如何填寫 App privacy details

自 2020/12/08 起，任何送審的 App 皆須填寫，除此之外 iOS 平台需提供隱私政策的 URL，tvOS 平台需提供隱私政策的文字。

需要有 “Account Holder” 或 “Admin” 的權限，在 App Store Connect 填寫。

若為跨平台的 App，即使某平台蒐集數據的量不如另一個，依然要用最全面的方式回答。

填寫之前

1. 除了自身 App 外，也需要了解第三方套件搜集的資料以及使用準則。
2. 遵守 App Store Review Guidelines 對於隱私權的規定。
3. 必須負起即時更新的責任，可隨時更新不需進版。

何謂資料收集

所謂資料收集是指你或第三方讀取資料的時間長於與伺服器溝通請求實時處理的時間。也就是說除了因與伺服器溝通而必須使用的資料外，還基於其他目的讀取資料的行為。

也必須披露第三方資料庫的搜集行為，包含分析工具、廣告網絡、SDKs 及其他相串連的 App 。

不需要特別聲明的使用目的

1. 不是基於追蹤目的使用的數據，亦即不是提供給廣告商分析使用或提供給數據商蒐集。
2. 數據不是用來播放第三方或自身廣告，又或者是其他行銷用途。
3. 資料蒐集的行為不是發生於主要功能而是發生在消費者可選擇使用的功能上。
4. 使用者自願提供的資料，介面上有清楚說明收集哪些資料以及每次蒐集時都需使用者同意，例如使用者名稱及註冊帳號。

假設某些資料有時候會是以上情況，但有時候不是，則仍須填寫。

範例 — 收集使用者回饋意見或者使用者填寫客服資料，因不是基於主要 App 功能，是選擇性功能，因此不需寫進此份細節裡。

另外為了清楚起見，即使初次蒐集請求同意後，仍會持續蒐集的資料也須寫在此份表格裡。

使用的數據類型

Contact Info

名字、Email、電話號碼、實際住址與其他可以在 App 以外聯繫到使用者的方式。

Health and Fitness

Clinical Health Records API、HealthKit API、MovementDisorderAPIs、Motion and Fitness API 或其他基於健康或健身目的所蒐集的資料。

Financial Info

交易明細、信用卡資料或銀行帳戶，假如金流不是開發者自行處理，而是發生在 App 外的行為則無須披露。使用者的信用分數或者其他金融資料，例如資產、薪資、收入、債務等。

Location

使用者或裝置所在位置，無論是經緯度精度到小數第三位以下的精確位置或者是以上的大約位置。

Sensitive Info

例如種族、文化族群、性取向、生育情形、殘疾狀況、宗教信仰、思想體系、政治立場、商業身份、基因或其他生物資料。

Contacts

聯絡人清單、地址簿或其他社交聯繫清單。

User Content

Email 或訊息內容、照片或影片、聲音檔案、遊戲資訊、需要客服時所提供的細節或其他與使用者有關的內容。

Browsing History

使用者不在此 App 內所瀏覽的歷程，例如網頁瀏覽紀錄。

Search History

使用者在此 App 內的搜尋紀錄。

Identifiers

可以用來被識別特定使用者的資料，例如帳號、被分派的使用者 ID、顧客編號等。或者可以用來被識別特定裝置的資料，例如裝置廣告識別碼或基於裝置層級設置的 ID。

Purchases

基於個人或帳號的購買資訊或購買傾向。

Usage Data

使用 App 的互動行為（如點擊、滾動、碰觸或使用等）、播放清單、遊戲紀錄、使用者觀看的廣告紀錄及其他可用來描述使用者如何使用此 App 的資訊。

Diagnostics

App 崩潰紀錄、App 表現（例如啟動時長、介面互動延遲回應率或電池使用紀錄）等其他用來評比 App 效能的資料。

Other Data

未在以上定義的資料類別內。

使用目的

必須清楚聲明蒐集資料的目的，無論是本 App 或使用的第三方資料庫。

1. 第三方廣告：播放第三方廣告或分享廣告行為的資料。
2. App 自身廣告或行銷：播放自身廣告、發送行銷訊息給使用者以及分享廣告行為的資料。
3. 數據分析：評量使用者行為，包含評估既有功能的成效、新功能的規劃分析或做使用者的樣貌分析等。
4. 個人化：對使用者客製化他們所看到的內容，例如個人化推薦或建議。
5. 強化 App 功能：例如驗證用戶身份、啟動功能、詐騙防治、資安評量、確保伺服器正常運行、降低 App 崩潰機率、增進 App 可擴展性及表現或提供客服等。
6. 其他：未在以上定義的目的內。

可識別使用者的資料

必須釐清 App 或使用的第三方是否通過帳號、裝置或其他內容將資料與使用者身份綁定在一起，通常從 App 內部蒐集的資料大都伴隨著使用者的識別資訊，除非在收集數據前額外做隱私保護或匿名處理，例如：

• 在蒐集數據之前，剝除資料與使用者 ID 或名稱的關聯。
• 處理數據以斷開與真實世界的用戶身份連結。

另外為了防止數據又被後處理，數據蒐集後必須避免以下活動：

• 不能嘗試再重新連結資料與使用者身份識別。
• 不得將資料與其他數據庫綁定，以能夠辨識到特定使用者的身份。

根據相關隱私法規定，用戶資訊與數據皆是被定義為連結到使用者的資料。

何謂追蹤

追蹤是指將蒐集到的資料與特定的裝置或使用者進行連結，例如使用者 ID、裝置 ID 或其他個人識別，並且送到第三方進行基於廣告需求或廣告成效評量的目的，又或者是將資料分享給數據商。其中第三方定義為透過不同的 Apps、網頁或者其他來源（非自產）而蒐集到用戶資料的指稱。

構成追蹤（Tracking）的範例：

• 透過其他公司或 App 蒐集到的資料對特定使用者投放廣告。
• 分享使用者的位置或 emails 清單給數據商。
• 基於分享 emails 清單、廣告 IDs 或其他可識別的 IDs 給第三方使用，讓第三方可以在其他 Apps 找到相似用戶或對特定使用者重複曝光。
• 使用第三方的 SDK 整合不同 Apps 間的資料，來做廣告投放或評量廣告成效，即使你並不是基於此種使用目的也需要聲明。舉例來說，使用登入 SDK 使得其他 Apps 能再利用你所產生的資料來達到廣告投放的目的。

不構成追蹤（Tracking）的範例：

• 資料只停留在使用者裝置上，並未送出裝置外供外部辨識使用者。
• 基於詐欺偵測、防治或安全目的而分享給數據商的資料。

Privacy links

提供頁面連結讓使用者更好的了解與如何管理隱私資料的說明。

• Privacy Policy（必須）：隱私權政策的URL。
• Privacy Choices：讓使用者了解與學習如何管理資料。例如教導使用者如何刪除或改變資料。

其他規則 (2021/02/24 新增)

• App 內包含 WebViews。若通過網頁收集數據必須要宣告，除非允許用戶可以瀏覽開啟的網頁。
• 需宣告蒐集或儲存使用者 IP 位址的用途。例如得知精確或粗略位置、裝置 ID 或其延伸出來的診斷資料。
• 不是透過電信簡訊（SMS），而是在 App 內的通訊行為。需在隱私權宣告 “emails” 或 “text messages”，其中 Text message 已包含 SMS 與 non-SMS 兩種類型。
• App 內包含遊戲存檔，多人連線或其他遊戲規則，需宣告 “GamePlay Content”。
• 當從使用者身上蒐集不同類型的資料，例如使用者是否成年、免費或付費用戶、居住地區等都必須聲明，除非該數據符合無需聲明的使用目的，可透過 Privacy links page 額外描述。
• 如果使用 Apple framework，例如 MapKit、CloudKit、或 App Analytics，必需聲明使用目的，但無需聲明資料蒐集。
• 如果使用位置、裝置 ID 或其他敏感資料，但只在裝置上使用，未傳到裝置外的伺服器，即可不用聲明。
• 若你使用精確位置，但在拿取後立即去識別化並粗化資料，即可聲明你使用的是 ”Coarse Location” 而非精確位置。
• 若用戶有表格填寫來保存資料（名稱或 HealthKit 裡面的資料，如血型、生日、膚色等）或保存錄音，表格填寫的資料型態標記為 “Other User Content” ，錄音檔則標記為 “Audio Data”。當表格為用戶自由填寫的時候，無需特別聲明表格中的每個資料類型，除非 App 內有指引用戶要填寫 e-mail 或名稱，就必須聲明資料類型。
• “Collect” 是指將資料轉移到裝置外並長期保存。若將 token 或 IP 位址送到 Server 但沒有保存，或者是資料送到 Server 後就立即刪除，也不需要特別寫在這份隱私權聲明裡。

參考資料

https://help.apple.com/app-store-connect/#/dev1b4647c5b

https://developer.apple.com/app-store/app-privacy-details/#user-tracking