开发者中心

上海璟梦信息科技有限公司数据安全的合规指南

更新时间:2021年05月10日
近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用;各类App小程序在提供各类便捷、高效、普惠服务的同时,也存在处理用户个人信息的行为,因此收集个人信息安全问题开始进入各方重点关注的视野,如App强制授权、过度索权、超范围收集个人信息等现象。
自2019年起至今,不论是立法动态还是监管角度,均将个人信息保护和数据安全问题作为重点之一。在监管方面,中央网信办、工业和信息化部、公安部、市场监督总局四部委组建的App专项治理工作组在发布《App违法违规收集使用个人信息专项治理报告》后,多次全国范围内开展App违法违规收集使用个人信息专项治理行动,并陆续出台完善了《App违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范。在立法和国家标准制定方面,《GB/T35273-2020信息安全技术个人信息安全规范》、《数据安全法(草案)》《个人信息保护法(草案)》等国家标准的研究也开始对App中应如何合法合规引入第三方(包括SDK)这一特定领域进行规定。
为帮助使用上海璟梦信息科技有限公司SDK的APP开发者们更清楚地了解监管要求、高效落实个人信息保护和数据安全相关事宜,我们特编写了《上海璟梦信息科技有限公司数据安全的合规指南》(以下简称“指南”),供开发者们参考。

一、App个人信息保护合规要求
(一)目前监管部门都关注哪些违规采集使用问题?

关注问题 问题描述
1.未经授权擅自收集 指的是App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,就开始收集个人信息或打开可收集个人信息的权限。
2.过度和非必要收集 指的是App收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,并非其正常运行或实现相关功能所必须;或App收集个人信息的频度超出业务功能实际需要。
3.频繁索权和强制收集 指的是App在用户明确不同意《隐私政策》或拒绝权限申请后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;甚至“不给权限不让用”,强制要求用户同意开放不必要权限,若用户不同意,就拒绝提供任何服务。
4.隐瞒第三方SDK收集行为 指的是App嵌入了收集用户个人信息的第三方SDK,但未通过《隐私政策》或其他显著方式向用户明示第三方SDK的个人信息收集行为。
5.私自共享个人信息给第三方 指的是App既未经用户同意,也未做匿名化处理,直接向第三方提供个人信息。
6.未提供账号注销,个人信息查询、更正或删除途径 指的是App未提供有效的更正、删除个人信息及注销用户账号功能;或App为更正、删除个人信息或注销用户账号设置不必要或不合理条件。

以上为有关主管部门披露的几大重点问题,App开发者和运营者可通过《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》等相关文件,进行深入了解。

(二)APP开发者常见问题及相应处置建议
APP开发者可重点关注和评估以下几点:
1.是否有制定独立的《隐私政策》,并明示收集使用个人信息的目的、方式和范围?
(1)App需制定一份单独成文的《隐私政策》,并确保在首次运行APP或用户注册时,主动提示用户阅读隐私政策,或通过弹窗等形式主动展示隐私政策的主要核心内容,包含但不限于收集使用个人信息的目的、方式和范围。
(2)为用户提供主动选择同意,或显著提醒用户阅读后同意隐私政策的选项,对于通过勾选框形式征得同意的,不默认勾选同意。
2.是否存在超范围收集个人信息的情况?
(1)结合实际业务功能和场景所需,APP收集的个人信息类型应与业务功能有直接关联,不收集与所提供业务功能无关的个人信息。
(2)App应在《隐私政策》中将收集个人信息的业务功能以及每个业务功能所收集的个人信息类型进行逐项列举,不应使用“等”“例如” 等方式概括说明;同时,App须对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。
3. 是否存在强制捆绑授权行为?
(1)App应该区分基本业务和附加业务功能,不通过捆绑服务类型、捆绑基本业务功能和附加业务功能等方式,强制用户一次性授权同意个人信息的请求。
(2)用户明确拒绝APP业务功能所需权限,APP不应频繁申请系统权限干扰用户正常使用,除非由用户主动触发功能,且没有该权限参与此业务功能无法实现。
4.是否存在未经同意向第三方提供个人信息情形?
(1)如存在从客户端直接向第三方发送个人信息的情形,包括通过客户端嵌入第三方代码、插件(如 SDK)等方式向第三方发送个人信息的情形,需事先征得用户同意,竟匿名化处理的除外。
(2)如个人信息传输至服务器后,APP运营者向第三方提供其收集的个人信息,应事先征得用户同意,经匿名化处理的除外。

(三)开发者如何有效完善《隐私政策》?
(1)App还需要在《隐私政策》中清晰说明个人信息处理规则及用户权益保障,包括App运营者的基本情况,个人信息存储和超期处理方式,个人信息的使用规则,个信息出境情况,个人信息安全保护措施和能力,对外共享、转让、公开披露个人信息规则,用户权利保障机制,用户申诉渠道和反馈机制,隐私政策时效及更新等内容。同时,App不应在用户协议、服务协议、《隐私政策》等文件中出现免除自身责任、加重用户责任、排除用户主要权利条款。 上海璟梦信息科技有限公司建议App开发者参考《App违法违规收集使用个人信息自评估指南》进一步自查。
(2)《隐私政策》的内容应包括但不限于:
1.App开发者或运营者的基本情况,包括主体身份、联系方式;
2.收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示;
3.个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则;
4.对外共享、转让、公开披露个人信息的目的,涉及的个人信息类型,接收个人信息的第三方类型,以及各自的安全和法律责任;
5.个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等;
6.提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
7.遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;
8.处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。

二、App使用上海璟梦信息科技有限公司SDK时的合规指引
1.在使用上海璟梦信息科技有限公司SDK产品时,开发者需在App《隐私政策》的 “与授权合作伙伴共享”条款中,将上海璟梦信息科技有限公司用户隐私政策加入其中,并向终端用户逐一明示您嵌入的SDK收集使用个人信息的目的、方式和范围。
2.您应确保在App首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权后,再初始化SDK进行信息收集与处理。 为帮助开发者高效制定隐私政策,上海璟梦信息科技有限公司针对不同细分领域的App整理输出了各个类型的App隐私政策模板,供开发者参考使用。

三、上海璟梦信息科技有限公司的信息安全保护能力与资质
1. 上海璟梦信息科技有限公司在业务开展的过程中,始终将安全合规放在首要位置,坚持以下四项基本原则,以最大限度地保护个人信息安全:
1)合法依规,匿名或非特定个体原则;
2)用户知情且授权,可遗忘可撤回原则;
3)必要性和最小化原则;
4)利于用户,绝不助恶原则。
2.上海璟梦信息科技有限公司严把数据采集入口、划清数据流转边界、守正数据运用场景,基于多年的实践经验与创新,已经建立起从数据采集、流转到应用的全链条管控与防护机制。
1)数据收集的授权同意 上海璟梦信息科技有限公司坚持必要性和最小性原则,收集为实现各业务功能所必需的合理用户数据。上海璟梦信息科技有限公司所获取的用户数据来源于App终端用户对于App开发者及App许可的第三方的同意和授权。
2)数据的处理和使用 用户数据进入到上海璟梦信息科技有限公司大数据平台后,上海璟梦信息科技有限公司会严格按照法律法规要求对用户数据进行去标识化或匿名化处理。
3)数据传输和存储的安全措施 上海璟梦信息科技有限公司在和服务器交互的过程中使用业内标准的HTTPS协议以及自定义的RSA+AES+SIGN的方式双重保证数据传输过程中的安全。 同时,上海璟梦信息科技有限公司对数据入库和保存有着严格的流程,并对不同App进行隔离存储,降低数据泄露的风险,并使用受信赖的保护机制防止数据遭到恶意攻击。   
4)数据删除的处理方式 上海璟梦信息科技有限公司只会在业务所需的期限内和法律法规规定的最短期限内保存用户数据,超出上述保存期间后,上海璟梦信息科技有限公司会根据适用的法律法规要求,对用户数据进行删除或匿名化处理。

合规文件指引
为了更及时高效地落实合规要求,我们建议各位开发者充分了解现有以及陆续将发布的有关个人信息保护的法律、法规、政策、标准等,以下资料供您参考:
《GB/T 35273-2017 信息安全技术个人信息安全规范》
http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4568F276E0F8346EB0FBA097AA0CE05E
《App违法违规收集使用个人信息行为认定方法》
http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm
《App违法违规收集使用个人信息自评估指南》
http://pip.tc260.org.cn/jbxt/privacy/detail/20190302114600934277
《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
https://www.tc260.org.cn/front/postDetail.html?id=20200918162332
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
https://www.tc260.org.cn/front/postDetail.html?id=20190531230315
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》
https://www.tc260.org.cn/front/postDetail.html?id=20200319113609
《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》
https://www.tc260.org.cn/front/postDetail.html?id=20200330091643
《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》
https://www.tc260.org.cn/front/postDetail.html?id=20200918163359