本文介绍Web应用防火墙APP防护SDK的合规使用方式。为帮助开发者更好地落实用户个⼈信息保护相关要求,避免因使用第三⽅SDK的业务⽽出现侵害最终用户个人信息权益的行为,特制定本合规使用说明,供开发者在接入Web应用防火墙防护SDK服务时进行合理最小化配置,满足监管合规要求。
SDK隐私政策披露示例
APP运营者应向最终用户明确告知我们的SDK处理个人信息相关规则,包括SDK名称、业务功能、处理个人信息目的、收集个人信息类型、隐私政策链接等内容。具体要求及实现方法如下:
APP需要制定单独的隐私政策,且《隐私权政策》中向用户告知使用Web应用防火墙APP防护SDK,如在您APP的《第三方共享清单》中告知如下内容:
SDK名称:Web应用防火墙APP防护SDK
业务功能:提供APP反爬防护能力,检测异常设备和风险设备
收集个人信息类型:按照实际配置采集信息的情况填写
使用权限情况:按照实际配置的权限情况填写
隐私政策链接:Web应用防火墙APP防护SDK隐私政策
SDK申请系统权限的说明
安卓操作系统应用权限列表:
权限内容 | 是否必选 | 使用目的 | 申请时机 |
INTERNET | 是 | 用于获取网络访问权限 没有该权限将导致SDK功能不可用。 | 调用信息采集接口之前 |
ACCESS_WIFI_STATE | 否(推荐赋予) | 用于获取设备WIFI状态信息。 | 调用信息采集接口之前 |
ACCESS_NETWORK_STATE | 否(推荐赋予) | 用于获取设备网络状态信息。 | 调用信息采集接口之前 |
BLUETOOTH_CONNECT | 否(推荐赋予) | 用于获取蓝牙MAC地址。 | 调用信息采集接口之前 |
READ_PHONE_STATE | 否(推荐赋予) | 用于获取设备指纹相关的ID字段。 | 调用信息采集接口之前 |
WRITE_EXTERNAL_STORAGE READ_EXTERNAL_STORAGE | 否(推荐赋予) | 用于缓存配置文件在上。本地磁盘。 | 调用信息采集接口之前 |
ACCESS_FINE_LOCATION ACCESS_COARSE_LOCATION | 否(推荐赋予) | 获取位置信息 | 调用信息采集接口之前 |
iOS操作系统应用权限列表:
权限 | 是否必选 | 使用目的 | 申请时机 |
NSLocalNetworkUsageDescription | 否(推荐赋予) | 获取局域网内设备连通性,用于发现设备牧场、群控等风险。 | 调用信息采集接口之前 |
NSUserTrackingUsageDescription | 否 | 用于获取 IDFA 信息,增强设备ID稳定性。 | 调用信息采集接口之前 |
可选个人信息配置的说明
对于可选收集的个人信息的控制,开发者可以参考Android接入手册或iOS接入手册的内容进行配置操作。因相关信息的不收集将会对其对应的功能造成一定影响,请开发者结合业务实际需要进行合理配置。以下是iOS跟Android端选择采集个人信息的配置方法。
Android端配置方法
Android端可以选择个人信息字段采集范围,下表是基础信息与隐私字段的类型。
个人信息字段 | 说明 |
设备名(Build.DEVICE)、Android版本号(Build.VERSION#RELEASE)、屏幕分辨率等 | 基础标识信息 |
Android_ID、IMEI、IMSI、SimSerial、Android序列号(SN)、广告标识符(OAID)、MAC地址、黑灰产App列表、局域网IP、DNS IP、连接的WIFI信息(SSID、BSSID)、附近WIFI列表、定位信息等 | 隐私字段信息 |
通过调整初始化信息采集接口中Type可选采集个人信息范围。以下是代码示例:
// 全量采集(基础标识信息+隐私字段信息)
int ret = TigerTallyAPI.init(this.getApplicationContext(), appkey, TigerTallyAPI.CollectType.DEFAULT, options, null);
// 不采集隐私字段信息
int ret = TigerTallyAPI.init(this.getApplicationContext(), appkey, TigerTallyAPI.CollectType.NOT_GRANTED, options, null);
Log.d("AliSDK", "ret:" + ret);iOS 配置方法
下表是iOS采集的隐私字段。
个人信息字段 | 说明 |
IDFA | 广告标识符 |
iOS SDK分为IDFA(Identifier for Advertising,简称IDFA)版本和非IDFA版本,对应的SDK文件分别是:
AliTigerTally_IDFA.framework
AliTigerTally_NOIDFA.framework
当您的SDK文件是AliTigerTally_IDFA.framework时,会采集iOS的隐私字段;SDK文件是AliTigerTally_NOIDFA.framework时不会采集iOS的隐私字段。
SDK初始化和业务功能调用时机
用户首次启动App时,请务必在用户同意您App中的隐私政策后,且用户主动使用本SDK提供的功能时再进行相关接口调用。如无必要,请勿在同意隐私政策后立即采集设备信息,避免过度或过早采集。关于信息采集接口的调用方式Android请查看执行Android采集,iOS请查看执行iOS采集。