veRTC(SDK)开发者使用合规规范
最近更新时间:2024.04.01 18:44:58
首次发布时间:2022.04.22 11:54:57
为帮助使用 veRTC SDK 的开发者和运营者(以下简称 您)在符合相关法律法规、政策及标准的规定下开展第三方 SDK 业务,更好地落实用户个人信息保护相关要求,同时,也便于您更清楚地理解多平台即时通讯服务数据业务的合规性和已采用的安全保护技术能力,特别是保护个人信息和隐私的方法和措施,作为 veRTC SDK 的提供方,北京火山引擎科技有限公司(以下简称 火山引擎 或 我们),我们特制定《veRTC SDK 开发者使用合规规范》(以下称 本合规规范),便于您使用 veRTC SDK 过程中符合相应的合规要求。
1.开发者个人信息保护的合规要求
以下内容主要针对您在使用 veRTC SDK 的过程中,有关个人信息采集使用的重点合规要求的解读。
1.1 SDK 业务功能及配置说明
基本功能:veRTC SDK 的基本业务功能是为开发者提供实时音视频技术服务。
扩展功能:veRTC SDK 的扩展业务功能为通过 单独或合并 提供 RTS SDK、互动白板 SDK 和 应用性能监控全链路版 SDK,为开发者提供实时信令、互动白板和应用性能监控能力等有关服务。
SDK 初始化不会获取个人信息。请务必在用户同意您 APP 中的隐私政策后,再进行 veRTC SDK 的初始化;用户同意隐私政策之前,避免动态申请涉及用户个人信息的敏感设备权限;用户同意隐私政策前,您应避免私自采集和上报个人信息。当您的 APP 未向用户提供服务时,例如 APP 在后台运行时,请勿请求 veRTC SDK 的相关服务。具体的初始化时机可以详细查阅相关接入文档的内容,具体接入文档链接:
1.1.1 SDK 基本功能
veRTC SDK 的基本业务功能是为开发者提供实时音视频技术服务,有关信息采集及权限申请如下:
1.1.1.1 信息采集
| SDK 名称 | 操作系统类型 | 个人信息类型 | 个人信息采集字段 | 用途和目的 |
|---|---|---|---|---|
veRTC SDK | Android | 必要信息 | CPU信息 | 数据分析需要 |
| Android ID | 用于在线鉴权 | |||
Android、iOS 共同 | 必要信息 | IP 地址 | 数据分析需要,区分不同地域 | |
| 设备品牌 | 数据分析需要,区分不同设备品牌 | |||
| 设备型号 | 数据分析需要,区分不同设备型号 | |||
| 操作系统 | 数据分析需要,区分不同设备系统版本 | |||
| 操作系统 API 版本 | 数据分析需要,区分不同设备系统版本 | |||
| 屏幕分辨率 | 数据分析需要 | |||
| 电池电量 | 性能数据分析需要 | |||
| 内存使用情况 | 性能数据分析需要 | |||
| 运行线程数 | 数据分析需要 | |||
| 网络接入方式及类型 | 数据分析需要 | |||
| 加速度传感器 | 用于重力感应旋转画面 | |||
| 可选信息 | 用户反馈 | 数据分析需要 | ||
veRTC SDK | - | 必要信息 | 设备品牌 | 通过采集客户端的相关信息,向客户提供业务性能监控报表与故障排查能力 |
| 设备型号 | ||||
| 操作系统名称/类型/版本号 | ||||
| CPU 信息 | ||||
| 内存使用情况 | ||||
| IP 地址 | ||||
| 分辨率 | ||||
| 电池电量 | ||||
| 内存使用情况 | ||||
| 运行线程数 | ||||
| 系统权限设置 | ||||
| 网络接入方式及类型 | ||||
| 其他服务日志信息 | ||||
| 可选信息 | 用户反馈 | |||
veRTC SDK | - | 必要信息 | 设备品牌 | 通过采集客户端的相关信息,向客户提供业务性能监控报表与故障排查能力 |
| 设备型号 | ||||
| 操作系统名称/类型/版本号 | ||||
| IP 地址 | ||||
| 分辨率 | ||||
| 网络接入方式及类型 | ||||
| 其他服务日志信息 | ||||
| 可选信息 | 用户反馈 |
SDK可选个人信息的配置说明:
对于上述 SDK 可选收集的个人信息的控制,您可以参考相关接入文档的相关内容,详细了解因相关信息的不收集将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。具体接入文档链接:
SDK 不同版本获取的字段信息会有差异,为了保证终端用户的安全和服务的可行性,火山引擎会不断更新 SDK 版本以提升安全性,SDK 版本更新火山引擎会向您以发送站内信等方式告知,请您及时更新 SDK 版本,因更新不及时产生的任何问题,由您自行解决并承担全部责任。
1.1.1.2 权限申请
| SDK名称 | 操作系统类型 | 权限类型 | 权限名称 | 使用场景和目的 |
|---|---|---|---|---|
veRTC SDK | Android | 可选 | CAMERA | 完成音视频信息发布 |
RECORD_AUDIO | 完成音视频信息发布 | |||
WRITE_EXTERNAL_STORAGE | 用于音频 dump 功能 | |||
iOS | 可选 | NSCameraUsageDescription | 完成音视频信息发布 | |
NSMicrophoneUsageDescription | 完成音视频信息发布 |
SDK 可选权限说明:
对于上述 SDK 可选申请的系统权限,您可以参考本文档详细了解相关权限与各业务功能的关系及其申请时机,因相关权限的不申请将会对其对应的功能造成影响,您可以结合业务实际需要进行合理配置。
SDK 初始化及业务功能调用时机的要求:确保在用户同意您 APP 中的隐私政策后,再进行 veRTC SDK 的初始化。用户同意隐私政策前,您应避免私自采集和上报个人信息。当您的 APP 未向用户提供服务时,例如 APP 在后台运行时,请勿请求 veRTC SDK 的相关服务。
1.1.2 SDK 扩展功能
veRTC SDK 的扩展业务功能是为通过单独或合并提供RTS SDK、互动白板 SDK 和应用性能监控全链路版 SDK,为开发者提供实时信令、互动白板和应用性能监控能力等有关服务, 有关信息采集及权限申请如下:
1.1.2.1 RTS SDK
RTS SDK 复用 RTC 的高保障信令传输通道,能够实现消息的可靠、低延时传输,满足客户通过自定义信令进行实时数据同步以及高效数据传输的需求。如您使用集成有RTS SDK的开发者应用,RTS SDK会通过开发者应用采集下列信息:
| SDK名称 | 操作系统类型 | 个人信息类型 | 个人信息采集字段 | 用途和目的 |
|---|---|---|---|---|
RTS SDK | Android、iOS 共同 | 必要信息 | IP 地址 | 数据分析需要,提供就近最优边缘节点接入 |
| 网络信息 | 数据分析需要,用于优化网络访问效果 | |||
| 操作系统版本 | 数据分析需要,判断是否开启特定功能和配置 | |||
| 设备信息 | 数据分析需要,评估服务运行情况 |
1.1.2.2 互动白板 SDK
互动白板 SDK 基于 veRTC 的实时信令网络,提供超低延迟的多人实时白板互动服务,支持白板涂鸦、笔迹实时同步、文档转码、白板录制、白板与实时音视频同步等多种能力。如您使用集成有互动白板 SDK 的开发者应用,互动白板 SDK 会通过开发者应用采集下列信息:
| SDK名称 | 操作系统类型 | 个人信息类型 | 个人信息采集字段 | 用途和目的 |
|---|---|---|---|---|
互动白板 SDK | Android、iOS 共同 | 必要信息 | IP 地址 | 数据分析需要,提供就近最优边缘节点接入 |
| 网络信息 | 数据分析需要,用于优化网络访问效果 | |||
| 操作系统版本 | 数据分析需要,排查故障 | |||
| 设备信息 | 数据分析需要,排查故障 | |||
| 硬件型号 | 数据分析需要,排查故障 |
1.1.2.3 应用性能监控全链路版 SDK
应用性能监控全链路版 SDK 为开发者提供应用性能监控功能与服务。如您使用集成有应用性能监控全链路版 SDK 的开发者应用,应用性能监控全链路版 SDK 会按照 《应用性能监控全链路版 SDK 隐私政策》 有关声明,通过开发者应用采集相关个人信息和申请权限。
1.1.3 SDK 按照不同频次、精度收集个人信息的配置说明
收集频次方面,veRTC SDK 的数据采集仅在 APP 调用/终端用户触发相关功能时触发,不涉及定时逻辑等频次控制选项。收集精度方面,主要涉及定位相关功能,主要通过权限进行控制,veRTC SDK 通过可选权限让 APP 可以控制是否申请精确地理位置权限或粗略地理位置权限。
1.2 SDK 隐私政策披露示例
SDK名称: veRTC SDK
涉及个人信息:请开发者参照本文档第 1.1 条实际接入情况列举
合作方主体: 北京火山引擎科技有限公司
使用目的: 音视频通话和音视频信息发布
使用场景: 音视频通话、教育在线课堂、直播连麦、游戏语音、云端渲染等
收集方式: SDK 自行采集
官网链接: https://www.volcengine.com/
隐私政策链接: https://www.volcengine.com/docs/508/110611
1.3 终端用户同意方式的示例
APP 首次运行时应当有隐私弹窗,隐私弹窗中应公示简版隐私政策内容并附完整版隐私政策链接,并明确提示用户阅读并选择是否同意隐私政策;隐私弹窗应提供同意按钮和拒绝同意的按钮,并由用户主动选择。
披露示例:
1.4 终端用户行使权利的配置说明
开发者在产品中集成 veRTC SDK 后,veRTC SDK 的正常运行会收集必要的用户信息用于实时音视频技术服务目的。开发者应根据相关法律法规为用户提供行使个人信息主体权利的路径或功能,需要 veRTC SDK 配合的,请与 veRTC SDK 及时进行联系,我们将与开发者协同妥善解决终端用户的诉求。
2. 您使用 veRTC SDK 服务时的合规注意事项
您接入 veRTC SDK 前,应当仔细阅读 veRTC SDK 服务相关协议约定、本规范、用户协议、隐私政策等内容,并依据相关内容对您 APP 的《隐私政策》及您 APP 采集、处理个人信息的情况进行合规自查。
- 您知悉并认可:veRTC SDK 本身所采集的数据并不能识别特定自然人的身份。我们按照相关合作协议的约定代表您采集、处理数据,您作为个人信息处理者应承担个人信息保护的法律责任。
- 您已认真阅读并理解 veRTC SDK 相关协议约定、本合规规范、用户协议、隐私政策、采集个人信息及获取用户权限的接入/配置说明等约定,并承诺针对 veRTC SDK 采集、处理相关个人信息,您已取得了用户的授权和同意,并保证您不会违反国家相关法律法规、相关国家标准以及双方约定的目的。
- 您承诺遵守未成年人保护及儿童个人信息保护的相关法律法规,如果您的 APP 可能会对不满十四周岁的儿童用户提供服务,您承诺已采取相关措施并保证已获得其监护人的授权同意。
- 您的 APP 隐私政策应当符合与数据安全、个人信息保护相关的国家法律法规、国家标准、相关监管要求及您与火山引擎约定,并将 veRTC SDK 的相关信息在隐私政策中向您的用户进行充分告知。开发者在产品中集成 veRTC SDK 后,veRTC SDK 的正常运行会收集必要的用户信息用于实时音视频技术服务目的。请开发者根据集成 veRTC SDK 的实际情况,在您 APP 的隐私政策中,对 veRTC SDK 以及数据采集情况进行披露。建议:确认您所接入的 veRTC SDK 版本和功能模块;根据上述版本和模块,从隐私政策中确定与 veRTC SDK 交互的数据内容;在您 APP 的隐私政策中,以文字或列表的方式向公众披露 veRTC SDK 的相关信息。
您应当保证《隐私政策》的独立性和明显提示性,即《隐私政策》应单独成文,APP首次运行时会通过弹窗等明显方式提示用户阅读《隐私政策》, 用户确认同意《隐私政策》后,再启用veRTC SDK进行个人信息的采集与处理 。
您保证已在 APP 的隐私政策中明确告知用户已选择火山引擎作为合作方进行数据分析合作,并向您的用户告知 veRTC SDK 采集使用个人信息的目的、方式和范围等情况。 - 如因您违反火山引擎的协议约定、本合规规范、用户协议、隐私政策等约定,导致您的用户或第三方对火山引擎主张任何形式的索赔或权利要求,或导致火山引擎因此产生任何法律纠纷的,您将负责解决并承担全部责任,如因此给火山引擎及其关联主体造成损失的,您应赔偿因此给火山引擎及其关联主体造成的全部损失。
3. 火山引擎的数据安全保护能力
火山引擎非常重视数据安全,将努力采取合理的安全措施(包括技术方面和管理方面)来保护数据安全,防止您提供的数据信息被不当使用或未经授权的情况下被访问、公开披露、使用、修改、损坏、丢失或泄漏。我们会使用不低于行业同行的加密技术、匿名化处理及相关合理可行的手段保护数据安全,并使用安全保护机制防止您的数据信息遭到恶意攻击,并建立专门的安全部门、安全管理制度、数据安全流程保障您的个人信息安全。我们采取严格的数据使用和访问制度,确保只有授权人员才可访问您的个人信息,并适时对数据和技术进行安全审计。尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全,我们将尽力确保您提供给我们的数据信息的安全性。
您知悉并理解,您接入我们的服务所用的系统和通讯网络,有可能因我们可控范围外的因素而出现问题。因此,我们强烈建议您采取积极措施保护数据信息的安全,包括但不限于使用复杂密码、定期修改密码、不将自己的账号密码及相关数据信息透露给他人。我们会制定应急处理预案,并在发生数据安全事件时立即启动应急预案,努力阻止这些安全事件的影响和后果扩大。一旦发生数据安全事件(泄露、丢失)后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已经采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施。我们将及时将事件相关情况以推送通知、邮件、信函、短信及相关形式告知您,难以逐一告知时,我们会采取合理、有效的方式发布公告。同时,我们还将按照相关监管部门要求,上报用户信息安全事件的处置情况。但一旦您离开火山引擎及相关服务,浏览或使用其他网站、服务及内容资源,我们将没有能力和直接义务保护您在火山引擎及相关服务之外的软件、网站提交的任何数据信息,无论您登录、浏览或使用上述软件、网站是否基于 veRTC SDK 服务的链接或引导。