3 月 23 日的 TikTok 聽證會,“不出意外沒有給 TikTok 留下多少澄清事實的空間”。關注【融雲全球網際網路通訊雲】瞭解更多
從 TikTok 僅用時 4 年便突破 10 億月活使用者、衝擊美國社交舊霸主的影響力來看,這更像是一場“懷玉其罪”招來的“獵殺”。
這個已經超出商業範疇的大事件,也給正勢不可擋的中國網際網路出海蒙上了一層陰霾。我們不得不再一次正視一個事實:大環境正發生著激烈轉變,從水大魚大到風大雨大。而除了海外網路環境複雜多樣這個門檻外,出海網際網路企業還面臨更加龐雜的政策法律環境,產品安全合規迎來了更高等級的挑戰。
愈加重要的資料主體“被遺忘權”
出海為中國網際網路產業帶來了新的增量空間和機會,但這不意味海外市場是“低垂的果實”。尤其是對於中國的優勢專案社交泛娛樂來說,在全球市場都面對老對手尚在牌桌搏殺,新玩家不斷冒頭的競爭局勢。而在迎戰更具活力的競爭對手前,上牌桌的機會首先屬於在安全合規方面堅守紅線的玩家。
2022 年 7 月實行的 App Store 新規中強調,必須允許使用者在 App 中刪除賬戶及相關資料,且需要將該功能設定在“便於使用者找到”的位置。即《歐盟資料保護通用條例》(General Data Protection Regulation,GDPR)所描述的“被遺忘權”。
GDPR 於 2018 年 5 月 25 日正式實施,它不僅考慮屬地因素,還增加了屬人因素。除了成立地在歐盟的機構,只要服務物件為歐盟境內的使用者或服務過程中處理了歐盟境內個體的個人資料,都將落入 GDPR 的適用範圍。
在隱私和資料保護方面,全球各地均有相關立法——
美國《加州消費者隱私法案(CCPA)》、《健康保險責任與保護法(HIPAA)》,新加坡《個人資料保護法 2012(PDPA)》,沙特《個人資料保護法(PDPL)》,國內則有《個人資訊保護法》及《資料安全法》、《網路安全法》等。
其中,GDPR 堪稱史上最嚴格的資料保護法案。它延續了歐盟立法機構一貫的保守立場,以保護人權為核心,本著對技術充分不信任的出發點,針對單個或系列個人資料的一個或一系列操作,如收集、記錄、組織、建構、儲存、修改、檢索、諮詢、使用、披露、傳播或以其他方式利用、排列或組合、限制、刪除或銷燬等操作進行了嚴格規定。
GDPR 的資料處理基本原則包括確保資料主體的知情權和訪問權、更正與被遺忘權、限制處理權、資料攜帶權、反對權。
其中,被遺忘權指當資料主體依法撤回同意或者資料控制者不再有合法理由繼續處理資料時,資料主體有權要求控制者無不當延誤地刪除有關其的個人資料。
同時,GDPR 資料控制者有保證資料主體有效行使其權利的義務,即資料控制者不僅要允許資料主體行使其權利,同時還要保證權利行使的有效性。
誠然,沒有完美的技術,關鍵在於如何使用技術。
作為專業、簡單、穩定的全球網際網路通訊雲服務商,融雲提供使用者登出相關功能,包含使用者登出、使用者啟用、登出使用者查詢三個介面,以讓開發者更方便快捷地從技術側滿足合規需求。終端使用者在應用客戶端發起個人資料刪除請求,應用服務端直接呼叫介面便可協助使用者刪除在服務平臺的資料。
☑ 使用者登出後會清除使用者設定、使用者訊息及會話、裝置等資訊,在登出期間無法再申請 Token,且此前的有效 Token 不能再使用。
☑ 使用者登出成功後將立即退出 App,且無法重新登入,使用者所有相關資料會被刪除,無法恢復。
☑ 如需要再次使用該使用者賬號,需呼叫使用者啟用介面來取消使用者登出狀態,但使用者啟用後被刪除的使用者相關資訊不可恢復。
此前,為了滿足這個需求,開發者需要繁複操作分別解決本地訊息刪除、伺服器端訊息刪除等不同需求;而採用融雲服務,只需簡單呼叫使用者登出介面,即可便捷地清除使用者的所有資訊。
同時,融雲不提供使用者資訊託管服務,本就符合 GDPR 的匿名通訊規則,結合使用者登出介面,底層服務完全符合 GDPR 個人隱私保護的細節要求。
除針對資料主體相關權利的介面外,資料處理流程中還涉及資料傳輸、資料儲存等不同環節的安全性保障。
資料安全
☑ 融雲提供登入認證、鏈路安全、平臺管理等業內最完整的安全防護體系。
☑ 連線鏈路加密,支援標準的 TLS 1.2 協議,保證傳輸安全,防止傳輸過程被監聽、防止資料被竊取,確認連線的真實性;支援內容層的自定義加密,透過 SDK 的訊息回撥服務,支援 App 自行做一層加密。
☑ 訊息端到端加密,使用了 X3DH 協議,可以使雙方無需預先溝通,在不安全的網路中可確定協商金鑰;採用雙棘輪演算法,保證前向和後向安全,即使一條訊息的金鑰被破解,之前和之後的訊息金鑰也都無法推算而出。
☑ 客戶端本地儲存,全部啟用資料庫加密,確保資訊隱私安全。即使萬一遇到應用或系統被破解的情況,也無法獲取資料庫中的內容,並且整個資料庫加密的方式也不影響訊息的增刪改查,產品需求和安全需求雙管齊下。
資料主權
融雲在全球擁有多個資料中心,並融合了多家頭部服務商,可以幫助客戶遵循出海當地國相關規定,規避資料主權風險。
內容安全
支援多語種稽核,支援不同地區、不同場景的針對性稽核策略,支援先審後發、先發後審等多種稽核模式。
關乎“生死”的資訊收集和隱私政策
行業標準和監管往往意味著產業的規範和成熟。
從 2010 年開始,我們進入移動網際網路時代。到 2015 年,中國智慧手機的銷量達 4.3 億臺,移動網際網路就此疾風驟雨般爆發。
隨著我們逐漸將生活和工作在小小的移動終端上實現“統一化”。人們線上行為的連貫性讓大資料分析有了更多用武之地,藉助連貫行為產生的體系化資料,網際網路企業幾乎可以擁有一個無限接近於現實世界使用者真身的資料畫像。
這個“流量”引領潮水走向的網際網路敘事中,也摻入了違規資料交易、大資料殺熟等暗黑情節。
2021 年 11 月 1 日起施行的《個人資訊保護法》,作為我國首部個人資訊保護方面的專門法律,明令禁止過度收集個人資訊、大資料殺熟,同時對敏感個人資訊的處理作出規制,完善個人資訊保護投訴、舉報工作機制等。
關於這一點,我們從近年來國家網信辦多次下架、限期整改 App 違法違規收集使用個人資訊情況的通報中可見一斑。其中,更有造成轟動的大額罰單執法落地案例,比如 2022 年 7 月滴滴的 80.26 億罰款。
根據國家網信辦訊息,滴滴公司存在 8 個方面 16 項違法事實,都與資料安全和個人資訊保護有關。
這無疑在提醒應用開發者,一定要嚴格遵守“採取對個人權益影響最小的方式,限於實現處理目的的最小範圍,公開處理規則,保證資訊質量,採取安全保護措施”等個人資料處理原則。
此外,隱私政策的規範性也是關乎應用是否能順利上架的因素。2019 年底開始,國家網信辦、工信部、公安部、市場監管總局四部委聯合展開 App 個人資訊保護專項整治行動,範圍就包括隱私協議精細化。截至 2022 年 6 月,工信部已累計對 322 萬款 App 進行檢測,通報、下架了違規 App 近 3000 款。
作為 30 萬+ App 背後的通訊雲服務商,融雲非常尊重並保護終端使用者的隱私,並且一直以來致力於為終端使用者提供安全的網路環境。融雲依據《網路安全法》及網際網路行業關於資訊保護的法律法規,並參考《資訊保安技術 個人資訊保安規範》(GB/T 35273-2020)等推薦性國家標準保護終端使用者的個人資訊。
此外,在整合 SDK 前,融雲會提醒開發者:
☑ 確保應用有《隱私政策》,並在應用首次執行時透過明顯方式提示終端使用者閱讀《隱私政策》取得使用者同意。
☑ 在《隱私政策》中告知使用者應用整合了融雲 SDK,並向終端使用者逐一明示嵌入的 SDK 收集使用個人資訊的目的、方式和範圍。
☑ 必須在取得終端使用者的合法授權後,再使用融雲 SDK 及其服務。
在這個雲端計算、大資料技術所編織的美麗新世界,資料安全和隱私保護已經成為全球企業所面臨的頭等大事。
作為誕生於移動網際網路時代的通訊雲服務商,融雲以超強的活力效率和服務意識從底層服務上幫助開發者快速適應當下的行業標準和市場需求,為其提供更好的開發整合體驗,助力開發者以更低的成本追求更高的收益。