应用合规指南

引言

随着信息技术的快速发展和互联网应用的普及,尤其是移动互联网的发展和普及,互联网服务提供者出现了大量收集、使用个人信息的情况,这给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,这使得个人信息安全面临严重威胁。近年来,APP违法违规收集用户个人信息的问题深受各政府监管部门关注。中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动了2020年APP违法违规收集使用个人信息治理工作,在过去工作的基础上,进一步加大整治工作力度。工信部在2020年上线运行了全国APP技术检测平台管理系统,覆盖40万款主流APP检测工作。openinstall深知个人信息的重要性,为了配合政府主管部门的各项规范、整治措施,为了给APP开发者和运营者在用户个人信息保护方面的积极行动提供规则和参考,openinstall 特编写了《应用合规指南》,以供使用openinstall的开发者和运营者参考和选用,进而做到合规合法采集、使用个人信息,避免因违反相关法律法规而遭受损失。

隐私政策合规要求

您至少需要制定一份独立的《隐私政策》。《隐私政策》是说明APP的个人信息收集和使用情况,获得用户的合法授权以及保护用户个人信息主体权利的重要文档,其内容应符合国家相关法律法规、政策及标准的规定及您与openinstall的协议约定。您的隐私政策应向终端用户明示您在APP中部署openinstall SDK收集使用个人信息的目的、方式和范围等,提供的数据安全保护标准应不低于和openinstall的协议约定。

《隐私政策》中应披露第三方SDK的哪些内容

您应向终端用户逐一明示您嵌入的第三方SDK收集使用个人信息的目的、方式和范围。您应当在《隐私政策》中明确告知终端用户,您谨慎地选择了openinstall作为合作方,并允许openinstall对已收集的数据进行去标识化和聚合性的处理后,构建数据模型,用以提供数据服务。
openinstall 建议您在《隐私政策》中的“数据共享和披露”中的表述条款参考如下:
“为了数据统计和分析的目的,我们的产品集成了 openinstall SDK,我们需要向 openinstall SDK 共享您的相关个人信息,具体如下表所示。为了您的信息安全,我们已经与第三方 SDK 服务商签署严格的数据安全保密协议,这些公司会严格遵守我们的数据隐私和安全要求。为使您更好地了解 openinstall 收集的数据类型及用途,以及保护个人信息的方式您可以查看openinstall 隐私政策进一步了解。您理解并同意,openinstall 有权对已收集的数据,在保护您个人信息和隐私权以及符合适用法律法规的前提下,进行去标识化或匿名化处理后用于提供数据服务。如果 openinstall SDK 收集使用个人信息的目的、方式和范围发生变化时,我们会以适当的方式通知并提醒终端用户。”

产品名称业务功能收集方式个人信息类型和字段用途和目的信息处理方式
openinstall基础服务
(携带参数安装,H5渠道统计,应用统计,一键跳转)
调用系统相关接口自动采集设备信息:设备品牌,设备型号,操作系统版本;
网络信息:IP地址、Mac地址;
渠道统计;
应用统计分析;
作弊防护;
采用数据加密技术对数据进行传输;
采用去标识匿名化方式对信息进行脱敏展示
广告平台监测(新产品,未使用本产品的请忽略本项)调用系统相关接口自动采集/APP开发者提供设备标识符:IMEI、IDFA、OAID移动广告监测;
作弊防护;

建议参考此表格,向您的用户披露openinstall SDK收集使用个人信息的目的、方式和范围。您应知悉和了解,部分设备信息和网络信息需要通过您安装openinstall SDK 的宿主APP申请权限,openinstall不主动向用户移动终端申请任何权限,只有在获得用户的授权同意后我们才会进行收集。

《隐私政策》应如何主动展示

您应遵从国家相关法律法规、政策及标准的要求,对APP《隐私政策》进行展示,包括但不限于:

  • 保证《隐私政策》的独立性:《隐私政策》以单独成文的形式发布,而不是作为用户协议、用户说明等文件的一部分存在
  • 保证《隐私政策》的明显提示性:APP首次运行时,需要通过弹窗等明显方式提示终端用户阅读《隐私政策》并获取用户的确认
  • 保证《隐私政策》的易读性:《隐私政策》文本文字显示方式(字号,颜色,行间距等)不会造成阅读困难
  • 保证《隐私政策》的易于访问性:进入APP主功能界面后,通过4次以内的点击,能够访问到《隐私政策》

使用openinstall SDK的注意事项

  1. 您在使用 openinstall SDK 前,应当仔细阅读并同意接受openinstall的《服务条款》和《隐私政策》。
  2. 您应在《隐私政策》中向终端用户明示您在APP中部署 openinstall SDK 收集使用个人信息的目的、方式和范围
  3. 您应确保在APP首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权后,再初始化 openinstall SDK 进行信息收集和处理
  4. openinstall SDK 仅在使用“广告平台监测”这个业务功能时,才需要收集使用终端用户的IMEI、IDFA、OAID,如果您未使用此新功能,则根据App收集“最小必要权限”的原则,您不必因openinstall收集以上三项信息,同时并需要删除“数据共享和披露”中关于“广告平台监测”的相关内容。

参考资料

《信息安全技术个人信息安全规范》
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
《App违法违规收集使用个人信息自评估指南》
《App违法违规收集使用个人信息行为认定方法》