人脸验证与检索SDK合规使用说明
尊敬的开发者: 感谢您使用讯飞开放平台(以下简称“讯飞”或“我们”)提供的SDK/API产品和服务!为了帮助您在符合与个人信息保护相关的国家法律法规、规范性文件的规定下集成和使用我们提供的SDK/API,以供您在集成和使用我们的SDK/API前阅读并参照执行。
遵守处理最终用户个人信息有关的所有可适用的法律法规、规范性文件,包括但不限于:
| 法律法规、规范性文件 | 发布单位 | 实施时间 |
|---|---|---|
| 《中华人民共和国网络安全法》 | 全国人民代表大会常务委员会 | 2017年6月 |
| 《关于开展App违法违规收集使用个人信息专项治理的公告》 | 中共中央网络安全和信息化委员会办公室、 工业和信息化部、公安部、国家市场监督管理总局 | 2019年1月 |
| 《App违法违规收集使用个人信息自评估指南》 | App违法违规收集使用个人信息专项治理工作组 | 2019年3月 |
| 《关于开展App侵害用户权益专项整治工作的通知》 | 工业和信息化部 | 2019年11月 |
| 《App违法违规收集使用个人信息行为认定方法》 | 国家互联网信息办公室、工业和信息化部、 公安部、国家市场监督管理总局 | 2019年12月 |
| 《关于开展纵深推进APP侵害用户权益专项整治行动的通知》 | 工业和信息化部 | 2020年7月 |
| 《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》 | 全国信息安全标准化技术委员会 | 2020年7月 |
| 《信息安全技术 个人信息安全规范》(GB/T 35273-2020) | 全国信息安全标准化技术委员会 | 2020年10月 |
| 《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》 | 全国信息安全标准化技术委员会 | 2020年11月 |
| 《中华人民共和国数据安全法》 | 全国人民代表大会常务委员会 | 2021年9月 |
| 《关于开展信息通信服务感知提升行动的通知》 | 工业和信息化部 | 2021年11月 |
| 《中华人民共和国个人信息保护法》 | 全国人民代表大会常务委员会 | 2021年11月 |
| 《移动互联网应用程序信息服务管理规定》 | 国家互联网信息办公室 | 2022年8月 |
| 《数据出境安全评估办法》 | 国家互联网信息办公室 | 2022年9月 |
| 《数据出境安全评估申报指南(第一版)》 | 国家互联网信息办公室 | 2022年9月 |
#一、SDK配置能力说明
#1、SDK扩展业务功能的配置说明
要求内容:《人脸验证与检索SDK合规使用说明》应详细说明人脸验证与检索SDK各项扩展业务功能介绍及对应关闭的配置方式、示例。
接入说明:讯飞人脸验证与检索SDK的基本业务功能介绍如下:
人脸验证与检索SDK:是科大讯飞股份有限公司(以下简称“科大讯飞”或“我们”)为开发者提供人脸验证与检索的软件开发工具包(SDK)。
本合规使用说明向开发者详细介绍具体的扩展业务功能及其关闭配置方式和示例。
#2、SDK可选个人信息的配置说明
要求内容:《人脸验证与检索SDK合规使用说明》应详细说明人脸验证与检索SDK各项可选个人信息使用目的、场景及对应关闭的配置方式、示例。
接入说明:对于讯飞人脸验证与检索SDK可选收集的个人信息的控制,开发者可以参考如下配置文档的内容进行配置操作。因相关信息的不收集将会对其对应的功能造成影响,请开发者结合业务实际需要进行合理配置。
最终用户在使用人脸验证与检索SDK服务期间,我们收集的个人信息种类、明细、处理目的的详情如下所示:
| 个人信息种类 | 个人信息明细 | 处理目的 | 说明 |
|---|---|---|---|
| 图像信息 | 人脸图像 | 提供人脸验证与检索服务 | 基于不同的设备、系统及系统版本,以及开发者在集成、使用我们产品与/或服务时所决定的权限,我们实际接收到的信息可能会有所不同,同时我们在收集到最终用户的IMEI号、IMSI码、Android ID等信息后以提供能力授权服务,均会对其进行特殊处理,使其在不借助额外信息的情况下,无法根据该信息逆推定位到最终用户的设备 |
| 设备信息 | 设备号(IMEI号)、设备码(IMSI码)、IP地址、Android ID(安卓唯一设备ID以提供能力授权服务)、中国移动UAID(仅限安卓设备)、OAID(仅限安卓设备)、UUID(仅限iOS设备) | 授权计费、用户身份识别;更准确定位并解决开发者以及最终用户在使用我们产品与/或服务时遇到的问题、避免与其他应用产生冲突 | |
| 日志信息 | 运行日志 | 统计服务的使用情况,保障服务稳定和网络安全; 进行数据统计和运营分析、改进和优化产品交互体验。 |
#3 、SDK收集个人信息的配置说明
要求内容:如果人脸验证与检索SDK可按照不同频次、精度收集个人信息的,《人脸验证与检索SDK合规使用说明》应说明不同频次、精度的使用目的、场景及对应选择的配置方式、示例。
接入说明:收集频次方面,讯飞人脸验证与检索SDK的数据采集仅在App调用/最终用户触发相关功能时触发,不涉及定时逻辑等频次控制选项。收集精度方面,讯飞人脸验证与检索SDK不涉及可根据精度收集个人信息的情形。
我们如何收集和使用您的个人信息,具体规则请参考开放平台隐私政策中第二条:
#4 、SDK申请系统权限的说明
要求内容:《人脸验证与检索SDK合规使用说明》应详细说明人脸验证与检索SDK所需的系统权限与各业务功能间的关系,并说明权限申请时机。
接入说明:对于讯飞人脸验证与检索SDK可选申请的系统权限,您可以参考相关如下表格的内容,详细了解相关权限与各业务功能的关系及其申请时机,因相关权限的不申请将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。
最终用户在使用讯飞人脸验证与检索SDK服务期间,我们对最终用户设备相关权限调用的详情如下所示:
| 设备权限 | 系统 | 调用目的 | 授权方式 |
|---|---|---|---|
| 读写权限 | Android、iOS、Linux、Windows | 将使用信息写入SD卡/沙盒文件/本地存储中,为最终用户提供一个安全的使用环境,同时为了更准确定位并解决开发者以及最终用户在使用人脸验证与检索SDK时遇到的问题。同时使用相机时需要将相机采集到的人脸信息进行存储,需要对相册文件进行读写 | (1)具体授权方式由设备系统开发方以及开发者设置,科大讯飞不会在未经过授权的前提下自行私自访问并开启相关权限。(2)最终用户可自行在设备上主动开启或关闭敏感权限,具体请最终用户参考系统开发方及开发者的说明或指引。 |
| 网络权限 | Android、iOS、Linux、Windows | 判断当前是否网络是否连接,如已连接,则向最终用户提供人脸验证与检索功能。 | |
| 相机使用权限 | Android、iOS、Linux、Windows | 通过相机提取人脸特征信息进行智能分析 |
#5 、SDK初始化及业务功能调用时机
要求内容:《人脸验证与检索SDK合规使用说明》应详细说明人脸验证与检索SDK初始化及各项业务功能接口合规调用时机,如最终用户选择使用第三方登录方式后,初始化某第三方登录人脸验证与检索SDK。App应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向最终用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则,并且获得最终用户授权同意后才能处置最终用户数据。
接入说明:
为保证用户个人隐私,防止APP不当收集用户信息,我们强烈建议您遵守以下流程接入本SDK保证合规,防止因调用时机不当引发的后果,例如但不限于:APP被应用市场下架等。
(1)您需要确保贵APP有《隐私政策》,并且在用户首次启动App时就弹出《隐私政策》争得用户同意。
(2)您务必在App的《第三方共享清单及SDK目录》中告知用户人脸验证与检索SDK收集的个人信息类型以及人脸验证与检索SDK隐私政策。
(3)个人信息收集说明:人脸验证与检索SDK需要收集唯一设备识别码(android ID)以提供能力授权服务。
(4)隐私政策 请点击查看。
(5)您务必严格遵守如下调用步骤,确保用户同意《隐私政策》之后,且在用户主动使用本SDK提供的各项功能时再进行相关函数调用。
确保App启动后,在用户阅读并同意《隐私政策》并取得用户授权之后,在用户使用SDK功能时,方可调函数SpeechUtility.createUtility(SpeechApp.this,xxxx)以使用人脸验证与检索SDK。反之,如果用户不同意《隐私政策》授权,则不允许调用SpeechUtility.createUtility(SpeechApp.this,xxxx)初函数。
参考示例:SDK demo源码中获取到《隐私政策》的用户授权,后续的SDK demo函数SpeechUtility.createUtility(SpeechApp.this, xxxx)建议在用户使用SDK功能时进行使用。
接入即创建语音配置对象,只有接入后才可以使用人脸验证与检索的服务。接入代码如下:
// 将“12345678”替换成您申请的APPID,申请地址:http://www.xfyun.cn
// 请勿在“=”与appid之间添加任何空字符或者转义符
SpeechUtility.createUtility(context, SpeechConstant.APPID +"=12345678");
#6 、SDK隐私政策披露要求与示例
要求内容:《人脸验证与检索SDK合规使用说明》应提供App向最终用户披露人脸验证与检索SDK隐私政策条款的示例,包括SDK名称、公司名称、处理个人信息种类及目的、采集方式、隐私政策链接等内容。
接入说明:您应向最终用户明确地告知我们的SDK/API处理个人信息的相关规则,我们为您提供了以下告知方式,供您参照执行:
1.单独制定开发者应用的 《用户协议》 、 《隐私政策》,在最终用户首次启动开发者应用时通过 弹窗等或页面提示等方式向最终用户展示开发者应用 《用户协议》、《隐私政策》摘要和可点击跳转正文的链接,并通过最终用户 自主点击“同意”或勾选选择框的方式获得其明示同意。最终用户进入开发者应用主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。
2.在开发者应用 《隐私政策》 与 **“共享”或“集成的第三方SDK”**相关的章节中,详细说明最终用户的 **个人信息将通过开发者应用内集成的讯飞SDK/API共享至讯飞进行处理的具体功能场景**,并通过**表格或条款文本等形式 **展示说明该**SDK/API的名称、主体名称、联系方式、使用的功能场景与处理目的,以及讯飞通过该SDK/API处理的最终用户个人信息的类型、申请权限情况和隐私政策链接**(具体请见讯飞开放平台人脸验证与检索SDK隐私政策 )。
3.符合 《关于开展信息通信服务感知提升行动的通知》(工信部信管函 〔2021〕292号)中要求的特定企业 ,应单独制定 《已收集个人信息清单》 和 《与第三方共享个人信息清单》 ,两份清单均应在开发者应用二级菜单中展示,方便用户查询。其中《已收集个人信息清单》中应说明讯飞SDK/API收集最终用户个人信息的种类、目的、场景等。《与第三方共享个人信息清单》中应说明与讯飞共享的最终用户个人信息的种类、目的、场景和共享方式等。
披露示例(仅供参考,请以实际合作情况为准):
为帮助您明确地告知最终用户讯飞SDK/API处理个人信息的相关规则,我们为您提供了以下告知方文案示例,供您参考执行:
示例1:
【开发者应用名称】中的部分功能由我们合作的第三方服务提供方以嵌入SDK或接入API的形式提供,这些第三方服务提供方会基于向您提供功能或服务之必须,获取相应权限及信息。您可以通过以下列表了解第三方SDK/API处理您个人信息的详情:
| 第三方SDK信息共享清单 | |||||||
|---|---|---|---|---|---|---|---|
| SDK名称 | 使用场景 | 处理目的 | 服务提供方 | 联系方式 | 获取权限 | 收集个人信息类别 | 隐私政策链接 |
| XXX | XXX | XXX | 科大讯飞股份有限公司 | dpo@iflytek.com | XXX | XXX | XXX |
示例2:
【开发者应用名称】中的部分功能由我们合作的第三方服务提供方以嵌入SDK或接入API的形式提供,这些第三方服务提供方会基于向您提供功能或服务之必须,获取相应权限及信息。您可以通过以下内容了解第三方SDK/API处理您个人信息的详情:
SDK名称:XXX 功能场景:XXX 处理目的:XXX 服务提供方:科大讯飞股份有限公司 联系方式:dpo@iflytek.com 获取权限:XXX 收集个人信息类别:XXX 隐私政策链接:XXX
示例3:
为向您提供【功能服务描述】功能与/或服务,我们集成了科大讯飞股份有限公司的【SDK名称】服务。在为您提供【功能服务名称】功能/服务时,【SDK名称】将在您主动开启【权限描述】后,收集、使用您的【个人信息类别描述】,用于【功能服务场景与处理目的描述】。如您拒绝提供,您将无法实现【功能服务名称】。具体地,请您仔细阅读《【SDK名称】隐私政策》以了解详情。
【特别说明】
(1) 基于不同的设备、系统(Android、iOS、Linux、Windows)及系统版本,以及您在集成和使用我们SDK/API产品时所决定的权限,讯飞实际收集的设备信息会有所不同,因此您应对实际收集的个人信息如实向最终用户进行说明。
(2) 请参考讯飞开放平台人脸验证与检索SDK隐私政策 。