行为验证第三代合规指南
根据《个人信息保护法》、《数据安全法》、《网络安全法》等法律法规和监管部门规章要求,App开发运营者(以下简称为“开发者”)在提供网络产品服务时应尊重和保护最终用户的个人信息,不得违法违规收集使用个人信息,保证和承诺就个人信息处理行为获得最终用户的授权同意,遵循最小必要原则,且应当采取有效的技术措施和组织措施确保个人信息安全。为帮助开发者在使用【行为验证第三代】服务的过程中更好地落实用户个人信息保护相关要求,避免出现侵害最终用户个人信息权益的情形,特制定本合规使用说明,供开发者在接入使用【行为验证第三代】服务时参照自查和合理配置,不断提升个人信息保护水平。
一、行为验证第三代配置能力说明
1、接入/升级至满足监管新规的最新SDK版本
我们高度重视SDK的功能优化、个人信息安全和保护,将适时升级迭代SDK版本以提升产品的安全性和稳定性,确保符合相关法律法规及、监管及标准的最新合规要求。强烈建议您升级使用最新版本SDK,以便保障您正常使用SDK最新功能、避免因您更新不及时产生的不利影响(例如APP被通报或下架等)。 SDK更新后,我们会及时通过官网【文档中心】展示更新的内容,以便您及时了解SDK最新版本信息。同时,您通过登录用户后台获取SDK最新版本。
2、SDK扩展业务功能的配置说明
要求内容:《SDK合规使用说明》应详细说明SDK各项扩展业务功能介绍及对应关闭的配置方式、示例。
接入说明:
行为验证第三代提供的扩展业务功能为:
(1)行为验证的接口使用统计;
(2)行为验证的接口异常检测;
(3)确保行为验证第三代产品和/或服务在不同设备上的兼容性;
(4)行为验证失败的归因分析。
行为验证第三代为开发者提供退出上述功能的接口,开发者可以调用接口,向最终用户提供退出的能力。开发者需遵守相关法律法规的要求,在App内为最终用户提供退出上述扩展业务的功能,并保证在最终用户点击退出功能后能正常调用行为验证第三代的能力接口。
iOS配置文档链接:https://docs.geetest.com/sensebot/apirefer/api/ios
Android配置文档链接:https://docs.geetest.com/sensebot/apirefer/api/android
HarmonyOS配置文档链接:https://docs.geetest.com/sensebot/apirefer/api/harmonyos
3、SDK可选个人信息的配置说明
要求内容:《SDK合规使用说明》应详细说明SDK各项可选个人信息使用目的、场景及对应关闭的配置方式、示例。
接入说明:行为验证第三代暂未提供可选收集的个人信息,遵照最小化收集原则,仅收集了必要的个人信息,如后期增加相关可选个人信息配置,将及时告知。
4、SDK可按照不同频次、精度收集个人信息的配置说明
要求内容:如果SDK可按照不同频次、精度收集个人信息的,《SDK合规使用说明》应说明不同频次、精度的使用目的、场景及对应选择的配置方式、示例。
接入说明:收集频次方面,行为验证第三代的数据采集仅在App调用/最终用户触发相关功能时触发,不涉及定时逻辑等频次控制选项。收集精度方面,行为验证第三代SDK不涉及可根据精度收集个人信息的情形。
行为验证第三代个人信息收集频次及对应配置情况:
设备信息
个人信息类型 | 是否可配置 | 用途和目的 | 频次 | 端侧 |
---|---|---|---|---|
设备型号 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
设备品牌 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
设备电池充电状态 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS |
设备电量 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS |
系统平台 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
系统版本 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
系统语言 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
屏幕高度 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
屏幕宽度 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
是否为平板 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
内存大小 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
设备名称 | 不可配置 | 用于安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS |
UA | 不可配置 | 业务数据支撑 | 每次调用被动获取 | 安卓/IOS/HarmonyOS/Web/小程序 |
越狱/Root 标记 | 不可配置 | 支撑安全能力 | 每次调用被动获取 | 安卓/IOS |
设备调试标记 | 不可配置 | 支撑安全能力 | 每次调用被动获取 | 安卓/IOS |
代理标记 | 不可配置 | 支撑安全能力 | 每次调用被动获取 | 安卓/IOS |
模拟器标记 | 不可配置 | 支撑安全能力 | 每次调用被动获取 | 安卓/IOS |
代码篡改标记 | 不可配置 | 支撑安全能力 | 每次调用被动获取 | 安卓/IOS |
网络信息
个人信息类型 | 是否可配置 | 用途和目的 | 频次 | 端侧 |
---|---|---|---|---|
IP | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS/WEB/小程序 |
是否 WI-FI | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS/WEB/小程序 |
网络制式 | 不可配置 | 用于支撑业务及安全策略 | 每次调用被动获取 | 安卓/IOS/HarmonyOS/WEB/小程序 |
5、SDK申请系统权限的说明
要求内容:《SDK合规使用说明》应详细说明SDK所需的系统权限与各业务功能间的关系,并说明权限申请时机。
接入说明:对于行为验证第三代可选申请的系统权限,您可以参考相关如下表格的内容,详细了解相关权限与各业务功能的关系及其申请时机。行为验证第三代不主动申请可选系统权限,但相关权限的不申请将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。
安卓操作系统应用权限列表:
权限 | 权限类别 | 用途和目的 | 申请时机 |
---|---|---|---|
android.permission.INTERNET | 必选 | 设备访问网络 | App 首次安装 |
android.permission.ACCESS_NETWORK_STATE | 必选 | 设备访问网络 | App 首次安装 |
iOS操作系统应用权限列表:
权限 | 权限功能说明 | 用途和目的 | 申请时机 |
---|---|---|---|
Cellular | 可选 | 进行网络请求 | 调用时通过蜂窝网络访问网络 |
鸿蒙操作系统应用权限列表:
权限 | 权限类别 | 用途和目的 | 申请时机 |
---|---|---|---|
ohos.permission.INTERNET | 必选 | 设备访问网络 | App 首次安装 |
ohos.permission.GET_NETWORK_INFO | 必选 | 检测当前网络的可用性 | App 首次安装 |
6、SDK初始化及业务功能调用时机
要求内容:《SDK合规使用说明》应详细说明SDK初始化及各项业务功能接口合规调用时机。App应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向最终用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则,并且获得最终用户授权同意后才能处置最终用户数据。
接入说明:请务必在用户同意您App中的隐私政策后,再进行行为验证第三代的初始化。用户同意隐私政策之前,避免动态申请涉及用户个人信息的敏感设备权限;用户同意隐私政策前,您应避免私自采集和上报个人信息。当您的App未向用户提供服务时,例如App在后台运行时,请勿请求行为验证第三代的相关服务。具体的初始化时机可以详细查阅相关接入文档的内容。
IOS集成和初始化配置文档链接:https://docs.geetest.com/sensebot/deploy/client/ios
Android集成和初始化配置文档链接:https://docs.geetest.com/sensebot/deploy/client/android
HarmonyOS集成和初始化配置文档链接:https://docs.geetest.com/sensebot/deploy/client/harmonyos
7、SDK隐私政策披露要求与示例
要求内容:《SDK合规使用说明》应提供App向最终用户披露SDK隐私政策条款的示例,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。
接入说明:开发者在App集成行为验证第三代后,行为验证第三代的正常运行会收集必要的最终用户信息,实现行为验证功能。通过对用户的行为特征进行分析,构建防模拟、防伪造、防暴力三角防护的机器学习模型。能够在抵御网络攻击的同时,不断调整模型自我进化,有效的区分人机行为,提高正常用户体验。请开发者根据集成行为验证第三代的实际情况,在您App的隐私政策中,对行为验证第三代名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容进行披露。建议:确认您所接入的行为验证第三代版本和功能模块;根据上述版本和模块,从隐私政策中确定与行为验证第三代交互的数据内容;在您App的隐私政策中,以文字或列表的方式向公众披露行为验证第三代的相关信息。
隐私政策披露示例:
极验行为验证第三代SDK隐私政策:
第三方SDK名称:极验行为验证第三代SDK
第三方主体:武汉极意网络科技有限公司
使用目的:通过对用户的行为特征进行分析,有效的区分人机行为
收集个人信息类型:设备品牌、设备型号、设备电池充电状态、设备电量、设备系统、系统版本、系统语言、设备名称、内存大小、运营商名称、屏幕高度、屏幕宽度、是否为平板 、OAID、IP、UA、越狱 / Root 标记、设备调试标识、代理标记、模拟器标记、代码篡改标记
收集方式:SDK本机采集
第三方隐私政策或者协议连接:行为验证第三代隐私政策
8、最终用户同意方式的示例
要求内容:《SDK合规使用说明》应详细说明App获取最终用户授权同意的建议方式,其中需要取得最终用户单独同意的,应显著提示并给出示例。
接入说明:App首次运行时应当有隐私弹窗,隐私弹窗中应公示简版隐私政策内容并附完整版隐私政策链接,并明确提示最终用户阅读并选择是否同意隐私政策;隐私弹窗应提供同意按钮和拒绝同意的按钮,并由最终用户主动选择。
披露示例:
9、最终用户行使权利的配置说明
要求内容:最终用户对其个人信息的处理享有知情、决定、查阅、复制、补充、更正、撤回授权同意、删除、注销账号等权利。以嵌入接口形式向最终用户提供行使权利的,应提供接口调用方式、示例。
接入说明:开发者在其App中集成行为验证第三代后,行为验证第三代的正常运行会收集必要的最终用户信息用于实现一键验证功能。开发者应根据相关法律法规为最终用户提供行使个人信息主体权利的路径或功能,需要行为验证第三代配合的,请与行为验证第三代及时进行联系,我们将与开发者协同妥善解决最终用户的诉求。
投诉电话:027-87855826,电子邮箱地址:service@geetest.com。