应用合规指南
该应用指南是针对开发者App使用Xinstall SDK 所要遵循的规范,针对移动开发者在使用服务过程中索要遵循的合规要求,请阅读Xinstall的《服务协议》和《隐私政策》。
一、引言
近年,随着信息技术和互联网应用的快速发展及普及,越来越多的运营主体大量收集和使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题。个人信息安全面临严重威胁。国家对于APP违法违规收集用户个人信息的问题越来越重视。中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,并委托全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组,App专项治理工作组依据《网络安全法》《消费者权益保护法》《信息安全技术个人信息安全规范》 等法律法规和国家标准,编制了《App违法违规收集使用个人信息自评估指南》。作为负责任的数据服务公司,Xinstall深知个人信息的重要性。为了给APP开发者和运营者在用户个人信息保护合规化提供规则和参考,Xinstall特此编写《应用合规指南》,以避免开发者因违反相关法律法规而遭受损失。
二、您应制定哪些合规文件
您至少需要制定一份自己独立的《隐私政策》,《隐私政策》必须单独成文,不能是其他文件的一部分。《隐私政策》应在用户初始化您的应用时弹窗提示,并在取得用户同意后再进行三方SDK的初始化。《隐私政策》必须符合国家相关法律法规、政策,特别是符合《GB/T 35273-2017信息安全技术个人信息安全规范》。此外,您的《隐私政策》应明确插入相关内容,已告知终端用户,您在App中部署的三方SDK收集使用个人信息的目的,方式和范围等,并且提供的数据安全保护标准不得低于和Xinstall的协议约定。
三、您应在隐私政策中应插入Xinstall SDK的内容
您应向您的终端用户逐一披露采集个人信息的内容、范围以及用途,并明确告知用户您选择了Xinstall SDK作为数据合作伙伴,并委托Xinstall SDK收集、加工和处理其个人信息。具体如图:
Xinstall建议在您的《隐私条款》中加入“数据共享与披露”的模块,并在这个模块中加入Xinstall SDK的相关内容。
具体的表述条款可以参考如下:
“为了数据统计和分析,我们集成了 杭州数爆科技有限公司的数据统计SDK (以下简称为‘数爆SDK’),我们需要向数爆SDK共享您的可公开信息,具体如下表所示。为了您的信息安全,我们已经与 数爆 签署严格的数据安全保密协议,数爆会严格遵守我们的数据隐私和安全要求。为使您更好地了解 数爆SDK 收集的数据类型及用途,以及保护个人信息的方式您可以查看数爆SDK隐私政策进一步了解。您理解并同意,数爆SDK 有权对已收集的数据,在保护您个人信息和隐私权以及符合适用法律法规的前提下,进行去标识化或匿名化处理后用于提供数据服务。如果数爆SDK收集使用个人信息的目的、方式和范围发生变化时,我们会以适当的方式通知并提醒您。”
产品名称 | 业务功能 | 收集方式 | 个人信息类型和字段 | 用途和目的 | 信息处理方式 |
数爆应用统计SDK | Xinstall基础数据统计(携带参数安装,H5渠道统计,应用统计,一键跳转) | 调用系统相关接口自动采集,粘贴板客户可选择是否获取 | 设备信息:设备名称、操作系统、屏幕宽高分辨率、粘贴板(剪切板)信息、设备传感器(传感器数量); 网络信息:Ip地址、时区偏移量; 应用信息:应用标识符;本地存储权限; | 应用统计分析; | 采用数据加密技术对数据进行传输; 采用去标识匿名化方式对信息进行脱敏展示 |
Xinstall基础数据统计(作弊监控) | 外部传入或内部获取 | Android ID;设备序列号(SerialNumber); | 作弊防护; | ||
Xinstall广告效果监测(如未使用该行可忽略,不写入隐私政策中) | 用户传入或系统API采集 | IMEI、IDFA、OAID (根据实际使用填写) | 移动广告效果监测 |
四、如何展示您的《隐私政策》
您的隐私条款展示应该满足一下几条原则
- 《隐私政策》应当保持独立性和易读性。独立性表现在《隐私政策》单独成文,不应作为《用户协议》或其他文件的一部分存在;而易读性体现在文字颜色、大小、段落、表格、图片等等文档编写上具备流畅性和可读性。
- 初次进入App界面时应主动弹出界面,以方便用户阅读隐私政策。并且由用户自主选择是否同意,注意不要以默认勾选“同意”的方式取得用户授权。
- 用户进入App主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。例如,一般App会在设置中加入《隐私政策》栏目,已方便用户再次访问查阅隐私条款。具体如图所示:
- 《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等),个人敏感信息类型详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。
五、敏感信息一般包括哪些
个人信息 : 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。
个人健康生理信息:个人银生病医治等产生的相关记录,如病症,住院志、医嘱单、检验报告、手术及麻醉记录,护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等。
个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等
个人身份信息:身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等
其他信息: 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通信录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等
六、注意事项
- 您在使用 Xinstall SDK 前,应当仔细阅读并同意接受Xinstall的《服务协议》和《隐私政策》。
- 您应确保在APP首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权后,再初始化 Xinstall SDK 进行信息收集和处理。
参考资料
关于印发《App违法违规收集使用个人信息行为认定方法》的通知
《信息安全技术个人信息安全规范》
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
《App违法违规收集使用个人信息自评估指南》
《App违法违规收集使用个人信息行为认定方法》