DCloud_Android_ST
DCloud_Android_ST
  • 发布:2021-05-18 16:44
  • 更新:25 分钟前
  • 阅读:4180

Android应用市场上架uni-app(5+App)应用合规指南,以及收到工信部或应用市场合规整改通知的解决办法

分类:ASK社区

背景

为有效治理App强制授权、过度索权、超范围收集个人信息等现象,落实《网络安全法》《消费者权益保护法》的要求,保障个人信息安全,2019年1月,中央网信办、工信部、公安部、市场监管总局等四部委发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理,并陆续出台完善了《App违法违规收集使用个人信息行为认定方法》、《GB/T 35273-2020 信息安全技术 个人信息安全规范》等标准规范。

根据以上规范要求,各大应用市场都加强应用的检测,要求应用必须符合相关政策,否则应用将有被通报或下架的风险。

目前开发者最常碰到的以下问题:

  • 违规收集个人信息
  • 强制、频繁、过度索取权限

针对以上问题,请参考下文的解决方案,务必仔细阅读,注意各细节问题。

首先碰到此问题请更新到HbuilderX3.1.14及以上版本

如何解决"违规收集个人信息"问题

关于收集个人信息问题,首先应用必须配置“隐私与政策”协议框,其次必须在“隐私与政策”非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围,用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。

注意:根据政策要求隐私提示框显示之前不能调用涉及个人信息相关API(如设备标识),因此需要更新到HBuilderX3.1.14及以上版本重新提交云端打包

第一步:配置隐私与政策提示框

必须确保应用存在《隐私政策》,在应用首次启动时弹出提示并取得用户同意。
注意:一定要配置使用“template”模式隐私与政策提示框,详情参考https://ask.dcloud.net.cn/article/36937

第二步:在隐私政策中添加DCloud相关条款

请在《隐私政策》中必告知用户您的应用基于DCloud uni-app(5+ App/Wap2App)开发,添加如下参考条款:
我们的产品基于DCloud uni-app(5+ App/Wap2App)开发,应用运行期间需要收集您的设备唯一识别码(IMEI/android ID/IDFA、SIM 卡 IMSI 信息)以提供统计分析服务,并通过应用启动数据及异常错误日志分析改进性能和用户体验,为用户提供更好的服务。

第三步:在隐私政策中添加其它三方SDK的条款

uni-app默认集成三方SDK

SDK名称 SDK包名 SDK用途 可能获取的个人信息类型 调用的设备权限 官网链接
阿里weexSDK com.taobao uni-app基础模块默认集成,用于渲染uniapp的nvue页面引擎 存储的个人文件 读取外置存储器、写入外置存储器 http://doc.weex.io/zh
fresco图片库 com.facebook.fresco uni-app基础模块默认集成,用于nvue页面加载图片使用 存储的个人文件 读取外置存储器、写入外置存储器 https://www.fresco-cn.org/

如果您的应用使用了依赖三方SDK的模块也需要将其合规条款添加到《隐私政策》中

UniPush

SDK包名:
com.getui.gtc 、com.igexin.sdk

HX3.1.14+ 个推SDK已升级到3.2.0.0版本 适配合规问题

UniPush是DCloud联合个推公司推出的集成型统一推送服务,使用了个推提供的SDK,因此需要在《隐私政策》中添加“个推消息推送SDK”相关说明。
建议《隐私政策》添加 “与授权合作伙伴共享”条款中,将 个推的用户隐私政策 加入其中,并向终端用户逐一明示您嵌入的SDK收集使用个人信息的目的、方式和范围。参考内容如下:
消息推送服务供应商:由每日互动股份有限公司提供推送技术服务,我们可能会将您的设备平台、设备厂商、设备品牌、设备识别码等设备信息,应用列表信息、网络信息以及位置相关信息提供给每日互动股份有限公司,用于为您提供消息推送技术服务。我们在向您推送消息时,我们可能会授权每日互动股份有限公司进行链路调节,相互促活被关闭的SDK推送进程,保障您可以及时接收到我们向您推送的消息。详细内容请访问《个推用户隐私政策》(需将《个推用户隐私政策》超链至:http://docs.getui.com/privacy)。

更多详情请参考【个推合规指南

statistic

友盟统计:

HX3.1.14+ 友盟SDK已升级到9.3.8版本 适配合规问题

  • 当你集成了统计模块。您需要确保App有《隐私政策》,并且在用户首次启动App时就弹出《隐私政策》取得用户同意!!!
  • 您务必告知用户您选择友盟+SDK服务,请在《隐私政策》中增加如下参考条款:“我们的产品集成友盟+SDK,友盟+SDK需要收集您的设备Mac地址、唯一设备识别码(IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI 信息)以提供统计分析服务,并通过地理位置校准报表数据准确性,提供基础反作弊能力。”
  • 您务必确保用户同意《隐私政策》之后。再调用相关api!!!!

具体可参考【友盟合规指南

OAuth

OAuth模块集成的三方SDK说明

SDK名称 SDK包名 SDK用途 可能获取的信息类型 调用的设备权限 SDK隐私政策链接
微信 com.tencent.mm 微信登录 存储的个人文件 读取外置存储器、写入外置存储器 https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
新浪微博 com.sina.weibo 新浪微博登录 存储的个人文件、IMEI、openid 读取外置存储器、写入外置存储器 https://weibo.com/signup/v5/privacy?spm=a1zaa.8161610.0.0.4f8776217Wu8R1
QQ登录 com.tencent.open QQ登录 IMEI、openid、位置信息 访问粗略位置、访问精准定位、后台访问地理位置、读取外置存储器、写入外置存储器、读取手机状态和身份 https://ti.qq.com/agreement/qqface.html?appname=mqq_2019
个验一键登录 com.g.elogin、com.g.gysdk 一键登录 运营商信息 读取外置存储器、写入外置存储器 https://docs.getui.com/privacy/

Share

Share模块集成的三方SDK说明

SDK名称 SDK包名 SDK用途 可能获取的信息类型 调用的设备权限 SDK隐私政策链接
微信 com.tencent.mm 微信分享 存储的个人文件 读取外置存储器、写入外置存储器 https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
新浪微博 com.sina.weibo 新浪微博分享 存储的个人文件、IMEI、openid 读取外置存储器、写入外置存储器 https://weibo.com/signup/v5/privacy?spm=a1zaa.8161610.0.0.4f8776217Wu8R1
QQ com.tencent.open QQ分享 IMEI、openid、位置信息 访问粗略位置、访问精准定位、后台访问地理位置、读取外置存储器、写入外置存储器、读取手机状态和身份 https://ti.qq.com/agreement/qqface.html?appname=mqq_2019

Payment

Payment模块集成的三方SDK说明

SDK名称 SDK包名 SDK用途 可能获取的信息类型 调用的设备权限 SDK隐私政策链接
微信 com.tencent.mm 微信支付 存储的个人文件 读取外置存储器、写入外置存储器 https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
支付宝 com.alipay 支付宝支付 暂无 读取网络状态 https://render.alipay.com/p/c/k2cx0tg8

Speech

Speech模块集成的三方SDK说明

SDK名称 SDK包名 SDK用途 可能获取的个人信息类型 调用的设备权限 SDK隐私政策链接
百度语音识别 com.baidu.speech 语音识别 IMEI、openid 获取网络状态、访问Wi-Fi状态、读取手机状态和身份 https://ai.baidu.com/ai-doc/REFERENCE/Qkdykq1r3
讯飞语音 com.iflytek 语音识别 IMEI、openid 获取网络状态、访问Wi-Fi状态、读取手机状态和身份 https://www.xfyun.cn/doc/policy/privacy.html

Map & Geolocation

Map & Geolocation模块集成的三方SDK说明

SDK名称 SDK包名 SDK用途 可能获取的个人信息类型 调用的设备权限 SDK隐私政策链接
高德 com.amap.api 地图&定位 IMEI、openid、位置信息 获取网络状态、访问Wi-Fi状态、位置信息、访问粗略位置、访问精准定位、读取手机状态和身份 https://lbs.amap.com/agreement/compliance
百度 com.baidu 地图&定位 IMEI、openid、位置信息 获取网络状态、访问Wi-Fi状态、位置信息、访问粗略位置、访问精准定位、读取手机状态和身份 https://map.baidu.com/zt/client/privacy/index.html

ad广告

ad广告模块集成的三方SDK说明

SDK名称 SDK包名 SDK用途 可能获取的个人信息类型 调用的设备权限 SDK隐私政策链接
快手 com.kwad.sdk 广告 IMEI、openid、位置信息 获取网络状态、访问Wi-Fi状态、位置信息、读写外置存储器、读取手机状态和身份 https://www.kuaishou.com/about/policy
优量汇 com.qq.e 广告 IMEI、openid、位置信息 获取网络状态、访问Wi-Fi状态、位置信息、读写外置存储器、读取手机状态和身份 https://imgcache.qq.com/..privacy
穿山甲 com.bytedance.sdk .openadsdk.adhost 广告 IMEI、openid、位置信息 获取网络状态、访问Wi-Fi状态、位置信息、读写外置存储器、读取手机状态和身份 https://www.pangle.cn/privacy/partner

其它

《隐私政策》必须非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围。
如果应用使用“通讯录”、“短信”等相关功能,请根据应用业务场景进行描述。

如何解决"强制、频繁、过度索取权限"问题

对于权限问题,主要注意以下几个方面:
1、应用中没有对应的服务或场景时,不要申请对应权限(例如没有使用到位置的服务时,不要申请定位权限)
2、应用申请权限时,如果用户拒绝,不要直接退出APP无法使用。千万不要将应用启动时申请“读写手机存储”和“访问设备信息”权限设置为“always”,详情参考:https://ask.dcloud.net.cn/article/36549
3、调用申请权限相关时,如果用户拒绝,非用户主动触发功能,不要重复调用API触发弹出申请权限窗口影响用户使用

在开发uni-app中还需要注意以下问题:
不要在页面生命周期onShow中调用可能触发权限提示框的API,如[uni.getLocation](https://uniapp.dcloud.io/api/location/location?id=getlocation)、[uni.chooseImage](https://uniapp.dcloud.io/api/media/image?id=chooseimage)等。

如何解决“强制用户使用定向推送功能”问题

《隐私政策》中涉及到 “推荐”、“定制”、“个性化”等关键字改为“提供、展示、通知、发送、、、”等字眼,如果确实会涉及到个性化服务请在app的设置中增加个性化推送开关

各大应用市场上架合规审查细节可能存在差异,如果开发者碰到相关问题请及时反馈,我们会及时汇总整理供大家参考

相关参考

Android平台隐私与政策提示框配置方法:https://ask.dcloud.net.cn/article/36937
Android平台应用启动时读写手机存储、访问设备信息(如IMEI)等权限策略及提示信息:https://ask.dcloud.net.cn/article/36549
Android平台配置权限参考:https://ask.dcloud.net.cn/article/36982

3 关注 分享
getcww 特么雕 雨夜敬清秋

要回复文章请先登录注册

DCloud_Android_ST

DCloud_Android_ST (作者)

回复 三文鱼小丁片 :
文档还在不断补充中。com开头有些是系统或google提供的依赖库。不影响隐私协议的。有影响的我们已经补充了
25 分钟前
三文鱼小丁片

三文鱼小丁片

我使用apk包检测软件检测之后发现有不下10条com.的第三方SDK,但是这些SDK我都没有应用过,目前看到这篇文章之后解决了com.taobao和com.facebook.fresco.其他的找不到来源
1 小时前
一度时代

一度时代

回复 DCloud_Android_ST :
好,非常感谢
4 小时前
DCloud_Android_ST

DCloud_Android_ST (作者)

回复 一度时代 :
根据你22号的打包记录下载了apk 运行监测一切正常。点击隐私协议同意之前不会有任何获取用户信息的逻辑触发。建议确认APK版本然后重新提交检测方检测
4 小时前
一度时代

一度时代

回复 DCloud_Android_ST :
是云打包,APPID:
__UNI__0D38210
4 小时前
DCloud_Android_ST

DCloud_Android_ST (作者)

回复 一度时代 :
是云打包吗 如果是发下appid
4 小时前
一度时代

一度时代

回复 一度时代 :
使用的是3.1.19版本
4 小时前
一度时代

一度时代

已配置使用“template”模式隐私与政策提示框,但是提交应用宝未通过,整改意见:
用户点击“同意”前,APP和SDK不要进行任何行为,包括SDK不能初始化,APP或SDK不能收集用户信息(包括但不限于IMEI、IMSI、设备MAC地址、软件列表、设备序列号、androidID)

这个问题怎么解决?
4 小时前
13922255514@163.com

13922255514@163.com

“APP频繁自启动和关联启动”这个问题要怎么解决?
2021-06-16 17:22
2331188@qq.com

2331188@qq.com

感谢
2021-06-09 16:09