HBuilderX日常踩坑之隐私合规检测

我们常用的三个平台：苹果，华为，小米。

苹果审核，除非框架对SDK版本要求之类的，基本审核都没啥问题。

华为目前也还流畅，隐私合规刚开始的时候会比较严一些，但基本还比较人性化。

小米的隐私合规，每次更新都需要发布无数个版本，修复文字和各种配置，而且不是一次性提醒，也不明确告诉该怎么调整。下面是更新的隐私合规检查的坑：

1、违规收集个人信息

APP以隐私政策弹窗的形式向用户明示收集使用规则，但未见清晰明示APP收集OAID等的目的方式范围，用户同意隐私政策后，存在收集OAID的行为。

APP向用户明示SDK的收集使用规则，但未见清晰明示SDK收集设备oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID等的目的方式范围，用户同意隐私政策后，SDK存在收集设oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID的行为。

1.1 问题分析：

因为app基于HBuilder，这样框架本身可能引用了第三方的SDK，这时候如果隐私声明没有相关说明，就会被拒。

1.2 解决方案：

隐私声明中添加如下文字：

本App使用可收集个人信息的第三方SDK如下:

MSA移动安全联盟SDK(图片处理com.asus.msa)
使用目的：用于MSA移动安全联盟推送设备oaid生成
收集的方式：自动收集
收集的个人信息类型：唯一设备识别码
所属公司/机构：MSA移动安全联盟

阿里设备标识SDK(com.ta.utdid2)
使用目的：用于阿里推送设备id生成
收集的方式：自动收集
收集的个人信息类型：唯一设备识别码
所属公司/机构：阿里云计算有限公司

Facebook SDK(图片处理com.facebook.animated.gif)
使用目的：App使用fresco图片加载框架
收集的方式：自动收集
收集的个人信息类型：IP地址和网络状态
所属公司/机构：Facebook

微信开放平台（com.tencent.mm）
使用目的：用于微信授权登录
收集的方式：自动收集
收集的个人信息类型：硬件设备型号、操作系统及版本、应用列表
所属公司/机构：深圳市腾讯计算机系统有限公司

微信支付SDK
使用目的：为用户提供在线支付服务
收集的方式：自动收集
收集的个人信息类型：设备标识符、硬件设备型号、软件版本信息、IP地址、位置信息、移动网络信息、存储读写权限
所属公司/机构：财付通支付科技有限公司

支付宝支付SDK
使用目的：为用户提供在线支付服务
收集的方式：自动收集
收集的个人信息类型：设备状态及身份信息、位置信息、运营商信息、Wi-Fi地址、应用列表
所属公司/机构：支付宝（杭州）信息技术有限公司

DCloud(io.dcloud)
使用目的：广告投放合作，广告归因、反作弊、安全
收集的方式：自动收集
收集的个人信息类型：设备地理位置
所属公司/机构：数字天堂（北京）网络技术有限公司

DCloud(io.dcloud)
使用目的：提供统计分析服务，并通过应用启动数据及异常错误日志分析改进性能和用户体验，为用户提供更好的服务
收集的方式：自动收集
收集的个人信息类型：设备唯一识别码（IMEI/Android_ID/ANDROID ID/DEVICE_ID/IDFA、SIM序列号、OAID）
所属公司/机构：数字天堂（北京）网络技术有限公司

2、APP强制、频繁、过度索取权限

APP首次打开，未见使用权限对应的相关产品或服务时，提前向用户弹窗申请开启存储权限。

2.1 问题分析：

HBuilderX打包后app安装启动会自动申请读写手机存储需访问系统相册，申请获取设备信息权限，这2种都是敏感权限，容易导致上架应用商店审核被拒。

2.2 解决方案：

1)、打开manifest.json文件，切换到“源码视图”项 ：

• uni-app项目 在 "app-plus" -> "distribute" -> "android" 节点下添加
• 5+ App项目 在 "plus" -> "distribute" -> "google" 节点下添加

2).关闭获取设备信息权限

    "permissionPhoneState": {  
        "request": "none",  
        "prompt": "为保证您正常、安全地使用，需要获取设备识别码（部分手机提示为获取手机号码）使用权限，请允许。"  
     }

3).关闭读写手机存储相册权限：

    "permissionExternalStorage": {  
        "request": "none",  
        "prompt": "应用保存运行状态等信息，需要获取读写手机存储（系统提示为访问设备上的照片、媒体内容和文件）权限，请允许。"  
     }

request有以下三种策略：

• none 应用启动时不申请
• once 应用第一次启动时申请，用户可以拒绝
• always 应用每次启动都申请，并且用户必须允许，用户拒绝时会弹出以下提示框引导用户重新允许