(一)违规收集用户个人信息方面
1. “私自收集个人信息”。
即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息:
(1) APP收集用户个人信息前,应配置相关的隐私政策文本,告知用户收集使用个人信息的目的、方式和范围,并征求用户的自主选择同意。用户同意后,方可进行用户个人信息的收集。
(2) 配置隐私政策文本的具体要求包括:
① 用户启动打开APP的页面时必须向用户展示《隐私政策》和《用户协议》文本,并通过弹窗或其他明示同意的方式获取用户的确认,示例如下:首次进入应用(进入应用第一个界面),必须拥有明确提示(弹窗等其他显眼方式供用户选择,不允许跳转浏览器等间接方式)。另外,如果隐私政策和用户协议合并在一处,必须在明确提示中标明”隐私政策和用户协议“告知用户。
② 在App内必须设置《隐私政策》和《用户协议》文本的固定入口,供用户查阅。
2. “超范围收集个人信息”。
即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。APP需遵循合理、正当、必要的原则收集用户个人信息,具体为:
(1) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现。
(2) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。
(3) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
(二)违规收集用户个人信息方面
1. “私自共享给第三方”。
即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等:
(1) APP与第三方共享用户个人信息,包括但不限于植入第三方SDK、将数据存储在第三方服务器、数据商业化利用等情况,应当如实告知用户共享信息的类型、范围、第三方基本情况、安全保障措施等内容,并征求用户同意。
(2) 用户同意后,方可与第三方主体共享用户个人信息,且第三方不得将信息超范围用于其它用途。
2. “强制用户使用定向推送功能”。
即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项:APP如含有定向推送功能,应向用户告知收集了哪些用户信息用于定向推送,相关定向推送需要以显著方式标示,并为用户提供关闭和退出(opt-out)选项。
(三)违不合理索取用户权限方面
1. 即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭:
(1) 开发者应当自查敏感权限是否为产品功能正常运行必需,区分权限的必需程度。如果是必要权限,可以在首次进入APP时征求用户同意获取。如果是业务具体功能所需权限,应该在用户主动使用该具体功能时,征求用户同意获取该权限,不要在首次进入时一次性申请。
(2) 无论是必要权限还是业务具体功能所需权限,都不能默认开启,需用户主动开启,且要在获取授权的弹窗上说明获取权限目的。
2. “频繁申请权限”。
即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。APP应当尊重用户的自主选择意愿。用户明确拒绝与当前服务场景无关的权限时,不得反复向用户获取授权,减少对用户的弹窗打扰。同时,对于“频繁”的标准认定为每48小时超过一次。
3. “过度索取权限”。
即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
APP应当仅在用户主动触发相关功能或业务场景时,请求获取相关敏感权限,避免一揽子申请。其次,注意申请权限的类型和范围,不应超出业务功能或服务所需。
(四)为用户账号注销设置障碍方面
“账号注销难”。
即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍:注销流程应当简便易操作,不应为注销设置不合理的条件(如设置较高的注销条件或者以审核为由,向用户获取不必要的身份认证信息)。且用户完成注销后,该号码在产品内的相关信息均需进行删除或匿名化处理。