APP|合规进行时丨关于 “APP & SDK 合规”你应该知道的那些事(第一弹)

APP|合规进行时丨关于 “APP & SDK 合规”你应该知道的那些事(第一弹)
图片

如何做好用户个人信息保护 , 高效推进落实相关政策法规 , 相信这是广大 APP 开发者与第三方 SDK 近期颇为关注的热点 。 在法律法规中 , APP 和 SDK 应各自扮演怎样的角色?在实际操作中 , APP 和 SDK 又该如何做到合规?
重要的事情说三遍!!!
(1)APP隐私政策须清晰明示第三方SDK收集用户个人信息(包括设备信息如IMEI、设备MAC 地址、安装列表等;网络信息;位置信息及其他用户主动提供的个人信息)的类型、目的和方式范围 , 用户同意隐私政策后 , SDK 再收集用户个人信息;
(2)用户明示同意隐私政策后 , APP再调用初始化第三方SDK , 第三方SDK再进行用户个人信息数据的采集行为;
(3)APP须关停不必要场景的APP自启动、关联启动服务 , 向用户提供关闭选项 , 为用户提供自主选择权 。 APP开发者不应在未向用户告知也未经用户同意的情况下 , 或无合理根据的使用场景下 , 频繁进行自启动或关联启动 。
Q:为什么开发者需要SDK ?
A: SDK 是第三方服务商提供的实现 APP 某项功能的工具包 。 SDK 大大减少了开发者的开发及运营成本 , 面对功能繁杂的 APP, 开发者不再需要对每个功能进行单独开发 , 只需要在 APP 中集成合适、稳定的 SDK 即可帮助 APP 实现分享、支付、数据统计等诸多功能 。
Q:在法律法规中 , APP 和SDK 应扮演怎样的角色?
A:在《信息安全技术 个人信息安全规范》9.6条中指出:APP 开发者与第三方 SDK 很多情况下构成共同个人信息控制者关系 。
APP 开发者和SDK 需做到:
双方需通过合同等形式共同确定应满足的个人信息安全要求 , 以及在个人信息安全方面自身和第三方分别应承担的责任和义务 , 并向个人信息主体明确告知 。 若 APP 开发者未向个人信息主体明确告知第三方 SDK 的存在及其承担的权利义务 , APP 开发者往往需承担因第三方 SDK 方引起的个人信息安全责任 。
Q:在实际操作中 , APP 和SDK 方应当怎么做到合规?
A:建议 APP 开发者与第三方 SDK 建立合作关系后 , 完善 APP 端的《隐私政策》或者制定单独的《第三方 SDK 收集处理个人信息声明》等 。
APP 开发者需做到:
政策或声明中需明确 APP 开发者负责 APP 的设计和开发 , 且应披露该 APP 中集成的第三方 SDK 列表、使用的权限列表及收集使用的个人信息等相关内容 。
SDK 需做到:
第三方 SDK 负责 SDK 的设计和开发 , 应主动披露使用的权限列表、收集使用的个人信息及对应的目的等相关内容 。
作为国内领先的移动开发者服务提供商 , 极光一直高度重视用户个人信息保护、数据合规及数据安全问题 , 近期极光也编写了《极光开发者应用合规指南》 , 以期帮助 APP 开发者更清楚地理解极光 SDK 的合规性及在个人信息和隐私保护方面的方法和措施 。 (《极光开发者应用合规指南》请登录极光官网或极光文档查看 。 )
同时 , 极光对 APP 开发者也会进行一系列的合规审查 。 当 APP 开发者首次创建应用或老用户未上传隐私政策时 , 极光会在“应用设置”界面自动提示开发者上传隐私政策并进入系统审核流程 , 审查 APP 开发者是否依法依规撰写隐私政策、取得终端用户的授权 。
对于收集用户个人信息不合规的开发者 , 极光会要求 APP 开发者修订其隐私政策 。 在隐私政策上传界面 , 极光还为 APP 开发者提供了一站式的隐私政策模板服务 , 为 APP 开发者提供便捷的隐私合规建议 。
此外 , 为提升线上审核的准确性 , 极光会不定期地对已上传的隐私政策进行人工审核并比对审核结果 , 优化审核程序 。 在与 APP 开发者合作过程中 , 极光会根据现行法律法规、国家标准以及官方通报 , 定期调研或抽查有合作的 APP 开发者的隐私政策 。 对隐私政策不符合规定的 APP 开发者 , 极光会发出整改通知要求 APP 开发者进行合规整改 , 直至符合合规要求 。