近期APP個人信息保護以及整改措施的相關新聞受到廣泛關注,開發者對於合規的理解與實踐也時有疑問。作為服務了國內幾十萬開發者的移動開發者服務提供商,極光一直高度重視用戶個人信息保護、數據合規及數據安全問題,並持續更新、嚴格規範與開發者間的使用協議,提供便於使用的隱私政策模板,助力開發者更好地貫徹合規相關工作。同時為了高效推進與落實相關規定,讓開發者更清楚地理解極光SDK的合規性及在個人信息和隱私保護方面的方法和措施,極光編寫了《極光開發者應用合規指南》,並將根據法律法規和國家標準持續更新,供廣大開發者參考。
一、常見的違規問題有哪些?開發者應當如何做到合規?
Q:什麼是違規、超範圍收集用戶個人信息?
A: 違規收集個人信息即APP、SDK未告知用戶收集個人信息的目的、方式、範圍且未經用戶同意,私自收集用戶個人信息的行為。超範圍收集個人信息是指APP、SDK收集的個人信息的類型與實現產品或服務的業務功能沒有直接關聯。
開發者需做到:
制定一份獨立的《隱私政策》,向用戶明示收集使用個人信息的目的、方式和範圍。
為解決「超範圍收集個人信息」問題,您應當確保您的採集均與APP服務功能相關,所涉個人信息欄位均已在《隱私政策》中公示,並得到用戶授權。
使用極光SDK時需做到:
您的隱私政策應向終端用戶明示您在APP中部署極光SDK收集使用個人信息的目的、方式和範圍等,提供的數據安全保護標準應不低於和極光的協議約定。根據相關法律法規,極光SDK為實現部分業務功能、需要收集終端用戶的「網絡信息」和/或「位置信息」,前提是終端用戶需要授權開啟「讀寫SD卡權限」、「網絡訪問權限」、「設備信息權限」和/或「位置權限」。如果您的終端用戶不想被收集上述信息,可以通過關閉「讀寫SD卡權限」、「網絡訪問權限」、「設備信息權限」和/或「位置權限」實現。(請在極光官網最底部的菜單欄【關於我們-隱私政策】頁面查看具體業務功能、場景描述及信息處理方式)
Q:什麼是違規使用個人信息?
A:即APP、SDK未向用戶告知且未經用戶同意,私自使用個人信息,將用戶個人信息用於其提供服務之外的目的,特別是私自向其他應用或伺服器發送、共享用戶個人信息的行為。
開發者需做到:
APP應遵循「目的明確」的原則,即對收集的個人信息具有明確、清晰、具體的處理目的。同時應向終端用戶明示您處理個人信息的目的,並確保對個人信息的處理不超出所明示的目的範圍。
使用極光SDK時需做到:
極光建議APP開發者在其隱私政策中列明「極光SDK收集、使用APP最終用戶個人信息的類型、目的及範圍」,並在《隱私政策》中明確告知終端用戶,您謹慎地選擇了極光作為合作方,委託其收集、使用、加工和處理終端用戶個人信息,並允許極光對已收集的數據進行去標識化和聚合性的處理後,構建極光資料庫用以提供數據服務。但您同樣應向終端用戶提供易於操作的選擇退出機制,幫助終端用戶行使其作為個人信息主體的相關權利。
Q:什麼是APP強制、頻繁、過度索取權限?
A: 即APP安裝和運行時,向用戶索取與當前服務場景無關的權限;在用戶明確拒絕權限申請後,頻繁彈窗、反覆申請與當前服務場景無關權限的行為;未及時明確告知用戶索取權限的目的和用途,提前申請超出其業務功能等權限的行為。
開發者需做到:
為解決「強制索取權限」問題,您應當注意通過《隱私政策》等方式向用戶詳細說明APP需要調取的權限及目的,並保證權限調取均與服務功能相關。當用戶拒絕無關權限時,仍可以正常使用其他功能。
為解決「頻繁索取權限」問題,您需要注意在用戶拒絕授權後,不宜頻繁反覆申請權限。
為解決「過度索取權限」問題,您應當確保APP所需權限均與所提供的業務功能相關。對於簡訊、通訊錄、麥克風等高敏感權限,應當謹慎索取,並向用戶明確告知,取得用戶授權。
Q: 什麼是APP頻繁自啟動和關聯啟動?
A: 自啟動和關聯啟動針對不同的軟體和使用場景的需求不盡相同,例如需要及時收到信息的社交、辦公類APP,自啟動和關聯啟動是一種強需求,如果關掉會影響相應APP的必要信息推送。但對於使用頻次低、場景窄的APP,自啟動和關聯啟動的合理性需要考量。
開發者需做到:
遵循「公開透明」和「最小必要」原則。APP開發者應向用戶告知且經用戶同意的情況下進行自啟動或關聯啟動,並僅在合理的使用場景下,以為終端用戶提供服務為目的,以最小的頻次對APP的自啟動與關聯啟動進行配置設置。
使用極光SDK時需做到:
極光SDK只在APP開發者已知的情況下,幫助APP啟動應用後臺進程從而收到消息。同時極光也關注APP通過自啟動、關聯啟動被喚醒的頻次是否合理,是否符合實現產品或服務的業務功能所必需的最低頻率。
二、開發者如何草擬合規的隱私政策?
為幫助開發者方便快捷地制定隱私政策,極光針對地圖導航、網絡約車、網上購物等 21 類 APP所需的必要信息進行了整理,並輸出細分至各個類型APP的隱私政策模板,供開發者參考使用,開發者可從以下路徑下載文檔:登錄極光官網-進入開發者平臺-應用設置-隱私政策欄點擊更新協議-上傳協議文檔-下載協議模板。
三、隱私政策如何合規展示?
在頁面「設置/通用」-「隱私」-「隱私政策」
展示在註冊入口處
用戶初次註冊時,彈出框形式應可下拉,且界面應至少停留10秒,以用戶勾選、點擊「同意」或「下一步」等形式取得用戶同意
用戶協議、隱私政策修訂後,需要重新彈出並再次獲得用戶同意,彈出框形式可下拉,以用戶主動勾選、點擊「同意」等形式呈現
用戶協議、隱私政策應方便用戶再次訪問
四、極光對APP開發者的合規審查
當開發者用戶首次創建應用或老用戶未上傳隱私政策時,極光會在「應用設置」界面自動提示開發者上傳隱私政策並進入系統審核流程,審查APP開發者是否依法依規撰寫隱私政策、取得終端用戶的授權。
對於收集用戶個人信息不合規的開發者,極光會要求APP開發者修訂其隱私政策。在隱私政策上傳界面,極光還為開發者用戶提供了一站式的隱私政策模板服務,為開發者用戶提供便捷的隱私合規建議。
同時,為提升線上審核的準確性,我們會不定期地對已上傳的隱私政策進行人工審核並比對審核結果,優化審核程序。在與開發者合作過程中,極光會根據現行法律法規、國家標準以及官方通報,定期調研或抽查有合作的開發者的隱私政策。對隱私政策不符合規定的開發者,極光會發出整改通知要求開發者進行合規整改,直至符合合規要求。
五、極光推送SDK採取的防止用戶個人信息洩露的具體制度及技術措施
從數據處理生命周期角度來看,極光在提供服務過程中對個人信息的處理分為數據採集階段、數據傳輸階段、數據存儲階段、數據使用階段、數據處置階段。每一個階段極光推送SDK均採取了相應的技術措施以保障用戶個人信息的安全性,防止洩露用戶隱私。
作為深耕推送服務市場十年的移動開發者服務提供商,極光秉承"以開發者為中心"的戰略導向,不斷打磨、迭代產品技術,拓展多方合作,期望能為開發者提供更好更全面的服務,並為保護數據安全與用戶個人信息,推進移動應用生態合規發展,構建良性發展的網際網路生態環境而努力。