爱加密威胁感知-HarmonyOS SDK合规指引
根据《个人信息保护法》、《数据安全法》、《网络安全法》等法律法规和监管部门规章要求,App
开发运营者(以下简称为“开发者”)在提供网络产品服务时应尊重和保护最终用户的个人信息,不得违法违规收集使用个人信息,保证和承诺就个人信息处理行为获得最终用户的授权同意,遵循最小必要原则,且应当采取有效的技术措施和组织措施确保个人信息安全。为帮助开发者在使用威胁感知-HarmonyOS SDK的过程中更好地落实用户个人信息保护相关要求,避免出现侵害最终用户个人信息权益的情形,特制定本合规使用说明,开发者使用威胁感知SDK时必须在《隐私政策》中告知终端用户SDK使用用途,并且在终端用户未同意《隐私政策》前不得初始化任何 SDK。请您务必按照以下步骤做好合规自查,避免被监管部门通报或下架您的应用。
升级最新版SDK
请务必确保您已经将威胁感知-HarmonyOS SDK升级到满足监管新规的最新版本 。
SDK业务功能的配置说明
接入说明:爱加密威胁感知-HarmonyOS SDK包括基本业务功能。
基本功能:为开发者提供移动安全监测服务,可监测鸿蒙APP运行状态,及时发现潜在风险,保证鸿蒙APP可以安全运行。
扩展功能:为提升鸿蒙APP安全检测服务能力,我们还提供风险设备检测、应用风险检测,更好的保障鸿蒙APP运行安全和业务安全,避免用户受到黑灰产攻击。
|
业务功能 |
功能介绍 |
相关个人信息及处理目的 |
配置方式 |
|
|
基本功能 |
应用风险监测 |
对APP的运行状态进行全面实时监测,及时发现并预警潜在风险。 |
硬件信息(包括设备型号、设备厂商、内存使用率、剩余电量、CPU使用率、CPU型号、CPU架构、设备名称、AAID、指令集1、指令集2、主板信息、ROM构建日期、SIM卡槽归属PLMN号):用于生成脱敏的终端用户设备唯一性标识,以确保能准确定位风险设备 系统信息(包括系统名称、系统版本)用于定位遭受攻击的系统信息,开发者可根据系统信息,针对问题较多的系统版本对应用进行优化。网络信息(包括网络代码、基站编号、基站位置区域码、联网方式、WIFI信号强度)。 |
基本业务,必要个人信息 |
|
扩展功能 |
高频更换地域监测 |
用于识别风险设备是否有地理位置伪造行为 |
粗略位置信息(经度、维度) |
开启: |
|
风险设备监测 |
用于服务异常定位和识别黑产等虚假设备 |
IP地址 |
开启: |
|
|
用于服务异常定位和识别黑产团伙设备 |
内网IP |
开启: |
||
|
用于检测黑产恶意伪造设备 |
分辨率 |
开启: |
||
|
用于识别异常风险设备 |
设备序列号 |
开启: |
||
|
|
陀螺仪信息 |
开启: |
||
|
|
BSSID |
开启: |
||
|
|
蓝牙MAC |
开启: |
||
|
|
WiFi MAC |
开启: |
||
|
|
WiFi名称 |
开启: |
||
|
应用风险监测 |
用于判断宿主 APP 信息,识别异常软件 |
应用基本信息 |
开启: |
SDK申请系统权限的说明
接入说明:对于爱加密威胁感知-HarmonyOS
SDK可选申请的系统权限,您可以参考相关如下表格的内容,详细了解相关权限与各业务功能的关系及其申请时机,因相关权限的不申请将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。
|
威胁感知-HarmonyOS SDK权限列表 |
|||
|
权限 |
是否可选 |
用途 |
申请时机 |
|
ohos.permission.INTERNET |
必选 |
网络权限。用于实现和服务器通信,以便提供态势感知服务 |
启用业务功能读取 |
|
ohos.permission.GET_NETWORK_INFO |
必选 |
查看网络连接状态的权限。用于实现网络断开后sdk重新连接 |
启用业务功能读取 |
|
ohos.permission.GYROSCOPE |
可选 |
允许应用读取陀螺仪传感器的数据 |
启用业务功能读取 |
|
ohos.permission.APPROXIMATELY_LOCATION |
可选 |
允许应用读取定位的数据 |
启用业务功能读取 |
|
ohos.permission.ACCESS_BLUETOOTH |
可选 |
允许应用获取蓝牙访问权限 |
启用业务功能读取 |
SDK 可选权限
- 以下为可选权限,
如您需要更精准的识别风险设备,建议集成以下权限(可选)
SDK隐私政策披露要求与示例
接入说明:开发者在App集成威胁感知-HarmonyOS
SDK后,威胁感知SDK的正常运行会收集必要的设备信息用于监测APP运行安全和业务安全。请开发者根据集成威胁感知SDK的实际情况,在您APP的隐私政策中,对威胁感知SDK名称、公司名称、处理个人信息种类及⽬的、采集方式、隐私政策链接等内容进行披露。 建议:确认您所接入的威胁感知SDK版本和功能模块,从隐私政策中确定与威胁感知SDK交互的数据内容;在您App的隐私政策中,以文字或列表的方式向公众披露威胁感知SDK的相关信息。
披露示例:
SDK名称:爱加密威胁感知-HarmonyOS SDK
第三方主体:北京智游网安科技有限公司
SDK
用途:保障APP运行安全和业务安全,避免用户受到黑灰产攻击
处理个人信息类型:应用信息(包括应用名称、应用版本号、包名、应用运行模式、证书MD5、签名证书)用于定位遭受攻击的应用信息,开发者可根据应用信息,针对问题较多的应用版本对应用进行优化。硬件信息(包括设备型号、设备厂商、屏幕分辨率、内存使用率、剩余电量、CPU使用率、CPU型号、CPU架构、设备名称、设备序列号、AAID、指令集1、指令集2、主板信息、ROM构建日期、陀螺仪信息、SIM卡槽归属PLMN号):用于生成脱敏的终端用户设备唯一性标识,以确保能准确定位风险设备
系统信息(包括系统名称、系统版本)用于定位遭受攻击的系统信息,开发者可根据系统信息,针对问题较多的系统版本对应用进行优化。位置信息(包括经度、维度)用于定位遭受攻击的设备的地理位置,用于风险数据统计。网络信息(包括网络代码、基站编号、基站位置区域码、联网方式、外网IP、BSSID、蓝牙MAC、WiFi MAC、WiFi名称、WIFI信号强度、局域网IP)用于定位风险设备的网络信息,应对团伙攻击场景,及时发现团伙内的其它风险设备。
数据处理方式:去标识化、数据加密
隐私权政策链接:https://www.ijiami.cn/privacypolicy/infoBeat-apk-privacy.html
最终用户同意方式的说明及示例
接入说明: App 首次运行时应当有隐私弹窗,隐私弹窗中应公示简版隐私政策内容并附完整版隐私政策链接,并明确提示最终用户阅读并选择是否同意隐私政策;隐私弹窗应提供同意按钮和拒绝同意的按钮,并由最终用户主动选择。 如涉及敏感个人信息,应当取得您最终用户的单独授权同意,您可以通过单独弹窗的形式来实现最终用户的授权,并在您的《隐私政策》中针对敏感个人信息通过字体加粗或其他显著标识显示。
隐私政策授权弹窗示例:
敏感个人信息授权弹窗示例::
最终用户行使权利说明
接入说明:开发者在其 APP 中集成威胁感知-HarmonyOS
SDK后, 威胁感知SDK的正常运行会收集必要的设备信息用于监测APP运行安全和业务安全的目的。开发者应根据相关法律法规为最终用户提供行使个人信息主体权利的路径或功能,需威胁感知SDK配合的,请与爱加密公司及时进行联系,我们将与开发者协同妥善解决最终用户的诉求。
SDK 业务功能调用时机
接入说明:请务必在用户同意您App中的隐私政策后,再进行威胁感知SDK的业务功能调用。用户同意隐私政策之前,避免动态申请涉及用户个人信息的敏感设备权限;用户同意隐私政策前,您应避免私自采集和上报个人信息。
SDK安全监测功能启用
威胁感知调用:确保 APP 首次启动时,在用户阅读您的《隐私政策》并取得用户授权,才调用威胁感知功能接口,此时SDK会进行注册,并生成威胁感知唯一标识(deviceId)和采集业务功能所必要的个⼈信息(设备信息、网络信息及位置信息)并上报。
若用户未授权或未同意您的《隐私政策》,则不能调用威胁感知。
隐私保护机制
如果您对威胁感知SDK权限有任何疑问、意见和建议,可通过以下联系方式与我们联系:
·
电子邮件:service@ijiami.cn
·
电 话:4000-618-110
·
联系地址:广东省深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦12层
以下合规文件供开发者参考:
《个人信息保护法》
《工业和信息化部关于开展信息通信服务感知提升行动的通知》
《工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知》
《工业和信息化部关于开展 App 侵害用户权益专项整治工作的通知》
《App 违法违规收集使用个人信息行为认定方法》
《App 违法违规收集使用个人信息自评估指南》
《常见类型移动互联网应用程序必要个人信息范围规定》
《GB/T 35273-2020信息安全技术 个人信息安全规范》
《网络安全标准实践指南一移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
《网络安全标准实践指南一移动互联网应用程序(App)系统权限申请使用指南》