为帮助使用【增长营销套件SDK】 的开发者和运营者(以下简称“您”)在符合相关法律法规、政策及标准的规定下开展第三方 SDK 业务,更好地落实用户个人信息保护相关要求,同时,也便于您更清楚地理解增长营销套件数据业务的合规性和已采用的安全保护技术能力,特别是保护个人信息和隐私的方法和措施, 作为【增长营销套件SDK】的提供方,北京火山引擎科技有限公司(以下简称“ 火山引擎 ”或“我们”) ,我们特制定《增长营销套件SDK开发者使用合规规范》(以下称“本合规规范”),便于您使用增长营销套件SDK过程中符合相应的合规要求。
特别说明的是,【埋点开发工具 (DevTools 组件)】是【增长营销套件SDK】的组成部分,是面向开发者的调试工具,该工具帮助您对埋点内容和格式进行检查,提供了实时事件查看、实时接入状态查看、实时日志查看、实时网络请求查看等功能。该工具不会收集个人信息。您可以自行选择是否接入埋点开发工具 (DevTools 组件)。
以下内容主要针对您在使用【增长营销套件SDK】的过程中,有关个人信息采集使用的重点合规要求的解读。
1、APP需制定一份独立的隐私政策
该隐私政策应当符合与数据安全、个人信息保护相关的国家法律法规、国家标准、相关监管要求及您与火山引擎约定,并将【增长营销套件SDK】的相关信息在隐私政策中向您的用户进行充分告知。
【通用信息】增长营销套件 SDK 合作所需的基础信息
| 个人信息采集类型与字段 | 用途和目的 | |
|---|---|---|
| Android端 | 宿主app(即开发者app)自身进程信息 | 用户数据分析,判断当前进程是否为主进程 |
| 屏幕密度 | 数据分析需要 | |
| 操作系统api版本(系统属性) | 数据分析需要,区分不同设备系统版本 | |
| iOS端 | 手机系统重启时间 | 数据分析需要 |
| 磁盘总空间 | 数据分析需要 | |
| 系统总内存空间 | 数据分析需要 | |
| 越狱状态 | 数据分析需要 | |
| IDFV | 用于数据分析,服务端根据设备识别码生成设备唯一标识ID | |
| Android、iOS端通用 | 应用信息 :开发者应用名、应用包名、版本号等信息 | 数据分析需要 |
| 其他信息: 运营商信息、设备时区 | 数据分析、AB测试 | |
| 系统国家/区域信息 | 数据分析需要 | |
| 系统语言 | 数据分析需要 | |
| 网络访问模式 | 数据分析需要 | |
| 屏幕分辨率 | 数据分析需要 | |
| CPU信息 | 数据分析需要 | |
| 应用发布渠道 | 数据分析需要 | |
| MCC移动国家码 | 数据分析需要 | |
| MNC移动网络码 | 数据分析需要 | |
| 应用内语言 | 数据分析需要 | |
| 应用内地区/国家 | 数据分析需要 | |
| 设备品牌 | 数据分析需要,区分不同设备品牌 | |
| 设备型号 | 数据分析需要,区分不同设备型号 | |
| IP地址 | 非用户设备标识,数据分析需要,区分不同地域 | |
| 操作系统 | 数据分析需要,区分不同设备系统版本 | |
| 小程序端 | 设备品牌 | 数据分析需要 |
| 设备型号 | 数据分析需要 | |
| 客户端系统 | 数据分析需要 | |
| 客户端/操作系统版本 | 数据分析需要 | |
| 屏幕宽度 | 数据分析需要 | |
| 屏幕高度 | 数据分析需要 | |
| 网络类型 | 数据分析需要 | |
| 系统语言 | 数据分析需要 | |
| web端 | 浏览器型号 | 数据分析需要,区分不同浏览器 |
| 浏览器版本 | 数据分析需要 | |
| 设备型号 | 数据分析需要,区分不同设备 | |
| 操作系统 | 数据分析需要,区分不同设备操作系统 | |
| 操作系统版本 | 数据分析需要 | |
| 设备屏幕宽高 | 数据分析需要 | |
| 时区 | 数据分析需要 | |
| 浏览器系统语言 | 数据分析需要 |
【可选信息】您可以基于数据分析目的,选择是否使用增长营销套件 SDK 获取
| 个人信息采集类型与字段 | 用途和目的 | |
|---|---|---|
| Android端 | 设备的mac地址 | 用于数据分析,服务端根据设备识别码生成设备唯一标识ID |
| oaid | 数据分析,跨APP标识设备 | |
| 设备MEID | 用于数据分析,服务端根据设备识别码生成设备唯一标识ID | |
| 设备ICCID | 用于数据分析,服务端根据设备识别码生成设备唯一标识ID | |
| 设备IMEI | 数据分析需要 | |
| Android ID | 数据分析需要,服务端根据设备识别码生成设备唯一标识ID | |
| 运营商信息 | 数据分析需要 | |
| 设备硬件序列号 | 用于数据分析,服务端根据设备识别码生成设备唯一标识ID | |
| google advertising ID (GAID) | 数据分析需要 | |
| iOS端 | IDFA | 用于数据分析,服务端根据设备识别码生成设备唯一标识ID |
SDK不同版本获取的字段信息会有差异,为了保证终端用户的安全和服务的可行性,火山引擎会不断更新SDK版本以提升安全性,SDK版本更新火山引擎会向您以发送站内信等方式告知,请您及时更新SDK版本,因更新不及时产生的任何问题,由您自行解决并承担全部责任。
增长营销套件 Android 端 SDK 还将向终端用户请求如下权限:
【通用权限】增长营销套件SDK合作所需的基础权限
| 权限 | 说明 | 使用场景和目的 | |
|---|---|---|---|
| Android端 | android.permission.INTERNET | 发送网络请求 | 注册、上报埋点、归因、激活等:上报埋点数据到远程服务器 |
【可选权限】开发者可以基于数据分析目的,选择是否使用增长营销套件SDK获取
| 权限 | 说明 | 使用场景和目的 | |
|---|---|---|---|
| Android端 | android.permission.READ_PHONE_STATE | 读取IMEI等设备信息作为设备标识 | 设备注册:初始化读取,生成设备唯一标识,计算设备数 |
| android.permission.ACCESS_WIFI_STATE | 获取网络状态(wifi) | 设备注册和埋点数据采集:采集设备网络(wifi)信息 | |
| android.permission.ACCESS_NETWORK_STATE | 获取网络状态 | 设备注册和埋点数据采集:采集设备网络信息 | |
| com.asus.msa.SupplementaryDID.ACCESS | 读取oaid | 设备注册和深度链接:跨APP标识设备 | |
| iOS端 | NSUserTrackingUsageDescription | 读取IDFA信息作为设备标识 | 初始化读取,生成设备唯一标识,计算设备数 |
2、您应遵从国家法律法规、政策及标准的要求,在APP上对《隐私政策》进行展示,包括但不限于:
您应当保证《隐私政策》的独立性和明显提示性,即《隐私政策》应单独成文,APP首次运行时会通过弹窗等明显方式提示用户阅读《隐私政策》, 用户确认同意《隐私政策》后,再启用【增长营销套件 SDK 】进行个人信息的采集与处理 。您应向用户明示采集使用个人信息的目的、方式和范围,但请您注意,仅是改善服务质量、提升用户体验、定向推送信息、研发新产品还不足以成为要求用户同意采集其个人信息的理由。《隐私政策》应由用户自主选择是否同意,不应以默认勾选同意的方式或是以欺骗诱导的方式取得用户授权。
您接入【增长营销套件SDK】前,应当仔细阅读【增长营销套件 SDK 】服务相关协议约定、本规范、用户协议、隐私政策等内容,并依据相关内容对您APP的《隐私政策》及您APP采集、处理个人信息的情况进行合规自查。
1、您知悉并认可:【增长营销套件 SDK 】本身所采集的数据并不能识别特定自然人的身份。我们按照相关合作协议的约定代表您采集、处理数据,您作为个人信息处理者应承担个人信息保护的法律责任。
2、您承诺已制定并按照相关要求公示您APP的《隐私政策》,并已清晰明确地说明有关【增长营销套件 SDK 】通过SDK采集个人信息的必要性、采集数据的范围、方式以及用途。同时,您应确保在APP首次运行时以弹窗等合规方式显著提示用户阅读您APP的《隐私政策》并取得用户的合法授权,经过合法授权后再启用【增长营销套件 SDK 】进行个人信息的采集与处理。
3、您已认真阅读并理解【增长营销套件 SDK 】相关协议约定、本合规规范、用户协议、隐私政策等约定,并承诺针对【增长营销套件 SDK 】采集、处理相关个人信息,您已取得了用户的授权和同意,并保证您不会违反国家相关法律法规、相关国家标准以及双方约定的目的。
4、您承诺遵守未成年人保护及儿童个人信息保护的相关法律法规,如果您的APP可能会对不满十四周岁的儿童用户提供服务,您承诺已采取相关措施并保证已获得其监护人的授权同意。
5、您保证已在APP的隐私政策中明确告知用户已选择【火山引擎】作为合作方进行数据分析合作,并向您的用户告知【增长营销套件SDK】采集使用个人信息的目的、方式和范围等情况。
6、 增长营销套件SDK支持对应用的新增、激活、留存、性能等统计性指标进行分析,为此SDK将调用剪切板对链接点击、分享、下载安装等相关统计信息进行归因分析。如您开启本功能,您应在您的《隐私政策》中增加相关内容,以告知并获得您的用户的授权同意。如“为了分析应用新增、激活、留存、性能等统计性指标,我们可能会调用剪切板对链接点击、分享、下载安装等相关统计信息进行归因分析,请您放心,我们不会收集您的隐私信息。”
7、如因您违反火山引擎的协议约定、本合规规范、用户协议、隐私政策等约定,导致您的用户或第三方对火山引擎主张任何形式的索赔或权利要求,或导致火山引擎因此产生任何法律纠纷的,您将负责解决并承担全部责任,如因此给火山引擎及其关联主体造成损失的,您应赔偿因此给火山引擎及其关联主体造成的全部损失。
火山引擎非常重视数据安全,将努力采取合理的安全措施(包括技术方面和管理方面)来保护数据安全,防止您提供的数据信息被不当使用或未经授权的情况下被访问、公开披露、使用、修改、损坏、丢失或泄漏。我们会使用不低于行业同行的加密技术、匿名化处理及相关合理可行的手段保护数据安全,并使用安全保护机制防止您的数据信息遭到恶意攻击,并建立专门的安全部门、安全管理制度、数据安全流程保障您的个人信息安全。我们采取严格的数据使用和访问制度,确保只有授权人员才可访问您的个人信息,并适时对数据和技术进行安全审计。尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全,我们将尽力确保您提供给我们的数据信息的安全性。
您知悉并理解,您接入我们的服务所用的系统和通讯网络,有可能因我们可控范围外的因素而出现问题。因此,我们强烈建议您采取积极措施保护数据信息的安全,包括但不限于使用复杂密码、定期修改密码、不将自己的账号密码及相关数据信息透露给他人。我们会制定应急处理预案,并在发生数据安全事件时立即启动应急预案,努力阻止这些安全事件的影响和后果扩大。一旦发生数据安全事件(泄露、丢失)后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已经采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施。我们将及时将事件相关情况以推送通知、邮件、信函、短信及相关形式告知您,难以逐一告知时,我们会采取合理、有效的方式发布公告。同时,我们还将按照相关监管部门要求,上报用户信息安全事件的处置情况。但一旦您离开火山引擎及相关服务,浏览或使用其他网站、服务及内容资源,我们将没有能力和直接义务保护您在火山引擎及相关服务之外的软件、网站提交的任何数据信息,无论您登录、浏览或使用上述软件、网站是否基于【增长营销套件SDK】服务的链接或引导。