原书:Android Application Secure Design/Secure Coding Guidebook
译者:飞龙
协议:CC BY-NC-SA 4.0
对于智能手机应用获取用户数据,并向外传输该数据的情况,需要准备并显示应用隐私策略,来通知用户一些详细信息,例如收集的数据类型,以及数据被处理的方式。 应包含在应用隐私政策中的内容,在 JMIC SPI 所倡导的 Smartphone Privacy Initiative 中详细说明。 应用隐私策略的主要目标应该是,清楚地声明应用将访问的用户数据的所有类型,数据将用于何种用途,数据将存储在何处以及数据将发送到哪里。
除了应用隐私策略之外,另一个文档是企业隐私策略,它详细说明了公司从各种应用收集的所有用户数据将如何存储,管理和处置。 企业隐私政策对应隐私政策,传统上用于遵循日本个人信息保护法。
准备和展示隐私政策的适当方法的详细说明,以及各种不同类型的隐私政策所起的作用的讨论,可参见文件“对 JSSEC 智能手机创建和展示应用隐私政策的讨论”,可从以下 URL 获得:http://www.jssec.org/event/20140206/03-1_app_policy.pdf(只有日语)。
在下表中,我们定义了这些准则中使用的许多术语;这些定义摘自文件“对 JSSEC 智能手机创建和展示应用隐私政策的讨论”(http://www.jssec.org/event/20140206/03-1_app_policy.pdf)(只有日语)。
术语描述企业隐私政策为保护个人数据而定义的企业政策。 根据日本的个人信息保护法创建。应用隐私政策特定于应用的隐私策略。 根据日本内务和通信部(MIC)的智能手机隐私计划(SPI)的指导原则创建。 最好提供摘要,和包含容易理解的解释的详细版本。应用隐私政策的摘要版本一份简要文件,简要概述了应用将使用哪些用户信息,用于何种目的,以及这些信息是否会提供给第三方。应用隐私政策的详细版本这是一份详细的文件,符合智能手机隐私计划(SPI)和日本总务省(MIC)的智能手机隐私计划 II(SPI II)规定的 8 项内容。用户易于更改的用户数据Cookie,UUID,以及其他。用户难以更改的用户数据IMEIs, IMSIs, ICCIDs, MAC 地址, OS 生成的 ID, 以及其他。需要特别处理的用户数据位置信息,地址本,电话号码,邮箱地址,以及其他。