亲爱的开发者:
感谢您在所开发的移动应用中集成并使用百度旗下软件开发工具包(SDK)!
百度非常重视用户个人信息保护,包括集成百度旗下安全软件开发工具包(SDK)(以下简称“百度安全SDK”)的移动应用的最终用户(以下简称“最终用户”)个人信息保护,特制定《百度安全SDK个人信息保护合规开发者指引》,以供您在所开发的移动应用(以下简称“移动应用”)中集成并使用百度安全SDK时参照执行。
在所开发的移动应用中集成并使用百度安全SDK,您需要首先遵守以下个人信息保护合规基本要求:
1. 您应遵守收集、使用最终用户个人信息有关的所有可适用法律法规及规范性文件要求,包括但不限于《网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(工信部信管函[2019]337号)、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)等,保护用户个人信息安全。
2. 您应将在移动应用中集成并使用百度安全SDK服务的情况,以及百度安全SDK对最终用户必要个人信息的收集、使用和保护规则(具体请见 百度安全SDK隐私政策 ),在移动应用的显著位置或以其他可触达最终用户的方式告知最终用户(具体请参考本指引第二部分 “如何告知最终用户”及第三部分“告知文案示例”),并获得最终用户对于百度安全SDK收集、使用最终用户相关个人信息的完整、合法、在使用百度安全SDK服务期间持续有效的授权同意。如果最终用户是未满14周岁的未成年人,请您务必确保获得最终用户的父母或其他监护人对于百度安全SDK收集、使用最终用户相关个人信息的完整、合法、在使用百度安全SDK服务期间持续有效的授权同意。
3. 您应向最终用户提供易于操作的访问、更正、删除其个人信息,撤销或更改其授权同意、注销其个人账号等用户权利实现机制。
4. 您应确保在移动应用首次运行时,应在最终用户阅读并同意移动应用隐私政策之后,方可调用百度安全SDK进行最终用户信息采集。(具体请参考本指引第四部分)
除了上述个人信息保护合规基本要求外,您还应遵守您所开发的移动应用所集成并使用的百度安全SDK隐私政策。
百度安全SDK基本业务功能为安全风控功能。以下是百度安全SDK获取您APP的最终用户的个人信息以及权限情况。
SDK必选个人信息收集情况:
| 序号 | 功能及服务 | 个人信息类型 | 收集方式 | 适用系统版本 | 信息类型 |
|---|---|---|---|---|---|
| 1 | 基本业务功能: 安全风控 | IDFV | SDK直接采集 | IOS | 必选信息 |
| 2 | 设备型号 | SDK直接采集 | IOS,Android | 必选信息 | |
| 3 | 操作系统版本 | SDK直接采集 | IOS,Android | 必选信息 |
SDK可选个人信息收集情况:
| 序号 | 功能及服务 | 个人信息类型 | 收集方式 | 适用系统版本 | 信息类型 |
|---|---|---|---|---|---|
| 1 | 扩展业务功能:
提高安全风控能力精确性和风险检出能力 |
IMEI | SDK直接采集 | Android | 可选信息 |
| 2 | 设备序列号 | SDK直接采集 | Android | 可选信息 | |
| 3 | MAC地址 | SDK直接采集 | Android | 可选信息 | |
| 4 | IMSI | SDK直接采集 | Android | 可选信息 | |
| 5 | ICCID | SDK直接采集 | Android | 可选信息 | |
| 6 | MEID | SDK直接采集 | Android | 可选信息 | |
| 7 | OAID | SDK直接采集 | Android | 可选信息 | |
| 8 | BSSID | SDK直接采集 | Android | 可选信息 | |
| 9 | 应用列表 | SDK直接采集 | Android | 可选信息 | |
| 10 | AndroidID | SDK直接采集 | Android | 可选信息 | |
| 11 | 精确位置信息 | SDK直接采集 | Android | 可选信息 | |
| 12 | 粗略位置信息 | SDK直接采集 | Android | 可选信息 |
可选个人信息的配置方式:
可选个人信息用于提高安全风控能力精确性,可选个人信息采集项可通过HTH.setCollectSwitch接口分项开启或关闭。
配置文档链接: https://cloud.baidu.com/doc/AFD/s/Ijwvy4s7b
安卓(Android)操作系统权限申请情况:
| 设备权限 | 功能及服务 | 权限申请时机 | 权限调用时机 | 权限类型 |
|---|---|---|---|---|
| 读取/写入外部存储卡
READ_EXTERNAL_STORAGE WRITE_EXTERNAL_STORAGE |
设备风控功能 (增强精确度) | 开发者在调用本SDK初始化前申请本权限,该权限可以不申请 | 初始化时 | 可选 |
| 访问粗略位置 ACCESS_COARSE_LOCATION |
设备风控功能 (识别位置篡改) | 初始化采集个人信息时 | 可选 | |
| 访问精确位置 ACCESS_FINE_LOCATION |
初始化采集个人信息时 | 可选 | ||
| 访问电话状态(部分机型也称为“设备信息”权限) READ_PHONE_STATE |
设备风控功能 (增强精确度) | 初始化时,按配置周期采集个人信息时 | 可选 | |
| 获取当前运行任务信息 GET_TASKS |
用于判断当前前后台状态,避免后台联网和采集个人信息 | SDK已声明该权限 | 采集个人信息和联网时 | 必选 |
IOS操作系统权限申请情况:
IOS操作系统无需申请权限。
SDK可按照不同频次、精度收集个人信息的配置说明
百度安全SDK的Android端数据采集在App初始化以及一定时间间隔后触发,该频次可通过HTH. setCollectInterval接口配置。该频次配置不包含粗略位置信息和精确位置信息。 百度安全SDK的Android端粗略位置和精确位置数据采集在App初始化时采集,该频次不可配置。
百度安全SDK的IOS端数据采集在App初始化以及一定时间间隔后触发(不小于24小时),该频次不可配置。
收集精度方面,涉及Android定位相关功能,主要通过权限进行控制,在被授予访问精确位置权限后,将使用精确位置,在仅被授予访问粗略位置权限时,使用粗略位置。
配置文档链接: https://cloud.baidu.com/doc/AFD/s/Ijwvy4s7b
为帮助您明确地告知最终用户百度安全SDK个人信息收集、使用和保护相关事宜,我们为您提供了以下告知方式,供您参考执行:
1. 在移动应用隐私政策中“个人信息共享”条款部分或“所集成的第三方SDK”条款部分告知最终用户相应功能/服务由百度安全SDK提供,并显示相应百度安全SDK隐私政策链接以告知最终用户,百度安全SDK收集、使用的最终用户个人信息类型、目的及用途。移动应用隐私政策在用户首次打开移动应用或者在移动应用的注册/登记界面通过协议在线展示的方式向用户展示,并获得最终用户明示同意(例如:点击“同意”,或勾选“√”)。
2. 在移动应用隐私政策中“个人信息共享”条款部分或“所集成的第三方SDK”条款部分告知最终用户相应功能/服务由百度安全SDK提供,并参考相应百度安全SDK隐私政策内容,以条款或表格等形式列明收集、使用的最终用户个人信息类型、目的及用途。移动应用隐私政策在用户首次打开移动应用或者在移动应用的注册/登记界面通过协议在线展示的方式向用户展示,并获得最终用户明示同意(例如:点击“同意”,或勾选“√”)。
3. 当最终用户在移动应用中首次打开/使用相应功能/服务时,以弹窗、页面提示方式显示相应百度安全SDK隐私政策链接,以告知最终用户相应功能/服务由百度安全SDK提供,百度安全SDK为提供相应功能/服务而收集、使用的最终用户个人信息类型、目的及用途,并获得最终用户明示同意(例如:点击“同意”,或勾选“√”)。
为帮助您明确地告知最终用户百度安全SDK个人信息保护规则相关事宜,我们为您提供了以下告知方文案示例,供您参考执行:
文案示例A
为向您提供【功能或服务描述】功能/服务,我们集成了百度安全SDK。在为您提供【功能或服务描述】功能/服务时,百度安全SDK需要收集、使用您必要的个人信息。关于百度安全SDK收集、使用的个人信息类型、目的及用途,以及百度安全SDK将如何保护所收集、使用的个人信息,请您仔细阅读 《百度安全SDK隐私政策》了解。
文案示例B
【产品名】所接入的第三方SDK可能会申请调用您的设备权限、获取您的个人信息,以便您在不同的手机设备或第三方平台上正常使用相应功能/服务,我们将这些具有个人信息收集功能的第三方SDK的名称、第三方名称、个人信息使用目的及场景、申请调用的权限说明、个人信息收集的类型及方式、隐私政策链接列明如下。
| 第三方SDK名称 | 第三方名称 | 使用目的 | 使用场景 | 权限说明 | 信息收集类型 | 信息收集方式 | 隐私政策 |
|---|---|---|---|---|---|---|---|
| 百度安全SDK | 北京百度网讯科技有限公司 | 安全风控类 | 【根据您产品功能实际情况填写】 | 读取/写入外部存储卡;粗略位置;精确位置;获取当前运行任务信息;访问电话状态/设备信息 | 设备信息(IMEI, IMSI,MAC地址,设备序列号, IDFV,OAID,ICCID,AndroidID,BSSID,MEID),应用程序列表,WIFI列表,精确和粗略位置信息 | SDK直接本机采集,不涉及数据传输共享 | https://sofire.bdstatic.com/haotian/privacy.html |
Android端:
1、(可选)在初始化前,调用 HTH.setCollectInterval和HTH. setCollectSwitch方法设置采集个人信息的频次和种类。
2、在用户同意或者拒绝移动应用隐私政策时,调用SDK的隐私设置函数HTH.setAgreePolicy(true/false) ,是控制SDK是否可采集并上报设备信息的前置条件。 之后,开发者需要调用HTH.start()函数来开启安全服务。只有同时满足调用了HTH.setAgreePolicy(true) 和HTH.start(),SDK才会采集并上报设备信息。
3、 用户同意隐私协议后的APP非首次冷启动,开发者需要在HTH.init()后尽早调用HTH.start ()方法开启安全服务。
iOS端:
请在用户同意移动应用隐私政策之后,调用SDK的初始化函数startSDKEngineWithDeviceID。