开门见山,给大家提供一个用户信息保护自查清单。
看看自己的产品是否中招。
一 、自查清单
1.隐私政策
1.1没有隐私政策
这是硬伤,App专项治理工作组不通报你通报谁。
1.2默认勾选同意隐私政策
多少产品为了减少用户操作、为了转化,给默认同意了。
1.3隐私政策晦涩难懂
多少产品同学有看过自己家产品的隐私协议呢?如果晦涩难懂,可对法务/合规提要求了。
1.4隐私政策难以访问,登录后就不可见找到隐私政策了
隐私政策不要藏着掖着。
1.5存在不合理免责条款
出事了,我都没有责任,这可不行。
2.手机权限
2.1申请权限,未告知目的
让我授权不说用途,我猜我能同意吗?请假不说理由,领导怕是也不给批了。
2.2申请打开的权限和业务无关
买个东西,还要通讯录权限可不行。
2.3申请的权限,实际应用和告知的目的不一致
获取相册权限后,偷偷上传我的照片到服务器可不行。
2.4安卓 targetSDKVersion的值小于23,要求用户一次性同意开启多个可收集个人信息的权限
这里补充说明下targetSDKVersion。
targetSDKVersion是安卓项目中的一个参数。
targetSDKVersion<23,安装时默认获得权限。
targetSDKVersion>=23,安装时不会获得权限,使用时如果需求再向用户申请。
targetSDKVersion值越大,对手机权限的把控越严,GooglePlay要求targetSDKVersion>=26。
敲黑板,知识点呀知识点,可以和安卓开发同学吹吹牛逼了。
3.用户信息填写
3.1收集用户填写的信息与业务无关
知识付个费,要我填写婚否可不好。
3.2没有提供修改、删除用户信息的功能
我自己信息,我还不能修改和删除了?
4.第三方SDK
4.1向第三方SDK提供信息,未经用户同意
现在做个APP,嵌入的第三方的SDK太多了,并且需要向三方的SDK上报不少信息,否则业务没法开展。
这个怎么破?一般在隐私协议中说明,用户同意隐私协议即可。
4.2未列出第三方SDK收集的信息类型、目的
隐私协议中关于SDK的内容,需要清楚表明哪些SDK,会上报哪些信息,有什么用途。
这是很多产品隐私协议忽略的部分。
5.注销账号
5.1没有账号注销功能
优先级不高?排不上?假注销?都是套路。
5.2注销账号设置不合理条件
比如需要提交用户注册时间、注册所在地、登录过的设备型号、充值证明等信息。比ofo退款还麻烦。
6.投诉举报渠道
6.1没有个人信息安全投诉、举报渠道
不知道如果搞?看看微信安全中心。
6.2投诉、举报邮件未在15个工作日内完成核查和处理
形式上搞一搞不行,要落到实处。
其实,用户信息保护,包括收集、存储、分析、应用四个层面。
这个自查清单里,还只是收集用户信息层面。
其他几个方面,后面可找时机另起篇幅说。
二、滚烫的案例
恰好在9月17日,App专项治理工作组通报了81款App存在个人信息收集使用问题。
分享给大家。
滚烫的活生生的案例,供你享用。
产品经理对待用户信息的态度,是产品价值观的体现。
公司对待用户信息的态度,是判断公司是不是野路子的标准。
你的产品是否有中招?
-END-