APP应用隐私合规性实施方案
本作品内容为APP应用隐私合规性实施方案,格式为 docx ,大小 147514 KB ,页数为 12页
('APP应用隐私合规性实施方案1目录一、背景.....................................................................................................................................................3二、法律法规和其他规范要求.................................................................................................................3《消费者权益保护法》..........................................................................................................................4《中华人民共和国网络安全法》..........................................................................................................4《GB/T-2020-35273信息安全技术-个人信息安全规范》........................................................7《App违法违规收集使用个人信息行为认定方法》........................................................................7三、APP隐私合规怎么做........................................................................................................................71)、隐私政策文本................................................................................................................................72)、App收集使用个人信息行为...................................................................................................113)、App运营者对用户权利的保障...............................................................................................14四、总结...................................................................................................................................................15附录...........................................................................................................................................................16个人信息举例.........................................................................................................................................16个人敏感信息举例................................................................................................................................182一、背景目前,大量的移动app在使用过程中,涉及个人隐私信息和敏感信息。在个人信息处理、共享、转让、公开披露过程中,管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组(App专项治理工作组),组织开展的App收集使用个人信息评估工作,收到举报信息超过3480条,其中实名举报1040余条,涉及1300余款App。被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。从以上数据可以看出,个人信息保护还需要技术加强。好消息的是,APP专项治理工作组发布了《App违法违规收集使用个人信息行为认定方法》,细化了判定app违法违规使用个人信息的方法。后面将以此作为判定,法律法规约束处罚。二、法律法规和其他规范要求《消费者权益保护法》第二十九条经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。处罚条款3第五十六条第九款侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:《中华人民共和国网络安全法》第二十二条第三款网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。4第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。处罚条款第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。《GB/T-2020-35273信息安全技术-个人信息安全规范》今年3月份刚发布的,详细说明了针对个人信息的相关要求。《App违法违规收集使用个人信息行为认定方法》1)未公开收集使用规则2)未明示收集使用个人信息的目的、方式和范围3)未经用户同意收集使用个人信息4)违反必要原则,收集与其提供的服务无关的个人信息5)未经同意向他人提供个人信息6)未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息三、APP隐私合规怎么做使用《App违法违规收集使用个人信息自评估指南》开展自评估。内容如下:51)、隐私政策文本评估项1:隐私政策的独立性、易读性评估点评估标准1.是否有隐私政策在App界面中能够找到隐私政策,包括通过弹窗、文本链接、常见问题(FAQs)等形式。2.隐私政策是否单独成文隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。3.隐私政策是否易于访问进入App主功能界面后,通过4次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡。4.隐私政策是否易于阅读隐私政策文本文字显示方式(字号、颜色、行间距等)不会造成阅读困难。评估项2:清晰说明各项业务功能及所收集个人信息类型评估点评估标准5.是否明示收集个人信息的业务功能隐私政策中应当将收集个人信息的业务功能逐项列举,不应使用“等、例如”字样。注:业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等;。6.业务功能与所收集个人信息类型是否一一对应隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。7.是否明示各项业务功能所收集的个人信息类型每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用“等、例如”等方式概括说明。8.是否显著标识个人敏感信息类型隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。注:个人敏感信息包括证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等。(该定义见GB/T35273《个人信息安全规范》3.2节)6评估项3:清晰说明个人信息处理规则及用户权益保障评估点评估标准9.App运营者的基本情况隐私政策应对App运营者基本情况进行描述,至少包括:1、公司名称;2、注册地址;3、个人信息保护相关负责人联系方式。10.个人信息存储和超期处理方式隐私政策应对个人信息存放地域(国内、国外);存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明。11.个人信息的使用规则如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。12.个人信息出境情况如果存在个人信息出境情况,隐私政策中应将出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。13.个人信息安全保护措施和能力隐私政策中应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。14.对外共享、转让、公开披露个人信息规则如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:1、对外共享、转让、公开披露个人信息的目的;2、涉及的个人信息类型;3、接收方类型或身份。15.用户权利保障机制隐私政策中应对以下用户操作方法提供明确说明:1、个人信息查询;2、个人信息更正;3、个人信息删除;4、用户账户注销;5、撤回已同意的授权。16.用户申诉渠道和反馈机制隐私政策中至少提供以下一种投诉渠道:1、电子邮件;2、电话;3、传真;4、在线客服;5、在线表格。17.隐私政策时效应明确标识隐私政策发布、生效或更新日期。18.隐私政策更新如果发生业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负责人联络方式变更等情形时,隐私政策应进行相应修订,并通过电子邮件、信函、电话、推送通知等方式及时告知用户。评估项4:不应在隐私政策等文件中设置不合理条款评估点评估标准19.隐私政策等文件是否App运营者不应在用户协议、服务协议、隐私政策等文件中出现免除自身责任、加重用户责任、排除用户主要权利条款。注:免除自身责任是7评估点评估标准存在免责等不合理条款指App运营者免除其依照法律规定应当负有的强制性法定义务;加重用户责任是指App运营者要求用户在法律规定的义务范围之外承担责任或损失;排除用户主要权利是指App运营者排除用户依照法律规定或者依照合同的性质通常应当享有的主要权利。2)、App收集使用个人信息行为评估项5:收集个人信息应明示收集目的、方式、范围评估点评估标准20.是否向用户明示收集、使用个人信息的目的、方式、范围1、在用户安装、注册或首次开启App时,应主动提醒用户阅读隐私政策。。2、当App打开系统权限时(不包括用户自行在系统设置中打开权限的情况),App应当说明该权限将收集个人信息的目的。3、收集个人敏感信息时,App应通过弹窗提示等显著方式向用户明示收集、使用个人信息的目的、方式、范围。21.若使用Cookie及其同类技术收集个人信息,是否向用户明示当使用Cookie等同类技术(包括脚本、Clickstream、Web信标、FlashCookie、内嵌Web链接、sdk等)收集个人信息时,应向用户明示所收集个人信息的目的、类型。22.若存在嵌入第三方代码插件收集个人信息的功能,是否向用户明示如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。评估项6:收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为评估点评估标准23.收集个人信息前是否征得用户自主选择同意App收集个人信息前应提供由用户主动选择同意或不同意的选项,不同意应仅影响与所拒绝提供个人信息相关的业务功能。24.是否存在将多项业务功能和权限打包,要求用户一揽子接受的情形1、不应通过捆绑App多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。2、根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件。评估项7:收集个人信息应满足必要性要求8评估点评估标准25.实际收集的个人信息类型是否超出隐私政策所述范围各业务功能实际收集的个人信息类型应与隐私政策所描述内容一致,不应超出隐私政策所述范围。26.收集与业务功能有关的非必要信息,是否经用户自主选择同意当App运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意。注1:必要信息指与基本业务功能直接相关,缺少该信息则基本业务功能无法实现的信息。注2:自主选择同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。27.是否收集与业务功能无关的个人信息App不应收集与业务功能无任何关系的个人信息。28.是否在用户明确拒绝后继续索要权限、打扰用户对于用户明确拒绝使用、关闭或退出的特定业务功能,App不应再次询问用户是否打开该业务功能或相关系统权限。29.App更新是否更改系统权限设置App更新升级后,不应更改原有的系统权限设置。3)、App运营者对用户权利的保障评估项8:支持用户注销账号、更正或删除个人信息评估点评估标准30.是否支持用户注销账号App应提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。31.是否支持用户查询、更正或删除个人信息App应提供查询、更正、删除个人信息的途径。评估项9:及时反馈用户申诉9评估点评估标准32.是否及时反馈用户申诉App运营者应妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见或结果。上述自评估实施最好让第三方做或者内部审计部门做,不然自己又当运动员又当裁判,会影响判断标准。最后依据自评估结果,针对性做整改即可。四、总结1、关注app专项治理工作组的动态,掌握最新工作要求指示。2、对现有的app都要开展自评估,以免因违规被处罚。3、针对违法违规收集个人信息的app,app投诉渠道。附录个人信息举例个人基本资料个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等个人身份信息出入证、社保卡、居住证等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等网络身份标识信息个人信息主体账号、IP地址、个人数字证书等个人健康生理信息个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等10个人基本资料个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等个人教育工作信息个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等个人财产信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人通信信息通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等联系人信息通讯录、好友列表、群列表、电子邮件地址列表等个人上网记录指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等个人常用设备信息指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息个人位置信息包括行踪轨迹、精准定位信息、住宿信息、经纬度等其他信息婚史、宗教信仰、性取向、未公开的违法犯罪记录等个人敏感信息举例个人财产信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人健个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手11个人财产信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息康生理信息术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息社保卡、居住证等其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等12',)
提供APP应用隐私合规性实施方案会员下载,编号:1700876378,格式为 docx,文件大小为12页,请使用软件:wps,office word 进行编辑,PPT模板中文字,图片,动画效果均可修改,PPT模板下载后图片无水印,更多精品PPT素材下载尽在某某PPT网。所有作品均是用户自行上传分享并拥有版权或使用权,仅供网友学习交流,未经上传用户书面授权,请勿作他用。若您的权利被侵害,请联系963098962@qq.com进行删除处理。