5月1日,国家四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》)将正式实施。
《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务,要求各地各相关单位督促App运营者抓紧落实处理违法违规收集使用个人信息行为。
新规特定:
① 一是《规定》第二条规定“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”
② 二是《规定》按照基本功能服务分类以列举的方式写明39类App的必要信息,更加简明、清楚直观。采用描述性的语言概括基本功能服务,而非采用简单的应用市场归类形式,更便于App定位自身的功能服务。
③ 三是《规定》第三条明确必要个人信息范围,即“具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”此处首次根据App服务对象,将个人信息分为消费侧个人信息和服务侧个人信息。以网络约车类App为例,按照此处说明,《规定》只涵盖了打车用户使用的App,而驾车司机使用的App则不受此《规定》的约束。
④ 四是《规定》明确12类App无须个人信息,即可使用基本功能服务。一方面,此类App在使用基本功能服务时,无需区分用户的身份,所以无须个人信息;另一方面,因“不打开与个人信息相关权限”是确保“不收集个人信息”的前提,且移动智能终端系统允许App申请的系统资源足够大,故App无需因运行需要再申请额外公用系统资源。即不存在不打开相关权限就无法运行的说法。由此可见,无须个人信息,相关App也是可运行的。
开发者们要符合新规从应用程序技术层面采取哪些必要措施?
① 对于开发人员,在编写申请与个人信息相关权限,通过系统函数接口自动收集用户个人信息代码时,只能访问《规定》里允许的信息,而不能收集该权限对应的其它个人信息;从代码库复制的代码需审计其个人信息收集的情况,采用cookie技术时,所收集的个人信息也应遵循《规定》的要求。
② 对于安全合规人员,应重视出厂检测工作。检测基本功能服务收集的个人信息是否在《规定》范围内,重点关注嵌入的第三方插件、代码是否也遵循了《规定》的要求。
总的来说,这条新规更精准、更有力也更有持久性,同时也对App开发者提出了更高的要求。
“App要获取哪些权限应主动、详尽告知应用商店,还应请第三方机构对App相关信息、权限获取功能进行检测,提前发现隐私合规隐患,才能有效避免上架问题。
如对APP隐私合规检测存在疑惑,可以加入我们安卓app隐私合规权限检测技术群:963357360
