其实开始没打算写这个题材的,但是偶尔留意常用App的登录注册页,也时不常接触公司涉及登录的整改情况,发现这里其实大有玄机,今天作为一个不专业的合规人员从一个不专业的产品经理的角度来梳理下登录/注册页的合规问题,有不对的地方欢迎批评指正。
下文中截图的登录注册页均选自常用的App。
0 前言
很多人看到这个标题可能会说:我知道,不就是要征得个人信息主体的明示同意嘛,即注册/登录前要明示隐私政策、用户协议并获取用户的授权同意。
但是每次都征求用户同意这个操作十分影响用户体验,于是产品同学就对上述征得明示同意的功能页做了一些优化调整,但是在调整的过程中没有时刻遵循明示同意的要求原则。
1 登录/注册页
大问题找到了,接下来梳理下登录注册都有哪些,才能逐一找出哪些逻辑是存在问题。目前用户登录/注册页基本存在以下6种。
注:明示同意可选择用户勾选、弹窗获取同意的方式。
- 1账号密码登录建议添加明示同意,因为用户其实在注册时已经同意过相关隐私政策及用户协议了。近期发现不少App在登录页也明示同意,加上总没错。
- 2手机号/验证码、33手机号一键登录、4第三方登录、5用户注册页均建议添加明示同意,其中手机号/验证码、第三方登录的方式,要在获取用户同意后再上传手机号或跳转第三方。后边章节会根据案例详细说明。
- 6游客浏览模式下,其实产品一般也会收集一些个人信息,首次弹隐私政策和用户协议同意框基本可以覆盖到。
2 产品经理忽略或优化过度的场景
2.1 多端逻辑不一致
建议:做到端端符合要求!!!
有些产品单端做的非常符合要求,但是咱们是PC、移动端、HD……很多很多端的应用,要做到端端符合要求呀。下图就是一个pc端符合合规眼球,但移动端不符合的例子。
2.2 手机号获取验证码
建议:先验证同意隐私政策,才可以获取验证码
这里我们主要讨论的是,在同意隐私政策前是否可以获取手机验证码呢?我的建议是先验证同意隐私政策,才可以获取验证码(个人看法,欢迎大家批评指正)。
当然App会有首次打开隐私政策弹框获取同意的加持,但是PC端可能没有啊,所以这里我们不讨论已经同意过一遍隐私政策的问题。
先看手机号获取验证码登录的流程
注:登录即注册的情况无绿框内容,但逻辑差不多。
从流程中可以看出,无论是否有验证账号存在,都在同意隐私政策和用户协议前将手机号发送到后台,并将手机号发送第三方短信平台发送短信(委托处理)。
2.3 第三方登录
通过第三方登录这里有两种情况:
一 :通过第三方授权可以直接登录,无需验证/填写其他信息。
建议:必须先同意隐私政策后,点击第三方登录按钮才 唤起第三方应用/进入三方登录页面。
这里有些产品会先跳转第三方授权,再获取明示同意。但实际上后端已经存储了从第三方拿来的数据,这时候在说同意就有点亡羊补牢的意思了。
二:通过第三方授权登录后,还需绑定手机号等信息。
1中的方式可沿用(也可不用),在获取第三方授权后,还需进行手机号绑定等方式(其实相当于又回到了注册页),按照注册需要明示同意的要求就好。
2.4 同意后退出再登录(同意的条款是否一致)
很多产品为了优化用户体验,未重新安装App且未清除本地缓存的情况下,如果勾选同意过隐私政策,则勾选框消失。。
下图,左边①为第一次登录页,右边②为退出账号后未清空本地缓存的登录页面。
从合规的角度来说上述是没有问题的,但是有可能被监管委托的测试机构当成默认勾选处理。
但是有些产品同学在其中忽略了一点——同意的条款是否一致。
举例:
如果初始通过验证码登录的方式【同意《隐私政策》《用户协议》】,
退出账号进入一键登录页面【同意《隐私政策》《用户协议》《xxx认证服务条款》】勾选框如果消失就是有问题的。
–
反之,如果初始通过一键登录页【同意《隐私政策》、《用户协议》、《xxxxx认证服务条款》】,这时候退出后,使用验证码登录和一键登录时勾选框消失目前来看是OK的。
2.5 游客浏览
存在不登录即可浏览的情况,应该首次启动App时提示用户进浏览模式下手机的信息及目的,并获取用户同意。
3 总结
记住第一章节中的图,并在优化用户体验的时候时刻牢记合规要求就足够啦。
可能有些说的过于严格,欢迎大家批评指正。