自中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局于2019年1月25日發(fā)布《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，以及監(jiān)管部門在全國范圍組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理以來，截至2024年3月，工信部已累計(jì)通報(bào)了涉及各類App（SDK）的36批侵害用戶權(quán)益行為，各地通信管理局、網(wǎng)信辦、公安、人民銀行下設(shè)分行等監(jiān)管部門也各自有相關(guān)通報(bào)發(fā)布，對(duì)侵害用戶權(quán)益的App進(jìn)行通報(bào)和下架處理。這些行動(dòng)彰顯了監(jiān)管部門對(duì)個(gè)人信息保護(hù)工作的高度重視。

為幫助App開發(fā)者更好理解個(gè)人信息保護(hù)合規(guī)要求，我們將陸續(xù)推出個(gè)人信息保護(hù)合規(guī)系列文章。本文為該系列第四篇，對(duì)某App被通報(bào)問題及其解決方案進(jìn)行了說明，旨在幫助開發(fā)者在開發(fā)階段避免出現(xiàn)同類問題。

問題描述：申請(qǐng)打開可收集個(gè)人信息的權(quán)限，或申請(qǐng)收集用戶身份證號(hào)、銀行賬號(hào)、行蹤軌跡等個(gè)人敏感信息時(shí)，未同步告知用戶其目的，或者目的不明確、難以理解。

常見問題/場景：

首次安裝運(yùn)行App，登錄后在“我的”頁面點(diǎn)擊開立電子 賬戶，彈窗申請(qǐng)了位置權(quán)限，未同步告知其目的。

解決方法：

· 建議同步告知目的，并且目的要明確以及易于理解（如XX權(quán)限在XX功能中用于XX；或者，如相冊權(quán)限可描述為“我們需要相冊權(quán)限，為您提供在實(shí)名認(rèn)證過程中選擇本地證件照片進(jìn)行OCR識(shí)別的功能”），在系統(tǒng)索權(quán)彈窗前應(yīng)有申請(qǐng)權(quán)限的同步告知說明。

· 建議用戶告知界面中具備“不允許”的選項(xiàng)，如“允許/不允許”二選一按鈕。

· 建議對(duì)收集個(gè)人敏感信息類型進(jìn)行核查，進(jìn)入應(yīng)用功能界面，在收集敏感信息時(shí)，應(yīng)增加彈窗提示、顯著標(biāo)識(shí)、特殊說明等增強(qiáng)式告知。以下為示例：

CFCA檢測服務(wù)優(yōu)勢

中國金融認(rèn)證中心（CFCA）是由中國人民銀行于1998年?duì)款^組建，經(jīng)國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的權(quán)威電子認(rèn)證機(jī)構(gòu)，歷經(jīng)20余年積淀，發(fā)展成為以網(wǎng)絡(luò)安全綜合服務(wù)為核心的科技企業(yè)。

針對(duì)企業(yè)在個(gè)人信息保護(hù)方面的合規(guī)需求，CFCA推出個(gè)人信息保護(hù)合規(guī)檢測，幫助企業(yè)進(jìn)行合規(guī)改造、減少通報(bào)情況、維護(hù)企業(yè)形象。CFCA依托對(duì)個(gè)人信息保護(hù)合規(guī)標(biāo)準(zhǔn)的把控，以及對(duì)數(shù)百家客戶App檢測情況的全景洞察，綜合提煉標(biāo)準(zhǔn)要求，分析標(biāo)準(zhǔn)要求的具體落地場景，為企業(yè)客戶提供全方位的合規(guī)檢測服務(wù)。

檢測內(nèi)容覆蓋個(gè)人信息收集、傳輸、存儲(chǔ)、使用、銷毀全生命周期，配合CFCA自主研發(fā)的個(gè)人信息檢測輔助系統(tǒng)，以專家檢測+自動(dòng)化工具檢測的形式多維度開展檢測工作，助力企業(yè)客戶合規(guī)展業(yè)。

目前，CFCA具有超過1000款金融App的檢測經(jīng)驗(yàn)，檢測服務(wù)受眾涵蓋包括國有大行、全國性股份行等在內(nèi)的各類銀行客戶。CFCA檢測團(tuán)隊(duì)曾獲得多項(xiàng)國家、省部級(jí)安全競賽獎(jiǎng)項(xiàng)，2022年在國家認(rèn)監(jiān)委組織的移動(dòng)應(yīng)用程序個(gè)人信息安全檢測競賽中奪得第一名。

部分依據(jù)標(biāo)準(zhǔn)：

? 《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》【國信辦秘字〔2019〕191號(hào)】

? 《工業(yè)和信息化部關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》【工信部信管函〔2020〕164號(hào)】

? 《信息安全技術(shù)個(gè)人信息安全規(guī)范》【GB/T 35273-2020】

? 《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》【JR/T 0171-2020】

? 《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》【國信辦秘字〔2021〕14號(hào)】