App Store 上 App 隐私保护的详细说明

新功能

将 App 提交至 App Store 时，说明你的 App 如何处理用户数据是非常重要的一环。新增的两项更新让你可以更轻松地准确提供隐私标签，并改进软件供应链的完整性：第三方 SDK 和隐私清单。此外，我们将添加更多数据类型选项，以供你在隐私标签中使用以描述 App 收集哪些类型的数据。

了解更多

观看最新视频

回答 App 隐私保护问题

当你准备从 App Store Connect 提供的选项里选择答案时，请你留意以下事项：

• 你需要明确说明你或第三方合作伙伴收集的所有数据，除非这些数据符合下列所有的选择性披露条件。
• 你 App 的隐私保护做法应该遵循《App 审核指南》及所有适用的法律。
• 你有责任确保提供准确且最新的回应。如果你的数据收集和使用情况发生变化，请前往 App Store Connect 更新你的回答。你可以随时更新你的回答，且无需为此提交 App 更新。

作为账户持有人、管理和 App 管理的成员可进一步了解如何在 App Store Connect 中输入相关回答。

数据收集

该标签可帮助顾客了解你的 App 会收集哪些数据，以及这些数据将被如何使用。要提供相关信息，在回答 App Store Connect 中的问题前，你需要了解你和/或第三方合作伙伴从你的 App 收集的数据类型。请记住，即使你是出于分析或广告投放之外的其他原因收集数据，也仍需加以声明。例如，如果你收集数据只是为了让 App 正常工作，请在标签上声明相关数据，并说明这些数据只用于这一目的。

“收集”是指从设备传出数据的过程中允许你和/或你的第三方合作伙伴访问这些数据，并且访问时间超出为所传输的请求实时提供服务的必要时间。

“第三方合作伙伴”指的是分析工具、广告网络、第三方 SDK 或在你的 App 中添加了其代码的其他外部供应商。

选择性披露

对于符合以下所有条件的数据类型，你可以自行选择是否进行披露：

• 数据并非用于追踪目的，即数据未与第三方数据关联以用于广告或广告监测目的，也未与任何数据代理共享。如需了解详情，请参阅“追踪”部分。
• 数据并非用于第三方广告、你自己的广告或营销目的，或者用于其他目的 (上述相关术语定义可参阅“追踪”部分)。
• 仅在不牵涉 App 的主要功能，且用户对此具有选择权的少数情况下进行数据收集。
• 数据由用户在 App 的界面中提供；用户很清楚收集了哪些数据；用户的姓名或账户名称与其他要提交的数据元素会一并在提交表中突出显示；且用户每次都确认提供所收集的数据。

数据类型必须符合上述所有条件，你才可以自行选择是否进行披露。如果 App 收集的数据类型只满足上述部分条件而非所有条件，则必须在 App Store Connect 中予以披露。

例如，与该 App 主要用途无关且符合上述其他条件的可选反馈表或客户服务请求中收集的数据属于可能不需要披露的数据。

为清楚起见，请务必披露在首次提出许可请求之后持续收集的数据。

受监管金融服务披露

如果收集数据的 App 是用于受监管的金融服务，并且收集的数据符合以下所有条件，你可以选择是否对相应的数据类型进行披露：

• 在适用的金融服务或数据保护法律法规 (例如 GDPR 或 GLBA) 下，受监管数据已依据相关法律要求，进行隐私声明以及相关收集。
• 仅在不牵涉 App 的主要功能，且用户对此具有选择权的情况下，才会通过 App 进行数据收集。
• 这类声明规定，数据不得与非关联第三方共享来营销其他产品和服务。
• 这类数据不得出于营销目的与第三方数据关联；不得与数据代理商共享 (除非是出于检测或预防欺诈的目的，或是安全目的)；亦不得出于信用报告目的与消费者报告机构共享.

数据类型必须符合上述所有条件，你才可以自行选择是否进行披露。如果 App 收集的数据类型只满足上述部分条件而非所有条件，则必须在隐私部分中予以披露。

健康研究披露

如果收集的数据类型是用于健康研究，且收集的数据符合以下所有条件，你可以选择是否进行披露：

• 数据将在用户已签署知情同意书 (ICF) 的情况下，由从事健康研究的实体进行收集，相关数据将用于一项已通过机构审查委员会或道德审查委员会的审查和批准的健康研究。
• 所有这类数据收集都必须遵循相关的 App Store 准则，且数据不得用于追踪目的。

如果 App 收集的数据类型只满足上述部分条件而非所有条件，则必须在隐私部分中予以披露。

数据类型

请参考下面的数据类型列表来对照你 App 中收集的数据类型。

联系信息
姓名	例如名字或姓氏
电子邮件地址	包括但不限于哈希电子邮件地址
电话号码	包括但不限于哈希电话号码
实际地址	例如家庭地址、实际地址或邮寄地址
其他用户联系信息	任何其他可用于在 App 之外与用户联系的信息
健康健美
健康	健康和医疗数据，包括但不限于来自 Clinical Health Records API、HealthKit API、Movement Disorder API 的数据、与健康有关的人体试验的数据，或用户提供的任何其他健康或医疗数据
健身	健身和锻炼数据，包括但不限于 Motion and Fitness API
财务信息
付款信息	例如付款方式、付款卡号或银行账号. 如果你 App 使用的付款服务要求用户在 App 外输入付款信息，并不会被作为开发者的你访问相关信息，那么这些信息就不会被收集而无需披露。
信用信息	例如信用评分
其他财务信息	例如薪资、收入、资产、债务或任何其他财务信息
位置
精确位置	描述用户位置或设备位置的信息，位置分辨率高于或等于三个或以上小数的经纬度
粗略位置	描述用户位置或设备位置的信息，位置分辨率低于三个或以上小数的经纬度，例如“大致定位服务”
敏感信息
敏感信息	例如人种或民族数据、性取向、怀孕或分娩信息、残疾、宗教或哲学信仰、工会会员身份、政治见解、基因信息或生物特征数据
联系人
联系人	例如用户的电话、地址簿或社交图谱中的联系人列表
用户内容
电子邮件或短信	包括主题行、发件人、收件人以及电子邮件或信息的内容
照片或视频	用户的照片或视频
音频数据	用户的语音或声音录音
游戏内容	例如，游戏存档、多玩家匹配或游戏逻辑，或者用户生成的游戏中内容
客户支持	用户在请求客户支持期间生成的数据
其他用户内容	用户生成的任何其他内容
浏览历史记录
浏览历史记录	与用户查看的不属于 App 的内容 (例如网站) 有关的信息
搜索历史记录
搜索历史记录	与 App 中执行的搜索有关的信息
标识符
用户 ID	例如用户名、句柄、账户 ID、分配的用户 ID、客户编号、或其他可用于识别特定用户或账户的用户级或账户级 ID
设备 ID	例如设备的广告标识符或其他设备级 ID
购买项目
购买历史记录	账户或个人的购买项目或购买倾向
使用数据
产品交互	例如 App 启动、轻点、点按、滚动信息、音乐收听数据、视频观看数据、游戏中存储的位置、视频或歌曲，或其他有关用户与 App 交互的信息
广告数据	例如与用户看过的广告有关的信息
其他使用数据	与 App 中的用户活动有关的任何其他数据
诊断
崩溃数据	例如崩溃日志
性能数据	例如启动时间、挂起率或能耗
其他诊断数据	出于衡量与 App 相关的技术诊断目的而收集的任何其他数据
周围环境
环境扫描	例如网格、平面、场景分类和/或用户周围环境的图像检测
人体
手部	用户的手部结构和手部动作
头部	用户的头部运动
其他数据
其他数据类型	未提及的任何其他数据类型

数据用途

你应清楚了解你和你的第三方合作伙伴如何使用每种数据类型。

例如，如果你在 App 中收集电子邮件地址并用它来验证用户身份和打造个性化的用户体验，这会涉及到“App 功能”和“产品个性化”。

用途	定义
第三方广告	例如，在你的 App 中显示第三方广告，或与显示第三方广告的主体共享数据
开发者的广告或营销	例如，在你的 App 中显示第一方广告，直接向用户发送营销宣传材料，或者与展示你广告的合作方共享数据
分析	使用数据评估用户行为，包括了解现有产品功能的效果、规划新功能或衡量受众规模或特征
产品个性化	自定用户看到的内容，例如包含推荐产品、帖子或建议的列表
App 功能	例如，认证用户身份、启用功能、防止欺诈、实现安全措施、确保服务器正常运行时间、最大限度减少 app 崩溃、提升可扩展性和性能，或执行客户支持
其他用途	任何未列出的其他用途

与用户关联的数据

对于你和/或第三方合作伙伴收集的每个数据类型，你都需要说明其是否会关联到用户的身份 (通过他们的账户、设备或其他详情)。从 App 中收集的数据通常会与用户的身份关联，除非在收集数据前已采取特定的隐私保护措施来对数据进行去标识化或匿名处理，例如：

• 在收集数据前去除所有直接标识符，例如用户 ID 或姓名。
• 通过对数据的处理，断开与真实身份的关联并防止再次关联。

此外，为了不使数据关联到特定的用户身份，在收集数据后你必须避免某些活动：

• 你不得尝试将数据再次关联到用户的身份。
• 你的数据不能绑定那些能使其关联到特定用户身份的其他数据。

注：根据相关隐私法的定义，“个人信息”和“个人数据”应视为与用户关联。

追踪

你需要了解你和/或第三方合作伙伴是否会使用从 App 中收集到的数据来追踪用户；如果会，哪些数据将用于此用途。

“追踪”是指将从你的 App 中收集的有关特定终端用户或设备的数据 (例如用户 ID、设备 ID 或描述文件) 与第三方数据相关联，用于定向广告或广告评估目的；或者与数据代理商共享从你的 App 中收集的有关特定终端用户或设备的数据。

“第三方合作伙伴数据”是指任何从那些不归你所有的 App、网站或离线属性文件中收集的有关特定终端用户或设备的数据。

追踪示例包括：

• 根据从其他公司的 App 和网站收集的用户数据，在你的 App 中显示定向广告。
• 与数据代理商共享设备位置数据或电子邮件列表。
• 与第三方广告网络共享电子邮件、广告 ID 或其他 ID 的列表，该第三方广告网络使用上述信息在其他开发者的 App 中重新定位这些用户或查找类似的用户。
• 在你的 App 中放置一个第三方 SDK，它会将你 App 中的用户数据与其他开发者 App 中的用户数据结合起来，用于投放定向广告或衡量广告效果 (即使你没有将该 SDK 用于这些目的)。例如，你所使用的登录 SDK 会利用从你的 App 中收集的数据，在其他开发者的 App 中启用定向广告。

以下情况不属于追踪：

• 数据仅关联在终端用户的设备上，且不会以可识别终端用户或设备的方式从设备中发送出去。
• 数据代理商将你与其共享的数据仅用于欺诈检测、欺诈防范或安全防护的用途。
• 数据代理商是消费者报告机构，且你与其共享的数据仅用于以下目的：(1) 提供消费者的信誉度报告，或 (2) 出于信用评估目的而获取关于消费者信誉度的信息。

进一步了解追踪。

隐私链接

通过在你的产品页面上添加以下链接，帮助用户轻松访问你 App 的隐私政策并在你的 App 中管理他们的数据。

隐私政策 (必选)：可公开访问的隐私政策 URL。

隐私选择 (可选)：可公开访问的 URL，用户可在此处进一步了解他们在使用你的 App 时可做出哪些隐私选择，以及如何管理它们。例如，让用户可以对其数据进行访问、请求删除和进行变更的一个网页。

其他注意事项

你的 App 具有网页视图。

通过网络流量收集的数据必须予以声明，除非你让用户能够浏览开放的网络。

你收集并储存用户的 IP 地址。

根据你使用 IP 地址的方式来声明相关的数据类型 ，例如用于获取精确位置、粗略位置、设备 ID 或诊断信息。

你在 App 内为用户提供互发私信的功能，而不是短信功能。

在你的标签上声明电子邮件或文本消息。文本消息既包括短信消息，也包括非短信消息。

你的 App 包括游戏存档、多玩家匹配或游戏逻辑。

在标签上声明游戏内容。

根据用户是否为儿童、免费或付费用户、是否主动选择接收营销内容、用户所在地，或者出于其他原因，你会收集不同类型的用户数据。

请披露从 App 中收集的所有数据，除非这些数据符合“选择性披露”部分列出的所有条件。你可以使用“隐私选择”或“隐私政策”链接来提供更多详细信息，说明你的数据收集做法可能存在的差异。

你使用 Apple 框架或服务 (例如 MapKit、CloudKit 或 App 分析)。

如果你从 Apple 框架或服务中收集有关 App 的数据，应指明你收集了哪些数据以及你使用这些数据的方式。但你无需负责披露由 Apple 收集的数据。

你使用位置、设备标识符和其他敏感数据，但只是在设备上使用，而且数据从未发送到某个服务器。

只在设备上处理的数据不属于“收集”的数据，不需要在你的回答中披露。如果你从这些数据中衍生出任何内容并会将其发送到设备之外，则产生的数据应单独予以考虑。

你收集精确的位置，但在储存之前会立即对其去标识化和粗略化。

请说明你将收集“粗略位置”，因为精确位置不会被储存，且相关数据会立即被粗略化处理。

你的 App 提供了可以自由输入的文本栏或录音功能，并且用户可以通过这些途径存储他们所需要的任何类型的信息，包括姓名和健康数据。

对于可以自由输入的文本栏，请标记“其他用户内容”；对于录音功能，请标记“音频数据”。你无需负责披露用户在 App 中通过可以自由输入的文本栏或录音功能手动输入的所有可能的数据。但是，如果你要求用户在文本栏中输入特定类型的数据 (例如他们的姓名或电子邮件地址)，或者如果你有某个功能可以让用户上传特定类型的媒体 (例如照片或视频)，那么你就需要披露具体的数据类型。

你收集数据以便为某个请求提供服务，但在对该请求提供服务之后并不保留这些数据。

“收集”是指从设备传出数据并以可读的形式储存数据，且储存期超过你或你的第三方合作伙伴为请求提供服务所需要的时间。例如，如果在服务器调用时发送了认证令牌或 IP 地址，但这些信息并未保留；或者，如果数据发送到了你的服务器，然后在为请求提供服务之后即被删除，则不需要在 App Store Connect 的回答中予以披露。