开发者用户个人信息保护合规指引
尊敬的开发者:
感谢您使用讯飞开放平台(以下简称“讯飞”或“我们”)提供的SDK/API产品和服务!为了帮助您在符合与个人信息保护相关的国家法律法规、规范性文件的规定下集成和使用我们提供的SDK/API,我们特制定《开发者用户个人信息保护合规指引》(以下简称“本指引”),以供您在集成和使用我们的SDK/API前阅读并参照执行。
#一、合规基本要求
您在所开发的产品与/或服务(以下简称“开发者应用”)中集成和使用我们的SDK/API,您需要首先承诺并遵守以下基本要求:
- 遵守处理最终用户个人信息有关的所有可适用的法律法规、规范性文件,包括但不限于:
| 法律法规、规范性文件 | 发布单位 | 实施时间 |
|---|---|---|
| 《中华人民共和国网络安全法》 | 全国人民代表大会常务委员会 | 2017年6月 |
| 《关于开展App违法违规收集使用个人信息专项治理的公告》 | 中共中央网络安全和信息化委员会办公室、 工业和信息化部、公安部、国家市场监督管理总局 | 2019年1月 |
| 《App违法违规收集使用个人信息自评估指南》 | App违法违规收集使用个人信息专项治理工作组 | 2019年3月 |
| 《关于开展App侵害用户权益专项整治工作的通知》 | 工业和信息化部 | 2019年11月 |
| 《App违法违规收集使用个人信息行为认定方法》 | 国家互联网信息办公室、工业和信息化部、 公安部、国家市场监督管理总局 | 2019年12月 |
| 《关于开展纵深推进APP侵害用户权益专项整治行动的通知》 | 工业和信息化部 | 2020年7月 |
| 《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》 | 全国信息安全标准化技术委员会 | 2020年7月 |
| 《信息安全技术 个人信息安全规范》(GB/T 35273-2020) | 全国信息安全标准化技术委员会 | 2020年10月 |
| 《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》 | 全国信息安全标准化技术委员会 | 2020年11月 |
| 《中华人民共和国数据安全法》 | 全国人民代表大会常务委员会 | 2021年9月 |
| 《关于开展信息通信服务感知提升行动的通知》 | 工业和信息化部 | 2021年11月 |
| 《中华人民共和国个人信息保护法》 | 全国人民代表大会常务委员会 | 2021年11月 |
| 《移动互联网应用程序信息服务管理规定》 | 国家互联网信息办公室 | 2022年8月 |
| 《数据出境安全评估办法》 | 国家互联网信息办公室 | 2022年9月 |
| 《数据出境安全评估申报指南(第一版)》 | 国家互联网信息办公室 | 2022年9月 |
- 充分阅读并理解本指引、《讯飞开放平台服务协议》 、《讯飞开放平台隐私政策》 等文件。
- 应向最终用户告知其个人信息将通过开发者应用内集成的讯飞SDK/API共享至讯飞进行处理,说明个人信息处理的详情(具体请参考本指引“二、告知最终用户的方式”及“三、告知最终用户的文案示例”),并获得最终用户对于讯飞SDK/API收集、使用最终用户相关个人信息的授权同意。
- 应在已获取最终用户对开发者应用《隐私政策》授权同意的前提下,在最终用户首次使用我们的SDK/API所对应的功能场景时才可初始化我们的SDK/API,并进行个人信息的收集与处理。开发者应用在非服务所必须或无合理应用场景下,不得启动我们的SDK/API。
- 如开发者应用的最终用户是未满14周岁的未成年人,应务必确保获得最终用户的父母或其他监护人对于处理最终用户相关个人信息的授权同意。
- 应向最终用户提供易于操作的用户权利实现机制,包括告知最终用户如何行使知情、查阅、复制、更正、删除、补充、转移等可适用法律法规要求的各项权利。
- 应采取相关技术措施,保护最终用户的个人信息安全,包括但不限于接入我们的SDK/API时,对个人信息的传输进行加密。
- 我们的SDK/API仅面向中华人民共和国大陆境内的开发者提供,为避免您由于不了解最终用户所在国家或地区与个人信息保护相关的法律法规、规范性文件而触犯当地监管规定,我们强烈建议您仅在中华人民共和国大陆地区(以下简称“中国大陆”)使用我们的SDK/API。
- 如您因业务等需要:
(1)确需将开发者应用所收集的个人信息或重要数据向中国大陆境外(以下简称“境外”)提供的,应符合《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律中对于个人信息和重要数据向境外提供的特殊要求。特别地,如符合《数据出境安全评估办法》(国家互联网信息办公室令 第11号)第四条所列相关情形的,应根据该办法和《数据出境安全评估申报指南(第一版)》等相关文件要求,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。请您知悉,如您未遵守前述基本要求的,由此引发的相应风险及后果均由您自行承担:我们有权根据情节严重而对您采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施;构成犯罪的,我们有权移交司法部门处理。
(2)确需将我们的SDK/API集成于您面向境外国家或地区提供服务的开发者应用的,则我们受托处理的有关您最终用户的个人信息将传输到中国大陆境内处理。您的应用所进行的跨境行为可能触犯境外国家或地区当地与个人信息跨境传输相关的规定,您应提前主动咨询相关专业人士,以依据境外当地相关规定进行合规改造。
#二、告知最终用户的方式
您应向最终用户明确地告知我们的SDK/API处理个人信息的相关规则,我们为您提供了以下告知方式,供您参照执行:
1.单独制定开发者应用的《用户协议》 、《隐私政策》,在最终用户首次启动开发者应用时通过弹窗等或页面提示等方式向最终用户展示开发者应用《用户协议》、《隐私政策》摘要和可点击跳转正文的链接,并通过最终用户自主点击“同意”或勾选选择框的方式获得其明示同意。最终用户进入开发者应用主功能界面后,通过4次以内的点击/滑动,能够访问到《隐私政策》。
2.在开发者应用《隐私政策》与“共享”或“集成的第三方SDK”相关的章节中,详细说明最终用户的个人信息将通过开发者应用内集成的讯飞SDK/API共享至讯飞进行处理的具体功能场景,并通过表格或条款文本等形式展示说明该SDK/API的名称、主体名称、联系方式、使用的功能场景与处理目的,以及讯飞通过该SDK/API处理的最终用户个人信息的类型、申请权限情况和隐私政策链接(具体请见讯飞开放平台相关SDK/API隐私政策 ,您需要根据您使用的SDK/API产品适用对应的隐私政策)。
3.符合《关于开展信息通信服务感知提升行动的通知》(工信部信管函 〔2021〕292号)中要求的特定企业 ,应单独制定《已收集个人信息清单》 和《与第三方共享个人信息清单》 ,两份清单均应在开发者应用二级菜单中展示,方便用户查询。其中《已收集个人信息清单》中应说明讯飞SDK/API收集最终用户个人信息的种类、目的、场景等。《与第三方共享个人信息清单》中应说明与讯飞共享的最终用户个人信息的种类、目的、场景和共享方式等。
#三、告知最终用户的文案示例
为帮助您明确地告知最终用户讯飞SDK/API处理个人信息的相关规则,我们为您提供了以下告知方文案示例,供您参考执行:
示例1:
【开发者应用名称】中的部分功能由我们合作的第三方服务提供方以嵌入SDK或接入API的形式提供,这些第三方服务提供方会基于向您提供功能或服务之必须,获取相应权限及信息。您可以通过以下列表了解第三方SDK/API处理您个人信息的详情:
| 第三方SDK信息共享清单 | |||||||
|---|---|---|---|---|---|---|---|
| SDK名称 | 使用场景 | 处理目的 | 服务提供方 | 联系方式 | 获取权限 | 收集个人信息类别 | 隐私政策链接 |
| XXX | XXX | XXX | 科大讯飞股份有限公司 | dpo@iflytek.com | XXX | XXX | XXX |
示例2:
【开发者应用名称】中的部分功能由我们合作的第三方服务提供方以嵌入SDK或接入API的形式提供,这些第三方服务提供方会基于向您提供功能或服务之必须,获取相应权限及信息。您可以通过以下内容了解第三方SDK/API处理您个人信息的详情:
SDK名称:XXX
功能场景:XXX
处理目的:XXX
服务提供方:科大讯飞股份有限公司
联系方式:dpo@iflytek.com
获取权限:XXX
收集个人信息类别:XXX
隐私政策链接:XXX
示例3:
为向您提供【功能服务描述】功能与/或服务,我们集成了科大讯飞股份有限公司的【SDK名称】服务。在为您提供【功能服务名称】功能/服务时,【SDK名称】将在您主动开启【权限描述】后,收集、使用您的【个人信息类别描述】,用于【功能服务场景与处理目的描述】。如您拒绝提供,您将无法实现【功能服务名称】。具体地,请您仔细阅读《【SDK名称】隐私政策》以了解详情。
【特别说明】
(1) 基于不同的设备、系统(Android/iOS)及系统版本,以及您在集成和使用我们SDK/API产品时所决定的权限,讯飞实际收集的设备信息会有所不同,因此您应对实际收集的个人信息如实向最终用户进行说明。
(2) 请参考讯飞开放平台相关SDK/API隐私政策 ,您需要根据您使用的SDK/API产品适用对应的隐私政策。