近日,工信部通报了22款APP、SDK存在侵害用户权益行为。通报超半数的原因违反了《个保法》最小化收集的原则,包括超范围收集个人信息,APP强制、频繁、过度索取权限。
此次通报没有说明违规细节,这里拿两个国外典型案例做参考:
2020 年 4 月 Zoom App 被披露存在数据泄露事故。此次事件是由于 Zoom App 内嵌的 Facebook SDK 在用户不知情的情况下向 Facebook 传输用户的手机型号、城市、广告唯一标识符、IP 地址等用户个人信息,Zoom App 在隐私政策内容中并未明确向用户描述这一操作,仅提及“当用户使用脸书帐号登录时,将会收集用户脸书帐号的个人资料”,这个案例属于比较典型的违规收集个人信息,违背了公开透明原则,隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容;
2019年9月,英国的倡导组织隐私国际发现,女性生理期跟踪应用(如MIA Fem和Maya)等,直接向Facebook发送诸如女性避孕药的使用、月经周期和其他女性生理症状等信息。这些应用的数据通过Facebook的软件开发组件(SDK)与Facebook共享,甚至在用户同意应用程序的隐私政策之前就开始分享。这个案例也属于比较典型的的违规收集个人信息,Privacy International针对经期记录类APP提出了建议:(1)在设计应用程序时考虑用户及其可能遇到的潜在危害,进行深入的隐私和风险影响评估;(2)限制收集数据,许多月经应用程序似乎要求了多余的数据,包括使用敏感的个人数据来构建其用户的个人资料,因此,这类APP只应收集应用程序状态所需的数据;(3)将数据共享仅限于提供服务所必需的内容。
<