社交一文了解：社交APP用户信息合规性和隐私协议相关( 二 ) 生成|修订|中小企业|范本库|合

文章插图
关于地址位置的合规性使用，还要从项目的性质出发。社交类型的应用期初都会使用用户的精细位置，目的是为了支持“同城”、“附近的人”的功能，甚至会具体细化到附近X米内的用户。比如微信的摇一摇寻找附近的人。而到了中后期这些功能会带有擦边球的风险，从管控角度出发，社交应用建议下架“同城”、“附近的人”等功能。这种情况下，大多数应用都没有使用“精确位置”的场景支持。
3. 违规/超范围收集用户信息（合规要求非常严格）这一点，工信部在合规方面做了很多要求，且不容易自查出，可借鉴第三方检测机构，以下来源于工信部第三方公司认定的违规：
①未公开收集使用规则：APP未在隐私政策中说明撤回授权同意的方法。
②未明示手机使用个人信息的目的、方式和范围：APP未在隐私政策中逐一说明自己以及第三方SDK收集使用IMSI个人信息；未明示照片墙、QQ、签名等用户信息的目的、方式和范围；APP仅依赖系统弹窗向用户索取存储、电话权限、未同步告知用户目的，用户无法得知开启该类权限的真实目的。
③违反必要原则，收集与其提供服务无关的个人信息：APP在运行时，点击不同页面均会上传IMEI信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能必须的最低频率。
其实违规和超范围是不太好定义的，违规本身就是一个形容词，超范围、频繁、过度、无告知用户收集都可以算违规。收集后没有正确地保存方式也可以定义为违规。
很多应用会统计用户的IMEI或者IDFA用于统计某段时间的市场推广带来的用户属性，或者分析大R付费的终端属性等。为了全面收集到这些信息，会在活动页或者主功能页增加这些信息的上报统计。这些是项目正常以数据为依托迭代的常用做法，但合规要求认为收集这些信息太频繁，而对用户来说，没有明确的目的。
还有些应用接入的第三方SDK。比如：为了保证平台图片、文字、音频等内容的合规性，会接入数美的内容反垃圾的SDK。这些SDK也会收集一些用户的设备信息。这些设备信息可能会和应用本身收集重复。合规将这种场景也定义为频繁。而且应用前期是并不知道第三方有这些收集规则，所以也没有在隐私合规中提前报备。
【 社交一文了解：社交APP用户信息合规性和隐私协议相关】这些场景在应用中非常多。合规的检测是结合人审和机审，机审就涉及到代码层面的要求了。为此我们找到了工信部合作的第三方公司，还咨询了相关方面的律所，得到以下结论：
①谁收集：要告知用户收集了哪些信息，是应用收集还是第三方SDK收集，第三方收集了哪些信息。
②干什么：收集了这些信息是为了达到什么目的。
③怎么存：收集到这些信息后如何保存，有没有泄露的风险。
④不收集行不行：用户如果不同意在应用内填写或者不同意获取授权，可否继续正常使用应用。或者开启授权后，想要关闭在哪里操作。
我们做了哪些应对这些合规的要求？
①隐私政策中逐一说明自己以及第三方SDK收集使用个人信息的目的、方式、范围。并在最后标明“该部分内容设立了个人信息保护专职部门”等字样。隐私政策更新日期、生效日期标明清楚。
②隐私政策中涉及业务功能收集个人信息的列举中，不要使用“等”、“例如”字样。
③隐私政策中关于打开授权和关闭授权的方法要有具体说明。
④针对主动弹窗索取权限的行为，需要同步告知用户开启权限的目的，在首次弹窗的界面告知用户开启上述权限的目的，或者在需要的场景索取权限时额外弹窗告知索取权限的目的。

文章插图

文章插图
⑤APP运行时，不频繁收集用户的个人信息。
⑥后台保存用户基本信息修改记录，对敏感信息加密处理。并预留了违规敏感字的处理方案。
4. APP强制、频繁、过度索取用户权限针对权限申请，合规性要求的原则：
①最小必要原则：仅申请APP业务场景相关的权限。
②用户可知原则：申请的权限均有明确、合理的使用场景，并告知用户权限申请的目的。
③不强制不捆绑原则：不应强制申请原则，不要求用户一次性打开授权同意打开多个可收集个人信息权限。