Voice Data Collection Not Disclosed in Privacy Policy

隐私政策中缺少语音数据收集披露

Risk: medium

描述

该应用程序从用户那里收集语音数据或音频记录，但隐私政策没有明确披露这一点。语音数据具有个人性质，如果用于唯一身份识别，可能被视为生物特征数据。未将此收集行为告知用户可能会产生误导，并可能违反要求透明度和同意的隐私法规。

建议

更新您的应用程序隐私政策，明确说明会收集语音数据或音频记录。清楚地描述此收集的目的、数据的使用、处理、存储方式、保留期限以及实施的任何安全措施。确保在访问麦克风或收集语音数据之前获得用户的明确同意，特别是在用于身份识别等敏感目的时。

链接

• GDPR Article 9 - Processing of Special Categories of Personal Data (if used for biometric identification)
• GDPR Article 4 - Definitions (Personal Data - can include voice)
• Apple Developer - Speech Recognition
• Android Developer - Speech To Text
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2