前言

        笔者准备从渗透测试转向数据安全，本文算是自己学习的笔记产出，如果有任何偏差和遗漏，欢迎各位大佬的指正。

违规收集个人信息场景及合规方案

场景一：App在征求用户同意环节时，未提供明确的同意或拒绝选项。

具体表现：

1. 隐私政策弹窗只有“同意”或“好的”、“我知道了”等无法清洗表达拒绝的选项。
2. 申请敏感权限时，未提供“同意”和“不同意”选项。
3. 未提供“退出”、“上一步”、“关闭”、“取消”等明确的拒绝按钮。

合规建议：

1. App在征询用户同意环节，应提供明确的同意和拒绝选项，不应仅使用“好的”，“我知道了”等无法清晰表达用户同意的词语。

场景二：App在征求用户同意环节，设置为默认勾选。

具体表现：

1. 用户未主动选择即默认同意。

合规建议：

1. 在首次运行、用户注册时，可通过弹窗，突出链接等明示方式提醒用户阅读隐私政策后征求用户同意，不采用默认勾选隐私政策等非明示方式。
2. 不设置“下一步”、“注册”、“登录即代表同意”等方式征求用户同意的情形。
3. 出现《隐私政策》链接的界面，皆不可默认勾选同意，不管之前是否已经同意。

注意事项：

1. 登录注册页隐私政策，建议每次都能出现。原因是监管可能会误认为违反半条以默认方式同意隐私政策。看不到勾选同意隐私政策，也是默认的一种方式。
2. 向第三方共享信息的授权页面也要注意勾选是否默认。其实只要从消费者权益保护角度出发，任何协议都默认不勾选，就能符合监管要求。
3. 对于登录/注册流程首页没有隐私政策勾选框，在第二页填写短信验证码页才展示勾选框的App，也会被认为违规。
4. 以“点击确认即默认同意协议”这种方式仍被认为时默认同意隐私政策。
5. 用户拒绝同意隐私政策后，App既不退出进程，也不提示用户以游客模式进入浏览App，而是提示“请同意条款后使用服务”，存在默认选择同意隐私政策的嫌疑，容易被判不合规。

场景三：APP 未见向用户明示个人信息收集使用的目的、方式和范围。

具体表现：

1. 业务功能描述不清：未完整、清晰、区分说明各业务功能收集信息的目的、类型、方式。
2. 敏感信息未突出：个人敏感信息（如位置、通讯录、生物识别等）未明确标识或突出显示。
3. Cookie等技术未说明：使用Cookie等技术时，未在隐私政策中明示。
4. 权限申请目的不明：申请打开权限时，未同步告知用户目的，或目的不明确，难以理解。
5. 敏感信息收集目的不明：收集身份证号、银行账户等敏感信息时，未同步告知用户目的。

合规建议：

1. App每个业务功能在说明其所收集的个人信息类型时，应在《隐私政策》中逐项列举，不应使用“等”、“例如”、“如设备信息”等方式概括说明，并说明各类型信息的收集使用目的。
2. 《隐私政策》应对个人敏感信息类型进行显著标识，如字体加粗、标星号、下划线、斜体、颜色等，个人敏感信息举例参考GB/T 35273-2020《个人信息安全规范》附录B。
3. App存在使用Cookie等同类技术（包括脚本、Clickstream、web信标、Flash Cookie、内嵌web链接等）收集个人信息时，简要说明相关机制，以及收集个人信息的目的、类型。
4. 权限申请使用目的应明确且易于理解，不能仅说明该权限涉及的个人信息类型，不包含任何欺诈、诱骗、误导用户授权的描述；不能将目的描述为“为保证某某权限相关功能的正常使用”、“为了保证App正常运行”、“为了提高用户体验”等不明确的描述。
   1. 常见可收集个人信息权限类型有：
      • IOS系统：日历、提醒事项、相机、麦克风、通讯录、面容ID、健康、家居、定位服务、媒体库、运动与健身、照片、语音识别、蓝牙。
      • Android系统：日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储、身体活动。
5. App在要求用户提供个人敏感信息时，通过显著方式同步告知用户其目的，对目的的描述明确、易懂；目的描述还可在收集个人敏感信息界面，或弹窗提示，或跳转到收集个人敏感信息的前一个界面。

场景四：APP 未见向用户明示 SDK 收集使用个人信息的目的、方式和范围。

具体表现：

1. 未集中展示嵌入的SDK名称、功能及其处理个人信息的规则。

合规建议：

1. 《隐私政策》中应逐一列出SDK(包括委托的第三方或嵌入的第三方代码、插件、H5页面、小程序、开源框架、开源工具等)收集使用个人信息的目规则，应涉及:

• 开发者身份信息及联系方式；
• 收集、使用个人信息的目的、方式、范围；
• 个人信息存储区域，及期限、超期处理；
• 是否共享、转让、公开披露；
• 敏感个人信息收集的目的，必要性及对用户的影响；
• 用户可行使个人信息保护权利的方式和渠道；
• 信息是否出境。对于不收集个人信息的SDK，建议在隐私政策中添加声明，可明示不收集个人信息。
   

场景五：App（SDK）以隐私政策弹窗明示，但未获得用户同意即收集。

具体表现：

1. App(包括SDK)在征得用户同意《隐私政策》前：
   1. 获取Android ID、MAC地址、应用安装列表、剪切板、传感器等不需要权限即可收集的个人信息。
   2. 获取IMEI、IMSI、位置、手机号码、通讯录、通话记录、日历、短信、图片、音视频等需要同意授权收集的个人信息。
   3. 就打开可收集个人信息的权限。
   4. 利用Cookie等同类技术或通过调用可收集用户个人信息的权限、接口等方式收集个人信息。
   5. 从第三方获取个人信息，如通过第三方运营商SDK获取用户手机号。
2. APP在静默状态下或在后台运行时，会收集个人信息。
3. 拒绝《隐私政策》，会收集个人信息。

合规建议：

1. 隐私政策弹框同意前，禁止SDK初始化，否则sdk行为无法控制，造成违规。
2. 弹框同意前，不要发接口请求，以免被误判获取信息。
3. 查看隐私政策，不管是pdf还是h5页面，都会涉及webview页面，尽量不要使用第三方webview打开，比如腾讯X5，这里sdk初始化就会开始获取用户信息。建议使用系统webview组件，否则还是属于隐私政策同意前获取用户个人信息。

场景六：APP （SDK）以隐私政策弹窗的形式向用户明示收集使用规则，但未见清晰明示 APP（SDK） 收集 XXX 等的目的方式范围，用户同意隐私政策后，存在收集 XXX 的行为。
 

具体表现：

1. 隐私政策弹窗存在，但未清晰说明App（SDK）收集特定信息的目的，方式，范围；用户同意的是一个笼统的政策，而非具体某项信息的收集。

合规建议：

1. App、小程序检查二级菜单是否有个人信息清单以及第三方共享个人信息清单，即双清单。