本文介绍设备风险识别SDK的合规使用方式。为帮助开发者更好地落实用户个⼈信息保护相关要求,避免因使用第三⽅SDK的业务⽽出现侵害最终用户个人信息权益的行为,特制定本合规使用说明,供开发者在接入风险识别SDK服务时进行合理配置,满足监管合规要求。
SDK隐私政策披露示例
APP运营者应向最终用户明确告知我们的SDK处理个人信息相关规则,包括SDK名称、业务功能、处理个人信息目的、收集个人信息类型、隐私政策链接等内容。具体要求及实现方法如下:
APP需要制定单独的隐私政策,且《隐私权政策》中向用户告知使用风险识别SDK,如在您APP的《第三方共享清单》中告知如下内容:
SDK名称:风险识别SDK
业务功能:检测异常设备,识别作弊及欺诈风险
收集个人信息类型:按照实际配置采集信息的情况填写
使用权限情况:按照实际配置的权限情况填写
隐私政策链接:
https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202111120818_92724.html
SDK申请系统权限的说明
安卓操作系统应用权限列表:
权限内容 | 是否必选 | 使用目的 | 申请时机 |
INTERNET | 是 | 用于获取网络访问权限 没有该权限将导致SDK功能不可用。 | 调用信息采集接口之前 |
ACCESS_NETWORK_STATE | 否(推荐赋予) | 用于获取设备网络状态信息。 | 调用信息采集接口之前 |
READ_PHONE_STATE | 否(推荐赋予) | 用于获取设备指纹相关的ID字段。 | 调用信息采集接口之前 |
WRITE_EXTERNAL_STORAGE READ_EXTERNAL_STORAGE | 否(推荐赋予) | 用于缓存配置文件在上。本地磁盘。 | 调用信息采集接口之前 |
iOS操作系统应用权限列表:
权限 | 是否必选 | 使用目的 | 申请时机 |
NSLocalNetworkUsageDescription | 否(推荐赋予) | 获取局域网内设备连通性,用于发现设备牧场、群控等风险。 | 调用信息采集接口之前 |
NSUserTrackingUsageDescription | 否 | 用于获取 IDFA 信息,增强设备ID稳定性。 | 调用信息采集接口之前 |
可选个人信息配置的说明
对于可选收集的个人信息的控制,开发者可以参考《接入文档》的内容进行配置操作。因相关信息的不收集将会对其对应的功能造成一定影响,请开发者结合业务实际需要进行合理配置。
Android端配置方法
通过调整信息采集接口中option的DataType配置可选个人信息的操作,内容可选择单个或多个,单选:
"NO_UNIQUE_DEVICE_DATA",多选:"NO_UNIQUE_DEVICE_DATANO_IDENTIFY_DEVICE_DATA"。
个人信息息字段 | 说明 | DataType配置字段 |
OAID、Google广告ID、Android_ID | 可变更唯一设备标识码 | NO_UNIQUE_DEVICE_DATA |
IMEI、IMSI、SimSerial、BuildSerial(SN)、MAC地址 | 不可变更唯一设备标识码 | NO_IDENTIFY_DEVICE_DATA |
设备名(Build.DEVICE)、Android版本号(Build.VERSION#RELEASE)、屏幕分辨率; | 基础标识信息 | NO_BASIC_DEVICE_ DATA |
黑灰产App列表、局域网IP、DNS IP、连接的WIFI信息(SSID、BSSID)、附近WIFI列表、定位信息。 | 扩展信息 | NO_EXTRA_DEVICE_ DATA |
配置示例
//增加隐私数据采集开关,不采集NO_IDENTIFY_DEVICE_DATA类型数据,多选使用|进行拼接。
Map<String, String> options = new HashMap<>();
options.put("DataType", String.valueOf(NO_IDENTIFY_DEVICE_DATA));
// 通过设备风险SDK采集信息,信息采集接口需要在风险场景中尽可能早的时候调用。
SecurityDevice.getInstance().initWithOptions(this, ALIYUN_APPKEY, options, null);iOS 配置方法
个人信息字段 | 说明 | 配置方法 |
IDFA | 广告标识符 | 在控制台下载采集或不采集IDFA版本的SDK |
SDK初始化和业务功能调用时机
用户首次启动App时,请务必在用户同意您App中的隐私政策后,且用户主动使用本SDK提供的功能时再进行相关接口调用。如无必要,请勿在同意隐私政策后立即采集设备信息,避免过度或过早采集。信息采集接口配置文档可以查看接入手册,并在Android在文档导读中选择“信息采集”查看,iOS在导读中选择“通过SDK采集数据”。
附录
《风险识别SDK隐私政策》:设备风险识别SDK隐私政策
《Android接入手册》:设备风险SDK Android接入
《iOS接入手册》:设备风险SDK iOS接入
《安全与合规》:安全与合规