近期APP個人信息保護以及整改措施的相關新聞受到廣泛關注，開發者對于合規的理解與實踐也時有疑問。作為服務了國內幾十萬開發者的移動開發者服務提供商，極光一直高度重視用戶個人信息保護、數據合規及數據安全問題，并持續更新、嚴格規范與開發者間的使用協議，提供便于使用的隱私政策模板，助力開發者更好地貫徹合規相關工作。同時為了高效推進與落實相關規定，讓開發者更清楚地理解極光SDK的合規性及在個人信息和隱私保護方面的方法和措施，極光編寫了《 極光開發者應用合規指南 》，并將根據法律法規和國家標準持續更新，供廣大開發者參考。

一、常見的違規問題有哪些？開發者應當如何做到合規？

Q:?什么是違規、超范圍收集用戶個人信息？

A: 違規收集個人信息即APP、SDK未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意，私自收集用戶個人信息的行為。超范圍收集個人信息是指APP、SDK收集的個人信息的類型與實現產品或服務的業務功能沒有直接關聯。

開發者需做到：

• 制定一份獨立的《隱私政策》，向用戶明示收集使用個人信息的目的、方式和范圍。
• 為解決“超范圍收集個人信息”問題，您應當確保您的采集均與APP服務功能相關，所涉個人信息字段均已在《隱私政策》中公示，并得到用戶授權。

使用極光SDK時需做到：

• 您的隱私政策應向終端用戶明示您在APP中部署極光SDK收集使用個人信息的目的、方式和范圍等，提供的數據安全保護標準應不低于和極光的協議約定。根據相關法律法規，極光SDK為實現部分業務功能、需要收集終端用戶的“網絡信息”和/或“位置信息”，前提是終端用戶需要授權開啟“讀寫SD卡權限”、“網絡訪問權限”、“設備信息權限”和/或“位置權限”。如果您的終端用戶不想被收集上述信息，可以通過關閉“讀寫SD卡權限”、“網絡訪問權限”、“設備信息權限”和/或“位置權限”實現。（請在極光官網最底部的菜單欄【 關于我們-隱私政策 】頁面查看具體業務功能、場景描述及信息處理方式）

Q:?什么是違規使用個人信息？

A: 即APP、SDK未向用戶告知且未經用戶同意，私自使用個人信息，將用戶個人信息用于其提供服務之外的目的，特別是私自向其他應用或服務器發送、共享用戶個人信息的行為。

開發者需做到：

• APP應遵循“目的明確”的原則，即對收集的個人信息具有明確、清晰、具體的處理目的。同時應向終端用戶明示您處理個人信息的目的，并確保對個人信息的處理不超出所明示的目的范圍。

使用極光SDK時需做到：

• 極光建議APP開發者在其隱私政策中列明“極光SDK收集、使用APP最終用戶個人信息的類型、目的及范圍”，并在《隱私政策》中明確告知終端用戶，您謹慎地選擇了極光作為合作方，委托其收集、使用、加工和處理終端用戶個人信息，并允許極光對已收集的數據進行去標識化和聚合性的處理后，構建極光數據庫用以提供數據服務。但您同樣應向終端用戶提供易于操作的選擇退出機制，幫助終端用戶行使其作為個人信息主體的相關權利。

Q:?什么是APP強制、頻繁、過度索取權限？

A: 即APP安裝和運行時，向用戶索取與當前服務場景無關的權限；在用戶明確拒絕權限申請后，頻繁彈窗、反復申請與當前服務場景無關權限的行為；未及時明確告知用戶索取權限的目的和用途，提前申請超出其業務功能等權限的行為。

開發者需做到：

• 為解決“強制索取權限”問題，您應當注意通過《隱私政策》等方式向用戶詳細說明APP需要調取的權限及目的，并保證權限調取均與服務功能相關。當用戶拒絕無關權限時，仍可以正常使用其他功能。
• 為解決“頻繁索取權限”問題，您需要注意在用戶拒絕授權后，不宜頻繁反復申請權限。
• 為解決“過度索取權限”問題，您應當確保APP所需權限均與所提供的業務功能相關。對于短信、通訊錄、麥克風等高敏感權限，應當謹慎索取，并向用戶明確告知，取得用戶授權。

Q:?什么是APP頻繁自啟動和關聯啟動？

A: 自啟動和關聯啟動針對不同的軟件和使用場景的需求不盡相同，例如需要及時收到信息的社交、辦公類APP，自啟動和關聯啟動是一種強需求，如果關掉會影響相應APP的必要信息推送。但對于使用頻次低、場景窄的APP，自啟動和關聯啟動的合理性需要考量。

開發者需做到：

遵循“公開透明”和“最小必要”原則。APP開發者應向用戶告知且經用戶同意的情況下進行自啟動或關聯啟動，并僅在合理的使用場景下，以為終端用戶提供服務為目的，以最小的頻次對APP的自啟動與關聯啟動進行配置設置。

使用極光SDK時需做到：

極光SDK只在APP開發者已知的情況下，幫助APP啟動應用后臺進程從而收到消息。同時極光也關注APP通過自啟動、關聯啟動被喚醒的頻次是否合理，是否符合實現產品或服務的業務功能所必需的最低頻率。

二、開發者如何草擬合規的隱私政策？

為幫助開發者方便快捷地制定隱私政策，極光針對地圖導航、網絡約車、網上購物等 21 類 APP所需的必要信息進行了整理，并輸出細分至各個類型APP的隱私政策模板，供開發者參考使用，開發者可從以下路徑下載文檔： 登錄極光官網-進入開發者平臺-應用設置-隱私政策欄點擊更新協議-上傳協議文檔-下載協議模板。

三、隱私政策如何合規展示？

1. 在頁面“設置/通用”-“隱私”-“隱私政策”
2. 展示在注冊入口處
3. 用戶初次注冊時，彈出框形式應可下拉，且界面應至少停留10秒，以用戶勾選、點擊“同意”或“下一步”等形式取得用戶同意
4. 用戶協議、隱私政策修訂后，需要重新彈出并再次獲得用戶同意，彈出框形式可下拉，以用戶主動勾選、點擊“同意”等形式呈現
5. 用戶協議、隱私政策應方便用戶再次訪問

四、極光對APP開發者的合規審查

1. 當開發者用戶首次創建應用或老用戶未上傳隱私政策時，極光會在“應用設置”界面自動提示開發者上傳隱私政策并進入系統審核流程，審查APP開發者是否依法依規撰寫隱私政策、取得終端用戶的授權。
2. 對于收集用戶個人信息不合規的開發者，極光會要求APP開發者修訂其隱私政策。在隱私政策上傳界面，極光還為開發者用戶提供了一站式的隱私政策模板服務，為開發者用戶提供便捷的隱私合規建議。
3. 同時，為提升線上審核的準確性，我們會不定期地對已上傳的隱私政策進行人工審核并比對審核結果，優化審核程序。在與開發者合作過程中，極光會根據現行法律法規、國家標準以及官方通報，定期調研或抽查有合作的開發者的隱私政策。對隱私政策不符合規定的開發者，極光會發出整改通知要求開發者進行合規整改，直至符合合規要求。

五、極光推送SDK采取的防止用戶個人信息泄露的具體制度及技術措施

從數據處理生命周期角度來看，極光在提供服務過程中對個人信息的處理分為數據采集階段、數據傳輸階段、數據存儲階段、數據使用階段、數據處置階段。每一個階段極光推送SDK均采取了相應的技術措施以保障用戶個人信息的安全性，防止泄露用戶隱私。

作為深耕推送服務市場十年的移動開發者服務提供商，極光秉承"以開發者為中心"的戰略導向，不斷打磨、迭代產品技術，拓展多方合作，期望能為開發者提供更好更全面的服務，并為保護數據安全與用戶個人信息，推進移動應用生態合規發展，構建良性發展的互聯網生態環境而努力。