移动金融客户端应用软件典型违规案例(2025年第3期,总第10期)
一、问题描述
某移动金融App使用的第三方SDK收集用户“设备MAC地址、AndroidID、OAID”等个人信息,但未在App隐私政策中向用户告知上述第三方SDK收集个人信息情况。
二、违规认定
违规认定:违规收集个人信息。
认定依据:
1.《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号)中要求App开发者加强软件开发工具(SDK)使用管理:使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各方权利和义务,确保个人信息处理依法合规;集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。
2.《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中明确整治任务包括违规收集个人信息。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
三、问题根源
该移动金融App在使用第三方SDK前未进行SDK个人信息保护能力评估,对其使用的第三方SDK收集个人信息范围未全面掌握,造成所使用的第三方SDK私自收集个人信息。
四、合规建议
1.全面了解第三方SDK收集个人信息范围,并在APP自身隐私政策中完整向用户告知。
2.全面评估使用的第三方SDK是否存在风险,选择使用合规SDK,并及时更新第三方SDK名称、功能及其处理个人信息的规则。
(供稿单位:中国信息通信研究院)
长
按
关
注
0人
