《合规那些事儿》系列,主要通过对监管单位通报的违规点进行分析,以便开发者能通过文章内的分析内容,尽可能的降低违规风险。
1 。
上一篇我们说到,违规收集个人信息【最最最常见——违规收集个人信息】。那么在收集个人信息后如何正确使用,才能避免出现违规使用个人信息的情况发生,本篇针对监管部门多次通报的“违规使用个人信息”的情况,做针对性分析。
App除去自身的业务功能之外,也经常会集成一些第三方服务,用来做数据分析,消息推送,功能拓展等。
所谓使用个人信息,无外乎两方面:
应用自身使用个人信息
将个人信息传递给第三方使用
2 。
应用自身使用个人信息很常见。比如:
运动健身类的App,应用自身需要使用体感信息,位置信息,在用户跑步健身时用来进行计步与展现跑步轨迹。
电商类的App,应用自身需要使用已收集的联系方式,收货地址等信息,在用户下单完成购买后进行配送发货。
短视频类的App,应用自身需要使用影音信息,以便用户上传分享个人视频。
游戏类的App,应用自身需要使用手机号,身份证号等信息,进行实名认证等。
应用自身使用个人信息时,都有能明确被用户感知的业务场景。开发者在隐私政策中,都应该明示应用自身会使用哪些用户个人信息,并明确声明使用这些个人信息的具体业务场景。一旦用户无法感知应用具体使用个人信息的业务场景,或者隐私政策中没有明示使用个人信息的业务场景,就很容易出现“违规使用个人信息”的3 。
App将收集使用的个人信息传递给第三方使用,可以从以下几个方面分析:
未经用户同意,也未做匿名化处理,应用自身直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息。
未经用户同意,也未做匿名化处理,数据传输至应用后台服务器后,向第三方提供其收集的个人信息。
4 。
那么,开发者可以通过哪些举措来规避“违规使用个人信息”的问题呢?
1)应用自身使用个人信息时,都能明确被用户感知的业务场景。例如在使用例如手机号,地理位置,通讯录等信息时,可通过弹窗告知的方式明示用户。
2)在隐私政策中,应明示应用自身使用哪些用户个人信息,并明确这些个人信息的具体业务场景。
3)在隐私政策中,应明示使用的第三方服务,并明示用户向第三方提供必要的个人信息。用户同意隐私政策即代表用户同意向第三方提供必要的个人信息。
4)应用自身存在必须向第三方提供的个人信息时,应匿名化处理提供的个人信息,并在隐私政策中明示匿名化处理这一关键措施。
当然,关于“强制用户使用定向推送功能”的情况,也在违规使用个人信息的认定条件中。关于强制用户使用定向推送功能的解读会在后续文章中进行分析,敬请期待。
本期暂且说到这儿,下期我们接着聊「超范围收集个人信息」。
WebEye增长合规服务一站式解决您的合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。