App Store 上 App 隐私保护的详细说明
现在,用户在任何 Apple 平台下载 app 之前,App Store 都会先帮助他们更好地了解相关 app 的隐私保护做法。在每款 app 的产品页面上,用户能了解到该 app 可能收集的某些数据类型,以及该数据是否会关联到他们或对其进行追踪。您需要在 App Store Connect 中提供 app 隐私保护做法的相关信息,如果您的 app 中整合了第三方合作伙伴的代码,还需要说明其如何使用用户的隐私信息。提交至 App Store 的新 app 和 app 更新都需要包含此信息。
当您准备从 App Store Connect 提供的选项里选择答案时,请您留意以下事项:
您需要明确列明您或第三方合作伙伴收集的所有数据,除非这些数据符合下列所有的选择性披露条件。
您 app 的隐私保护做法应该遵循 App Store 审核准则及所有适用的法律。
您有责任确保回答准确并及时更新。如果您的数据收集和使用情况发生变化,请前往 App Store Connect 更新您的回答。您可以随时更新您的回答,且无需为此提交 app 更新。
帐户持有人和管理员可进一步了解如何在 App Store Connect 中输入相关回答。
该标签可帮助顾客了解您的 app 会收集哪些数据,以及这些数据将被如何使用。要提供相关信息,在回答 App Store Connect 中的问题前,您需要了解您和/或第三方合作伙伴从您的 app 收集的数据类型。请记住,即使您是出于分析或广告投放之外的其他原因收集数据,也仍需加以声明。例如,如果您收集数据只是为了让 app 正常工作,请在标签上声明相关数据,并说明这些数据只用于这一目的。
“收集”是指从设备传出数据的过程中允许您和/或您的第三方合作伙伴访问这些数据,并且访问时间超出为用户请求提供实时服务的必要时间。
“第三方合作伙伴”指的是分析工具、广告网络、第三方 SDK 或在您的 app 中添加了其代码的其他外部供应商。
对于符合以下所有条件的数据类型,您可以自行选择是否进行披露:
数据并非用于追踪目的,即数据未与第三方数据关联以用于广告或广告监测目的,也未与任何数据代理共享。如需了解详情,请参阅“追踪”部分。
数据并非用于第三方广告、您自己的广告或营销目的,或者用于其他目的 (上述相关术语定义可参阅“追踪”部分)。
仅在不牵涉 app 的主要功能,且用户对此具有选择权的少数情况下进行数据收集。
数据由用户在 app 的界面中提供;用户很清楚收集了哪些数据;用户的姓名或帐户名称与其他要提交的数据元素会一并在提交表中突出显示;且用户每次都确认提供所收集的数据。
数据类型必须符合上述所有条件,您才可以自行选择是否进行披露。如果 app 收集的数据类型只满足上述部分条件而非所有条件,则必须在 App Store Connect 中予以披露。
例如,可选反馈表格或用户服务请求中收集的,与该 app 主要用途无关且符合上述其他条件的数据,有可能属于不需要披露的数据。
为清楚起见,请务必披露在首次提出许可请求之后持续收集的数据。
如果收集数据的 app 是用于受监管的金融服务,并且收集的数据符合以下所有条件,您可以选择是否对相应的数据类型进行披露:
在适用的金融服务或数据保护法律法规 (例如 GDPR 或 GLBA) 下,受监管数据已依据相关法律要求,进行隐私声明以及相关收集。
仅在不牵涉 app 的主要功能,且用户对此具有选择权的情况下,才会通过 app 进行数据收集。
这类声明规定,数据不得与非关联第三方共享来营销其他产品和服务。
这类数据不得出于营销目的与第三方数据关联;不得与数据代理商共享 (除非是出于检测或预防欺诈的目的,或是安全目的);亦不得出于信用报告目的与消费者报告机构共享。
数据类型必须符合上述所有条件,您才可以自行选择是否进行披露。如果 app 收集的数据类型只满足上述部分条件而非所有条件,则必须在隐私部分中予以披露。
如果收集的数据类型是用于健康研究,且收集的数据符合以下所有条件,您可以选择是否进行披露:
数据将在用户已签署知情同意书 (ICF) 的情况下,由从事健康研究的实体进行收集,相关数据将用于一项已通过机构审查委员会或道德审查委员会的审查和批准的健康研究。
所有这类数据收集都必须遵循相关的 App Store 准则,且数据不得用于追踪目的。
如果 app 收集的数据类型只满足上述部分条件而非所有条件,则必须在隐私部分中予以披露。
请参考下面的数据类型列表来对照您 app 中收集的数据类型。
| 联系信息 | |
|---|---|
| 姓名 | 例如名字或姓氏 |
| 电子邮件地址 | 包括但不限于哈希电子邮件地址 |
| 电话号码 | 包括但不限于哈希电话号码 |
| 实际地址 | 例如家庭地址、实际地址或邮寄地址 |
| 其他用户联系信息 | 任何其他可用于在 app 之外与用户联系的信息 |
| 健康与健身 | |
| 健康 | 健康和医疗数据,包括但不限于来自临床健康记录 API、HealthKit API、MovementDisorder API 的数据,或与健康有关的人体试验的数据,或用户提供的任何其他健康或医疗数据 |
| 健身 | 健身和锻炼数据,包括但不限于运动与健身 API |
| 财务信息 | |
| 付款信息 | 例如付款方式、付款卡号或银行帐号。如果您 app 使用的付款服务要求用户在 app 外输入付款信息,并不会被作为开发者的您访问相关信息,那么这些信息就不会被收集而无需披露。 |
| 信用信息 | 例如信用评分 |
| 其他财务信息 | 例如薪资、收入、资产、债务或任何其他财务信息 |
| 位置 | |
| 精确位置 | 描述用户位置或设备位置的信息,位置分辨率大于或等于三个或以上小数的经纬度 |
| 粗略位置 | 描述用户位置或设备位置的信息,位置分辨率低于三个或以上小数的经纬度,例如“大致定位服务” |
| 敏感信息 | |
| 敏感信息 | 例如人种或民族数据、性取向、怀孕或分娩信息、残疾、宗教或哲学信仰、工会会员身份、政治见解、基因信息或生物特征数据 |
| 联系人 | |
| 联系人 | 例如用户的电话、地址簿或社交图谱中的联系人列表 |
| 用户内容 | |
| 电子邮件或短信 | 包括主题行、发件人、收件人以及电子邮件或信息的内容 |
| 照片或视频 | 用户的照片或视频 |
| 音频数据 | 用户的语音或声音录音 |
| 游戏内容 | 例如,游戏存档、多玩家匹配或游戏逻辑,或者用户生成的游戏中内容 |
| 客户支持 | 用户在请求客户支持期间生成的数据 |
| 其他用户内容 | 用户生成的任何其他内容 |
| 浏览历史记录 | |
| 浏览历史记录 | 用户查看过的不属于 app 组成部分的内容 (例如网站) 的相关信息 |
| 搜索历史记录 | |
| 搜索历史记录 | 在 app 中执行的搜索相关信息 |
| 标识符 | |
| 用户 ID | 例如用户名、句柄、帐户 ID、分配的用户 ID、顾客编号、或其他可用于识别特定用户或帐户的用户级或帐户级 ID |
| 设备 ID | 例如设备的广告标识符或其他设备级 ID |
| 购买项目 | |
| 购买历史记录 | 帐户或个人的购买项目或购买倾向 |
| 使用数据 | |
| 产品交互 | 例如 app 启动、轻点、点按、滚动信息、音乐收听数据、视频观看数据、游戏中存储的位置、视频或歌曲,或其他有关用户与 app 交互的信息 |
| 广告数据 | 例如与用户看过的广告有关的信息 |
| 其他使用数据 | 与 app 中的用户活动有关的任何其他数据 |
| 诊断 | |
| 崩溃数据 | 例如崩溃日志 |
| 性能数据 | 例如启动时间、挂起率或能耗 |
| 其他诊断数据 | 出于衡量与 app 相关的技术诊断目的而收集的任何其他数据 |
| 其他数据 | |
| 其他数据类型 | 未提及的任何其他数据类型 |
您应清楚了解您和您的第三方合作伙伴如何使用每种类型的数据。
例如,如果您在 app 中收集电子邮件地址并用它来验证用户身份和打造个性化的用户体验,这会涉及到“App 功能”和“产品个性化”。
| 用途 | 定义 |
|---|---|
| 第三方广告 | 例如,在您的 app 中显示第三方广告,或与显示第三方广告的主体共享数据 |
| 开发者的广告或营销 | 例如,在您的 app 中显示第一方广告,直接向用户发送营销宣传材料,或者与展示您广告的合作方共享数据 |
| 分析 | 使用数据评估用户行为,包括了解现有产品功能的效果、规划新功能或衡量受众规模或特征 |
| 产品个性化 | 自定用户看到的内容,例如包含推荐产品、帖子或建议的列表 |
| App 功能 | 例如,认证用户身份、启用功能、防止欺诈、实施安全措施、确保服务器正常运行时间、最大限度减少 app 崩溃、提升可扩展性和性能,或执行客户支持 |
| 其他用途 | 任何未列出的其他用途 |
对于您和/或第三方合作伙伴收集的每个数据类型,您都需要说明其是否会关联到用户的身份 (通过他们的帐户、设备或其他详情)。从 app 中收集的数据通常会与用户的身份关联,除非在收集数据前已采取特定的隐私保护措施来对数据进行去标识化或匿名处理,例如:
在收集数据前去除所有直接标识符,例如用户 ID 或姓名。
通过对数据的处理,断开与真实身份的关联并防止再次关联。
此外,为了不使数据关联到特定的用户身份,在收集数据后您必须避免某些活动:
您不得尝试将数据再次关联到用户的身份。
您的数据不能绑定那些能使其关联到特定用户身份的其他数据。
注:根据相关隐私法的定义,“个人信息”和“个人数据”应视为与用户关联。
您需要了解您和/或第三方合作伙伴是否会使用从 app 中收集到的数据来追踪用户;如果会,哪些数据将用于此用途。
“追踪”是指将从您的 app 中收集的有关特定终端用户或设备的数据 (例如用户 ID、设备 ID 或描述文件) 与第三方数据相关联,用于定向广告或广告监测目的;或者与数据代理商共享从您的 app 中收集的有关特定终端用户或设备的数据。
“第三方合作伙伴数据”是指任何从那些不归您所有的 app、网站或离线属性文件中收集的有关特定终端用户或设备的数据。
追踪示例包括:
根据从其他公司的 app 和网站收集的用户数据,在您的 app 中显示定向广告。
与数据代理商共享设备位置数据或电子邮件列表。
与第三方广告网络共享电子邮件、广告 ID 或其他 ID 的列表,该第三方广告网络使用上述信息在其他开发者的 app 中重新定位这些用户或查找类似的用户。
在您的 app 中放置一个第三方 SDK,它会将您 app 中的用户数据与其他开发者 app 中的用户数据结合起来,用于投放定向广告或衡量广告效果 (即使您没有将该 SDK 用于这些目的)。例如,您所使用的登录 SDK 会利用从您的 app 中收集的数据,在其他开发者的 app 中启用定向广告。
以下情况不属于追踪:
数据仅关联在终端用户的设备上,且不会以可识别终端用户或设备的方式从设备中发送出去。
数据代理商将您与其共享的数据仅用于欺诈检测、欺诈防范或安全防护用途,并且仅代表您行事。
通过在您的产品页面上添加以下链接,帮助用户轻松访问您 app 的隐私政策并在您的 app 中管理他们的数据。
隐私政策 (必选):可公开访问的隐私政策 URL。
隐私选择 (可选):可公开访问的 URL,用户可在此处进一步了解他们在使用您的 app 时可做出哪些隐私选择,以及如何管理它们。例如,让用户可以对其数据进行访问、请求删除和进行变更的一个网页。
通过网络流量收集的数据必须予以声明,除非您让用户能够浏览开放的网络。
根据您使用 IP 地址的方式来声明相关的数据类型 ,例如用于获取精确位置、粗略位置、设备 ID 或诊断信息。