Biometric Data Collection Not Disclosed in Privacy Policy

隐私政策中未披露生物特征数据收集

Risk: medium

描述

应用程序收集指纹或面部识别数据等生物特征数据，但隐私政策未能予以披露。根据 GDPR 等隐私法规，用于唯一身份识别的生物特征数据因其敏感性和不可更改性，通常被视为特殊类别的个人信息。不向用户告知此类收集行为可能会产生误导，并可能违反关于明确同意和透明度的法律要求。

建议

更新应用程序的隐私政策，明确声明收集生物特征数据。清楚定义收集的生物特征数据类型、收集的具体目的（例如：身份验证）、如何安全处理和存储这些数据（包括加密和模板保护等安全措施）、用户同意机制（通常必须是明确的），以及数据保留期限。对于此类数据处理，应考虑进行数据保护影响评估 (DPIA)。

链接

• GDPR Article 9 - Processing of Special Categories of Personal Data
• GDPR Article 35 - Data Protection Impact Assessment
• ISO/IEC 24745 - Biometric Information Protection
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1