人脸验证与检索SDK合规使用说明
| 法律法规、规范性文件 | 发布单位 | 实施时间 |
|---|---|---|
| 《中华人民共和国网络安全法》 | 全国人民代表大会常务委员会 | 2017年6月 |
| 《关于开展App违法违规收集使用个人信息专项治理的公告》 | 中共中央网络安全和信息化委员会办公室、 工业和信息化部、公安部、国家市场监督管理总局 | 2019年1月 |
| 《App违法违规收集使用个人信息自评估指南》 | App违法违规收集使用个人信息专项治理工作组 | 2019年3月 |
| 《关于开展App侵害用户权益专项整治工作的通知》 | 工业和信息化部 | 2019年11月 |
| 《App违法违规收集使用个人信息行为认定方法》 | 国家互联�网信息办公室、工业和信息化部、 公安部、国家市场监督管理总局 | 2019年12月 |
| 《关于开展纵深推进APP侵害用户权益专项整治行动的通知》 | 工业和信息化部 | 2020年7月 |
| 《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》 | 全国信息安全标准化技术委员会 | 2020年7月 |
| 《信息安全技术 个人信息安全规范》(GB/T 35273-2020) | 全国信息安全标准化技术委员会 | 2020年10月 |
| 《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》 | 全国信息安全标准化技术委员会 | 2020年11月 |
| 《中华人民共和国数据安全法》 | 全国人民代表大会常务委员会 | 2021年9月 |
| 《关于开展信息通信服务感知提升行动的通知》 | 工业和信息化部 | 2021年11月 |
| 《中华人民共和国个人信息保护法》 | 全国人民代表大会常务委员会 | 2021年11月 |
| 《移动互联网应用程序信息服务管理规定》 | 国家互联网信息办公室 | 2022年8月 |
| 《数据出境安全评估办法》 | 国家互联网信息办公室 | 2022年9月 |
| 《数据出境安全评估申报指南(第一版)》 | 国家互��联网信息办公室 | 2022年9月 |
#一、SDK配置能力说明
#1、SDK扩展业务功能的配置说明
#2、SDK可选个人信息的配置说明
| 个人信息种类 | 个人信息明细 | 处理目的 | 说明 |
|---|---|---|---|
| 图像信息 | 人脸图像 | 提供人脸验证与检索服务 | 基于不同的设备、系统及系统版本,以及开发者在集成、使用我们产品与/或服务时所决定的权限,我们实际接收到的信息可能会有所不同,同时我们在收集到最终用户的IMEI号、IMSI码、Android ID等信息后以提供能力授权服务,均会对其进行特殊处理,使其在不借助额外信息的情况下,无法根据该信息逆推定位到最终用户的设备 |
| 设备信息 | 设备号(IMEI号)、设备码(IMSI码)、IP地址、Android ID(安卓唯一设备ID以提供能力授权服务)、中国移动UAID(仅限安卓设备)、OAID(仅限安卓设备)、UUID(仅限iOS设备) | 授权计费、用户身份识别;更准确定位并解决开发者以及最终用户在使用我们产品与/或服务时遇到的问题、避免与其他应用产生冲突 | |
| 日志信息 | 运行日志 | 统计服务的使用情况,保障服务稳定和网络安全; 进行数据统计和运营分析、改进和优化产品交互体验。 |
#3 、SDK收集个人信息的配置说明
#4 、SDK申请系统权限的说明
| 设备权限 | 系统 | 调用目的 | 授权方式 |
|---|---|---|---|
| 读写权限 | Android、iOS、Linux、Windows | 将使用信息写入SD卡/沙盒文件/本地存储中,为最终用户提供一个安全的使用环境,同时为了更准确定位并解决开发者以及最终用户在使用人脸验证与检索SDK时遇到的问题。同时使用相机时需要将相机采集到的人脸信息进行存储,需要对相册文件进行读写 | (1)具体授权方式由设备系统开发方以及开发者设置,科大讯飞不会在未经过授权的前提下自行私自访问并开启相关权限。(2)最终用户可自行在设备上主动开启或关闭敏感权限,具体请最终用户参考系统开发方及开发者的说明或指引。 |
| 网络权限 | Android、iOS、Linux、Windows | 判断当前是否网络是否连接,如已连接,则向最终用户提供人脸验证与检索功能。 | |
| 相机使用权限 | Android、iOS、Linux、Windows | 通过相机提取人脸特征信息进行智能分析 |
#5 、SDK初始化及业务功能调用时机
确保App启动后,在用户阅读并同意《隐私政策》并取得用户授权之后,在用户使用SDK功能时,方可调函数SpeechUtility.createUtility(SpeechApp.this,xxxx)以使用人脸验证与检索SDK。反之,如果用户不同意《隐私政策》授权,则不允许调用SpeechUtility.createUtility(SpeechApp.this,xxxx)初函数。
参考示例:SDK demo源码中获取到《隐私政策》的用户授权,后续的SDK demo函数SpeechUtility.createUtility(SpeechApp.this, xxxx)建议在用户使用SDK功能时进行使用。#6 、SDK隐私政策披露要求与示例
1.单独制定开发者应用的 《用户协议》 、 《隐私政策》,在最终用户首次启动开发者应用时通过 弹窗等或页面提示等方式向最终用户展示开发者应用 《用户协议》、《隐私政策》摘要和可点击跳转正文的链接,并通过最终用户 自主点击“同意”或勾选选择框的方式获得其明示同意。最终用户进入开发者应用主功能界面后,�通过4次以内的点击/滑动,能够访问到《隐私政策》。
2.在开发者应用 《隐私政策》 与 “共享”或“集成的第三方SDK”*相关的章节中,详细说明最终用户的 **个人信息将通过开发者应用内集成的讯飞SDK/API共享至讯飞进行处理的具体功能场景**,并通过*表格或条款文本等形式 *展示说明该*SDK/API的名称、主体名称、联系方式、使用的功能场景与处理目的,以及讯飞通过该SDK/API处理的最终用户个人信息的类型、申请权限情况和隐私政策链接(具体请见讯飞开放平台人脸验证与检索SDK隐私政策 )。
3.符合 《关于开展信息通信服务感知提升行动的通知》(工信部信管函 〔2021〕292号)中要求的特定企业 ,应单独制定 《已收集个人信息清单》 和 《与第三方共享个人信息清单》 ,两份清单均应在开发者应用二级菜单中展示,方便用户查询。其中《已收集个人信息清单》中应说明讯飞SDK/API收集最终用户个人信息的种类、目的、场景等。《与第三方共享个人信息清单》中应说明与讯飞共享的最终用户个人信息的种类、目的、场景和共享方式等。
示例1:
【开发者应用名称】中的部分功能由我们合作的第三方服务提供方以嵌入SDK或接入API的形式提供,这些第三方服务提供方会基于�向您提供功能或服务之必须,获取相应权限及信息。您可以通过以下列表了解第三方SDK/API处理您个人信息的详情:
| 第三方SDK信息共享清单 | |||||||
|---|---|---|---|---|---|---|---|
| SDK名称 | 使用场景 | 处理目的 | 服务提供方 | 联系方式 | 获取权限 | 收集个人信息类别 | 隐私政策链接 |
| XXX | XXX | XXX | 科大讯飞股份有限公司 | dpo@iflytek.com | XXX | XXX | XXX |
【开发者应用名称】中的部分功能由我们合作的第三方服务提供方以嵌入SDK或接入API的形式提供,这些第三方服务提供方会基于向您提供功能或服务之必须,获取相应权限及信息。您可以通过以下内容了解第三方SDK/API处理您个人信息的详情:
SDK名称:XXX 功能场景:XXX 处理目的:XXX 服务提供方:科大讯飞股份有限公司 联系方式:dpo@iflytek.com 获取权限:XXX 收集个人信息类别:XXX 隐私政策链接:XXX
为向您提供【功能服务描述】功能与/或服务,我们集成了科大讯飞股份有限公司的【SDK名称】服务。在为您提供【功能服务名称】功能/服务时,【SDK名称】将在您主动开启【权限描述】后,收集、使用您的【个人信息类别描述】,用于【功能服务场景与处��理目的描述】。如您拒绝提供,您将无法实现【功能服务名称】。具体地,请您仔细阅读《【SDK名称】隐私政策》以了解详情。
(1) 基于不同的设备、系统(Android、iOS、Linux、Windows)及系统版本,以及您在集成和使用我们SDK/API产品时所决定的权限,讯飞实际收集的设备信息会有所不同,因此您应对实际收集的个人信息如实向最终用户进行说明。
(2) 请参考讯飞开放平台人脸验证与检索SDK隐私政策 。
修改于 2023-12-19 08:37:42