1. 近日,App违法违规收集用户个人信息的问题再次受到关注。<br />友盟+一直以来非常关注和重视数据合规,为了帮助使用友盟+SDKApp开发者做好合规工作,我们特按照目前法律及监管要求梳理并发布《友盟+ App开发者合规指南》(以下简称“指南”),以期为您提供完整易懂的合规解决方案。此外,我们也将在《指南》中向您展示友盟+数据安全与隐私保护技术能力,帮助您了解友盟+个人信息保护体系。<br />为了您的App采集合规,我们强烈建议您仔细阅读以下《指南》,参考监管关注重点与我们提供的合规解决方案,及时调整合规措施。

    一、目前监管都关注App的哪些问题?我应当如何做到合规?

    问题点 问题详情 解决方案
    (一)App违规收集用户个人信息方面 1、“私自收集个人信息”:即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。
    2、“超范围收集个人信息”:即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等    		 1、为解决“私自收集个人信息”问题,您应当为App准备一份独立的《隐私政策》向用户明示App收集使用个人信息的目的、方式和范围,并载明您使用友盟+SDK进行统计分析或其他服务,可附上友盟+隐私政策链接。
    2、为解决“超范围收集个人信息”问题,您应当确保您的采集均与App服务功能相关,所涉个人信息字段均已在《隐私政策》中公示,并得到用户授权。
    (二)违规使用用户个人信息方面 1、“私自共享个人信息给第三方”:即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。
    2、“强制用户使用定向推送功能”:即APP未向用户告知或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。    		 1、如果您未在隐私政策中披露使用友盟+SDK,那么可能被认定为“私自共享个人信息给第三方”,为解决此问题,您可以在《隐私政策》附录中披露友盟+SDK的具体情况,并附上友盟+隐私政策链接。如果您同时使用其他SDK,也请您按照同样的方式进行披露。如您集成的SDK较多,可在《隐私政策》附录中以表格的方式一一载明,参考格式详见后文。
    2、为解决“强制用户使用定向推送功能”的问题,我们建议如您提供定向推送功能,应在《隐私政策》中向用户告知,并对定向推送进行显著标示。同时,您应当向用户提供关闭定向推荐的选项,以保证用户的选择权,满足监管要求。
    (三)不合理索取用户权限方面 1、“不给权限不让用”:即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
    2、“频繁申请权限”:即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。
    3、“过度索取权限”:即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。    		 1、为解决“**不给权限不让用”问题,您应当注意通过《隐私政策》等方式向用户详细说明App需要调取的权限及目的,并保证权限调取均与服务功能相关。当用户拒绝无关权限时,仍可以正常使用App其他功能。
    2、为解决“频繁申请权限”问题,您需要注意在用户拒绝授权后,不宜频繁(如48小时内)反复申请权限。
    3、为解决“过度索取权限”**问题,您应当确保App所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限,应当谨慎索取,并向用户明确告知,取得用户授权。
    (四)为用户账号注销设置障碍方面 “账号注销难”:即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。 为解决“账号注销难”问题,您需要:1、为用户提供账号注销入口;2、账号注销时需要用户提供的信息,不得超过用户注册及使用App期间所提供的信息;3、账号注销后,应及时删除用户信息,或在实现日常业务功能所涉及的系统中去除用户个人信息,使其保持不可被检索、 访问的状态;4、用户账号注销的响应时间最多不超过15个工作日。

    二、目前监管对App使用SDK是什么态度?有什么要求?
    根据《个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》等规定可知,目前**监管规定并未禁止App使用SDK,但对使用SDK提出了“告知+同意”的行为要求 ——即您需要通过《隐私政策》向用户告知App使用的全部SDK,并取得用户授权。前述“告知”可通过表格形式在《隐私政策》附录中披露,参考格式如下:**

    SDK 名称 SDK 服务类型 共享个人信息字段 SDK 服务商数据安全能力 SDK隐私政策链接
    友盟+
    统计分析SDK    		 为App提供统计分析服务及基础反作弊服务 设备Mac地址、唯一设备识别码(IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI 信息)、用于反作弊的地理位置信息 公安部三级等保认证(非银机构最高安全等级);
    ISO27001 信息安全管理体系认证;
    ISO27018 公有云个人信息保护体系认证。    		 https://www.umeng.com/page/policy?spm=a211eg.10560647.0.0.547034dcafEUZJ

    也可以在《隐私政策》“数据共享与披露”章节中直接增加类似如下推荐条款:
    “我们的产品集成友盟+SDK,友盟+SDK需要收集您的设备Mac地址、唯一设备识别码(IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI 信息)以提供统计分析服务,并通过地理位置校准报表数据准确性,提供基础反作弊服务。”
    值得提醒的是,您应确保在APP首次运行时通过弹窗等明显方式提示用户阅读您的《隐私政策》并取得用户授权,之后再初始化SDK进行信息采集。

    三、哪些个人信息字段属于监管要求写在《隐私政策》中的内容?
    App应当在《隐私政策》中列明所采集的个人信息字段,并向用户说明采集目的与用途。
    对于个人信息字段,详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录A/B。
    请注意,目前监管规定并未禁止采集上述个人信息字段,但您需要保证您的采集行为均与业务功能合理相关,并且遵守“告知+同意”的规则对用户进行披露,取得用户授权。

    四、App《隐私政策》如何合规展示?
    1、您应当保证《隐私政策》的独立性及易读性。《隐私政策》应单独成文,而不是作为《用户协议》或其他文件的一部分存在。用户进入APP主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。
    2、《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型,并对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等),个人敏感信息类型详见斜体、颜色等)。《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。
    3、《隐私政策》应由用户自主选择是否同意,注意不要以默认勾选“同意”的方式取得用户授权。展示方式参考如下:
    image.png

    五、友盟+ SDK如何保证采集合规?
    友盟+一向坚持以合规、透明的方式为开发者提供SDK相关数据服务,友盟+各类SDK所采集的所有个人信息字段及相应采集目的和用途,均在官网公示。
    为了保障您以及用户的信息安全,我们将按照行业通行标准、努力采取合理的物理、电子和管理方面的安全措施来保护您以及用户的信息,并尽最大合理努力使您以及用户的信息不会被泄漏、毁损或者丢失。在您的浏览器与服务器之间交换数据时受SSL协议加密保护;我们对网站提供HTTPS协议安全浏览方式;我们会使用加密技术提高个人信息的安全性;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制,尽力确保只有授权人员才可访问个人信息;以及我们会到恶意攻击;我们会部署访问控制机制,尽力确保只有授权人员才可访问个人信息;以及我们会定期举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。我们有行业先进的以数据为核心、围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性。

    六、在数据安全与个人信息保护方面,友盟+取得哪些权威认证?
    我们取得了非银行业的最高安全等级保护标准——公安部信息安全三级等保认证,以及ISO/IEC 27001:2013信息安全管理体系认证和ISO/IEC 27018:2019公有云个人信息保护管理体系认证,成为国内大数据行业首个通过ISO/IEC 27018:2019公有云个人信息保护管理体系认证的公司,也是为数不多的同时取得ISO国际隐私合规双认证的大数据公司。

    七. 如果用户不希望其个人信息被友盟+处理,应当如何应对?
    您可以告知用户通过访问 https://outdip.umeng.com/opt_out.html 行使opt-out权利。一旦终端用户行使opt-out权利,其信息将不会被友盟+进行处理。我们建议您在《隐私政策》中嵌入友盟+的opt-out链接,以便终端用户更便捷地行使退出权。
    image.png

    《友盟+ App开发者合规指南》基于现行法律法规及监管政策、执法重点整理,我们强烈建议您也对这些监管规定的更新与发布情况时刻保持关注,您可参考的资料包括:

    • 《GB/T 35273-2020 信息安全技术 个人信息安全规范》
    • 《App违法违规收集使用个人信息自评估指南》
    • 《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范(草案)》
    • 《App 违法违规收集使用个人信息行为认定办法(征求意见稿)》

    在数据智能领域深耕十年的友盟+,深知SDK服务对于移动应用生态发展的重要性。我们致力于不断研发、创新SDK的数据服务类型,帮助App开发者大幅度提升开发效率,降低开发成本;也不断通过提高SDK的易用性和灵活性,为App提供更流畅、便捷的用户体验。
    友盟+期待,与您一起,推进移动应用生态合规发展,为维护良好行业环境而努力!