网络购物类应用违规常见通报问题全解析&App合规建议

说案例前，我们先来看张图。根据App专项治理工作组在《App安全意识公众调查问卷报告》中的统计结果显示，受访者使用App的主要目的是工作学习、新闻资讯、便捷出行、餐饮外卖、娱乐游戏等。占比前三依次是工作学习（18%）、社交通讯（16%）、支付网购（14%）这三个领域，覆盖了近半数（48%）的受访者。

由此可见，随着线上商城与在线支付的普及，人们越来越习惯使用网络购物类App进行购物消费。在2021年度工信部累计至今通报的侵害用户个人隐私的App中，网络购物类App占比达3.71%。

今天分享的隐私合规案例，是某连锁超市旗下的网络购物类App应用，将结合App实际情况，逐条分析该应用的通报问题，并分享WebEye增长合规专家团队的分析结果与经验总结：

通报问题

违规收集个人信息
违规使用个人信息
App强制、频繁、过度索取权限
欺骗误导强迫用户

一、违规收集个人信息

违规收集个人信息的判定主要分两大类：

1、未公开收集使用规则

2、私自收集个人信息

*未明确告知收集使用个人信息的目的、方式和范围且在获得用户同意前就手机个人信息

专家团队检测

在分析过程中，WebEye专家团队发现在该App注册登录页，命中“未公开收集使用规则”的典型违规行为：刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式未突出显示隐私政策链接。

法律法规依据

·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第一款，APP、SDK违规处理用户个人信息方面：违规收集个人信息

·《网络安全法》第四十一条规定，网络运营者收集、使用个人信息时，应当“公开收集、使用规则”。

·《消费者权益保护法》第二十九条规定，经营者收集、使用消费者个人信息，“应当公开其收集、使用规则”。

·《移动互联网应用程序（App）收集使用个人信息自评估指南》评估点1.2，“避免使用不明显的方式展示隐私政策链接，导致用户不易发现隐私政策”

二、违规使用个人信息

违规使用个人信息，多数问题是由于私自将个人信息共享给第三方导致。

专家团队检测

WebEye专家团队主要从App接入的第三方SDK入手，排查是否未经用户同意即向第三方提供个人信息。

查看该App的隐私政策内容，发现隐私政策中明示的第三方SDK共有6个，涉及支付相关的2个，关联登录相关的1个，消息推送性质的3个。

通过对Apk包检测分析，发现该应用接入了一个常见的第三方统计类的SDK，该SDK会采集设备信息，设备安装列表等信息，用于App运行阶段的数据上报，但该统计类的SDK未在隐私政策中明示。

法律法规依据

·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第一款，APP、SDK违规处理用户个人信息方面：违规使用个人信息。

·《App违法违规收集使用个人信息行为认定方法》第五条第三款，App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

三、App强制、频繁、过度索取权限

强制、频繁、过度索权的典型违规场景如下：

1、App每次启动仍索要用户已明确拒绝提供的系统权限或个人信息。

2、用户使用已拒绝的系统权限或个人信息无关的功能时，频繁提示用户授权同意。

专家团队检测

WebEye专家团队在分析检测过程中发现，该应用需要使用地理位置权限，用于定位用户周边的连锁超市。在明确拒绝提供位置权限时，每次进入商品选购页时，都会提示询问是否开启定位权限。

法律法规依据

·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第二款，设置障碍、频繁骚扰用户方面。

·《消费者权益保护法》第二十九条规定“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则”。

·《App违法违规收集使用个人信息行为认定方法》第三条第二款，用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用。

四、欺骗误导强迫用户

欺骗误导用户可区分为两类违规行为：

1、未真实披露收集使用个人信息的目的，欺骗用户打开可收集个人信息的权限。

2、欺骗误导用户下载App。

*当应用存在下载分发其他App的情况时，如植入广告

专家团队检测

WebEye专家团队分析该App权限申明情况与业务场景，发现如上敏感权限有实际对应的业务触发场景，即不存在欺骗用户开启收集个人信息权限的情况。

逐级遍历App各页面，发现App开屏页，点击页面内任意区域会自动下载某款应用，存在欺骗误导用户下载App的违规行为。

法律法规依据

·《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条第三款，欺骗误导用户下载APP。

专家总结

App在实际运营过程中，在结合应用特性与实际业务场景，不可避免的存在收集、使用用户个人信息的场景。如何确保App满足合规要求，有如下基本点可供参考：

1、App必须提供隐私政策，且需要用户主动同意。

2、隐私政策内需要明示收集、使用个人信息的类型、目的、方式等。

3、隐私政策内，明示App所有集成的第三方服务内容，包括第三方服务名称、提供者、访问方式、收集使用个人信息的类型、目的、方式。

4、App申请的敏感权限需存在对应的业务场景，且必须在隐私政策中明示用户。敏感权限包括但不限于：存储权限、位置权限、通讯录权限、通话权限、短信权限等等。

*本文版权归WebEye所有，未经许可不得转载或翻译。

WebEye增长合规服务一站式解决您的 App安全合规需求，帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。

WebEye整合全球资源，打造全球数字化营销体系，为企业提供营销增长服务、营销增长引擎以及企业上云三大板块业务，涵盖数字营销、数字创意、游戏发行、流量变现、程序化广告、数据洞察、云计算等一站式全链条增长产品矩阵，是中国互联网出海领军企业。

返回全部