隨著移動(dòng)終端及其相關(guān)業(yè)務(wù)（如移動(dòng)支付、終端云等）的普及，用戶隱私保護(hù)的重要性愈發(fā)突出。應(yīng)用開發(fā)者在產(chǎn)品設(shè)計(jì)階段就需要考慮保護(hù)的用戶隱私，提高應(yīng)用的安全性。HarmonyOS 應(yīng)用開發(fā)需要遵從其隱私保護(hù)規(guī)則，在應(yīng)用上架應(yīng)用市場(chǎng)時(shí)，應(yīng)用市場(chǎng)會(huì)根據(jù)規(guī)則進(jìn)行校驗(yàn)，如不滿足條件則無法上架。

數(shù)據(jù)收集及使用公開透明

應(yīng)用采集個(gè)人數(shù)據(jù)時(shí)，應(yīng)清晰、明確地告知用戶，并確保告知用戶的個(gè)人信息將被如何使用。

• 應(yīng)用申請(qǐng)操作系統(tǒng)受限權(quán)限和敏感權(quán)限時(shí)，需要明確告知用戶權(quán)限申請(qǐng)的目的和用途，并獲取用戶的同意。受限權(quán)限 API 使用方案請(qǐng)參考權(quán)限章節(jié)。詳細(xì)的 UX 設(shè)計(jì)方案請(qǐng)參考UX 設(shè)計(jì)隱私方案。
  圖1 敏感權(quán)限獲取彈框示例
  

• 開發(fā)者應(yīng)制定并遵從適當(dāng)?shù)碾[私政策，在收集、使用留存和第三方分享用戶數(shù)據(jù)時(shí)需要符合所有適用法律、政策和規(guī)定。需充分告知用戶處理個(gè)人數(shù)據(jù)的種類、目的、處理方式、保留期限等，滿足數(shù)據(jù)主體權(quán)利等要求。
  根據(jù)以上原則，我們?cè)O(shè)計(jì)了示例以供參考。隱私通知/聲明的參考示例如下：

圖2 應(yīng)用隱私通知示例圖

圖3 應(yīng)用隱私聲明示例圖

• 個(gè)人數(shù)據(jù)應(yīng)當(dāng)基于具體、明確、合法的目的收集，不應(yīng)以與此目的不相符的方式作進(jìn)一步處理。對(duì)于收集目的變更和用戶撤銷同意后再次使用的場(chǎng)景都需要用戶重新同意。隱私聲明變更示例圖，隱私聲明撤銷同意示例圖所示。

圖4 隱私聲明變更示例圖

圖5 撤銷同意示例圖

• 應(yīng)用的隱私聲明應(yīng)覆蓋本應(yīng)用所有收集的個(gè)人數(shù)據(jù)。
• 有 UI 的 Ability 運(yùn)行時(shí)需要在明顯位置展示 Ability 的功能名稱及開發(fā)者名稱/logo。
• 應(yīng)用的隱私聲明應(yīng)在應(yīng)用首次啟動(dòng)時(shí)通過彈框等明顯的方式展示給用戶，并提供用戶查看隱私聲明的入口。
• 調(diào)用第三方 Ability 時(shí)，需要明確調(diào)用方與被調(diào)用方履行的隱私責(zé)任，并在聲明彈框中告知數(shù)據(jù)主體相關(guān)隱私權(quán)責(zé)。
• 調(diào)用第三方 Ability 時(shí)，如涉及個(gè)人數(shù)據(jù)的分享，調(diào)用方需在隱私聲明中說明分享的數(shù)據(jù)類型和數(shù)據(jù)接收者的類型。

數(shù)據(jù)收集及使用最小化

應(yīng)用個(gè)人數(shù)據(jù)收集應(yīng)與數(shù)據(jù)處理目的相關(guān)，且是適當(dāng)、必要的。開發(fā)者應(yīng)盡可能對(duì)個(gè)人數(shù)據(jù)進(jìn)行匿名或化名，降低數(shù)據(jù)主體的風(fēng)險(xiǎn)。僅可收集和處理與特定目的相關(guān)且必需的個(gè)人數(shù)據(jù)，不能對(duì)數(shù)據(jù)做出與特定目的不相關(guān)的進(jìn)一步處理。

• 敏感權(quán)限申請(qǐng)的時(shí)候要滿足權(quán)限最小化的要求，在進(jìn)行權(quán)限申請(qǐng)時(shí)，只申請(qǐng)獲取必需的信息或資源所需要的權(quán)限。
• 應(yīng)用針對(duì)數(shù)據(jù)的收集要滿足最小化要求，不收集與應(yīng)用提供服務(wù)無關(guān)聯(lián)的數(shù)據(jù)。
• 數(shù)據(jù)使用的功能要求能夠使用戶受益，收集的數(shù)據(jù)不能用于與用戶正常使用無關(guān)的功能。

數(shù)據(jù)處理選擇和控制

對(duì)個(gè)人數(shù)據(jù)處理必須要征得用戶的同意，用戶對(duì)其個(gè)人數(shù)據(jù)要有充分的控制權(quán)。

• 應(yīng)用申請(qǐng)使用系統(tǒng)權(quán)限：應(yīng)用彈窗提醒，向用戶呈現(xiàn)應(yīng)用需要獲取的權(quán)限和權(quán)限使用目的、應(yīng)用需要收集的數(shù)據(jù)和使用目的等，通過用戶點(diǎn)擊“確認(rèn)”的方式完成用戶授權(quán)，讓用戶對(duì)應(yīng)用權(quán)限的授予和使用透明、可知、可控。
• 用戶可以修改、取消授予應(yīng)用的權(quán)限：當(dāng)用戶不同意某一權(quán)限或者數(shù)據(jù)收集時(shí)，應(yīng)當(dāng)允許用戶使用與這部分權(quán)限和數(shù)據(jù)收集不相關(guān)的功能。
• 在進(jìn)入應(yīng)用的主界面之前不建議直接彈窗申請(qǐng)敏感權(quán)限，僅在用戶使用功能時(shí)才請(qǐng)求對(duì)應(yīng)的權(quán)限。
• 系統(tǒng)對(duì)于用戶的敏感數(shù)據(jù)和系統(tǒng)關(guān)鍵資源的獲取設(shè)置了對(duì)應(yīng)的權(quán)限，應(yīng)用訪問這些數(shù)據(jù)時(shí)需要申請(qǐng)對(duì)應(yīng)的權(quán)限。相關(guān)權(quán)限列表請(qǐng)參考應(yīng)用權(quán)限列表章節(jié)。

數(shù)據(jù)安全

從技術(shù)上保證數(shù)據(jù)處理活動(dòng)的安全性，包括個(gè)人數(shù)據(jù)的加密存儲(chǔ)、安全傳輸?shù)劝踩珯C(jī)制，系統(tǒng)應(yīng)默認(rèn)開啟或采取安全保護(hù)措施。

數(shù)據(jù)存儲(chǔ)
應(yīng)用產(chǎn)生的密鑰以及用戶的敏感數(shù)據(jù)需要存儲(chǔ)在應(yīng)用的私有目錄下，敏感數(shù)據(jù)定義可參考數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)。
應(yīng)用可以調(diào)用系統(tǒng)提供的本地?cái)?shù)據(jù)庫 RdbStore 的加密接口對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)。接口詳見關(guān)系型數(shù)據(jù)庫章節(jié)。
應(yīng)用產(chǎn)生的分布式數(shù)據(jù)可以調(diào)用系統(tǒng)的分布式數(shù)據(jù)庫進(jìn)行存儲(chǔ)，對(duì)于敏感數(shù)據(jù)需要采用分布式數(shù)據(jù)庫提供的加密接口進(jìn)行加密，接口詳見分布式數(shù)據(jù)服務(wù)章節(jié)。

安全傳輸
需要分別針對(duì)本地傳輸和遠(yuǎn)程傳輸采取不同的安全保護(hù)措施。

本地傳輸：
應(yīng)用通過 intent 跨應(yīng)用傳輸數(shù)據(jù)時(shí)避免包含敏感數(shù)據(jù)，intent scheme url 協(xié)議使用過程中加入安全限制，防止 UXSS 等安全問題。
應(yīng)用內(nèi)組件調(diào)用應(yīng)采用安全方式，避免通過隱式方式進(jìn)行調(diào)用組件，防止組件劫持。
避免使用 socket 方式進(jìn)行本地通信，如需使用， localhost 端口號(hào)隨機(jī)生成，并對(duì)端口連接對(duì)象進(jìn)行身份認(rèn)證和鑒權(quán)。
本地 IPC 通信安全：作為服務(wù)提供方需要校驗(yàn)服務(wù)使用方的身份和訪問權(quán)限，防止服務(wù)使用方進(jìn)行身份仿冒或者權(quán)限繞過。

遠(yuǎn)程傳輸：
使用 https 代替 http 進(jìn)行通信，并對(duì) https 證書進(jìn)行嚴(yán)格校驗(yàn)。
避免進(jìn)行遠(yuǎn)程端口進(jìn)行通信，如需使用，需要對(duì)端口連接對(duì)象進(jìn)行身份認(rèn)證和鑒權(quán)。
應(yīng)用進(jìn)行跨設(shè)備通信時(shí)，需要校驗(yàn)被訪問設(shè)備和應(yīng)用的身份信息，防止被訪問方的設(shè)備和應(yīng)用進(jìn)行身份仿冒。
應(yīng)用進(jìn)行跨設(shè)備通信時(shí)，作為服務(wù)提供方需要校驗(yàn)服務(wù)使用方的身份和權(quán)限，防止服務(wù)使用方進(jìn)行身份仿冒或者權(quán)限繞過。

本地化處理

應(yīng)用開發(fā)的數(shù)據(jù)優(yōu)先在本地進(jìn)行處理，對(duì)于本地?zé)o法處理的數(shù)據(jù)上傳云服務(wù)要滿足最小化的原則，不能默認(rèn)選擇上傳云服務(wù)。

未成年人數(shù)據(jù)保護(hù)要求

如果應(yīng)用是針對(duì)未成年人設(shè)計(jì)的，或者應(yīng)用通過收集的用戶年齡數(shù)據(jù)識(shí)別出用戶是未成年人，開發(fā)者應(yīng)該結(jié)合目標(biāo)市場(chǎng)國家的相關(guān)法律，專門分析未成年人個(gè)人數(shù)據(jù)保護(hù)的問題。收集未成年人數(shù)據(jù)前需要征得監(jiān)護(hù)人的同意。