阅读 6338
对开发者而言《个人信息保护法》更新究竟是什么?如何应对适配?

对开发者而言《个人信息保护法》更新究竟是什么?如何应对适配?

相信很多 iOS 开发或者 iPhone 用户都收到过下图这封邮件,事实上国内关于“个人隐私安全”的适配风已经在国内各大应用商店刮了一阵,这次苹果也是顺应潮流跟进政策,因为今年 11 月 1 号开始,《个人信息保护法》就正式实施了

收到邮件的开发们可能会有些云里雾里,实施就实施呗,和我有什么关系?

不过相信随着最近大家 iOS App 的更新,越来越多的应用开始 “适配” 这个规则后,大家应该也能体会到这种大势所趋的画面。

可以看到各大应用厂商都通过了自己的方式来提醒用户,比如:

  • 更新应用后的首页弹出框(微信,交行,平安,B站)等等;
  • 通过通知中心提醒用户协议更新(携程);

是的,适配其实很简单,就是在应用里增加提醒,告诉用户隐私条款和用户协议有更新,最重要是让他点同意,并且放出新的隐私政策。

更新的内容主要是围绕了几个部分,其中重点的内容可以看微信的指引:

  • 新增加个人信息的导出机制;
  • 收集信息的使用范围和使用方式披露;
  • 广告利用个人信息推送广告和大数据杀熟的规范与处理;
  • 共享信息的规范;

其中 新增加个人信息的导出机制 这个就很有意思了,在《个人信息保护法》生效后,各大平台的 APP 都开始适配和升级,但如果你仔细去看的话,就会注意到一个重点 :“获取个人信息副本”的权利

如果你仔细去看大家的更新条款,就会看到很多都有 “获取您的个人信息副本” 的方式,比如一般是在 我的-设置-隐私中心-个人信息下载 类似这样的路径。

借用文章《个保法生效后,各大平台“个人信息副本”的申请获取实践》 里的总结,也就是:

  • 关于获取个人信息的副本的前提,基本表述为:

    • (1)符合相关法律规定+技术可行;

    • (2)法律允许;

    • (3)核实身份+法律法规无相反规定+隐私政策无相反规定;

    • (4)未在条款中声明前提而是直接告诉用户有权获取副本;

 

  • 关于个人信息副本包含的内容,基本表述为:

    • (1)个人账号名下的内容;

    • (2)已收集的您的个人信息;

    • (3)我们收集存储的个人信息;

    • (4)基本资料、身份信息;

 

  • 关于获取个人信息副本的方式,基本表述为:

    • (1)从APP自行操作导出(无需人工审核);

    • (2)从APP指定反馈界面提交申请(需人工审核);

    • (3)通过指定的联系方式邮件或电话联系相关隐私保护部门;

也就是用户有权利下载和迁移自己的个人信息,方式可以是将个人信息推送到邮箱等方式

因为《个保法》第45条规定个人有查阅、复制其个人信息的权利(法律法规另有规定的除外)以及将个人信息转移至其指定的个人信息处理者的权利(需符合国家网信部门规定的条件)。

关于这一点可以参考支付宝,支付宝 App 更新的隐私保护功能主要有:

  • 随时查询个人信息档案
  • 管理隐私设置

另外针对《个人信息保护法》里还明确了:

  • 通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;

  • 处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;

  • 对违法处理个人信息的应用程序,责令暂停或者终止提供服务

对的,违反的会被下架, 比如《工信部下架 APP 常见问题整改方案汇总》 这篇文章,就总结了常见的因为个人信息而下架的问题。

还有,不只是你 App 做了适配, SDK 也要适配,比如高德 SDK 就为了合规推送了新的更新,所以大家记得去问问自己用的 SDK 和不合规。

还有一个重点,那就是不能用户不同意,你就不给用,用户不同意你只能不收集,如果真的不收集就影响功能,那请提供必要的反馈和证明给平台。

那对于 Android 而言呢?其实国内关于 Android 的个人隐私问题也已经早就部署起来,如果是在今年上架国内应用市场的应该感受过,不过之前是各个平台都有自己的标准,现在是大一统的规范了

Google Play 也对应的更新了关于权限和个人隐私要求的部署实施方案。其实这个隐私更新就和之前 iOS 平台的隐私标签更新很相近。

除此之外,未来还有一个关于个人信息的重要更新,那就是提供账号注销功能。 只要是有账号功能的,都要提供注销服务。

这个相信很多大厂都跟进了,只是这次平台规定了日期,在 1 月末之后开始要强制性要求提供服务,例如银行的 APP 也提供了注销的服务了。

如果 app 不包含基于帐户的重要功能,请允许用户在不登录的情况下使用。如果 app 支持帐户创建,则也必须在 app 内提供帐户删除功能。

最后还有,11 月 8 日,工信部就《关于开展信息通信服务感知提升行动的通知》进行解读,其中指出要 建立与第三方共享个人信息清单。

使用第三方 SDK 及其他第三方服务,已经成为 App 开发、运行过程中常见的技术手段,其在帮助 App 功能服务快速实现的同时,也引发一些侵害用户权益的问题。

比如支付宝,就罗列出了所有授权第三方的管理列表,其中点开可以看到每个第三方应用获取了你的哪些信息。

所以本次《个保法》实施以后,我们要做的就是:

  • 让用户和平台知道我们更新了条款;
  • 在用户不同意的时候,不能不给用,只能不收集;
  • 要准备好个人信息的导出支持;
  • 要支持账号的注销;
  • 共享个人信息需要提供管理清单,注意法规;

文章分类
Android