天极大咖秀

登录 | 申请注册

合规进行时:APP&SDK合规知识秒懂(第一弹)

极光大数据 2020-08-28 阅读: 7,322 次

如何做好用户个人信息保护,高效推进落实相关政策法规,相信这是广大 APP 开发者与第三方 SDK 近期颇为关注的热点。在法律法规中,APP 和 SDK 应各自扮演怎样的角色?在实际操作中,APP 和 SDK 又该如何做到合规?

重要的事情说三遍!!!

(1)APP隐私政策须清晰明示第三方SDK收集用户个人信息(包括设备信息如IMEI、设备MAC 地址、安装列表等;网络信息;位置信息及其他用户主动提供的个人信息)的类型、目的和方式范围,用户同意隐私政策后,SDK 再收集用户个人信息;

(2)用户明示同意隐私政策后,APP再调用初始化第三方SDK,第三方SDK再进行用户个人信息数据的采集行为;

(3)APP须关停不必要场景的APP自启动、关联启动服务,向用户提供关闭选项,为用户提供自主选择权。APP开发者不应在未向用户告知也未经用户同意的情况下,或无合理根据的使用场景下,频繁进行自启动或关联启动。

Q:为什么开发者需要 SDK 

A: SDK 是第三方服务商提供的实现 APP 某项功能的工具包。SDK 大大减少了开发者的开发及运营成本,面对功能繁杂的 APP ,开发者不再需要对每个功能进行单独开发,只需要在 APP 中集成合适、稳定的 SDK 即可帮助 APP 实现分享、支付、数据统计等诸多功能。

 

Q:在法律法规中,APP  SDK 应扮演怎样的角色?

A:在《信息安全技术 个人信息安全规范》9.6条中指出:APP 开发者与第三方 SDK 很多情况下构成共同个人信息控制者关系。

APP 开发者和 SDK 需做到:

双方需通过合同等形式共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方分别应承担的责任和义务,并向个人信息主体明确告知。若 APP 开发者未向个人信息主体明确告知第三方 SDK 的存在及其承担的权利义务,APP 开发者往往需承担因第三方 SDK 方引起的个人信息安全责任。

 

Q:在实际操作中,APP  SDK 方应当怎么做到合规?

A:建议 APP 开发者与第三方 SDK 建立合作关系后,完善 APP 端的《隐私政策》或者制定单独的《第三方 SDK 收集处理个人信息声明》等。

 APP 开发者需做到:

政策或声明中需明确 APP 开发者负责 APP 的设计和开发,且应披露该 APP 中集成的第三方 SDK 列表、使用的权限列表及收集使用的个人信息等相关内容。

 SDK 需做到:

第三方 SDK 负责 SDK 的设计和开发,应主动披露使用的权限列表、收集使用的个人信息及对应的目的等相关内容。

作为国内领先的移动开发者服务提供商,极光一直高度重视用户个人信息保护、数据合规及数据安全问题,近期极光也编写了《极光开发者应用合规指南》,以期帮助 APP 开发者更清楚地理解极光 SDK 的合规性及在个人信息和隐私保护方面的方法和措施。

同时,极光对 APP 开发者也会进行一系列的合规审查。当 APP 开发者首次创建应用或老用户未上传隐私政策时,极光会在“应用设置”界面自动提示开发者上传隐私政策并进入系统审核流程,审查 APP 开发者是否依法依规撰写隐私政策、取得终端用户的授权。

对于收集用户个人信息不合规的开发者,极光会要求 APP 开发者修订其隐私政策。在隐私政策上传界面,极光还为 APP 开发者提供了一站式的隐私政策模板服务,为 APP 开发者提供便捷的隐私合规建议。

此外,为提升线上审核的准确性,极光会不定期地对已上传的隐私政策进行人工审核并比对审核结果,优化审核程序。在与 APP 开发者合作过程中,极光会根据现行法律法规、国家标准以及官方通报,定期调研或抽查有合作的 APP 开发者的隐私政策。对隐私政策不符合规定的 APP 开发者,极光会发出整改通知要求 APP 开发者进行合规整改,直至符合合规要求。

为 APP 开发者提供更好更全面的服务,致力保护数据安全与用户个人信息,全力推进移动应用生态合规发展,极光一直在努力!持续关注我们,了解更多关于 APP 与 SDK 合规的问题。

下期精彩预告:在个人信息收集、使用、存储、公开披露及删除方面 APP 开发者与第三方 SDK 应当如何做到合规?

 

极光大数据
中国领先移动开发者服务平台, 以开发者运营、增长和变现为基石,通过人工智能技术构建数据处理平台。

特别声明:文章版权归原作者所有,文章内容为作者个人观点,不代表大咖秀专栏的立场,转载请联系原作者获取授权。(有任何疑问都请联系wemedia@yesky.com)