编辑导读:现如今,互联网的快速发展一方面让人们的生活更加便利,另一方面也让信息暴露越来越严重。因此,针对互联网产品的用户信息合规性和隐私协议也越来越规范和严格。本文作者对此进行了分析,希望对你有帮助。
一、背景
2021年是网络安全和社交应用用户信息合规化相当被重视的一年,对网络社交个人信息和未成人保护已经提升到空前的高度。
这对于用户来说,是件好事,毕竟谁也不希望自己的个人信息无故被泄露,比如车险到期,一天内可以接到十几个的大小车险公司的电话;莫名其妙收到短信:附近有美丽可爱的小姐姐在线等你哦~。
而未成年人这块,当前社会环境下,未成年人低龄化开始接触手机,在没有完全自主意识情况下,很容易在游戏或者社交类的应用中,随意过度的消费,报警讨回大额充值的案件越来越多,涉案金额也非常之高。
二、导读
文章会结合笔者2021年的工作经历谈一谈社交应用在合规性和《隐私协议》上做出了哪些调整。调整引导都是来于工信部下发的文件、工信合作的第三方公司,结合应用本身,指出社交应用中哪些是容易有问题的地方。笔者目前项目是音视频语聊社交项目,本文会按照2021年整改意见和时间线来写,希望对相关行业同学们有所帮助,少踩坑。
以下是参考文件:
《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
三、用户信息合规性自查
2021至今年工信部官网已经公布十几批违规下架的应用名单,以下截图为2021年第8批上报的名单:
从单期的报告我们可以知晓网安会对android和iOS的应用进行全面检查,结合人工和机器检查。所涉问题基本来源于以上参考文件。笔者整理了前8批下架的应用,对集中检查的点做了以下归纳,主要如下:
回溯了官网,对合规检测标准,工信部依然是使用以上参考意见,暂时未做更新。
针对以上合规问题的描述,笔者结合了下发的参考意见和工信部合作三方的修改意见在应用内开展了自查,从APP上架运营至今3年,对可能涉及合规相关的功能进行了规则确认。具体做了以下调整:
1. 开屏广告
针对开屏广告,合规检测认定的违规是:
开屏广告信息骚扰用户: 移动智能终端应用软件启动弹窗信息页面未提供显著、有效的关闭或跳过功能,或利用文字、图片、视频等方式欺骗误导用户跳转至其他页面。
场景1: APP启动时,开屏弹窗信息页面未提供关闭/跳过按钮,或者按钮过小或非常隐藏,导致用户找不到或者弹窗信息关不掉,无法进入使用界面。
场景2: APP启动时,开屏弹窗信息使用整屏图片作为跳转链接,或采用欺骗诱导性文字描述,导致用户在非知情自愿的情况下,碰触页面任意区域都跳转至其他页面或下载其他应用程序。
笔者给出交互上合规的做法:
①有明确的跳过或关闭按钮。
②有明确的广告提示和跳转链接引导。
还有一些关于内容合规的,比如某夕夕,开屏的时候弹出给用户发红包的广告,实质是诱导用户点击广告进入相关的活动页面。这种从合规的严格意义上来说,是不被允许的。如果有用户投诉,可以定义为用诱导性文字在用户不知情的情况跳转到其他页面。
2. 地址位置权限
位置权限的要求:
①应用与用户的位置无关时,不得向用户索取位置权限。
②如操作系统支持,应允许用户在始终允许(前台和后台)、使用应用时允许(前台)、单次授权、禁止获取位置信息四种状态中进行选择授权。
③除地图导航、运动健身需要持续获得位置权限的服务类型外,其他服务类型不应申请后台位置权限。(ACCESS_BACKGROUND_LOCATION)
④借助访问粗略位置权限(ACCESS_COARSE_LOCATION)即可实现业务功能的相关APP,不建议申请精准位置权限(ACCESS_FINE_LOCATION)。
笔者分析本项目只需使用访问粗略位置权限即可,笔者给出的合规做法:
关于地址位置的合规性使用,还要从项目的性质出发。社交类型的应用期初都会使用用户的精细位置,目的是为了支持“同城”、“附近的人”的功能,甚至会具体细化到附近X米内的用户。比如微信的摇一摇寻找附近的人。而到了中后期这些功能会带有擦边球的风险,从管控角度出发,社交应用建议下架“同城”、“附近的人”等功能。这种情况下,大多数应用都没有使用“精确位置”的场景支持。
3. 违规/超范围收集用户信息(合规要求非常严格)
这一点,工信部在合规方面做了很多要求,且不容易自查出,可借鉴第三方检测机构,以下来源于工信部第三方公司认定的违规:
①未公开收集使用规则:APP未在隐私政策中说明撤回授权同意的方法。
②未明示手机使用个人信息的目的、方式和范围:APP未在隐私政策中逐一说明自己以及第三方SDK收集使用IMSI个人信息;未明示照片墙、QQ、签名等用户信息的目的、方式和范围;APP仅依赖系统弹窗向用户索取存储、电话权限、未同步告知用户目的,用户无法得知开启该类权限的真实目的。
③违反必要原则,收集与其提供服务无关的个人信息:APP在运行时,点击不同页面均会上传IMEI信息,非服务所必需且无合理应用场景,超出实现产品或服务的业务功能必须的最低频率。
其实违规和超范围是不太好定义的,违规本身就是一个形容词,超范围、频繁、过度、无告知用户收集都可以算违规。收集后没有正确地保存方式也可以定义为违规。
很多应用会统计用户的IMEI或者IDFA用于统计某段时间的市场推广带来的用户属性,或者分析大R付费的终端属性等。为了全面收集到这些信息,会在活动页或者主功能页增加这些信息的上报统计。这些是项目正常以数据为依托迭代的常用做法,但合规要求认为收集这些信息太频繁,而对用户来说,没有明确的目的。
还有些应用接入的第三方SDK。比如:为了保证平台图片、文字、音频等内容的合规性,会接入数美的内容反垃圾的SDK。这些SDK也会收集一些用户的设备信息。这些设备信息可能会和应用本身收集重复。合规将这种场景也定义为频繁。而且应用前期是并不知道第三方有这些收集规则,所以也没有在隐私合规中提前报备。
这些场景在应用中非常多。合规的检测是结合人审和机审,机审就涉及到代码层面的要求了。为此我们找到了工信部合作的第三方公司,还咨询了相关方面的律所,得到以下结论:
①谁收集:要告知用户收集了哪些信息,是应用收集还是第三方SDK收集,第三方收集了哪些信息。
②干什么:收集了这些信息是为了达到什么目的。
③怎么存:收集到这些信息后如何保存,有没有泄露的风险。
④不收集行不行:用户如果不同意在应用内填写或者不同意获取授权,可否继续正常使用应用。或者开启授权后,想要关闭在哪里操作。
我们做了哪些应对这些合规的要求?
①隐私政策中逐一说明自己以及第三方SDK收集使用个人信息的目的、方式、范围。并在最后标明“该部分内容设立了个人信息保护专职部门”等字样。隐私政策更新日期、生效日期标明清楚。
②隐私政策中涉及业务功能收集个人信息的列举中,不要使用“等”、“例如”字样。
③隐私政策中关于打开授权和关闭授权的方法要有具体说明。
④针对主动弹窗索取权限的行为,需要同步告知用户开启权限的目的,在首次弹窗的界面告知用户开启上述权限的目的,或者在需要的场景索取权限时额外弹窗告知索取权限的目的。
⑤APP运行时,不频繁收集用户的个人信息。
⑥后台保存用户基本信息修改记录,对敏感信息加密处理。并预留了违规敏感字的处理方案。
4. APP强制、频繁、过度索取用户权限
针对权限申请,合规性要求的原则:
①最小必要原则:仅申请APP业务场景相关的权限。
②用户可知原则:申请的权限均有明确、合理的使用场景,并告知用户权限申请的目的。
③不强制不捆绑原则:不应强制申请原则,不要求用户一次性打开授权同意打开多个可收集个人信息权限。
④动态申请原则:所需的权限应在应用对应的场景发生时动态申请。不提前申请与当前应用无关的权限。
很多应用在进入首页时,会打开可能至少有4-5个弹窗,非常影响用户体验。一类是产品内营销类型的弹窗,比如新人引导、签到等;一类是应用的授权申请。合规要求对应用授权这一类做了严格的规定。其实还是最小、必要原则。不在用户进入首页时一股脑的申请通讯录、通话、照相等权限,这种做法有两个问题,一是没有到必要的场景,比如首页并不需要拍照,去申请拍照或者相册权限。二是过度索取授权,比如很多应用没有需要使用到用户通讯录的功能,而向用户索取读取通讯录权限。
这一点合规的要求其实非常清楚,我们要做的是整理应用内的场景,并在场景触发时申请授权。比如当用户需要修改头像或者上传照片等跟拍照功能相关的权限时,索取拍照权限;当用户需要修改位置时,获取用户粗略位置权限等。这里要注意如果用户首次拒绝授权,应该不影响用户的正常使用,而是告知用户某些功能由于未开启授权而功能受限,如何去开启授权。要做友好的引导。
5. 账号注销难
这一点参考文件中有更详细说明:
①是否提供有效的账号注销功能,并在账号注销后及时删除其个人信息并进行匿名化处理。
②注销过程简单易操作,不设置不必要或者不合理的注销条件。
这一点合规要求目前更着重的是有和没有的区别。应用内目前是必须要有明显的账号注销功能。我们有应用在申请上架的时候,由于缺少账号注销被拒了。参考文件中还说到,账号的注销可以设置15天的处理期,也就是我们可以给用户设置15天的冷静期,在冷静期内用户可以随时恢复账号的使用,15天后平台才真正将用户的所有信息注销掉,并且将之前产生的账号信息匿名化处理。但冷静期不是该功能设置合规性要求必需的。也就是不设置冷静期也没有问题,只是对用户来说,没有反悔的机会了。
推测后期可能会对第二点做更深入的要求,也就是注销账号不能设置一些不合理的条件,这点在设计的时候需要把控好。例如当用户申请注销时,该用户还有未完结的订单,如果注销账号,正在进行的订单是废弃还是完结,这些规则需要定义好,否则会发生订单另一方的客诉,也会影响平台的结算。我们是否需要要求用户在注销的时候完结好所有的订单。我们是否需要在注销账号的时候验证下用户的手机号,以防止用户的账号被盗注销。
以上为笔者参与的应用在合规性方面的经验,可能只涵盖了大部分合规性问题,这些合规性的要求只会随着社交应用内容的发展,越来越细化,越来越严格。欢迎讨论与分析。持续更新中。
关于应用《隐私协议》的合规性,会另外更新文章细说。
本文由 @摩卡酱酱 原创发布于人人都是产品经理,未经许可,禁止转载
题图来自Unsplash,基于 CC0 协议