0x01 概述

前段时间看了Alkaid13的关于个人隐私保护政策解析的文章,深有体会,文章写的很详细,但是总感觉少了点什么,要是有个思维导图就好了;本文将作为原文的补充,提供一个思维导图,供需要的同学快速了解个人隐私保护政策,同时会将原文浓缩以供无耐心查看原文的同学们。

0x02 隐私政策基本要求

  1. 隐私政策必须是单独的文件,可以使用一个统一的H5页面
  2. 隐私查阅位置尽量控制在4次点击以内,如我的-关于-隐私政策
  3. 隐私政策格式必须易于查阅,字体不能太小,一般用黑色、宋体或雅黑,重点内容加粗、斜体或下划线标识
  4. 隐私政策大纲一般包含下面的内容:
  • 我们如何收集和使用您的个人信息
  • 我们如何使用Cookie和同类技术
  • 我们如何共享软件、转让、公开披露用户的个人信息
  • 我们如何存储收集用户的信息
  • 我们如何使用信息
  • 我们如何保证收集的用户信息安全
  • 您如何管理个人信息(用户主体权利)
  • 未成年人保护
  • 如何联系我们
  • 隐私政策变更

0x03 APP运营者信息

  1. 运营者信息可以放在隐私政策结尾
  2. 运营者基本情况包括
  • 公司名称及注册地址,包括关联的运营公司;
  • 信息需要和营业执照保持一致;
  • 个人信息保护负责人(DPO)

0x04 个人信息的收集

  1. 收集个人信息的业务功能逐项列举,可以按APP业务功能图标划分或者按独立的功能模块划分
  2. 每个业务功能收集的个人信息类型说明,需要明示个人信息类型和收集的目的性,收集的信息类型不能使用“等”字样
  3. 申请使用的系统功能权限也需要说明,比如申请位置信息,摄像头等。


个人敏感信息类型进行显著标识:
身份证号码、个人生物识别信息、账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息

0x05 信息储存方式说明及数据出境

  1. 个人信息存储地域:公司是否有海外数据中心,数据出境还包括海外合作伙伴,出境数据要明确标识
  2. 存储期限:一般为10年、20年;或者不明确存储时间,最好提供用户删除信息的方式
  3. 个人信息处理方式:匿名化处理;删除;
  4. 数据存储的两个问题:数据留存的必要性;风控数据是否也在删除范围内部;
  5. 安全保护措施能力:身份鉴别、数据加密、访问控制、恶意代码防范、安全审计

0x06 如何使用个人信息

  1. 个性化推荐,用户画像,个性华展示应说明应用场景和可能对用户的影响
  2. 应说明关闭这些推荐,广告的方式
  3. 稳定性和安全需要:身份验证、风控、反诈骗、分析软件错误

0x07 对外提供个人信息

  1. 业务共享:第三方合作伙伴、供应商、第三方登录、第三方SDK
  2. 转让:常见情况为公司资产转移时,信息作为资产跟随转移;转让时需要提前告知用户,也要用户明确同意
  3. 公开披露:促销活动中披露,也要得到用户同意;法律法规规定的披露描述
  4. 法律例外情况说明,可以照搬《个人信息安全规范》中的条款

0x08 用户权利保障机制

  1. 一般就是用户对自己隐私的查询,修改,删除,注销等
  2. 撤回同意授权即可以撤回已经同意的条款或功能
  3. 应对相关操作方法提供明确说明

0x09 用户申诉渠道和反馈机制

  1. 至少提供一种反馈渠道:电子邮件、电话、传真、在线客服、在线表格

0x10 隐私政策时效性和更新

  1. 当业务功能、个人信息出境、使用目的、DPO等信息变更时需要通知用户
  2. 可以使用邮件、信函、电话或者推送通知等方式通知用户
  3. 不要轻易变更隐私政策,变更后需要重新得到用户确认

0x11 未成年人保护

  1. 18岁以下未成年人使用APP前必须征得监护人同意。
  2. 14岁以下的儿童保护条款需要单独声明,遵守《儿童个人信息网络保护规定》

查看思维导图请单击

思维导图使用processon制作,注册请点击这里

https://www.processon.com/view/link/5e0b0936e4b0c1ff211abe36

查看密码:w47E

本文内容引自:https://www.freebuf.com/articles/database/219564.html 略有精简

Last modification:January 8th, 2020 at 05:58 pm
如果觉得我的文章对你有用,请随意赞赏