External Account Information Collection Not Disclosed in Privacy Policy

隐私政策中未披露外部账户信息的收集

Risk: medium

描述

该应用程序访问或收集来自用户外部账户（如社交媒体资料或其他第三方服务）的信息，但隐私政策并未清楚地披露这一点。这可能包括个人资料信息、联系人列表或来自关联账户的其他数据。未能告知用户这种数据访问行为可能会产生误导，并可能违反隐私法规。

建议

更新您应用程序的隐私政策，明确声明是否以及如何访问或收集来自外部账户的信息。清楚地描述获得的信息类型、此访问的具体目的、数据的使用和存储方式、其保留期限，以及与主应用程序的任何共享情况。确保用户在关联外部账户之前提供明确的同意，并了解将访问哪些数据。

链接

• GDPR - Personal Data Definition
• OAuth 2.0 Standard
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2