48 种 App 违法违规收集个人信息情形

一颗小胡椒 2020-11-23
专栏 - 政策法规 发布于 2020-11-23 10:01:17 阅读 128 评论 0

app既能给用户提供不少便利,也可能悄悄窃取你的个人信息;个人信息一旦被违反犯罪分子获取,随时可能被引爆产生严重后果!

App合规正当时!

本文选取了已公开的现存App违法违规收集个人信息的情形,无论是App运营者,还是普通个人用户,对于此次App违法违规专项整治所涉的对象,都可以有个充分、全面的认识。

一、 隐私政策的不合规

1. App内无法找到隐私政策或未以显著方式展示隐私政策(注册或登录选项与同意隐私政策的因果逻辑关系不清楚);

2. 首次运行及注册登录界面均未通过明显方式(弹窗等)提示用户阅读隐私政策等收集使用规则;

3. 以默认选择同意隐私政策的非明示方式征求用户同意;

4. 使用通讯录权限等实际收集使用个人信息行为与隐私政策声明不一致;

5. 在隐私政策中未说明收集的如用户支付宝账号、设备IMEI号等个人信息的目的、方式和范围;

6. 隐私政策等收集使用规则难以访问,如进入APP主界面后,需多于4次点击等操作才能访问到;

7. 隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等;

二、收集个人信息的不合规

未明示未告知

8. 征得用户同意前就开始收集应用程序列表等个人信息或打开可收集个人信息的权限或发送至第三方服务器;

9. 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

10. 在申请打开相机、通讯录、电话、存储、位置、麦克风等可收集个人信息的权限时,未同步告知用户其目的;

11. 未明示收集的用户姓名、详细地址、手机号码、邮箱地址、支付宝账号、社保账号、微信账号、qq账号等个人信息的目的、方式和范围;

12. 在收集用户身份证号、身份证照片、房产证照片、面部识别特征、银行卡号等个人敏感信息时,未明示收集的目的、方式和范围,或收集时未同步告知用户其目的;

13. 用户未使用业务功能时存在读取剪切板行为;

14. App关闭后,未经用户同意,采用自启动方式收集设备IMEI号等个人信息;

15. 手机开机后,未经用户同意,App自启动并向第三方服务器发送数据;

16. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

17. 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等;

18. 违反其所声明的收集使用规则,收集使用个人信息;

收集无关信息

19. 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

20. 收集用户的真实姓名、身份证号、宗教信仰、婚史等个人敏感信息与业务功能无关;

21. 收集的用户性别、生日、地区、学校、公司、职业、情感状态、收货地址等个人信息与所提供的业务功能无关;

22. 申请打开的电话、位置、存储权限与现有业务功能无关;

23. 收集设备IMEI号等个人信息的频度、频率等超出业务功能实际需要;

超越授权范围收集使用信息

24. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

25. 未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

26. 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

误导同意收集信息

27. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

28. 以不正当方式误导用户同意收集个人信息:1)在隐私政策中以“在你发送微博、使用微博提供的位置定位服务时,我们会收集你的位置信息、设备信息”为由收集用户设备信息。2)在隐私政策中以“用于防止您伪造通讯录或填写虚假联系人”为由要求用户打开通讯录权限。3)以“会推荐更合适宝贝的绘本哦”为由收集儿童头像和姓名;

29. 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

30. 将targetSDKversion值设置小于23,要求用户一次性同意打开多个可收集个人信息的权限;

三、用户不同意提供个人信息的不合规

31. 用户明确表示不同意打开位置权限、相机权限、储存权限、电话权限后,仍频繁征求用户同意,干扰用户正常使用;

32. 因用户不同意打开非必要的电话、位置、储存、麦克风、相机权限,拒绝提供部分或所有业务功能;

33. 因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

34. App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

四、用户更正、删除、撤销、注销个人信息的不合规

35. 未提供更正、删除个人信息及注销用户账号功能;

36. 未向用户提供撤回同意收集个人信息的途径、方式;

37. 用户撤销电话权限授权,明确表示不同意收集该权限对应的个人信息后,仍通过其他途径收集设备IMEI号等个人信息;

38. 用户撤销位置权限授权,明确表示不同意收集该权限对应的个人信息后,仍通过其他途径定位用户精确位置;

39. 为注销用户账号设置不合理条件:1)需提交身份证正反面照片等信息才允许注销且未说明注销后是否会删除注销时提交的身份证照片信息;2)注销账号时强制要求人脸识别,且未说明注销时人脸识别信息使用的规则。

40. 未提供有效的注销用户账号功能:1)客服表示App目前没有注销功能,无法完成注销;2)按照隐私政策提供的QQ在线客服进行注销账号,超过15个工作日App未响应注销请求;

41. 虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

42. 更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

五、SDK的不合规

43. 既未经用户同意,也未做匿名化处理,通过客户端嵌入的SDK向第三方提供设备IMEI号、位置等个人信息;

44. 未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型;

六、个人信息储存的不合规

45. App明文上传用户账户、密码;

46. 既未经用户同意,也未做匿名化处理,向第三方提供用户账号信息;

七、个人信息投诉举报渠道的不合规

47. 未建立并公布个人信息安全投诉和举报渠道:隐私政策未提供投诉、举报渠道;

48. 未提供有效的个人信息投诉、举报和注销账号功能:

  • 投诉、举报的邮件未在15个工作日内完成核查和处理;
  • 多次通过隐私政策提供的电话联系,均提示“座席忙,请挂机”。
  • 在线反馈问题显示“客服不在线,系统将自动断开会话”的提示信息;
  • 每隔15分钟拨打客服电话,均提示“坐席忙,继续等待请按1,结束请挂机”。
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!