Identity Verification Information Collection Not Disclosed in Privacy Policy

隐私政策中未披露的身份验证信息收集

Risk: medium

描述

应用程序收集用于身份验证的信息（例如政府颁发的身份证件图像或验证自拍），但隐私政策并未明确披露这一点。此类数据高度敏感，并与个人的合法身份直接相关。未告知用户该收集行为可能会产生误导，并可能违反要求明确同意和严格保护措施的隐私法规。

建议

更新应用程序的隐私政策，明确声明收集身份验证信息。清楚地描述收集的信息类型、收集的具体目的、如何安全地处理和存储信息、保留多长时间，以及用户对这些数据的权利。确保获得用户的明确同意，并确保所有做法符合适用的数据保护法律。

链接

• GDPR Article 9 - Processing of Special Categories of Personal Data (if biometrics involved in ID)
• GDPR Article 32 - Security of Processing
• NIST Special Publication 800-63A - Digital Identity Guidelines: Enrollment and Identity Proofing
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1