Skip to content

SOTER Client SDK合规使用指南

Jump to bottom
QingcuiLu edited this page Nov 28, 2023 · 1 revision

为帮助使用SOTER Client SDK的开发运营者(以下简称“您”)在符合个人信息保护相关法律法规、政策及标准的规定下合规接入、使用第三方SDK, SOTER Client (以下简称"我们")特制定《SOTER Client SDK接入使用说明文档》(以下简称“文档”),便于您使用SOTER Client SDK 过程中符合相应的合规要求。请您在接入、使用SOTER Client SDK前,充分阅读和了解本文档内容。

一、接入/升级至满足监管新规的最新SDK版本

我们高度重视SDK的功能优化、个人信息安全和保护,将适时升级迭代SDK版本以提升产品的安全性和稳定性,确保符合相关法律法规及、监管及标准的最新合规要求。强烈建议您升级使用最新版本SDK,以便保障您正常使用SDK最新功能、避免因您更新不及时产生的不利影响(例如APP被通报或下架等)。 SDK更新后,我们会及时通过官网公告通知或其他适当的方式提醒您更新的内容,以便您及时了解SDK最新版本信息。同时,您可以访问SDK最新版本下载链接:SOTER Client SDK

二、APP隐私政策中应披露第三方SDK相关情况

请您确保您开发或运营的APP配备了符合监管要求的《隐私政策》文本。请您务必明确告知终端用户您的App集成了第三方SDK服务。您应在《隐私政策》中添加关于本SDK收集使用个人信息的目的、方式和范围等,并显示本SDK的开发运营者名称及隐私政策链接。您应在 APP 登录注册页面及 APP 首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,应当以清晰易懂的语言告知用户《隐私政策》,由用户在充分知情的前提下,作出自愿明确的意思表示。 我们提供以下告知文案示例供您参考,您可以通过文字或表格方式向用户告知。请您理解SDK不同版本提供的功能服务及所需的字段信息可能会因开发者的选择或配置不同而存在差异,因此请您参考SDK隐私政策及您实际接入使用的SDK运行情况向用户进行充分告知并获得用户的同意。 仅Android参考示例:

第三方SDK名称:SOTER Client SDK
第三方SDK提供方的公司名称:深圳市腾讯计算机系统有限公司
使用目的及功能场景:通过接入SOTER,开发者可以快速实现安全的指纹认证
处理的个人信息类型:设备型号(可选)
实现SDK产品功能所需的权限:调用指纹认证权限
第三方SDK隐私政策链接:SOTER Client SDK个人信息保护规则
第三方SDK官网链接(可选披露):SOTER Client SDK接入官网
处理方式(可选披露):传递给微信后台,用于查询后台白名单

三、获得用户同意后再初始化SDK

为满足法律法规及监管要求,您应确保在获得用户的同意后再初始化SDK,并在用户触发SDK具体功能服务后通过配置SDK的相关参数完成发送请求的调用,此时SDK才会按照您设置的配置方式采集功能所需的个人信息或申请功能所需的权限。为了避免您在获取用户同意前,提前启动SDK收集使用用户个人信息,SDK提供了延迟SDK初始化调用的API接口、合规初始化技术配置方案,点击SOTER Client SDK接入官网查看详细操作指引。

  1. 确保在用户阅读APP隐私政策并取得用户授权之后,按APP功能需要在合适时机调用init接口初始化SDK。反之,如果用户不同意《隐私政策》授权,则不能调用初始化接口。该接口仅进行初始化,不会获取个人信息。
  2. 请勿在用户同意隐私政策之前动态申请涉及用户个人信息的敏感设备权限;请勿在用户同意隐私政策前私自采集和上报个人信息(尤其注意Android_ID、OAID、IMEI、MAC地址、硬件序列号、应用安装列表等用户信息)。请勿在App处于未激活状态时(例如App在后台运行),请求SDK相关服务。

四、可选信息配置开关

SDK向您提供了可选个人信息及权限的控制开关,您可以根据APP所需的SDK功能服务自行配置打开或关闭隐私信息请求开关。

1、配置可选权限

请您注意,SDK不强制获取可选权限,即使没有获取可选权限,SDK提供的基本功能也能正常运行。您可以配置可选权限,以便使用SDK提供的其他可选功能。建议调用请求前在合适的时机调用SDK提供的方法,在用户授权的情况下获取声明中的权限。点击此处查看详细操作指引。

操作系统 权限名称 使用目的 功能场景(申请时机) 是否可选
安卓 调用指纹认证权限 指纹认证 整个应用声明周期内只需要进行一次,用于生成基本配置和检查设备支持情况。 可选

请注意,在不同设备和系统中,权限显示方式及关闭方式可能有所不同,请终端用户参考其使用的设备及操作系统开发方的说明或指引。当终端用户关闭权限即代表其取消了相应的授权,我们和第三方开发者将无法继续收集和使用对应的个人信息,也无法为终端用户提供上述与该等授权所对应的功能。

2、指导建议

请您重点关注,在APP安装、运行和使用相关功能时,您应遵从国家相关法律法规、监管政策及标准的要求,收集用户个人信息或申请敏感权限,不得存在以下违规行为: (1)未经用户同意不得收集任何个人信息。
(2)非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用不得自动退出或关闭。
(3)在用户明确拒绝权限申请后,APP不应向用户频繁弹窗或反复申请开启与当前服务场景无关的权限、影响用户正常使用,建议掌握合适时机申请敏感权限,不得影响其他功能可用。
(4)不得未明确告知用户索取权限的目的和用途。
(5)APP首次打开或运行中,未见使用权限对应的相关功能或服务时,不应提前向用户弹窗申请开启敏感权限。
(6)不得超出业务功能实际需要过度收集个人信息。

五、用户权利保障机制

如果您需要我们协助来实现您最终用户的其他个人信息主体权利请求,您可以通过“联系方式”来申请协助。

六、Demo的使用说明

为了帮助您快速了解、体验SDK功能,我们向您提供SDK Demo,仅供您参考,不做为正式产品。请您理解,由于Demo运行方式与正式APP运行方式有所差异,当您接入正式SDK产品时请按照SDK正式集成文档进行操作。

七、联系方式

我们设立了专门的个人信息保护团队和个人信息保护负责人, 如果您和/或终端用户对本规则或个人信息保护相关事宜有任何疑问或投诉、建议时, 可以通过以下方式与我们联系:

(i)通过 腾讯客服与我们联系;

(ii)将问题发送至Dataprivacy@tencent.com;

(iii)邮寄信件至: 中国广东省深圳市南山区海天二路33号腾讯滨海大厦 数据隐私保护部(收)邮编: 518054。 我们将尽快审核所涉问题, 并在15个工作日或法律法规规定的期限内予以反馈。

八、注意事项

1、您接入SOTER Client SDK前的合规自查

为确保您就本SDK的使用获得终端用户的授权,且遵守个人信息保护要求和合规流程,我们建议您在接入SOTER Client SDK前进行合规自查。
1)请仔细阅读并按本说明文档提示对您APP的《隐私政策》进行合规自查。
2)请务必做延迟初始化配置,确保获得用户同意后再初始化SDK。
3)当SOTER Client SDK基于最新的法律法规或监管要求进行更新后,请您在收到版本更新通知时及时将您APP集成的SOTER Client SDK升级到最新版本。
4)其他国家相关法律法规、监管政策及标准的要求。

2、SOTER Client SDK对您的合规审查

您应遵守个人信息保护相关的法律法规、监管政策及标准,并确保合规使用SOTER Client SDK服务。请您知悉,为确保您切实获得终端用户的授权,且您已满足个人信息保护相关合规要求,SOTER Client SDK可能视具体情况,在双方订立协议、开展合作前或合作过程中,对您进行必要的个人信息保护合规审查。在该等合规审查过程中,您应当提供必要的配合,包括但不限于:
1)要求您提供所共享的个人信息的合法来源证明及相关文件;
2)查阅您官网及其他公开渠道可获取的隐私政策文本;
3)试用您的 APP 以审查同意授权告知机制及其他合规机制。
如SOTER Client SDK发现存在不合规情形,您可能会被要求增加或补充相关合规措施,如您未按时增加或补充,SOTER Client SDK有权拒绝您使用服务。请您知悉,该等合规审查仅属于我们内部必要的合规程序,不构成任何形式的承诺与保证,不具有法律效力。

3、以下合规文件供开发者参考

(1)中国人大网
(2)工业和信息化部关于进一步提升移动互联网应用服务能力的通知_国务院部门文件_中国政府网
(3)工业和信息化部关于开展信息通信服务感知提升行动的通知_国务院部门文件_中国政府网
(4)工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知_国务院部门文件_中国政府网
(5)工业和信息化部关于开展APP侵害用户权益专项整治工作的通知_部门政务_中国政府网
(6)关于印发《App违法违规收集使用个人信息行为认定方法》的通知-中共中央网络安全和信息化委员会办公室
(7)《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
(8)关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知_国务院部门文件_中国政府网
(9)在线预览|GB/T 35273-2020
(10)全国信息安全标准化技术委员会
(11)全国信息安全标准化技术委员会

本条款对应合规要求:

合规使用说明中包括以下内容:7)获取最终用户授权同意的建议方式,其中需要取得最终用户单独同意的,应显著提示并给出示例;
此条款为新增内容,提示业务补充
本条款对应合规要求:
合规使用说明中包括以下内容:6)提供向最终用户披露条款的示例,包括自身SDK名称、公司名称、处理个人信息种类及目的、自身个人信息处理规则文本下载或展示链接等;
在文档初始化说明部分,仅说明init接口,且不能获取用户个人信息。不要在初始化部分说明start接口调用等会获取用户个人信息的情况,涉及会获取个人信息的接口调用都需要在具体SDK功能配置部分再做说明(例如start接口调用等)。
本条款对应合规要求:
合规使用说明中包括以下内容:5)SDK初始化及各项业务功能接口合规调用时机
此条款为新增内容,提示业务补充
本条款对应合规要求:
合规使用说明中包括以下内容:4)SDK所需的系统权限与各业务功能间的关系,并说明权限申请时机;
此表格为新增内容,提示业务补充
本条款对应合规要求:
合规使用说明中包括以下内容:2)SDK各项可选个人信息使用目的、场景及对应关闭的配置方式、示例;
本条款对应合规要求:
合规使用说明中包括以下内容:3)SDK收集个人信息不同频次、精度使用目的、场景及对应选择的配置方式、示例;
本条款对应合规要求:
合规使用说明中包括以下内容:1)SDK各项扩展业务功能介绍及对应关闭的配置方式、示例;
本条款对应合规要求:
合规使用说明中包括以下内容:8)以嵌入接口形式向最终用户提供行使权利的,应提供接口调用方式、示例;

概述
TENCENT SOTER介绍
TENCENT SOTER原理
基础
快速接入
进阶
安全接入
安全接入——客户端
安全接入——后台
接口文档
客户端接口文档
后台接口文档
个人信息保护规则
合规使用指南

Clone this wiki locally