隨著移動(dòng)終端及其相關(guān)業(yè)務(wù)（如移動(dòng)支付、終端云等）的普及，用戶(hù)隱私保護(hù)的重要性愈發(fā)突出。應(yīng)用開(kāi)發(fā)者在產(chǎn)品設(shè)計(jì)階段就需要考慮保護(hù)的用戶(hù)隱私，提高應(yīng)用的安全性。HarmonyOS 應(yīng)用開(kāi)發(fā)需要遵從其隱私保護(hù)規(guī)則，在應(yīng)用上架應(yīng)用市場(chǎng)時(shí)，應(yīng)用市場(chǎng)會(huì)根據(jù)規(guī)則進(jìn)行校驗(yàn)，如不滿(mǎn)足條件則無(wú)法上架。

數(shù)據(jù)收集及使用公開(kāi)透明

應(yīng)用采集個(gè)人數(shù)據(jù)時(shí)，應(yīng)清晰、明確地告知用戶(hù)，并確保告知用戶(hù)的個(gè)人信息將被如何使用。

• 應(yīng)用申請(qǐng)操作系統(tǒng)受限權(quán)限和敏感權(quán)限時(shí)，需要明確告知用戶(hù)權(quán)限申請(qǐng)的目的和用途，并獲取用戶(hù)的同意。受限權(quán)限 API 使用方案請(qǐng)參考權(quán)限章節(jié)。詳細(xì)的 UX 設(shè)計(jì)方案請(qǐng)參考UX 設(shè)計(jì)隱私方案。
  圖1 敏感權(quán)限獲取彈框示例
  

• 開(kāi)發(fā)者應(yīng)制定并遵從適當(dāng)?shù)碾[私政策，在收集、使用留存和第三方分享用戶(hù)數(shù)據(jù)時(shí)需要符合所有適用法律、政策和規(guī)定。需充分告知用戶(hù)處理個(gè)人數(shù)據(jù)的種類(lèi)、目的、處理方式、保留期限等，滿(mǎn)足數(shù)據(jù)主體權(quán)利等要求。
  根據(jù)以上原則，我們?cè)O(shè)計(jì)了示例以供參考。隱私通知/聲明的參考示例如下：

圖2 應(yīng)用隱私通知示例圖

圖3 應(yīng)用隱私聲明示例圖

• 個(gè)人數(shù)據(jù)應(yīng)當(dāng)基于具體、明確、合法的目的收集，不應(yīng)以與此目的不相符的方式作進(jìn)一步處理。對(duì)于收集目的變更和用戶(hù)撤銷(xiāo)同意后再次使用的場(chǎng)景都需要用戶(hù)重新同意。隱私聲明變更示例圖，隱私聲明撤銷(xiāo)同意示例圖所示。

圖4 隱私聲明變更示例圖

圖5 撤銷(xiāo)同意示例圖

• 應(yīng)用的隱私聲明應(yīng)覆蓋本應(yīng)用所有收集的個(gè)人數(shù)據(jù)。
• 有 UI 的 Ability 運(yùn)行時(shí)需要在明顯位置展示 Ability 的功能名稱(chēng)及開(kāi)發(fā)者名稱(chēng)/logo。
• 應(yīng)用的隱私聲明應(yīng)在應(yīng)用首次啟動(dòng)時(shí)通過(guò)彈框等明顯的方式展示給用戶(hù)，并提供用戶(hù)查看隱私聲明的入口。
• 調(diào)用第三方 Ability 時(shí)，需要明確調(diào)用方與被調(diào)用方履行的隱私責(zé)任，并在聲明彈框中告知數(shù)據(jù)主體相關(guān)隱私權(quán)責(zé)。
• 調(diào)用第三方 Ability 時(shí)，如涉及個(gè)人數(shù)據(jù)的分享，調(diào)用方需在隱私聲明中說(shuō)明分享的數(shù)據(jù)類(lèi)型和數(shù)據(jù)接收者的類(lèi)型。

數(shù)據(jù)收集及使用最小化

應(yīng)用個(gè)人數(shù)據(jù)收集應(yīng)與數(shù)據(jù)處理目的相關(guān)，且是適當(dāng)、必要的。開(kāi)發(fā)者應(yīng)盡可能對(duì)個(gè)人數(shù)據(jù)進(jìn)行匿名或化名，降低數(shù)據(jù)主體的風(fēng)險(xiǎn)。僅可收集和處理與特定目的相關(guān)且必需的個(gè)人數(shù)據(jù)，不能對(duì)數(shù)據(jù)做出與特定目的不相關(guān)的進(jìn)一步處理。

• 敏感權(quán)限申請(qǐng)的時(shí)候要滿(mǎn)足權(quán)限最小化的要求，在進(jìn)行權(quán)限申請(qǐng)時(shí)，只申請(qǐng)獲取必需的信息或資源所需要的權(quán)限。
• 應(yīng)用針對(duì)數(shù)據(jù)的收集要滿(mǎn)足最小化要求，不收集與應(yīng)用提供服務(wù)無(wú)關(guān)聯(lián)的數(shù)據(jù)。
• 數(shù)據(jù)使用的功能要求能夠使用戶(hù)受益，收集的數(shù)據(jù)不能用于與用戶(hù)正常使用無(wú)關(guān)的功能。

數(shù)據(jù)處理選擇和控制

對(duì)個(gè)人數(shù)據(jù)處理必須要征得用戶(hù)的同意，用戶(hù)對(duì)其個(gè)人數(shù)據(jù)要有充分的控制權(quán)。

• 應(yīng)用申請(qǐng)使用系統(tǒng)權(quán)限：應(yīng)用彈窗提醒，向用戶(hù)呈現(xiàn)應(yīng)用需要獲取的權(quán)限和權(quán)限使用目的、應(yīng)用需要收集的數(shù)據(jù)和使用目的等，通過(guò)用戶(hù)點(diǎn)擊“確認(rèn)”的方式完成用戶(hù)授權(quán)，讓用戶(hù)對(duì)應(yīng)用權(quán)限的授予和使用透明、可知、可控。
• 用戶(hù)可以修改、取消授予應(yīng)用的權(quán)限：當(dāng)用戶(hù)不同意某一權(quán)限或者數(shù)據(jù)收集時(shí)，應(yīng)當(dāng)允許用戶(hù)使用與這部分權(quán)限和數(shù)據(jù)收集不相關(guān)的功能。
• 在進(jìn)入應(yīng)用的主界面之前不建議直接彈窗申請(qǐng)敏感權(quán)限，僅在用戶(hù)使用功能時(shí)才請(qǐng)求對(duì)應(yīng)的權(quán)限。
• 系統(tǒng)對(duì)于用戶(hù)的敏感數(shù)據(jù)和系統(tǒng)關(guān)鍵資源的獲取設(shè)置了對(duì)應(yīng)的權(quán)限，應(yīng)用訪(fǎng)問(wèn)這些數(shù)據(jù)時(shí)需要申請(qǐng)對(duì)應(yīng)的權(quán)限。相關(guān)權(quán)限列表請(qǐng)參考應(yīng)用權(quán)限列表章節(jié)。

數(shù)據(jù)安全

從技術(shù)上保證數(shù)據(jù)處理活動(dòng)的安全性，包括個(gè)人數(shù)據(jù)的加密存儲(chǔ)、安全傳輸?shù)劝踩珯C(jī)制，系統(tǒng)應(yīng)默認(rèn)開(kāi)啟或采取安全保護(hù)措施。

數(shù)據(jù)存儲(chǔ)
應(yīng)用產(chǎn)生的密鑰以及用戶(hù)的敏感數(shù)據(jù)需要存儲(chǔ)在應(yīng)用的私有目錄下，敏感數(shù)據(jù)定義可參考數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)。
應(yīng)用可以調(diào)用系統(tǒng)提供的本地?cái)?shù)據(jù)庫(kù) RdbStore 的加密接口對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)。接口詳見(jiàn)關(guān)系型數(shù)據(jù)庫(kù)章節(jié)。
應(yīng)用產(chǎn)生的分布式數(shù)據(jù)可以調(diào)用系統(tǒng)的分布式數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)，對(duì)于敏感數(shù)據(jù)需要采用分布式數(shù)據(jù)庫(kù)提供的加密接口進(jìn)行加密，接口詳見(jiàn)分布式數(shù)據(jù)服務(wù)章節(jié)。

安全傳輸
需要分別針對(duì)本地傳輸和遠(yuǎn)程傳輸采取不同的安全保護(hù)措施。

本地傳輸：
應(yīng)用通過(guò) intent 跨應(yīng)用傳輸數(shù)據(jù)時(shí)避免包含敏感數(shù)據(jù)，intent scheme url 協(xié)議使用過(guò)程中加入安全限制，防止 UXSS 等安全問(wèn)題。
應(yīng)用內(nèi)組件調(diào)用應(yīng)采用安全方式，避免通過(guò)隱式方式進(jìn)行調(diào)用組件，防止組件劫持。
避免使用 socket 方式進(jìn)行本地通信，如需使用， localhost 端口號(hào)隨機(jī)生成，并對(duì)端口連接對(duì)象進(jìn)行身份認(rèn)證和鑒權(quán)。
本地 IPC 通信安全：作為服務(wù)提供方需要校驗(yàn)服務(wù)使用方的身份和訪(fǎng)問(wèn)權(quán)限，防止服務(wù)使用方進(jìn)行身份仿冒或者權(quán)限繞過(guò)。

遠(yuǎn)程傳輸：
使用 https 代替 http 進(jìn)行通信，并對(duì) https 證書(shū)進(jìn)行嚴(yán)格校驗(yàn)。
避免進(jìn)行遠(yuǎn)程端口進(jìn)行通信，如需使用，需要對(duì)端口連接對(duì)象進(jìn)行身份認(rèn)證和鑒權(quán)。
應(yīng)用進(jìn)行跨設(shè)備通信時(shí)，需要校驗(yàn)被訪(fǎng)問(wèn)設(shè)備和應(yīng)用的身份信息，防止被訪(fǎng)問(wèn)方的設(shè)備和應(yīng)用進(jìn)行身份仿冒。
應(yīng)用進(jìn)行跨設(shè)備通信時(shí)，作為服務(wù)提供方需要校驗(yàn)服務(wù)使用方的身份和權(quán)限，防止服務(wù)使用方進(jìn)行身份仿冒或者權(quán)限繞過(guò)。

本地化處理

應(yīng)用開(kāi)發(fā)的數(shù)據(jù)優(yōu)先在本地進(jìn)行處理，對(duì)于本地?zé)o法處理的數(shù)據(jù)上傳云服務(wù)要滿(mǎn)足最小化的原則，不能默認(rèn)選擇上傳云服務(wù)。

未成年人數(shù)據(jù)保護(hù)要求

如果應(yīng)用是針對(duì)未成年人設(shè)計(jì)的，或者應(yīng)用通過(guò)收集的用戶(hù)年齡數(shù)據(jù)識(shí)別出用戶(hù)是未成年人，開(kāi)發(fā)者應(yīng)該結(jié)合目標(biāo)市場(chǎng)國(guó)家的相關(guān)法律，專(zhuān)門(mén)分析未成年人個(gè)人數(shù)據(jù)保護(hù)的問(wèn)題。收集未成年人數(shù)據(jù)前需要征得監(jiān)護(hù)人的同意。