合规指南
根据《个人信息保护法》、《数据安全法》、《网络安全法》等法律法规和监管部门规章要求,App开发运营者(以下简称为“开发者”)在提供网络产品服务时应尊重和保护最终用户的个人信息,不得违法违规收集使用个人信息,保证和承诺就个人信息处理行为获得最终用户的授权同意,遵循最小必要原则,且应当采取有效的技术措施和组织措施确保个人信息安全。为帮助开发者在使用【设备指纹】服务的过程中更好地落实用户个人信息保护相关要求,避免出现侵害最终用户个人信息权益的情形,特制定本合规使用说明,供开发者在接入使用【设备指纹】服务时参照自查和合理配置,不断提升个人信息保护水平。
一、设备指纹配置能力说明
1、接入/升级至满足监管新规的最新SDK版本
我们高度重视SDK的功能优化、个人信息安全和保护,将适时升级迭代SDK版本以提升产品的安全性和稳定性,确保符合相关法律法规及、监管及标准的最新合规要求。强烈建议您升级使用最新版本SDK,以便保障您正常使用SDK最新功能、避免因您更新不及时产生的不利影响(例如APP被通报或下架等)。 SDK更新后,我们会及时通过官网【文档中心】展示更新的内容,以便您及时了解SDK最新版本信息。同时,您通过登录用户后台获取SDK最新版本。
2、SDK扩展业务功能的配置说明
要求内容:《SDK合规使用说明》应详细说明SDK各项扩展业务功能介绍及对应关闭的配置方式、示例。
接入说明:
设备指纹提供的扩展业务功能为:
(1)设备指纹的接口使用统计;
(2)设备指纹的接口异常检测;
(3)确保设备指纹产品和/或服务在不同设备上的兼容性;
(4)设备指纹的风险返回。
设备指纹产品为无UI产品,您和/或您的终端用户无法明显感知是否退出上述功能。设备指纹的调用取决于您调用设备指纹服务的时机,如您和/或您的终端用户在您所应用设备指纹服务的场景中退出应用或中止下一步,请开发者遵守相关法律法规的要求,在App内为最终用户提供退出上述扩展业务的功能,并保证在最终用户点击退出功能后能正常调用设备指纹的能力接口。
IOS配置文档链接:https://docs.geetest.com/guard/deploy/ios
Android配置文档链接:https://docs.geetest.com/guard/deploy/android
HarmonyOS配置文档链接:https://docs.geetest.com/guard/deploy/harmonyos
3、SDK可选个人信息的配置说明
要求内容:《SDK合规使用说明》应详细说明SDK各项可选个人信息使用目的、场景及对应关闭的配置方式、示例。
接入说明:设备指纹暂未提供可选收集的个人信息,遵照最小化收集原则,仅收集了必要的个人信息,如后期增加相关可选个人信息配置,将及时告知。
4、SDK可按照不同频次、精度收集个人信息的配置说明
要求内容:如果SDK可按照不同频次、精度收集个人信息的,《SDK合规使用说明》应说明不同频次、精度的使用目的、场景及对应选择的配置方式、示例。
接入说明:收集频次方面,设备指纹的数据采集仅在App调用/最终用户触发相关功能时触发,不涉及定时逻辑等频次控制选项。收集精度方面,设备指纹SDK不涉及可根据精度收集个人信息的情形。
设备指纹个人信息收集频次及对应配置情况:
设备信息
个人信息类型 | 是否可配置 | 用途和目的 | 频次 | 端侧 |
---|---|---|---|---|
设备型号 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS / 小程序 |
设备品牌 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS / 小程序 |
系统平台 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS / 小程序 |
系统版本 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS / 小程序 |
系统语言 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS |
屏幕高度 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / 小程序 |
屏幕宽度 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / 小程序 |
设备类型 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS |
内存大小 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS |
设备名称 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS |
运营商名称 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS |
OAID | 用户可配置 | 支撑安全能力 | 每次调用被动获取 | Android / HarmonyOS |
ODID | 不可配置 | 支撑安全能力 | 每次调用被动获取 | HarmonyOS |
AndroidID | 不可配置 | Android 2.2.1 版本后采集,用于支撑业务及安全策略 | 每次调用被动获取 | 仅 Android |
MAC | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 仅 Android 11 以下 |
Wi-Fi SSID | 开发者可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS |
Wi-Fi BSSID | 开发者可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS |
Sim 卡状态 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 仅 Android |
IDFA | 不可配置 | iOS 2.2.2 版本后采集,用于支撑业务及安全策略 | 每次调用被动获取 | 仅 iOS |
IDFV | 不可配置 | iOS 2.2.2 版本后采集,用于支撑业务及安全策略 | 每次调用被动获取 | 仅 iOS |
定位信息 | 用户可配置 | Android 2.2.1 及 iOS 2.2.2 版本后采集,用于支撑业务及安全策略 | 每次调用被动获取 | Android / iOS / HarmonyOS |
屏幕颜色比特值 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
屏幕色彩范围 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
屏幕是否开启高对比度模式 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
cookies 启用状态 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
操作系统 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
强制色彩启用状态 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
内存大小 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
CPU 核心数 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
设备显示动态范围 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
结构化存储启用状态 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
浏览器语言 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
本地存储启用状态 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
是否开启数据库能力 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
系统类型 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
插件信息 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
分辨率 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
会话存储启用状态 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
时区 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
触摸屏 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
用户代理 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
浏览器信息 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | Web |
网页 referer | 不可配置 | Web 1.0.9 版本后采集,构建安全模型 | 每次调用被动获取 | Web |
设备电量 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | 小程序 |
是否正在充电中 | 不可配置 | 构建安全模型,支持设备指纹算法 | 每次调用被动获取 | 小程序 |
网络信息
个人信息类型 | 是否可配置 | 用途和目的 | 频次 | 端侧 |
---|---|---|---|---|
IP | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS/WEB/小程序 |
网络制式 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
网络类型 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
5、SDK申请系统权限的说明
要求内容:《SDK合规使用说明》应详细说明SDK所需的系统权限与各业务功能间的关系,并说明权限申请时机。
接入说明:对于设备指纹可选申请的系统权限,您可以参考相关如下表格的内容,详细了解相关权限与各业务功能的关系及其申请时机。设备指纹不主动申请可选系统权限,但相关权限的不申请将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。
安卓操作系统应用权限列表:
权限 | 权限类别 | 用途和目的 | 申请时机 |
---|---|---|---|
INTERNET | 必选 | 允许应用程序联网,用于访问服务 | App 首次安装 |
ACCESS_NETWORK_STATE | 如果 Android API 21+,此权限为非必需,如果要支持 Android 20及以下则必须声明。 | 低版本 Android 判断当前网处于移动网络或 WiFi 网络需要此权限 | App 首次安装 |
READ_PHONE_STATE | 可选 | 授权获取当前手机状态信息,用于安全风控和生成新的设备标识 | 首次调用申请 |
ACCESS_COARSE_LOCATION | 可选 | 授权获取当前手机大致位置信息,用于安全风控和生成新的设备标识 | 首次调用申请 |
ACCESS_FINE_LOCATION | 可选 | 授权获取当前手机精确位置信息,用于安全风控和生成新的设备标识 | 首次调用申请 |
DETECT_SCREEN_RECORDING | 可选 | 用于安全风控,在 Android API 35+ 获取当前屏幕录制状态 | App 首次安装 |
com.google.android.gms.permission.AD_ID | 可选 | 授权获取当前手机 GMS 广告 ID,用于安全风控和生成新的设备标识 | App 首次安装 |
iOS操作系统应用权限列表:
权限 | 权限类别 | 用途和目的 | 申请时机 |
---|---|---|---|
Cellular | 普通权限,动态申请 | 设备访问网络 | App 首次安装 |
Tracking Usage Description | 可选。动态申请。 | 允许获取 IDFA,用于安全风控和生成新的设备标识 | 首次调用申请 |
鸿蒙操作系统应用权限列表:
权限 | 权限类别 | 用途和目的 | 申请时机 |
---|---|---|---|
INTERNET | 必选 | 允许应用程序联网,用于访问服务 | App 首次安装 |
GET_NETWORK_INFO | 必选 | 访问当前网络状态,判断当前网络处于移动网络或 WiFi 网络需要此权限 | App 首次安装 |
STORE_PERSISTENT_DATA | 必选 | 持久化存储数据,用于安全风控和生成新的设备标识 | App 首次安装 |
APP_TRACKING_CONSENT | 可选 | 获取开放匿名设备标识符(OAID),用于安全风控和生成新的设备标识 | App 首次安装 |
6、SDK初始化及业务功能调用时机
要求内容:《SDK合规使用说明》应详细说明SDK初始化及各项业务功能接口合规调用时机。App应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向最终用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则,并且获得最终用户授权同意后才能处置最终用户数据。
接入说明:请务必在用户同意您App中的隐私政策后,再进行设备指纹的初始化。用户同意隐私政策之前,避免动态申请涉及用户个人信息的敏感设备权限;用户同意隐私政策前,您应避免私自采集和上报个人信息。当您的App未向用户提供服务时,例如App在后台运行时,请勿请求设备指纹的相关服务。具体的初始化时机可以详细查阅相关接入文档的内容。
IOS集成和初始化配置文档链接:https://docs.geetest.com/guard/deploy/ios
Android集成和初始化配置文档链接:https://docs.geetest.com/guard/deploy/android
HarmonyOS集成和初始化配置文档链接:https://docs.geetest.com/guard/deploy/harmonyos
7、SDK隐私政策披露要求与示例
要求内容:《SDK合规使用说明》应提供App向最终用户披露SDK隐私政策条款的示例,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。
接入说明:开发者在App集成设备指纹后,设备指纹的正常运行会收集必要的最终用户信息,实现设备指纹功能。设备标识、设备验服务等内容,是基于设备、账号等信息建立设备指纹、设备标签、流量(账号)标签的风控工具,为您提供唯一的设备标识,识别和揭露攻击者的作弊手段和黑产技术;多维度的设备标签能作为您的决策处置的提供参考,提升ROI;在时间序列上循环检测计算的流量标签能够辅助企业建立情报信息,筛查高质量用户。请开发者根据集成设备指纹的实际情况,在您App的隐私政策中,对设备指纹名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容进行披露。建议:确认您所接入的设备指纹版本和功能模块;根据上述版本和模块,从隐私政策中确定与设备指纹交互的数据内容;在您App的隐私政策中,以文字或列表的方式向公众披露设备指纹的相关信息。
隐私政策披露示例:
极验设备指纹SDK隐私政策:
第三方SDK名称:极验设备指纹SDK
第三方主体:武汉极意网络科技有限公司
使用目的:基于设备、账号等信息建立设备指纹,提供唯一的设备标识
收集个人信息类型:设备型号、设备品牌、系统平台、系统版本、系统语言、屏幕高度、屏幕宽度、设备类型、内存大小、设备名称、运营商名称、系统属性、OAID、ODID、AndroidID、MAC、IMEI、Wi-Fi SSID、Wi-Fi BSSID、Sim 卡状态、IDFA、IDFV、定位信息
收集方式:SDK本机采集
第三方隐私政策或者协议连接:设备指纹隐私政策
8、最终用户行使权利的配置说明
要求内容:最终用户对其个人信息的处理享有知情、决定、查阅、复制、补充、更正、撤回授权同意、删除、注销账号等权利。以嵌入接口形式向最终用户提供行使权利的,应提供接口调用方式、示例。
接入说明:开发者在其App中集成设备指纹后,设备指纹的正常运行会收集必要的最终用户信息用于实现一键验证功能。开发者应根据相关法律法规为最终用户提供行使个人信息主体权利的路径或功能,需要设备指纹配合的,请与设备指纹及时进行联系,我们将与开发者协同妥善解决最终用户的诉求。
投诉电话:027-87855826,电子邮箱地址:service@geetest.com。