滴滴APP下架,网络安全法的解读
编辑导语:近期,滴滴APP下架,它究竟触犯了什么,想必大家也有耳闻。作者给大家解读了相关的网络安全法规,我们一起来看一下吧。
美国东部时间6月30日,滴滴正式在纽交所挂牌上市。没有其他公司敲钟鸣锣的热闹仪式,滴滴上市显得格外低调。
北京时间7月2日,国家网信办网络安全审查办公室发布公告,对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。受此影响,7月2日,滴滴在美股盘前跳水,股价一度跌去10%。
两日后,因存在严重违法违规收集使用个人信息问题,“滴滴出行”App又在应用商店被下架。那天滴滴的股价崩了20%。
7月6日,广东省深圳市人大常委会公布了《深圳经济特区数据条例》(以下简称《条例》),对大数据“杀熟”、个人信息收集、强制个性化广告推荐等有关数据问题做出了明确规定。据悉,该《条例》是国内数据领域首部基础性、综合性的法规,将于2022年1月1日起实施。
北京时间7月9日晚,国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架上述25款App。
一时间开发者们对于APP合规与数据安全十分的 焦虑与重视 ,如何按照《中华人民共和国网络安全法》进行 合规的整改 , 成为了 各大APP 最紧急的需求!
《中华人民共和国网络安全法》中最主要以及最核心的是:“违法违规收集使用个人信息行为认定方法” ,接下来将解读政策并给出相应的指导方法。
二、政策解读
《中华人民共和国网络安全法》里详细的条款大家可自行查看,下面是解读后可指导我们整改的一些结论(
大家在整改时可按照如下总结逐条去核实
):
用户在注册或登录时,要有 “隐私政策” 且 需要在 “突出” (弹窗或加蓝的链接)的展示给到用户。
- 用户签约的 “隐私政策”,需要在APP内展示出来,且不能超过4次点击就能查看到。
- “隐私政策” 中的条款一定要展示清晰,易懂,要避免使用有歧义的语言。
- 在 “隐私政策” 政策中需要逐项列示每个业务功能收集的个人信息的目的、方式和范围。
- 在 “隐私政策” 需列明APP嵌入的所有SDK及各SDK所收集的个人信息目的、方式和范围。
- 收集使用个人信息的目的、方式和范围发生变化时,应更新隐私政策,且需要通过 弹窗展示等方式需要用户二次确认。
- 在获取用户的某个权限或收集用户敏感信息时,需要通过 “弹窗提示” 等显著方式告知用户收集的目的、方式、范围等,并明确拒绝会发生的影响。
- 用户在同意签署 “隐私政策” 后,才可以收集个人信息以及申请权限。
- 用户明确拒绝个人信息请求应仅影响与拒绝提供个人信息相关的业务功能,不得影响用户正常使用其他业务功能,且不得频繁弹窗、干扰使用。
- 不得超出授权范围收集个人信息。
- 用户在同意签署 “隐私政策”时,一定要用户自己勾选,而不能是是默认同意。
- 个性化展示内容应显著区分(例如标明定推等字样)个性化和非个性化展示内容。为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。
- 不能以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限。
- 要提供用户撤销同意授权个人信息或权限的功能。
- 实际收集的个人信息类型及索取的权限与现有业务功能逐项对应,并且与现有业务功能直接相关,缺少该信息则现有业务功能无法实现。
- 不得因用户拒绝提供非必要个人信息或打开非必要权限而拒绝提供业务功能。
- 新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意只影响新增业务功能的使用,不得拒绝提供原有业务功能,但新增业务取代原有业务功能导致业务功能发生变更的除外。
- 收集个人信息的频率应限于实现该业务功能的需要。
建议如果通过嵌入第三方代码、插件(如SDK)等方式向第三方提供个人信息,应通过弹窗提示等方式明确告知用户并获得用户的同意,但经匿名化处理无法识别特定个人且不能复原的无需获得用户的同意。
建议如实告知用户更正、删除个人信息及注销账户的实际进展,在APP后台完成相应操作后,再向用户提示相关操作已执行完毕。
需提供查询、更正、删除个人信息和注销用户账号,投诉管理的功能且明确承诺最长处理时限不得超过15个工作日。
上面的解读可大致总结为如下三条:
- 在用户注册或登录时(游客模式也需要)需要明确的让用户同意 “ 隐私政策” ,且有更新的时候需要用户二次确认。
- 当使用的功能需用到用户的敏感信息或权限时,需要用户的明确授权。
- 拿到用户数据后保证个人数据安全,不被非法处理、窃取、损毁。
当然以上三条需遵从合法、公平、透明,目的限定,数据最小化收集等原则;下面就用户如何签约 “隐私政策” 重点进行讲解。
1. 隐私政策需要包含的内容
(1)关于如何收集个人信息
逐项列示每个业务功能收集的个人信息的目的、方式和范围。
(2)如何存储和保护个人信息
说明个人信息将存储在中华人民共和国境内,加密处理等。
(3)如何使用个人信息
详细阐述收集到的数据的用途。
(4)如何对外提供个人信息
阐述对外提供个人信息的流程与责任。
(5)您的权利
告知用户拥有查询、更正、删除个人信息和注销用户账号,投诉管理的功能。
(6)本政策如何更新
说明更新隐私政策后,需要通过 弹窗展示等方式需要用户二次确认。
(7)对第三方责任的声明
阐述第三方也同时需要承担用户敏感信息的保护与管理的责任。
2. 隐私政策签约的场景
(1)签约
- 用户首次打开APP时需要签约。
- 有新版本的隐私政策时需要弹窗提示签约,签约完需要APP本地记录设备ID是否签约。
(2)注册登录
- 用户在注册或登录时需要签约,且需要记录用户签约的记录。
- 用户登录状态下,有新的政策协议时,需弹窗提示用户签约,且需要记录用户签约的记录。
3. 签约的交互与流程
(1)签约的流程
(2)用户签约的交互
(3)后台协议管理
协议的管理界面:
查看用户签约记录页面:
总结:
- 互联网发展到目前阶段,保护用户的隐私势在必行,做海外的同学肯定知道欧洲早就有GDPR。
- 对于我们个人而言,隐私的保护是我们用户切身的利益保障。
- 最终希望上面的一些总结对大家整改有帮助,希望需整改的APP认证按照法规执行,早日重新上架。
本文由@陈宏伟 原创发布于人人都是产品经理,未经许可,禁止转载。
题图来自Unsplash,基于CC0协议