一、背景

2021年是網(wǎng)絡(luò)安全和社交應(yīng)用用戶信息合規(guī)化相當(dāng)被重視的一年，對網(wǎng)絡(luò)社交個人信息和未成人保護(hù)已經(jīng)提升到空前的高度。

這對于用戶來說，是件好事，畢竟誰也不希望自己的個人信息無故被泄露，比如車險到期，一天內(nèi)可以接到十幾個的大小車險公司的電話；莫名其妙收到短信：附近有美麗可愛的小姐姐在線等你哦~。

而未成年人這塊，當(dāng)前社會環(huán)境下，未成年人低齡化開始接觸手機(jī)，在沒有完全自主意識情況下，很容易在游戲或者社交類的應(yīng)用中，隨意過度的消費，報警討回大額充值的案件越來越多，涉案金額也非常之高。

二、導(dǎo)讀

文章會結(jié)合筆者2021年的工作經(jīng)歷談一談社交應(yīng)用在合規(guī)性和《隱私協(xié)議》上做出了哪些調(diào)整。調(diào)整引導(dǎo)都是來于工信部下發(fā)的文件、工信合作的第三方公司，結(jié)合應(yīng)用本身，指出社交應(yīng)用中哪些是容易有問題的地方。筆者目前項目是音視頻語聊社交項目，本文會按照2021年整改意見和時間線來寫，希望對相關(guān)行業(yè)同學(xué)們有所幫助，少踩坑。

以下是參考文件：

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序（App）系統(tǒng)權(quán)限申請使用指南》

https://www.tc260.org.cn/piss/js5.htm

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個人信息自評估指南》

https://www.tc260.org.cn/piss/js4.htm

三、用戶信息合規(guī)性自查

2021至今年工信部官網(wǎng)已經(jīng)公布十幾批違規(guī)下架的應(yīng)用名單，以下截圖為2021年第8批上報的名單：

從單期的報告我們可以知曉網(wǎng)安會對android和iOS的應(yīng)用進(jìn)行全面檢查，結(jié)合人工和機(jī)器檢查。所涉問題基本來源于以上參考文件。筆者整理了前8批下架的應(yīng)用，對集中檢查的點做了以下歸納，主要如下：

回溯了官網(wǎng)，對合規(guī)檢測標(biāo)準(zhǔn)，工信部依然是使用以上參考意見，暫時未做更新。

針對以上合規(guī)問題的描述，筆者結(jié)合了下發(fā)的參考意見和工信部合作三方的修改意見在應(yīng)用內(nèi)開展了自查，從APP上架運營至今3年，對可能涉及合規(guī)相關(guān)的功能進(jìn)行了規(guī)則確認(rèn)。具體做了以下調(diào)整：

1. 開屏廣告

針對開屏廣告，合規(guī)檢測認(rèn)定的違規(guī)是：

開屏廣告信息騷擾用戶: 移動智能終端應(yīng)用軟件啟動彈窗信息頁面未提供顯著、有效的關(guān)閉或跳過功能，或利用文字、圖片、視頻等方式欺騙誤導(dǎo)用戶跳轉(zhuǎn)至其他頁面。

場景1： APP啟動時，開屏彈窗信息頁面未提供關(guān)閉/跳過按鈕，或者按鈕過小或非常隱藏，導(dǎo)致用戶找不到或者彈窗信息關(guān)不掉，無法進(jìn)入使用界面。

場景2： APP啟動時，開屏彈窗信息使用整屏圖片作為跳轉(zhuǎn)鏈接，或采用欺騙誘導(dǎo)性文字描述，導(dǎo)致用戶在非知情自愿的情況下，碰觸頁面任意區(qū)域都跳轉(zhuǎn)至其他頁面或下載其他應(yīng)用程序。

筆者給出交互上合規(guī)的做法：

①有明確的跳過或關(guān)閉按鈕。

②有明確的廣告提示和跳轉(zhuǎn)鏈接引導(dǎo)。

還有一些關(guān)于內(nèi)容合規(guī)的，比如某夕夕，開屏的時候彈出給用戶發(fā)紅包的廣告，實質(zhì)是誘導(dǎo)用戶點擊廣告進(jìn)入相關(guān)的活動頁面。這種從合規(guī)的嚴(yán)格意義上來說，是不被允許的。如果有用戶投訴，可以定義為用誘導(dǎo)性文字在用戶不知情的情況跳轉(zhuǎn)到其他頁面。

2. 地址位置權(quán)限

位置權(quán)限的要求：

①應(yīng)用與用戶的位置無關(guān)時，不得向用戶索取位置權(quán)限。

②如操作系統(tǒng)支持，應(yīng)允許用戶在始終允許（前臺和后臺）、使用應(yīng)用時允許（前臺）、單次授權(quán)、禁止獲取位置信息四種狀態(tài)中進(jìn)行選擇授權(quán)。

③除地圖導(dǎo)航、運動健身需要持續(xù)獲得位置權(quán)限的服務(wù)類型外，其他服務(wù)類型不應(yīng)申請后臺位置權(quán)限。（ACCESS_BACKGROUND_LOCATION）

④借助訪問粗略位置權(quán)限（ACCESS_COARSE_LOCATION）即可實現(xiàn)業(yè)務(wù)功能的相關(guān)APP，不建議申請精準(zhǔn)位置權(quán)限（ACCESS_FINE_LOCATION）。

筆者分析本項目只需使用訪問粗略位置權(quán)限即可，筆者給出的合規(guī)做法：

關(guān)于地址位置的合規(guī)性使用，還要從項目的性質(zhì)出發(fā)。社交類型的應(yīng)用期初都會使用用戶的精細(xì)位置，目的是為了支持“同城”、“附近的人”的功能，甚至?xí)唧w細(xì)化到附近X米內(nèi)的用戶。比如微信的搖一搖尋找附近的人。而到了中后期這些功能會帶有擦邊球的風(fēng)險，從管控角度出發(fā)，社交應(yīng)用建議下架“同城”、“附近的人”等功能。這種情況下，大多數(shù)應(yīng)用都沒有使用“精確位置”的場景支持。

3. 違規(guī)/超范圍收集用戶信息（合規(guī)要求非常嚴(yán)格）

這一點，工信部在合規(guī)方面做了很多要求，且不容易自查出，可借鑒第三方檢測機(jī)構(gòu)，以下來源于工信部第三方公司認(rèn)定的違規(guī)：

①未公開收集使用規(guī)則：APP未在隱私政策中說明撤回授權(quán)同意的方法。

②未明示手機(jī)使用個人信息的目的、方式和范圍：APP未在隱私政策中逐一說明自己以及第三方SDK收集使用IMSI個人信息；未明示照片墻、QQ、簽名等用戶信息的目的、方式和范圍；APP僅依賴系統(tǒng)彈窗向用戶索取存儲、電話權(quán)限、未同步告知用戶目的，用戶無法得知開啟該類權(quán)限的真實目的。

③違反必要原則，收集與其提供服務(wù)無關(guān)的個人信息：APP在運行時，點擊不同頁面均會上傳IMEI信息，非服務(wù)所必需且無合理應(yīng)用場景，超出實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能必須的最低頻率。

其實違規(guī)和超范圍是不太好定義的，違規(guī)本身就是一個形容詞，超范圍、頻繁、過度、無告知用戶收集都可以算違規(guī)。收集后沒有正確地保存方式也可以定義為違規(guī)。

很多應(yīng)用會統(tǒng)計用戶的IMEI或者IDFA用于統(tǒng)計某段時間的市場推廣帶來的用戶屬性，或者分析大R付費的終端屬性等。為了全面收集到這些信息，會在活動頁或者主功能頁增加這些信息的上報統(tǒng)計。這些是項目正常以數(shù)據(jù)為依托迭代的常用做法，但合規(guī)要求認(rèn)為收集這些信息太頻繁，而對用戶來說，沒有明確的目的。

還有些應(yīng)用接入的第三方SDK。比如：為了保證平臺圖片、文字、音頻等內(nèi)容的合規(guī)性，會接入數(shù)美的內(nèi)容反垃圾的SDK。這些SDK也會收集一些用戶的設(shè)備信息。這些設(shè)備信息可能會和應(yīng)用本身收集重復(fù)。合規(guī)將這種場景也定義為頻繁。而且應(yīng)用前期是并不知道第三方有這些收集規(guī)則，所以也沒有在隱私合規(guī)中提前報備。

這些場景在應(yīng)用中非常多。合規(guī)的檢測是結(jié)合人審和機(jī)審，機(jī)審就涉及到代碼層面的要求了。為此我們找到了工信部合作的第三方公司，還咨詢了相關(guān)方面的律所，得到以下結(jié)論：

①誰收集：要告知用戶收集了哪些信息，是應(yīng)用收集還是第三方SDK收集，第三方收集了哪些信息。

②干什么：收集了這些信息是為了達(dá)到什么目的。

③怎么存：收集到這些信息后如何保存，有沒有泄露的風(fēng)險。

④不收集行不行：用戶如果不同意在應(yīng)用內(nèi)填寫或者不同意獲取授權(quán)，可否繼續(xù)正常使用應(yīng)用。或者開啟授權(quán)后，想要關(guān)閉在哪里操作。

我們做了哪些應(yīng)對這些合規(guī)的要求？

①隱私政策中逐一說明自己以及第三方SDK收集使用個人信息的目的、方式、范圍。并在最后標(biāo)明“該部分內(nèi)容設(shè)立了個人信息保護(hù)專職部門”等字樣。隱私政策更新日期、生效日期標(biāo)明清楚。

②隱私政策中涉及業(yè)務(wù)功能收集個人信息的列舉中，不要使用“等”、“例如”字樣。

③隱私政策中關(guān)于打開授權(quán)和關(guān)閉授權(quán)的方法要有具體說明。

④針對主動彈窗索取權(quán)限的行為，需要同步告知用戶開啟權(quán)限的目的，在首次彈窗的界面告知用戶開啟上述權(quán)限的目的，或者在需要的場景索取權(quán)限時額外彈窗告知索取權(quán)限的目的。

⑤APP運行時，不頻繁收集用戶的個人信息。

⑥后臺保存用戶基本信息修改記錄，對敏感信息加密處理。并預(yù)留了違規(guī)敏感字的處理方案。

4. APP強(qiáng)制、頻繁、過度索取用戶權(quán)限

針對權(quán)限申請，合規(guī)性要求的原則：

①最小必要原則：僅申請APP業(yè)務(wù)場景相關(guān)的權(quán)限。

②用戶可知原則：申請的權(quán)限均有明確、合理的使用場景，并告知用戶權(quán)限申請的目的。

③不強(qiáng)制不捆綁原則：不應(yīng)強(qiáng)制申請原則，不要求用戶一次性打開授權(quán)同意打開多個可收集個人信息權(quán)限。

④動態(tài)申請原則：所需的權(quán)限應(yīng)在應(yīng)用對應(yīng)的場景發(fā)生時動態(tài)申請。不提前申請與當(dāng)前應(yīng)用無關(guān)的權(quán)限。

很多應(yīng)用在進(jìn)入首頁時，會打開可能至少有4-5個彈窗，非常影響用戶體驗。一類是產(chǎn)品內(nèi)營銷類型的彈窗，比如新人引導(dǎo)、簽到等；一類是應(yīng)用的授權(quán)申請。合規(guī)要求對應(yīng)用授權(quán)這一類做了嚴(yán)格的規(guī)定。其實還是最小、必要原則。不在用戶進(jìn)入首頁時一股腦的申請通訊錄、通話、照相等權(quán)限，這種做法有兩個問題，一是沒有到必要的場景，比如首頁并不需要拍照，去申請拍照或者相冊權(quán)限。二是過度索取授權(quán)，比如很多應(yīng)用沒有需要使用到用戶通訊錄的功能，而向用戶索取讀取通訊錄權(quán)限。

這一點合規(guī)的要求其實非常清楚，我們要做的是整理應(yīng)用內(nèi)的場景，并在場景觸發(fā)時申請授權(quán)。比如當(dāng)用戶需要修改頭像或者上傳照片等跟拍照功能相關(guān)的權(quán)限時，索取拍照權(quán)限；當(dāng)用戶需要修改位置時，獲取用戶粗略位置權(quán)限等。這里要注意如果用戶首次拒絕授權(quán)，應(yīng)該不影響用戶的正常使用，而是告知用戶某些功能由于未開啟授權(quán)而功能受限，如何去開啟授權(quán)。要做友好的引導(dǎo)。

5. 賬號注銷難

這一點參考文件中有更詳細(xì)說明：

①是否提供有效的賬號注銷功能，并在賬號注銷后及時刪除其個人信息并進(jìn)行匿名化處理。

②注銷過程簡單易操作，不設(shè)置不必要或者不合理的注銷條件。

這一點合規(guī)要求目前更著重的是有和沒有的區(qū)別。應(yīng)用內(nèi)目前是必須要有明顯的賬號注銷功能。我們有應(yīng)用在申請上架的時候，由于缺少賬號注銷被拒了。參考文件中還說到，賬號的注銷可以設(shè)置15天的處理期，也就是我們可以給用戶設(shè)置15天的冷靜期，在冷靜期內(nèi)用戶可以隨時恢復(fù)賬號的使用，15天后平臺才真正將用戶的所有信息注銷掉，并且將之前產(chǎn)生的賬號信息匿名化處理。但冷靜期不是該功能設(shè)置合規(guī)性要求必需的。也就是不設(shè)置冷靜期也沒有問題，只是對用戶來說，沒有反悔的機(jī)會了。

推測后期可能會對第二點做更深入的要求，也就是注銷賬號不能設(shè)置一些不合理的條件，這點在設(shè)計的時候需要把控好。例如當(dāng)用戶申請注銷時，該用戶還有未完結(jié)的訂單，如果注銷賬號，正在進(jìn)行的訂單是廢棄還是完結(jié)，這些規(guī)則需要定義好，否則會發(fā)生訂單另一方的客訴，也會影響平臺的結(jié)算。我們是否需要要求用戶在注銷的時候完結(jié)好所有的訂單。我們是否需要在注銷賬號的時候驗證下用戶的手機(jī)號，以防止用戶的賬號被盜注銷。

以上為筆者參與的應(yīng)用在合規(guī)性方面的經(jīng)驗，可能只涵蓋了大部分合規(guī)性問題，這些合規(guī)性的要求只會隨著社交應(yīng)用內(nèi)容的發(fā)展，越來越細(xì)化，越來越嚴(yán)格。歡迎討論與分析。持續(xù)更新中。

關(guān)于應(yīng)用《隱私協(xié)議》的合規(guī)性，會另外更新文章細(xì)說。