MASWE-0115:不充分或含糊的用户同意机制
概述¶
根据各项国际隐私法规,例如欧盟的 GDPR、加利福尼亚州的 CCPA、巴西的 LGPD 和加拿大的 PIPEDA,用户同意必须是明确的、知情的,并且在任何数据处理之前获得。必须让用户充分了解数据收集的目的,以及提供同意的潜在后果。此外,同意应是一种主动选择,专门针对正在处理的数据,并且不与其他服务协议捆绑在一起,也不以模糊或胁迫的方式呈现。
未能遵循这些原则的移动应用通常会导致用户在不知情的情况下同意数据收集或处理,这可能会对其基本权利和自由构成重大风险。例如,应用可能会使用模糊或不可协商的同意请求,迫使用户在未充分理解其含义的情况下提供同意。
此外,用户必须能够随时轻松撤回其同意,并且应明确告知如何操作,包括对应用功能的潜在影响。开发人员必须维护用户同意的记录,并确保同意请求清晰、与其他条款分开且具有法律效力,并避免掩盖数据处理全部范围的做法。
引入方式¶
- 未提示同意更改:当数据收集实践发生更改或收集超出最初指定范围的额外数据时,未能提示用户同意。
- 含糊的同意机制:同意与服务条款捆绑在一起,通常涵盖未来的使用案例,而不再通知用户。在某些情况下,如果用户未明确拒绝访问,则暗示同意,导致在没有明确批准的情况下进行数据收集。
影响¶
- 侵犯用户隐私:当使用含糊的同意机制时,用户隐私会受到严重损害,因为用户可能在不知情的情况下放弃对其数据的控制。这使他们面临风险,即他们的信息可能在未经明确或知情同意的情况下被用于他们可能认为令人反感或有害的目的,例如定向广告、分析、歧视甚至身份盗窃。
- 失去用户信任:用户可能会失去对应用的信任并放弃使用,分享负面评论,或劝阻他人使用,从而导致声誉受损和潜在的业务损失。
- 法律和合规问题:不遵守法律和平台要求可能导致法律后果、罚款或从应用商店中移除。
缓解措施¶
- 提示同意更改:建立机制,以便在数据收集实践发生更改或收集额外数据时提示用户同意,确保应用功能演变时的透明度。
- 为即时操作获取清晰明确的用户同意:在访问敏感资源(如传感器或本地数据(例如,相机、位置))之前,始终请求用户的明确许可。使用iOS 上的目的字符串或 Android 上类似的提示等机制,清楚地解释为什么需要该权限,以确保用户了解其数据的即时用途。
- 确保知情和透明的同意:向用户提供清晰、具体的信息,说明将收集哪些数据、如何使用数据以及潜在影响。同意不应隐藏在服务条款中或捆绑用于未来用途。用户必须为每个目的单独确认同意,尤其是在权限超出初始请求范围时。