> >

一键认证合规指南

根据《个人信息保护法》、《数据安全法》、《网络安全法》等法律法规和监管部门规章要求,App开发运营者(以下简称为“开发者”)在提供网络产品服务时应尊重和保护最终用户的个人信息,不得违法违规收集使用个人信息,保证和承诺就个人信息处理行为获得最终用户的授权同意,遵循最小必要原则,且应当采取有效的技术措施和组织措施确保个人信息安全。为帮助开发者在使用【一键认证】服务的过程中更好地落实用户个人信息保护相关要求,避免出现侵害最终用户个人信息权益的情形,特制定本合规使用说明,供开发者在接入使用【一键认证】服务时参照自查和合理配置,不断提升个人信息保护水平。

一、一键认证配置能力说明

1、接入/升级至满足监管新规的最新SDK版本

我们高度重视SDK的功能优化、个人信息安全和保护,将适时升级迭代SDK版本以提升产品的安全性和稳定性,确保符合相关法律法规及、监管及标准的最新合规要求。强烈建议您升级使用最新版本SDK,以便保障您正常使用SDK最新功能、避免因您更新不及时产生的不利影响(例如APP被通报或下架等)。 SDK更新后,我们会及时通过官网【文档中心】展示更新的内容,以便您及时了解SDK最新版本信息。同时,您通过登录用户后台获取SDK最新版本。

sdk

2、SDK扩展业务功能的配置说明

要求内容:《SDK合规使用说明》应详细说明SDK各项扩展业务功能介绍及对应关闭的配置方式、示例。

接入说明:

一键认证提供的扩展业务功能为:

(1)针对身份的风险筛查;

(2)确保一键认证产品和/或服务在不同设备上的兼容性;

(3)身份验证失败的归因分析。

一键认证为开发者提供退出上述功能的接口,开发者可以调用接口,向最终用户提供退出的能力。开发者需遵守相关法律法规的要求,在App内为最终用户提供退出上述扩展业务的功能,并保证在最终用户点击退出功能后能正常调用一键认证的能力接口。

IOS配置文档链接:https://docs.geetest.com/onelogin/deploy/ios

Android配置文档链接:https://docs.geetest.com/onelogin/deploy/android

HarmonyOS配置文档链接:https://docs.geetest.com/onelogin/deploy/harmonyos

3、SDK可选个人信息的配置说明

要求内容:《SDK合规使用说明》应详细说明SDK各项可选个人信息使用目的、场景及对应关闭的配置方式、示例。

接入说明:一键认证暂未提供可选收集的个人信息,遵照最小化收集原则,仅收集了必要的个人信息,如后期增加相关可选个人信息配置,将及时告知。

4、SDK可按照不同频次、精度收集个人信息的配置说明

要求内容:如果SDK可按照不同频次、精度收集个人信息的,《SDK合规使用说明》应说明不同频次、精度的使用目的、场景及对应选择的配置方式、示例。

接入说明:收集频次方面,一键认证的数据采集仅在App调用/最终用户触发相关功能时触发,不涉及定时逻辑等频次控制选项。收集精度方面,一键认证SDK不涉及可根据精度收集个人信息的情形。

一键认证个人信息收集频次及对应配置情况:

设备信息

个人信息类型 是否可配置 用途和目的 频次 端侧
手机厂商 不可配置 运营商需要 1、调用预取号完成后
2、点击登录按钮后
安卓 / iOS / HarmonyOS
手机型号 不可配置 运营商需要 1、调用预取号完成后
2、点击登录按钮后
安卓 / iOS / HarmonyOS / Web / 小程序
系统版本 不可配置 运营商需要 1、调用预取号完成后
2、点击登录按钮后
安卓 / iOS / HarmonyOS / Web / 小程序
OAID 不可配置 运营商需要 同意服务条款并点击一键登录按钮后 安卓 / HarmonyOS
IDFV 不可配置 运营商需要 同意服务条款并点击一键登录按钮后 iOS
操作系统 不可配置 运营商需要 调用预取号完成后 Web / 小程序
设备型号 不可配置 运营商需要 调用预取号完成后 Web / 小程序
设备品牌 不可配置 运营商需要 调用预取号完成后 Web / 小程序

网络信息

个人信息类型 是否可配置 用途和目的 频次 端侧
客户端类型 不可配置 运营商需要 1、初始化
2、预取号 / 取号时
安卓 / iOS / HarmonyOS
运营商类型 不可配置 运营商需要 1、初始化
2、预取号 / 取号时
安卓 / iOS / HarmonyOS / Web / 小程序
网络类型 不可配置 运营商需要 预取号 / 取号 安卓 / iOS / HarmonyOS / Web / 小程序
网络制式 不可配置 运营商需要 预取号 / 取号 安卓 / iOS / HarmonyOS / Web / 小程序
当前 APN 接入点(联通 SDK 获取) 不可配置 运营商需要 预取号 / 取号 安卓 / iOS / HarmonyOS
IP(联通、电信 SDK 获取) 不可配置 运营商需要 预取号 / 取号 安卓 / iOS / HarmonyOS / Web / 小程序
SIM 卡状态 不可配置 运营商需要 1、初始化
2、预取号 / 取号时
安卓 / iOS / HarmonyOS

5、SDK申请系统权限的说明

要求内容:《SDK合规使用说明》应详细说明SDK所需的系统权限与各业务功能间的关系,并说明权限申请时机。

接入说明:对于一键认证可选申请的系统权限,您可以参考相关如下表格的内容,详细了解相关权限与各业务功能的关系及其申请时机。一键认证不主动申请可选系统权限,但相关权限的不申请将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。

安卓操作系统应用权限列表:

权限 权限类别 用途和目的 申请时机
android.permission.INTERNET 必选 用于访问极验、运营商网关和认证服务器 调用一键认证时访问网络
android.permission.CHANGE_NETWORK_STATE 必选 设备在WiFi跟数据双开时切换网络通道 取号流程中切换网络配置
android.permission.CHANGE_WIFI_STATE 必选 设备在WiFi跟数据双开时切换网络通道 取号流程中切换网络配置
android.permission.ACCESS_WIFI_STATE 必选 判断当前网络状态 初始化获取网络信息时
android.permission.ACCESS_NETWORK_STATE 必选 判断当前网络状态 初始化获取网络信息时

iOS操作系统应用权限列表:

权限 权限功能说明 用途和目的 申请时机
蜂窝数据权限 必选 调用预取号接口 调用时访问网络

鸿蒙操作系统应用权限列表:

权限 权限功能说明 用途和目的 申请时机
ohos.permission.INTERNET 必选 网络通信 调用时访问网络
ohos.permission.GET_NETWORK_INFO 必选 获取网络信息 初始化获取网络信息时
ohos.permission.SET_NETWORK_INFO 必选 切换网络配置 取号流程切换网络

6、SDK初始化及业务功能调用时机

要求内容:《SDK合规使用说明》应详细说明SDK初始化及各项业务功能接口合规调用时机。App应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向最终用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则,并且获得最终用户授权同意后才能处置最终用户数据。

接入说明:请务必在用户同意您App中的隐私政策后,再进行一键认证的初始化。用户同意隐私政策之前,避免动态申请涉及用户个人信息的敏感设备权限;用户同意隐私政策前,您应避免私自采集和上报个人信息。当您的App未向用户提供服务时,例如App在后台运行时,请勿请求一键认证的相关服务。具体的初始化时机可以详细查阅相关接入文档的内容。

IOS集成和初始化配置文档链接:https://docs.geetest.com/onelogin/deploy/ios

Android集成和初始化配置文档链接:https://docs.geetest.com/onelogin/deploy/android

HarmonyOS集成和初始化配置文档链接:https://docs.geetest.com/onelogin/deploy/harmonyos

7、SDK隐私政策披露要求与示例

要求内容:《SDK合规使用说明》应提供App向最终用户披露SDK隐私政策条款的示例,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。

接入说明:开发者在App集成一键认证后,一键认证的正常运行会收集必要的最终用户信息,实现一键验证功能,支持三大运营商号码认证,一次完成三网对接,从而降低因验证带来的终端用户流失率。请开发者根据集成一键认证的实际情况,在您App的隐私政策中,对一键认证名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容进行披露。建议:确认您所接入的一键认证版本和功能模块;根据上述版本和模块,从隐私政策中确定与一键认证交互的数据内容;在您App的隐私政策中,以文字或列表的方式向公众披露一键认证的相关信息。

隐私政策披露示例:

极验一键认证SDK隐私政策:

第三方SDK名称:极验一键认证SDK

第三方主体:武汉极意网络科技有限公司

使用目的:为用户提供一键认证、快捷登录账号

收集个人信息类型:手机厂商、手机型号、系统版本、OAID、IDFV、操作系统、设备型号、设备品牌、客户端类型、运营商类型、网络类型、网络制式、当前APN接入点(联通SDK获取)、IP(联通、电信SDK获取)、SIM卡状态、应用名称、应用版本、包名、包签名

收集方式:SDK本机采集

第三方隐私政策或者协议连接:一键认证隐私政策

8、最终用户同意方式的示例

要求内容:《SDK合规使用说明》应详细说明App获取最终用户授权同意的建议方式,其中需要取得最终用户单独同意的,应显著提示并给出示例。

接入说明:App首次运行时应当有隐私弹窗,隐私弹窗中应公示简版隐私政策内容并附完整版隐私政策链接,并明确提示最终用户阅读并选择是否同意隐私政策;隐私弹窗应提供同意按钮和拒绝同意的按钮,并由最终用户主动选择。

披露示例:

phone

9、最终用户行使权利的配置说明

要求内容:最终用户对其个人信息的处理享有知情、决定、查阅、复制、补充、更正、撤回授权同意、删除、注销账号等权利。以嵌入接口形式向最终用户提供行使权利的,应提供接口调用方式、示例。

接入说明:开发者在其App中集成一键认证后,一键认证的正常运行会收集必要的最终用户信息用于实现一键验证功能。开发者应根据相关法律法规为最终用户提供行使个人信息主体权利的路径或功能,需要一键认证配合的,请与一键认证及时进行联系,我们将与开发者协同妥善解决最终用户的诉求。

投诉电话:027-87855826,电子邮箱地址:service@geetest.com