隐私政策整改方法
请您查看详细检测报告,按照序列号3.1——3.5中提示“发现风险”的项目可参考下方的整改建议
本指南主要是根据应用宝隐私合规自动化检测报告中的每一项检测场景的检测逻辑,提供给开发者一些便捷、快速的整改方式方法引导和帮助,您可以根据您APP的检测结果,参考本指南对应场景描述说明进行整改。
一、违规收集个人信息
3.1违规收集个人信息
场景1:APP未见向用户明示个人信息收集使用的目的、方式和范围,未经用户同意,存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。
整改建议:用户首次打开APP必须有隐私政策协议弹窗,隐私协议中请真实完整说明APP和集成的第三方SDK收集用户个人信息的规则;隐私政策隐私弹窗必须使用明确的“同意\拒绝”按钮;只有当用户点击“同意”后,APP和SDK才能调用系统接口和读取收集用户的信息。
参考图示:
场景2:APP以隐私政策弹窗的形式向用户明示收集使用规则,未经用户同意,存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。
整改建议:请查看报告3.1-场景2个人信息行为,APP和集成的SDK在用户“同意”隐私政策前,获取(运行中的进程、【友盟SDK】收集IMSI)信息,请查看行为数据,定位具体的函数代码进行修复,建议通过加入判定,将函数调用行为放在用户“同意”之后执行。
提示:
①用户在点击隐私政策协议“同意”按钮前,APP和SDK不能调用系统的敏感权限接口,特别是能获取IMEI、IMSI、MAC、IP、Android、已安装应用列表、硬件序列表、手机号码、位置等信息的系统接口。
②集成的第三方SDK建议升级到最新版本,用户在点击隐私政策协议“同意”按钮后,SDK再进行初始化。
③技术同学可在“同意”按钮上加入判定函数,当用户点击“同意”后,APP和SDK再执行调用系统接口的相关函数行为。
参考图示:
场景3:APP以隐私政策弹窗的形式向用户明示收集使用规则,但未见清晰明示APP收集设备MAC地址、软件安装列表等的目的方式范围,用户同意隐私政策后,存在收集设备MAC地址、软件安装列表的行为。
整改建议:请查看报告3.1-场景3个人信息行为,APP隐私政策内需要补充收集(运行中的进程、【友盟SDK】收集IMSI)信息的规则说明。
参考图示:
场景4:APP未见向用户明示SDK收集使用个人信息的目的、方式和范围,未经用户同意,SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。
整改建议:请在APP进入首屏补充完整的个人信息收集规则(添加隐私政策弹窗),使用明确“同意/拒绝”按钮,在用户点击“同意”后,APP和SDK才能调用系统接口和读取收集用户的信息。
参考图示:
场景5:APP向用户明示SDK的收集使用规则,未经用户同意,SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。
整改建议:请查看报告3.1-场景5个人信息行为,APP和集成的SDK在用户“同意”隐私政策前,获取(运行中的进程、【友盟SDK】收集IMSI)信息,请下载查看行为数据,定位具体的函数代码进行修复,建议通过加入判定,将函数调用行为放在用户“同意”之后执行。
提示:
①用户在点击隐私政策协议“同意”按钮前,APP和SDK不能调用系统的敏感权限接口,特别是能获取IMEI、IMSI、MAC、IP、Android、已安装应用列表、硬件序列表、手机号码、位置等信息的系统接口。
②集成的第三方SDK建议升级到最新版本,用户在点击隐私政策协议“同意”按钮后,SDK再进行初始化。
③技术同学可在“同意”按钮上加入判定函数,当用户点击“同意”后,APP和SDK再执行调用系统接口的相关函数行为。
参考图示:
场景6:APP向用户明示SDK的收集使用规则,但未见清晰明示SDK收集设备MAC地址、软件安装列表等的目的方式范围,用户同意隐私政策后,SDK存在收集设备MAC地址、软件安装列表的行为。
整改建议:请查看报告3.1-场景6个人信息行为,APP隐私政策内需要补充收集(运行中的进程、【友盟SDK】收集IMSI)信息的规则说明。
参考图示:
场景7:App在征求用户同意环节,未提供明确的同意或拒绝按钮,或者使用“好的”“我知道了”等词语。
整改建议:请将隐私协议弹窗按钮(好的、在想想)修改为明确的同意或者拒绝。建议可以使用:
同意按钮建议使用文案:同意、愿意、允许、接受、可以
拒绝按钮建议使用文案:拒绝、不同意、暂不同意、暂不使用、退出、取消、仅浏览
参考图示:
场景8:App在征求用户同意环节,设置为默认勾选。
整改建议:请修改APP注册/登录界面,(1)底部“我已阅读《XXX协议》和《隐私协议》”需要有勾选框,并且默认不勾选。(2)不能使用注册或登录默认用户同意《隐私政策》的征求方式。
参考图示:
二、超范围收集个人信息
3.2超范围收集个人信息
场景1:APP未见向用户告知且未经用户同意,在YYY功能中,存在收集通讯录、短信、通话记录、相机等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
整改建议:此项关联3.1-场景2和3.1-场景3,请按照3.1-场景2和3.1-场景3进行整改。
场景2:APP在运行时,未见向用户告知且未经用户同意,存在按照一定频次读取位置信息等个人信息,非服务所必需且无合理应用场景,超出实现产品或服务的业务功能所必需的最低频率。
整改建议:请查看报告3.2-场景2个人信息行为,修改APP或SDK收集信息的频率≤1次/秒。
参考图示:
场景3:APP未见向用户明示SDK的收集使用规则,未经用户同意,SDK存在收集通讯录、短信、通话记录、相机等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
整改建议:此项关联3.1-场景5和3.1-场景6,请按照3.1-场景5和3.1-场景6进行整改。
场景4:APP未见向用户明示SDK的收集使用规则,未经用户同意,SDK存在按照一定频次读取位置信息等个人信息行为,非服务所必需且无合理应用场景,超出实现产品或服务的业务功能所必需的最低频率。
整改建议:请查看报告3.2-场景4个人信息行为,修改APP或SDK收集信息的频率≤1次/秒。
参考图示:
场景5:APP未见向用户告知且未经用户同意,在静默状态下或在后台运行时,存在收集通讯录、短信、通话记录、相机等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
整改建议:此项关联3.1-场景2和3.1-场景3,请按照3.1-场景2和3.1-场景3进行整改。
场景6:APP未见向用户告知且未经用户同意,在静默状态下或在后台运行时,存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
整改建议:请查看报告3.2-场景6个人信息行为,修改APP或SDK收集信息的频率≤1次/秒。
参考图示:
场景7:APP未向用户明示SDK的收集使用规则,未经用户同意,SDK在静默状态下或在后台运行时,存在收集通讯录、短信、通话记录、相机等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
整改建议:此项关联3.1-场景5和3.1-场景6,请按照3.1-场景5和3.1-场景6进行整改。
场景8:APP未向用户明示SDK的收集使用规则,未经用户同意,SDK在静默状态下或在后台运行时,存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
整改建议:请查看报告3.2-场景8个人信息行为,修改APP或SDK收集信息的频率≤1次/秒。
参考图示:
三、违规使用个人信息
3.3违规使用个人信息
场景1:APP未见向用户告知且未经用户同意,存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方SDK的行为。
整改建议:请查看报告3.3-场景1个人信息行为,APP和集成的SDK在用户“同意”隐私政策前,获取(运行中的进程、【友盟SDK】收集IMSI)信息,请查看堆栈信息,定位具体的函数代码进行修复,建议通过加入判定,将函数调用行为放在用户“同意”之后执行。
场景2:APP未见向用户明示分享的第三方名称、目的及个人信息类型,用户同意隐私政策后,存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方SDK的行为。
整改建议:请查看报告3.3-场景2个人信息行为,在隐私政策中补充第三方SDK收集(【友盟SDK】收集IMSI)信息的规则说明。
参考图示:
四、APP强制、频繁、过度索取权限
3.4 APP强制、频繁、过度索取权限
场景1:APP首次启动时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,应用退出或关闭(应用陷入弹窗循环,无法正常使用)。
整改建议:请查看报告3.4-场景1个人信息行为,APP向用户索取(电话)权限,用户拒绝后,APP不能退出或关闭,必须保证APP可以继续正常运行。
参考图示:
场景2:APP运行时,未向用户告知XXX权限的目的,向用户索取当前服务场景未使用到的通讯录、定位、短信、录音、相机、日历等权限,且用户拒绝授权后,应用退出或关闭相关功能,无法正常使用
整改建议:请查看报告3.4-场景2个人信息行为,APP需要先通过弹窗向用户说明申请(电话)权限的目的,用户同意后再申请权限。用户拒绝后,APP不能退出或关闭,必须保证APP可以继续正常运行。
参考图示:
场景3:用户注册登录时,APP向用户索取电话/通讯录/定位/短信/录音/相机/存储/日历等权限,用户拒绝授权后,应用无法正常注册或登录。
整改建议:请查看报告3.4-场景3个人信息行为,用户在注册或登录时,APP向用户索取(电话)权限,用户拒绝后,应用必须可以继续注册或登录。
参考图示:
场景4:APP运行时,向用户索取当前服务场景未使用到的电话/通讯录/定位/短信/录音/相机/存储/日历等权限,且用户拒绝授权后,应用退出或关闭(应用陷入弹窗循环,无法正常使用)。
整改建议:请查看报告3.4-场景4个人信息行为,APP向用户索取(电话)权限,用户拒绝后,APP不能退出或关闭,必须保证APP可以继续正常运行。
参考图示:
场景5:APP运行时,在用户明确拒绝通讯录/定位/短信/录音/相机/XXX等权限申请后,仍向用户频繁弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。
整改建议:请查看报告3.4-场景5个人信息行为,APP向用户索取(电话)权限,用户拒绝后,APP不能重复向用户申请权限。(权限申请弹窗的“禁止后不再询问”是系统提供的功能,属于管理功能,不是APP自身机制,APP要能做到拒绝后不再触发申请权限弹窗)。
参考图示:
场景6:APP在用户明确拒绝通讯录/定位/短信/录音/相机/XXX等权限申请后,重新运行时,仍向用户弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。
整改建议:请查看报告3.4-场景6个人信息行为,APP向用户索取(电话)权限,用户拒绝后不得再次主动申请权限。(权限申请弹窗的“禁止后不再询问”是系统提供的功能,属于管理功能,不是APP自身机制,APP要能做到拒绝后不再触发申请权限弹窗)。
参考图示:
场景7:APP首次打开(或其他时机),未见使用权限对应的相关产品或服务时,提前向用户弹窗申请开启通讯录/定位/短信/录音/相机/XXX等权限。
整改建议:请查看报告3.4-场景7个人信息行为,APP需要先通过弹窗向用户说明申请(电话)权限的目的,用户同意后再申请权限。
参考图示:
五、APP频繁自启动和关联启动
3.5 APP频繁自启动和关联启动
场景1:APP未向用户明示未经用户同意,且无合理的使用场景,存在频繁自启动或关联启动的行为。
整改建议:请查看报告3.5-场景1个人信息行为,APP存在(自启动),请查看“行为数据”,定位具体的函数代码进行修复,建议删除相关自启动函数代码。如APP必须使用(自启动)能力,请在隐私政策协议中清楚说明自启动的规则说明,并且取得用户同意后执行。
场景2:APP虽然有向用户明示并经用户同意环节,但频繁自启动或关联启动发生在用户同意前。
整改建议:请查看报告3.5-场景2个人信息行为,APP存在(自启动),请查看“行为数据”,定位具体的函数代码进行修复,建议删除相关自启动函数代码。如APP必须使用(自启动)能力,请在隐私政策协议中清楚说明自启动或关联启动的规则说明,并且取得用户同意后执行。
场景3:APP非服务所必需或无合理应用场景,超范围频繁自启动或关联启动第三方APP。
整改建议:请查看报告3.5-场景3个人信息行为,APP存在(自启动),请查看“行为数据”,定位具体的函数代码进行修复,建议删除相关自启动函数代码。如APP必须使用(自启动)能力,请在隐私政策协议中清楚说明自启动或关联启动的规则说明,并且取得用户同意后执行。
参考图示:
最后编辑:吴海彬 更新时间:2024-01-09 10:13