图形认证SDK隐私政策
更新日期:2024年5月11日
提示条款
阿里巴巴云计算(北京)有限公司(简称“我们”)高度重视个人信息的保护,在您(简称“开发者”)使用我们提供的图形认证SDK服务时,我们将根据法律法规要求并参照行业最佳实践为您的个人信息安全提供充分保障。为此,我们制定本《图形认证SDK隐私政策》(简称“本政策”)以帮助您充分了解我们对您和您的最终用户(即“您的产品的最终用户”或“您的产品的终端用户”,以下同)的个人信息的处理方式。在您开始使用我们的产品和服务前,请您务必先仔细阅读和理解本政策,特别应重点阅读我们以粗体/粗体下划线标识的条款,确保您充分理解和同意后再开始使用。
如您对本隐私政策有任何疑问,您可以通过本隐私政策公布的联系方式与我们联系。如果您不同意本隐私政策的内容,您应停止使用图形认证SDK服务。
本政策将帮助您了解以下内容:
一、信息收集和使用
二、第三方开发者的合规义务
三、信息共享、转让
四、信息存储
五、信息安全
六、信息管理
七、未成年人保护
八、本政策更新
九、联系我们
一、信息收集和使用
(一)图形认证SDK处理的信息类型
1.各端通用采集数据明细
类别 | 字段 | 处理目的 | 适用的用户端 |
业务数据 | 图形认证产品 ID | 业务数据支撑 | Android 、 iOS、WEB 、 H5 |
集成网页地址Referer | 业务数据支撑 | Android 、 iOS、WEB、H5 | |
业务访问时间 | 业务数据支撑 | Android 、 iOS、WEB、H5 | |
基础数据 | IP | 用于支撑业务及安全策略 | Android 、 iOS、WEB、H5 |
UA | 用于支撑业务及安全策略 | Android 、 iOS、WEB、H5 | |
语言 | 用于支撑业务及安全策略 | Android 、 iOS、WEB、H5 |
2.移动端额外采集数据明细
除了通用采集数据以外,图形认证SDK服务在移动端还将额外采集以下信息:
类别 | 字段 | 处理目的 | 备注 |
业务数据 | 包名 / Bundle ID | 业务数据支撑 | Android 及 iOS |
应用版本 | 业务数据支撑 | Android 及 iOS | |
基础数据 | 设备型号 | 用于支撑业务及安全策略 | Android 及 iOS |
设备品牌 | 用于支撑业务及安全策略 | Android 及 iOS | |
系统平台 | 用于支撑业务及安全策略 | Android 及 iOS | |
系统版本 | 用于支撑业务及安全策略 | Android 及 iOS | |
系统语言 | 用于支撑业务及安全策略 | Android 及 iOS | |
屏幕高度 | 用于支撑业务及安全策略 | Android 及 iOS | |
屏幕宽度 | 用于支撑业务及安全策略 | Android 及 iOS | |
是否为平板 | 用于支撑业务及安全策略 | Android 及 iOS | |
内存大小 | 用于支撑业务及安全策略 | Android 及 iOS | |
设备名称 | 用于支撑业务及安全策略 | Android 及 iOS | |
运营商名称 | 用于支撑业务及安全策略 | Android 及 iOS | |
网络制式 | 用于支撑业务及安全策略 | Android 及 iOS | |
安全风控 | OAID | 支撑安全能力 | Android |
越狱 / Root 标记 | 支撑安全能力 | Android 及 iOS | |
代理标记 | 支撑安全能力 | Android 及 iOS | |
模拟器标记 | 支撑安全能力 | Android 及 iOS | |
代码篡改标记 | 支撑安全能力 | Android 及 iOS |
(二)图形认证SDK涉及的相关权限
使用图形认证SDK的服务可能涉及以下权限,开发者应根据实际需求向最终用户进行权限获取的申请:
端类型 | 权限名称 | 功能说明 | 使用场景 |
Android | android.permission.INTERNET | 设备访问网络 | 用于和服务进行网络交互 |
android.permission.WRITE_EXTERNAL_STORAGE | 写入外部存储 | 写日志到外部存储,以便于定位问题及改善产品 | |
android.permission.READ_EXTERNAL_STORAGE | 读取外部存储 | 读取存放的日志信息,以便于定位问题及改善产品 | |
iOS | Cellular | 允许访问蜂窝网络 | 通过蜂窝网络进行网络访问 |
(三)第三方SDK收集/处理的个人信息
为实现SDK产品的功能所必需,我们会基于以下使用目的、使用场景委托第三方收集/处理个人信息:
第三方公司名称 | 收集/处理信息类型 | 收集/处理目的 | 第三方隐私政策 |
武汉极意网络科技有限公 | 设备信息、设备网络信息、设备环境信息、用户生物轨迹信息、其他技术类信息 | 用于可信流量及行为验证,应对黑产攻击手段 | 您可以通过访问第三方官网的方式了解更多服务供应商的相关信息,或处理您与他人的纠纷或争议。 |
(四)如何使用 Cookie等同类技术
Cookie和同类设备信息标识技术是互联网中普遍使用的技术。当您使用我们的服务时,我们可能会使用相关技术向您的设备发送一个或多个 Cookie 或匿名标识符(以下简称“Cookie”),以收集、标识和存储您访问、使用本产品时的信息。我们承诺,不会将 Cookie 用于本政策所述目的之外的任何其他用途。
请最终用户注意,大多数浏览器均为用户提供了清除浏览器缓存数据的功能,您可以在浏览器设置中操作清除Cookie数据,但清除后可能无法使用由我们提供的、依赖于Cookie的功能或服务。
二、第三方开发者的合规义务
请第三方开发者注意,在您将图形认证SDK集成到您的产品前,您应仔细阅读并同意本政策,并对您集成图形认证SDK的产品收集、使用个人信息情况进行合规自查,保证我们可以基于服务必要性,合法地收集和使用最终用户的信息。
您需遵守的具体合规义务:
1. 您应当保证您已经遵守并将持续遵守适用的法律、法规和监管要求,包括但不限于您已制定和公布的有关个人信息保护的相关政策。
2. 在集成SDK产品前,您应当通过隐私政策等书面方式告知最终用户图形认证SDK收集、使用和处理用户个人信息的情况,并依法征得同意。最终用户应自主选择是否同意,而非以默认勾选同意的方式或以欺骗诱导的方式取得最终用户同意。在获得用户同意前,除非法律法规另有规定,您不应收集用户的任何个人信息,不应启用图形认证SDK及/或相关服务。
3. 为便于最终用户了解我们的隐私政策,您应当在您的隐私政策中对图形认证SDK进行告知说明,告知内容如下:
SDK名称:图形认证SDK
公司主体名称:阿里巴巴云计算(北京)有限公司
业务功能:行为验证
收集个人信息类型:IP地址、设备信息、操作系统
收集方式:SDK本机采集
隐私政策链接:【见链接】
4. 您应当向最终用户提供易于操作且满足法律及监管要求的用户个人信息权利实现机制,并向最终用户说明具体权利行使的路径。
5. 我们强烈建议您仅在中华人民共和国大陆地区使图形认证SDK服务。如您将图形认证SDK服务应用于中华人民共和国大陆地区以外,应当遵循有关数据跨境的法律要求,并承担可能产生的全部风险。
6. 如因您违反图形认证SDK的协议、隐私政策等约定,导致用户或第三方对我们主张任何形式的索赔或权利要求,或导致我们因此产生任何法律纠纷,您将负责解决并承担全部责任,赔偿因此给我们及我们的关联主体造成的全部损失。
请最终用户注意,我们已经要求第三方开发者遵守以上合规义务。但是我们难以控制第三方开发者的所有处理个人信息行为,如果我们发现第三方开发者未能满足前述任何一款或多款要求的合规义务的,我们将立即采取相应措施以保护最终用户的个人信息的安全(包括但不限于立即要求第三方开发者停止集成图形认证SDK)。
三、信息共享、转让
(一)共享
除向图形认证SDK技术支持者钉钉科技有限公司共享本政策第一章第(一)条所列信息外,我们不会与我们的关联公司、合作伙伴及第三方共享最终用户的必要的个人信息,除非为实现本政策第一条中所述目的。如改变个人信息的处理目的,我们会再次征求最终用户的同意。
(二)转让
我们不会向任何第三方转让最终用户的个人信息,除非以下情形:
1. 获得最终用户的同意。
2. 在涉及合并、收购或破产清算时,如涉及到个人信息转让,我们会要求新的持有最终用户个人信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向最终用户取得授权同意。
(三)公开披露
我们不会公开披露最终用户的个人信息,除非以下情形:
1. 取得最终用户的授权同意。
2. 在法律、法律程序、诉讼或监管部门强制性要求的情况下。
3. 在紧急情况下,经合理判断是为了保护我们、我们的客户、最终用户或其他人的重要合法权益。
四、信息的存储
(一)存储期限
一般情况下,我们只会在达成本政策所述目的所需的期限内保留最终用户的个人信息。但在下列情况下,且仅出于下列情况相关的目的,我们有可能需要较长时间保留最终用户的个人信息:
1. 遵守适用的法律法规等有关规定。
2. 遵守法院判决、裁定或其他法律程序的要求。
3. 遵守相关政府机关或其他有权机关的要求。
4. 为执行相关服务协议或本政策、维护社会公共利益、处理投诉/纠纷,保护我们的客户、我们或我们的关联公司、其他用户或雇员的人身和财产安全或合法权益所合理必需的用途。在个人信息超出保留期后,我们会删除最终用户的个人信息或匿名化处理。
(二)存储地域
我们在中华人民共和国境内产生或收集的个人信息,存储在中国境内的服务器。除非取得您的单独同意,或为了履行与您订立的合同,或为了遵循法律法规规定的义务,我们不会向境外提供您的任何个人信息。”
五、信息安全
(一)安全保护措施
我们已使用符合业界标准的安全防护措施保护第三方开发者和/或最终用户的个人信息,防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。
我们采用业界领先的技术保护措施。我们使用的技术手段包括但不限于防火墙、加密(例如SSL)、去标识化或匿名化处理、访问控制措施等。此外,我们还会不断加强将SDK集成到App上的安全能力。
我们已建立保障个人信息安全的专门管理制度、流程和部门,针对个人信息处理开展个人信息保护影响评估。同时,我们建立了相关内控制度,对可能接触到开发者和/或用户信息的工作人员采取最小够用授权的原则,对我们工作人员处理开发者和/或用户信息的行为进行系统监控,不断对工作人员培训相关法律法规及隐私安全准则,并进行安全意识强化宣导,每年组织全体工作人员参加安全考试。
(二)安全事件处置措施
若发生个人信息泄露、损毁、丢失等安全事件,我们会立即启动应急预案,尽力防止安全损害后果的发生。我们会依法及时以推送通知、邮件等形式向开发者和/或最终用户告知安全事件的基本情况、我们即将或已经采取的处置措施和补救措施,以及我们对开发者的应对建议。如果难以实现逐一告知,我们将通过公告等方式发布警示。
六、信息管理
我们非常重视最终用户对其个人信息享有的权利,并尽全力帮助其管理个人信息,以使其有能力保障自身的隐私和信息安全。
如您是开发者,您应当为最终用户提供并明确其查阅、复制、修改、删除个人信息、撤回同意、转移个人信息、限制个人信息处理、获取个人信息副本和注销账号的方式。
特别提示:用户去世的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本政策规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。您应当确保用户该权利的实现。
如您是最终用户,由于我们与您并无直接的交互界面,为保障您的权利实现,我们已要求开发者提供便于操作的保障您个人信息权利实现的方式。您也可通过本政策中的联系方式与我们联系。请您理解,特定的业务功能和服务将需要您的信息才能完成,当您撤回同意或授权后,我们无法继续为您提供对应的功能和服务。但您撤回同意或授权的决定,不会影响我们此前基于您的授权而开展的个人信息处理。
对于最终用户的合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将酌情收取一定费用。对于与最终用户的身份不直接关联的信息、无合理理由重复申请的信息,或者需要过多的技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者不切实际的请求,我们可能会予以拒绝。
七、未成年人保护
我们非常重视对未成年人的个人信息保护,我们原则上不接受任何未成年人注册登记成为我们的开发者用户,并且我们原则上也不接受第三方开发者提供最终用户为儿童的个人信息。
第三方开发者应注意:如您的应用的使用对象是14周岁以下未成年人(用户群体中有不满14周岁未成年人的也属于此种情形),请制定专门的儿童个人信息处理规则,并采取必要的措施确保已经取得了未成年人的父母或其他监护人的授权同意。
如您是未成年人的父母或者其他监护人,请您理解,受制于现有技术和业务模式,我们很难主动识别未成年人的信息,如果您发现我们错误或意外地收集了您所监护的未成年人的信息,您可通过本政策中的联系方式与我们联系删除,如我们自行发现前述情形,也会主动删除处理。如果您对所监护未成年人的个人信息有任何其他疑问,您可以联系第三方开发者,或通过本政策的联系方式与我们联系。
八、本政策更新
我们可能会适时对本政策进行修订。当本政策的条款发生重大变更时,我们会及时通知第三方开发者并要求其按照本政策更新相关说明文件,或以其他符合法律要求的适当形式展示变更后的政策。
九、联系我们
如果您对本政策有任何问题、建议或投诉,请您登录您的账户并通过客服渠道进行反馈。鉴于最终用户的信息是我们通过开发者的应用程序或网站收集的,我们建议最终用户优先联系开发者以便得到更高效的反馈。最终用户可以登录阿里云官网,通过工单服务,提交工单与我们联系,并注明是增强版实人认证相关问题。我们将在收到咨询后的15个工作日内予以回复。
需注意的是,我们可能不会回复与本政策或与个人信息保护无关的问题。
如果您对我们的回复不满意,特别是您认为我们的个人信息处理行为损害了您的合法权益,您还可以通过向被告住所地有管辖权的法院提起诉讼来寻求解决方案。
