艾瑞SDK类业务个人信息保护政策
【2023】年【11】月 版
重要提示:
在使用艾瑞的SDK加码业务服务前,请您务必仔细阅读并透彻理解本政策,在确认充分理解并同意后使用艾瑞的相关产品或服务。一旦您开始使用艾瑞的SDK加码业务服务,即表示您已充分理解并同意本政策。
引言
为保护您的隐私权,艾瑞根据国家法律法规制定《艾瑞用户个人信息保护政策》(文中简称“本政策”)。本政策将向您详细说明艾瑞如何收集、存储、保护、使用和对外提供您的个人信息,并说明您享有的权利。本政策适用于您使用开发者开发和/或运营的网站或应用软件(包括APP、小程序、快应用、网页等,以下简称“开发者应用”)移动终端程序向您提供的艾瑞SDK服务。
艾瑞深知个人信息对您的重要性,并会尽全力保护您的个人信息安全可靠。艾瑞致力于维持您对我们的信任,恪守以下原则,保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则等。同时,艾瑞承诺,艾瑞将按业界成熟的安全标准,采取相应的安全保护措施来保护您的个人信息。
特别声明如下:
1. 本隐私政策不能替代开发者应用的隐私政策。 开发者应就其应用收集处理个人信
息的情况向您披露隐私政策,以向您声明其如何收集、处理及保护您的个人信息。 如果您寻求行使个人信息主体权利,请与相应开发者进行联系。
2. 您通过开发者应用所使用的本服务,由开发者根据其应用所需自行选择配置,并
可能因为您所使用的开发者应用版本不同而有所差异。如果开发者应用版本中不包括我们的某些功能或服务,则本隐私政策中涉及前述功能和服务及相关个人信息的处理内容将不适用。
3. 开发者在接入艾瑞SDK前应详细阅读并同意遵守本隐私政策内容,并根据合规说
明内容进行相关合规配置。
4. 请开发者在接入艾瑞SDK前,务必仔细阅读本隐私政策,特别是以加粗提示的条
款应重点阅读,并确认已经充分理解本隐私政策的内容,按照本隐私政策,作出认为适当的选择。同时,开发者应向您告知开发者应用集成艾瑞SDK的情况,包括艾瑞SDK名称、主体名称、处理个人信息种类及目的、本隐私政策链接等内容,以便于您了解相关内容并获取您的同意。一旦您接受或使用艾瑞SDK提供的服务,即表示您已充分理解并同意本政策。除非另有说明,如果开发者或您不同意本隐私政策或其更新,开发者或您应立即停止接入和/或使用本服务。
如果您对本政策内容有任何疑问、意见或建议,请通过以下联系方式与艾瑞联系:
邮 箱:ask@iresearch.com.cn
电 话:400-026-2099
第一章 定义
艾瑞:指上海艾瑞市场咨询股份有限公司及其关联公司,包括但不限于上海艾客信息咨询有限公司、上海艾瑞市场咨询股份有限公司广州分公司、上海艾瑞市场咨询股份有限公司北京分公司、北京艾瑞数智科技有限公司及艾瑞今后可能新开设的主体。
个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等,具体内容参照《信息安全技术个人信息安全规范》(GBT 35273—2020)附录A。
个人敏感信息:是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息,具体内容参照《信息安全技术 个人信息安全规范》(GBT 35273—2020)附录A。
第二章 个人信息保护政策
本政策将帮助您了解以下内容:
一、艾瑞如何收集和使用您的个人信息;
二、艾瑞如何共享、转让、公开披露您的个人信息;
三、艾瑞如何存储、保护您的个人信息;
四、您的权利;
五、艾瑞如何处理未成年人的个人信息;
六、您的个人信息如何在全球范围转移;
七、本政策如何更新;
八、如何联系艾瑞。
一、艾瑞如何收集和使用您的个人信息
为实现 SDK 产品的相应功能所必需,艾瑞将遵循合法、正当、必要的原则,出于本政策所述的以下目的,将向您或开发者收集、使用终端用户在使用与 SDK 产品相关的功能时产生的如下个人信息:
(一)收集和使用您的个人信息的目的
用于对移动端APP整体活跃统计分析,以及甄别异常访问行为和异常设备,以便为您提供更好的服务以及应用安全风险规避措施。
(二)收集和使用您的个人信息的范围
1. 环境信息收集:当您登录植入艾瑞SDK的APP时,艾瑞将会收集您的【网络信息:当前网络类型和名称;宿主信息:SDK宿主应用包名、版本号信息、应用名称】。
2. 设备信息收集:当您登录植入艾瑞SDK的APP时,艾瑞将会收集您的【设备信息:设备型号、设备厂商、Android软件版本】。
3. 设备标识收集:当您登录植入艾瑞SDK的APP时,艾瑞将会收集您的【设备标识:通过不可逆的加密处理,对OAID、Android ID、IDFA进行匿名化、去标识化等脱敏后再采集】
4. 异常行为甄别信息收集,当您登录植入艾瑞SDK的APP时,艾瑞将会收集您的【应用安装列表:应用包名、应用版本号、应用名称】
(三)为实现 SDK 产品功能所需的权限
如上所述,为了向您和/或您的终端用户提供我们的产品与/或服务,实现 SDK 产品的相应功能所必需,艾瑞会通过开发者的应用申请网络访问权限以及网络状态权限。如果您不授权开发者的应用使用相关权限,可能会导致艾瑞SDK服务无法使用。
(1)网络访问权限
艾瑞会调用您设备上的网络访问权限,上传上述收集到的信息,用于实现对移动端APP整体活跃统计分析,以及甄别异常访问行为和异常设备功能。如果您拒绝该项授权,前述功能您将无法正常使用。
(2)网络状态权限
艾瑞会调用您设备上的网络状态权限用于检测您的设备是否可以正常连接网络。如果您拒绝该授权,前述功能您将无法正常实现。
二、艾瑞如何共享、转让、公开披露您的个人信息
(一)共享
艾瑞不会与任何其他第三方分享您的个人信息,但以下情况除外:
1、艾瑞可能会根据法律法规规定,或按政府主管部门的强制性要求,对外共享您的个人信息。
2、与艾瑞的关联公司共享:您的个人信息可能会与艾瑞的关联公司或分公司共享。艾瑞只会共享必要的脱敏后的个人信息,且受本政策中所声明目的的约束。
对艾瑞与之共享个人信息的公司、组织和个人,艾瑞将严格评估该第三方收集信息的合法性、正当性、必要性。艾瑞将会与其签署严格的保密协定或条款,要求他们严格按照与艾瑞约定的目的、范围保存和使用共享的个人信息、以及采取其他相关的保密和安全措施来保存、处理接收到的共享个人信息,并且严格遵守相关法律法规与监管要求。
(二)转让
艾瑞原则上不会将您的个人信息转让给任何公司、组织和个人,但在涉及合并、收购或重组、破产清算时,如涉及到个人信息转让,艾瑞将按照法律法规及不低于本隐私政策所载明的安全标准要求继受方保护您的个人信息并继续受此隐私政策的约束,否则艾瑞将要求该公司、组织重新向您征求授权同意;如个人信息使用目的变更时,将重新取得您的明示同意。
(三)公开披露
艾瑞不会主动公开您未自行公开的信息,除非获得您的同意或遵循国家法律法规规定,公开披露您的除个人生物识别信息以外的个人信息:
1、告知您公开披露个人信息的目的、范围、类型(如设公开个人敏感信息则一并告知所涉个人敏感信息内容)并获得您明确同意后;
2、基于法律的披露:在法律、法律程序、司法或政府主管部门强制性要求的情况下,艾瑞可能会公开披露您的个人信息。
(四)依法豁免征得授权同意的情形
以下情形中,共享、转让、公开披露您的个人信息无需事先征得您的授权同意:
1、与国家安全、国防安全直接有关的;
2、与公共安全、公共卫生、重大公共利益直接有关的;
3、与犯罪侦查、起诉、审判和判决执行等直接有关的;
4、出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
5、所收集的信息是您自行向社会公众公开的个人信息;
6、从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
7、根据您的要求签订和履行合同所必须的;
8、用于维护所提供的服务的安全稳定运行所必需的,如发现、处置服务的故障;
9、法律法规规定的其他情形
根据法律规定,共享、转让经匿名化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向您通知并征得您的同意。
特别提示:如艾瑞收集的信息无法单独或结合其他信息识别您的个人身份,其不属于法律意义上的个人信息。
三、艾瑞如何存储、保护您的个人信息
(一)艾瑞在中华人民共和国境内收集和产生的个人信息将存储于中华人民共和国境内。如部分产品或服务涉及跨境业务,艾瑞将按照法律法规和相关监管部门的规定执行,向您说明相关的目的及涉及的信息类型,艾瑞将会征得您的授权同意。艾瑞只会在达成本政策所述目的所需的最短期限内保留您的个人信息,除非需要延长保留期或受到法律法规、法院判决/裁定、政府机关执法等的要求。
(二)安全技术措施:为了保障您的信息安全,艾瑞在收集您的信息后,将采取各种合理必要的措施保护您的信息。例如、在技术开发环境中,艾瑞仅使用匿名化、去标识化、脱敏处理的信息进行统计分析;对外提供研究报告时,艾瑞将对报告中所包含的信息进行去标识化处理,艾瑞会将去标识化后的信息与可用于回复识别个人信息分开存储,确保在针对去标识化信息的后续处理中无法重新识别个人。
(三)安全技术认证:艾瑞已使用符合业界标准的安全防护措施保护您提供的个人信息, 防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。例如,艾瑞会使用加密技术确保数据的保密性;艾瑞会使用受信赖的保护机制防止数据遭到恶意攻击;艾瑞会部署访问控制机制,确保只有授权人员才可访问个人信息;并且
“艾瑞企业官网系统”、“艾瑞数据管理平台”已经分别取得了《信息系统安全等级保护备案证明》的二级、三级备案证明。
(四)个人信息保护责任机制:艾瑞设立了个人信息保护责任机制,针对个人信息的收集、使用、共享、委托处理等环节开展个人信息安全影响评估。同时,建立了相关合规内控制度,并不断加强对工作人员相关法律法规及隐私安全准则和安全意识强化宣导。另外,艾瑞已与其员工签署保密协议或在与员工的劳动合同中纳入保密义务条款,艾瑞会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。
(五)安全提示:尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百安全,艾瑞将尽力确保或担保您发送给我们的任何信息的安全性。因此,我们强烈建议您采取积极措施保护用户信息的安全,包括但不限于使用复杂密码、定期修改密码、不将自己的账号密码等信息透露给他人,不安装来路不明的应用,不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。如果艾瑞的物理、技术或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改或毁坏,导致您的合法权益受损,艾瑞将承担相应的法律责任。
(六)安全事件应急预案:艾瑞已经制定个人信息安全事件应急预案,定期组织应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。在不幸发生个人信息安全事件后,艾瑞将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、艾瑞已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。艾瑞将及时将事件相关情况以电子邮件、信函、电话、推送通知等方式告知您,难以逐一告知个人信息主体时,艾瑞会采取合理、有效的方式发布公告。
同时,艾瑞还将按照监管部门要求,主动上报个人信息安全事件的处置情况。
四、您的权利
按照中国相关的法律、法规、标准,以及其他国家、地区的通行做法,艾瑞保障您对自己的个人信息行使以下权利:
(一) 管理您的个人信息
在开发者集成使用艾瑞SDK服务过程中,如果您提出管理(查阅、复制、更正、补充、删除等操作)个人信息的请求,且开发者已确定该等请求涉及到艾瑞SDK产品处理的个人信息、需要我们协助处理时,开发者应当及时通过本隐私政策联系方式联系我们,并附上必要的最终用户请求的书面证明材料。我们将及时核验相关材料,并按照相关法律法规及本隐私政策,为开发者响应您的行权请求提供相应的支持与配合。
(二) 删除您的个人信息
艾瑞会在以下情况执行删除信息请求:
1、如果艾瑞处理个人信息的行为违反法律法规;
2、如果艾瑞接收到开发者提出的信息删除请求;
3、如果艾瑞不再为开发者提供产品或服务。
五、艾瑞如何处理未成年人的个人信息
如开发者的应用涉及处理不满十四周岁未成年人的个人信息,开发者应当向不满十四周岁未成年人的监护人详细告知处理未成年人个人信息的情况,并就该等处理事项获得未成年人监护人的授权同意,同时开发者还应当针对不满十四周岁未成年人制定专门的个人信息处理规则。
若您是不满十四周岁未成年人的监护人,如您发现存在未经您的授权而收集不满十四周岁未成年人的个人信息,或希望查阅、复制、更正、补充、删除、撤回同意所处理的不满十四周岁未成年人的个人信息,您可以联系接入艾瑞SDK的应用开发者,或通过本隐私政策中的联系方式与我们联系,我们将根据法律规定及时进行处理。
如我们发现接入艾瑞SDK的应用开发者未获得未成年人监护人的授权同意而向我们传输不满十四周岁未成年人的个人信息,我们将主动删除。
六、本政策如何更新
(一)为了提供更好的服务,艾瑞SDK及相关服务将不时更新与变化,我们会适时对本隐私政策进行修订,这些修订构成本隐私政策的一部分。未经您明确同意,我们不会削减您依据当前生效的隐私政策所应享受的权利。
(二)本隐私政策更新后,我们会在官网隐私政策公示页面及其他相关页面公布更新版本,以便开发者与您及时了解本隐私政策的最新版本。我们会向开发者告知本隐私政策更新的内容,由开发者向您告知并取得您的授权同意。
七、如何联系艾瑞
如果您对本隐私政策有任何疑问、意见或建议,请通过以下方式与艾瑞联系:
邮 箱:ask@iresearch.com.cn
电 话:400-026-2099
艾瑞设立了个人信息保护专职部门(或个人信息保护专员),您同样可以通过上述方式与其联系。
一般情况下,艾瑞将在十五天内回复,特殊情形下最长将在不超过三十天或法律法规规定期限内做出答复。
如果您对艾瑞的回复不满意,特别是艾瑞的个人信息处理行为损害了您的合法权益,您还可以向消费者权益保护部门投诉或向艾瑞住所地有管辖权的法院提起诉讼。