开发者个人信息保护合规指引

前言

近年来,移动互联网应用程序(APP,也包括快应用、小程序等新应用形态,为方便开发者理解,以下统称为"APP")得到广泛应用,同时,APP强制授权、过度索权、超范围收集个人信息的问题也被社会各方高度重视。国家有关部门陆续发布了《网络安全法》、《数据安全法》、《个人信息保护法》、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号、《常见类型移动互联网应用程序必要个人信息范围规定》等一系列相关法规和执行依据,为APP运营者提升完善个人信息保护提供重要依据。同时,监管部门在全国范围组织开展APP违法违规收集使用个人信息专项治理的过程中,提出了多项具体合规要求,为APP运营者提升合规水平提供重要依据。为帮助开发者进一步完善提升个人信息保护,特制定此合规指引,供开发者参照自查,及时整改,不断完善对用户的个人信息保护。

本合规指引主要分为四部分:第一部分为根据多项规定,对各类收集使用个人信息保护问题、标准和要求进行归纳、梳理;第二部分为APP隐私政策内容的合规要求;第三部分为接入短剧平台提供SDK产品的特别提示及相应的《SDK合规使用说明》,开发者应当在用户同意《隐私政策》后再进行SDK初始化,并在隐私政策中披露接入短剧相关SDK的情况;第四部分是对用户个人信息保护的相关法律法规和监管政策要求的汇总,供开发者进一步深入学习。

一、APP产品合规要求

SDK 可选个人信息的配置说明:

可选个人信息类型

个人信息字段

使用目的

使用场景

配置方法示例

广告隐私总控

所有用于广告相关的个人信息(设备标识、位置、应用列表等)

统一控制广告模块对所有个人信息的获取权限,全局管理广告数据收集行为

全局控制广告模块的信息收集与使用

Builder.enableReadPrivacyInfo (boolean var1) 设置是否允许广告模块获取相关隐私信息,默认建议为true,true 为允许获取,false 为禁止所有广告相关信息收集

设备标识信息

Android ID、OAID(开放匿名设备标识符)

广告投放归因、广告反作弊识别、广告效果监测、用户行为统计分析

在进行广告投放、广告效果统计、异常流量识别、用户行为分析时使用

Builder.enableUseAndroidId (boolean var1) 设置是否允许 SDK 主动使用 Android ID,默认建议为true,true 为允许使用,false 为禁止使用
Builder.enableUseOaid (boolean var1) 设置是否允许 SDK 主动使用 OAID,默认建议为 false,true 为允许使用,false 为禁止使用

地理位置信息

粗略地理位置信息(网络定位)、精确地理位置信息(GPS 定位)

地域化短剧内容推荐、地域定向广告投放、区域合规风控校验

在展示个性化短剧推荐、投放地域定向广告、进行区域内容合规校验时使用

Builder.enableReadLocation (boolean var1) 设置是否允许 SDK 主动获取地理位置信息,默认建议为true,true 为允许获取,false 为禁止获取

网络状态信息

网络类型(Wi-Fi / 移动网络)、运营商信息、IP 地址

选择最优 CDN 节点、优化短剧播放流畅度、防止视频盗链、网络异常排查

在短剧加载播放、CDN 节点智能调度、网络异常诊断、盗链防护时使用

Builder.enableUseNetworkState (boolean var1) 设置是否允许 SDK 主动使用 ACCESS_NETWORK_STATE 权限获取网络状态信息,默认建议为 true,true 为允许获取,false 为禁止获取

存储权限信息

设备外部存储读写权限(仅访问 SDK 专属目录)

缓存短剧视频资源、存储用户观看进度、保存 SDK 运行必要本地文件

在短剧离线缓存、断点续播、SDK 本地配置存储时使用

Builder.enableUseStoragePermission (boolean var1) 设置是否允许 SDK 主动申请并使用存储权限,默认建议为true,true 为允许使用,false 为禁止使用

应用列表信息

设备已安装应用包名列表

广告投放精准度优化、广告反作弊识别、用户画像补充

在进行广告投放、异常流量识别时使用

Builder.enableReadInstalledPackages (boolean var1) 设置是否允许 SDK 主动读取设备已安装应用列表,默认建议为true,true 为允许读取,false 为禁止读取

个性化广告控制

用户行为数据、设备标识数据

基于用户兴趣投放个性化广告,提升广告相关性与用户体验

在展示广告内容时使用

Builder.enablePersonalizedAds (boolean var1) 设置是否允许投放个性化广告,默认建议为true,true 为允许投放个性化广告,false 为仅投放非个性化通用广告

合规事项

合规要求

具体示例【以下示例仅供参考,开发者应当按照自己APP的情况履行合规要求】

主要依据

1、隐私弹窗

(1)APP首次运行应当有隐私弹窗,弹窗内容应当明确提示用户阅读隐私政策;

(2)隐私弹窗中应当有用户协议、隐私政策链接;

(3)隐私弹窗应有拒绝同意的按钮

《APP违法违规收集使用个人信息行为认定方法》第一条:

一、以下行为可被认定为"未公开收集使用规则"

2.在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

2、隐私政策

(1)APP应当有独立的隐私政策

/

《APP违法违规收集使用个人信息行为认定方法》第一条:

一、以下行为可被认定为"未公开收集使用规则":

1.在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

(2)隐私政策中需明确说明各项业务功能所收集个人信息目的、方式、范围。

举例:

内容浏览:在你浏览APP内容的过程中,我们会记录你的使用情况。如果你未登录APP的账号,我们会通过设备对应的标识符信息来记录你的【点击、浏览、分享信息】。如果你已登录APP的账号,我们会通过你的账号记录你的【点击、浏览、分享、关注、收藏、反馈、发布、点赞(喜欢)、评论等】。

《APP违法违规收集使用个人信息行为认定方法》第二条

二、以下行为可被认定为"未明示收集使用个人信息的目的、方式和范围": 1.未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

(3)隐私政策应当包含第三方信息共享清单SDK清单

举例:

第三方信息共享清单

*为保障【APP名称】相关功能的实现与应用安全稳定的运行,我们可能会接入由第三方提供的软件开发包(SDK)实现相关目的。

*我们会对合作方获取信息的软件工具开发包(SDK)进行严格的安全监测,以保护数据安全。

*我们对接入的相关第三方SDK在目录中列明。安卓操作系统第三方SDK列表:

【XX SDK】(以地图SDK举例)

*使用目的:帮助用户发布信息时定位位置

*使用场景:用户使用定位相关功能时使用

*收集数据类型:列明XXSDK实际采集的数据字段

*合作方主体:XX公司

*收集方式:SDK自行采集

*官网链接:https://***.com

*隐私政策链接:https://***.com

《APP违法违规收集使用个人信息行为认定方法》第二条:

二、以下行为可被认定为"未明示收集使用个人信息的目的、方式和范围":

1.未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

(4)隐私政策中应当包含申请系统权限的说明

应用权限申请与使用情况说明

1. 为保障【 】产品功能实现与安全稳定运行目的,我们可能会申请或使用操作系统的相关权限;

2. 为保障您的知情权,我们通过下列列表将产品可能申请、使用的相关操作系统权限进行展示,您可以根据实际需要对相关权限进行管理;

3. 根据产品的升级,申请、使用权限的类型与目的可能会有变动,我们将及时根据这些变动对列表进行调整,以确保您及时获悉权限的申请与使用情况;

4. 请您知悉,我们为业务与产品的功能与安全需要,我们可能也会使用第三方SDK,这些第三方也可能会申请或使用相关操作系统权限;

5. 在使用产品的过程中,您可能会使用第三方开发的H5页面或小程序,这些第三方开发的插件或小程序也可能因业务功能所必需而申请或使用相关操作系统权限。安卓操作系统应用权限列表如下:列明申请的系统权限及其用途和目的。

打开可收集个人信息的权限应当通过隐私政策获得用户授权同意,并在具体权限申请时同步告知用户申请目的。

(5)不得默认勾选同意隐私政策

错误示例:

《个人信息保护法》 第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。《APP违法违规收集使用个人信息行为认定方法》第三条:三、以下行为可被认定为"未经用户同意收集使用个人信息"4.以默认选择同意隐私政策等非明示方式征求用户同意;

3、用户未同意隐私政策前,不得收集用户信息

在用户未同意隐私政策前,不得收集、读取剪切板信息等

/

《APP违法违规收集使用个人信息行为认定方法》第三条:

三、以下行为可被认定为"未经用户同意收集使用个人信息"

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

4、用户协议和隐私政策公示

(1)用户协议和隐私政策应当在APP内有专门的链接予以公示;

(2)隐私政策公示链接,不得超过4次点击操作。

《APP违法违规收集使用个人信息行为认定方法》第一条:

一、以下行为可被认定为"未公开收集使用规则"

3.隐私政策等收集使用规则难以访问,如进入APP主界面后,需多于4次点击等操作才能访问到;

5、权限及个人信息违规收集

(1)不得用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限;

(2)不得频繁征求用户同意、干扰用户正常使用;

(3)不得超出用户授权范围收集信息或打开权限;

(4)不得要求用户一次性同意或捆绑同意打开多个可收集个人信息的权限,用户不同意则无法使用;

(5)不得超出业务功能需要高频收集个人信息;

(6)不得收集与业务功能无关的个人信息或权限。

(7)收集敏感个人信息时,APP 应通过显著方式(包括但不限于弹窗方式在隐私政策中对敏感个人信息进行加粗加黑进行显著提示)向用户明示收集、使用个人信息的目的、方式、范围。

/

《APP违法违规收集使用个人信息行为认定方法》第三条:

三、以下行为可被认定为"未经用户同意收集使用个人信息"

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

5.未经用户同意更改其设置的可收集个人信息权限状态,如APP更新时自动将用户设置的权限恢复到默认状态;

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

9.违反其所声明的收集使用规则,收集使用个人信息。

四、以下行为可被认定为"违反必要原则,收集与其提供的服务无关的个人信息"

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

4.收集个人信息的频度等超出业务功能实际需要;

6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

《个人信息保护法》第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

6、最小必要数据收集

在仅能收集最小必要的个人信息的情形下,仍能保证用户能使用APP的基本功能服务

/

《常见类型移动互联网应用程序必要个人信息范围规定》

第三条 本规定所称必要个人信息,是指保障APP基本功能服务正常运行所必需的个人信息,缺少该信息APP即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。

第四条 APP不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

7、个性化展示退出选项

如果APP提供定向推送功能【若APP具备此功能】,需要向用户提供关闭或退出个性化推荐功能的选项或开关

/

《个人信息保护法》第二十四条第二款:通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

《APP违法违规收集使用个人信息行为认定方法》第三条:

三、以下行为可被认定为 未经用户同意收集使用个人信息

6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

8、个人信息主体权利

用户享有查阅、复制、更正、补充、删除其个人信息的权利以及改变或撤回其授权同意的权利。APP应当为用户实现个人信息管理设置合理实现路径并及时进行响应。

/

《个人信息保护法》第四章 第四十四条-第五十条

9、账号注销

APP 应提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理

/

《APP违法违规收集使用个人信息行为认定方法》第六条:

六、以下行为可被认定为"未按法律规定提供删除或更正个人信息功能"或"未公布投诉、举报方式等信息"

1.未提供有效的更正、删除个人信息及注销用户账号功能;

10、用户申诉与反馈

1、隐私政策中至少提供以下一种投诉渠道:

(1)电子邮件;

(2)电话;

(3)传真;

(4)在线客服;

(5)在线表格。

2、对于投诉、举报处理的承诺时限不得超过15个工作日。

举例:如果您对个人信息保护问题有投诉、建议、疑问,您可以将问题发送至(****@***.com),我们核查并验证您的用户身份后会及时反馈您的投诉与举报;如对本隐私政策内容有任何疑问、意见或建议,您可通过登录"*****"页面入口与我们联系。

《APP违法违规收集使用个人信息行为认定方法》第六条:

六、以下行为可被认定为"未按法律规定提供删除或更正个人信息功能"或"未公布投诉、举报方式等信息"

5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

11、广告样式合规

在涉及应用下载广告时:

(1)在用户进行下载行为前,需明示即将进行下载行为,并由用户主动选择下载;

(2)在用户进行下载行为前,应对用户披露所下载应用的应用名称、开发者、版本号、应用权限、隐私政策、产品功能、备案信息。

工业和信息化部关于进一步提升移动互联网应用服务能力的通知_国务院部门文件_中国政府网 一、提升全流程服务感知,保护用户合法权益 (一)规范安装卸载行为 1.确保知情同意安装。向用户推荐下载APP应遵循公开、透明原则,真实、准确、完整地明示开发运营者、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的取消选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通过"偷梁换柱""强制捆绑""静默下载"等方式欺骗误导用户下载安装。

二、APP隐私政策合规要求

1、APP需制定一份独立的隐私政策,该隐私政策应当符合个人信息保护、数据安全相关的国家法律法规、监管政策要求、国家标准及开发者与短剧平台的约定。开发者应当保证APP隐私政策的独立性和明显提示性,即APP隐私政策应单独成文,在APP首次运行时通过弹窗等明显方式提示用户阅读并获取用户同意。隐私政策应向用户明示收集使用个人信息的目的、方式和范围,但请注意,仅是改善服务质量、提升用户体验、定向推送信息、研发新产品还不足以成为要求用户授权同意收集其个人信息的理由。隐私政策应由用户自主选择是否同意,不应以默认勾选同意的方式或是以欺骗诱导的方式取得用户同意。

2、开发者应当在用户主动授权同意APP隐私政策后,再初始化所接入的具体SDK进行个人信息的收集与处理。开发者保证已在APP隐私政策中明确告知用户已接入具体SDK产品作为合作方为用户提供相关服务,并遵从国家法律法规、政策及标准的要求,在APP隐私政策的第三方信息共享清单中披露具体SDK产品收集使用个人信息的目的、方式和范围等情况,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。

合规要求

合规要点

示例【以下示例仅供参考,开发者应当按照自己APP的情况进行合规】

1、明示收集个人信息的业务场景

(1)应当将收集个人信息的业务功能逐项列举;

(2)不应使用"等、例如"字样。


业务功能是指APP面向个人用户所提供的一类完整服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等

2、业务功能与所收集个人信息类型应当一一对应


隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。

隐私政策示例

1.1 发布与互动

1.1.1 信息发布

a.您发布内容、评论、提问或回答时,我们将收集您发布的信息,并展示您的昵称、头像、发布内容。

b.您使用上传图片、发布音视频功能时,我们会请求您授权相机、相册(存储空间)、照片、麦克风权限。您如果拒绝授权提供,将无法使用此功能,但不影响您正常使用【应用名称】的其他功能。

c.您发布信息并选择显示位置时,我们会请求您授权地理位置权限,并收集与本服务相关的位置信息。您如果拒绝授权提供精确地理位置信息,将无法使用此功能,但不影响您正常使用【应用名称】的其他功能。

d.请注意,您公开发布的信息中可能会涉及用户或他人的个人信息,若您公开发布的信息中包含他人个人信息的,在上传发布之前,您需确保为法律法规允许使用或已获得合法授权。

3、明示各项业务功能所收集的个人信息类型

每个业务功能在说明其所收集的个人信息类型时,应在隐私政 策中逐项列举,不应使用"等、例如"等方式概括说明。

同上【隐私政策示例】

4、应当显著标识敏感个人信息类型


隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、 标星号、下划线、斜体、颜色等)。

注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)未成年人的个人信息等。(该定义见 GB/T 35273《个人信息安全规范》3.2 节)

同上【隐私政策示例】


5、应当说明APP运营者的基本情况


隐私政策应对 APP 运营者基本情况进行描述,至少包括:(1)公司名称;(2)注册地址;(3)个人信息保护相关负责人联系方式


***公司及其关联方(简称"我们",注册地址为:*****)作为**APP的运营者,深知个人信息对您的重要性,我们将按照法律法规的规定,保护您的个人信息及隐私安全。

6、应当说明个人信息存储和超期处理方式

隐私政策应对个人信息存放地域(国内、国外);存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式 进行明确说明。

隐私政策示例

1.我们如何存储个人信息

1.1 存储地点我们依照法律法规的规定,将在境内运营过程中收集和产生的您的个人信息存储于中华人民共和国境内。目前,我们不会将上述信息传输至境外,如果我们向境外传输,我们将会遵循相关国家规定或者征求您的同意。

1.2 存储期限我们仅在为提供【应用名称】及服务之目的所必需的期间内保留您的个人信息:您发布的信息、评论、点赞等相关信息,在您未撤回、删除或未注销账号期间,我们会保留相关信息。超出必要期限后,我们将对您的个人信息进行删除或匿名化处理,但法律法规另有规定的除外。

7、应说明个人信息的使用规则

如果 APP 运营者将个人信息用于用户画像、个性化推荐等, 隐私政策中应说明其应用场景和可能对用户产生的影响。

/

8、个人信息出境情况

如果存在个人信息出境情况,隐私政策中应逐项告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类并显著标识(如字体加粗、标星号、下划线、 斜体、颜色等),以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得用户的单独授权同意。 同时,应当按照《个人信息保护法》第三章 第三十八条至第四十一条的相关规定履行法定程序方可提供。

/

9、个人信息安全保护措施和能力

隐私政策中应对 APP 运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、 恶意代码防范、安全审计等。

/

10、对外共享、转让、公开披露个人信息规则

如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:(1)对外共享、转让、公开披露个人信息的目的;(2)涉及的个人信息类型;(3)接收方类型或身份。

/

11、用户权利保障机制

隐私政策中应对以下用户个人信息管理的路径进行明确说明:(1)个人信息查阅、复制;(2)个人信息更正、补充;(3)个人信息删除;(4)用户账户注销;(5)改变授权范围或撤回已同意的授权

/

12、用户申诉渠道和反馈机制

隐私政策中至少提供以下一种投诉渠道:

(1)电子邮件;

(2)电话;

(3)传真;

(4)在线客服;

(5)在线表格。

2、对于投诉、举报处理的承诺时限不得超过15个工作日

1、如果您对个人信息保护问题有投诉、建议、疑问,您可以将问题发送至(****@***.com),我们核查并验证您的用户身份后会及时反馈您的投诉与举报;2、如对本隐私政策内容有任何疑问、意见或建议,您可通过登录"*****"页面入口与我们联系。

13、隐私政策时效

应明确标识隐私政策发布、生效或更新日期

/

14、隐私政策不应存在免责等不合理条款

APP 运营者不应在用户协议、服务协议、隐私政策等文件 中出现免除自身责任、加重用户责任、排除用户主要权利条款。

/

三、短剧平台SDK产品接入合规注意事项

开发者接入短剧平台SDK产品前,应当详细阅读理解并同意短剧平台的用户服务协议、短剧平台隐私政策、《开发者个人信息保护合规指引》、具体SDK产品的隐私政策及其《SDK合规使用说明》等协议规范(前述协议规范以下统称为"平台规范"),并依据相关内容对开发者APP收集、存储、使用、共享等处理个人信息的情况及《隐私政策》的内容进行合规自查。

1、开发者知悉并认可短剧平台提供的SDK产品具备收集个人信息的功能,并认可收集该等信息是为实现SDK服务之必要目的所需。

2、开发者应当遵守法律法规和监管政策要求收集、使用和处理最终用户的个人信息,包括但不限于公示有关个人信息保护的隐私政策等。开发者应当在最终用户主动授权同意APP隐私政策后,再收集最终用户的个人信息或初始化所接入的具体SDK进行个人信息的收集与处理。开发者保证已在APP隐私政策中明确告知最终用户已接入具体SDK产品作为合作方为最终用户提供相关服务,并遵从国家法律法规、监管政策及国家标准的要求,在APP隐私政策的第三方信息共享清单中披露具体SDK产品收集使用个人信息的目的、方式和范围等情况,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。

3、开发者承诺已详细阅读理解并同意平台规范,在使用短剧平台及接入具体SDK产品期间,针对具体SDK产品收集、使用、处理、共享、转让相关个人信息,开发者已取得了最终用户持续有效的授权同意,并保证不会违反国家相关法律法规、监管政策要求、相关国家/行业/团体标准以及双方约定的内容。

4、开发者承诺严格遵守未成年人保护相关的法律法规及监管政策要求,依法在APP内提供未成年人模式,充分保障未成年人的合法权益。如果开发者APP可能面向对不满十四周岁的未成年人用户提供服务,应单独制定针对不满十四周岁的未成年人用户的个人信息处理规则,采取相关措施并保证已获得其合法监护人的授权同意。

5、开发者承诺向最终用户提供易于操作且满足法律法律要求及监管政策要求的用户权利实现机制,并向最终用户告知如何行使查阅、复制、更正、补充、删除个人信息的权利以及如何撤回同意、如何退出个性化推荐以及如何限制个人信息处理、转移个人信息、获取个人信息副本和注销账号等权利。

6、短剧各SDK产品不提供自启动和关联启动的功能。如开发者APP存在自启动或关联启动的功能,应具有合理的业务场景并向最终用户告知,在获得最终用户授权同意的情况下再进行自启动或关联启动。

7、如因开发者违反平台规范,导致最终用户或第三方对短剧平台主张任何形式的索赔或权利要求,或导致短剧平台因此产生任何法律纠纷的,开发者应负责解决并承担全部责任,如因此给短剧平台及关联方造成损失的,开发者应承担全部赔偿责任。

8、开发者承诺对于从短剧平台获悉的数据或信息,无论是在与短剧平台合作期间或是合作停止后,均承担保密义务,不得擅自提供、泄露、透露给任何第三方,并应采取一切合法措施以使上述数据或信息免于散发、传播、披露、复制、滥用及被无关人员接触,避免导致相关数据或信息超出双方合作目的使用。

9、在双方订立合作协议前,短剧平台有权对开发者进行数据合规尽职调查的风险评估,并审查开发者提供的个人信息的合法来源证明及相关文件,以及开发者官网公开的《用户协议》与《隐私政策》,如短剧平台发现存在不合规的情形,有权要求开发者修订《用户协议》与《隐私政策》的内容或完善相应的授权机制及其他合规机制。开发者在平台规范下需承担的全部义务、责任不因短剧平台的风险评估而构成任何形式的豁免,开发者仍应根据上述内容履行相应义务并承担法律责任。

10、请开发者确保已经将所接入的具体SDK升级到最新版本。开发者可以在"开发者平台"-"接入中心"模块找到具体SDK最新版本及相关接入文档。

11、 开发者在接入具体SDK产品前,请务必详细阅读并理解各SDK产品隐私政策及其《SDK合规使用说明》的内容和要求,结合APP的实际情况,在充分保障最终用户合法权益的前提下按照《SDK合规使用说明》的指引和配置方式进行合理的配置操作。SDK产品的隐私政策和合规使用说明链接如下,请您认真阅读理解。

短剧SDK:短剧SDK隐私政策

四、短剧平台数据安全保护能力

短剧平台非常重视数据安全,将努力采取合理的安全措施(包括技术方面和管理方面)来保护数据安全,防止开发者和/或最终用户提供的数据信息被不当使用或未经授权的情况下被访问、公开披露、使用、修改、损坏、丢失或泄漏。我们会使用不低于行业通常水平的加密技术、去标识化技术及相关合理可行的手段保护数据安全,并使用安全保护机制防止开发者和/或最终用户的数据信息遭到恶意攻击,并建立专门的安全部门、安全管理制度、数据安全流程保障开发者和/或最终用户的个人信息安全。我们采取严格的数据使用和访问制度,确保只有授权人员才可访问开发者和/或最终用户的个人信息,我们会定期对人员进行安全教育和培训,并适时对数据和技术进行安全审计。尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但请开发者和/或最终用户理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全,我们将尽力确保开发者和/或最终用户提供给我们的数据信息的安全性。

请开发者和/或最终用户知悉并理解,开发者和/或最终用户接入、使用短剧平台提供的服务所用的系统和通讯网络,有可能因短剧平台可控范围外的因素而出现问题。因此,我们强烈建议开发者和/或最终用户采取积极措施保护数据信息的安全,包括但不限于使用复杂密码、定期修改密码、不将自己的帐号密码及相关数据信息透露给他人。我们会制定应急处理预案,并在发生数据安全事件时立即启动应急预案,努力阻止这些安全事件的影响和后果扩大。一旦发生数据安全事件(泄露、丢失)后,我们将按照法律法规的要求,及时向开发者和/或最终用户告知:安全事件的基本情况和可能的影响、我们已经采取或将要采取的处置措施、开发者和/或最终用户可自主防范和降低风险的建议、对开发者和/或最终用户的补救措施。我们将及时将事件相关情况以推送通知、邮件、信函、短信及相关形式告知开发者,并要求开发者采取合理、有效的方式向最终用户发布公告或通知。同时,我们还将按照相关监管部门要求,上报用户信息安全事件的处置情况。但一旦开发者和/或最终用户离开短剧及相关服务,浏览或使用其他网站、服务及内容资源,我们将没有能力和直接义务保护开发者和/或最终用户在短剧及相关服务之外的软件、网站提交的任何数据信息,无论开发者和/或最终用户登录、浏览或使用上述软件、网站是否基于短剧平台的链接或引导。

如有任何问题,请与短剧平台联系。

五、法律法规及监管政策

请开发者认真研读学习以下法律法规和监管政策文件,确保合法合规开展APP运营活动及与短剧合作,充分保障用户合法权益,切实履行个人信息保护与数据安全的法律责任。

1、《中华人民共和国网络安全法》

2、《中华人民共和国数据安全法》

3、《中华人民共和国个人信息保护法》

4、《APP违法违规收集使用个人信息自评估指南》

5、《APP违法违规收集使用个人信息行为认定方法》

6、《常见类型移动互联网应用程序必要个人信息范围规定》

7、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(164号文)

8、《信息安全技术个人信息安全规范》(GB/T 35273-2020)

9、《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(337号文)

10、《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(26号文)