社交一文了解：社交APP用户信息合规性和隐私协议相关( 二 )

2. 地址位置权限位置权限的要求：
①应用与用户的位置无关时，不得向用户索取位置权限。
②如操作系统支持，应允许用户在始终允许（前台和后台）、使用应用时允许（前台）、单次授权、禁止获取位置信息四种状态中进行选择授权。
③除地图导航、运动健身需要持续获得位置权限的服务类型外，其他服务类型不应申请后台位置权限。（ACCESS_BACKGROUND_LOCATION）
④借助访问粗略位置权限（ACCESS_COARSE_LOCATION）即可实现业务功能的相关APP，不建议申请精准位置权限（ACCESS_FINE_LOCATION）。
笔者分析本项目只需使用访问粗略位置权限即可，笔者给出的合规做法：

文章插图
关于地址位置的合规性使用，还要从项目的性质出发。社交类型的应用期初都会使用用户的精细位置，目的是为了支持“同城”、“附近的人”的功能，甚至会具体细化到附近X米内的用户。比如微信的摇一摇寻找附近的人。而到了中后期这些功能会带有擦边球的风险，从管控角度出发，社交应用建议下架“同城”、“附近的人”等功能。这种情况下，大多数应用都没有使用“精确位置”的场景支持。
3. 违规/超范围收集用户信息（合规要求非常严格）这一点，工信部在合规方面做了很多要求，且不容易自查出，可借鉴第三方检测机构，以下来源于工信部第三方公司认定的违规：
【社交一文了解：社交APP用户信息合规性和隐私协议相关】①未公开收集使用规则：APP未在隐私政策中说明撤回授权同意的方法。
②未明示手机使用个人信息的目的、方式和范围：APP未在隐私政策中逐一说明自己以及第三方SDK收集使用IMSI个人信息；未明示照片墙、QQ、签名等用户信息的目的、方式和范围；APP仅依赖系统弹窗向用户索取存储、电话权限、未同步告知用户目的，用户无法得知开启该类权限的真实目的。
③违反必要原则，收集与其提供服务无关的个人信息：APP在运行时，点击不同页面均会上传IMEI信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能必须的最低频率。
其实违规和超范围是不太好定义的，违规本身就是一个形容词，超范围、频繁、过度、无告知用户收集都可以算违规。收集后没有正确地保存方式也可以定义为违规。
很多应用会统计用户的IMEI或者IDFA用于统计某段时间的市场推广带来的用户属性，或者分析大R付费的终端属性等。为了全面收集到这些信息，会在活动页或者主功能页增加这些信息的上报统计。这些是项目正常以数据为依托迭代的常用做法，但合规要求认为收集这些信息太频繁，而对用户来说，没有明确的目的。
还有些应用接入的第三方SDK。比如：为了保证平台图片、文字、音频等内容的合规性，会接入数美的内容反垃圾的SDK。这些SDK也会收集一些用户的设备信息。这些设备信息可能会和应用本身收集重复。合规将这种场景也定义为频繁。而且应用前期是并不知道第三方有这些收集规则，所以也没有在隐私合规中提前报备。
这些场景在应用中非常多。合规的检测是结合人审和机审，机审就涉及到代码层面的要求了。为此我们找到了工信部合作的第三方公司，还咨询了相关方面的律所，得到以下结论：
①谁收集：要告知用户收集了哪些信息，是应用收集还是第三方SDK收集，第三方收集了哪些信息。
②干什么：收集了这些信息是为了达到什么目的。
③怎么存：收集到这些信息后如何保存，有没有泄露的风险。