MASWE-0113:缺少适当的数据管理控制
概述¶
如果移动应用没有为用户提供专门设计来管理其个人数据的机制,用户将无法获得足够的选择来管理他们的信息。 这限制了用户对其自身数据的权利,导致隐私问题、潜在数据泄露的严重性增加以及可能不符合隐私法规。
这些机制通常包括用户直接在应用程序界面中删除、导出、修改或选择退出数据收集的能力。 例如,一些应用程序在设置菜单中提供数据管理功能,而另一些应用程序提供指向外部网站的链接,用户可以在该网站上管理其数据。
引入方式¶
- 缺少适当的数据管理设置:未能为用户提供删除、导出、修改或选择退出数据收集的能力,导致用户对其个人数据的控制有限或没有控制。
影响¶
- 侵犯用户权利:用户可能无法行使其管理个人数据的权利,例如删除或导出其信息,从而导致缺乏控制和增加隐私风险。
- 不符合隐私法规:不符合 GDPR 和 CCPA 等法规(要求为用户提供数据管理功能)可能导致罚款、法律诉讼和其他后果。
- 失去用户信任:用户可能会失去对不允许他们管理个人数据的应用程序的信任,这可能导致负面评论、用户参与度降低和保留率降低。
缓解措施¶
- 实施数据管理机制:确保为用户提供删除、导出或修改其数据的机制。 为数据收集和共享的特定方面提供精细控制(例如,位置服务、联系人、媒体访问)。
- 定期更新数据管理功能:定期审查和更新数据管理功能,以确保符合不断发展的法规和用户期望。 这有助于保持透明度和用户信任。
- 用户友好的数据管理界面:为数据管理控件创建用户友好的界面,确保用户可以轻松导航并对其个人数据行使权利而不会产生摩擦。