合规指南

2021年11月1日，《中华人民共和国个人信息保护法》正式施行。此后，国家有关部委陆续出台《常见类型移动互联网应用程序必要个人信息范围规定》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》、《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》等监管要求，并持续开展各类个人信息权益保护专项治理行动，取得了显著的成效。为了帮助使用热力引擎 SDK 的开发者和运营者(以下简称“您”)更好地落实移动终端个人信息保护相关事宜，避免因涉及第三方相关业务实践而违反相关法律法规、政策及标准的规定，特编写本合规指南供您参考。

*请您知悉，本合规指南中的“合规要求”、“注意事项”、“方法”等内容均基于对国家相关法律法规、政策及标准的理解而起草，仅作为参考内容向您提供，不构成也不应被视为对任何法律法规、政策及标准的有权解释、法律意见或法律建议，亦不构成热力引擎对外的任何承诺与保证。

SDK收集的个人信息

a.采集字段

• 唯一设备识别码（OAID/ODID/AAID）
• 事件发生时间/登录账号/UA/设备语言/设备所在时区/制造商/操作系统版本/屏幕高度/屏幕宽度/设备型号/设备名称/设备型号标识/网络状态/应用版本/应用版本号/包名/应用名称/渠道名称/浏览器/浏览器版本/当前页面的标题/当前页面的地址/跳转前页面的标题/跳转前页面的地址/设备唯一ID/设备当前时间/设备开机时间/广告追踪是否打开标识/ADServiceToken/设备屏幕密度/首次安装时的应用版本/应用免安装体验是否为过去7天内发布等，具体以您实际传输的字段为准。热力引擎在归因分析服务中作为受托处理者，不决定收集的具体字段类型。

b.采集目的

• 基于设备信息用于生成脱敏的终端用户设备唯一性标识，以确保提供SDK服务；

c.采集时机

• 基于您调用热力引擎 SDK 初始化方法 initialize 时采集；

SDK所需的系统权限

获取权限时机：基于您调用热力引擎初始化方法 initialize 时获取；

获取用户有效同意的常见方法

以下方法仅供参考，具体合规方案请自行咨询您的法律顾问或监管机构：

（1）隐私弹窗

a.APP首次运行时应通过弹窗等明显方式提示终端用户阅读隐私政策；

b.隐私弹窗中应当有用户协议、隐私政策链接；

c.隐私弹窗应有拒绝同意的按钮，应由终端用户自主选择是否同意隐私政策，不应以默认勾选同意的方式或是欺骗诱导的方式取得终端用户授权。

（2）隐私政策

a.APP应有独立的隐私政策，隐私政策应单独成文，而不是用户协议或其他文件的一部分；

b.应保证隐私政策的易访问性，终端用户进入APP主功能界面后，通过4次以内的点击或滑动，就能够访问到隐私政策。

c.隐私政策中应包含SDK清单，介绍各SDK（包括热力引擎SDK）提供者的名称、联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等信息，并展示SDK提供者隐私政策链接。

d.向用户提供撤回同意的方式，并在用户撤回同意时及时通知热力引擎。

向用户披露热力引擎 SDK 信息的参考示例

SDK初始化时机

您应确保在用户同意《隐私政策》后才能调用热力引擎 SDK初始化，APP安装后首次冷启动时的初始化步骤参考如下：

（1）预初始化方法不会采集设备信息，也不会向热力引擎后台上报数据；

（2）确保APP首次冷启动时，在用户同意《隐私政策》之后，才调用正式初始化方法，此时SDK才会真正采集设备信息并上报数据；反之，如果用户不同意《隐私政策》，则不能调用正式初始化方法。