隐私政策
隐私政策是法律规定的APP运营者向APP使用者和监管部门展示的涉及用户个人信息保护、收集以及使用的条款,是APP运营者满足监管要求的必备要件。按照《中华人民共和国个人信息保护法》要求,隐私政策中具体应包括以下的内容:
-
- 结合实际情况列明隐私政策中相关定义;
- 隐私政策的修改,列明修改的权利保障、修改后通知方式等;
- 各业务功能采集、收集的个人信息的类型、目的、方式;
- 个人信息的共享、转让、公开披露的原则及具体规则,包括个人信息的跨境传输;
- 个人信息的保存与保护:个人信息存储的地域、期限、超期处理的方式以及采取的数据安全保护手段;
- 个人信息主体享有的权利,并列明每种权利行使的方式;
- 如果业务涉及儿童的,需要列出儿童个人信息处理原则和方式;
- cookies和其他同类技术:说明这些技术使用的目的、限制的方式;
- 个人信息主体投诉渠道和反馈机制;
以自然语言编写的隐私政策是告知用户APP如何以及为什么收集、使用和共享用户数据的主要手段。然而,隐私政策本质上是一种复杂的法律文件,通常篇幅较长、内容繁杂,对APP使用者、专家和算法来说均难以解释。因此隐私政策自动化分析有助于梳理结构化的隐私政策内容,挖掘隐私政策中的重点信息,进而分析应用的合规问题。
违规问题
随着移动智能终端的普及和4G、5G技术的发展,移动应用的种类和数量均呈爆炸式增长,各种各样的移动应用早已渗透到我们生活的方方面面,但同时,我们的个人隐私信息早已不知不觉成为移动应用厂商的囊中之物。目前,针对个人信息保护,相关组织已相继出台了大量标准,如欧盟2018年5月25日出台的《通用数据保护条例》(GDPR),我国2021年11月1日施行的《中华人民共和国个人信息保护法》等。虽然各方在个人信息保护规范上做了大量工作,但移动应用环境中仍然存在着大量不符合个人信息保护规范的应用。APP的合法违规问题主要涉及到以下的内容:
合规性
上述提到法律法规约束隐私政策中应说明“各业务功能采集、收集的个人信息的类型、目的、方式”,因此若隐私政策中说明了某个业务功能会收集用户的某类个人信息但没有明确声明采集该个人信息的目的,该APP则会涉及违法违规问题;同理,若隐私政策中前半部分声明了某个业务功能会收集用户的某类个人信息,后半部分又声明了某个业务功能不会收集用户的某类个人信息,两类个人信息存在交集,该APP也会涉及违法违规问题。所以合规性检测需要提取隐私政策的数据使用类型、目的、交互方等信息,进而对提取的信息进行逻辑分析挖掘违规问题。
一致性
上述提到法律法规约束隐私政策中应说明“各业务功能采集、收集的个人信息的类型、目的、方式”、“个人信息的共享、转让、公开披露的原则及具体规则,包括个人信息的跨境传输”,因此若隐私政策中没有说明某个业务功能会收集用户的某类个人信息,但在实际运行过程中APP申请相关的权限收集了该信息,该APP则会涉及违法违规问题;同理,若隐私政策中没有说明会分享用户的某类个人信息至第三方,但在实际运行过程中APP向第三方发送了包含该信息的流量包,该APP也会涉及违法违规问题。所以一致性检测需要提取隐私政策的数据使用类型、目的、交互方等信息,还需要分析应用的运行行为,进而挖掘违规问题。
其他
《APP违法违规收集使用个人信息行为认定方法》、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治》、《网络安全标准实践指南—移动互联网应用程序收集使用个人信息自评估指南》等法规对应用的行为还有其他的约束。例如,在APP首次运行时是否通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则是否难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;是否以默认选择同意隐私政策等非明示方式征求用户同意;是否仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息。
