App个人信息保护合规指南:用户同意前不得收集信息或打开收集权限
App个人信息保护合规指南:用户同意前不得收集信息或打开收集权限
自中央网信办、工业和信息化部、公安部、市场监管总局于2019年1月25日发布《关于开展App违法违规收集使用个人信息专项治理的公告》,以及监管部门在全国范围组织开展App违法违规收集使用个人信息专项治理以来,截至2024年3月,工信部已累计通报了涉及各类App(SDK)的36批侵害用户权益行为,各地通信管理局、网信办、公安、人民银行各地分行等监管部门也各自有相关通报发布,对侵害用户权益的App进行通报和下架处理。这些行动彰显了监管部门对个人信息保护工作的高度重视。
为帮助App开发者更好理解个人信息保护合规要求,本文对某App被通报问题及其解决方法进行说明,旨在帮助开发者在开发阶段避免出现同类问题。
问题描述:征得用户同意前存在收集个人信息或打开“可收集个人信息”权限的行为
常见场景:
用户首次打开App时,未同意隐私政策,App就收集设备信息或弹窗申请权限(图1);
注册/登录时,在用户没有主动勾选同意隐私政策前,允许用户发送短信验证码等可采集用户信息的行为。
解决方法:
- App首次打开时,在用户同意隐私政策前不进行收集设备信息收集行为及不申请“可收集个人信息”的权限。
对于App自身代码,此时需要开发者排查相关收集设备信息或申请“可收集个人信息”的权限行为是否在用户点击同意隐私政策后触发,否则应将相关方法调整至用户点击同意隐私政策后;
对于第三方SDK的相关行为,解决这种问题的常用做法是可以通过设置一个标志值,当用户同意隐私政策标志值发生改变后再初始化SDK。随着监管力度的加强,部分SDK也逐渐提供了相应的解决方案,图2某在线地图SDK提供了隐私合规接口。所以在针对第三方SDK同意隐私政策前的收集行为时,开发者可以查阅一下SDK供应商是否提供了解决方案,如果没有,则可以用上述方案进行合规化整改。
- App注册/登录时,用户未勾选同意隐私政策前不允许用户进行发送短信验证码等能采集用户信息的行为。如图3:
部分依据标准:
《App违法违规收集使用个人信息行为认定方法》【国信办秘字〔2019〕191号】
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》【工信部信管函〔2020〕164号】
《信息安全技术个人信息安全规范》【GB/T 35273-2020】
《个人金融信息保护技术规范》【JR/T 0171-2020】
《常见类型移动互联网应用程序必要个人信息范围规定》【国信办秘字〔2021〕14号】