跳转至

Missing privacy manifest file

缺少隐私清单文件

描述

隐私清单(Privacy Manifest)是一份正式声明,概述了应用程序及其第三方 SDK 收集的用户数据类型、收集这些数据背后的目的以及用于这些目的的特定 API。

什么是隐私清单?

从更广泛的意义上讲,隐私清单可以被视为应用程序项目中的一份综合文档或文件,它: 列出应用程序收集的数据类型(例如,位置、个人标识符、使用数据)。 解释收集每种类型数据的目的(例如,改善用户体验、提供个性化内容)。 详细说明用于访问或收集这些数据的 API 和第三方 SDK。 确保符合隐私法律和平台指南(例如,GDPR、CCPA、Apple 的 App Store 审查指南)。

隐私清单的重要性

  1. 监管合规性:世界上许多司法管辖区都有严格的数据保护和隐私法律。隐私清单通过透明地声明其数据使用实践,帮助确保应用程序遵守这些法律。

  2. 平台要求:Apple 针对隐私制定了具体的指南和要求。详细的隐私清单有助于满足这些要求,特别是对于通过 App Store 审查流程至关重要。

  3. 用户信任:应用程序收集、使用和管理用户数据的方式的透明度可以显著增强用户信任。隐私清单是构建这种透明度的一步,向用户表明应用程序尊重他们的隐私。

  4. 数据最小化和目的限制:通过迫使开发人员明确列出并证明他们收集的数据,隐私清单鼓励了数据最小化和目的限制的原则。这些原则是默认隐私设计实践的核心,可确保应用程序不会收集比必要更多的数据,并且仅将数据用于声明的目的。

为什么应该出于隐私原因添加它

  1. 增强透明度:它为用户提供有关收集哪些数据及其原因的清晰信息,使他们能够就使用该应用程序做出明智的决定。

  2. 建立用户信心:展示对隐私的承诺可以使应用程序在拥挤的市场中脱颖而出,从而可能增加其对注重隐私的用户的吸引力。

  3. 为未来的法规做准备:监管环境正在快速发展,越来越重视用户隐私和数据保护。主动采用隐私清单等措施使应用程序能够很好地满足未来的合规需求。

  4. 避免法律和声誉风险:不遵守隐私法律和指南可能会导致巨额罚款、法律挑战并损害应用程序的声誉。隐私清单是降低这些风险的步骤。

建议

为了满足为您的 iOS 应用程序及其第三方 SDK 声明隐私清单文件(PrivacyInfo.xcprivacy)的要求,您需要创建并配置此文件,以详细说明您的应用程序收集的数据类型、收集这些数据的原因以及需要这些声明的特定 API。此步骤对于确保您的应用程序符合隐私准则、增强透明度以及建立与用户的信任至关重要。

以下是指导您设置 PrivacyInfo.xcprivacy 文件的步骤概述和示例:

第 1 步:创建隐私清单文件

  1. 选择 File > New File。
  2. 向下滚动到 Resource 部分,然后选择 App Privacy 文件类型。
  3. 点击 Next。
  4. 在 Targets 列表中勾选您的应用程序或第三方 SDK 的目标。
  5. 点击 Create。

第 2 步:为所需的 API 添加条目

在您的 PrivacyInfo.xcprivacy 文件中,您需要添加表示您的应用程序或其第三方 SDK 使用的 API 以及使用原因的键值对。键应该是 API 的名称,而值应该是描述在您的应用程序中使用这些 API 的目的的字符串。

以下是您的 PrivacyInfo.xcprivacy 可能的结构示例。本示例假设使用“File timestamp APIs”和“User defaults APIs”:

  <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
    <dict>
        <key>NSPrivacyAccessedAPITypes</key>
        <array>
            <dict>
                <key>NSPrivacyAccessedAPIType</key>
                <string>NSPrivacyAccessedAPICategoryDiskSpace</string>
                <key>NSPrivacyAccessedAPITypeReasons</key>
                <array>
                    <string>E174.1</string>
                </array>
            </dict>
            <dict>
                <key>NSPrivacyAccessedAPIType</key>
                <string>NSPrivacyAccessedAPICategoryUserDefaults</string>
                <key>NSPrivacyAccessedAPITypeReasons</key>
                <array>
                    <string>CA92.1</string>
                </array>
            </dict>
        </array>
    </dict>
  </plist>

第 3 步:确保准确性和合规性

反映应用程序功能:确保列出的原因准确反映了您的应用程序如何使用从这些 API 衍生出的数据。 无追踪:确认您没有将 API 或衍生数据用于追踪目的,除非明确声明且为应用程序功能所必需。 根据需要查看和更新:随着应用程序的发展,请定期查看和更新您的 PrivacyInfo.xcprivacy 文件,以匹配任何新的数据收集或 API 使用情况。

第 4 步:记录和审查

在提交之前,请仔细检查您的应用程序文档和应用程序内披露信息,以确保它们与您的 PrivacyInfo.xcprivacy 文件中做出的声明一致。这种一致性对于通过 App Store Review Guidelines(特别是与隐私相关的指南)至关重要。

遵守这些步骤将有助于确保您的应用程序符合隐私和数据使用透明度所需的标准,从而促进更顺利的审查过程并增强用户信任。

链接

标准

  • OWASP_MASVS_L1:
    • MSTG_ARCH_12
  • OWASP_MASVS_L2:
    • MSTG_ARCH_12
  • GDPR:
    • ART_5
    • ART_25
    • ART_32
    • ART_35
  • PCI_STANDARDS:
    • REQ_2_2
    • REQ_6_2
    • REQ_6_3
    • REQ_7_3
  • OWASP_MASVS_v2_1:
    • MASVS_PRIVACY_3
  • CNIL_FOR_EDITORS:
    • EDITORS_1_1_1
    • EDITORS_2_2_1
    • EDITORS_2_2_2