在集成API安全SDK前，请完整、详细阅读该合规指南。

前言：

2023年2月工信部发布的《⼯业和信息化部关于进⼀步提升移动互联⽹应⽤服务能⼒的通知》对SDK、个人信息保护、服务体验等方面提出了具体要求，同时为了帮助开发者向最终用户提供相应功能及服务，特此起草本SDK合规使用指导。 您作为开发者为最终用户提供服务，需知悉并确认将遵守适用的法律法规和相关的标准规范，履行个人信息保护义务，并遵循合法、正当、必要和诚信的原则处理用户个人信息，包括但不限于《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及其他适用的法律法规和相关的标准规范。 此文档用于帮助您更好地了解API安全SDK并合规使用本SDK服务，仅适用于开发者的业务区域为中国大陆地区的场景。

特别提示：

本《SDK合规指南》是对本SDK的合规性和安全性描述与要求仅为我们向您提供的服务说明及使用建议，不构成也不应被视为我们对于任何法律法规及政策文件的及时的、完整的、全面的、甚至完全准确的分析，亦不构成我们对API安全SDK产品或服务的承诺和保证。本《指南》不能作为判断您与您所开发、运营的APP是否满足合规与安全要求的可依赖的标准，亦不构成我们对前述事宜作出的任何担保或保证，您应当自行、独立地对前述APP承担合规与安全责任。

配置说明：

请务必确保您已经将升级到满足监管新规的最新版本。

SDK扩展业务功能的配置说明：API安全SDK仅提供安全监测基本业务功能，不存在扩展业务功能。

SDK可选个人信息的配置说明：API安全SDK仅收集业务所必要的个人信息，不收集非必要的个人信息。

SDK个人信息收集频次、精度说明：根据业务功能实现之最小必要进行用户个人信息的收集。

1. 收集个人信息说明

为了帮助开发者向最终用户提供相应功能及服务，当最终用户使用相应功能及服务时，我们会通过开发者应用向系统申请最终用户设备的相应权限。开发者应确保最终用户可以随时通过取消系统授权开发者应用获取相应设备权限或其他开发者应用提供的授权设置，停止我们对最终用户个人信息的收集，之后最终用户可能将无法使用基于相应个人信息而提供的相关服务或功能，或者无法达到基于相应个人信息提供的相关服务拟达到的效果，但不会影响最终用户正常使用API安全SDK的其他不基于相应个人信息即可实现的业务功能。

Android信息采集点及用途

iOS信息采集点及用途

HarmonyOS Next信息采集点及用途

获取设备及系统信息（设备品牌、制造商、设备型号、OAID、系统版本）、位置信息、网络信息（IP、WIFI-BSSID、WIFI-SSID、WiFi-MAC）用于进行风险设备分析、网络攻击溯源。

2. 权限调用合规说明

对于API安全SDK可选申请的系统权限，您可以参考相关如下表格的内容，详细了解相关权限与各业务功能的关系及其申请时机，因相关权限的不申请将会对其对应的功能造成影响，您可以结合业务实际需要进⾏合理配置。

Android操作系统权限使用

iOS操作系统权限使用

HarmonyOS Next操作系统权限使用

3. 隐私政策披露

政策要求：在APP的隐私政策中需逐一列出AAPP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。

应对措施：在APP的隐私政策说明中增加梆梆安全监测SDK说明： 信息收集范围、权限使用及用途的声明。

iOS隐私政策披露示例：（仅供参考，请以实际合作情况为准）

SDK名称：API安全SDK

第三方名称：北京梆梆安全科技有限公司

使用目的：在APP运行的全生命周期中，不依赖具体业务场景，在前台操作或前台静默状态用于判断当前App所运行的手机设备的安全性，防止恶意的用户对App进行网络安全攻击，保护用户的财产安全。

涉及权限及个人信息：采集个人位置信息、WiFi信息、切换网络、IP信息、IDFA、IDFV、应用安装列表，使用位置权限用于进行风险设备分析、网络攻击溯源。。 

隐私政策链接：https://www.everisker.com/user/privacypolicy

4. 用户授权同意的建议方式

政策要求：APP首次运行时应当有隐私弹窗，隐私弹窗中应公示简版隐私政策内容并附完整版隐私政策链接，并明确提示最终用户阅读并选择是否同意隐私政策；隐私弹窗应提供同意按钮和拒绝同意的按钮，并由最终用户主动选择。 如涉及敏感个人信息，应当取得您最终用户的单独授权同意，您可以通过单独弹窗的形式来实现最终用户的授权，并在您的《隐私政策》中针对敏感个人信息通过字体加粗或其他显著标识显示。

隐私政策授权弹窗示例：

政策要求：用户敏感权限，在调用时需显性方式告知用户申请目的。

弹窗方式进行告知示例：

5. SDK调用时机说明

政策要求：根据【工信部信管函〔2020〕164号】文，对“APP、SDK违规处理用户个人信息方面。”的整治说明，原文“违规收集个人信息。重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。”所以，用户未同意APP的隐私政策时，不能采集用户信息。

应对措施：为避免合规风险，我们提供了SDK初始化的接口，请APP前端先弹窗提示APP隐私政策，待用户点击“同意”后，再调用SDK初始化接口启用SDK。

6. 联系我们

开发者或最终用户对本隐私政策有任何意见、建议、投诉。

客服热线：4008-881-881

邮箱地址：Service@bangcle.com

工作时间：9-18点

鉴于最终用户的信息是通过开发者的应用收集的，我们建议最终用户优先联系开发者以便得到更高效的反馈。

7. 合规文件供开发者参考

《个人信息保护法》

《工业和信息化部关于开展信息通信服务感知提升行动的通知》

《工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知》

《工业和信息化部关于开展 App 侵害用户权益专项整治工作的通知》

《App 违法违规收集使用个人信息行为认定方法》

《App 违法违规收集使用个人信息自评估指南》

《常见类型移动互联网应用程序必要个人信息范围规定》

《GB/T 35273-2020信息安全技术 个人信息安全规范》

《网络安全标准实践指南一移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》

《网络安全标准实践指南一移动互联网应用程序(App)系统权限申请使用指南》