数据安全法本周施行,最新SDK合规与安全指南必读!
两天后的9月1日,《数据安全法》正式落地施行。前不久,《个人信息保护法》也获得表决通过,将自2021年11月1日起施行。
此前,为有效治理APP强制授权、过度索权、超范围收集个人信息等现象,保障个人信息安全,相关主管部门已经先后发布了多份规范,将APP(包括APP嵌入的第三方代码、插件)对于个人信息的收集使用及对个人信息主体权益的保障问题作为重拳治理事项。
除了监管力度日益加大和监管标准日益趋严,广大互联网用户和消费者对个人信息保护也愈加重视,对相关服务方提出了更高的期望和要求。
为帮助使用TalkingData SDK的APP开发者和运营者(以下简称“您”)更好地落实终端用户个人信息保护相关事宜,避免因涉及第三方SDK的业务而违反相关法律法规、政策及标准的规定;同时,也便于您更清楚地理解TalkingData数据业务的合规性和已采用的安全保护技术能力,特别是保护个人信息和隐私的方法和措施,TalkingData根据最新的法律法规及行业标准要求,对《TalkingData SDK合规与安全指南》再次进行更新,供您参考。
本指南共包括三个部分:
1、 开发者个人信息保护的合规要求
2、使用TalkingData SDK服务时的合规注意事项
3、 TalkingData的数据安全保护能力
一、开发者个人信息保护的合规要求
1.APP上线需要面向终端用户制定哪些配套的合规文件?
您至少需要制定一份独立的《个人信息保护政策》(又称《隐私政策》)。
《个人信息保护政策》是说明APP的个人信息收集和使用情况,获得用户的合法授权以及保护用户个人信息主体权利的重要文档,其内容应符合国家相关法律法规、政策及标准的规定及您与TalkingData的约定。特别是:
(1)符合《GB/T 35273-2017信息安全技术个人信息安全规范》,该文件关于个人信息示例、个人敏感信息判定、实现个人信息主体自主意愿的方法、个人信息保护政策模板的四份附录,对您理解个人信息保护要求和个人信息保护政策起草亦具有重要的参考价值;
(2)您的个人信息保护政策应向终端用户明示您在APP中部署TalkingData SDK收集使用个人信息的目的、方式和范围等,提供的保护标准应不低于TalkingData的隐私保护。
2. APP上线的《个人信息保护政策》中应披露第三方SDK的哪些内容?
您应向终端用户逐一明示您接入的第三方SDK收集使用个人信息的目的、方式和范围。您应当在《个人信息保护政策》中明确告知终端用户,您谨慎地选择了TalkingData作为合作方,为实现APP运营所需的某些功能需要通过TalkingData SDK实现,由TalkingData与您一起共同决定如何收集、使用、加工等方式处理终端用户个人信息。
建议您参考下面的表格,根据实际选用的TalkingData SDK提供的服务类型向您的用户披露。您应知悉和了解,安卓系统的部分设备信息(设备IMEI信息、Mac地址、硬件设备号信息)、位置信息和网路信息需要通过您安装TalkingData SDK 的宿主APP功能页面申请权限,并只有在获得用户的授权同意后我们才会进行收集。
针对在APP《个人信息保护政策》中数据共享与披露章节的表述条款,以及《个人信息保护政策》的展示方案,TalkingData也提供了具体建议,请点击文末阅读原文,查看完整内容。
3. 如果终端用户不希望其个人信息被处理,应当如何应对?
终端用户可以向我们任一方提出行使个人信息主体权利的要求。您一旦收到来自终端用户的任何有关TalkingData SDK个人信息处理行为的任何要求,请您在24小时内向我们告知并共同解决。
为了方便终端用户直接向我们行使权利,您应当告知终端用户可以通过TalkingData终端设备opt-out途径行使退出权,一旦终端用户行使opt-out权,其信息将不会被以任何形式进行收集处理,也不会频繁征求用户同意。TalkingData强烈建议您在《个人信息保护政策》中嵌入TalkingData的opt-out链接,以便终端用户更便捷地行使其退出权。
4. 重要说明
本部分合规要求的解读并不构成TalkingData对开发者个人信息保护的法定义务的全面完整的法律建议。我们强烈建议您充分了解现有及可能不时发布的有关个人信息保护的法律、法规、政策、标准和执法检查要求等,您可参考的相关资料包括:
《GB/T 35273-2020信息安全技术 个人信息安全规范》
《信息安全技术 个人信息安全规范》(征求意见稿)
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
《App违法违规收集使用个人信息自评估指南》
关于印发《App违法违规收集使用个人信息行为认定方法》的通知
《数据安全法》
《个人信息保护法》
二、您使用TalkingData SDK服务时的合规注意事项
1.您使用TalkingData SDK服务前的合规自查
您在下载TalkingData SDK前,应当仔细阅读《SDK下载合规声明》,并依据声明的规定对您的《个人信息保护政策》及您的APP产品收集使用个人信息的情况进行合规自查。您应确保在APP首次运行时通过明显方式提示终端用户阅读您的《个人信息保护政策》并取得终端用户的合法授权,此后,再初始化SDK进行信息收集与处理。
根据您已阅读并同意的TalkingData《个人信息保护政策》,您应特别注意如果需要通过TalkingData处理来自于其APP终端用户的个人信息,应当事先获得终端用户的授权与同意。TalkingData提供给您服务的前提是您已承诺:
“(1)您已经获得终端用户充分必要的授权、同意和许可,允许使用我们履行服务所需的目的(若您的APP是针对不满十四周岁的儿童设计和开发的,您应已采取必要的技术措施,保证已获得其监护人的授权、同意和许可);
(2)您已经获得终端用户充分必要的授权、同意和许可,允许我们对已收集的数据进行匿名的、聚合性的处理(若您的APP是针对不满十四周岁的儿童设计和开发的,您应已采取必要的技术措施,保证已获得其监护人的授权、同意和许可);
(3)您已经遵守并将持续遵守适用的法律、法规和监管要求,包括但不限于制定和公布有关个人信息保护和隐私保护的相关政策;
(4)您已经向终端用户进行披露和说明,允许我们对已收集的数据进行的去标识化和聚合性的处理后,并构建TalkingData数据库,用以提供数据服务,但您同时应向终端终端用户提供易于操作的选择机制,说明终端用户如何以及何时可以行使选择权,并说明行使选择权后如何以及何时可以修改或撤回该选择,使得终端用户可以选择同意或不同意为商业目的而收集和使用其个人信息的去标识化数据。”
三、TalkingData的数据安全保护能力
TalkingData不仅专注于技术实践积累、完善产品服务,同时也在积极践行个人信息与公共数据的保护,严格遵守国家的法律法规、政策与标准。
关于各项保护措施及保护机制的具体信息,请点击文末阅读原文,查看完整内容。
#01
TalkingData的数据安全保护措施
TalkingData非常重视个人信息保护,并在数据生命周期的各个不同阶段都采取了不同的措施来保障个人信息的安全。
1)数据采集安全
2)数据传输安全
3)数据存储安全
4)数据处理安全
5)数据交换安全
6)数据销毁安全
#02
TalkingData的数据安全保护机制
TalkingData从不同的维度建立了信息安全保护机制来保障数据主体的数据安全,并根据法律法规的政策性变化不断完善内部的管理合规制度。
1)组织与管理
2)网络与信息资产管理
3)物理与环境安全
4)运行维护安全
5)访问控制
6)开发与维护
7)安全事件响应与安全审计
#03
TalkingData的数据安全保护能力认证
TalkingData的主要系统已获得网络安全等级保护三级备案,且TalkingData通过如下体系认证或测评:
1)信息安全管理体系认证ISO9001;
2)信息安全管理体系认证ISO27001;
3) 软件能力成熟度集成模型 CMMI(Level3);
4)中国信息安全测评中心的SDK安全测评证明,安全性满足EAL1级;
5)中国信通院SDK安全专项测评;
6)GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》首批试点单位并获得数据安全成熟度二级。
因篇幅所限,本文只节选了《TalkingData SDK合规与安全指南》部分内容。使用TalkingData SDK的APP开发者和运营者,请务必点击文末阅读原文,前往TalkingData官网查看完整指南。
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注
↓↓↓查阅最新《TalkingData SDK合规与安全指南》