蓝鲸新闻12月23日讯(记者 张书维)12月23日,中国互联网金融协会发布第7期移动金融客户端应用违规案例。案例显示,某移动金融App在申请打开电子账户功能时弹窗申请了位置权限,未同步告知用户其目的。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)规定,在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解,被认定为“未明示收集使用个人信息的目的、方式和范围”。
对此,中国互联网金融协会给出三点合规建议。
第一,系统索权弹窗前,应有申请权限的同步告知说明,且目的要明确、易于理解。例如,“XX权限在XX功能中用于XX”;相册权限可描述为“我们需要相册权限,为您提供在实名认证过程中选择本地证件照片进行OCR识别的功能”。
第二,建议用户告知界面中提供“不允许”的选项,如“允许/不允许”二选一按钮。
第三,建议逐一核对申请可收集个人信息的权限所涉及的功能,申请权限目的说明和隐私政策中权限相关描述保持一致。
此外,根据此前发布的前六期移动金融客户端应用违规案例,所指违规行为多涉及违规收集使用个人信息以及不满足相关信息安全规范等。
其中包括App在结束进程后存在接收系统广播频繁自启动行为、隐私政策文件未声明获取个人信息副本的方法、App隐私政策中未同步更新第三方SDK相关内容、登录密码复杂度要求过低、反复要求用户开启与服务场景无关的“位置”权限、在非必要服务场景要求用户开启相机访问权限和文件读取/存储访问权限等问题。