位置服务
【AppStore审核指南】关于隐私、数据收集使用和共享、健康、儿童、位置服务
Applealmond 发表了文章 • 2021-09-19 00:26
5.1 隐私
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
查看全部
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
查看全部
5.1 隐私
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
【AppStore审核指南】关于隐私、数据收集使用和共享、健康、儿童、位置服务
Applealmond 发表了文章 • 2021-09-19 00:26
5.1 隐私
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
查看全部
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
查看全部
5.1 隐私
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
【AppStore审核指南】关于隐私、数据收集使用和共享、健康、儿童、位置服务
Applealmond 发表了文章 • 2021-09-19 00:26
5.1 隐私
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
查看全部
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
查看全部
5.1 隐私
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。
在苹果生态系统中,保护用户隐私是最重要的,你在处理个人数据时应小心谨慎,以确保你遵守隐私的最佳做法、适用法律和苹果开发者计划许可协议的条款,更不用说客户的期望了。尤其是:
5.1.1 数据收集和存储
(i) 隐私政策。所有应用程序必须在App Store Connect元数据字段和应用程序内以易于访问的方式包含其隐私政策的链接。隐私政策必须清楚、明确地确定应用程序/服务收集哪些数据(如有),如何收集该数据,以及该数据的所有用途。确认应用程序与之共享用户数据的任何第三方(符合本准则)--如分析工具、广告网络和第三方SDK,以及将访问用户数据的任何母公司、子公司或其他相关实体--将对用户数据提供与应用程序的隐私政策中所述和本准则所要求的相同或同等保护。解释其数据保留/删除政策,并说明用户如何撤销同意和/或要求删除用户的数据。
(ii) 许可。收集用户或使用数据的应用程序必须获得用户的同意,即使这些数据在收集时或收集后立即被认为是匿名的。付费功能不得依赖或要求用户授权访问这些数据。应用程序还必须为客户提供一个易于访问和理解的方式来撤回同意。确保你的目的字符串清楚和完整地描述你对数据的使用。依靠欧盟《通用数据保护条例》("GDPR")或类似法规的条款,为合法利益而收集数据的应用程序必须遵守该法律的所有条款。了解更多关于请求许可的信息。
(iii) 数据最小化。应用程序应只请求访问与应用程序核心功能相关的数据,并应只收集和使用完成相关任务所需的数据。在可能的情况下,使用进程外选择器或共享表,而不是请求完全访问受保护的资源,如照片或联系人。
(iv) 访问。应用程序必须尊重用户的权限设置,不要试图操纵、欺骗或强迫人们同意不必要的数据访问。例如,包含向社交网络发布照片功能的应用程序,在允许用户上传照片之前,不得同时要求麦克风访问。在可能的情况下,为不同意的用户提供替代解决方案。例如,如果用户拒绝分享位置,提供手动输入地址的能力。
(v) 帐户登录:如果你的应用程序不包括重要的基于帐户的功能,让人们无需登录即可使用。如果你的应用程序支持账户创建,你也必须在应用程序内提供账户删除功能。应用程序不得要求用户输入个人信息以发挥作用,除非与应用程序的核心功能直接相关或法律要求。如果你的核心应用功能与特定的社交网络无关(如Facebook、微信、微博、Twitter等),你必须提供无需登录或通过其他机制的访问。拉取基本的个人资料信息,分享到社交网络,或邀请朋友使用该应用程序不被视为核心应用程序功能。该应用程序还必须包括一个机制,以撤销社交网络凭证,并从应用程序内禁用应用程序和社交网络之间的数据访问。一款应用不得在设备外存储社交网络的凭证或令牌,只能在应用使用过程中使用此类凭证或令牌从应用本身直接连接到社交网络。
(vi) 利用其应用程序偷偷摸摸地发现密码或其他私人数据的开发者将被从苹果开发者计划中删除。
(vii) SafariViewController必须用于向用户明显地展示信息;控制器不得被其他视图或层所隐藏或遮挡。此外,在用户不知情和不同意的情况下,应用程序不得使用SafariViewController来跟踪用户。
(viii)App Store 不允许从非直接来自用户或未经用户明确同意的任何来源编译个人信息的应用程序,甚至公共数据库。
(ix) 在高度管制的领域(如银行和金融服务、医疗保健、赌博、合法使用大麻和航空旅行)提供服务或需要敏感用户信息的应用程序,应由提供服务的法律实体提交,而不是由个人开发者提交。为合法销售大麻提供便利的应用程序必须在相应的法律管辖区有地理限制。
5.1.2 数据使用和共享
(i) 除非法律允许,否则在未获得某人的许可之前,你不得使用、传输或分享他的个人数据。您必须提供关于数据如何和在何处使用的信息。从应用程序收集的数据只能与第三方共享,以改进应用程序或提供广告服务(遵守苹果开发者计划许可协议)。你必须通过应用跟踪透明化API获得用户的明确许可,以跟踪他们的活动。未经用户同意或以其他方式遵守数据隐私法而分享用户数据的应用程序可能会被取消销售,并可能导致你被从Apple Developer Program中删除。
(ii) 除非法律明确允许,否则为一种目的收集的数据不得在未经进一步同意的情况下被重新利用。
(iii) 应用程序不应试图根据所收集的数据偷偷地建立用户档案,并且不得试图、促进或鼓励他人根据从苹果提供的API收集的数据或任何你说已经以 "匿名"、"聚合 "或其他不可识别的方式收集的数据来识别匿名用户或重建用户档案。
(iv) 不要使用来自联系人、照片或其他访问用户数据的API的信息来建立联系人数据库供你自己使用或出售/分配给第三方,也不要为分析或广告/营销的目的收集关于用户设备上安装了哪些其他应用程序的信息。
(v) 不要使用通过用户的联系人或照片收集的信息与人联系,除非是在该用户明确提出的个性化基础上;不要包括一个 "全选 "选项或默认选择所有联系人。你必须在发送前向用户明确说明信息将如何出现在收件人面前(例如,信息将说什么? 谁将显示为发件人?
(vi) 从HomeKit API、HealthKit、Clinical Health Records API、MovementDisorder APIs、ClassKit或从深度和/或面部映射工具(例如ARKit、Camera APIs或Photo APIs)收集的数据不得用于营销、广告或基于使用的数据挖掘,包括第三方。了解更多关于实施CallKit、HealthKit、ClassKit和ARKit的最佳做法。
(vii) 使用Apple Pay的应用程序只能与第三方分享通过Apple Pay获得的用户数据,以促进或改善商品和服务的交付。
5.1.3 健康和健康研究
健康、健身和医疗数据特别敏感,这一领域的应用程序有一些额外的规则以确保客户的隐私得到保护。
(i) 应用程序不得使用或向第三方披露在健康、健身和医疗研究背景下收集的数据--包括从临床健康记录API、HealthKit API、运动和健身、运动障碍API或与健康有关的人类主体研究中收集的数据--用于广告、营销或其他基于使用的数据挖掘,而不是用于改善健康管理,或用于健康研究的目的,而且只有在获得许可的情况下。然而,应用程序可以使用用户的健康或健身数据,直接向该用户提供福利(如降低保险费),前提是该应用程序是由提供福利的实体提交的,并且该数据不会与第三方共享。你必须披露你从设备中收集的具体健康数据。
(ii) 应用程序不得将虚假或不准确的数据写入HealthKit或任何其他医疗研究或健康管理应用程序中,并且不得在iCloud中存储个人健康信息。
(iii) 进行与健康有关的人体研究的应用程序必须获得参与者的同意,如果是未成年人,则必须获得其父母或监护人的同意。这种同意必须包括(a)研究的性质、目的和持续时间;(b)程序、风险和对参与者的好处;(c)关于保密和数据处理的信息(包括与第三方的任何共享);(d)参与者问题的联络点;以及(e)退出程序。
(iv) 进行与健康有关的人类课题研究的应用程序必须获得独立的伦理审查委员会的批准。必须应要求提供这种批准的证明。
5.1.4 儿童
出于许多原因,在处理来自儿童的个人数据时必须谨慎行事,我们鼓励你仔细审查遵守法律的所有要求,如《儿童在线隐私保护法》("COPPA")、欧盟《通用数据保护条例》("GDPR")以及任何其他适用的规章或法律。
应用程序可以要求提供出生日期和父母的联系信息,只是为了遵守这些法规,但必须包括一些有用的功能或娱乐价值,无论一个人的年龄。
主要为儿童设计的应用程序不应包括第三方分析或第三方广告。这为孩子们提供了更安全的体验。在有限的情况下,可以允许第三方分析和第三方广告,但这些服务必须遵守准则1.3中规定的相同条款。
此外,儿童类别的应用程序或那些收集、传输或有能力分享未成年人的个人信息(如姓名、地址、电子邮件、位置、照片、视频、图画、聊天能力、其他个人数据或与上述任何内容结合使用的持久性标识符)的应用程序必须包括隐私政策,并必须遵守所有适用的儿童隐私法规。为明确起见,儿童类别的家长门要求通常不等同于根据这些隐私法规获得家长同意来收集个人数据。
作为提醒,准则2.3.8要求在应用程序元数据中使用 "为儿童 "和 "为儿童 "这样的术语是为儿童类别保留的。不属于儿童类别的应用程序不能在应用程序名称、副标题、图标、屏幕截图或描述中包含任何暗示该应用程序的主要受众是儿童的术语。
5.1.5 位置服务
只有在与应用程序提供的功能和服务直接相关时,才在你的应用程序中使用位置服务。基于位置的API不应该被用来提供紧急服务或对车辆、飞机和其他设备的自主控制,除非是小型设备,如轻型无人机和玩具,或遥控汽车报警系统等。确保你在收集、传输或使用位置数据之前通知并获得同意。如果你的应用程序使用了位置服务,请确保在你的应用程序中解释其目的;关于这样做的最佳做法,请参考《人机界面指南》。