近日,中国互联网金融协会公布了一起关于移动金融客户端应用的违规案例。据悉,某金融App在请求用户开通电子账户功能时,弹出一个窗口要求获取位置权限,但并未同时向用户明确说明这一权限的具体用途。
根据《App违法违规收集使用个人信息行为认定方法》的相关规定,当应用程序请求获取可收集个人信息的权限,特别是涉及身份证号、银行账号、行动轨迹等敏感信息时,若未同步告知用户其使用目的,或者目的表述不明确、难以理解,则被视为“未明示收集使用个人信息的目的、方式和范围”,属于违规行为。
针对这一案例,中国互联网金融协会提出了三项合规建议。首先,应用程序在弹出系统权限请求窗口前,应附带清晰、易于理解的同步告知说明,明确告知用户该权限在哪些功能中使用及其具体用途。例如,申请相册权限时,可以说明“我们需要相册权限,以便在实名认证过程中让您选择本地证件照片进行OCR识别”。
其次,建议应用程序在用户告知界面中提供“不允许”的选项,确保用户有权选择是否授予权限,如设置“允许/不允许”的按钮,给予用户明确的选择权。
最后,协会还建议应用程序逐一核对所申请的权限与其功能之间的对应关系,确保在申请权限时的目的说明与隐私政策中的描述保持一致,避免产生歧义或误导用户。
回顾此前发布的六期移动金融客户端应用违规案例,可以发现违规行为主要集中在违规收集和使用个人信息,以及不符合信息安全规范等方面。这些问题包括App在关闭后仍频繁自启动接收系统广播、隐私政策未声明获取个人信息副本的方法、隐私政策未同步更新第三方SDK相关内容、登录密码设置过于简单、无理由反复要求用户开启与服务无关的“位置”权限,以及在非必要场景下要求用户开启相机访问和文件读写/存储访问权限等。
