1、违规收集个人信息
情形一: APP首次启动时,未有以弹窗形式明示个人信息保护政策。
改进建议: APP首次启动时,以弹窗等形式向用户明示个人信息保护政策。
情形二: 个人信息保护政策未有说明个人信息处理的目的、方式和范围,如个人信息保护政策为公司官网等与个人信息保护无关的内容。
改进建议: 个人信息保护政策须说明个人信息处理的目的、方式和范围,个人信息保护政策模板可参考GB/T 35273-2020《信息安全技术 个人信息安全规范》附录D。
情形三: 在用户阅读个人信息保护政策前,存在收集个人信息的行为。
改进建议: 建议修改相关代码,停止在用户阅读个人信息保护政策前收集个人信息(个人信息包括不限于IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等)。
2、违规使用个人信息
情形一: App未见向用户明示分享的第三方名称、目的及个人信息类型,用户同意个人信息保护政策后,存在将个人信息发送给第三方SDK的行为。
改进建议: 建议修改APP个人信息保护政策,APP须在个人信息保护政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围,并征得用户同意;建议修改相关代码,在用户同意前,停止将个人信息发送给第三方SDK。
3、强制用户使用定向推送功能
情形一: APP个人信息保护政策中存在“向您提供更加个性的内容”等内容,明示存在定向推送功能,但未见提供退出或关闭个性化展示模式的选项。
改进建议: 若APP存在定向推送功能,应提供应提供便捷有效的退出或关闭个性化展示模式的选项,如拒绝接受定向推送信息,或停止、退出、关闭相应功能的机制。
4、APP强制、频繁、过度索取权限
情形一: APP首次启动或用户使用期间,向用户索取权限,用户拒绝授权后,APP强制退出、关闭、白屏、或者循环弹窗,使用户无法继续使用。
改进建议: APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP应至少保证正常浏览,而不应退出、关闭、白屏、或者循环弹窗,影响用户正常使用。
情形二: 用户注册登录时,向用户索取权限,用户拒绝授权后,无法注册或登录。
改进建议: 用户注册登录时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP应依然提供注册或登录服务。
情形三: APP首次启动或用户使用期间,在用户明确拒绝权限申请后,用户仅浏览或前后台切换等未有主动触发权限所涉及的业务场景,再次弹窗申请权限。
改进建议: APP运行时,在用户明确拒绝通讯录、定位、短信、录音、相机、日历、电话、存储、通知等权限申请后,应不再向用户频繁弹窗申请与当前服务场景无关的权限,并保证用户正常使用。
情形四: 在用户明确拒绝权限申请后,退出APP后再重新启动后,立刻弹窗申请权限。
改进建议: 在用户明确拒绝通讯录、定位、短信、录音、相机、日历、电话、存储、通知等权限申请后,重新运行时,非用户主动触发权限所涉及的业务场景,应不再向用户弹窗申请与当前服务场景无关的权限,并保证用户正常使用APP。
另外,APP或SDK收集个人信息频率不应超出实现产品或服务的业务功能所必需的最低频率。
为更好的保护用户个人信息,提升整体生态的稳定性,我们推荐APP或SDK周期性读取个人信息的行为尽量不要超过每30s一次。目前不会强制您调整,您可以根据业务功能实际情况,结合我们的反馈,进行评估是否需要优化。