前言:
有一段时间没更新关于用户隐私相关的内容了。随着去年 11 月《个人信息保护法》的更新,四部委和工信部又下达了一批新的标准,这一篇就是记录一下这半年来项目里关于保护用户隐私部分的优化。
一、用户未同意隐私政策之前收集用户敏感信息/权限
这个问题是比较普遍的,就是用户安装完 APP 之后,未点同意之前,收集了敏感信息/权限。
所以在用户点击同意之前,不可以有任何获取 Android ID、 IP、Mac 、用户账号密码等用户个人隐私信息行为出现,包括动态权限申请。包括在 SDCard 写入数据,尽管没有申请存储权限无法写入成功写入数据,但这个行为也是会被检测到的,依旧是违规的。
这类问题严重程度偏高,侵犯用户隐私的,也是市面上 APP 被工信部通报的最多的。
二、动态权限申请和敏感信息收集
APP 在申请系统运行时权限时,必须针对特定场景,避免过度申请权限,并且要先弹框告知用户申请该权限的目的。遵循最小化原则。
最小化原则:例:调用系统相机,我们只需要申请 CAMERA 权限,如果同时又申请了存储权限,那么就是违规的,不合理的。
例:更换头像功能,调用系统相机需要申请 CAMERA 权限。那么应该在用户触发功能时,先弹框告知用户申请权限的具体目的:为了调起系统相机,拍照用于更换头像。如果用户拒绝授权,应该弹框告知用户拒绝授权会影响此功能。让用户体验好一点的做法,是同时提供按钮给用户跳转设置权限的页面。
例:用户转账(涉及银行卡号、转账账号),实名认证