Personal Identifiers Collection Not Disclosed in Privacy Policy

隐私政策中未披露个人标识符的收集

Risk: medium

描述

应用程序收集个人标识符（例如用户 ID、设备 ID、IP 地址或广告 ID），但隐私政策未能充分披露对这些特定标识符的收集。这种缺乏透明度的做法可能会妨碍用户了解他们如何被跟踪或识别，并可能违反 GDPR 和 CCPA 等隐私法规的要求。

建议

更新应用程序的隐私政策，明确列出收集的所有类型的个人标识符（例如，用户 ID、设备 ID、IP 地址、广告 ID）。对于每个标识符，清楚描述其收集的具体目的，以及如何使用、处理、存储和保留期限。确保所有披露信息透明且符合适用的数据保护法。

链接

• Android Privacy Guidelines
• Apple Developer - User Privacy and Data Use
• GDPR Article 4 - Definitions (Online Identifiers)
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2