隱私收集器APP潛在風(fēng)險整改思路

2 評論 4221 瀏覽 11 收藏 34 分鐘

編輯導(dǎo)語:產(chǎn)品應(yīng)當(dāng)如何合理地開發(fā)、在保障用戶權(quán)益的同時、提升用戶的使用體驗?這需要產(chǎn)品開發(fā)者做好自查與規(guī)范。在本篇文章里,作者結(jié)合相應(yīng)案例進(jìn)行分析,發(fā)表了他對APP潛在風(fēng)險整改的看法,讓我們一起來看一下。

最近刷朋友圈看到訊飛等輸入法被各大應(yīng)用商店下架了,我趕緊看了下手機(jī)的輸入法發(fā)現(xiàn)還能用。同時想起最近包括《數(shù)據(jù)安全法》等文件的出臺,在這個節(jié)點(diǎn)頭部輸入法卻被下架,本著深度挖掘的心態(tài),就搜集了一波材料,這里和大家分享下。

一、科大訊飛等輸入法為什么被下架

首先,我們回顧下今年5月1日國家網(wǎng)信辦發(fā)布的“33款A(yù)pp違法違規(guī)收集使用個人信息情況的通報”名單,這也是國家網(wǎng)信辦從部委層面首次發(fā)布此類通報。名單上除了科大訊飛外,搜狗、QQ及百度等輸入法也在榜上。

百度從莆田系事件后,一直口碑不咋滴,本想去應(yīng)用商城看看百度是不是還在下架狀態(tài),但意外的是百度輸入法居然安然無事,應(yīng)該是在規(guī)定時間內(nèi)按照要求進(jìn)行了整改。但訊飛、搜狗和QQ輸入法直到6月30日,獵人查證過程發(fā)現(xiàn)依舊處于下架狀態(tài)。

要知道,按照5月1日的通報要求,包括上述3款輸入法在內(nèi)的33款A(yù)pp相關(guān)運(yùn)營者應(yīng)當(dāng)于5月1日起10個工作日內(nèi)完成整改,并將整改情況報于國家網(wǎng)信辦網(wǎng)絡(luò)數(shù)據(jù)管理局。逾期未完成整改的,國家網(wǎng)信辦將依法予以處置。但一個多月后的6月11日,三者因未完全滿足5月1日國家網(wǎng)信辦關(guān)于個人信息收集違規(guī)問題通報的整改要求,被多家應(yīng)用商店下架。

一個多月時間,這幾家頭部輸入法公司居然還沒完成整改,贏得被應(yīng)用商店下架的“殊榮”,難道他們是故意為之,不屑于整改?獵人感覺這里不簡單。

獵人在網(wǎng)上了解到,科大訊飛對某記者的回應(yīng)表示其被下架的具體原因為:

  1. 訊飛輸入法老版本升級到最新10.0.20版本后,沿用老版本拼音云輸入設(shè)置選項,未彈窗提示用戶選擇是否開啟;
  2. 用戶在訊飛輸入法10.0.20版本中拼音云輸入彈窗提示中選擇關(guān)閉功能后,出現(xiàn)二次彈窗要求用戶確認(rèn)。

截至6月11日,訊飛方表示訊飛輸入法App已完成整改。但到發(fā)稿前卻依然處于下架狀態(tài)。整改了卻還處理下架狀態(tài)?什么原因呢?

按照訊飛的說法,獵人推測其中一種可能性就是訊飛的確整改完成,但可能還要走各種審核、審批流程,現(xiàn)在還沒完全走完流程,所以相關(guān)應(yīng)用商店還不敢恢復(fù)其下載權(quán)限。

另一種則可能其還沒整改完畢,這種情況如果屬實,那就是其當(dāng)時的用戶授權(quán)信息采集相關(guān)功能與產(chǎn)品授權(quán)使用功能的架構(gòu)應(yīng)該是相對固化了的,因此本次整改的功能及功能背后采集的數(shù)據(jù)集直接影響其大部分的產(chǎn)品功能可用性,導(dǎo)致無法快速處理。

早在今年的3月12日國家網(wǎng)信辦發(fā)的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的通知,里面明確規(guī)定了常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍,其中第三十三條有明確的規(guī)定:

(三十三)輸入法類,基本功能服務(wù)為“文字、符號等輸入”,無須個人信息,即可使用基本功能服務(wù),或是導(dǎo)致現(xiàn)在的輸入法集中下架事件的原因。

《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的出臺是為貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》關(guān)于“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息”等規(guī)定。

同時今年數(shù)據(jù)行業(yè)最重磅的肯定是6月份頒布的《數(shù)據(jù)安全法》,其中第三十二條任何組織、個人收集數(shù)據(jù),應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)。法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。

這一系列與數(shù)據(jù)安全、數(shù)據(jù)采集、存儲及處理使用相關(guān)的法律法規(guī)背景下,數(shù)據(jù)安全、數(shù)據(jù)權(quán)屬空前重要。

二、科大訊飛被下架的真正原因是什么

獵人這里暫時以2019.9的科大訊飛輸入法版本為例,雖然不是最新的,但其實我們從其隱私條款里輸入法需要采集的數(shù)據(jù)可以推導(dǎo)點(diǎn)結(jié)論。

1. 科大訊飛輸入法作為被下架的APP,是否是因為其采集數(shù)據(jù)的數(shù)據(jù)過多?

2019年的科大訊飛的條款中,明示會采集的個人數(shù)據(jù)為:手機(jī)號、身份信息、身份證照片、通訊錄中的姓名和聯(lián)系方式等。

作為同樣上整改榜但現(xiàn)在已整改完畢的百度輸入法中,其最新的隱私條款也需要獲得的個人數(shù)據(jù):手機(jī)號、單一設(shè)備標(biāo)識符、語音信息、位置信息等。也只是比科大訊飛少了幾個敏感數(shù)據(jù),如身份證信息及通訊錄的信息。

那身份證信息及通訊錄信息是否是科大訊飛需要整改獲取的?

獵人推測這些其實應(yīng)該非主要原因。理由是《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的通知,里面明確規(guī)定了常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍,其中第三十三條有明確的規(guī)定:

(三十三)輸入法類,基本功能服務(wù)為“文字、符號等輸入”,無須個人信息,即可使用基本功能服務(wù)。

輸入法APP基本功能下,無論是百度還是科大訊飛或者搜狗、QQ的輸入法都無權(quán)收集任何個人信息。但從隱私條款中,兩者都有提到不同的用戶的敏感信息需要收集。如果按照該通知的要求,那其實這些APP都應(yīng)該”槍斃”了,為什么百度輸入法獨(dú)善其身?難道是漏網(wǎng)之魚?

獵人認(rèn)為,雖然相關(guān)法律條例明確了各APP基礎(chǔ)功能應(yīng)該收集或不能收集哪些信息。但這里存在一個點(diǎn),任何的APP都可以有至少1個或多個擴(kuò)展功能,只要拓展的功能按照要求就有權(quán)收集相關(guān)的數(shù)據(jù)。

因此科大訊飛等輸入法被下架,不完全是隱私條款內(nèi)容沒做好。那還存在什么原因?第二種可能性我們研究下。

2. 科大訊飛等輸入法是否因為功能類型與數(shù)據(jù)采集邏輯不符合被下架?

上文已從隱私條款中采集數(shù)據(jù)維度角度分析,符合要求的輸入法隱私條款及APP應(yīng)該整改與采集數(shù)據(jù)的維度應(yīng)該關(guān)系不大。

不知道有無讀者詳細(xì)看了兩者對于采集數(shù)據(jù)的前期條件的描述,在科大訊飛2019年的條款中是沒有清晰界定的,而百度輸入法的條款是按照注冊信息什么情況下需要采集什么數(shù)據(jù)、設(shè)備信息什么情況下需要采集等。

這樣的描述有很大區(qū)別嗎?其實從條款描述上就知道,該條款是否有按照最新的要求進(jìn)行調(diào)整描述,也間接體現(xiàn)了其輸入法在采集數(shù)據(jù)的授權(quán)鏈邏輯。所以這點(diǎn)存在風(fēng)險。

3. 科大訊飛是否真的因為擴(kuò)展業(yè)務(wù)功能告知及明示問題被下架?

訊飛回復(fù)中提到:訊飛輸入法老版本升級到最新10.0.20版本后,沿用老版本拼音云輸入設(shè)置選項,未彈窗提示用戶選擇是否開啟。

而《個人信息安全規(guī)范》中提到擴(kuò)展業(yè)務(wù)功能的告知和明示同意的實現(xiàn)方法如下:a)在擴(kuò)展業(yè)務(wù)功能首次使用前,應(yīng)通過交互界面或設(shè)計(如彈窗、文字說明、填寫框、提示條、提示音等形式),向個人信息主體逐一告知所提供擴(kuò)展業(yè)務(wù)功能及所必要收集的個人信息,并允許個人信息主體對擴(kuò)展業(yè)務(wù)功能逐項選擇同意。

所以該項不合規(guī)是存在的。

4. 科大訊飛是否存在頻繁騷擾用戶授權(quán)原因被下架?

訊飛表示的:用戶在訊飛輸入法10.0.20版本中拼音云輸入彈窗提示中選擇關(guān)閉功能后,出現(xiàn)二次彈窗要求用戶確認(rèn)。

而《個人信息安全規(guī)范》中提到個人信息主體不同意收集擴(kuò)展業(yè)務(wù)功能所必要收集的個人信息的,個人信息控制者不應(yīng)反復(fù)征求個人信息主體的同意。除非個人信息主體主動。

因此這個也是存在風(fēng)險的,需要整改。

三、APP常犯的風(fēng)險點(diǎn)

有關(guān)主管部門披露的幾大重點(diǎn)問題,App開發(fā)者和運(yùn)營者可通過《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息保護(hù)常見問題及處置指南》等相關(guān)文件,進(jìn)行深入了解。

四、APP哪些情況需單獨(dú)獲取用戶授權(quán)?

為保障用戶個人信息主體的選擇同意權(quán),我們首先需要劃分產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能。

劃分方法如下:

  • 應(yīng)根據(jù)個人信息主體選擇、使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的需求,劃定產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能;
  • 不應(yīng)將改善服務(wù)質(zhì)量、提升用戶體驗、研發(fā)新產(chǎn)品單獨(dú)作為基本業(yè)務(wù)功能;
  • 將產(chǎn)品或服務(wù)所提供的基本業(yè)務(wù)功能之外的其他功能,劃定為擴(kuò)展業(yè)務(wù)功能。

需要注意的是,擴(kuò)展業(yè)務(wù)功能需單獨(dú)獲取用戶授權(quán)。擴(kuò)展業(yè)務(wù)功能首次使用前,應(yīng)通過交互界面或設(shè)計(如彈窗、文字說明、填寫框、提示條、提示音等方式),向用戶注意告知所提供擴(kuò)展業(yè)務(wù)功能及所必要手機(jī)的個人信息,并允許用戶對擴(kuò)展業(yè)務(wù)功能逐項選擇同意。

五、上了名單,但影響不大的APP做對了什么

無用戶身份授權(quán)數(shù)據(jù)下的產(chǎn)品功能正常使用,響應(yīng)快的,功能使用與授權(quán)應(yīng)該屬于弱捆綁、響應(yīng)慢的,應(yīng)該是設(shè)計時把身份授權(quán)數(shù)據(jù)與功能使用設(shè)置成了固定邏輯。

1. 隱私保護(hù)條款的內(nèi)容按照《個人信息安全規(guī)范》的個人信息保護(hù)政策模板要求進(jìn)行了細(xì)分羅列

  • 業(yè)務(wù)功能一的個人信息收集使用規(guī)則
  • 業(yè)務(wù)功能二的個人信息收集使用規(guī)則
  • ……
  • 我們?nèi)绾伪Wo(hù)您的個人信息
  • 您的權(quán)利
  • 我們?nèi)绾翁幚韮和膫€人信息
  • 您的個人信息如何在全球范圍轉(zhuǎn)移
  • 本政策如何更新
  • 如何聯(lián)系我們

2. 信息采集明示告知模塊按照《個人信息安全規(guī)范》的交互式功能界面模板進(jìn)行了優(yōu)化

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

3. 基礎(chǔ)功能與拓展功能數(shù)據(jù)采集邊界更清晰了

基本業(yè)務(wù)功能的告知和明示同意的實現(xiàn)方法如下:

1)在基本業(yè)務(wù)功能開啟前(如個人信息主體初始安裝、首次使用、注冊賬號等),應(yīng)通過交互界面或設(shè)計(如彈窗、文字說明、填寫框、提示條、提示音等形式),向個人信息主體告知基本業(yè)務(wù)功能所必要收集的個人信息類型,以及個人信息主體拒絕提供或拒絕同意收集將造成的影響,并通過個人信息主體對信息收集主動作出肯定性動作(如勾選、點(diǎn)擊“同意”或“下一步”等)征得其明示同意。

注:當(dāng)產(chǎn)品或服務(wù)所提供的基本業(yè)務(wù)功能無需一次性全部開啟時,宜根據(jù)個人信息主體的具體使用行為逐步開啟基本業(yè)務(wù)功能,并即時完成a)的告知要求。

2)個人信息主體不同意收集基本業(yè)務(wù)功能所必要收集的個人信息的,個人信息控制者可拒絕向個人信息主體提供該業(yè)務(wù)功能。

3)所要求的交互界面或設(shè)計應(yīng)方便個人信息主體再次訪問及更改其同意的范圍。

擴(kuò)展業(yè)務(wù)功能的告知和明示同意的實現(xiàn)方法如下:

1)在擴(kuò)展業(yè)務(wù)功能首次使用前,應(yīng)通過交互界面或設(shè)計(如彈窗、文字說明、填寫框、提示條、提示音等形式),向個人信息主體逐一告知所提供擴(kuò)展業(yè)務(wù)功能及所必要收集的個人信息,并允許個人信息主體對擴(kuò)展業(yè)務(wù)功能逐項選擇同意。

2)個人信息主體不同意收集擴(kuò)展業(yè)務(wù)功能所必要收集的個人信息的,個人信息控制者不應(yīng)反復(fù)征求個人信息主體的同意。除非個人信息主體主動選擇開啟擴(kuò)展功能,在48h內(nèi)向個人信息主體征求同意的次數(shù)不應(yīng)超過一次。

3)個人信息主體不同意收集擴(kuò)展業(yè)務(wù)功能所必要收集的個人信息的,不應(yīng)拒絕提供基本業(yè)務(wù)功能或降低基本業(yè)務(wù)功能的服務(wù)質(zhì)量。

4)所要求的交互界面或設(shè)計應(yīng)方便個人信息主體再次訪問及更改其同意的范圍。

六、積極整改后的APP示例

有記者通過PC端重新下載三大輸入法,發(fā)現(xiàn)QQ輸入法已進(jìn)行了整改,其在首頁彈窗提示用戶可自主選擇“完整體驗?zāi)J健奔安皇占魏涡畔⒌摹盎A(chǔ)打字模式”,其中“基礎(chǔ)打字模式”不收集任何數(shù)據(jù),但會導(dǎo)致皮膚、表情、語音、翻譯等功能消失,而“完整體驗?zāi)J健眲t會“將部分拼音、文字、使用場景上傳至云端,用于‘提供更高效的輸入和表達(dá)體驗’?!?/p>

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

七、開發(fā)者應(yīng)當(dāng)如何進(jìn)行合規(guī)自查?

1. 信息收集

1)詳細(xì)列舉收集和使用個人信息的業(yè)務(wù)功能,不應(yīng)使用概括性語言。

2)根據(jù)不同業(yè)務(wù)功能,分別列出各業(yè)務(wù)功能所收集的個人信息類型。

3)明確描述哪些類型的個人信息屬于特定業(yè)務(wù)功能所必需的。

4)收集身份證、護(hù)照、駕駛證等法定證件信息和個人生物識別信息時,應(yīng)專門提醒個人信息主體此次收集活動涉及的信息,并說明處理目的、處理規(guī)則。

5)不應(yīng)使用概括性語言綜述所收集個人信息,如“我們收集您的身份等相關(guān)信息”此類描述,而應(yīng)明確寫明“我們收集您的姓名、電話號碼、地址信息”。

6)說明個人信息在使用過程中涉及的地理區(qū)域,如個人信息存儲和備份的地域,個人信息傳輸過程中涉及的地域范圍;如果個人信息存在跨境傳輸情況,需單獨(dú)列出或重點(diǎn)標(biāo)識。

7)根據(jù)個人信息的使用情況,注明不同類型個人信息預(yù)計的保留時間(如:自收集日期開始5年內(nèi))以及需要刪除或銷毀的截止日期(如:2019年12月31日或個人信息主體注銷賬戶時)。

8)確需改變信息收集和使用的目的,應(yīng)當(dāng)說明會征得個人信息主體的同意。

9)個人信息控制者說明是否需要共享、轉(zhuǎn)讓個人信息,并詳細(xì)描述需要共享、轉(zhuǎn)讓的個人信息類型和原因、個人信息的接收方、對接收方的約束和管理準(zhǔn)則、接收方使用個人信息的目的、個人信息共享、轉(zhuǎn)讓過程中的安全措施,及共享、轉(zhuǎn)讓個人信息是否對個人信息主體帶來高危風(fēng)險。

10)個人信息控制者說明是否需要公開披露個人信息,并詳細(xì)描述需要公開披露的個人信息類型、原因、是否對個人信息主體帶來高危風(fēng)險。

11)說明何種情況下個人信息控制者會不經(jīng)過個人信息主體同意,共享、轉(zhuǎn)讓和公開披露數(shù)據(jù),如響應(yīng)執(zhí)法機(jī)關(guān)和政府機(jī)構(gòu)的要求、進(jìn)行個人信息安全審計、保護(hù)個人信息主體避免遭受欺詐和嚴(yán)重人身傷害等。

2.?信息保護(hù)

1)詳細(xì)說明個人信息控制者對個人信息進(jìn)行安全保護(hù)的措施。包括但不限于個人信息完整性保護(hù)措施,個人信息傳輸、存儲和備份過程的加密措施,個人信息訪問、使用的授權(quán)和審計機(jī)制,個人信息的保留和刪除機(jī)制等。

2)目前遵循的個人信息安全協(xié)議和取得的認(rèn)證。包含個人信息控制者目前主動遵循的國際或國內(nèi)的個人信息安全法律、法規(guī)、標(biāo)準(zhǔn)、協(xié)議等,以及個人信息控制者目前已取得的個人信息安全相關(guān)的權(quán)威獨(dú)立機(jī)構(gòu)認(rèn)證。

3)應(yīng)描述提供個人信息后可能存在的安全風(fēng)險。

4)應(yīng)表明在發(fā)生個人信息安全事件后,個人信息控制者將承擔(dān)法律責(zé)任。

5)應(yīng)表明在發(fā)生個人信息安全事件后,將及時告知個人信息主體。

3. 客戶權(quán)力

1)說明個人信息主體對其個人信息擁有何種權(quán)利,內(nèi)容包括但不限于:信息收集、使用和公開披露時允許個人信息主體選擇的個人信息范圍,個人信息主體所具備的訪問、更正、刪除、獲取等控制權(quán)限,個人信息主體隱私偏好設(shè)置,個人信息主體可以選擇的通信和廣告偏好,個人信息主體不再使用服務(wù)后撤回授權(quán)同意和注銷賬戶的渠道、個人信息主體進(jìn)行維權(quán)的有效渠道等。

2)對于需要自行配置或操作(如對所使用的軟件、瀏覽器、移動終端等進(jìn)行配置和操作)以達(dá)到訪問、更正、刪除、撤回授權(quán)同意等目的,個人信息控制者應(yīng)對配置和操作的過程進(jìn)行詳細(xì)說明,說明方式易于個人信息主體理解,必要時提供技術(shù)支持的渠道(客服電話、在線客服等)。

3)如果個人信息主體行使權(quán)利的過程產(chǎn)生費(fèi)用,需明確說明收費(fèi)的原因和依據(jù)。

4)如果個人信息主體提出行使權(quán)利的需求后需要較長時間才能響應(yīng),需明確說明響應(yīng)的時間節(jié)點(diǎn),以及無法短時間內(nèi)響應(yīng)的原因。

5)如果個人信息主體行使權(quán)利的過程需要再次驗證身份,需明確說明驗證身份的原因,并采取適當(dāng)?shù)目刂拼胧?,避免驗證身份過程中造成的個人信息泄露。

6)如果個人信息控制者拒絕個人信息主體對個人信息進(jìn)行訪問、更正、刪除、撤回授權(quán)同意等的要求,需明確說明拒絕的原因和依據(jù)。

八、結(jié)合相關(guān)法律法規(guī)及本次事件的看法

1. 對輸入法行業(yè)的影響

Mob研究院發(fā)布了《2020中國第三方輸入法行業(yè)洞察》(下稱《報告》),就對今年以來輸入法行業(yè)的脈絡(luò)進(jìn)行了全面梳理。

目前,我國的第三方輸入行業(yè)已邁入成熟發(fā)展期,行業(yè)整體活躍用戶規(guī)模突破7億,安裝使用率超過80%,其中語音輸入用戶規(guī)模高達(dá)2.5億。同時《報告》顯示,互聯(lián)網(wǎng)玩家的入局第三方輸入法加速了行業(yè)發(fā)展,搜狗、訊飛和百度現(xiàn)已形成寡頭壟斷的市場局面。

百度以“全感官輸入”讓輸入法更好玩,訊飛輸入法則選擇市場下沉,而搜狗作為行業(yè)的“老大哥”,以最早進(jìn)軍輸入法行業(yè)獲得先發(fā)優(yōu)勢,重點(diǎn)布局AI功能,為用戶打造千人千面的個性化服務(wù),達(dá)到了整體滿意度約70%的優(yōu)秀成績,居市場產(chǎn)占有率排行首位。

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

前三的輸入法,訊飛和搜狗均被下架,百度應(yīng)該在這次的行情中稍微利好,因為輸入法已進(jìn)入存量市場搶奪階段,新增下載量其實不會很多。但還在使用被下架的輸入法的群體,大部分會對信息安全可能有很大感觸,特別是手握訊飛股票的群體會存在一定的恐慌,所以訊飛的股價會下調(diào)也不意外。

輸入法三巨頭,訊飛其實非常依賴于輸入法的占有率,因為這是訊飛核心的用戶群體畫像及語音語料的來源,人工智能的發(fā)展拼的除了技術(shù)就是數(shù)據(jù)。而且輸入法的占有率會直接影響其在移動端的業(yè)務(wù)擴(kuò)展的想象空間,這是上市公司進(jìn)行市值管理的重要戰(zhàn)略布局。

而百度和搜狗,除了輸入法,其還有搜索引擎。輸入法的缺失會導(dǎo)致語音這塊的數(shù)據(jù)采集缺失,但文字內(nèi)容還是可以獲取。群體偏好標(biāo)簽數(shù)據(jù)不會缺失嚴(yán)重。而這些數(shù)據(jù)是支持各輸入法進(jìn)行精準(zhǔn)廣告業(yè)務(wù)推送的核心信息。

搜狗輸入法廣告業(yè)務(wù)示例:

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

另外從訊飛2020年年報中可以看到其輸入法二期還在研發(fā)中,屬于重點(diǎn)投入板塊。因此借著這次的APP的整頓,訊飛對于輸入法產(chǎn)品架構(gòu)及數(shù)據(jù)架構(gòu)重新調(diào)整、后續(xù)如何契合監(jiān)管要求應(yīng)該會空前重視。

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

2. 對其他APP的影響

根據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的要求,對39類APP的必要個人信息采集范圍做了限定,其中有13類APP基本功能是無需信息的。交通票務(wù)類、投資理財及手機(jī)銀行類獲取數(shù)據(jù)字段最多。

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

理論上基礎(chǔ)功能可以獲取的信息范圍越多,數(shù)據(jù)類型越多,那這個APP的價值其實也就更大。而基礎(chǔ)功能無法獲取數(shù)據(jù)或者獲得較少數(shù)據(jù)的APP,只能通過增加擴(kuò)展業(yè)務(wù)功能來提升數(shù)據(jù)維度。想通過隨便搞個APP肆無忌憚的收集用戶敏感數(shù)據(jù)的時代已不在。

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

【原創(chuàng)】隱私收集器APP潛在風(fēng)險整改思路-以科大訊飛輸入法為例

九、附件

1.?個人信息及敏感信息

1)個人信息

是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含)兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

2)個人敏感信息

按照《GBT 35273-2017信息安全技術(shù)個人信息安全規(guī)范》解釋來說,個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含)兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

① 個人財產(chǎn)信息

銀行賬號、鑒別信息(口令)、存款信息(包括資金數(shù)量、支付收款記錄等)、房產(chǎn)信息、信貸記錄、征信信息、交易和消費(fèi)記錄、流水記錄等,以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產(chǎn)信息。

② 個人健康生理信息

個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄,如病癥、住院、醫(yī)囑單、檢驗報告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等,以及與個人身體健康狀況產(chǎn)生的相關(guān)信息等。

③ 個人生物識別信息

個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

④ 個人身份信息

身份證、軍官證、護(hù)照、駕駛證、工作證、社???、居住證等。

⑤ 網(wǎng)絡(luò)身份標(biāo)識信息

系統(tǒng)賬號、郵箱地址及與前述有關(guān)的密碼、口令、口令保護(hù)答案、用戶個人數(shù)字證書等。

⑥ 其他信息

個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內(nèi)容、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準(zhǔn)定位信息等。

2. 大廠隱私條款內(nèi)容參考

1)搜狗隱私條款

2)華為隱私條款

3)阿里云隱私條款

4)抖音隱私條款

3. 相關(guān)政策法規(guī)

《GB/T 35273-2020信息安全技術(shù)個人信息安全規(guī)范》

《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》

《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》

《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》

《App違法違規(guī)收集使用個人信息自評估指南》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息保護(hù)常見問題及處置指南》

《網(wǎng)絡(luò)安全實踐指南—移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個人信息自評估指南(征求意見稿)》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息安全防范指引(征求意見稿)》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)系統(tǒng)權(quán)限申請使用指南》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)中的第三方軟件開發(fā)工具包(SDK)安全指引(征求意見稿)》

參考文章

1、搜狗、訊飛、QQ輸入法遭下架,它們?nèi)绾胃`取你的隱私?

2、觸目驚心!33款A(yù)PP違法違規(guī)收集個人信息……

3、2020第三方輸入法行業(yè)洞察:搜狗輸入法市場占有率第一

4、個推合規(guī)與安全指南

#專欄作家#

大數(shù)據(jù)獵人,微信公眾號:大數(shù)據(jù)獵人,人人都是產(chǎn)品經(jīng)理專欄作家。多年金融科技行業(yè)相關(guān)戰(zhàn)略研究、行業(yè)分析、商業(yè)模式及產(chǎn)品體系研究經(jīng)驗,擅長政府?dāng)?shù)據(jù)+企業(yè)數(shù)據(jù)+公開數(shù)據(jù)多源數(shù)據(jù)融合流通交易及應(yīng)用

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來自 Unsplash,基于 CC0 協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
大數(shù)據(jù)獵人
李可順,數(shù)據(jù)素養(yǎng)提倡者,作者微信號:lks_data
33篇作品 508276總閱讀量
02-143769 瀏覽
這4個博主在小紅書周漲10W粉,我總結(jié)這4條運(yùn)營心得
08-252185 瀏覽
商業(yè)破圈背后,3D虛擬人的真風(fēng)口時代到了
11-273977 瀏覽
商業(yè)化策略產(chǎn)品經(jīng)理必讀系列—廣告競價拍賣機(jī)制設(shè)計
06-214704 瀏覽
有效管理大客戶(二):客戶覆蓋與銷售團(tuán)隊構(gòu)建
07-2912441 瀏覽
AI時代不需要產(chǎn)品經(jīng)理?
評論
評論請登錄

  1. 合理規(guī)范才行,現(xiàn)在很多APP都是各種收集

    來自四川 回復(fù)

    1. 是的

      來自上海 回復(fù)