开发者必看：APP合规疑问解答大全

一、常见的违规问题有哪些？开发者应当如何做到合规？

Q: 什么是违规、超范围收集用户个人信息？

A: 违规收集个人信息即APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。超范围收集个人信息是指APP、SDK收集的个人信息的类型与实现产品或服务的业务功能没有直接关联。

开发者需做到：

制定一份独立的《隐私政策》，向用户明示收集使用个人信息的目的、方式和范围。

为解决“超范围收集个人信息”问题，您应当确保您的采集均与APP服务功能相关，所涉个人信息字段均已在《隐私政策》中公示，并得到用户授权。

使用极光SDK时需做到：

您的隐私政策应向终端用户明示您在APP中部署极光SDK收集使用个人信息的目的、方式和范围等，提供的数据安全保护标准应不低于和极光的协议约定。根据相关法律法规，极光SDK为实现部分业务功能、需要收集终端用户的“网络信息”和/或“位置信息”，前提是终端用户需要授权开启“读写SD卡权限”、“网络访问权限”、“设备信息权限”和/或“位置权限”。如果您的终端用户不想被收集上述信息，可以通过关闭“读写SD卡权限”、“网络访问权限”、“设备信息权限”和/或“位置权限”实现。（请在极光官网最底部的菜单栏【关于我们-隐私政策】页面查看具体业务功能、场景描述及信息处理方式）

Q: 什么是违规使用个人信息？

A: 即APP、SDK未向用户告知且未经用户同意，私自使用个人信息，将用户个人信息用于其提供服务之外的目的，特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

开发者需做到：

APP应遵循“目的明确”的原则，即对收集的个人信息具有明确、清晰、具体的处理目的。同时应向终端用户明示您处理个人信息的目的，并确保对个人信息的处理不超出所明示的目的范围。

使用极光SDK时需做到：

极光建议APP开发者在其隐私政策中列明“极光SDK收集、使用APP最终用户个人信息的类型、目的及范围”，并在《隐私政策》中明确告知终端用户，您谨慎地选择了极光作为合作方，委托其收集、使用、加工和处理终端用户个人信息，并允许极光对已收集的数据进行去标识化和聚合性的处理后，构建极光数据库用以提供数据服务。但您同样应向终端用户提供易于操作的选择退出机制，帮助终端用户行使其作为个人信息主体的相关权利。

Q: 什么是APP强制、频繁、过度索取权限？

A: 即APP安装和运行时，向用户索取与当前服务场景无关的权限；在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关权限的行为；未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行为。

开发者需做到：

为解决“强制索取权限”问题，您应当注意通过《隐私政策》等方式向用户详细说明APP需要调取的权限及目的，并保证权限调取均与服务功能相关。当用户拒绝无关权限时，仍可以正常使用其他功能。

为解决“频繁索取权限”问题，您需要注意在用户拒绝授权后，不宜频繁反复申请权限。

为解决“过度索取权限”问题，您应当确保APP所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限，应当谨慎索取，并向用户明确告知，取得用户授权。

Q: 什么是APP频繁自启动和关联启动？

A: 自启动和关联启动针对不同的软件和使用场景的需求不尽相同，例如需要及时收到信息的社交、办公类APP，自启动和关联启动是一种强需求，如果关掉会影响相应APP的必要信息推送。但对于使用频次低、场景窄的APP，自启动和关联启动的合理性需要考量。

开发者需做到：

遵循“公开透明”和“最小必要”原则。APP开发者应向用户告知且经用户同意的情况下进行自启动或关联启动，并仅在合理的使用场景下，以为终端用户提供服务为目的，以最小的频次对APP的自启动与关联启动进行配置设置。

使用极光SDK时需做到：

极光SDK只在APP开发者已知的情况下，帮助APP启动应用后台进程从而收到消息。同时极光也关注APP通过自启动、关联启动被唤醒的频次是否合理，是否符合实现产品或服务的业务功能所必需的最低频率。

二、开发者如何草拟合规的隐私政策？

为帮助开发者方便快捷地制定隐私政策，极光针对地图导航、网络约车、网上购物等 21 类 APP所需的必要信息进行了整理，并输出细分至各个类型APP的隐私政策模板，供开发者参考使用，开发者可从以下路径下载文档：登录极光官网-进入开发者平台-应用设置-隐私政策栏点击更新协议-上传协议文档-下载协议模板。

三、隐私政策如何合规展示？

在页面“设置/通用”-“隐私”-“隐私政策”

展示在注册入口处

用户初次注册时，弹出框形式应可下拉，且界面应至少停留10秒，以用户勾选、点击“同意”或“下一步”等形式取得用户同意

用户协议、隐私政策修订后，需要重新弹出并再次获得用户同意，弹出框形式可下拉，以用户主动勾选、点击“同意”等形式呈现

用户协议、隐私政策应方便用户再次访问

四、极光对APP开发者的合规审查

当开发者用户首次创建应用或老用户未上传隐私政策时，极光会在“应用设置”界面自动提示开发者上传隐私政策并进入系统审核流程，审查APP开发者是否依法依规撰写隐私政策、取得终端用户的授权。

对于收集用户个人信息不合规的开发者，极光会要求APP开发者修订其隐私政策。在隐私政策上传界面，极光还为开发者用户提供了一站式的隐私政策模板服务，为开发者用户提供便捷的隐私合规建议。

同时，为提升线上审核的准确性，我们会不定期地对已上传的隐私政策进行人工审核并比对审核结果，优化审核程序。在与开发者合作过程中，极光会根据现行法律法规、国家标准以及官方通报，定期调研或抽查有合作的开发者的隐私政策。对隐私政策不符合规定的开发者，极光会发出整改通知要求开发者进行合规整改，直至符合合规要求。

五、极光推送SDK采取的防止用户个人信息泄露的具体制度及技术措施

从数据处理生命周期角度来看，极光在提供服务过程中对个人信息的处理分为数据采集阶段、数据传输阶段、数据存储阶段、数据使用阶段、数据处置阶段。每一个阶段极光推送SDK均采取了相应的技术措施以保障用户个人信息的安全性，防止泄露用户隐私。

作为深耕推送服务市场十年的移动开发者服务提供商，极光秉承"以开发者为中心"的战略导向，不断打磨、迭代产品技术，拓展多方合作，期望能为开发者提供更好更全面的服务，并为保护数据安全与用户个人信息，推进移动应用生态合规发展，构建良性发展的互联网生态环境而努力。