个人信息保护合规漫谈:开发者应谨记“非必要不申请权限”原则

2024-07-29 10:12:59 商业在线 

自中央网信办、工业和信息化部、公安部、市场监管总局于2019年1月25日发布《关于开展App违法违规收集使用个人信息专项治理的公告》,以及监管部门在全国范围组织开展App违法违规收集使用个人信息专项治理以来,截至2024年3月,工信部已累计通报了涉及各类App(SDK)的36批侵害用户权益行为,各地通信管理局、网信办、公安、人民银行各地分行等监管部门也各自有相关通报发布,对侵害用户权益的App进行通报和下架处理。这些行动彰显了监管部门对个人信息保护工作的高度重视。

去年下半年,上海网信办公布了常见的违法违规收集使用个人信息的场景,其中主要包括强制消费者同意不相关的第三方产品隐私政策、强制收集消费者非必要个人信息、频繁收集消费者非必要个人信息、未经消费者同意收集使用个人信息等方面。

为帮助App开发者更好理解个人信息保护合规要求,我们将陆续推出个人信息保护合规系列文章,本文为该系列第一篇,笔者将对某App被通报问题及其解决方案进行说明,旨在帮助开发者在开发阶段避免出现同类问题。

问题描述:违反必要原则,收集与其提供的服务无关的个人信息(强制收集消费者非必要个人信息)。

常见场景:拍照时强制申请存储权限

部分App集成的拍照相关功能会默认申请存储权限用于缓存照片,但实际使用时照片缓存不必要在外置SD卡进行,若在拍照时申请了外置存储相关权限,则存在被通报的可能性。

解决方法

①在使用拍照功能时注意不要申请存储权限;

②进行功能设计时不要在外置存储/公共存储区域中缓存图像等信息,如有需求,可在私有目录进行缓存;

③若涉及拍照功能由SDK实现,如存在问题则需督促SDK厂商修改或关注是否可以通过配置实现不申请存储权限的效果;

④常见的涉及相机权限的功能有:人脸识别、OCR识别、扫一扫、更换头像、上传图片资料等。

CFCA个人信息保护合规检测服务

中国金融认证中心(CFCA)是由中国人民银行于1998年牵头组建,经国家信息安全管理机构批准成立的权威电子认证机构,历经20余年积淀,发展成为以网络安全综合服务为核心的科技企业。

针对企业个人信息保护合规痛点,CFCA推出个人信息保护合规检测,帮助企业进行合规改造、减少通报情况、维护企业形象。CFCA依托自身对个人信息保护合规标准的理解和把控,和对数百家客户App检测情况的了解,综合提炼标准要求,分析标准要求的具体落地场景,为企业客户提供全方位的合规检测服务。

检测内容覆盖个人信息收集、传输、存储、使用、销毁全生命周期,配合CFCA自主研发的个人信息检测辅助系统,以专家检测+自动化工具检测的形式多维度开展检测工作,助力企业客户合规展业。

部分依据标准

● 《App违法违规收集使用个人信息行为认定方法》【国信办秘字〔2019〕191号】

● 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》【工信部信管函〔2020〕164号】

● 《信息安全技术个人信息安全规范》【GB/T 35273-2020】

● 《个人金融信息保护技术规范》【JR/T 0171-2020】

● 《常见类型移动互联网应用程序必要个人信息范围规定》【国信办秘字〔2021〕14号】

项目收益

CFCA检测服务优势

目前,CFCA具有超过1000款金融App的检测经验,检测服务受众涵盖包括国有大行、全国性股份行等在内的各类银行客户。CFCA检测团队曾获得多项国家、省部级安全竞赛奖项,2022年在国家认监委组织的移动应用程序个人信息安全检测竞赛中夺得第一名。

CFCA在网络安全、数据安全、个人信息保护等领域有着丰富的经验和深厚的积累,今后也将持续提供相关检测服务。

(免责声明:此文内容为广告,相关素材由广告主提供,广告主对本广告内容的真实性负责。本网发布目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,请自行核实相关内容。广告内容仅供读者参考。)

(责任编辑:张晓波 )

【免责声明】【广告】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。邮箱:news_center@staff.hexun.com

看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门阅读

    和讯特稿

      推荐阅读