為幫助開發者更好地履行保護用戶個人信息的責任與義務,落實《中華人民共和國網絡安全法》、《中華人民共和國個人信息保護法》、《App違法違規收集使用個人信息行為認定方法》、《關于開展APP侵害用戶權益專項整治工作的通知》、《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》、《信息安全技術 個人信息安全規范》、《APP用戶權益保護評測規范》、《常見類型移動互聯網應用程序必要個人信息范圍規定》等法規政策要求,華為應用市場整理出以下常見的APP個人信息保護合規問題及修改指引,攜手開發者全力開展APP個人信息保護工作,共同促進移動互聯網的良性發展,為用戶提供更安全、更優質的服務。
APP未以個人信息處理規則彈窗等形式向用戶明示個人信息處理的目的、方式和范圍,不應收集個人信息。
APP涉及“個人信息”處理,需要以個人信息處理規則彈窗等形式清晰明示處理個人信息的目的、方式和范圍;及在靜默狀態下或在后臺運行時收集個人信息的目的、方式和范圍。
隱私政策需包含:(1)收集的個人信息類型,目的、方式、范圍;(2)是否存在靜默/后臺狀態收集個人信息行為。
APP未以個人信息處理規則彈窗等形式向用戶明示第三方SDK處理個人信息的目的、方式和范圍,第三方SDK不應收集個人信息。
APP集成的第三方SDK涉及“個人信息”處理,需要在隱私政策中逐一明示收集個人信息的目的、方式和范圍。
在靜默狀態下或在后臺運行時,APP集成的三方SDK涉及“個人信息”處理,需要在隱私政策中逐一明示收集個人信息的目的、方式和范圍。
APP須提供開發者自身的隱私政策,且隱私政策內的開發者名稱及應用名稱均需與在AppGallery Connect上提交的信息一致。
常見問題:(1)隱私政策內無開發者名稱;(2)隱私政策內的開發者名稱與上傳應用的開發者名稱信息不一致;(3)隱私政策內的應用名稱與開發者提交的應用名稱信息不一致。
APP以個人信息處理規則彈窗等形式向用戶明示(包含第三方SDK)處理個人信息的目的、方式和范圍,未經用戶同意,APP(包含第三方SDK)不應收集個人信息。
APP在征求用戶同意環節,應提供明確的同意和拒絕選項,不應僅使用“好的”、“好”、“我知道了”、“我了解”、“我知曉”、“我已閱讀”、“立即使用”、“下一步”等無法清晰表達用戶同意的詞語。
APP在征求用戶同意環節,不應設置為默認同意。
常見的問題有:1. 隱私彈窗無拒絕選項;2.無勾選框“登錄即代表同意”;3. 默認勾選同意隱私政策等。
隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,文本冗長,展示不全,或未提供簡體中文版等。
重點整治APP、SDK非服務所必需或無合理應用場景,特別是在靜默狀態下或后臺運行時,超范圍收集個人信息。
APP運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,不得收集與其提供的服務無關的個人信息;不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。
常見問題:(1)APP(包括第三方SDK)超范圍、超頻次收集;(2)APP(包括第三方SDK)靜默后臺超范圍、超頻次收集。
APP或APP集成的第三方SDK收集個人信息的范圍不要超出隱私政策中描述的范圍;收集的頻率不應超出其實現產品或服務的業務功能所必需的最低頻率。
靜默狀態下或在后臺運行時,APP或APP集成的第三方SDK收集個人信息的范圍不應超出隱私政策中描述的范圍;收集的頻率不應超出其實現產品或服務的業務功能所必需的最低頻率。
重點整治APP、SDK未向用戶告知且未經用戶同意,私自使用個人信息,將用戶個人信息用于其它服務,特別是私自向其他應用或服務器發送、共享用戶個人信息的行為。
需要向本APP以外的第三方提供個人信息的,應當向用戶告知其身份信息、聯系方式、處理目的、處理方式和個人信息的種類等事項,并取得用戶同意。
APP向第三方(包括向第三方SDK)共享“個人信息”時,需向用戶明示個人信息處理的目的、方式和范圍,以及共享的第三方身份、目的及個人信息類型,并獲得用戶同意(如在隱私政策中告知)。
APP未經用戶同意,不應將個人信息發送給第三方SDK等產品或服務。
APP未向用戶告知且未經用戶同意,不應將設備識別信息、商品瀏覽記錄、搜索使用習慣、軟件安裝列表等個人信息傳輸至APP服務器后,向第三方產品或服務提供其收集的個人信息。
重點整治APP、SDK未以顯著方式標示且未經用戶同意,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息,用于定向推送或廣告精準營銷,且未提供關閉該功能選項的行為。
APP的定向推送功能提供的關閉按鈕需真實有效。
不得以定向推送信息為由,強制要求用戶同意超范圍或者與服務場景無關的個人信息處理行為。
若APP的業務功能存在定向推送功能,應以個人信息處理規則彈窗等形式向用戶明示, 將收集的用戶個人信息用于定向推送、精準營銷。
若APP定向推送功能使用了第三方的個人信息來源,應以個人信息處理規則彈窗等形式向用戶明示業務功能使用第三方的個人信息進行定向推送,并向用戶明示第三方的個人信息來源。
APP以個人信息處理規則彈窗等形式明示存在定向推送功能,頁面中應顯著區分定向推送服務,顯著方式包括但不限于:標明“個性化推薦”、“定推”、“猜你喜歡”等其他能顯著區分的字樣,或通過不同的欄目、版塊、頁面分別展示等。
APP以個人信息處理規則彈窗等形式明示存在定向推送功能,應提供退出或關閉個性化展示模式的選項,如拒絕接受定向推送信息,或停止、退出、關閉相應功能的機制。
APP運行時,向用戶索取電話、通訊錄、定位、短信、錄音、相機、存儲、日歷等權限,用戶拒絕授權后,APP不應退出或關閉。
APP運行時,向用戶索取權限,用戶拒絕授權后,APP不應循環彈窗申請權限,使用戶無法繼續使用。
用戶注冊登錄時,APP向用戶索取權限,用戶拒絕授權后,APP不應無法正常注冊或登錄。
APP運行時,在用戶明確拒絕權限申請后,不應向用戶頻繁彈窗申請與當前服務場景無關的權限,影響用戶正常使用。APP重新運行時,也不應向用戶頻繁彈窗申請開啟與當前服務場景無關的權限。
APP首次打開或運行中,未見使用權限對應的相關功能或服務時,不應提前向用戶彈窗申請開啟權限。
APP未見提供相關業務功能或服務,不應申請通訊錄、定位、短信、錄音、相機、日歷等權限。
6.1 APP未向用戶明示未經用戶同意,且無合理的使用場景,不應自啟動或關聯啟動其它APP。
6.2 APP向用戶明示但未經用戶同意,不應自啟動或關聯啟動其它APP。
6.3 APP非服務所必需或無合理應用場景,不應自啟動或關聯啟動第三方APP。
6.4 SDK非服務所必需或無合理應用場景,不應啟動或關聯啟動APP。
APP在用戶終端彈出廣告或者其他與終端軟件功能無關的信息窗口的,應當以顯著的方式向用戶提供關閉或者退出窗口的功能標識。不應提供虛假、無效、標識不明顯的關閉選項。
APP信息窗口頁面,下載、安裝、開啟第三方APP時,應以顯著方式明示,并經用戶主動選擇同意。
常見問題:
(1)未顯著明示且未經用戶同意,點擊任意位置即自動下載、安裝、打開第三方APP。
(2)用戶暫停或取消非主動點擊觸發下載、安裝APP,關閉并重新運行本APP后,被用戶暫停或取消下載、安裝的APP自動恢復下載安裝。
(3)APP信息窗口頁面,通過“偷梁換柱”、“移花接木”等方式欺騙誤導強迫用戶下載、安裝、開啟第三方APP,包括但不限于“是否立即開始游戲”、“領取紅包”等誘導方式。
(4)APP信息窗口頁面,下載、安裝、開啟的APP與向用戶所作的宣傳或者承諾不符。
APP廣告頁面、開屏廣告、主屏等功能頁面,不應存在以積分、獎勵、優惠等方式欺騙誤導用戶提供身份證號、人臉、指紋等個人信息的行為。
根據《電信和互聯網用戶個人信息保護規定》、《關于開展APP侵害用戶權益專項整治工作的通知》、《App違法違規收集使用個人信息行為認定方法》、《信息安全技術 個人信息安全規范》 等法規政策要求,APP須向用戶提供帳號注銷服務,且不得為注銷服務設置不合理的障礙。APP承諾完成帳號注銷的時限不得超過15個工作日。
當您根據用戶的請求注銷應用帳號時,還必須刪除與該應用帳號相關聯的個人信息。臨時停用或禁用帳號、僅退出或切換登錄帳號,不等同于注銷帳號。
為提供優質用戶體驗,建議您直接在應用內提供“注銷帳號”的功能或選項,便于用戶在線行使注銷帳號的權利。您還可以在隱私政策中提供其他的帳號注銷實現途徑,如顯著說明用戶可以通過客服電話、電子郵件、網頁鏈接等方式申請注銷帳號。功能選項名稱需表述清晰,建議使用“注銷帳號”等表述。
是的。只要您的應用涉及帳號體系,就需提供帳號注銷功能。設置帳號注銷功能的形式請參考“9.2”。
是的。如果您的應用本身沒有帳號注冊體系,使用其他APP帳號注冊/登錄的,應提供清除、解除相關關聯帳號的功能或注銷服務,并在解除后刪除與該帳號相關聯的數據。僅退出或切換登錄帳號,不等同于注銷帳號。設置帳號注銷功能的形式請參考“9.2”。
10.1 APP應提供真實完整有效的開發者或運營者信息。
10.2 APP在AppGallery Connect上以及應用內,都應提供隱私政策,說明收集使用個人信息的內容、目的、方式和范圍。
AppGallery Connect上隱私政策網址路徑:在AppGallery Connect“管理中心” > “上架及推廣服務” > “應用市場” > “我的應用”>“點擊對應APP名稱” > 在上傳步驟“版本信息”的“隱私聲明”。
10.3 APP內展示的隱私政策內容與開發者在AppGallery Connect上提交的隱私政策網址內容應保持一致。
常見問題:(1)開發者名稱不一致;(2)隱私政策內容不一致。
10.4 為便于用戶了解APP及APP中集成的第三方組件所需收集的個人信息項和使用目的,建議您在AppGallery Connect提交上架時,錄入隱私標簽信息。
個人信息保護合規性檢測是華為應用市場依據相關法律法規,通過云手機動態檢測功能構建的個人信息保護檢測能力,在應用提交上架前即可進行檢測,協助開發者提前識別合規風險。
應用提交上架前會進行個人信息保護合規性檢測,只針對個人信息安全相關項進行系統檢測,應用提交上架申請后會經過人工審核,人工審核包含了功能、內容、安全等多項檢測項。
您可在提交申請時,先參考個人信息保護合規性檢測結果進行自查自糾,便于應用提交后盡早通過審核。
若個人信息保護合規性檢測結果與人工審核意見存在不一致,應以人工審核意見為準。
在AppGallery Connect點擊提交審核后,“應用上架—版本信息”界面中顯示應用狀態為 “正在審核”,您可稍等片刻后刷新當前界面查看檢測結果。
(1)檢測中,請耐心等候
該狀態下,您的應用正在進行個人信息保護合規性檢測,需等待系統檢測完畢后返回檢測結果。(檢測時長超出三十分鐘仍提示“檢測中”的,建議重新提交檢測或等待人工審核結果)
(2)本次檢測完成,暫未發現問題,最終結果請以應用市場人工審核反饋意見為準
該狀態下,您的應用暫未發現個人信息保護合規性問題,需等待人工審核結果,查看是否通過審核上架發布。
(3)檢測不通過
該狀態下,您的應用被發現存在個人信息保護合規風險,請點擊“查看詳情”進行問題的查看和定位,并耐心等待人工審核結果查看更詳細的修改建議。
FAQ會依據最新的個人信息保護相關法律法規要求進行更新。
如上述指引未能解答您的問題,請于華為應用市場互動中心咨詢,感謝您的支持!
附:
《工業和信息化部關于進一步提升移動互聯網應用服務能力的通知(工信部信管函〔2023〕26號)》
《工業和信息化部關于開展信息通信服務感知提升行動的通知(工信部信管函〔2021〕292號)》
《移動互聯網應用程序個人信息保護管理暫行規定》公開征求意見
關于印發《常見類型移動互聯網應用程序必要個人信息范圍規定》的通知(國信辦秘字〔2021〕14號)
《工業和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知(工信部信管函〔2020〕164號)》
GB/T 35273-2020《信息安全技術 個人信息安全規范》
關于印發《App違法違規收集使用個人信息行為認定方法》的通知(國信辦秘字〔2019〕191號)
《工業和信息化部關于開展APP侵害用戶權益專項整治工作的通知(工信部信管函〔2019〕337號)》
App個人信息安全保護審核標準解讀(2021-08)
掃一掃
掃一掃
