互联网出海风大雨大,融云助力 App 守护用户「被遗忘权」
3 月 23 日的 TikTok 听证会,“不出意外没有给 TikTok 留下多少澄清事实的空间”。关注【融云全球互联网通信云】了解更多
从 TikTok 仅用时 4 年便突破 10 亿月活用户、冲击美国社交旧霸主的影响力来看,这更像是一场“怀玉其罪”招来的“猎杀”。
这个已经超出商业范畴的大事件,也给正势不可挡的中国互联网出海蒙上了一层阴霾。我们不得不再一次正视一个事实:大环境正发生着激烈转变,从水大鱼大到风大雨大。
而除了海外网络环境复杂多样这个门槛外,出海互联网企业还面临更加庞杂的政策法律环境,产品安全合规迎来了更高等级的挑战。
愈加重要的数据主体“被遗忘权”
出海为中国互联网产业带来了新的增量空间和机会,但这不意味海外市场是“低垂的果实”。尤其是对于中国的优势项目社交泛娱乐来说,在全球市场都面对老对手尚在牌桌搏杀,新玩家不断冒头的竞争局势。
而在迎战更具活力的竞争对手前,上牌桌的机会首先属于在安全合规方面坚守红线的玩家。
2022 年 7 月实行的 App Store 新规中强调,必须允许用户在 App 中删除账户及相关数据,且需要将该功能设置在“便于用户找到”的位置。即《欧盟数据保护通用条例》(General Data Protection Regulation,GDPR)所描述的“被遗忘权”。
GDPR 于 2018 年 5 月 25 日正式实施,它不仅考虑属地因素,还增加了属人因素。除了成立地在欧盟的机构,只要服务对象为欧盟境内的用户或服务过程中处理了欧盟境内个体的个人数据,都将落入 GDPR 的适用范围。
在隐私和数据保护方面,全球各地均有相关立法——
美国《加州消费者隐私法案(CCPA)》、《健康保险责任与保护法(HIPAA)》,新加坡《个人数据保护法 2012(PDPA)》,沙特《个人数据保护法(PDPL)》,国内则有《个人信息保护法》及《数据安全法》、《网络安全法》等。
其中,GDPR 堪称史上最严格的数据保护法案。它延续了欧盟立法机构一贯的保守立场,以保护人权为核心,本着对技术充分不信任的出发点,针对单个或系列个人数据的一个或一系列操作,如收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或以其他方式利用、排列或组合、限制、删除或销毁等操作进行了严格规定。
GDPR 的数据处理基本原则包括确保数据主体的知情权和访问权、更正与被遗忘权、限制处理权、数据携带权、反对权。
其中,被遗忘权指当数据主体依法撤回同意或者数据控制者不再有合法理由继续处理数据时,数据主体有权要求控制者无不当延误地删除有关其的个人数据。
同时,GDPR 数据控制者有保证数据主体有效行使其权利的义务,即数据控制者不仅要允许数据主体行使其权利,同时还要保证权利行使的有效性。
诚然,没有完美的技术,关键在于如何使用技术。
作为专业、简单、稳定的全球互联网通信云服务商,融云提供用户注销相关功能,包含用户注销、用户激活、注销用户查询三个接口,以让开发者更方便快捷地从技术侧满足合规需求。终端用户在应用客户端发起个人数据删除请求,应用服务端直接调用接口便可协助用户删除在服务平台的数据。
☑ 用户注销后会清除用户设置、用户消息及会话、设备等信息,在注销期间无法再申请 Token,且此前的有效 Token 不能再使用。
☑ 用户注销成功后将立即退出 App,且无法重新登录,用户所有相关数据会被删除,无法恢复。
☑ 如需要再次使用该用户账号,需调用用户激活接口来取消用户注销状态,但用户激活后被删除的用户相关信息不可恢复。
此前,为了满足这个需求,开发者需要繁复操作分别解决本地消息删除、服务器端消息删除等不同需求;而采用融云服务,只需简单调用用户注销接口,即可便捷地清除用户的所有信息。
同时,融云不提供用户信息托管服务,本就符合 GDPR 的匿名通信规则,结合用户注销接口,底层服务完全符合 GDPR 个人隐私保护的细节要求。
除针对数据主体相关权利的接口外,数据处理流程中还涉及数据传输、数据存储等不同环节的安全性保障。
数据安全
☑ 融云提供登录认证、链路安全、平台管理等业内最完整的安全防护体系。
☑ 连接链路加密,支持标准的 TLS 1.2 协议,保证传输安全,防止传输过程被监听、防止数据被窃取,确认连接的真实性;支持内容层的自定义加密,通过 SDK 的消息回调服务,支持 App 自行做一层加密。
☑ 消息端到端加密,使用了 X3DH 协议,可以使双方无需预先沟通,在不安全的网络中可确定协商密钥;采用双棘轮算法,保证前向和后向安全,即使一条消息的密钥被破解,之前和之后的消息密钥也都无法推算而出。
☑ 客户端本地存储,全部启用数据库加密,确保信息隐私安全。即使万一遇到应用或系统被破解的情况,也无法获取数据库中的内容,并且整个数据库加密的方式也不影响消息的增删改查,产品需求和安全需求双管齐下。
数据主权
融云在全球拥有多个数据中心,并融合了多家头部服务商,可以帮助客户遵循出海当地国相关规定,规避数据主权风险。
内容安全
支持多语种审核,支持不同地区、不同场景的针对性审核策略,支持先审后发、先发后审等多种审核模式。
关乎“生死”的信息收集和隐私政策
行业标准和监管往往意味着产业的规范和成熟。
从 2010 年开始,我们进入移动互联网时代。到 2015 年,中国智能手机的销量达 4.3 亿台,移动互联网就此疾风骤雨般爆发。
随着我们逐渐将生活和工作在小小的移动终端上实现“统一化”。人们线上行为的连贯性让大数据分析有了更多用武之地,借助连贯行为产生的体系化数据,互联网企业几乎可以拥有一个无限接近于现实世界用户真身的数据画像。
这个“流量”引领潮水走向的互联网叙事中,也掺入了违规数据交易、大数据杀熟等暗黑情节。
2021 年 11 月 1 日起施行的《个人信息保护法》,作为我国首部个人信息保护方面的专门法律,明令禁止过度收集个人信息、大数据杀熟,同时对敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等。
关于这一点,我们从近年来国家网信办多次下架、限期整改 App 违法违规收集使用个人信息情况的通报中可见一斑。其中,更有造成轰动的大额罚单执法落地案例,比如 2022 年 7 月滴滴的 80.26 亿罚款。
根据国家网信办消息,滴滴公司存在 8 个方面 16 项违法事实,都与数据安全和个人信息保护有关。
这无疑在提醒应用开发者,一定要严格遵守“采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施”等个人数据处理原则。
此外,隐私政策的规范性也是关乎应用是否能顺利上架的因素。2019 年底开始,国家网信办、工信部、公安部、市场监管总局四部委联合展开 App 个人信息保护专项整治行动,范围就包括隐私协议精细化。截至 2022 年 6 月,工信部已累计对 322 万款 App 进行检测,通报、下架了违规 App 近 3000 款。
作为 30 万+ App 背后的通信云服务商,融云非常尊重并保护终端用户的隐私,并且一直以来致力于为终端用户提供安全的网络环境。融云依据《网络安全法》及互联网行业关于信息保护的法律法规,并参考《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等推荐性国家标准保护终端用户的个人信息。
此外,在集成 SDK 前,融云会提醒开发者:
☑ 确保应用有《隐私政策》,并在应用首次运行时通过明显方式提示终端用户阅读《隐私政策》取得用户同意。
☑ 在《隐私政策》中告知用户应用集成了融云 SDK,并向终端用户逐一明示嵌入的 SDK 收集使用个人信息的目的、方式和范围。
☑ 必须在取得终端用户的合法授权后,再使用融云 SDK 及其服务。
在这个云计算、大数据技术所编织的美丽新世界,数据安全和隐私保护已经成为全球企业所面临的头等大事。
作为诞生于移动互联网时代的通信云服务商,融云以超强的活力效率和服务意识从底层服务上帮助开发者快速适应当下的行业标准和市场需求,为其提供更好的开发集成体验,助力开发者以更低的成本追求更高的收益。