避雷:产品设计中的7个「用户信息保护」原则
现在各应用程序(包括APP、网站、小程序、插件等)违规收集用户信息,主要集中在这7个方面:
1、违反必要原则,收集与其提供的服务无关的个人信息等
2、未经用户同意,收集使用个人信息
3、未公开收集信息的使用规则
4、未按法律规定提供删除或更正个人信息功能,或未公布投诉、举报方式
5、未明示收集使用个人信息的目的、方式和范围
6、未经同意,向他人提供个人信息
7、未制定、落实信息网络安全保护管理制度,未落实信息网络安全保护技术措施等
并且提到,用户隐私、用户信息安全是红线,合规无小事。产品作为新产品、新项目、新功能的提出者、设计者,在进行产品设计时有其需要注意,稍有不慎, 自己给自己埋雷。
那问题来了,产品经理在产品设计中,具体该注意哪些点?有没有一些合规上的产品设计原则呢?
三哥整理了7大合规产品设计原则,并辅以案例说明。
1、用户知情原则
获取用户任何个人信息时,都需要告知用户获取哪些信息?用途是什么?通过什么方式获取?
比如需要用户进行实名认证,需要明确范围(姓名+身份证号)、用途(反洗钱)、方式(用户填写)。
比如需要用户授权手机地理位置,需要明确范围(地理位置)、用途(定位与导航)、方式(授权)。
所有的信息收集,都需要遵循这个原则。
如果有些用户信息收集不需要用户操作,比如cookies或设备号等,需要统一在隐私协议中说明。
2、用户主动同意原则
用户知情,还不行,还需要用户主动确认。
所谓主动确认是指需要用户主动操作进行同意,而不是默认同意、默认勾选。
那些产品默认同意、默认勾选相关协议的,都是有风险的、不合规的。
3、信息收集最小可用原则
对于用户信息收集的范围,有个规定:最小可用。
即为了业务开展,最小化收集最必要的信息。怎么界定最小可用呢?也就是当用户不授权该信息时,业务没法开展,用户没法享到相关服务。比如打车软件,地理位置属于必要信息,访问通讯录就属于不必要信息了。
但现实情况是,多数公司和多数产品,都在最大化收集用户信息。
大家经常说:这些信息不知道做什么用,先存下来再说。
下次说这句话、做这个事时,要谨慎。
4、隐私原则
是指用户的信息只用于业务开展,不向其他个人、第三方显示和传输。
中奖用户公示,要打掩码。三方服务上报信息,不要用敏感信息。不得已不共享用户数据,如需要共享数据才能开展业务的,比如债权转让,做好明确说明并让用户授权。
更不要买卖用户数据,重罪。
5、可关闭原则
用户授权后,是需要允许关闭授权的。
用户注册账号后,是需要允许注销账号的。
总之,让用户可以选择。
6、方便投诉举报原则
设置便捷的投诉举报入口,方便用户投诉、举报及时处理公众对本平台所分发APP的投诉举报。
7、未成年保护原则
对未成年的保护,最为重要。
对影响未成年身心健康的打击,最为严厉。
禁不良、防沉迷、可退款,对于儿童/青少年产品,是最低要求。
我们看到,现在视听、直播、游戏、娱乐平台,无一例外都增加了青少年模式,禁用部分功能。
并且还会越来越严。
还是那句话:满足什么需求,决定产品能飞多高。合规经营,决定了产品能走多远。
-END-