• 本版本发布日期:2020年08月07日
  • 本版本生效日期:2020年08月10日

引言

北京数字联盟网络科技有限公司(以下简称“数字联盟”或“我们”)十分尊重并致力于保护信息安全。我们提供服务时将严格按照本《隐私政策》收集、使用、存储、共享、转让及披露信息。我们希望通过本《隐私政策》向您清晰、准确且完整地说明,我们在提供服务时,收集哪些信息,如何使用、存储、共享、转让及披露这些信息,以及我们提供的访问、更新、控制和保护这些信息的方式。本政策与您的权益息息相关,希望您仔细完整地阅读并了解收集的信息内容及用途,了解我们服务过程中信息安全合规及相关标准资质认证。同时,本《隐私政策》受到App自身隐私政策的约束,我们同App方一起致力于保护您的信息安全权益。本《隐私政策》中涉及的相关专业技术词汇,我们尽力简明扼要地表述,避免晦涩难懂、冗长繁琐,并提供部分技术信息关键词的详细说明,以方便您进行理解。



我们如何恪守法规

(一)严格遵守相关法律、规范及标准

我们一直致力于恪守法规,严格依据中国的《中华人民共和国民法典》、《网络安全法》、《信息安全技术个人信息安全规范》(GB/T 35273—2020)、《信息安全技术信息系统安全等级保护基本要求》及欧盟的《通用数据保护条例》(GDPR)等法律、规范及标准,建立我们的信息采集使用规范及信息安全保障机制。

(二)技术合规标准认证

在提供产品服务时我们以负责任的态度收集处理信息,我们产品服务的安全合规性已通过多个第三方认证机构的认证。我们主动申请第三方根据相关国内及国际标准,审核我们信息服务产品的安全性控制措施。您大可放心,独立第三方至少每两年会审核一次这些控制措施的有效性,我们也会不断提升技术、运营及管理措施以保障信息安全。以下是我们已经通过相关标准认证 :

① 国家信息系统安全三级保护测评及备案(简称“等保三级”)

等保三级由中国公安部信息安全等级保护评估中心制定,并通过全国信息安全标准化技术委员会审查。我们能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能,基于此,我们已经于2019年通过等保三级标准的测评及备案。

② ISO 27001(信息安全管理体系标准)

ISO 27001是建立信息安全管理体系(ISMS)的一套需求规范,由国际标准化组织(ISO)制定,是在行业内被广泛认可的安全认证的国际标准之一。我们在产品服务采用的系统、应用、人员、技术、流程和数据中心等方面的信息安全管理中,已建立了一套科学有效的信息安全管理体系(ISMS)且已于2019年获得ISO 27001认证。

③ ISO 27701(信息安全和隐私管理体系标准)

ISO 27701是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的认证标准。我们的信息安全及隐私管理的过程和系统的设计,收集和处理(包括使用、披露、保留、传输和处置)仅限于确定目的所必需的;我们提供的全面的信息安全控制和个人信息保护符合标准要求。基于此,我们于2020年通过ISO 27701的认证,是中国少数进行该认证服务的服务机构之一。


针对 GDPR 的特别描述

欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)于2018年5月25日正式生效。我们根据该条例的相关要求,不断完善我们的信息安全合规保护措施。我们在合作的App的授权下收集设备基本信息,我们致力于实施完善的技术、运营及管理规范,以合规、独立有效且安全地管理信息的收集、使用、存储及共享转让,确保数据安全。除了设备基本信息外,不涉及其他信息数据的流入。我们通过统计报告模式输出安全分析的结果,不以任何方式输出收集的原始设备信息数据,数据使用者不能通过我们提供的数据进行数据关联或识别到任何特定自然人。


我们如何收集信息

我们严格遵循合法、正当、必要的原则进行信息收集,基于合作基础,向App方提供第三方独立插件,采用不开源不驻留的SDK模块嵌入App进行设备基本信息收集,设备基本信息的收集范围受App方授权控制,当App启动后,SDK模块启动并迅速完成对授权信息的收集工作,收集完成后便会自动关闭退出,整个过程一般持续2秒钟,从理论上杜绝SDK模块对后续用户行为信息的直接或间接获取。我们的SDK模块严格遵循合法正当、目的明确、最小必要、公开透明、主体参与及权责一致原则进行信息的收集和使用。


我们收集的信息有哪些

我们提供服务时,可能会收集、储存和使用下列信息,如果您不提供相关信息,将无法获得我们提供的安全保障服务。我们收集的具体有以下几种:设备制造商、设备型号、系统版本、应用列表信息、MAC地址、终端唯一标志信息、SIM卡状态信息、设备网络状况信息及设备物理环境参数信息。

(特别声明:基于我们SDK模块的技术特性,其在运行过程无法获取任何能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的个人信息及隐私信息,如用户姓名、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码等可识别个人的身份信息。此外,也无法获取任何应用内用户使用行为信息、应用内的运行日志信息及任何的通讯内容,如用户上网记录、短信及通话记录等。)


我们如何使用收集的信息

我们提供安全技术分析服务,我们收集前述设备基本信息,适用于设备真实性安全性的识别。通过对设备信息进行技术算法识别,判断设备的真实性及安全性,帮助合作伙伴有效识别真实设备,防止作弊和欺诈,实现运营安全,维护网络用户的合法权益,保障移动互联网安全。

我们将收集到的信息在SDK内进行本地的匿名化处理,通过对设备制造商、设备型号、系统版本、应用列表信息、MAC地址、终端唯一标志信息、SIM卡状态信息、设备网络状况信息及设备物理环境参数信息进行技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原。在匿名化的基础上对数据进行算法分析,从而判断设备是否是真实设备,通过统计报告模式输出安全分析的结果,任何人不能通过我们提供的数据进行数据关联或识别从而定位到任一特定自然人。


我们如何传输、存储及保护信息

我们非常重视信息安全,并遵循严格的安全标准,使用符合业界标准的安全保护措施保护您提供的信息,采用各种合理的技术、运营和管理方面的安全措施来保护我们所收集的信息的安全。防止信息遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。

  • ① 我们采用安全传输层安全协议(TLS)等加密技术来确保信息在传输过程的私密性及安全性;
  • ② 我们使用高加密高稳定的云服务器存储信息数据,将数据存储于第三方服务器平台;
  • ③ 我们设置受信赖的保护机制,努力采取各种合理的技术、运营和管理方面的安全措施来保护我们所收集的信息的安全。防止信息遭到未经授权的访问、公开披露、使用、修改及损坏等恶意攻击;
  • ④ 我们部署访问控制机制,确保只有被授权的人员才可访问信息。任何拥有此权限的人员都需要遵守规定的严格保密义务,若违反规定,则会被处分或被解约;
  • ⑤ 我们建立信息安全审查小组,定期审查我们的信息技术系统、运营规范及相关安全管理机制;
  • ⑥ 我们采取合理可行的措施,只在达成本政策所述目的所需的期限内保留信息。除非需要延长保留期或受到法律的允许,超出上述保存期限后,我们会对信息进行删除或匿名化处理。

我们已经取得以下认证:

  • ① 国家信息系统安全三级保护测评及备案(简称“等保三级”)
  • ② ISO 27001(信息安全管理体系标准)
  • ③ ISO 27701(信息安全和隐私管理体系标准)

我们如何共享、转让、公开披露收集的信息

(一)共享

我们不会与其他组织和个人共享我们所收集的信息。

在法定情形下的共享:我们可能会根据法律法规规定、诉讼、仲裁解决需要,或按行政、司法机关依法提出的要求,向相关法律机构提供我们所收集的设备相关信息。

(二)转让

我们不会将收集的信息转让给任何公司、组织和个人,但以下情况除外:

我公司与其他法律主体者发生合并、收购或破产清算情形,或其他涉及合并、收购或破产清算情形时,如涉及到信息转让,我们会要求新的持有信息的公司、组织继续受原隐私政策的约束,否则我们将要求该公司、组织和个人重新向您征求授权同意。

(三)公开披露

我们仅会在以下情况下,公开披露信息我们所收集的信息:

  • ① 获得用户明确同意或基于用户主动选择,我们可能会公开披露我们收集的信息;
  • ② 或为公众的人身财产安全免遭侵害,我们可能依据适用的法律、规则披露我们所收集的信息。
(四)共享、转让、公开披露信息时事先征得授权同意的例外

根据所适用的法律法规,以下情形中,共享、转让、公开披露您的信息无需事先征得授权同意:

  • ① 与国家安全、国防安全有关的;
  • ② 与公共安全、公共卫生、重大公共利益有关的;
  • ③ 与犯罪侦查、起诉、审判和判决执行等有关的;
  • ④ 用户自行向社会公众公开的信息;
  • ⑤ 从合法公开披露的信息中收集的信息,如合法的新闻报道、政府信息公开等渠道;
  • ⑥ 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
  • ⑦ 法律法规规定的其他情形。

我们收集的信息如何跨境传输

作为第三方安全服务的提供者,在提供产品服务的过程中,如涉及跨境服务业务,基于App产品本身数据存储布局及数据本地化的合规要求,我们所收集的信息有跨境转移的可能。跨境转移后的信息存储在App开发或运营企业及其关联公司、服务提供商/分包商所在的国家/地区。在此类情况下,我们会配合App方采取有效措施,确保按照目标地法律法规及App自身的隐私政策的要求,在审核境外机构的信息安全保护能力及征得用户的同意情形下,妥善、安全且合规的完成信息跨境传输。


您的权利

根据中国相关的法律、法规、标准,以及其他国家、地区的通行做法,我们保障您对自己的信息行使以下权利:

  • ① 访问权:除法律法规规定的例外情形外,您有权要求访问我们收集的您的信息;
  • ② 更新权或更正权:当您发现我们处理的关于您的信息有误时,您有权要求我们予以更新或更正我们收集的您的信息;
  • ③ 删除权:如果我们处理您的信息违法法律法规、未征得您的同意、违反了与您的约定,或者您不再使用我们的产品服务时,您有权要求我们删除我们收集的您的信息;
  • ④ 拒绝或限制使用权:对于额外的信息收集使用,您可以随时拒绝或者限制我们的使用。

请注意,更新、更正或删除等决定,不会影响此前基于有效授权而开展的信息处理活动,但会影响后续的信息处理活动。

为保障信息安全,您可能需要提出书面的请求来进行访问和控制,或以其他能证明用户身份的方式提出请求,我们可能会先要求验证用户身份,然后再处理用户请求。请通过本政策中的“如何联系我们”联系我们,我们会在收到请求后的15日内,通过您提供的有效联系方式对您的请求进行答复。


本《隐私政策》如何更新

基于我们业务发展、产品功能、联系方式、或相关法律法规及监管的要求,我们可能会适时对本政策进行修改,该等修改构成本《隐私政策》的一部分。我们将在公司网站上发布更新后的隐私政策,建议您定期查看以了解相关更新内容。您可以在北京数字联盟网络科技有限公司网站查看更新后的《隐私政策》: https://www.shuzilm.cn/main/privacy.html


如何联系我们

如您对本《隐私政策》及您的信息相关事宜有任何疑问、意见或建议,请通过以下方式与我们取得联系,我们将在15个工作日内受理并处理。

  • 联系电话:400-671-8228
  • 联系邮箱:szlmprivacy@shuzilm.cn

如何您对我们的处理回复不满意,或您认为我们的信息处理行为损害了您的合法权益,您可以通过向有管辖权的法院提起诉讼来寻求解决方案。


关键词释义(按照出现顺序)

  • 不开源:我们收集信息的SDK模块不能依据开源协议进行再编辑发布等行为,从技术上保证信息收集的安全性。
  • 不驻留:我们收集信息的SDK模块通过合作App的授权,仅在用户首次打开App时运行收集信息,收集完成后立刻关闭自动退出,在技术上杜绝收集用户使用App的行为信息及其他非必要信息。
  • 个人信息:用户在使用App时提供的个人身份信息,如姓名、电子邮件地址或账单等信息。通过该信息能识别出个人身份,或已知某具体个人通过该信息能识别出其活动情况。
  • 隐私信息:用户个人信息中敏感的信息,与医疗保密信息、政治/宗教信仰或性取向等主题有关。一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
  • 匿名化:通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的信息不属于个人信息。