近日,APP违法违规收集用户个人信息的问题再次受到关注。
希望广大APP开发者和运营者仔细阅读本指南,并严格遵守相关法律法规,TalkingData将继续优化制度与实践,与大家一起为保护数据安全与个人信息、维护良好行业环境而努力。
《TalkingData SDK合规与安全指南》节选
查看全文请点击下方“阅读原文”
为有效治理APP强制授权、过度索权、超范围收集个人信息等现象,保障个人信息安全,2019年1月,中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。同时,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组,具体推动App违法违规收集使用个人信息评估工作。
APP(包括APP嵌入的第三方代码、插件)对于个人信息的收集使用及对个人信息主体权益的保障问题作为相关主管部门的重拳治理事项,其监管力度正日益加大,监管标准亦日益趋严。
为帮助使用TalkingData SDK的APP开发者和运营者(以下简称“您”)更好地落实终端用户个人信息保护相关事宜,避免因涉及第三方SDK的业务而违反相关法律法规、政策及标准的规定,同时,也便于您更清楚地理解TalkingData数据业务的合规性和已采用的安全保护技术能力,特别是保护个人信息和隐私的方法和措施,TalkingData特编写《TalkingData SDK合规与安全指南》,供您参考。
一
开发者个人信息保护的合规要求
1. APP上线需要面向终端用户制定哪些配套的合规文件?
您至少需要制定一份独立的《隐私政策》。
《隐私政策》是说明APP的个人信息收集和使用情况,获得用户的合法授权以及保护用户个人信息主体权利的重要文档,其内容应符合国家相关法律法规、政策及标准的规定及您与TalkingData的约定。特别是:
(1)符合《GB/T 35273-2017信息安全技术个人信息安全规范》,该文件关于个人信息示例、个人敏感信息判定、保障个人信息主体选择同意权的方法、隐私政策模板的四份附录,对您理解个人信息保护要求和隐私政策起草亦具有重要的参考价值;
(2)您的隐私政策应向终端用户明示您在APP中部署TalkingData SDK收集使用个人信息的目的、方式和范围等,提供的保护标准应不低于TalkingData的隐私保护。
2. APP上线的《隐私政策》中应披露第三方SDK的哪些内容?
您应向终端用户逐一明示您嵌入的第三方SDK收集使用个人信息的目的、方式和范围。您应当在《隐私政策》中明确告知终端用户,您谨慎地选择了TalkingData作为合作方,并委托其收集、使用、加工和处理终端用户个人信息。
建议您参考下面的表格,根据实际选用的TalkingData SDK提供的服务类型向您的用户披露。您应知悉和了解,部分设备信息、位置信息和网路信息需要通过您安装TalkingData SDK 的宿主APP功能页面申请权限,并只有在获得用户的授权同意后我们才会进行收集。
针对在APP《隐私政策》中数据共享与披露章节的表述条款,以及《隐私政策》的展示方案,TalkingData也提供了具体建议,请点击文末阅读原文,查看完整内容。
3. 如果终端用户不希望其个人信息被处理,应当如何应对?
您应当告知终端用户可以通过TalkingData终端设备opt-out途径行使退出权,一旦终端用户行使opt-out权,其信息将不会被以任何形式进行收集处理,也不会频繁征求用户同意。TalkingData强烈建议您在《隐私政策》中嵌入TalkingData的opt-out链接,以便终端用户更便捷地行使其退出权。
4. 重要说明
本部分合规要求的解读并不构成TalkingData对开发者个人信息保护的法定义务的全面完整的法律建议。我们强烈建议您充分了解现有及可能不时发布的有关个人信息保护的法律、法规、政策、标准和执法检查要求等,您可参考的相关资料包括:
《GB/T 35273-2017信息安全技术 个人信息安全规范》
《信息安全技术 个人信息安全规范》(征求意见稿)
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
《App违法违规收集使用个人信息自评估指南》
关于印发《App违法违规收集使用个人信息行为认定方法》的通知
二
您使用TalkingData SDK
服务时的合规注意事项
1. 您使用TalkingData SDK服务前的合规自查
您在下载TalkingData SDK前,应当仔细阅读《SDK下载合规声明》,并依据声明的规定对您的《隐私政策》及您的APP产品收集使用个人信息的情况进行合规自查。您应确保在APP首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权,此后,再初始化SDK进行信息收集与处理。
根据您已阅读并同意的TalkingData《隐私政策》,您应特别注意如果需要通过TalkingData处理来自于其APP终端用户的个人信息,应当事先获得终端用户的授权与同意。TalkingData提供给您服务的前提是您已承诺:
“(1)您已经获得终端用户充分必要的授权、同意和许可,允许使用我们履行服务所需的目的(若您的APP是针对不满十四周岁的儿童设计和开发的,您应已采取必要的技术措施,保证已获得其监护人的授权、同意和许可);
(2)您已经获得终端用户充分必要的授权、同意和许可,允许我们对已收集的数据进行匿名的、聚合性的处理(若您的APP是针对不满十四周岁的儿童设计和开发的,您应已采取必要的技术措施,保证已获得其监护人的授权、同意和许可);
(3)您已经遵守并将持续遵守适用的法律、法规和监管要求,包括但不限于制定和公布有关个人信息保护和隐私保护的相关政策;
(4)您已经向终端用户进行披露和说明,允许我们对已收集的数据进行的去标识化和聚合性的处理后,并构建TalkingData数据库,用以提供数据服务,但您同时应向终端终端用户提供易于操作的选择机制,说明终端用户如何以及何时可以行使选择权,并说明行使选择权后如何以及何时可以修改或撤回该选择,使得终端用户可以选择同意或不同意为商业目的而收集和使用其个人信息的去标识化数据。”
三
TalkingData的数据安全保护能力
TalkingData不仅专注于技术实践积累、完善产品服务,同时也在积极践行个人信息与公共数据的保护,严格遵守国家的法律法规、政策与标准。
关于各项保护措施及保护机制的具体信息,请点击文末阅读原文,查看完整内容。
1. TalkingData的数据安全保护措施
TalkingData非常重视个人信息保护,并在数据生命周期的各个不同阶段都采取了不同的措施来保障个人信息的安全。
1)数据采集安全
2)数据传输安全
3)数据存储安全
4)数据处理安全
5)数据交换安全
6)数据销毁安全
2. TalkingData的数据安全保护机制
TalkingData从不同的维度建立了信息安全保护机制来保障数据主体的数据安全,并根据法律法规的政策性变化不断完善内部的管理合规制度。
1)组织与管理
2)网络与信息资产管理
3)物理与环境安全
4)运行维护安全
5)访问控制
6)开发与维护
7)安全事件响应与安全审计
3. TalkingData的数据安全保护能力认证
TalkingData 的主要系统已获得网络安全等级保护三级备案,且TalkingData通过如下体系认证或测评:
(1)信息安全管理体系认证ISO9001;
(2)信息安全管理体系认证ISO27001;
(3)软件能力成熟度集成模型 CMMI(Level3);
(4)中国信息安全测评中心的SDK安全测评证明,安全性满足EAL1级。
本文为节选
推荐阅读:
↓↓↓点击阅读原文,查看完整指南