0


HBuilderX日常踩坑之隐私合规检测

我们常用的三个平台:苹果,华为,小米。

苹果审核,除非框架对SDK版本要求之类的,基本审核都没啥问题。

华为目前也还流畅,隐私合规刚开始的时候会比较严一些,但基本还比较人性化。

小米的隐私合规,每次更新都需要发布无数个版本,修复文字和各种配置,而且不是一次性提醒,也不明确告诉该怎么调整。下面是更新的隐私合规检查的坑:

1、违规收集个人信息

APP以隐私政策弹窗的形式向用户明示收集使用规则,但未见清晰明示APP收集OAID等的目的方式范围,用户同意隐私政策后,存在收集OAID的行为。

APP向用户明示SDK的收集使用规则,但未见清晰明示SDK收集设备oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID等的目的方式范围,用户同意隐私政策后,SDK存在收集设oaid-sdk,MSA移动安全联盟SDK,数字天堂SDK获取OAID的行为。

1.1 问题分析:

因为app基于HBuilder,这样框架本身可能引用了第三方的SDK,这时候如果隐私声明没有相关说明,就会被拒。

1.2 解决方案:

隐私声明中添加如下文字:

本App使用可收集个人信息的第三方SDK如下:

MSA移动安全联盟SDK(图片处理com.asus.msa)
使用目的:用于MSA移动安全联盟推送设备oaid生成
收集的方式:自动收集
收集的个人信息类型:唯一设备识别码
所属公司/机构:MSA移动安全联盟

阿里设备标识SDK(com.ta.utdid2)
使用目的:用于阿里推送设备id生成
收集的方式:自动收集
收集的个人信息类型:唯一设备识别码
所属公司/机构:阿里云计算有限公司

Facebook SDK(图片处理com.facebook.animated.gif)
使用目的:App使用fresco图片加载框架
收集的方式:自动收集
收集的个人信息类型:IP地址和网络状态
所属公司/机构:Facebook

微信开放平台(com.tencent.mm)
使用目的:用于微信授权登录
收集的方式:自动收集
收集的个人信息类型:硬件设备型号、操作系统及版本、应用列表
所属公司/机构:深圳市腾讯计算机系统有限公司

微信支付SDK
使用目的:为用户提供在线支付服务
收集的方式:自动收集
收集的个人信息类型:设备标识符、硬件设备型号、软件版本信息、IP地址、位置信息、移动网络信息、存储读写权限
所属公司/机构:财付通支付科技有限公司

支付宝支付SDK
使用目的:为用户提供在线支付服务
收集的方式:自动收集
收集的个人信息类型:设备状态及身份信息、位置信息、运营商信息、Wi-Fi地址、应用列表
所属公司/机构:支付宝(杭州)信息技术有限公司

DCloud(io.dcloud)
使用目的:广告投放合作,广告归因、反作弊、安全
收集的方式:自动收集
收集的个人信息类型:设备地理位置
所属公司/机构:数字天堂(北京)网络技术有限公司

DCloud(io.dcloud)
使用目的:提供统计分析服务,并通过应用启动数据及异常错误日志分析改进性能和用户体验,为用户提供更好的服务
收集的方式:自动收集
收集的个人信息类型:设备唯一识别码(IMEI/Android_ID/ANDROID ID/DEVICE_ID/IDFA、SIM序列号、OAID)
所属公司/机构:数字天堂(北京)网络技术有限公司

2、APP强制、频繁、过度索取权限

APP首次打开,未见使用权限对应的相关产品或服务时,提前向用户弹窗申请开启存储权限。

2.1 问题分析:

HBuilderX打包后app安装启动会自动申请读写手机存储需访问系统相册,申请获取设备信息权限,这2种都是敏感权限,容易导致上架应用商店审核被拒。

2.2 解决方案:

1)、打开manifest.json文件,切换到“源码视图”项 :

  • uni-app项目 在 "app-plus" -> "distribute" -> "android" 节点下添加
  • 5+ App项目 在 "plus" -> "distribute" -> "google" 节点下添加

2).关闭获取设备信息权限

    "permissionPhoneState": {  
        "request": "none",  
        "prompt": "为保证您正常、安全地使用,需要获取设备识别码(部分手机提示为获取手机号码)使用权限,请允许。"  
     }

3).关闭读写手机存储相册权限:

    "permissionExternalStorage": {  
        "request": "none",  
        "prompt": "应用保存运行状态等信息,需要获取读写手机存储(系统提示为访问设备上的照片、媒体内容和文件)权限,请允许。"  
     }

request有以下三种策略:

  • none 应用启动时不申请
  • once 应用第一次启动时申请,用户可以拒绝
  • always 应用每次启动都申请,并且用户必须允许,用户拒绝时会弹出以下提示框引导用户重新允许

本文转载自: https://blog.csdn.net/tirestay/article/details/127552247
版权归原作者 tirestay 所有, 如有侵权,请联系我们删除。

“HBuilderX日常踩坑之隐私合规检测”的评论:

还没有评论