【友盟+| 运营干货】小程序合规指南
发布于 4 年前 作者 maojie 3588 次浏览 来自 分享

7月22日中央网信办、工业和信息化部、公安部、国家市场监管总局四部门在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。会议强调,2020年治理工作将在去年基础上,进一步加大整治工作力度,加强App、小程序违规采集个人信息相关问题的检测与治理。据悉,工信部将在2020年8月底前上线运行全国App技术检测平台管理系统,12月10日前完成覆盖40万款主流App检测工作。

那么,对于App和小程序开发者,如何做好采集合规,规避合规风险?

友盟+特按照目前法律及监管要求梳理并发布《友盟+ App/小程序合规指南》(以下简称“指南”),帮助您了解App检测关注重点,并为您提供完整易懂的合规解决方案。此外,我们也将在《指南》中向您展示友盟+数据安全与隐私保护技术能力,帮助您了解友盟+个人信息保护体系。

为了您的App采集合规,我们强烈建议您仔细阅读以下《指南》,及时调整合规措施。如果您是小程序开发者,可参考App检测关注重点,及时进行自查。

一、目前监管都关注哪些违规采集问题?我应当如何做到合规?

二、目前监管对App/小程序使用SDK是什么态度?

根据《个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》等规定可知, 目前 监管规定并未禁止App /小程序 使用SDK,但对使用SDK提出了“告知+同意”的行为要求 ——即您需要通过《隐私政策》向用户告知App /小程序 使用的全部SDK,并取得用户授权。

从行业价值角度看,SDK的出现,使开发者无需对产品的每个功能进行开发, 也不需要为这些功能购置相应的网络和服务器资源, 直接在App/小程序中集成SDK即可完成产品功能迭代, 大大节省了研发成本和硬件投入,缩短开发周期。在追求高效便捷的互联网时代,SDK已成为移动应用生态中极重要的一环。

三、如果您使用友盟+SDK,如何做到合规?

您需要通过《隐私政策》向用户告知您的小程序使用友盟+SDK收集、使用用户个人信息以提供相应服务,并取得用户授权。 前述“告知”可通过表格形式在《隐私政策》附录中披露,参考格式如下(具体请点击【阅读原文】查看详情):

您也可以在《隐私政策》“数据共享与披露”章节中直接增加如下推荐条款:

1、如您的小程序使用友盟+SDK,请增加:

我们的小程序集成友盟+SDK,友盟+SDK需要收集 您在小程序平台去标识化ID(如openid/unionid/userid)以及您设置的公开信息(昵称/头像/性别/地区/语言) 以提供统计分析服务。

值得提醒的是,您应确保在小程序首次运行时通过弹窗等明显方式提示用户阅读您的《隐私政策》并取得用户授权,之后再初始化SDK进行信息采集。


四、哪些个人信息字段或权限属于监管要求写在《隐私政策》中的内容?

小程序应当在《隐私政策》中列明所采集的个人信息字段,并向用户说明采集目的与用途。《隐私政策》范本可参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录D。

对于个人信息字段,详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录A/B。

关于个人信息权限,iOS系统重点关注:定位、通讯录、日历、提醒事项、照片、麦克风、相机、健康等;Android系统重点关注:日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储等。

请注意,目前监管规定并未禁止上述采集,但您需要保证您的采集行为均与业务功能合理相关,并且遵守“告知+同意”的规则对用户进行披露,取得用户授权。

五、《隐私政策》如何合规展示?

1、您应当保证《隐私政策》的独立性及易读性。《隐私政策》应单独成文,而不是作为《用户协议》或其他文件的一部分存在。用户进入App主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。

2、《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等),个人敏感信息类型详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。

3、《隐私政策》应由用户自主选择是否同意,注意不要以默认勾选“同意”的方式取得用户授权。展示方式参考如下:

六、友盟+ SDK如何保证采集合规?

友盟+始终严格遵守国家法律及监管规定,杜绝无应用场景的采集行为,做到数据技术服务的合规、透明。友盟+各类SDK所采集的所有个人信息字段及相应采集目的和用途,均在官网公示,杜绝违规采集。

为了保障您以及您最终用户的信息安全,我们将按照行业通行标准、努力采取合理的物理、电子和管理方面的安全措施来保护您的信息,并尽最大合理努力使您以及您最终用户的信息不会被泄漏、毁损或者丢失。在您的浏览器与服务器之间交换数据时受  SSL 协议加密保护;我们对网站提供 HTTPS 协议安全浏览方式;我们会使用加密技术提高个人信息的安全性;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制, 尽力确保只有授权人员才可访问个人信息;以及我们会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。 我们有行业先进的以数据为核心、围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性。


七、在数据安全与个人信息保护方面,友盟+取得哪些权威认证? 

我们取得了非银行业的最高安全等级保护标准——公安部信息安全三级等保认证,以及ISO/IEC 27001:2013信息安全管理体系认证和ISO/IEC 27018:2019公有云个人信息保护管理体系认证,成为国内大数据行业首个通过ISO/IEC 27018:2019公有云个人信息保护管理体系认证的公司,也是为数不多的同时取得ISO国际隐私合规双认证的大数据公司。

《友盟+ App/小程序合规指南》基于现行法律法规及监管政策、执法重点整理,我们强烈建议您也对这些监管规定的更新与发布情况时刻保持关注,您可参考的资料包括:

  • 《GB/T 35273-2020 信息安全技术 个人信息安全规范》
  • 《儿童个人信息网络保护规定》
  • 《移动互联网应用程序(App)收集使用个人信息自评估指南 》
  • 《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范(草案)》

在数据智能领域深耕十年的友盟+,深知SDK服务对于移动应用生态发展的重要性。我们致力于不断研发、创新SDK的数据服务类型,帮助App开发者大幅度提升开发效率,降低开发成本;也不断通过提高SDK的易用性和灵活性,为App提供更流畅、便捷的用户体验。

友盟+期待与您一起,推进移动应用生态合规发展,为维护良好行业环境而努力!

回到顶部