0x01 概述
前段时间看了Alkaid13的关于个人隐私保护政策解析的文章,深有体会,文章写的很详细,但是总感觉少了点什么,要是有个思维导图就好了;本文将作为原文的补充,提供一个思维导图,供需要的同学快速了解个人隐私保护政策,同时会将原文浓缩以供无耐心查看原文的同学们。
0x02 隐私政策基本要求
- 隐私政策必须是单独的文件,可以使用一个统一的H5页面
- 隐私查阅位置尽量控制在4次点击以内,如我的-关于-隐私政策
- 隐私政策格式必须易于查阅,字体不能太小,一般用黑色、宋体或雅黑,重点内容加粗、斜体或下划线标识
- 隐私政策大纲一般包含下面的内容:
- 我们如何收集和使用您的个人信息
- 我们如何使用Cookie和同类技术
- 我们如何共享软件、转让、公开披露用户的个人信息
- 我们如何存储收集用户的信息
- 我们如何使用信息
- 我们如何保证收集的用户信息安全
- 您如何管理个人信息(用户主体权利)
- 未成年人保护
- 如何联系我们
- 隐私政策变更
0x03 APP运营者信息
- 运营者信息可以放在隐私政策结尾
- 运营者基本情况包括
- 公司名称及注册地址,包括关联的运营公司;
- 信息需要和营业执照保持一致;
- 个人信息保护负责人(DPO)
0x04 个人信息的收集
- 收集个人信息的业务功能逐项列举,可以按APP业务功能图标划分或者按独立的功能模块划分
- 每个业务功能收集的个人信息类型说明,需要明示个人信息类型和收集的目的性,收集的信息类型不能使用“等”字样
- 申请使用的系统功能权限也需要说明,比如申请位置信息,摄像头等。
个人敏感信息类型进行显著标识:
身份证号码、个人生物识别信息、账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息
0x05 信息储存方式说明及数据出境
- 个人信息存储地域:公司是否有海外数据中心,数据出境还包括海外合作伙伴,出境数据要明确标识
- 存储期限:一般为10年、20年;或者不明确存储时间,最好提供用户删除信息的方式
- 个人信息处理方式:匿名化处理;删除;
- 数据存储的两个问题:数据留存的必要性;风控数据是否也在删除范围内部;
- 安全保护措施能力:身份鉴别、数据加密、访问控制、恶意代码防范、安全审计
0x06 如何使用个人信息
- 个性化推荐,用户画像,个性华展示应说明应用场景和可能对用户的影响
- 应说明关闭这些推荐,广告的方式
- 稳定性和安全需要:身份验证、风控、反诈骗、分析软件错误
0x07 对外提供个人信息
- 业务共享:第三方合作伙伴、供应商、第三方登录、第三方SDK
- 转让:常见情况为公司资产转移时,信息作为资产跟随转移;转让时需要提前告知用户,也要用户明确同意
- 公开披露:促销活动中披露,也要得到用户同意;法律法规规定的披露描述
- 法律例外情况说明,可以照搬《个人信息安全规范》中的条款
0x08 用户权利保障机制
- 一般就是用户对自己隐私的查询,修改,删除,注销等
- 撤回同意授权即可以撤回已经同意的条款或功能
- 应对相关操作方法提供明确说明
0x09 用户申诉渠道和反馈机制
- 至少提供一种反馈渠道:电子邮件、电话、传真、在线客服、在线表格
0x10 隐私政策时效性和更新
- 当业务功能、个人信息出境、使用目的、DPO等信息变更时需要通知用户
- 可以使用邮件、信函、电话或者推送通知等方式通知用户
- 不要轻易变更隐私政策,变更后需要重新得到用户确认
0x11 未成年人保护
- 18岁以下未成年人使用APP前必须征得监护人同意。
- 14岁以下的儿童保护条款需要单独声明,遵守《儿童个人信息网络保护规定》
查看思维导图请单击
本文内容引自:https://www.freebuf.com/articles/database/219564.html 略有精简