合规指南
即时通讯 IMKit SDK 合规使用说明
根据中国法律法规和监管部门规章要求,App 开发运营者(以下简称"开发者"或"您")在提供网络产品服务时应尊重和保护最终用户个人信息,不得违法违规收集使用个人信息,保证和承诺个人信息处理行为获得最终用户的授权同意,遵循最小必要原则,并且应当采取有效的技术措施和组织措施,确保个人信息安全。
为帮助开发者在使用 SDK 的过程中更好地落实用户个人信息保护相关要求,避免出现侵害用户个人信息权益情形,北京云中融信网络科技股份有限公司(以下简称"我们")特制定本 SDK 合规使用说明文档(以下简称"文档")。
一、App 个人信息保护的合规要求
为保护 App 最终用户的个人信息,App 及 App 的开发者需要满足如下合规要求:
- App 开发者应该制定隐私政策,并在 App 界面中显著展示。
- App 隐私政策应该单独成文,而不是作为用户协议等文件中的一部分进行展示。
- App 隐私政策应该明示收集和使用个人信息的目的、方式和范围,并且确保隐私政策链接正常有效,易于访问和阅读。
- App 隐私政策应逐项说明 App 各项业务功能以及对应收集的个人信息类型,不应使用"等、例如"等方式概括说明。
- App 隐私政策应显著标识个人敏感信息类型(如:字体加粗等)。
- App 隐私政策应逐项说明调用的第三方 SDK,包括明示 SDK 名称、SDK 开发者名称;SDK 收集和处理的个人信息类型、目的、方式、范围;SDK 隐私政策链接。
二、App 使用 IMKit SDK 时的合规指引
1. SDK 所需的系统权限的说明
IMKit SDK 功能所需的权限,您可以参考如下表格, 了解相关权限功能和时机。SDK 只会检查 App 是否获得相应授权,不会主动向最终用户申请权限。
权限配置,请查阅 Android IMKit SDK 快速开始 。
Android 操作系统 SDK 功能、接口配置方式及示例说明:
| 系统 | 业务功能 | 相关个人信息 | 时机 |
|---|---|---|---|
| Android | 登录 IM | 设备品牌、设备型号、操作系统版本、IP地址、网络接入方式和类型; | 用户登录 IM |
配置方式及示例:
public class LoginActivity extends AppCompatActivity {
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_login);
TextView login = findViewById(R.id.login);
login.setOnClickListener(v -> {
String token = "后台获取的 token";
IMCenter.getInstance().connect(token, new RongIMClient. ConnectCallback() {
/**
* 成功回调
* @param userId 当前用户 ID
*/
@Override
public void onSuccess(String t) {
}
/**
* 错误回调
* @param errorCode 错误码
*/
@Override
public void onError(RongIMClient.ConnectionErrorCode e) {
}
/**
* 数据库回调.
* @param code 数据库打开状态. DATABASE_OPEN_SUCCESS 数据库打开成功; DATABASE_OPEN_ERROR 数据库打开失败
*/
@Override
public void onDatabaseOpened(RongIMClient.DatabaseOpenStatus code) {
}
});
});
}
}
2. SDK 初始化及业务功能调用时机说明
您应确保在登录注册页面及 App 首次运行时,通过简洁、明显且易于访问方式向最终用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的 App 个人信息处理规则(App 隐私政策)。
您应确保在最终用户同意 App 隐私政策后,再进行 SDK 的初始化。并且,在用户同意隐私政策前,您应避免动态申请涉及用户个人信息的敏感设备权限;也应避免私自采集和上报个人信息。如果最终用户不同意 App 隐私政策,则不能初始化 SDK,无法使用 SDK 功能。
SDK 初始化和相关功能配置,请查阅 Android IMKit SDK 初始化 。
3. SDK 隐私政策披露要求与示例说明
请您根据集成 IMKit SDK 的实际情况,在您的 App 隐私政策中披露:第三方 SDK 名称、SDK 公司名称、SDK 使用目的和功能场景、SDK 涉及个人信息类型、实现 SDK 功能所需的权限、SDK 隐私政策链接。
请在您的 App 隐私政策中,以文字或列表的方式向公众披露第三方SDK的相关信息。
第三方 SDK 披露示例(仅供参考):
Android 示例
- SDK 名称:即时通讯 IMKit SDK
- SDK 公司名称:北京云中融信网络科技股份有限公司
- SDK 使用目的和功能场景:提供即时通讯服务功能和服务
- SDK 涉及的个人信息类型:设备类型、设备名称及型号、操作系统版本、网络类型及状态、IP 地址
- 实现 SDK 功能所需权限:存储权限(WRITE_EXTERNAL_STORAGE,必要);相机权限(CAMERA,可选);读取存储权限(READ_EXTERNAL_STORAGE,适用于 Android API 级别低于 33 的设备,可选;READ_MEDIA_IMAGES、READ_MEDIA_VIDEO,适用于 Android API 级别大于等于 33 的设备,可选);麦克风权限(RECORD_AUDIO,可选);音频设置权限(MODIFY_AUDIO_SETTINGS,可选);蓝牙权限(BLUETOOTH,可选);位置权限(ACCESS_COARSE_LOCATION、ACCESS_FINE_LOCATION,可选)
- SDK 隐私政策链接:https://docs.rongcloud.cn/guides/privacy
4. 最终用户同意方式的建议方式说明及示例
App 首次运行时应当有隐私弹窗,隐私弹窗中应公示隐私政策内容并附完整隐私政策链接,并明确提示最终用户阅读并选择是否同意隐私政策; 隐私弹窗应提供同意按钮和拒绝同意的按钮,并由最终用户主动选择。 App 取得敏感权限前,应通过隐私弹窗获得用户单独授权同意。
隐私政策授权和敏感个人信息授权弹窗示例:
5. 最终用户行使权利的配置说明
开发者在其 App 中集成 SDK 后,SDK 的正常运行会收集和处理必要的最终用户的个人信息用于提供即时通讯服务。
SDK 提供以下接口配置,以便您帮助最终用户实现其个人信息权利的请求。在最终用户撤销同意处理其个人信息的授权时,您可以通过调用接口,停止和关闭 SDK 功能,并停止收集相应的用户数据。
App 开发者应根据相关法律法规为最终用户提供行使个人信息主体权利的路径功能,需要 SDK 配合的,�请与 SDK 及时进行联系。
相关配置操作,请查阅 Android IMKit 退出登录 。
三、合规文件指引
- 《个人信息保护法》
- 《工业和信息化部关于开展信息通信服务感知提升行动的通知》
- 《工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知》
- 《工业和信息化部关于开展 App 侵害用户权益专项整治工作的通知》
- 《App 违法违规收集使用个人信息行为认定方法》
- 《App 违法违规收集使用个人信息自评估指南》
- 《常见类型移动互联网应用程序必要个人信息范围规定》
- 《GB/T 35273-2020信息安全技术个人信息安全规范》
- 《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
四、联系方式
我们设立了专门的个人信息保护团队和负责人,如果您和/或最终用户对本规则或个人信息保护相关事宜有疑问或投诉、建议时,可以通过提交工单与我们联系:
我们将尽快审核所涉问题,并在 15 个工作日或法律法规规定的期限内予以反馈。