本文介紹設備風險識別SDK的合規使用方式。為幫助開發者更好地落實用戶個?信息保護相關要求,避免因使用第三?SDK的業務?出現侵害最終用戶個人信息權益的行為,特制定本合規使用說明,供開發者在接入風險識別SDK服務時進行合理配置,滿足監管合規要求。
SDK隱私政策披露示例
APP運營者應向最終用戶明確告知我們的SDK處理個人信息相關規則,包括SDK名稱、業務功能、處理個人信息目的、收集個人信息類型、隱私政策鏈接等內容。具體要求及實現方法如下:
APP需要制定單獨的隱私政策,且《隱私權政策》中向用戶告知使用風險識別SDK,如在您APP的《第三方共享清單》中告知如下內容:
SDK名稱:風險識別SDK
業務功能:檢測異常設備,識別作弊及欺詐風險
收集個人信息類型:按照實際配置采集信息的情況填寫
使用權限情況:按照實際配置的權限情況填寫
隱私政策鏈接:
https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202111120818_92724.html
SDK申請系統權限的說明
安卓操作系統應用權限列表:
權限內容 | 是否必選 | 使用目的 | 申請時機 |
INTERNET | 是 | 用于獲取網絡訪問權限 沒有該權限將導致SDK功能不可用。 | 調用信息采集接口之前 |
ACCESS_NETWORK_STATE | 否(推薦賦予) | 用于獲取設備網絡狀態信息。 | 調用信息采集接口之前 |
READ_PHONE_STATE | 否(推薦賦予) | 用于獲取設備指紋相關的ID字段。 | 調用信息采集接口之前 |
WRITE_EXTERNAL_STORAGE READ_EXTERNAL_STORAGE | 否(推薦賦予) | 用于緩存配置文件在上。本地磁盤。 | 調用信息采集接口之前 |
iOS操作系統應用權限列表:
權限 | 是否必選 | 使用目的 | 申請時機 |
NSLocalNetworkUsageDescription | 否(推薦賦予) | 獲取局域網內設備連通性,用于發現設備牧場、群控等風險。 | 調用信息采集接口之前 |
NSUserTrackingUsageDescription | 否 | 用于獲取 IDFA 信息,增強設備ID穩定性。 | 調用信息采集接口之前 |
可選個人信息配置的說明
對于可選收集的個人信息的控制,開發者可以參考《接入文檔》的內容進行配置操作。因相關信息的不收集將會對其對應的功能造成一定影響,請開發者結合業務實際需要進行合理配置。
Android端配置方法
通過調整信息采集接口中option的DataType配置可選個人信息的操作,內容可選擇單個或多個,單選:
"NO_UNIQUE_DEVICE_DATA",多選:"NO_UNIQUE_DEVICE_DATANO_IDENTIFY_DEVICE_DATA"。
個人信息息字段 | 說明 | DataType配置字段 |
OAID、Google廣告ID、Android_ID | 可變更唯一設備標識碼 | NO_UNIQUE_DEVICE_DATA |
IMEI、IMSI、SimSerial、BuildSerial(SN)、MAC地址 | 不可變更唯一設備標識碼 | NO_IDENTIFY_DEVICE_DATA |
設備名(Build.DEVICE)、Android版本號(Build.VERSION#RELEASE)、屏幕分辨率; | 基礎標識信息 | NO_BASIC_DEVICE_ DATA |
黑灰產App列表、局域網IP、DNS IP、連接的WIFI信息(SSID、BSSID)、附近WIFI列表、定位信息。 | 擴展信息 | NO_EXTRA_DEVICE_ DATA |
配置示例
//增加隱私數據采集開關,不采集NO_IDENTIFY_DEVICE_DATA類型數據,多選使用|進行拼接。
Map<String, String> options = new HashMap<>();
options.put("DataType", String.valueOf(NO_IDENTIFY_DEVICE_DATA));
// 通過設備風險SDK采集信息,信息采集接口需要在風險場景中盡可能早的時候調用。
SecurityDevice.getInstance().initWithOptions(this, ALIYUN_APPKEY, options, null);
iOS 配置方法
個人信息字段 | 說明 | 配置方法 |
IDFA | 廣告標識符 | 在控制臺下載采集或不采集IDFA版本的SDK |
SDK初始化和業務功能調用時機
用戶首次啟動App時,請務必在用戶同意您App中的隱私政策后,且用戶主動使用本SDK提供的功能時再進行相關接口調用。如無必要,請勿在同意隱私政策后立即采集設備信息,避免過度或過早采集。信息采集接口配置文檔可以查看接入手冊,并在Android在文檔導讀中選擇“信息采集”查看,iOS在導讀中選擇“通過SDK采集數據”。
附錄
《風險識別SDK隱私政策》:設備風險識別SDK隱私政策
《Android接入手冊》:設備風險SDK Android接入
《iOS接入手冊》:設備風險SDK iOS接入
《安全與合規》:安全與合規