TalkingData SDK合规与安全指南

更新时间:2023-11-30

引言

为有效治理App强制授权、过度索权、超范围收集个人信息等现象,保障个人信息安全,2019年1月,中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。同时,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组,具体推动App违法违规收集使用个人信息评估工作。2019年3月,App违法违规收集使用个人信息专项治理工作组发布《App违法违规收集使用个人信息自评估指南》,供App运营者对其收集使用个人信息的情况进行自查自纠。2019年11月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定《App违法违规收集使用个人信息行为认定方法》,明确了六大类违法违规收集使用个人信息行为的认定方法,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,同时也为App开发运营者自查自纠提供指引。2019年12月,在App违法违规收集使用个人信息专项治理工作组主办的“App个人信息保护工作研讨会”上,相关主管部门表示将进一步加大工作力度,切实加强个人信息保护工作。2020年3月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了常见类型App的基本功能和必要个人信息范围。2020年10月,《GB/T 35273-2020 信息安全技术 个人信息安全规范》正式实施,细化了个人信息收集、存储、使用、共享、公开披露等处理环节的合规要求。2021年9月,《数据安全法》正式实施,从法律层面明确了数据安全的保护义务。2021年11月,《个人信息保护法》正式实施,对个人信息全生命周期的合规要求进行了明确的规定。《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》针对《个人信息保护法》所提出的个人信息安全影响评估,进一步细化了具体的实施机制。2021年11月,工业和信息化部发布了《工业和信息化部关于开展信息通信服务感知提升行动的通知》,要求建立个人信息保护“双清单”,其中已收集个人信息清单应简洁、清晰列出App(包括内嵌SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。2023年2月,工业和信息化部发布了《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》,要求App开发运营者使用SDK时,应集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。2023年5月,《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》正式发布,细化规定了告知和同意的实施要求,其中附录B针对App嵌入第三方SDK的场景,详细阐述了有效落实告知和同意的具体方法。综上,App(包括App嵌入的第三方代码、插件)对于个人信息的收集使用及对个人信息主体权益的保障问题作为相关主管部门的重拳治理事项,其监管力度正日益加大,监管标准亦日益趋严。为帮助使用TalkingData SDK的App开发运营者(以下简称“您”)更好地落实终端用户个人信息保护相关事宜,避免因涉及第三方SDK的业务而违反相关法律法规、政策及标准的规定,同时,也便于您更清楚地理解TalkingData数据业务的合规性和已采用的安全保护技术能力,特别是保护个人信息和隐私的方法和措施,TalkingData特编写《TalkingData SDK合规与安全指南》,供您参考。请您确保按照相关法律、法规、国家标准和主管部门的要求,合法合规地使用TalkingData SDK服务,具体流程如下:1.请将TalkingData SDK升级至最新版本,具体下载链接如下:https://doc.talkingdata.com/posts/catalogue/10752.请按照《SDK集成文档》完成SDK的使用配置。 本指南共包括三个部分: 1、TalkingData SDK配置能力说明2、 App开发运营者个人信息保护的合规要求3、 使用TalkingData SDK服务时的合规注意事项4、 TalkingData的数据安全保护能力 如有任何问题,请与TalkingData联系。

一、TalkingData SDK配置能力说明

1.SDK扩展业务功能的配置说明 TalkingData SDK的基本业务功能是提供应用统计分析服务、移动广告监测服务,您可以通过接入TalkingData SDK对您的应用进行数据分析,目前不涉及提供其他扩展业务功能,如后续提供其他扩展业务功能,将通过《TalkingData SDK安全与合规指南》向您详细介绍具体的扩展业务功能及其关闭配置的方式和示例。2.SDK可选个人信息的配置说明 TalkingData SDK区分了基础个人信息和可选个人信息。您可以结合业务实际需要,选择可选个人信息的具体类型,参考如下配置文档的内容进行配置操作。配置文档链接:https://doc.talkingdata.com/posts/1025在应用统计分析和移动广告监测的服务场景下,您可以选择额外收集MEID、IMEI或Mac信息用于更准确地标识用户、识别作弊流量;收集应用列表用于识别、分析、剔除作弊流量;收集位置信息用于生成更加精准的位置分布报表、识别作弊流量。3.SDK按照不同频次、精度收集个人信息的配置说明 针对收集频次,TalkingData SDK仅在App调用或终端用户触发相关功能时收集相关个人信息,不涉及定时逻辑等频次控制选项。针对收集的位置精度,TalkingData SDK提供可选权限,供您自主选择是否申请相对精确的地理位置权限或粗略的地理位置权限。如果您需要对前述权限进行配置,可参考如下配置文档的内容进行配置操作。配置文档链接:https://doc.talkingdata.com/posts/1025 4.SDK申请的系统权限信息说明您应知悉和了解,受限于不同系统要求,您使用TalkingData SDK收集个人信息可能还应获取相关的权限。您可以结合业务实际需要进行合理配置。配置文档链接: Android:https://doc.talkingdata.com/posts/1025
iOS:https://doc.talkingdata.com/posts/1024
Android系统权限:
权限名称权限具体功能权限用途权限申请时机涉及的产品
INTERNET进行网络连接。用于允许应用联网和发送统计数据。数据分析需要时进行调用。例如需要上报数据时。应用统计分析、移动广告监测
ACCESS_NETWORK_STATE获取当前网络状态。用于允许应用检测网络连接状态,在网络异常状态下暂停数据发送。数据分析需要时进行调用。例如在联网状态下需要上报数据时。
READ_PHONE_STATE获取设备信息。用于生成脱敏的终端用户唯一标识。数据分析需要时进行调用。例如进行广告归因时。
ACCESS_WIFI_STATE获取WiFi信息。用于生成脱敏的终端用户唯一标识,以及识别作弊流量。 数据分析需要时进行调用。例如进行广告归因时。
WRITE_EXTERNAL_STORAGE允许应用程序写入外部存储。用于存储设备信息,以及记录日志。数据分析需要时进行调用。例如需要对终端生成唯一标识时。
ACCESS_FINE_LOCATION(可选)获取相对精确的位置信息。用于修正终端用户的地域分布数据,使报表数据更准确,以及识别作弊流量。数据分析需要时进行调用。例如需要分析用户的地理位置分布时。
ACCESS_COARSE_LOCATION(可选)获取粗略位置信息。用于识别作弊流量。数据分析需要时进行调用。例如需要分析用户的地理位置分布时。
GET_TASKS(可选)获取应用使用状态。用于更精准的统计终端用户活跃度。数据分析需要时进行调用。例如需要分析用户是否处于活跃状态。

IOS系统权限:
权限名称权限具体功能权限用途权限申请时机涉及的产品
网络进行网络连接。用用于允许应用程序联网和发送数据。数据分析需要时进行调用。例如需要上报数据时。应用统计分析、移动广告监测
IDFA获取IDFA。用于生成脱敏的终端用户唯一标识。数据分析需要时进行调用。例如进行广告归因时。
位置信息(可选)获取位置信息。用于修正终端用户的地域分布数据,使报表数据更准确,以及识别作弊流量。数据分析需要时进行调用。例如需要分析用户的地理位置分布时。
WIFI信息(可选)获取WiFi信息。用于识别作弊流量。 数据分析需要时进行调用。例如进行广告归因时。
5.SDK初始化及业务功能调用时机 TalkingData SDK在初始化阶段仅做应用运行时的准备工作,不收集任何数据。您应当确保在终端用户同意《隐私政策》后,再基于合理的业务场景启动分析能力,合规且必要地使用TalkingData SDK的功能。当您的App向用户提供服务时,再请求TalkingData SDK的相关服务。关于最新版本初始化配置与启动分析能力的配置说明请见链接: Android:https://doc.talkingdata.com/posts/1025
iOS:https://doc.talkingdata.com/posts/1024
6.App《隐私政策》披露SDK个人信息处理规则的条款示例 您应向终端用户逐一明示您接入的第三方SDK收集使用个人信息的目的、方式和范围。您应当在《隐私政策》中明确告知终端用户,您谨慎地选择了TalkingData作为合作方,为实现App运营所需的某些功能需要通过TalkingData SDK实现,由TalkingData与您一起共同决定如何收集、使用、加工等方式处理终端用户个人信息。TalkingData建议您在《隐私政策》中的数据共享与披露章节的表述条款可以参考如下(请按照实际合作情况进行披露): “在应用统计分析和移动广告监测场景下,我们的产品会集成北京腾云天下科技有限公司的【TalkingData】SDK,我们需要向此SDK共享您的相关个人信息,涉及的数据类型和目的具体如下: 1) 基础个人信息:收集唯一设备识别符(OAID和Android ID)、IP地址、IDFV、IDFA用于生成脱敏的终端用户唯一标识,进行基础分析; 2) 可选个人信息:收集MEID、IMEI、Mac信息用于更准确地标识用户、识别作弊流量;收集应用列表用于识别、分析、剔除作弊流量;收集位置信息用于生成更加精准的位置分布报表、识别作弊流量;3) 其他有关应用、设备和网络的基础数据:SDK或API版本、平台、时间戳、系统文件的创建时间、应用标识符、应用程序版本、应用分发渠道、应用进程信息、应用的IDFA授权状态、应用的NFC权限情况(是或否)、设备是否支持NFC功能(是或否)、设备是否支持蓝牙功能(是或否)、设备型号、终端制造厂商、终端设备操作系统版本、会话启动/停止时间、语言所在地、移动网络/国家代码、时区、硬盘、CPU和电池使用情况、网络信息(WiFi网络或基站的连接状态、连接wifi的BSSID或SSID信息、连接基站的SystemID信息) 用于在应用统计分析服务中进行粗略的多维分析、提供分地区和应用版本号的数据报表;用于在移动广告监测服务中进行粗略的多维分析、评估广告投放效果,以及识别、分析、剔除作弊流量。为了您的信息安全,我们已与【TalkingData】签署严格数据安全保密协议,其会严格遵守我们的数据隐私和安全要求。为使您可以更好地了解【TalkingData】收集的数据类型及用途,以及保护个人信息的方式,您可以通过查看【TalkingData】的《TalkingData集团隐私政策》和《TalkingData SDK隐私政策》链接来进一步了解: https://www.talkingdata.com/sdkprivacy.jsp?languagetype=zh_cnhttps://talkingdata.com/privacy.jsp?languagetype=zh_cn同时我们理解并尊重您的选择权,如果您不愿参与【TalkingData】的大数据计算,您也可以通过如下途径行使opt-out权利: http://www.talkingdata.com/optout.jsp?languagetype=zh_cn您理解并同意,TalkingData有权对已收集的数据进行去标识化和聚合性的处理后构建数据库,用以提供数据服务。如果【TalkingData】SDK收集使用个人信息的目的、方式、范围发生变化时,我们会以适当方式通知并提醒您阅读。7.App获取终端用户授权同意的建议方式及示例 App首次运行时应当出现弹窗,公示《隐私政策》摘要内容并附完整版《隐私政策》链接,明确提示终端用户阅读并选择是否同意《隐私政策》,弹窗还应同时提供同意和拒绝同意的选项,不能默认同意,保证终端用户的自主选择权。披露示例如下: 8.终端用户行使权利的配置说明 终端用户可以向我们任一方提出行使个人信息主体权利的要求。您一旦收到来自终端用户的有关TalkingData SDK个人信息处理行为的任何要求,请您在24小时内向我们告知并共同解决。为了方便终端用户直接向我们行使拒绝权利,您应当告知终端用户可以通过TalkingData终端设备opt-out途径行使退出权,一旦终端用户行使opt-out权,其个人信息将不会被以任何形式进行处理,也不会频繁征求用户同意,TalkingData opt-out的链接:http://www.talkingdata.com/optout.jsp?languagetype=zh_cnTalkingData强烈建议您在《隐私政策》中嵌入此opt-out链接,以便终端用户更便捷地行使其退出权。

二、 App开发运营者个人信息保护的合规要求

本部分有关App开发运营者的个人信息保护的合规要求解读主要针对您在使用TalkingData SDK的过程中,有关个人信息收集使用的合法授权及主体权益保障的重点合规要求的解读。

1. App上线前需制定面向终端用户的配套合规文件

您至少需要制定一份独立的《隐私政策》(又称《个人信息保护政策》)。《隐私政策》是说明App的个人信息收集和使用情况,获得用户的合法授权以及保护用户个人信息主体权利的重要文档,其内容应符合国家相关法律法规、政策及标准的规定及您与TalkingData的约定。特别是:1)符合《GB/T 35273-2020 信息安全技术 个人信息安全规范》,该文件的四份附录对您理解个人信息保护要求和《隐私政策》起草亦具有重要的参考价值:附录 A :个人信息示例附录 B :个人敏感信息判定附录 C :实现个人信息主体自主意愿的方法附录 D :个人信息保护政策模板2)您的《隐私政策》应向终端用户明示您在App中部署TalkingData SDK收集使用个人信息的目的、方式和范围等,提供的保护标准应不低于TalkingData的隐私保护。

2. App《隐私政策》的展示方案

您应遵从国家相关法律法规、政策及标准的要求,对App 《隐私政策》进行展示,包括但不限于: 您应当保证 《隐私政策》的独立性和明显提示性。《隐私政策》应单独成文,而不是《终端用户协议》或其他文件的一部分。App首次运行时会通过弹窗等明显方式提示终端用户阅读 《隐私政策》的收集使用规则,此后,SDK再启动分析进行信息收集与处理。 您应当保证《隐私政策》的易读性和易访问性。 《隐私政策》会使用明确易懂、符合逻辑与通用习惯的语言,并提供简体中文版。终端用户进入App主功能界面后,通过4次以内的点击或滑动,就能够访问到 《隐私政策》。 您应向终端用户明示收集使用个人信息的目的、方式和范围,仅仅是改善服务质量、提升用户体验、定向推送信息、研发新产品还不能成为强制用户同意收集其个人信息的理由。 《隐私政策》应由终端用户自主选择是否同意,不应以默认勾选同意的方式或是欺骗诱导的方式取得终端用户授权。 3. 重要说明 本部分合规要求的解读并不构成TalkingData对您个人信息保护的法定义务的全面完整的法律建议。我们强烈建议您充分了解现有及可能不时发布的有关个人信息保护的法律、法规、政策、标准和执法检查要求等,您可参考的相关资料包括但不限于:《中华人民共和国个人信息保护法》http://www.legaldaily.com.cn/government/content/2021-08/23/content_8586559.htm《中华人民共和国数据安全法》http://www.xinhuanet.com/politics/2021-06/10/c_1127552048.htm《中华人民共和国网络安全法》http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm《中华人民共和国民法典》http://legal.people.com.cn/n1/2020/0602/c42510-31731656.html《常见类型移动互联网应用程序必要个人信息范围规定》http://www.gov.cn/zhengce/zhengceku/2021-03/23/content_5595088.htm《App违法违规收集使用个人信息自评估指南》https://www.mpaypass.com.cn/download/202007/25221310.html《App违法违规收集使用个人信息行为认定方法》http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm《工业和信息化部关于开展信息通信服务感知提升行动的通知》https://www.gov.cn/zhengce/zhengceku/2021-11/06/content_5649420.htm《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》https://www.gov.cn/zhengce/zhengceku/2023-03/02/content_5744106.htm《GB/T 35273-2020信息安全技术 个人信息安全规范》https://ansafe.xust.edu.cn/DownLoad/2020SafeInstruction.pdf《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=9EA84C0C3C2DBD3997B23F8E6C8ECA35《GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=977D9EBB32ABF0A7DD6A1215969FE57A《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D04FFD262EBE05397BE0A0AD5FA

三、 您使用TalkingData SDK服务时的合规注意事项

1. 您使用TalkingData SDK服务前的合规自查

您在下载TalkingData SDK前,应当仔细阅读《SDK下载合规声明》,并依据声明的规定对您的 《隐私政策》及您的App产品收集使用个人信息的情况进行合规自查。您应确保在App首次运行时通过明显方式提示终端用户阅读您的 《隐私政策》并取得终端用户的合法授权,此后,SDK再启动分析进行信息收集与处理。根据您已阅读并同意的《TalkingData 集团隐私政策》,您应特别注意如果需要通过TalkingData处理来自于其App终端用户的个人信息,应当事先获得终端用户的授权与同意。TalkingData提供给您服务的前提是您已承诺:“(1)您已经获得终端用户充分必要的授权、同意和许可,允许使用我们履行服务所需的目的(若您的App是针对不满十四周岁的儿童设计和开发的,您应已采取必要的技术措施,保证已获得其监护人的授权、同意和许可);(2)您已经获得终端用户充分必要的授权、同意和许可,允许我们对已收集的数据进行匿名的、聚合性的处理(若您的App是针对不满十四周岁的儿童设计和开发的,您应已采取必要的技术措施,保证已获得其监护人的授权、同意和许可);(3)您已经遵守并将持续遵守适用的法律、法规和监管要求,包括但不限于制定和公布有关个人信息保护和隐私保护的相关政策;(4)您已经向终端用户进行披露和说明,允许我们对已收集的数据进行的去标识化和聚合性的处理后,并构建TalkingData数据库,用以提供数据服务,但您同时应向终端终端用户提供易于操作的选择机制,说明终端用户如何以及何时可以行使选择权,并说明行使选择权后如何以及何时可以修改或撤回该选择,使得终端用户可以选择同意或不同意为商业目的而收集和使用其个人信息的去标识化数据。”

2. TalkingData对您的合规审查

TalkingData作为服务提供者已在与您达成的《服务协议》、 《TalkingData集团隐私政策》、《TalkingData SDK隐私政策》及《数据安全及个人信息保护承诺》中明确各方的安全责任和义务。且TalkingData已经在 《TalkingData集团隐私政策》和《TalkingData SDK隐私政策》中明确说明了收集终端用户信息的范围及使用目的,并明确要求您应向TalkingData说明数据来源且保证来源合法,并必须明确告知最终用户其被收集的数据内容、目的及且具备一定的必要性,获得最终用户的相应授权。为了确保您切实获得终端用户的授权,并保证TalkingData获取终端用户个人信息的合法合规性,在双方订立合作协议前,TalkingData会对您进数据合规尽职调查进行风险评估,并审查您提供所共享的个人信息的合法来源证明文件等相关文件,以及官网公开的《用户协议/服务条款》与 《隐私政策》以审查同意授权与告知机制,如有不合规的情形,TalkingData会要求您增加或修订《用户协议/服务条款》与 《隐私政策》的内容和/或告知机制。

四、 TalkingData的数据安全保护能力

TalkingData不仅专注于技术实践积累、完善产品服务,同时也在积极践行个人信息与公共数据的保护,严格遵守国家的法律法规、政策与标准。

1.TalkingData的数据安全保护措施

TalkingData非常重视个人信息保护,并在数据生命周期的各个不同阶段都采取了不同的措施来保障个人信息的安全。1)数据收集安全TalkingData在数据收集的过程中会明确收集数据的目的与用途,满足数据来源的真实合法性、有效性以及最小够用等数据保护原则的要求,并通过建立内部数据分类分级制度以及数据质量管理标准制度来明确收集流程与规范数据格式,从而保证数据收集的合规性、正当性、一致性。2)数据传输安全TalkingData在传输前会对不同的数据设置不同的数据保密等级,从而采用不同的加密方式,如MD5、密钥加密等。数据传输时会采用https协议以保障传输通道加密安全。数据传输报文采用符合国家要求的加密算法RC4进行加密,同时加密算法秘钥动态分存管理以防止秘钥丢失或被破解。TalkingData根据组织内外部的数据传输要求,采用了适当的加密措施来保障传输的通道、节点和数据的安全,防止数据在传输过程中泄露。3)数据存储安全TalkingData根据不同的数据密级采用了不同的安全存储机制,如对于重要程度低的数据明文存储,而对于重要程度高的数据加密存储,并定期对关键数据进行完整性检测以保障数据存储阶段不会造成关键数据损坏或丢失。同时,TalkingData还会根据数据价值或者敏感程度,采用分区存储的策略进行存储,如原始数据和脱敏数据会使用不同集群存储、高价值数据选取单独集群进行存储。除此之外,公司通过按需申请严格控制数据访问权限,并留存数据访问审计日志以追溯操作记录,防止人为的数据泄露。4)数据处理安全个人数据进入TalkingData统计平台后,TalkingData会严格按照法律法规的要求以及业务需求进行数据脱敏处理,采用匿名的TDID作为实体标识主键与业务数据关联,去除可直接识别实体的具体ID,保证数据可用性和安全性的平衡。此外,公司在数据分析处理过程中会严格控制处理权限。数据处理人员在数据处理之前均需要通过kerberos认证,才能进行后续数据操作。同时,TalkingData采用多租户管理体制,针对不同的业务应用分配不同的功能账号,通过对访问进行细粒度授权以防止越权访问,为数据处理建立安全保护机制。5)数据合作安全在数据交换前,TalkingData会对合作伙伴的资质、使用行为等项目进行多维度的安全评估以判断是否进行数据合作。在TalkingData与合作伙伴开展数据业务时会采用TalkingData安全岛等模式来控制数据的安全风险,并进行日记记录与留存,以降低数据合作的安全风险。6)数据销毁安全TalkingData会针对不同类型的业务数据制定不同的数据存储周期策略和数据老化策略,并定期对不符合存储策略的数据迁移和清理操作,实现数据的有效销毁,防止因对储存媒体重大数据进行恢复而导致的数据泄露。同时,TalkingData还会定期安排人员对储存介质进行物理摧毁,通过建立有效的数据销毁规程与技术手段以防止数据泄露的风险。

2. TalkingData的数据安全保护机制

TalkingData从不同的维度建立了信息安全保护机制来保障数据主体的数据安全,并根据法律法规的政策性变化不断完善内部的管理合规制度。1)组织与管理TalkingData建立了信息安全工作小组,负责组织信息安全相关交流,协调信息安全相关问题的处理与数据的生命周期的安全建设的决策,并积极与其他相关组织沟通与协作。TalkingData要求每位工作人员入职前均应签署数据安全保密协议,并接受信息安全培训。同时TalkingData会通过风险评估严格控制对于第三方的访问和外包服务,分析安全影响并制订相应措施。2)网络与信息资产管理TalkingData建立了网络与信息资产清单和资产责任制度。根据网络与信息资产的敏感度和重要性,TalkingData对其进行分类,并采取相应的管理措施,并要求每一项资产都由相应的安全管理职权的指定责任人管理,并由其承担相应的安全责任。3)物理与环境安全 TalkingData的关键或敏感的网络与信息处理设施被放置在安全区域内,由指定的安全边界予以保护。针对不同的安全区域,应采取不同等级的安全防护和访问控制措施,阻止非法访问和干扰。4)运行维护安全TalkingData建立网络与信息处理的管理和操作制度流程,并尽可能地实现职责分离。TalkingData不断加强防范意识,采取有效措施来预防和控制恶意软件,并建立严格的软件管理制度,及时加载安全补丁,定期进行系统安全漏洞评估。此外,TalkingData也制定了信息存储介质的管理制度和处置流程,特别加强对可移动存储介质和系统文档的管理,并制定了相应的程序和标准,以保护传送过程中的信息和媒介安全。5)访问控制TalkingData基于业务和安全需求,制定访问控制策略,以实现最小化授权的原则,并明确用户职责,加强用户访问控制管理,并在公司的网络边界设置合适的接口,采取有效的用户和设备验证机制,控制用户访问,隔离敏感信息。同时应监控对系统的访问和使用,记录并审查事件日志。6)开发与维护TalkingData系统的开发,包括网络基础设施,必须严格遵循系统安全生命周期管理流程。在开发新系统之前会确认安全需求。在设计中采用合适的控制措施、审计跟踪记录和活动日志,包括输入数据、内部处理和输出数据的验证。在系统开发及维护过程中,严格执行系统开发流程管理,包括对开发、测试和生产环境的变更控制,以保证系统软硬件和数据的安全。7)安全事件响应与安全审计TalkingData已制定个人信息安全事件应急机制,并会定期组织员工进行应急响应培训和应急演练,并确保网络与信息系统的设计、操作、使用和管理必须遵从国家法律及政策制度相关管理条例的安全要求,定期检查网络与信息系统安全,检验安全政策和技术规范的执行情况。

3. TalkingData的数据安全保护能力认证

TalkingData目前已获取了很多认证来提升自己的安全合规能力,具体如下: 1)通过网络安全等级保护三级; 2) 隐私信息管理体系认证ISO/IEC 27701:2019; 3) 信息安全管理体系认证ISO/IEC 27001:2013; 4) 质量管理体系认证ISO 9001:2015; 5) 信息技术服务管理体系认证ISO/IEC 20000-1:2018; 6) 中国信息安全测评中心的SDK安全测评证明,安全性满足EAL1级; 7) 卓信大数据计划—大数据平台安全认证; 8) 中国信通院SDK安全专项行动测评; 9)数据流通平台安全能力评估泰尔测试证书; 10)数据安全和个人信息保护社会责任评价二星级。TalkingData牵头并参与监管部门的多项数据合规项目,并成为数据安全与个人信息保护相关工作组的成员,具体如下:(1)《信息安全技术 个人信息安全规范》应用推广试点单位;(2)《信息安全技术 数据安全能力成熟度模型》应用推广试点单位;(3)《信息安全技术 个人信息安全影响评估指南》应用推广试点单位;(4)全国信息安全标准化技术委员会—TC260大数据安全标准特别工作组成员;(5)中国信息通信研究院隐私计算联盟组成员; (6)中国信息通信研究院“卓信大数据计划”成员;(7)中国网络安全产业联盟数据安全工作委员会成员;(8)个人信息保护合规审计推进小组首批成员;(9)中国信息通信研究院“数据安全共同体计划(DSC)”首批成员;(10)绿色SDK产业生态共建行动的首批参与企业。TalkingData参与编写了数据安全和个人信息保护的相关标准规范、白皮书、报告等,具体如下:(1)《信息安全技术 个人信息安全影响评估指南》;(2)《信息安全技术 互联网平台及产品服务隐私协议要求》;(3)《信息安全技术 基于个人信息的自动化决策安全要求》;(4)《信息安全技术 大数据服务安全能力要求》;(5)《企业数据安全和个人信息保护社会责任评价指标》;(6)《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》;(7)《移动互联网应用程序SDK安全技术要求及测试方法》;(8)《软件开发包(SDK)安全与合规白皮书》;(9)《隐私计算技术应用合规指南(2022年)》;(10)《<数据安全法>实施参考(第一版)》;(11)《数据安全保护义务履行参考案例集》;(12)《“健康码”数据删除等后续处置措施实施指引》。如有任何问题,请与TalkingData联系。