• 本版本发布日期:2020年12月01日
  • 本版本生效日期:2020年12月07日

引言

北京数字联盟网络科技有限公司(以下简称“数字联盟”或“我们”)十分重视并致力于保护信息安全。我们在提供相关服务时将严格按照本《隐私政策》进行信息的收集、使用、存储、共享、转让及披露。我们希望通过本《隐私政策》向您清晰、准确且完整地说明,我们在提供服务时,收集哪些信息,如何使用、存储、共享、转让及披露这些信息,以及我们提供的访问、更新、控制和保护这些信息的方式。本政策与您的权益息息相关,请您仔细完整地阅读并了解收集的信息内容及用途,了解我们服务过程中信息安全保护的合规及相关标准资质认证。同时,本《隐私政策》受到App自身隐私政策的约束,我们同App方一起致力于保护您的信息安全。本《隐私政策》中涉及的相关专业技术词汇,我们尽力简明扼要地表述,避免晦涩难懂、冗长繁琐,并提供部分技术信息关键词释义,以方便您进行理解。


关键词释义(按出现顺序)

  • 不开源: 我们收集信息的SDK模块不能依据开源协议进行再编辑发布等行为,有效防止恶意的攻击,从技术上保证信息收集的安全性。
  • 不驻留: 我们收集信息的SDK模块仅在获得合作App授权后,于用户首次打开App时运行收集信息,收集完成后立刻关闭自动退出,在技术上杜绝收集用户使用App的行为信息的可能性。
  • 个人信息: 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。如您的姓名、出生日期、身份证件号码、个人生物识别信息、住址、联系方式、通信记录和内容、账号密码等,通过该信息能识别出个人身份,或已知某具体个人通过该信息能识别出其活动情况。
  • 个人敏感信息: 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。是个人信息中敏感隐私的信息,如医疗保密信息、金融财产信息及个人生物识别信息等。
  • 匿名化: 通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的信息不属于个人信息。
  • 去标识化: 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。


我们如何恪守法规

(一)严格遵守相关法律、规范及标准

我们一直致力于打造安全合规的产品服务,严格依据中国的《中华人民共和国民法典》、《网络安全法》、《信息安全技术个人信息安全规范》(GB/T 35273—2020)、《信息安全技术信息系统安全等级保护基本要求》及欧盟的《通用数据保护条例》(GDPR)等相关法律、规范及标准,建立我们的信息收集使用规范及信息安全保障体系。

(二)安全合规标准认证

在提供产品服务时我们以负责任的态度收集使用信息,我们产品服务的安全合规性已通过多个第三方认证机构的认证。我们主动申请第三方根据相关国内及国际标准,审核我们产品服务的安全性控制措施。您大可放心,独立第三方至少每两年会审核一次这些控制措施的有效性,我们也会不断提升技术、运营及管理措施以保障安全与合规。以下是我们已经通过相关标准认证 :

① 国家信息系统安全三级保护测评及备案(简称“等保三级”)

等保三级由中国公安部信息安全等级保护评估中心制定,并通过全国信息安全标准化技术委员会审查。我们能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击,或较为严重的自然灾难以及其他相当危害程度的威胁所造成的损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能,基于此,我们已经于2019年通过等保三级标准的测评及备案。

② ISO 27001(信息安全管理体系标准)

ISO 27001是建立信息安全管理体系(ISMS)的一套需求规范,由国际标准化组织(ISO)制定,规定了一套最佳实践,包括文件要求,责任划分,可用性,访问控制,安全,审计,纠正和预防措施。ISO/IEC 27001认证有助于组织遵守与信息安全相关的许多法规和法律要求,是在行业内被广泛认可的信息安全认证的国际标准之一。我们在产品服务相关的系统、应用、人员、技术、流程和数据中心等方面的信息安全管理环节,已建立了一套科学有效的信息安全管理体系(ISMS)且已于2019年获得ISO 27001认证。

③ ISO 27701(信息安全和隐私管理体系标准)

ISO 27701是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的认证标准,该标准概述了一套全面的操作控制,可以映射到各种法规,包括GDPR。我们的信息安全和隐私管理的过程、系统设计及控制保护措施符合该标准要求。2020年9月,我们的信息安全保护和隐私管理体系通过了ISO 27701的认证,是目前国内少数进行该标准认证并通过的企业组织之一。


针对 GDPR 的特别描述

欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)于2018年5月25日正式生效。我们根据该条例的相关要求,不断完善我们的信息安全保护措施。我们在合作的App的授权下收集设备基本信息,我们致力于实施完善的技术、运营及管理规范,以合规、独立有效且安全地管理信息的收集、使用、存储及共享转让,确保数据安全。除了设备基本信息外,不涉及其他数据的流入。我们通过统计报告模式输出安全分析的结果,不以任何方式输出收集的原始设备信息,数据使用者不能通过我们提供的数据进行数据关联或识别到任何特定自然人。


我们如何收集信息

我们严格遵循 “权责一致、目的明确、选择同意、最小必要、公开透明、确保安全及主体参与”的原则进行信息的收集和使用。

我们向App方提供第三方独立插件,采用不开源不驻留 的SDK模块嵌入App进行设备基本信息收集。设备基本信息的收集范围受App方授权控制。当App启动后,SDK模块启动并迅速完成对授权信息的收集工作,收集完成后便会自动关闭退出,不进行后台自启动和关联启动。整个过程一般持续数秒,根本杜绝SDK模块对后续用户行为信息的直接或间接获取。

(特别声明:基于我们SDK模块的技术特性,其在运行过程无法获取任何能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的个人信息及隐私信息 ,如用户姓名、身份证件号码、个人生物识别信息、住址、联系方式、通信记录和内容、账号密码等可识别个人的身份信息。此外,也无法获取任何应用内用户使用行为信息、应用内的运行日志信息及任何的通讯内容,如用户上网记录、短信及通话记录等)


我们收集的信息有哪些

我们提供安全技术分析服务,基于移动设备系统差异会分别收集、储存和使用下表所列信息,如果您不同意提供相关信息,将无法获得我们提供的安全保障服务。

我们仅收集使用单独的设备信息,该等单独的设备信息是无法识别特定自然人身份或者反映特定自然人活动情况的信息。对于收集的设备唯一标识符类信息,我们采用技术手段将原始的不可变更标识符转化为可变更状态,不留存任何不可变更的标识符信息。

适用系统 应用场景描述 收集的具体信息 信息类型 目的用途 加密处理情况 是否是产品必要信息
iOS系统 检测设备欺诈与作弊行为,识别反馈设备的真实性 设备制造商、设备型号、设备系统版本、应用版本、IDFA(针对儿童类应用,不收集IDFA)、IDFV、设备网络状况信息及其他设备物理环境信息。 设备基本情况信息 安全风控
内容匿名化、去标识化加密;
传输TLS 、SSL加密;
Android 系统 设备制造商、设备型号、设备系统版本、应用版本、 软件列表、MAC 地址、唯一设备识别码、设备网络状况信息及其他设备物理环境信息。

我们如何使用收集的信息

我们收集前述设备基本信息进行设备真实性及安全性的识别,用于实现安全技术分析服务的提供,通过对设备基本信息进行技术分析和算法识别,如对设备的型号、制造商及设备的网络状况信息进行分析判断设备是否为欺诈作弊的假设备,判断设备的真实性及安全性,帮助合作伙伴有效识别真实设备,预防作弊和欺诈,实现运营安全,保护您的合法权益免遭侵害,保障移动互联网安全。

我们将收集到的信息在SDK内进行本地的匿名化处理,通过对收集的信息进行技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原。在匿名化的基础上对数据进行算法分析,从而判断设备是否是真实设备,通过统计报告模式输出安全分析的结果,任何人不能通过我们提供的数据进行数据关联或识别从而定位到任一特定自然人,因此,当我们将此类统计数据用于其他用途时不再单独征求您的同意。

如您向我们提出停止提供服务的要求,我们将及时停止收集信息的活动,并依照所适用的法律对所收集的相关信息进行删除处理。


我们如何传输、存储及保护信息

我们非常重信息安全,并遵循严格的安全标准,按照业界广泛采用的标准使用行业内领先的技术及措施保护您提供的信息,采用各种合理的技术、运营和管理方面的安全机制来保护我们所收集的信息的安全。防止信息遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。

  • ① 我们采用安全传输层安全协议(TLS)及安全套接字协议(SSL)等安全加密技术来确保信息在传输过程的私密性及安全性;
  • ② 我们使用高加密高稳定的云服务器存储信息数据,将数据存储于第三方服务器平台;
  • ③ 我们设置受信赖的保护机制,努力采取各种合理的技术、运营和管理方面的安全措施来保护我们所收集的信息的安全。防止信息遭到未经授权的访问、公开披露、使用、修改及损坏等恶意攻击;
  • ④ 我们部署访问控制机制,确保只有被授权的人员才可访问信息。任何拥有此权限的人员都需要遵守规定的严格保密义务,若违反规定,则会被处分或被解约;
  • ⑤ 我们举办一系列的信息安全和合规保护的培训课程,提高雇员对于个人信息安全保护与合规的重要性的认识;
  • ⑥ 我们建立信息安全审查小组,定期审查我们的信息技术系统、运营规范及相关安全管理机制;
  • ⑦ 我们采取合理可行的措施,只在达成本政策所述目的所需的期限内保留信息。除非需要延长保留期或受到法律的允许,超出上述保存期限后,我们会对信息进行删除或匿名化处理;
  • ⑧ 我们理解同时也向您告知,互联网信息技术不断发展,所有的安全技术、措施及机制都无法完全保证绝对的安全,但我们会尽最大的努力保护您的信息安全。如不幸发生信息被恶意非法访问的情形,我们将对您进行有效的告知,并采取有效措施进行补救,按照相关法律法规及监管要求上报相关情况。

我们相关的安全措施及合规保障机制已经通过相关第三方机构的审计并取得多项专业认证,您可以放心地将设备信息交由我们处理。相关认证如下:

  • ① 国家信息系统安全三级保护测评及备案(简称“等保三级”)
  • ② ISO 27001(信息安全管理体系标准)
  • ③ ISO 27701(信息安全和隐私管理体系标准)

我们如何共享、转让、公开披露收集的信息

(一)共享

我们不会与任何公司、组织和个人共享我们所收集的信息。

在法定情形下的共享:在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会向相关机构提供我们所收集的信息。

(二)转让

我们不会将收集的信息转让给任何公司、组织和个人,但以下情况除外:

在涉及合并、收购或破产清算时,如涉及到信息转让,我们会在要求新的持有信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向您征求授权同意。

(三)公开披露

我们仅会在以下情况下,公开披露信息我们所收集的信息:

  • ① 获得您的明确同意或基于您的主动选择,我们可能会公开披露我们收集的信息;
  • ② 或为公众的人身财产安全免遭侵害,我们可能依据适用的法律、规则披露我们所收集的信息。
(四)共享、转让、公开披露信息时事先征得授权同意的例外

根据所适用的法律法规,以下情形中,共享、转让、公开披露您的信息无需事先征得授权同意:

  • ① 与国家安全、国防安全有关的;
  • ② 与公共安全、公共卫生、重大公共利益有关的;
  • ③ 与犯罪侦查、起诉、审判和判决执行等有关的;
  • ④ 从合法公开披露的信息中收集的信息,如合法的新闻报道、政府信息公开等渠道;
  • ⑤ 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
  • ⑥ 所适用的法律法规规定的其他情形。

我们收集的信息如何跨境传输

作为第三方安全技术分析服务的提供者,在提供产品服务的过程中,如涉及跨境服务业务,基于App产品本身数据存储布局及数据本地化的合规要求,我们所收集的信息有跨境转移的可能。跨境转移后的信息存储在App开发或运营企业及其关联公司、服务提供商/分包商所在的国家/地区。在此类情况下,我们会配合App方采取有效措施,按照目标地法律法规及App自身的隐私政策的要求,在审核境外机构的信息安全保护能力及征得您的同意情形下,妥善、安全且合规的完成信息跨境传输。


您的权利

根据相关的法律、法规、标准,以及其他国家、地区的通行做法,我们保障您对自己的信息行使以下权利:

  • ① 访问权:除法律法规规定的例外情形外,您有权要求访问我们收集的您的信息;
  • ② 更正权:当您发现我们处理的关于您的信息有误时,您有权要求我们予以更新或更正我们收集的您的信息;
  • ③ 删除权:如果我们处理您的信息违反法律法规、未征得您的同意、违反了与您的约定,或者您不再使用我们的产品服务时,您有权要求我们删除我们收集的您的信息;
  • ④ 拒绝或限制使用权:对于额外的信息收集使用,您可以随时拒绝或者限制我们的使用。

请注意,更新、更正或删除等决定,不会影响此前基于有效授权而开展的信息处理活动,但会影响后续的信息处理活动。

为保障信息安全,您可能需要提出书面的请求来进行访问和控制,或以其他能证明用户身份的方式提出请求,我们可能会先要求验证用户身份,然后再处理用户请求。请通过本政策中的“如何联系我们”联系我们,我们会在收到请求后的15日内,通过您提供的有效联系方式对您的请求进行答复。


本《隐私政策》如何更新

基于我们业务发展、产品功能、联系方式或相关法律法规及监管的要求,我们可能会适时对本政策进行修改更新,该等修改构成本《隐私政策》的一部分。我们将在公司网站上发布更新后的隐私政策,建议您定期查看以了解相关更新内容。您可以在北京数字联盟网络科技有限公司网站查看更新后的《隐私政策》: https://www.shuzilm.cn/privacy.html


如何联系我们

如您对本《隐私政策》及您的信息相关事宜有任何疑问、意见或建议,请通过以下方式与我们取得联系:电话联系400-671-8228或使用“在线客服”与我们联系。

我们设立了信息保护专职部门,您可以通过以下方式与其联系:

联系邮箱:szlmprivacy@shuzilm.cn

一般情况下,我们将在15个工作日内受理并处理。

如何您对我们的回复不满意,或您认为我们的信息处理行为损害了您的合法权益,您可以通过向有管辖权的法院提起诉讼来寻求解决方案。