APP收集个人信息有国标了!个人隐私终于有救了
都说,人类,没有隐私。
自从进入互联网时代以来,时常曝出用户数据泄露,各类App索要的权限也越来越多,注册的账号无法注销,连12306买票都需要授权访问相册才能使用。
去年11月28日,中国消费者协会发布了《100款App个人信息收集与隐私政策测评报告》,报告显示,100款App中,超过九成App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。
个人隐私在互联网的侵蚀下,已经越来越像皇帝的新衣。
最近,全国信息安全标准化技术委员会发布了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,并面向社会公开征求意见。这也意味着, App收集个人信息有了“国标”。
《规范》提出了最少信息和最小权限范围的概念,并明确了App收集个人信息的基本要求,包括管理要求和技术要求。
最少信息:保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。
最小权限范围:保障某一服务类型正常运行所必需的最少系统权限。
《草案》附录还针对 Android 6.0 及以上的危险权限,给出了服务类型的最小权限范围,比如地图导航:位置权限、存储权限。网络约车:位置权限、拨打电话权限。即时通讯:存储权限。博客论坛:存储权限。网络支付:存储权限。新闻资讯:无。网上购物:无。短视频:存储权限。快递配送:无。餐饮外卖:位置权限、拨打电话权限。交通票务:无。
拿前几天曝出的12306购票软件来说,用户不同意位置、相册等权限,就会直接闪退,不能使用购票服务,就是违反规定的,因为交通票务类App的最小权限是无任何权限上的要求。
管理要求
• 当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。(注:附录还列举了App常见的服务类型以及服务类型对应的最少信息。)
• App不得收集与所提供的服务无关的个人信息。
• 对外共享、转让个人信息前,App应事先征得用户明示同意。当用户不同意,则不得对外共享、转让用户个人信息。
• App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外。
• 用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
• App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集,App应防止第三方代码、插件收集无关的个人信息。
如第三方代码、插件自行向用户明示其收集、使用个人信息的目的、方式、范围,并征得用户同意,则第三方代码、插件独立对其个人信息收集行为承担责任。
也就是说,公司再用户的同意下收集了用户信息,如果公司因管理不善或被黑客攻击导致用户数据泄露,公司要为此承担责任。
技术要求
• 当收集的个人信息超出服务类型的最少信息时,超出部分的个人信息,App 应逐项 征得用户明示同意。
• 当同一App有2种或2种以上服务类型时,App应允许用户逐项开启和退出服务类型,开启或退出的方式应易于操作。
• 当用户退出某服务类型后,App应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
• 当申请个人信息相关权限或要求用户输入个人信息时,App应向用户同步明示申请权限或收集信息的目的。
• App应向用户提供实时查询已收集个人信息类型的功能;查询结果应以独立界面展示,且查询方式应易于操作。
• 存在对外共享、转让个人信息的,App 应向用户提供查询数据接收方身份的功能;查询结果应以独立界面展示,且查询方式应易于操作。
• 在技术可行且不影响终端和服务正常的情况下,App 应优先在用户终端中存储、使用所收集的个人信息。
• App 应以实现服务所必需的最低合理频率向后台服务器发送个人信息。
从此以后,App再也不能过度收集用户信息了,个人隐私也不再裸奔了。