SDK 合规使用说明
发布日期:2023 年 10 月 13 日
生效日期:2023 年 10 月 13 日
为有效治理 App 强制授权、过度索权、超范围收集个人信息等现象,落实《网络安全法》《消费者权益保护法》的要求,保障个人信息安全,2019 年 1 月,中央网信办、工信部、公安部、市场监管总局等四部委发布了《关于开展 App 违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展 App 违法违规收集使用个人信息专项治理,并陆续出台完善了《App 违法违规收集使用个人信息行为认定方法》、《GB/T 35273-2020 信息安全技术 个人信息安全规范》等标准规范。
2020 年以来,随着工信部纵深推进 App 专项整治行动,以及陆续检测通报 App 违规情况,监管部门、各行业参与方、终端用户都越来越关注 App 和 SDK 的安全问题。
为帮助 LeanCloud SDK的使用者们更清楚地了解监管要求、高效落实个人信息保护相关事宜,LeanCloud(公司全称:美味书签(北京)信息技术有限公司)特编写了《LeanCloud SDK合规指南》(以下简称“指南”),供开发者们参考。
一、App 个人信息保护的合规要求
- App 首先需制定一份《隐私政策》,并确保在产品界面中显著展示。《隐私政策》须单独成文,而不是作为用户协议、用户说明等文件中的一部分存在。App 应在《隐私政策》中明示收集使用个人信息的目的、方式和范围,并确保《隐私政策》链接正常有效,易于访问和阅读。
- App 应在《隐私政策》中将收集个人信息的业务功能以及每个业务功能所收集的个人信息类型进行逐项列举,不应使用“等、例如” 等方式概括说明;同时,App 须对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。
二、App 使用 LeanCloud SDK 时的合规指引
- 您应确保在 App 首次运行时通过明显方式提示终端用户阅读您的《隐私政策》,并取得终端用户的合法授权后,再初始化 SDK 进行信息收集与处理。如果终端用户不同意您的隐私政策,则不能初始化 LeanCloud 的各项 SDK,也无法使用相应 SDK 对应功能。
- 如果您的 App 在终端用户首次运行时,需要注册用户账号才能使用,则可以在账号注册环节提示终端用户同意您的《隐私政策》,之后完成注册;如果您的 App 并不一定需要终端用户注册用户账号才能使用,那么如果终端用户不同意您的《隐私政策》,按照最新合规政策,您不应停止让终端用户使用您的 App,仍需保留用户的基本使用权利。若终端用户将使用到需收集相关个人信息才能使用的功能(比如混合推送服务),可以再次提醒终端用户需要同意您的《隐私政策》才能正常使用相关功能,若终端用户仍不同意,则无法提供对应功能,可在终端用户下次需要使用时再提示同意您的《隐私政策》。
对混合推送的特别说明
若您使用了 LeanCloud 混合推送 SDK,针对各类厂商的推送 SDK,建议您在 APP 自身隐私政策中添加各项 SDK 的隐私政策文本模版如下:
| SDK 名称 | SDK 厂商 | 合作目的 | 收集个人信息 | SDK 隐私政策链接 |
|---|---|---|---|---|
| 华为推送 SDK | 华为软件技术有限公司 | 用于华为手机的消息推送 | 设备信息【包括:设备型号、设备名称、SIM卡序列号、设备唯一标识符(IMEI、IMSI、AndroidID、IDFA、OAID),以下同】、网络信息 | https://developer.huawei.com/consumer/cn/doc/development/HMSCore-Guides/sdk-data-security-0000001050042177 |
| 荣耀推送 SDK | 荣耀终端有限公司 | 用于荣耀手机的消息推送 | 设备信息、网络信息 | https://www.hihonor.com/cn/privacy/privacy-policy/ |
| 小米推送 SDK | 北京小米移动软件有限公司 | 用于小米手机的消息推送 | 设备标识符(如 Android ID、OAID、GAID)、设备信息 | https://dev.mi.com/console/doc/detail?pId=1822 |
| Oppo 推送 SDK | 广东欢太科技有限公司 | 用于 Oppo 手机的消息推送 | 设备标识符(如 IMEI、ICCID、IMSI、Android ID、GAID)、应用信息(如应用包名、版本号和运行状态)、网络信息(如 IP 或域名连接结果,当前网络类型) | https://open.oppomobile.com/wiki/doc#id=10288 |
| Vivo 推送 SDK | 维沃移动通信有限公司 | 用于 Vivo 手机的消息推送 | 设备信息 | https://www.vivo.com.cn/about-vivo/privacy-policy |
| 魅族推送 SDK | 珠海市魅族通讯设备有限公司 | 用于魅族手机的消息推送 | 设备标识信息、位置信息、网络状态信息、运营商信息 | https://i.flyme.cn/privacy |
LeanCloud 隐私政策模版
在使用 LeanCloud 各项 SDK 产品时,开发者需在 App《隐私政策》的 “与授权合作伙伴共享”条款中,将 LeanCloud 的用户隐私政策 加入其中,并向终端用户逐一明示您嵌入的 SDK 收集使用个人信息的目的、方式和范围。
在 APP 自身隐私政策中添加 LeanCloud 各项 SDK 的隐私政策文本模版如下:
| SDK 名称 | SDK 厂商 | 合作目的 | 收集个人信息 | SDK 隐私政策链接 |
|---|---|---|---|---|
| LeanCloud 存储 SDK | 美味书签(北京)信息技术有限公司 | 为 App 用户提供结构化数据存储技术服务 | 无 | /sdk/privacy.html |
| LeanCloud RTM SDK | 美味书签(北京)信息技术有限公司 | 为 App 用户提供实时聊天技术服务 | 无 | /sdk/privacy.html |
| LeanCloud 混合推送 SDK | 美味书签(北京)信息技术有限公司 | 为 App 用户提供消息推送技术服务 | 除厂商收集信息外,本 SDK 不收集个人信息 | /sdk/privacy.html |
| LeanCloud 多人对战 SDK | 美味书签(北京)信息技术有限公司 | 为 App 用户提供多人对战技术服务 | 无 | /sdk/privacy.html |
三、合规文件指引
为了更及时高效地落实合规要求,我们建议各位开发者充分了解现有以及陆续将发布的有关个人信息保护的法律、法规、政策、标准等,以下资料供您参考:
- 《GB/T 35273-2020 信息安全技术 个人信息安全规范》
- 《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
- 《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
- 《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》
- 《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》
- 《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》
- 《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》
- 《App 违法违规收集使用个人信息行为认定方法》
如有任何问题,您可通过以下方式与我们联系: