TalkingData SDK合規與安全指南

2021-02-13 TalkingData

為有效治理APP強制授權、過度索權、超範圍收集個人信息等現象,保障個人信息安全,2019年1月,中共中央網絡安全和信息化委員會辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布了《關於開展App違法違規收集使用個人信息專項治理的公告》。同時,受四部門委託,全國信息安全標準化技術委員會、中國消費者協會、中國網際網路協會、中國網絡空間安全協會成立App違法違規收集使用個人信息專項治理工作組,具體推動App違法違規收集使用個人信息評估工作。

APP(包括APP嵌入的第三方代碼、插件)對於個人信息的收集使用及對個人信息主體權益的保障問題作為相關主管部門的重拳治理事項,其監管力度正日益加大,監管標準亦日益趨嚴。

為幫助使用TalkingData SDK的APP開發者和運營者(以下簡稱「您」)更好地落實終端用戶個人信息保護相關事宜,避免因涉及第三方SDK的業務而違反相關法律法規、政策及標準的規定,同時,也便於您更清楚地理解TalkingData數據業務的合規性和已採用的安全保護技術能力,特別是保護個人信息和隱私的方法和措施,TalkingData特編寫《TalkingData SDK合規與安全指南》,供您參考。

1. APP上線需要面向終端用戶制定哪些配套的合規文件?

您至少需要制定一份獨立的《隱私政策》。

《隱私政策》是說明APP的個人信息收集和使用情況,獲得用戶的合法授權以及保護用戶個人信息主體權利的重要文檔,其內容應符合國家相關法律法規、政策及標準的規定及您與TalkingData的約定。特別是:

(1)符合《GB/T 35273-2017信息安全技術個人信息安全規範》,該文件關於個人信息示例、個人敏感信息判定、保障個人信息主體選擇同意權的方法、隱私政策模板的四份附錄,對您理解個人信息保護要求和隱私政策起草亦具有重要的參考價值;

(2)您的隱私政策應向終端用戶明示您在APP中部署TalkingData SDK收集使用個人信息的目的、方式和範圍等,提供的保護標準應不低於TalkingData的隱私保護。

2. APP上線的《隱私政策》中應披露第三方SDK的哪些內容?

您應向終端用戶逐一明示您嵌入的第三方SDK收集使用個人信息的目的、方式和範圍。您應當在《隱私政策》中明確告知終端用戶,您謹慎地選擇了TalkingData作為合作方,並委託其收集、使用、加工和處理終端用戶個人信息。

 

建議您參考下面的表格,根據實際選用的TalkingData SDK提供的服務類型向您的用戶披露。您應知悉和了解,部分設備信息、位置信息和網路信息需要通過您安裝TalkingData SDK 的宿主APP功能頁面申請權限,並只有在獲得用戶的授權同意後我們才會進行收集。

針對在APP《隱私政策》中數據共享與披露章節的表述條款,以及《隱私政策》的展示方案,TalkingData也提供了具體建議,請點擊文末閱讀原文,查看完整內容

 

3. 如果終端用戶不希望其個人信息被處理,應當如何應對?

您應當告知終端用戶可以通過TalkingData終端設備opt-out途逕行使退出權,一旦終端用戶行使opt-out權,其信息將不會被以任何形式進行收集處理,也不會頻繁徵求用戶同意。TalkingData強烈建議您在《隱私政策》中嵌入TalkingData的opt-out連結,以便終端用戶更便捷地行使其退出權。

 

本部分合規要求的解讀並不構成TalkingData對開發者個人信息保護的法定義務的全面完整的法律建議。我們強烈建議您充分了解現有及可能不時發布的有關個人信息保護的法律、法規、政策、標準和執法檢查要求等,您可參考的相關資料包括:

您使用TalkingData SDK

服務時的合規注意事項

1. 您使用TalkingData SDK服務前的合規自查

您在下載TalkingData SDK前,應當仔細閱讀《SDK下載合規聲明》,並依據聲明的規定對您的《隱私政策》及您的APP產品收集使用個人信息的情況進行合規自查。您應確保在APP首次運行時通過明顯方式提示終端用戶閱讀您的《隱私政策》並取得終端用戶的合法授權,此後,再初始化SDK進行信息收集與處理。

根據您已閱讀並同意的TalkingData《隱私政策》,您應特別注意如果需要通過TalkingData處理來自於其APP終端用戶的個人信息,應當事先獲得終端用戶的授權與同意。TalkingData提供給您服務的前提是您已承諾:

「(1)您已經獲得終端用戶充分必要的授權、同意和許可,允許使用我們履行服務所需的目的(若您的APP是針對不滿十四周歲的兒童設計和開發的,您應已採取必要的技術措施,保證已獲得其監護人的授權、同意和許可);

(2)您已經獲得終端用戶充分必要的授權、同意和許可,允許我們對已收集的數據進行匿名的、聚合性的處理(若您的APP是針對不滿十四周歲的兒童設計和開發的,您應已採取必要的技術措施,保證已獲得其監護人的授權、同意和許可);

(3)您已經遵守並將持續遵守適用的法律、法規和監管要求,包括但不限於制定和公布有關個人信息保護和隱私保護的相關政策;

(4)您已經向終端用戶進行披露和說明,允許我們對已收集的數據進行的去標識化和聚合性的處理後,並構建TalkingData資料庫,用以提供數據服務,但您同時應向終端終端用戶提供易於操作的選擇機制,說明終端用戶如何以及何時可以行使選擇權,並說明行使選擇權後如何以及何時可以修改或撤回該選擇,使得終端用戶可以選擇同意或不同意為商業目的而收集和使用其個人信息的去標識化數據。」

        

TalkingData不僅專注於技術實踐積累、完善產品服務,同時也在積極踐行個人信息與公共數據的保護,嚴格遵守國家的法律法規、政策與標準。

關於各項保護措施及保護機制的具體信息,請點擊文末閱讀原文,查看完整內容。

 

TalkingData非常重視個人信息保護,並在數據生命周期的各個不同階段都採取了不同的措施來保障個人信息的安全。

1)數據採集安全

TalkingData從不同的維度建立了信息安全保護機制來保障數據主體的數據安全,並根據法律法規的政策性變化不斷完善內部的管理合規制度。

1)組織與管理

3. TalkingData的數據安全保護能力認證

TalkingData 的主要系統已獲得網絡安全等級保護三級備案,且TalkingData通過如下體系認證或測評:

(3)軟體能力成熟度集成模型 CMMI(Level3);

(4)中國信息安全測評中心的SDK安全測評證明,安全性滿足EAL1級。

因篇幅所限,本文只節選了《TalkingData SDK合規與安全指南》的部分內容。使用TalkingData SDK的APP開發者和運營者,請務必請點擊文末閱讀原文,前往TalkingData官網查看完整指南。

相關焦點

  • 【友盟+】小程序開發者合規指南
    為規避業務風險,提前做好小程序的合規工作,我們強烈建議您關注如下合規指南:首先,您需要準備《隱私政策》,向用戶明示小程序收集使用用戶個人信息的目的、方式和範圍。這是最基礎也是最關鍵的一步。如果您使用友盟+小程序SDK,您應當在《隱私政策》中明確告知用戶您選擇友盟+作為合作方,並委託合作方收集、使用、加工和處理最終用戶個人信息。
  • Zoom事件:APP如何做好SDK合規?
    關於第一點,與整體的安全保護方案(開發設計、測試、發布和運維全生命周期的安全保護)相關,我們暫不討論,而引起我們思考的是第二點,關於App中如何做好SDK合規的問題。圖3  第三方SDK合規分析流程圖1.
  • 使用Amazon Step Functions Data Science SDK創建基於無伺服器架構的工作流
    本文涉及的示例代碼下載連結:https://github.com/hlmiao/sagemaker/tree/main/sklearn-xgboost參考資料[1] amazon-step-functions-data-science-sdk-pythonhttps://github.com/aws/aws-step-functions-data-science-sdk-python
  • 用戶數據使用合規實務指南|高杉LEGAL
    數據使用合規實務指南 作者|熊定中(北京清律律師事務所主任、首席合伙人,微信:siberwaage)、向子瞭(北京清律律師事務所律師助理) *用戶數據收集業務需要另行起草合規指南,且大量數據商業化使用企業並不涉及直接從用戶處收集環節,可無需考慮該部分。 2、本文供數據合規相關法律專業人員研究使用,不建議非專業人士直接使用,亦不代表本文可不做調整直接適用於企業實際運營過程而無違法違規風險。
  • 網絡安全與數據合規周報 Weekly Cybersecurity and Data Protection Review
    In addition, the Civil Code also includes provisions on data protection and cybersecurity. The Civil Code will take effect on 1 Jan 2021.
  • 華為發布「等保2.0」合規的政務雲Huawei CloudGuard安全集成解決方案
    2018年5月3日,華為與國家信息中心在北京中國科技會堂組織召開了「華為政務雲等保2.0合規性實施指南」專家評審會(以下簡稱:實施指南,「等保2.0
  • 雲基礎架構之固件安全合規
    翻譯:Shawn C[ a.k.a 「citypw」]固件作為IT核心基礎架構的一部分,由於對於大多數用戶「不可見」的特性長期在安全方面受到忽視
  • 友盟+參與制定的《App使用軟體開發工具包(SDK)安全指引》正式發布
    +參與制訂的國內首個SDK安全技術指引——《App使用軟體開發工具包(SDK)安全指引》。作為全國信息安全標準化技術委員會大數據安全標準特別工作組成員,友盟+在指引中輸出了合規經驗,參與行業標準編制工作。結合當前移動網際網路技術及應用現狀,給出了App提供者、SDK提供者針對SDK安全問題的實踐指引。
  • TalkingData App Analytics「微信小程序」統計分析服務內測
    速來申請:http://www.talkingdata.com/weApp/weApp.jsp微信小程序提供豐富的微信原生API,可以方便開發者調起微信提供的能力。基於原生API接口微信小程序後臺可以統計「昨日概況」、「程序使用趨勢」、「受訪頁面統計」、「實時訪問統計」四個維度數據。
  • TalkingData三大產品創新,引領2022數字營銷技術新格局
    面對品牌廣告價值難以評估、品牌主與流量平臺博弈、合規要求增加數據融通難度、iOS平臺隱私政策升級等痛點,TalkingData對技術與產品進行迭代創新,在「T11數據智能峰會」上宣布整合旗下產品,形成五大板塊,尤其是拓展「安全雲」板塊、推出基於可信計算技術的「安全島平臺」,旨在提供安全、合規、精確、高質量的數據服務,打造集數據收集、處理、洞察、應用於一體的營銷科技服務
  • ESP8266_NONOS_SDK指南.上
    我看的是中文版本https://www.espressif.com/sites/default/files/documentation/2a-esp8266-sdk_getting_started_guide_en.pdf
  • 安全牛發布《網絡安全法實施指南》
    關鍵內容√ 基於《網絡安全法》要求,對近期與該法相關的法規標準進行了歸納總結,從而為組織機構在法律應對與實施的具體操作中提供參考指南;同時,本指南還識別了其他國家和地區的相關法規和標準,從而為國內組織機構在應對、實施《網絡安全法》時提供對比和參考內容。
  • 助力企業合規治理,上海數據合規與安全產業發展專家組正式成立
    為幫助上海軟體和信息服務業深化國內外數據安全和個人信息保護合規認知,提高企業合規和治理能力,促進產業發展和競爭力,上海市信息服務業行業協會擬在市經濟信息化委、市委網信辦指導下,成立上海數據合規與安全產業發展專家組。上海市經信委副主任張英、上海市委網信辦總工程師楊海軍在成立儀式上分别致辭,並向專家組到場專家頒發聘書。
  • 關於TalkingData,你必須了解的幾件大事
    數據智能平臺2.0(SmartDP 2.0)擁有管理、工程、科學以及安全、連接、共享六大核心能力。如何理解這些能力呢?數據安全是兩個問題,首先合法合規,其次保證數據本身的安全性。崔曉波認為,要解決安全問題,只能保證數據不動,通過算法流動的方式去解決。利用TalkingData積累的完全脫敏並進行隱私保護的TDID,通過ID-Mapping的服務和算法,放到各個數據源幫助做數據的匹配和打通。
  • 如何在 Linux 中安裝微軟的 .NET Core SDK | Linux 中國
    本分步操作指南文章解釋了如何在 Linux 中安裝 .NET Core SDK 以及如何使用 .NET 開發出第一個應用程式。about .NET Core: https://aka.ms/dotnet-docsUse 'dotnet --help' to see available commands or visit: https://aka.ms/dotnet-cli-docsTelemetry----The .NET Core tools collect usage data
  • 微信小程序使用騰訊地圖sdk
    首次使用需要申請秘鑰,下載sdk文件qqmap-wx-jssdk.js。需要設置安全域名https://apis.map.qq.comindex.wxml文件如下<view><text>經度{{jd}}</text></view><view><text>緯度{{wd}}</text></view><view
  • DigiCert合規文化:一種主動式方法
    DigiCert及客戶的安全與信任需要持續地關注於標準與合規。DigiCert在全球運營中保持強勢的合規文化。作為全球領先的TLS/SSL及PKI方案提供商,DigiCert承諾在一切企業行為中保持濃重的合規文化。從CEO伊始,我們的團隊充分了解到,沒有對標準與合規的充分關注,我們不可能維護客戶客戶及合作夥伴的信任,並在安全方面前行。我們的服務作為客戶對安全立場的一個重要組成部分,我們有責任基於標準及風險的理解來數量世界級的標杆。
  • 合規指令:主導 2019 安全重點的網絡安全最佳實踐
    IDG 的《安全重點研究》顯示,大多數企業的安全工作受合規要求與安全最佳實踐改進任務的驅動。安全態勢永遠在變:更聰明的網絡罪犯、不斷進化的惡意軟體、更嚴格的監管和更高的金融與國家安全風險,無不迫使公司企業及其安全團隊不斷調整安全工作重點。IDG《2019 安全重點研究》發布於 2019 年 7 月底,揭示未來一年中安全重點的變化趨勢。
  • Android SDK 開發應該注意哪些?
    https://github.com/sensorsdata/sa-sdk-android1.1 什麼是 SDK相信做 Android 開發的同學,肯定使用過很多第三方的 SDK,比如極光 SDK、支付寶 SDK、微博 SDK 等等。
  • 藉助專業顧問,構築合規與安全體系——美國制裁中興案的啟示
    而中國政府有關機構則需要承擔推進合規管理的新責任。中國政府部門認可全球企業合規發展的新趨勢,明確要求全球企業,包括在華的外資企業誠信合規,要求中國走出去的企業誠信合規,也要求中國本土企業加強合規管理體系建設,在企業經營中誠信合規。我國政府對企業有巨大的影響力。政府首先要加強自身合規管理體系的建設,做到「合規行政」,同時採取更加積極有效的措施推進企業的合規管理。