安卓APP迎来隐私合规管理细则!

2022-11-02 15:04 栏目:行业动态 查看()

2021年5月1日,国家四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》)将正式实施。
《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务,要求各地各相关单位督促App运营者抓紧落实处理违法违规收集使用个人信息行为。

新规特定:
① 一是《规定》第二条规定“App包括移动智能终端预置下载安装的应用软基于应用软件开放平台接口开发的用户无需安装即可使用的小程序”
② 二是《规定》按照基本功能服务分类以列举的方式写明39类App的必要信息,更加简明、清楚直观。采用描述性的语言概括基本功能服务,而非采用简单的应用市场归类形式,更便于App定位自身的功能服务。
③ 三是《规定》第三条明确必要个人信息范围,即“具体是指消费侧用户个人信息不包括服务供给侧用户个人信息。”此处首次根据App服务对象,将个人信息分为消费侧个人信息和服务侧个人信息。以网络约车类App为例,按照此处说明,《规定》只涵盖了打车用户使用的App,而驾车司机使用的App则不受此《规定》的约束。
④ 四是《规定》明确12类App无须个人信息即可使用基本功能服务。一方面,此类App在使用基本功能服务时,无需区分用户的身份,所以无须个人信息;另一方面,因“不打开与个人信息相关权限”是确保“不收集个人信息”的前提,且移动智能终端系统允许App申请的系统资源足够大,故App无需因运行需要再申请额外公用系统资源。即不存在不打开相关权限就无法运行的说法。由此可见,无须个人信息,相关App也是可运行的。

开发者们要符合新规从应用程序技术层面采取哪些必要措施?
① 对于开发人员,在编写申请与个人信息相关权限,通过系统函数接口自动收集用户个人信息代码时,只能访问《规定》里允许的信息,而不能收集该权限对应的其它个人信息;从代码库复制的代码需审计其个人信息收集的情况,采用cookie技术时,所收集的个人信息也应遵循《规定》的要求。
② 对于安全合规人员,应重视出厂检测工作。检测基本功能服务收集的个人信息是否在《规定》范围内,重点关注嵌入的第三方插件、代码是否也遵循了《规定》的要求。

总的来说,这条新规更精准、更有力也更有持久性,同时也对App开发者提出了更高的要求。 “App要获取哪些权限应主动、详尽告知应用商店,还应请第三方机构对App相关信息、权限获取功能进行检测,提前发现隐私合规隐患,才能有效避免上架问题。

扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流

郑重申明:尖角科技以外的任何单位或个人,不得使用该案例作为工作成功展示!