防雷:产品开发中的7个‘采用者重要信息为保护’准则
译者:展枝
上一则该文《那些APP,已经开始“偷拍”你的个人隐私!》提及,那时各插件(主要就包括APP、中文网站、小流程、插件等)违法搜集采用者重要信息,主要就分散在这7个各方面:
1、违背必要性准则,搜集与提供更多的服务项目毫无关系的个人个人隐私等
2、需经采用者一致同意,搜集采用个人个人隐私
3、假造搜集重要信息的采用准则
4、未按法律条文明确规定提供更多删掉或订正个人个人隐私机能,或未发布检举、检举形式
5、未写明搜集采用个人个人隐私的目地、形式和覆盖范围
6、需经一致同意,向他人提供更多个人个人隐私
7、未制定、落实重要信息网络安全为保护管理制度,未落实重要信息网络安全为保护技术措施等
并且提及,采用者个人隐私、采用者重要信息安全是红线,合规无小事。产品作为新产品、新项目、新机能的提出者、设计者,在进行产品开发时有其需要注意,稍有不慎, 自己给自己埋雷。
那问题来了,产品经理在产品开发中,具体该注意哪些点?有没有一些合规上的产品开发准则呢?
三哥整理了7大合规产品开发准则,并辅以案例说明。
1、采用者知情准则
比如需要采用者进行实名认证,需要明确覆盖范围(姓名+身份证号)、用途(反洗钱)、形式(采用者填写)。
比如需要采用者授权手机地理位置,需要明确覆盖范围(地理位置)、用途(定位与导航)、形式(授权)。
所有的重要信息搜集,都需要遵循那个准则。
如果有些采用者重要信息搜集不需要采用者操作,比如cookies或设备号等,需要统一在个人隐私协议中说明。
2、采用者主动一致同意准则
采用者知情,还不行,还需要采用者主动确认。
所谓主动确认是指需要采用者主动操作进行一致同意,而不是默认一致同意、默认勾选。
那些产品默认一致同意、默认勾选相关协议的,都是有风险的、不合规的。
3、重要信息搜集最小可用准则
对于采用者重要信息搜集的覆盖范围,有个明确规定:最小可用。
即为了业务开展,最小化搜集最必要性的重要信息。怎么界定最小可用呢?也就是当采用者不授权该重要信息时,业务没法开展,采用者没法享到相关服务项目。比如打车软件,地理位置属于必要性重要信息,访问通讯录就属于不必要性重要信息了。
但现实情况是,多数公司和多数产品,都在最大化搜集采用者重要信息。
大家经常说:那些重要信息不知道做什么用,先存下来再说。
下次说这句话、做那个事时,要谨慎。
4、个人隐私准则
是指采用者的重要信息只用于业务开展,不向其他个人、第三方显示和传输。
中奖采用者公示,要打掩码。三方服务项目上报重要信息,不要用敏感重要信息。不得已不共享采用者数据,如需要共享数据才能开展业务的,比如债权转让,做好明确说明并让采用者授权。
更不要买卖采用者数据,重罪。
5、可关闭准则
采用者授权后,是需要允许关闭授权的。
采用者注册账号后,是需要允许注销账号的。
总之,让采用者可以选择。
6、方便检举检举准则
设置便捷的检举检举入口,方便采用者检举、检举及时处理公众对本平台所分发APP的检举检举。
7、未成年为保护准则
对未成年的为保护,最为重要。
对影响未成年身心健康的打击,最为严厉。
禁不良、防沉迷、可退款,对于儿童/青少年产品,是最低要求。
我们看到,那时视听、直播、游戏、娱乐平台,无一例外都增加了青少年模式,禁用部分机能。
并且还会越来越严。
还是那句话:满足什么需求,决定产品能飞多高。合规经营,决定了产品能走多远。
