User Photos and Media Collection Not Disclosed in Privacy Policy

隐私政策中未披露收集用户照片和媒体

风险: medium

描述

应用程序访问或收集用户的照片、视频或其他媒体文件，但隐私政策未明确披露这一点。用户媒体可能具有高度的个人性和敏感性。如果未能告知用户如何访问或收集其媒体文件，可能会产生误导，并可能违反要求在此类处理过程中保持透明度并获取用户同意的隐私法规。

建议

更新您应用程序的隐私政策，明确说明是否以及如何访问或收集用户的照片、视频或其他媒体文件。清楚地描述此访问或收集的目的，媒体的使用、处理、存储方式及其保留期限。确保在访问用户媒体之前获得明确的用户同意，并确保用户可以控制这些权限。

链接

• GDPR - 个人数据定义（包含图像）
• Apple Developer - 访问受保护资源（照片图库）
• Android Developer - Storage Access Framework
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

GDPR: * ART_5 * ART_6 * ART_7 * ART_12 * ART_13 * ART_25 * ART_32 * CCPA: * CCPA_1798_100 * CCPA_1798_110 * CCPA_1798_150 * OWASP_MASVS_v2_1: * MASVS_PRIVACY_1 * MASVS_PRIVACY_2 * SOC2_CONTROLS: * CC_2_3 * CC_5_3 * CC_6_1 * CNIL_FOR_EDITORS: * EDITORS_3_1_1 * EDITORS_3_1_2 * EDITORS_5_1_1