阿里巴巴实人认证SDK隐私政策
生效时间:2023年7月18日
提示条款
杭州橙盾信息科技有限公司(以下统称为“我们”或“阿里巴巴实人认证SDK”,注册地址:浙江省杭州市余杭区五常街道文一西路969号3幢4层450室,联系方式:chengdun@alibaba-inc.com)高度重视个人信息保护,我们按照法律法规要求,并参照行业最佳实践,充分保障第三方开发者及其最终用户(以下简称为“最终用户”或“用户”)的个人信息安全。鉴于此,我们制定本《阿里巴巴实人认证SDK隐私政策》(以下简称“本政策“),以帮助第三方开发者及最终用户充分了解个人信息的处理情况。
请第三方开发者及最终用户务必仔细阅读本政策,特别应重点阅读我们以粗体/粗体下划线标识的条款,在确认充分理解并同意后再使用相关产品或服务。如果第三方开发者或最终用户不同意本政策,应立即停止接入及使用阿里巴巴实人认证SDK。
本政策将帮助您了解以下内容:
一、信息收集和使用
二、第三方开发者的合规义务
三、信息共享、转让
四、信息存储
五、信息安全
六、信息管理
七、未成年人保护
八、本政策更新
九、联系我们
一、信息收集和使用
第三方应用集成阿里巴巴实人认证SDK并提供服务的过程中,阿里巴巴实人认证SDK所处理的信息清单如下表所示:
采集信息类型 | Android | iOS | ||
是否采集 | 用途 | 是否采集 | 用途 | |
读取外置存储器 | 是 | 用于读取sdk写入本地存储的图片、视频和日志信息 | 是 | 用于读取sdk写入本地存储的图片、视频和日志信息 |
写入外置存储器 | 是 | 主要用于保存sdk采集的图片、视频、网络下载的文件以及日志信息 | 是 | 主要用于保存sdk采集的图片、视频、网络下载的文件以及日志信息 |
摄像头 | 是 | 用户做活体动作验证真人时,以及拍摄身份证照片时需要使用摄像头权限。 采集的用户信息:人脸照片、身份正面照片(若有)、身份证反面照片(若有) | 是 | 用户做活体动作验证真人时,以及拍摄身份证照片时需要使用摄像头权限。 采集的用户信息:人脸照片、身份正面照片(若有)、身份证反面照片(若有) |
访问电话状态 | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:IMEI、IMSI | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:IMEI、IMSI |
地理位置权限 | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:BSSID、SSID | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:BSSID、SSID |
网络状态权限 | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:BSSID、SSID | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:BSSID、SSID |
网络权限 | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:Mac | 是 | 判断用户是否为真实有效设备进行的刷脸认证,防范摄像头劫持等注入攻击风险。 采集用户信息:Mac |
二、第三方开发者的合规义务
请第三方开发者注意,在您将阿里巴巴实人认证SDK集成到您的产品前,您应仔细阅读并同意本政策,并对您集成阿里巴巴实人认证SDK的产品收集、使用个人信息情况进行合规自查,保证我们可以基于服务必要性,合法地收集和使用最终用户的信息。
您需遵守的具体合规义务:
1. 您应当保证您已经遵守并将持续遵守适用的法律、法规和监管要求,包括但不限于您已制定和公布的有关个人信息保护的相关政策。
2. 在集成SDK产品前,您应当通过隐私政策等书面方式告知最终用户阿里巴巴实人认证SDK收集、使用和处理用户个人信息的情况,并依法征得同意。最终用户应自主选择是否同意,而非以默认勾选同意的方式或以欺骗诱导的方式取得最终用户同意。在获得用户同意前,除非法律法规另有规定,您不应收集用户的任何个人信息,不应启用阿里巴巴实人认证SDK及/或相关服务。
3. 为便于最终用户了解我们的隐私政策,您应当在您的隐私政策中对阿里巴巴实人认证SDK进行告知说明,告知内容如下:
SDK名称:阿里巴巴实人认证SDK
公司主体名称:杭州橙盾信息科技有限公司
功能:实人认证校验服务
收集个人信息类型:获取应用进程信息、前后台切换状态信息、人脸、mac地址、iccid、Android ID、传感器信息
隐私政策链接:【首次生成后补充或直接提供链接】
4. 您应当向最终用户提供易于操作且满足法律及监管要求的用户个人信息权利实现机制,并向最终用户说明具体权利行使的路径。
5. 我们强烈建议您仅在中华人民共和国大陆地区使用阿里巴巴实人认证SDK服务。如您将阿里巴巴实人认证SDK服务应用于中华人民共和国大陆地区以外,应当遵循有关数据跨境的法律要求,并承担可能产生的全部风险。
6. 如因您违反阿里巴巴实人认证SDK的协议、隐私政策等约定,导致用户或第三方对阿里巴巴实人认证SDK主张任何形式的索赔或权利要求,或导致阿里巴巴实人认证SDK因此产生任何法律纠纷,您将负责解决并承担全部责任,赔偿因此给阿里巴巴实人认证SDK及其关联主体造成的全部损失。
请最终用户注意,我们已经要求第三方开发者遵守以上合规义务。但是我们难以控制第三方开发者的所有处理个人信息行为,如果我们发现第三方开发者未能满足前述任何一款或多款要求的合规义务的,我们将立即采取相应措施以保护最终用户的个人信息的安全(包括但不限于立即要求第三方开发者停止集成阿里巴巴实人认证SDK)。
三、信息共享、转让
(一)共享
一般情况下,我们不会与我们的关联公司、合作伙伴及第三方共享最终用户的必要的个人信息,除非为实现本政策第一条中所述目的。如改变个人信息的处理目的,我们会再次征求最终用户的同意。
(二)转让
我们不会向任何第三方转让最终用户的个人信息,除非以下情形:
(1) 获得最终用户的同意。
(2) 在涉及合并、收购或破产清算时,如涉及到个人信息转让,我们会在要求新的持有最终用户个人信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向最终用户取得授权同意。
(三)公开披露
我们不会公开披露最终用户的个人信息,除非以下情形:
1. 取得最终用户的授权同意。
2. 在法律、法律程序、诉讼或监管部门强制性要求的情况下。
3. 在紧急情况下,经合理判断是为了保护我们、我们的客户、最终用户或其他人的重要合法权益。
四、信息的存储
(一)存储期限
一般情况下,我们只会在达成本政策所述目的所需的期限内保留最终用户的个人信息。但在下列情况下,且仅出于下列情况相关的目的,我们有可能需要较长时间保留最终用户的个人信息:
1. 遵守适用的法律法规等有关规定。
2. 遵守法院判决、裁定或其他法律程序的要求。
3. 遵守相关政府机关或其他有权机关的要求。
4. 为执行相关服务协议或本政策、维护社会公共利益、处理投诉/纠纷,保护我们的客户、我们或我们的关联公司、其他用户或雇员的人身和财产安全或合法权益所合理必需的用途。在个人信息超出保留期后,我们会删除最终用户的个人信息或匿名化处理。
(二)存储地域
我们在中华人民共和国境内产生或收集的个人信息,存储在中国境内的服务器。除非取得您的单独同意,或为了履行与您订立的合同,或为了遵循法律法规规定的义务,我们不会向境外提供您的任何个人信息。
五、信息安全
(一)安全保护措施
我们已使用符合业界标准的安全防护措施保护第三方开发者和/或最终用户的个人信息,防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。
我们采用业界领先的技术保护措施。我们使用的技术手段包括但不限于防火墙、加密(例如SSL)、去标识化或匿名化处理、访问控制措施等。此外,我们还会不断加强将SDK集成到App上的安全能力。
我们已建立保障个人信息安全专门的管理制度、流程和部门,针对个人信息处理开展个人信息保护影响评估。同时,我们建立了相关内控制度,对可能接触到开发者和/或用户信息的工作人员采取最小够用授权的原则,对我们工作人员处理开发者和/或用户信息的行为进行系统监控,不断对工作人员培训相关法律法规及隐私安全准则,并进行安全意识强化宣导,每年组织全体工作人员参加安全考试。
(二)安全事件处置措施
若发生个人信息泄露、损毁、丢失等安全事件,我们会立即启动应急预案,尽力防止安全损害后果的发生。我们会依法及时以推送通知、邮件等形式向开发者和/或最终用户告知安全事件的基本情况、我们即将或已经采取的处置措施和补救措施,以及我们对开发者的应对建议。如果难以实现逐一告知,我们将通过公告等方式发布警示。
六、信息管理
我们非常重视最终用户对其个人信息享有的权利,并尽全力帮助其管理个人信息,以使其有能力保障自身的隐私和信息安全。
如您是开发者,您应当为最终用户提供并明确其查阅、复制、修改、删除个人信息、撤回同意、转移个人信息、限制个人信息处理、获取个人信息副本和注销账号的方式。
特别提示:用户去世的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本政策规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。您应当确保用户该权利的实现。
如您是最终用户,由于我们与您并无直接的交互界面, 为保障您的权利实现,我们已要求开发者提供便于操作的保障您个人信息权利实现的方式。您也可通过本政策中的联系方式与我们联系。请您理解,特定的业务功能和服务将需要您的信息才能完成,当您撤回同意或授权后,我们无法继续为您提供对应的功能和服务。但您撤回同意或授权的决定,不会影响我们此前基于您的授权而开展的个人信息处理。
对于最终用户的合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将酌情收取一定费用。对于与最终用户的身份不直接关联的信息、无合理理由重复申请的信息,或者需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者不切实际的请求,我们可能会予以拒绝。
七、未成年人保护
我们非常重视对未成年人的个人信息保护,我们原则上不接受任何未成年人注册登记成为我们的开发者用户,并且我们原则上也不接受第三方开发者提供最终用户为儿童的个人信息。
第三方开发者应注意:如您的应用的使用对象是14周岁以下未成年人(用户群体中有不满14周岁未成年人的也属于此种情形),请制定专门的儿童个人信息处理规则,并采取必要的措施确保已经取得了未成年人的父母或其他监护人的授权同意。
如您是未成年人的父母或者其他监护人,请您理解,受制于现有技术和业务模式,我们很难主动识别未成年人的信息,如果您发现我们错误或意外地收集了您所监护的未成年人的信息,您可通过本政策中的联系方式与我们联系删除,如我们自行发现前述情形,也会主动删除处理。如果您对所监护未成年人的个人信息有任何其他疑问,您可以联系第三方开发者, 或通过本政策的联系方式与我们联系。
八、本政策更新
我们可能会适时对本政策进行修订。当本政策的条款发生重大变更时,我们会及时通知第三方开发者并要求其按照本政策更新相关说明文件,或以其他符合法律要求的适当形式展示变更后的政策。
九、联系我们
如您是开发者,在阅读本政策或使用阿里巴巴实人认证SDK的过程中产生个人信息处理相关疑问,请随时与我们联系。联系邮箱:chengdun@alibaba-inc.com。
如您是最终用户,我们设立了专门的个人信息保护团队和个人信息保护负责人,如果您对本政策或个人信息保护相关事宜有任何疑问或投诉、建议时,您可以通过以下任一方式与我们联系:
1. 登录具体账户并通过客服渠道反馈。
2. 发送邮件至:chengdun@alibaba-inc.com。
3. 邮寄信件至: 浙江省杭州市余杭区五常街道文一西路969号3幢4层450室。
我们将尽快审核第三方开发者和/或最终用户提出的问题或建议,并在15个工作日内回复。需注意的是,我们不会回复与本政策或与个人信息保护无关的问题。