保护个人数据,并尊重用户对数据的使用偏好。
概览
注重用户隐私保护的设计十分重要。大多数 Apple 设备上都包含用户不想暴露给 App 或外部实体的个人数据。如果你 App 对数据的使用或访问不当,用户可能会弃用甚至从设备中删除该 App。
仅在根据适用法律获得用户的知情同意后,才应访问用户或设备数据。此外,应采取适当的步骤来保护用户和设备数据,并对数据的使用保持透明。
政府和行业的审核指南
查阅以下文稿:
-
移动隐私声明:通过公开透明建立信任 (英文)。联邦贸易委员会关于移动隐私的报告。
-
关于智能设备上 App 的 2013/02 意见 (英文)。欧盟数据保护专员关于移动 App 数据保护的意见。
-
移动隐私:对移动生态系统的建议 (英文)。加州总检察长对移动隐私的建议。
-
智能手机隐私计划 (2012) 英文版或日文版,以及智能手机隐私计划 II (2013) 英文版或日文版。日本总务省的智能手机隐私计划。
仅在 App 需要相关数据时才请求访问
在 App 需要敏感的用户或设备数据 (例如位置、联系人和照片) 时,请求访问这些数据。在 App 的 Info
文件中提供一个用途字符串 (有时称为使用说明字符串),系统可以向用户展示此字符串来解释为什么 App 需要访问相关数据。在用户不允许访问所请求数据的情况下,提供合理的回退行为。有关更多详细信息,请参阅“访问受保护的资源 (英文)”。
对数据的使用保持透明
例如,当你将 App 提交到 App Store 时,应当在 App Store Connect 元数据中指定隐私政策或声明的 URL。你还可以在 App 描述中概括介绍此类政策或声明。
让用户控制数据并保护你收集的数据
尊重用户的偏好,并采取合理措施来保护你在 App 中收集的数据:
-
提供允许用户禁止 App 访问敏感信息的设置。操作系统会通过“设置”App 的“隐私”菜单对受保护的系统资源 (如位置、联系人和健康数据) 自动执行此操作。将此行为扩展到你从这些来源缓存或直接收集的任何数据。例如,如果用户构建了一个包含个人信息的社交媒体档案,请为他们提供一种删除这类数据 (包括你拥有的任何服务器副本) 的方法。
-
在 iOS 中储存文件时,使用对 App 有效的最强数据保护级别,如“加密 App 的相关文件 (英文)”中所述。在通过网络发送用户或设备数据时,使用 App 传输安全,如“NSAppTransportSecurity (英文)”中所述。
-
如果 App 使用
ASIdentifier
(英文) 类,应考虑Manager
(英文) 属性的值。如果用户将该属性设置为 false,则Advertising Tracking Enabled ASIdentifier
(英文) 类仅应用于有限广告目的,如频率上限、归因、转换事件、估计唯一用户数量、广告欺诈检测和调试。有关其他信息,请参阅 AdSupport (英文) 框架。Manager -
如果必须持续识别用户,应使用
UIDevice
(英文) 类的identifier
(英文) 属性或For Vendor ASIdentifier
(英文) 类的Manager advertising
(英文) 属性。Identifier
使用最少量的所需数据
请求并使用完成给定任务所需的最少量用户或设备数据。不要出于不必要或不明显的原因,或者因为你认为以后可能会有用而试图获取或收集数据。
如果 App 支持音频输入,请将音频会话配置为只在你实际计划开始录音的地方进行录音。如果你不打算立即进行录音,请不要将你的音频会话配置为在启动时进行录音。系统会在 App 配置音频会话进行录音时提醒用户,并向用户提供停用 App 录音的选项。