第三方 SDK 清单

最后更新：2026年6月4日

本清单完整披露响声 Xiang 集成的全部第三方 SDK。"端"列说明哪个客户端使用：iOS（iOS 应用）、AG（Android 国际版/Google Play）、AC（Android 国内版/小米·vivo·华为等）。

1. 身份与登录

SDK	提供方	版本	端	用途	收集/处理信息	供应商隐私政策
Sign in with Apple	Apple Inc.	系统框架	iOS / AG / AC	Apple 账号登录	Apple ID sub、（可选）邮箱、显示名	apple.com/legal/privacy
WeChat OpenSDK	深圳市腾讯计算机系统有限公司	iOS 2.x；Android 6.8.34	iOS / AC	微信登录、微信分享	OpenID、UnionID、昵称、头像；分享时传输的图片/链接	微信隐私政策

2. 音乐播放与目录

SDK	提供方	版本	端	用途	收集/处理信息	隐私政策
MusicKit (iOS)	Apple Inc.	系统框架	iOS	Apple Music 播放、用户曲库读取	MusicKit user token、播放指令、订阅状态	apple.com/legal/privacy
MusicKit Android (AAR)	Apple Inc.	1.1.1 / 1.1.2	AG / AC	Apple Music 鉴权与播放	同上	同上
Apple Music Catalog API	Apple Inc.	Web API（无客户端 SDK）	全部	专辑/曲目/艺术家元数据	storefront 标识、查询参数	同上
Spotify iOS SDK	Spotify AB	App Remote	iOS	Spotify 播放（可选播放源）	OAuth 授权码、access token、播放指令	spotify.com/legal/privacy-policy
Media3 / ExoPlayer	Google LLC（开源）	1.x	AG / AC	本地媒体框架（不上传任何数据）	无	—

3. 推送与即时通讯

SDK	提供方	版本	端	用途	收集/处理信息	隐私政策
Apple Push Notification service (APNs)	Apple Inc.	系统框架	iOS	iOS 推送	device token、通知文案	apple.com/legal/privacy
Firebase Cloud Messaging	Google LLC	33.6.0	AG	Android 国际版推送	FCM token、设备指纹、通知文案	policies.google.com/privacy
极光推送 JPush	北京极光纵横数据技术有限公司	5.3.1	AC	Android 国内版推送	Registration ID、设备厂商/型号、操作系统版本、网络状态、Wi-Fi SSID、Wi-Fi BSSID、MAC 地址、地理位置（粗）；用户同意隐私政策前不初始化	jiguang.cn/license/privacy

4. 支付

SDK	提供方	版本	端	用途	收集/处理信息	隐私政策
StoreKit	Apple Inc.	系统框架	iOS	App Store 应用内购买	由 Apple 处理；我们仅获得交易凭证	apple.com/legal/privacy
Google Play Billing	Google LLC	7.1.1	AG	Google Play 应用内购买	由 Google 处理；我们仅获得 purchase token	policies.google.com/privacy
支付宝 SDK	支付宝（中国）网络技术有限公司	15.8.14	AC	Android 国内版一次性预付（不代扣）	订单号、支付状态；不接触银行卡号、CVV、密码	支付宝隐私政策
微信支付（OpenSDK 内）	财付通支付科技有限公司	OpenSDK 6.8.34	AC	微信支付一次性预付	预支付订单、支付结果；不接触银行卡明细	微信支付协议

5. 稳定性与诊断

SDK	提供方	版本	端	用途	收集/处理信息	隐私政策
Sentry (Android SDK)	Functional Software, Inc.（Sentry）	7.18.0	AG / AC	崩溃与错误诊断	崩溃堆栈、设备型号、OS 版本、应用版本、面包屑（无用户输入内容）；可关闭	sentry.io/privacy
iOS 内置 Crash Report	Apple Inc.	系统机制	iOS	系统级崩溃报告（由用户在系统设置控制）	由 Apple 处理	同 Apple 隐私政策

6. 系统能力封装

SDK	提供方	版本	端	用途	收集/处理信息
CoreLocation	Apple Inc.	系统框架	iOS	定位（仅"使用应用期间"）	经纬度（单次，即时反向地理编码后丢弃）
EventKit	Apple Inc.	系统框架	iOS	写入日历事件	仅写入；不读取其他事件
UserNotifications / PhotosUI	Apple Inc.	系统框架	iOS	通知权限、相册写入	—
androidx.browser (Chrome Custom Tabs)	Google LLC	1.8.0	AG / AC	承载 Apple 网页 OAuth	—
androidx.security:security-crypto	Google LLC	1.1.0-alpha06	AG / AC	本地令牌 AES-256-GCM 加密	—
Coil	Coil Contributors（开源）	2.7.0	AG / AC	图片加载	—
Retrofit / OkHttp / Moshi	Square, Inc.（开源）	2.11.0 / 4.12.0 / 1.15.1	AG / AC	HTTP 与序列化	—

7. 应用内分析（自有）

我们使用自研的客户端埋点 + 后端聚合方案，不集成第三方分析 SDK（无 Firebase Analytics、Umeng、AppsFlyer、Mixpanel、Amplitude、神策、GrowingIO、TalkingData）。事件经批量上报到我们自有后端 POST /api/v1/track/events，90 天后自动清除。详见《个人信息收集清单》。

8. 服务端（后端）调用的第三方

下述第三方仅由后端调用，不向客户端集成 SDK，也不传输用户个人信息：

• MusicBrainz API — 公开作品/艺术家元数据，无认证
• Apple Music API（服务端） — 公共目录拉取
• Spotify Web API（服务端 client_credentials） — 公共目录拉取
• Soundcharts — ISRC ↔ Spotify track 映射
• OpenAI / DeepSeek — 服务端生成节目册、演奏家介绍。仅传输公开作品/艺术家信息，不传输用户个人信息
• 阿里云内容安全（Green） — 服务端文本审核（用户提交昵称、评论时调用）

9. 关闭与变更

• 关闭 Sentry：iOS 设置 → 隐私 → 崩溃诊断（关闭）；Android 设置 → 隐私 → 崩溃诊断（关闭）
• 关闭推送：系统设置 → 通知
• 关闭定位：系统设置 → 定位
• 注销账号一次性清除所有客户端凭证与服务端账号信息

我们承诺在每次新增、移除或重大版本变更 SDK 时同步更新本清单，并在变更涉及个人信息处理时通过应用内通告告知您。

查询：privacy@bwv988.com

Third-Party SDK List

Last updated: June 4, 2026

This document lists every third-party SDK integrated into Xiang. Column "Edition" indicates which client: iOS, AG (Android Google global), AC (Android China — Xiaomi/Vivo/Huawei).

1. Identity & Login

SDK	Vendor	Version	Edition	Purpose	Data processed	Vendor policy
Sign in with Apple	Apple Inc.	System	iOS / AG / AC	Apple sign-in	Apple ID sub; optional email; display name	apple.com/legal/privacy
WeChat OpenSDK	Tencent (Shenzhen)	iOS 2.x; Android 6.8.34	iOS / AC	WeChat login & share	OpenID, UnionID, nickname, avatar; shared image/link	WeChat privacy

2. Music Playback & Catalog

SDK	Vendor	Version	Edition	Purpose	Data processed	Vendor policy
MusicKit (iOS)	Apple Inc.	System	iOS	Apple Music playback & library	MusicKit user token, playback commands, subscription state	Apple privacy
MusicKit Android (AAR)	Apple Inc.	1.1.1 / 1.1.2	AG / AC	Apple Music auth & playback	Same	Apple privacy
Apple Music Catalog API	Apple Inc.	Web API	All	Album/track/artist metadata	Storefront, query params	Apple privacy
Spotify iOS SDK	Spotify AB	App Remote	iOS	Spotify playback (optional)	OAuth code, access token, playback commands	spotify.com privacy
Media3 / ExoPlayer	Google (OSS)	1.x	AG / AC	Local media framework	None	—

3. Push & Messaging

SDK	Vendor	Version	Edition	Purpose	Data processed	Vendor policy
APNs	Apple Inc.	System	iOS	iOS push	Device token, payload	Apple privacy
Firebase Cloud Messaging	Google LLC	33.6.0	AG	Android global push	FCM token, device fingerprint, payload	google.com privacy
JPush	Jiguang (Beijing)	5.3.1	AC	Android China push	Registration ID, device model, OS version, network state, Wi-Fi SSID, Wi-Fi BSSID, MAC address, coarse location; not initialized until you accept the Policy	jiguang.cn privacy

4. Payments

SDK	Vendor	Version	Edition	Purpose	Data processed	Vendor policy
StoreKit	Apple Inc.	System	iOS	App Store IAP	Apple handles; we receive receipt	Apple privacy
Google Play Billing	Google LLC	7.1.1	AG	Google Play IAP	Google handles; we receive purchase token	Google privacy
Alipay SDK	Alipay (Hangzhou)	15.8.14	AC	One-time prepayment (Android China)	Order ID, payment status; no card data	Alipay privacy
WeChat Pay (within OpenSDK)	Tenpay	OpenSDK 6.8.34	AC	WeChat Pay one-time prepayment	Prepay order, result; no card data	WeChat Pay terms

5. Stability & Diagnostics

SDK	Vendor	Version	Edition	Purpose	Data processed
Sentry (Android)	Functional Software, Inc. (Sentry)	7.18.0	AG / AC	Crash & error reporting	Crash stack, device model, OS, app version, breadcrumbs (no user input); user-disableable
iOS Crash Report	Apple Inc.	System	iOS	System crash reporting (user-controlled in Settings)	Handled by Apple

6. System Capability Wrappers

SDK	Vendor	Version	Edition	Purpose
CoreLocation	Apple	System	iOS	"While in use" location (one-shot, discarded)
EventKit / UserNotifications / PhotosUI	Apple	System	iOS	Calendar write, notifications, photo write
androidx.browser (Custom Tabs)	Google	1.8.0	AG / AC	Apple web OAuth
androidx.security:security-crypto	Google	1.1.0-alpha06	AG / AC	Local token AES-256-GCM
Coil	OSS	2.7.0	AG / AC	Image loading
Retrofit / OkHttp / Moshi	Square (OSS)	2.11.0 / 4.12.0 / 1.15.1	AG / AC	HTTP & serialization

7. First-Party Analytics

We use our own client-side event batching with backend aggregation. No third-party analytics SDKs (no Firebase Analytics, Umeng, AppsFlyer, Mixpanel, Amplitude, Sensors, GrowingIO, TalkingData). Events go to POST /api/v1/track/events and are auto-purged after 90 days. See Data Collection Inventory.

8. Backend-Only Third Parties

The following are called only by our server; no client SDK is integrated and no end-user PII is sent:

• MusicBrainz API — public metadata, no auth
• Apple Music API (server-side) — public catalog
• Spotify Web API (server-side client_credentials) — public catalog
• Soundcharts — ISRC ↔ Spotify track mapping
• OpenAI / DeepSeek — server-side generation of program notes and artist bios; no end-user PII transmitted
• Alibaba Cloud Content Safety (Green) — server-side text moderation for nicknames/comments

9. Opt-Out & Changes

• Disable Sentry: Settings → Privacy → Crash Diagnostics
• Disable push: OS Settings → Notifications
• Disable location: OS Settings → Location
• Account deletion: removes all client credentials and server account data

We update this list when any SDK is added, removed, or materially upgraded, and notify users in-app if the change affects PI processing.

Inquiries: privacy@bwv988.com