一眼看懂鴻蒙OS 應用隱私保護

隨著移動終端及其相關業務（如移動支付、終端云等）的普及，用戶隱私保護的重要性愈發突出。應用開發者在產品設計階段就需要考慮保護的用戶隱私，提高應用的安全性。HarmonyOS 應用開發需要遵從其隱私保護規則，在應用上架應用市場時，應用市場會根據規則進行校驗，如不滿足條件則無法上架。

數據收集及使用公開透明

應用采集個人數據時，應清晰、明確地告知用戶，并確保告知用戶的個人信息將被如何使用。

• 應用申請操作系統受限權限和敏感權限時，需要明確告知用戶權限申請的目的和用途，并獲取用戶的同意。受限權限 API 使用方案請參考權限章節。詳細的 UX 設計方案請參考UX 設計隱私方案。
  圖1 敏感權限獲取彈框示例
  

• 開發者應制定并遵從適當的隱私政策，在收集、使用留存和第三方分享用戶數據時需要符合所有適用法律、政策和規定。需充分告知用戶處理個人數據的種類、目的、處理方式、保留期限等，滿足數據主體權利等要求。
  根據以上原則，我們設計了示例以供參考。隱私通知/聲明的參考示例如下：

圖2 應用隱私通知示例圖

圖3 應用隱私聲明示例圖

• 個人數據應當基于具體、明確、合法的目的收集，不應以與此目的不相符的方式作進一步處理。對于收集目的變更和用戶撤銷同意后再次使用的場景都需要用戶重新同意。隱私聲明變更示例圖，隱私聲明撤銷同意示例圖所示。

圖4 隱私聲明變更示例圖

圖5 撤銷同意示例圖

• 應用的隱私聲明應覆蓋本應用所有收集的個人數據。
• 有 UI 的 Ability 運行時需要在明顯位置展示 Ability 的功能名稱及開發者名稱/logo。
• 應用的隱私聲明應在應用首次啟動時通過彈框等明顯的方式展示給用戶，并提供用戶查看隱私聲明的入口。
• 調用第三方 Ability 時，需要明確調用方與被調用方履行的隱私責任，并在聲明彈框中告知數據主體相關隱私權責。
• 調用第三方 Ability 時，如涉及個人數據的分享，調用方需在隱私聲明中說明分享的數據類型和數據接收者的類型。

數據收集及使用最小化

應用個人數據收集應與數據處理目的相關，且是適當、必要的。開發者應盡可能對個人數據進行匿名或化名，降低數據主體的風險。僅可收集和處理與特定目的相關且必需的個人數據，不能對數據做出與特定目的不相關的進一步處理。

• 敏感權限申請的時候要滿足權限最小化的要求，在進行權限申請時，只申請獲取必需的信息或資源所需要的權限。
• 應用針對數據的收集要滿足最小化要求，不收集與應用提供服務無關聯的數據。
• 數據使用的功能要求能夠使用戶受益，收集的數據不能用于與用戶正常使用無關的功能。

數據處理選擇和控制

對個人數據處理必須要征得用戶的同意，用戶對其個人數據要有充分的控制權。

• 應用申請使用系統權限：應用彈窗提醒，向用戶呈現應用需要獲取的權限和權限使用目的、應用需要收集的數據和使用目的等，通過用戶點擊“確認”的方式完成用戶授權，讓用戶對應用權限的授予和使用透明、可知、可控。
• 用戶可以修改、取消授予應用的權限：當用戶不同意某一權限或者數據收集時，應當允許用戶使用與這部分權限和數據收集不相關的功能。
• 在進入應用的主界面之前不建議直接彈窗申請敏感權限，僅在用戶使用功能時才請求對應的權限。
• 系統對于用戶的敏感數據和系統關鍵資源的獲取設置了對應的權限，應用訪問這些數據時需要申請對應的權限。相關權限列表請參考應用權限列表章節。

數據安全

從技術上保證數據處理活動的安全性，包括個人數據的加密存儲、安全傳輸等安全機制，系統應默認開啟或采取安全保護措施。

數據存儲
應用產生的密鑰以及用戶的敏感數據需要存儲在應用的私有目錄下，敏感數據定義可參考數據分類分級標準。
應用可以調用系統提供的本地數據庫 RdbStore 的加密接口對敏感數據進行加密存儲。接口詳見關系型數據庫章節。
應用產生的分布式數據可以調用系統的分布式數據庫進行存儲，對于敏感數據需要采用分布式數據庫提供的加密接口進行加密，接口詳見分布式數據服務章節。

安全傳輸
需要分別針對本地傳輸和遠程傳輸采取不同的安全保護措施。

本地傳輸：
應用通過 intent 跨應用傳輸數據時避免包含敏感數據，intent scheme url 協議使用過程中加入安全限制，防止 UXSS 等安全問題。
應用內組件調用應采用安全方式，避免通過隱式方式進行調用組件，防止組件劫持。
避免使用 socket 方式進行本地通信，如需使用， localhost 端口號隨機生成，并對端口連接對象進行身份認證和鑒權。
本地 IPC 通信安全：作為服務提供方需要校驗服務使用方的身份和訪問權限，防止服務使用方進行身份仿冒或者權限繞過。

遠程傳輸：
使用 https 代替 http 進行通信，并對 https 證書進行嚴格校驗。
避免進行遠程端口進行通信，如需使用，需要對端口連接對象進行身份認證和鑒權。
應用進行跨設備通信時，需要校驗被訪問設備和應用的身份信息，防止被訪問方的設備和應用進行身份仿冒。
應用進行跨設備通信時，作為服務提供方需要校驗服務使用方的身份和權限，防止服務使用方進行身份仿冒或者權限繞過。

本地化處理

應用開發的數據優先在本地進行處理，對于本地無法處理的數據上傳云服務要滿足最小化的原則，不能默認選擇上傳云服務。

未成年人數據保護要求

如果應用是針對未成年人設計的，或者應用通過收集的用戶年齡數據識別出用戶是未成年人，開發者應該結合目標市場國家的相關法律，專門分析未成年人個人數據保護的問題。收集未成年人數據前需要征得監護人的同意。