作为告知用户个人信息处理规则的重要窗口,隐私政策几乎成为所有App的“标准配置”。 自去年11月个人信息保护法施行以来,不断有法律法规对隐私政策的制定提出更高的要求。
5月26日,全国信息安全标准化技术委员会发布了《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿),《要求》指出隐私协议应清晰、准确、完整地描述个人信息处理者的个人信息处理行为,并以便于用户阅读、理解的视角,向个人信息主体展现可能会对个人权益产生影响的重点内容。
针对以上情况,App隐私合规的相关检测如下:
- 检测内容
在App中是否具有隐私政策,或者隐私政策中是否具有收集使用个人信息规则的相关内容。
- 检测依据
1.《中华人民共和国网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
2.《App违法违规收集使用个人信息行为认定方法》第一条以下行为可被认定为“未公开收集使用规则”第一款:在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
3.《GB/T 35273—2020 信息安全技术 个人信息安全规范》—5.5 个人信息保护政策
4.《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》— App收集个人信息基本要求
5. 《中华人民共和国网络安全法》
- 检测要点
(1)App应提供“由App运营者制定的关于用户个人信息的收集、使用等方面的规则,即隐私政策”;
(2)隐私政策应可通过“弹窗、文本链接、功能菜单”等形式提供用户阅读;
(3)隐私政策是否存在链接无效、文本不能正常显示,或隐私政策中没有包含该App收集使用个人信息规则;
- 检测案例
样本App安装在检测手机上后,首次启动时,无弹窗提示的隐私政策,同时操作App多个页面也未发现存在隐私政策,如下图如示:
在首次打开App时以及App内其他页面及设置中未发现该App声明的隐私政策,判定该App中无隐私政策,涉嫌隐私不合规。
- 整改建议
App应制定隐私政策,并且在隐私政策中应清晰、准确、完整地描述个人信息处理者的个人信息处理行为,及首次启动时,提醒用户阅读《隐私政策》。