不知道大家是否还记得,去年闹得沸沸扬扬的FaceBook泄漏用户隐私的案子,不清楚的呢?就再带你们吃吃这个瓜。事情是这样的,美国联邦贸易委员会(FTC)在2018年爆料,特朗普在竞选总统期间,聘请的咨询公司Cambridge Analytica不正当获取了数千万Facebook用户的信息,这些信息来自一个研究员,此人利用第三方问答测验应用程序收集个人数据。该应用程序不仅收集用户数据,还收集他们朋友的信息,影响数千万脸书用户。随后事件发酵,隐私权倡导者呼吁将扎克伯格绳之以法、开具更高罚单、取消Facebook对Instagram和WhatsApp的收购。最后是Facebook同意支付创纪录的50亿美元,以和解美国当局对该公司多年隐私侵权行为的调查。最后事件得到平息。
为什么说到这个呢,因为啊,目前APP泄漏隐私,或者不合规的获取用户隐私在我国也得到了越来越多的重视。最近,多款APP因不合规的获取用户隐私行为上了黑榜,上了微博热搜。
途牛同程携程等21款App,因为存在不合规的获取用户隐私行为被拉入黑榜,在本次公布的名单中,民宿和会议类App成了违法重灾区,包括途牛、同程、携程、自如、我爱我家等知名App。
据透露,有关部门在专项行动中通过监测发现,多款民宿、会议类移动应用存在隐私不合规行为,违反网络安全法相关规定,涉嫌超范围采集个人隐私信息。
具体来说,在未向用户明示申请的全部隐私权限的App中,包括了《锦江酒店》《自如》《泊寓》《途牛旅游》《同程旅游》《携程旅行》 《去哪儿攻略》《飞书会议》等20款。
而在未说明收集使用个人信息规则的App里,则有《V智会会务版》《巴乐兔租房》《泊寓》《锦江酒店》《自如》等5款。
至于未提供有效的更正、删除个人信息及注销用户账号功能的App,为《泊寓》《好视通云会议》《开会宝视频会议》《联盒会议》等4款。
此外,未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理App,是《同程旅游》《我爱我家》《携程旅行》《V智会会务版》《锦江酒店》等5款。
针对上述情况,有关部门一方面提醒广大手机用户应谨慎下载使用以上违法违规移动应用,避免受到安全威胁;另一方面则建议打开手机中防病毒移动应用的“实时监控”功能,进行主动防御,第一时间监控未知病毒的入侵活动。
如何排查自己的APP是否存在违规
如何排查自己的APP是否存在这些违规行为,防止APP被下架呢?其实早在去年,工信部就发布了关于印发《App违法违规收集使用个人信息行为认定方法》的通知。里面总共有6大项,31小项。可以对照每一条看一看,检查一下。关于App违法违规收集使用个人信息行为认定方法,以下是通知的具体内容:
根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。
一、以下行为可被认定为“未公开收集使用规则”
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
三、以下行为可被认定为“未经用户同意收集使用个人信息”
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
五、以下行为可被认定为“未经同意向他人提供个人信息”
1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
工信部通知链接:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c7591259/content.html
以上就是本文的全部内通,欢迎关注的我公众号:「技术最TOP」,每天都有技术优质文章推出,最前沿的科技动态,最TOP的编程技术一网打尽。