APP隐私合规自查之违规收集个人信息

       在中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合针对APP隐私合规开展的整治活动中被通报、下架的APP里，最为常见的问题之一，就是APP违规收集个人信息。

      在APP违规收集个人信息的这一检测大点中，涵盖以下了较为常见几个检测小点：

      1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则。(1、有隐私政策说明，2、隐私政策中有明确的收集使用个人信息规则)

      2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。

      3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到。

      4.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

      5.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。（1、隐私政策中有隐私政策更新章节，2、隐私条款更新时，应用再次启动时需要通过弹窗等明显方式提示用户阅读隐私政策）

      6.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解。

隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

      7.APP征得用户同意前就开始收集个人信息或打开可收集个人信息的权限。

      8.未逐一列出SDK收集使用个人信息的目的、方式、范围等。（添加完整的第三方SDK）

      9.SDK征得用户同意前就开始收集个人信息或打开可收集个人信息的权限。

      10.未清晰明示第三方SDK处理IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的目的、方式和范围，用户同意后，第三方SDK不应收集相应个人信息。未清晰明示在静默状态下或在后台运行时第三方SDK收集个人信息的目的、方式和范围，第三方SDK不应收集相应个人信息。（不涉及收集个人信息，可以通过简单描述）

      11.APP在征求用户同意环节，应提供明确的同意和拒绝选项，不应仅使用“好的”、“我知道了”等无法清晰表达用户同意的词语。

      12.App在征求用户同意环节（首次打开、登录、注册），设置为默认勾选。

     其中，大部分的检查点，大家通过将APP与检测项逐一的比对都能完成自查与整改。7.8.9三项，需要开发者具备抓取APP/SDK行为数据的能力，可通过各类的工具来获取违规的调用的函数栈信息。一些不具备检测APP/SDK行为能力的企业，也可以通过第三方检测机构来辅助完成整改工作。