应用合规指南

一、引言

​ 近年,随着信息技术和互联网应用的快速发展及普及,越来越多的运营主体大量收集和使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题。个人信息安全面临严重威胁。国家对于APP违法违规收集用户个人信息的问题越来越重视。中央网信办工信部公安部市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,并委托全国信息安全标准化技术委员会中国消费者协会中国互联网协会中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组,App专项治理工作组依据《网络安全法》《消费者权益保护法》《信息安全技术个人信息安全规范》 等法律法规和国家标准,编制了《App违法违规收集使用个人信息自评估指南》。作为负责任的数据服务公司,Xinstall深知个人信息的重要性。为了给APP开发者和运营者在用户个人信息保护合规化提供规则和参考,Xinstall特此编写《应用合规指南》,以避免开发者因违反相关法律法规而遭受损失。

二、您应制定哪些合规文件

您至少需要制定一份自己独立的《隐私政策》《隐私政策》必须单独成文,不能是其他文件的一部分。《隐私政策》应在用户初始化您的应用时弹窗提示,并在取得用户同意后再进行三方SDK的初始化。《隐私政策》必须符合国家相关法律法规、政策,特别是符合《GB/T 35273-2017信息安全技术个人信息安全规范》。此外,您的《隐私政策》应明确插入相关内容,已告知终端用户,您在App中部署的三方SDK收集使用个人信息的目的,方式和范围等。

三、您应在隐私政策中应插入Xinstall SDK的内容

您应向您的终端用户逐一披露采集个人信息的内容、范围以及用途,并明确告知用户您选择了Xinstall SDK作为数据合作伙伴,并委托Xinstall SDK收集、加工和处理其个人信息。具体如图:

Xinstall建议在您的《隐私条款》中加入“数据共享与披露”的模块,并在这个模块中加入Xinstall SDK的相关内容。

具体的表述条款可以参考如下:

“为了数据统计和分析,我们集成了 杭州数爆科技有限公司的数据统计SDK (以下简称为‘数爆SDK’),我们需要向数爆SDK共享您的可公开信息,具体如下表所示。为了您的信息安全,我们已经与 数爆 签署严格的数据安全保密协议,数爆会严格遵守我们的数据隐私和安全要求。为使您更好地了解 数爆SDK 收集的数据类型及用途,以及保护个人信息的方式您可以查看数爆SDK隐私政策进一步了解。您理解并同意,数爆SDK 有权对已收集的数据,在保护您个人信息和隐私权以及符合适用法律法规的前提下,进行去标识化或匿名化处理后用于提供数据服务。如果数爆SDK收集使用个人信息的目的、方式和范围发生变化时,我们会以适当的方式通知并提醒您。”

产品名称 业务功能 收集方式 个人信息类型和字段 用途和目的 信息处理方式
数爆应用统计SDK Xinstall基础数据统计(携带参数安装,H5渠道统计,应用统计,一键跳转) 调用系统相关接口自动采集 设备信息:设备名称、操作系统、屏幕宽高分辨率、粘贴板(剪切板)信息、设备传感器(传感器数量); 网络信息:Ip地址、时区偏移量; 应用信息:应用标识符; 应用统计分析; 作弊防护; 采用数据加密技术对数据进行传输; 采用去标识匿名化方式对信息进行脱敏展示
Xinstall广告效果监测(如未使用该行可忽略,不写入隐私政策中 用户传入或系统API采集 IMEI、IDFA、OAID (根据实际使用填写) 移动广告效果监测

四、如何展示您的《隐私政策》

您的隐私条款展示应该满足一下几条原则

  • 《隐私政策》应当保持独立性和易读性。独立性表现在《隐私政策》单独成文,不应作为《用户协议》或其他文件的一部分存在;而易读性体现在文字颜色、大小、段落、表格、图片等等文档编写上具备流畅性和可读性。
  • 初次进入App界面时应主动弹出界面,以方便用户阅读隐私政策。并且由用户自主选择是否同意,注意不要以默认勾选“同意”的方式取得用户授权。
  • 用户进入App主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。例如,一般App会在设置中加入《隐私政策》栏目,已方便用户再次访问查阅隐私条款。具体如图所示:
  • 《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等),个人敏感信息类型详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。

五、敏感信息一般包括哪些

个人信息 : 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。

个人健康生理信息:个人银生病医治等产生的相关记录,如病症,住院志、医嘱单、检验报告、手术及麻醉记录,护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等。

个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人身份信息:身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等

其他信息: 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通信录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

六、注意事项

  1. 您在使用 Xinstall SDK 前,应当仔细阅读并同意接受Xinstall的《服务协议》《隐私政策》
  2. 您应确保在APP首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权后,再初始化 Xinstall SDK 进行信息收集和处理。


参考资料

关于印发《App违法违规收集使用个人信息行为认定方法》的通知
《信息安全技术个人信息安全规范》
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
《App违法违规收集使用个人信息自评估指南》
《App违法违规收集使用个人信息行为认定方法》

results matching ""

    No results matching ""