3 月 23 日的 TikTok 聽證會,“不出意外沒有給 TikTok 留下多少澄清事實的空間”。
從 TikTok 僅用時 4 年便突破 10 億月活用戶、沖擊美國社交舊霸主的影響力來看,這更像是一場“懷玉其罪”招來的“獵殺”。
這個已經超出商業范疇的大事件,也給正勢不可擋的中國互聯網出海蒙上了一層陰霾。我們不得不再一次正視一個事實:大環境正發生著激烈轉變,從水大魚大到風大雨大。
而除了海外網絡環境復雜多樣這個門檻外,出海互聯網企業還面臨更加龐雜的政策法律環境,產品安全合規迎來了更高等級的挑戰。移步【融云全球互聯網通信云】了解更多。
一、愈加重要的數據主體“被遺忘權”
出海為中國互聯網產業帶來了新的增量空間和機會,但這不意味海外市場是“低垂的果實”。尤其是對于中國的優勢項目社交泛娛樂來說,在全球市場都面對老對手尚在牌桌搏殺,新玩家不斷冒頭的競爭局勢。
而在迎戰更具活力的競爭對手前,上牌桌的機會首先屬于在安全合規方面堅守紅線的玩家。
2022 年 7 月實行的 App Store 新規中強調,必須允許用戶在 App 中刪除賬戶及相關數據,且需要將該功能設置在“便于用戶找到”的位置。即《歐盟數據保護通用條例》(General Data Protection Regulation,GDPR)所描述的“被遺忘權”。
GDPR 于 2018 年 5 月 25 日正式實施,它不僅考慮屬地因素,還增加了屬人因素。除了成立地在歐盟的機構,只要服務對象為歐盟境內的用戶或服務過程中處理了歐盟境內個體的個人數據,都將落入 GDPR 的適用范圍。
在隱私和數據保護方面,全球各地均有相關立法——
美國《加州消費者隱私法案(CCPA)》、《健康保險責任與保護法(HIPAA)》,新加坡《個人數據保護法 2012(PDPA)》,沙特《個人數據保護法(PDPL)》,國內則有《個人信息保護法》及《數據安全法》、《網絡安全法》等。
其中,GDPR 堪稱史上最嚴格的數據保護法案。它延續了歐盟立法機構一貫的保守立場,以保護人權為核心,本著對技術充分不信任的出發點,針對單個或系列個人數據的一個或一系列操作,如收集、記錄、組織、建構、存儲、修改、檢索、咨詢、使用、披露、傳播或以其他方式利用、排列或組合、限制、刪除或銷毀等操作進行了嚴格規定。
GDPR 的數據處理基本原則包括確保數據主體的知情權和訪問權、更正與被遺忘權、限制處理權、數據攜帶權、反對權。
其中,被遺忘權指當數據主體依法撤回同意或者數據控制者不再有合法理由繼續處理數據時,數據主體有權要求控制者無不當延誤地刪除有關其的個人數據。
同時,GDPR 數據控制者有保證數據主體有效行使其權利的義務,即數據控制者不僅要允許數據主體行使其權利,同時還要保證權利行使的有效性。
誠然,沒有完美的技術,關鍵在于如何使用技術。
作為專業、簡單、穩定的全球互聯網通信云服務商,融云提供用戶注銷相關功能,包含用戶注銷、用戶激活、注銷用戶查詢三個接口,以讓開發者更方便快捷地從技術側滿足合規需求。終端用戶在應用客戶端發起個人數據刪除請求,應用服務端直接調用接口便可協助用戶刪除在服務平臺的數據。移步【融云全球互聯網通信云】了解更多。
? 用戶注銷后會清除用戶設置、用戶消息及會話、設備等信息,在注銷期間無法再申請 Token,且此前的有效 Token 不能再使用。
? 用戶注銷成功后將立即退出 App,且無法重新登錄,用戶所有相關數據會被刪除,無法恢復。
? 如需要再次使用該用戶賬號,需調用用戶激活接口來取消用戶注銷狀態,但用戶激活后被刪除的用戶相關信息不可恢復。
此前,為了滿足這個需求,開發者需要繁復操作分別解決本地消息刪除、服務器端消息刪除等不同需求;而采用融云服務,只需簡單調用用戶注銷接口,即可便捷地清除用戶的所有信息。
同時,融云不提供用戶信息托管服務,本就符合 GDPR 的匿名通信規則,結合用戶注銷接口,底層服務完全符合 GDPR 個人隱私保護的細節要求。
除針對數據主體相關權利的接口外,數據處理流程中還涉及數據傳輸、數據存儲等不同環節的安全性保障。
數據安全
? 融云提供登錄認證、鏈路安全、平臺管理等業內最完整的安全防護體系。
? 連接鏈路加密,支持標準的 TLS 1.2 協議,保證傳輸安全,防止傳輸過程被監聽、防止數據被竊取,確認連接的真實性;支持內容層的自定義加密,通過 SDK 的消息回調服務,支持 App 自行做一層加密。
? 消息端到端加密,使用了 X3DH 協議,可以使雙方無需預先溝通,在不安全的網絡中可確定協商密鑰;采用雙棘輪算法,保證前向和后向安全,即使一條消息的密鑰被破解,之前和之后的消息密鑰也都無法推算而出。
? 客戶端本地存儲,全部啟用數據庫加密,確保信息隱私安全。即使萬一遇到應用或系統被破解的情況,也無法獲取數據庫中的內容,并且整個數據庫加密的方式也不影響消息的增刪改查,產品需求和安全需求雙管齊下。
數據主權
融云在全球擁有多個數據中心,并融合了多家頭部服務商,可以幫助客戶遵循出海當地國相關規定,規避數據主權風險。
內容安全
支持多語種審核,支持不同地區、不同場景的針對性審核策略,支持先審后發、先發后審等多種審核模式。
二、關乎“生死”的信息收集和隱私政策
行業標準和監管往往意味著產業的規范和成熟。
從 2010 年開始,我們進入移動互聯網時代。到 2015 年,中國智能手機的銷量達 4.3 億臺,移動互聯網就此疾風驟雨般爆發。
隨著我們逐漸將生活和工作在小小的移動終端上實現“統一化”。人們線上行為的連貫性讓大數據分析有了更多用武之地,借助連貫行為產生的體系化數據,互聯網企業幾乎可以擁有一個無限接近于現實世界用戶真身的數據畫像。
這個“流量”引領潮水走向的互聯網敘事中,也摻入了違規數據交易、大數據殺熟等暗黑情節。
2021 年 11 月 1 日起施行的《個人信息保護法》,作為我國首部個人信息保護方面的專門法律,明令禁止過度收集個人信息、大數據殺熟,同時對敏感個人信息的處理作出規制,完善個人信息保護投訴、舉報工作機制等。
關于這一點,我們從近年來國家網信辦多次下架、限期整改 App 違法違規收集使用個人信息情況的通報中可見一斑。其中,更有造成轟動的大額罰單執法落地案例,比如 2022 年 7 月滴滴的 80.26 億罰款。
根據國家網信辦消息,滴滴公司存在 8 個方面 16 項違法事實,都與數據安全和個人信息保護有關。
這無疑在提醒應用開發者,一定要嚴格遵守“采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,公開處理規則,保證信息質量,采取安全保護措施”等個人數據處理原則。
此外,隱私政策的規范性也是關乎應用是否能順利上架的因素。2019 年底開始,國家網信辦、工信部、公安部、市場監管總局四部委聯合展開 App 個人信息保護專項整治行動,范圍就包括隱私協議精細化。截至 2022 年 6 月,工信部已累計對 322 萬款 App 進行檢測,通報、下架了違規 App 近 3000 款。
作為 30 萬+ App 背后的通信云服務商,融云非常尊重并保護終端用戶的隱私,并且一直以來致力于為終端用戶提供安全的網絡環境。融云依據《網絡安全法》及互聯網行業關于信息保護的法律法規,并參考《信息安全技術 個人信息安全規范》(GB/T 35273-2020)等推薦性國家標準保護終端用戶的個人信息。
此外,在集成 SDK 前,融云會提醒開發者:
? 確保應用有《隱私政策》,并在應用首次運行時通過明顯方式提示終端用戶閱讀《隱私政策》取得用戶同意。
? 在《隱私政策》中告知用戶應用集成了融云 SDK,并向終端用戶逐一明示嵌入的 SDK 收集使用個人信息的目的、方式和范圍。
? 必須在取得終端用戶的合法授權后,再使用融云 SDK 及其服務。
在這個云計算、大數據技術所編織的美麗新世界,數據安全和隱私保護已經成為全球企業所面臨的頭等大事。
作為誕生于移動互聯網時代的通信云服務商,融云以超強的活力效率和服務意識從底層服務上幫助開發者快速適應當下的行業標準和市場需求,為其提供更好的開發集成體驗,助力開發者以更低的成本追求更高的收益。
移步【融云全球互聯網通信云】了解更多。
