律师解答:《个人信息保护法》并未单独规定对外共享、转让、公开披露个人信息应当向用户披露的内容,因此可以参照向他人提供个人信息的要求,并结合《信息安全技术个人信息安全规范》中对外共享、转让、公开披露个人信息的要求予以判断。即应当披露:对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型特别时敏感个人信息类型、接收个人信息的第三方类型、可能产生的后果,以及各自的安全和法律责任。
12.隐私政策的简版和摘要的区别是什么?
律师解答:通常没有区别,两者的目的都是以简洁的方式告知用户有关隐私政策的最核心内容,满足隐私政策的告知,以免用户因为全面版本隐私政策的表述复杂、冗长而放弃对隐私政策的阅读,导致隐私政策内容未能真正告知用户,侵害用户的知情权、也不利于企业的自我保护。
13.儿童专门的个人信息保护规则应以何种形式呈现?
律师解答:儿童在互联网当中具有较弱的自我保护意识和能力,且一旦儿童个人信息泄露,对儿童及其家庭的影响将是长远的。为此国家互联网信息办公室专门公布了《儿童个人信息网络保护规定》,对其进行了专门规定。除了与个人信息保护规则中一致的内容以外,其中第八条要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护,相当于以另设规则的方式为儿童设立了专门的个人信息保护规则。
14.如果隐私政策更新,是否必须在弹窗里告知变更的全部内容?是否需要记录历史版本?
律师解答:可以仅告知变更的关键内容,但向用户提供完整版本的链接通道。
2022年5月26日,全国信息安全标准化技术委员会秘书处发布推荐性国家标准《信息安全技术互联网平台及产品服务隐私协议要求(征求意见稿)》中也建议互联网平台及产品服务隐私协议保留历史版本,但该标准仍在征求意见中,且仅为推荐性意见,因此保留隐私政策历史版本未来可能也并不会成为强制性规定。
15.第三方SDK应如何披露,App平台仅在其隐私政策中附SDK隐私政策的链接能否达到合规要求?
律师解答:根据《个人信息保护法》第十五条第二款规定,个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
17.收集手机号是强制性要求么?
18.用户拒绝隐私政策后,用户不能使用APP的做法是否符合合规要求?
四、权限获取
19.APP可以随时申请权限吗?
因此APP可以根据业务开展情况、适度合理向用户申请权限,但是该权限应当是保证APP功能运行的必要权限,不应超出APP功能范围、符合应用场景,并且在用户拒绝后不应再次反复申请。
20.针对APP热更新(如修复一些bug)是否属于侵害个人权益的行为?
五、个人权利响应
21.用户投诉的渠道都有哪些呢,都有什么要求?
律师解答:在APP内部,用户可以通过平台内部设立的投诉通道反映需求并要求平台予以反馈。
除此以外,消费者还可依据《民法典》、《个人信息保护法》、《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益。
22.个人信息保护法中个人权利有哪些?
律师解答:根据《个人信息保护法》第四章个人在个人信息处理活动中的权利的规定,个人权利包括:第四十四条的知情决定权、第四十五条查阅复制权和数据携带权、第四十六条更正补充权、第四十七条删除权、第四十八条解释说明权等,另外根据第四十九条对去世近亲属享有个人信息查阅、复制、更正、删除等权利。
六、实名认证与生物识别
23.身份证号属于敏感个人信息,是一定不能收集么?
律师解答:不是。根据《个人信息保护法》,敏感个人信息可以被收集、处理,但应当满足以下条件:
(1)根据《个人信息保护法》第二十八条,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可收集敏感个人信息。
(2)根据第二十九条,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
(3)个人信息处理者处理敏感个人信息的,应当向个人信息主体告知《个人信息保护法》第十七条第一款规定的事项,以及处理敏感个人信息的必要性以及对个人权益的影响;依照《个人信息保护法》规定可以不向个人告知的除外。
24.平台用户使用手机号注册账号的行为是否属于完成了实名制?
25.实名认证现有哪些法律依据,需要符合何种合规要求?
律师解答:实名认证的法律规范难以一一列出,但基本分为信息网络、金融账户两大类型,其中金融账户类通常会采用最为严格的实名认证和身份验证方法,例如五要素认证,其他领域则通常仅需要注册手机号+验证码或者姓名+身份证即可。例如《反洗钱法》规定,金融机构应当按照规定建立客户身份识别制度,金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。《证券法》和《期货和衍生品法》也都要求账户实名制,只能使用自己实名开立的账户进行交易。此类实名认证一般还有可能伴随人脸识别、声纹识别、指纹识别等生物识别认证方式。
26.指纹、人脸识别等认证技术的应用应有注意哪些事项?
除了应当满足敏感个人信息通常要求,如基本的告知-同意并获得单独同意外,还应当满足以下要求:
(1)收集、使用此类生物识别信息应当具有充分的必要性,例如系应用于金融系统的平台身份验证,或者应用于严格保密机关的身份核验等;
(3)信息处理者应仅收集和使用摘要信息,避免收集其原始信息;
(5)个人生物识别信息应与个人身份信息分开存储,并且严格加密;
(7)个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
七、个性化推送
27.用户可以选择拒绝个性化推送么?
28.APP使用大数据和推荐算法要注意哪些问题?
(1)根据《互联网信息服务算法推荐管理规定》第六条,大数据及推荐算法内容要安全、合法,不得传播违法或不良信息。
(2)根据《互联网信息服务算法推荐管理规定》第七条,落实算法安全主体责任,建立健全算法机制。
(3)根据《互联网信息服务算法推荐管理规定》第十八条、第十九条,算法推荐应当对特殊人群设立特别保护。设定未成年模式,同时保护老年人合法权益及提供智能化适老服务老人。
(4)根据《个人信息保护法》第二十四条、《互联网信息服务算法推荐管理规定》第十八条、第十九条规定,算法禁止大数据杀熟,算法应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。
29.仅根据单一的设备ID进行内容推荐的行为是否属于个性化推荐?
律师解答:按照个性化推进的定义来看,通过单一设备ID进行内容推荐的行为是符合该定义的。
30.基于特定标签信息在特定场景向特定人群发送问卷的行为属于算法推荐?
律师解答:我们认为属于。特定标签信息系基于对用户信息的收集、处理、加工后的用户描述,如果个人信息处理者只是设定函数,明确在何种特定场景向何类具有特定标签信息的特定人群发送问卷,算法自行在用户库中选择具有此类特征的特定用户发送问卷,并向个人信息处理者反馈结果,则应当认为属于算法推荐。
31.企业在向用户发送营销信息前,是否要获得用户的单独同意?
八、第三方接入
32.SDK和App之间的关系是什么?
律师解答:根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》》规定,SDK是APP内嵌的第三方开发组件,从App个人信息安全的角度来看,原则上App提供者是App个人信息控制者及保护用户个人信息安全的首要责任人,SDK提供者按照App使用SDK的不同方式承担相应的个人信息安全责任。具体而言:
a)当App使用的是嵌入SDK,或App提供方与SDK提供方是同一方时,由App提供方承担保护个人信息安全责任;
c)如果App提供者和SDK提供者均是以单独身份向App用户提供服务,且均自行决定处理数据的目的与方式时;App提供者和SDK提供者是个人信息共同控制者,需通过合同等形式约定各自承担的责任。如存在侵害个人信息权益,应承担连带责任。
33.SDK和API的关系是什么?
律师解答:有观点认为,SDK包含API。API是“应用程序编程接口”,方便API的使用者随时调用数据,而SDK作为软件工具包,包含各类功能,通常亦包含此类功能。
34.在接入SDK服务时有什么注意事项?
另外建议APP与SDK之间明确责任划分,如果可以尽量以协议模式明确责任承担。
除此以外,建议网络运营者向个人信息主体明确SDK的身份。根据推荐性标准《信息安全技术个人信息安全规范》个人信息控制者应当向个人信息主体明确告知第三方身份,如果未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
九、特别主体的合规要求
35.APP适老化及无障碍改造有哪些改造要点?
律师解答:根据国务院办公厅印发的《关于切实解决老年人运用智能技术困难的实施方案》、《工业和信息化部关于印发<互联网应用适老化及无障碍改造专项行动方案>的通知》、《移动互联网应用(APP)适老化通用设计规范》和国家标准GB/T37668-2019《信息技术互联网内容无障碍可访问性技术要求与测试方法》,APP适老化及无障碍改造的要点主要是:
(1)界面操作易感知,例如字号大小、行间距、对比度、颜色等选择适合老人使用习惯的界面,另外结合声音、文字等综合手段为老人打造操作方便的界面模式;
(4)其他还包括:提供一键操作、文本输入提示等多种无障碍功能;提升方言识别能力,方便不会普通话的老人使用智能设备。
36.APP针对儿童个人信息保护需要注意哪些合规要点?
律师解答:根据国家互联网信息办公室发布《儿童个人信息网络保护规定》,网络运营者网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,除此以外需要注意以下合规要点:
(1)设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
(2)应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
a)网络运营者征得同意时,应当同时提供拒绝选项,并明确告知:
b)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
c)儿童个人信息存储的地点、期限和到期后的处理方式;
d)儿童个人信息的安全保障措施;
e)拒绝的后果;
f)投诉、举报的渠道和方式;
g)更正、删除儿童个人信息的途径和方法;
h)其他应当告知的事项。
(3)前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
(4)不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息,存储儿童个人信息不得超过实现其收集、使用目的所必需的期限。
(5)应当采取加密等措施存储儿童个人信息,确保信息安全。
(7)委托第三方处理儿童个人信息的,应当加强对第三方的管理、评估,并与其签订委托协议。
(8)网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。
(9)对儿童或者其监护人要求网络运营者予以更正、删除的请求及时采取措施。
(11)网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
十、个人信息的范围
37.APP运营企业目前需要特别注意哪些规则与标准?
律师解答:包括但不限于:
(1)《网络安全审查办法》
(2)《电信和互联网行业数据安全标准体系建设指南》
(3)《车联网网络安全和数据安全标准体系建设指南》
(4)《基础电信企业重要数据识别指南》2019-0217T-YDCCSA
(5)《信息安全技术个人信息安全规范》(GB/T35273–2020)
(6)《数据出境安全评估办法》
(7)《金融数据安全数据安全分级指南》(JR/T0197–2020)
(8)《金融数据安全数据生命周期安全规范》(JR/T0223–2021)
(9)《证券期货业数据分类分级指引》(JR/T0158-2018)
(10)《汽车数据安全管理若干规定(试行)》
(11)《工业和信息化部关于加强车联网网络安全和数据安全工作的通知(工信部网安〔2021〕134号)》
(12)《国家健康医疗大数据标准、安全和服务管理办法(试行)》
(13)《信息安全技术健康医疗数据安全指南》
(14)《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
(15)《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》
(16)《网络安全标准实践指南——移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
(17)《基础电信企业数据分类分级方法》
(18)《基础电信企业重要数据识别指南》
(19)《电信网和互联网数据安全评估规范》
(20)《电信网和互联网数据安全通用要求》
38.个人信息和敏感个人信息的定义和范围是哪些?
律师解答:根据《个人信息保护法》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
39.必要个人信息如何理解?
律师解答:根据《关于印发<常见类型移动互联网应用程序必要个人信息范围规定>的通知》第三条规定,必要个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。
40.系统权限的申请和使用要求
律师解答:参考《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》来看,系统权限的申请和使用分别应当遵循以下原则与要求:
(1)权限申请应当遵循最小必要原则、用户可知原则、不强制不捆绑原则、动态申请原则,具体要求为:
e)如用户拒绝或撤回授予某服务类型非必要系统权限,App不应强制退出或关闭,且不影响与此权限无关的业务功能使用。
f)如用户明确拒绝App业务功能所需权限,App不应频繁申请系统权限干扰用户正常使用,除非由用户主动触发功能,且没有该权限参与此业务功能无法实现。“频繁”的形式包括但不限于:
i.单个场景在用户拒绝权限后,48小时内弹窗提示用户打开系统权限的次数超过1次;
g)除仅用于安全风控场景外,App不应收集不可变更的唯一设备识别码(如IMEI、MAC地址)。
h)定向推送和用户画像场景下标识用户时,应使用可重置的标识符,且标识符不与可识别用户身份信息或不可变更的唯一设备识别码关联。
i)如App业务功能所需的权限被用户拒绝且选择禁止后不再提示,当用户再次使用此功能时,宜以不干扰用户的方式(如文字提示)引导用户到系统设置中去开启所需权限。
k)内嵌第三方SDK的App,宜要求SDK向App明示申请的系统权限及申请目的。
l)App宜对内嵌第三方SDK申请使用权限进行审核,确保其申请的权限有业务功能场景对应,且不超过约定的范围。
(2)权限使用应当遵循一致性原则、不扩散原则、访问显性化原则,具体使用要求包括:
b)权限申请后自动采集个人信息的频率应在实现App业务功能所必需的最低合理频率范围内。
d)若系统权限申请目的、使用场景发生变化,应重新告知用户。
e)当App对外提供的接口涉及个人信息,且操作系统定义的权限无法达到目的时,App应通过自定义权限对访问个人信息的对外交互组件设置合理的访问权限。
f)App自定义权限应严格按照操作系统权限要求定义和命名,确保完整、清晰、准确,并为权限配置合理的保护级别。
g)以下操作应由用户主动触发,并在用户知情情况下执行:
ii.打开或关闭Wi-Fi、蓝牙、GPS等;
iii.拍摄、录音、截屏、录屏等;
iv.读写用户短信、联系人等个人信息。
v.不应隐蔽收集个人信息,当录音、拍摄、录屏、定位等敏感功
vi.能在后台执行时,应采用显著方式(如图标闪烁、状态栏提示、自定
vii.义提示条等)提示用户。
k)提供小程序接入平台的App,宜要求小程序向接入平台说明申请的系统权限及申请目的。
律师解答:《信息安全技术个人信息安全规范》中附录A列举的设备信息,包括指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息,对于不可变更的唯一设备识别码,APP不应收集。定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联,并且应控制收集频率。