隐私白皮书
1 概述
1.1 背景介绍
随着新技术的普及,包括移动互联网 5G 技术商业运营的加速,传统的通信方式已经发生了变化。全球通信不再依赖国际电话或商业视频会议,并且低延迟的实时交互也不再依赖专业人员的安排。人们已经习惯了通过网络交流平台分享自己生活的方方面面,随着人们越来越公开自己的生活,人们也开始关注隐私问题。
隐私作为人们不愿为他人知晓的私密空间、私密活动和私密信息,历来被互联网用户所关注。尤其是在音视频服务的使用过程中,用户可以轻易将自己的隐私传输至互联网上,这使得用户在享受便捷服务的同时,更容易因隐私泄露而影响生活安宁。近些年来各类隐私泄露事件更是让人们在享受便捷的互联网服务时,对网络服务提供者的隐私保护能力持怀疑态度。甚至在某种程度上,隐私保护逐渐成为用户选择网络服务时考虑的重要因素。
为了保护用户的隐私,世界各地都出台了隐私保护相关的法律法规。2018 年欧盟发布《通用数据保护条例》(General Data Protection Regulation,以下简称 GDPR ),提出了个人数据保护的一般原则,对数据主体提供了更为充分的权利保障,对数据处理提出了更严格的控制要求。2021 年,中国相继出台了《数据安全法》和《个人信息保护法》两部法律,结合已经施行的《网络安全法》,规范网络数据处理活动,加强个人信息隐私保护。此外,英国、巴西、阿根廷等多个国家也相继发布个人信息保护相关法律法规,使得企业的隐私保护合规工作更具挑战。
1.2 术语解释
个人信息:以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
第三方:指除声网内部组织和员工外的其他企业或人员。如合作机构、供应商、服务商、战略合作伙伴、访客等。
数据主体:个人信息所标识或关联的自然人。
数据主体权利:指数据主体受法律法规保护的一系列权利,包括撤回同意的权利、访问权、纠正权、删除权、获取个人信息副本的权利等。
个人信息处理活动记录:声网依其职责保持个人信息处理活动的记录。记录信息包括:所涉及个人信息的类型、数量、来源;处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;以及与个人信息处理活动各环节相关的信息系统、组织或人员。
个人信息保护影响评估:针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
2声网隐私保护体系
2.1 隐私理念
声网坚持个人信息保护的理念,尽量减少收集、使用个人信息,并实施严格的个人信息保护措施。
声网密切关注每个国家和地区的隐私保护要求,在合规的基础上保护开发者和用户的隐私权利。目前,声网根据每个服务领域的监管和合规要求以及其自身的业务特性,如声网的外部隐私承诺,向开发者发布声网隐私政策。
为切实保护开发者及用户的个人信息安全,在服务和产品构建过程中,声网承诺将遵守“合法公正透明原则”、“完整与机密性原则”、“目的限制原则”、“数据最小化原则”,以及“存储期限最小化原则”,并将数据处理原则贯穿于Agora全部产品和服务实践中。
• 合法公正透明原则:声网以合法、公正、透明的方式处理与数据主体有关的个人信息。
• 完整与机密性原则:声网视开发者数据为保护等级最高的数据类别。为了确保个人信息的安全,声网采用严格的技术或组织措施,包括对抗未经授权或非法的处理、意外遗失或损毁等的保护措施。
• 目的限制原则:声网基于特定、明确、合法的目的处理个人信息,不会以与目的不相符的方式做其他处理。
• 数据最小化原则:声网确保仅处理达到业务处理目的相关、最小且必要的个人信息。除此之外,声网还会对个人信息做相应的匿名化处理,包括日志匿名化。
• 存储期限最小化原则:声网承诺个人信息存储期限将不超过其数据处理目的所需的必要期限,在业务活动完成后,将对个人信息删除或匿名化处理。
2.2 合规支持
遵从性是声网服务运营的基础。在提供全球服务的同时,声网密切关注各个国家和地区的隐私合规要求,创建开发者信任的实时音频、视频和即时通信服务。声网致力于按照国际公认的信息安全和隐私标准,以及行业最佳实践,建立管理系统和服务,获得专业机构审核认证。为了进一步证明声网的合规能力,声网未来将继续获得更多的专业认证,以确保自身的合规,并为开发者提供合规支持,帮助他们遵守适用的法规和监管要求。
下列四项 ISO 认证范围全面涵盖了声网全球各节点、多场景的实时互动产品、组件、系统及服务相关的研发、测试、运营、客户支持、技术维护、数据处理等。
► ISO/IEC 27001: 2013 信息安全管理体系标准
ISO/IEC 27001: 2013 是最基础的、获得国际最广泛认可的信息安全管理体系标准。声网通过挪威船级社的 ISO/IEC 27001 认证,证明声网具有充分的信息安全风险识别和控制的能力并且能够为全球开发者及用户提供安全可靠的产品服务。
► ISO/IEC 27701: 2019 隐私信息管理体系标准
ISO/IEC 27701: 2019 是 ISO/IEC 27001 信息安全管理和 ISO/IEC 27002 安全控制在隐私方面的扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息。声网在 ISO/IEC 27001 的基础上加强整体个人信息保护体系建设,从个人权利行使、第三方管理、个人信息安全事件等多方面进行流程构建。声网通过挪威船级社的 ISO/IEC 27701 认证,证明声网已具备完善有效的个人信息保护体系。
► ISO/IEC 27017: 2015 提供云计算安全方面的指南
ISO/IEC 27017: 2015 提供了云计算信息安全方面的指导标准,提出专用于云服务的信息安全控制的实施建议,在 ISO/IEC 27001 标准的基础上提供了补充指导。声网通过挪威船级社的 ISO/IEC 27017 认证,证明声网的云服务具有充分的信息安全管理和保障能力。
► ISO/IEC 27018: 2019 提供公有云中个人信息的保护指南
ISO/IEC 27018: 2019 是专注于保护公有云中个人信息的指导标准。它基于信息安全标准 ISO/IEC 27001,提供了适用于公共云中个人信息保护的补充控制措施,加强对公有云层面个人信息的保护能力。声网建立了个人信息保护体系,从隐私权和数据生命周期两个方面保护用户的个人信息。Agora通过挪威船级社的 ISO/IEC 27018 认证,证明声网在保护企业数据和用户的个人信息方面达到业界公认的实践标准。
► SOC 2 Type II Report (涵盖隐私性)
SOC(Service Organization Control,服务机构控制)报告是独立的第三方服务鉴证报告,是基于美国注册会计师协会(AICPA)相关准则出具的服务内部控制相关的报告。声网已经获得由专业第三方审核机构出具的 SOC2 Type II 服务鉴证报告,涵盖了“信任服务原则”的安全性、可用性、机密性和隐私性内部控制要求。声网获得此服务鉴证报告,证明声网建立和实施了有效的内部控制。声网会定期接受第三方审核,确保各产品服务均符合鉴证报告要求。
► 个人信息保护法
2021 年 8 月 20 日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称,个保法),该法案于 2021 年 11 月 1 日起实施。个保法是我国第一部专门规范个人信息保护的法律。从个人信息处理的基本原则、个人信息跨境提供规则、数据主体个人权利、监管机构职责及法律责任等方面形成了专门的规范体系。
声网致力于帮助开发者在提供服务和产品的同时符合个保法合规要求。声网非常重视个保法对涉及个人数据处理的企业的影响,并不断深入分析和理解个保法。声网将 PbD(Privacy by Design,隐私设计)集成到产品规划和业务活动中(见下图 1),把控关键节点,持续推动合规标准更新和落地。
声网还按照个保法要求建立了对数据主体隐私权利及时响应的机制,搭建了声网服务器的隐私保护责任模型,定期或按需执行个人信息保护影响评估,保留个人信息处理活动记录,积极履行数据处理人员和控制人员的隐私保护职责。
3声网隐私保护措施
声网将隐私保护视为优先事项,以充分保护开发者和用户的隐私权,并为开发者提供符合隐私保护要求的在线音频、视频和即时通信服务。声网实施了一系列隐私保护措施,包括制定个人信息保护规范及管理流程、产品隐私和安全设计要求,确保了隐私保护措施能够有效实施与持续改进。
3.1 隐私保护组织架构
声网成立专门的隐私保护工作小组,统筹公司的个人信息保护整体工作,对组织和人员进行管理,并对隐私保护工作小组人员进行系统化的隐私能力管理。
- 隐私保护组织:声网设置隐私保护工作小组,包括隐私保护领域专家、法务人员及网络和信息安全专职人员,为声网的产品、服务合规性提供专业的支撑,并助力不断完善公司内部隐私体系、合规能力的建设。
- 能力与管理:声网明确对隐私保护相关角色的能力、技能和经验提出要求,并定期对隐私保护岗位的员工进行培训和考核,确保其符合隐私保护的要求。
声网设立了安全隐私管理的三道防线(见下图 2),全面推进安全隐私工作的落地,建立并维护完善的合规风险闭环流程,为声网产品合规保驾护航。
3.2 治理体系
声网根据隐私保护基本原则制定了完善的隐私保护管理体系,以规范公司各项工作的隐私保护管理。声网建立了可落地运行、持续优化的信息安全管理体系(ISMS)和隐私信息管理体系(PIMS)(如下图 3),以保障声网产品服务的安全和隐私合规性。
声网遵循全球隐私合规要求、参照国际先进的隐私和安全管理体系标准,调研梳理全球隐私保护合规库,结合公司实际情况,制定出数据传输合规策略、数据保留策略、个人隐私权利响应流程,并编写了数据隐私保护制度。
声网遵照合规要求,记录并保留个人信息处理活动记录、数据流转图,定期进行个人信息保护影响评估,并评审产品、服务的隐私设计原则、威胁建模结果,为了保证产品的隐私及安全,声网还会对产品进行安全漏洞检测。
为了有效跟踪风险问题整改情况,声网采用成熟的 Jira 平台从问题创建、问题分配、问题解决、问题复审到问题闭环进行跟踪,切实保障了产品的质量与隐私安全,有效提高声网的安全和隐私管理水平。
声网会定期进行内部审查,确保遵循公司隐私保护管理体系及当地相关法律法规。声网还会定期聘请第三方专业机构对公司隐私保护管理体系的有效性和完备性进行独立评估和审核,确保公司业务运营的持续性与合规性。此外,声网还会采用合规自动扫描平台,利用自动化的方法准确、完整地检测产品的权限问题、个人身份信息使用情况、代码安全问题,并进行合规评估等,高效、准确地保障声网产品合规。
3.3 隐私数据保护措施
声网为了提升用户的安全隐私防护体验,构建用户对声网个人信息保护的信任,从数据的生命周期着手,结合行业现状和最佳实践,采取了一系列的隐私数据保护措施。
3.3.1 收集范围
声网仅收集提供服务所必须的个人信息,同时通过隐私政策和数据处理协议明确告知开发者所收集的个人信息类型、使用目的、使用场景、处理方式、存储期限等内容。声网根据业务需求收集保留以下数据类型:
• 实时流数据:音视频数据,声网不会存储该类数据;
• 云端录制:声网会在用户会话结束后立即删除该类数据。如果录制数据推送失败,则该类数据至多被声网保留 7 天;
• 实时消息:在实时消息服务场景下收集,其存储时间取决于开发者购买的保留服务时间,到期即删;
• 服务/运营相关数据:服务日志、网络日志、性能数据、功能数据等数据,声网会每 30 天删除一次该类数据;
• 开发者注册数据:姓名、邮箱、手机号码,用于为开发者提供基本产品服务。声网会根据开发者要求对上述注册数据进行删除或匿名化处理,如当开发者注销账号时。
3.3.2 存储和处理
声网根据监管要求和个人信息的敏感性对收集和存储的个人信息进行了分类分级。同时,声网采取了严格的数据保护措施,以防止个人信息在存储和处理过程中丢失、损坏、泄漏或篡改。
声网对个人信息的使用场景和需求进行充分评估,仅在业务必要的情况下,且与个人信息收集时所声称的目的具有直接或合理关联的范围内进行处理及使用。在个人信息的存储过程中,声网会采取加密方式对个人敏感数据进行存储,并根据个人信息的敏感程度配置不同的访问控制规则及技术手段,限制内部人员对个人信息的访问及操作,避免个人信息受到未经授权的使用或遭到非法处理。
目前的加密方式支持 AES(Advanced Encryption Standard,高级加密标准) 128/256:高级加密标准为最常见的对称加密算法。
为持续保证个人信息得到全面有效的保护,声网在提供服务的过程中定期对个人信息的收集和个人信息的使用进行全面的梳理。梳理内容包括数据类型、来源、存储方式和处理方式等,通过检查个人信息处理过程、测试相应的处理机制等方法,分析个人信息在收集与处理过程中数据保护策略的执行情况、相关法律法规与政策标准的符合性情况。针对梳理过程中发现的违规或风险事项,声网数据保护人员和信息安全人员将对发现的违规或风险事项进行跟进处置。
3.3.3 传输和共享
在个人信息的传输或共享方面,声网评估数据传输的情况,以合理性、合法性和必要性为原则,严格遵循与开发者签订的数据处理协议或合同对数据进行传输。声网将以服务协议或合同的形式告知开发者个人信息传输的内容、使用目的和第三方数据接收者。为了满足传输、共享个人信息的隐私安全要求,声网将采取以下措施:
a. 传输加密
声网建立了数据安全传输控制策略和机制,采用了多种加密技术,保证了数据在传输过程中的保密性和完整性。主要的传输加密方式有如下几种:
• TLS(Transport Layer Security,安全传输层):TLS 是建立在传输层 TCP(Transmission Control Protocol,传输控制协议)之上的协议,服务于应用层。它实现了将应用层的报文进行加密后再交由 TCP 进行传输的功能;
• HTTPS (Hyper Text Transfer Protocol over SecureSocket Layer):是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换资料的隐私与完整性。
b. 内容加密
声网提供了多种加密选项和级别,开发者可以启用这些选项和级别。
• 声网软件开发工具包(SDK)提供内置加密算法,包括 AES-128 和 AES-256,以保护用户和声网服务之间传输的所有数据;
• 声网还为开发者提供了使用自定义的加密算法的选项,以在实时参与期间保护用户的媒体流。加密密钥完全由开发者自行保管和使用。
c. 身份认证
当用户使用实时音视频应用并接入声网 RTE PaaS 时,声网提供了如下两种认证方式:
• 基于 App ID 认证;
• 基于 Token 认证。在采用 Token 认证方式后,开发者可通过 App ID 和 App 证书生成 Token,并使用该 Token 对用户进行身份认证。
d. 数据传输策略
声网在数据传输限制方面主要有三种策略:
• 为了满足不同国家或地区的法律法规,声网支持网络地理围栏(Geo-fencing)。开发者可以通过设置 Geo-fencing 策略,将音视频数据及消息传输限制在特定地区。启用 Geo-fencing 后,音频、视频、消息将不会访问指定区域以外的服务器;
• 声网会根据与开发者签订的数据处理协议,对数据传输进行限制处理;
• 另外对产品用量、计费数据等信息,声网会在传输这类数据前对数据进行匿名化、脱敏处理。如下图 4。
同时,声网的信息安全和隐私保护工作小组将定期梳理相关的数据传输合规要求,确保数据传输符合各地监管要求。
e. 其他
声网将对参与数据传输的第三方机构进行安全评估,明确双方的隐私安全责任,识别个人信息保护措施的要求,建立长期跟踪审计机制,确保第三方机构始终符合声网的隐私安全要求。如果声网发现第三方未能按照合作授权要求处理个人信息或未能有效履行其保护个人信息的责任,声网将立即要求第三方停止此类行为,并要求采取有效的补救措施来控制或消除个人信息泄露风险。
3.3.4 处置
声网根据服务承诺、为满足业务需求的最短期限以及法律法规要求,确定了个人信息的保存位置、形式和期限。声网明确定义了不同类别的个人信息的保留时间,并以服务协议或隐私政策的形式告知开发者或用户。
当服务或产品到期或声网停止某些服务或产品时,声网会严格遵守数据保留时间要求,在数据保留时间届满后删除个人信息。对于因业务需要无法立即删除的个人信息,或由于删除会影响公司的正常业务运营,声网会采用匿名化的方式进行处理,以确保匿名化的数据无法被识别或与数据主体关联。此外,开发者有权自愿选择退出服务或要求声网删除开发者传输或提供的个人信息。声网在隐私政策中定义了数据主体权利响应的机制和时间。
声网要求第三方在个人信息处理活动中采取符合声网隐私安全要求的个人信息保护措施,并遵守约定的数据保留时间要求,在数据保留时间届满后删除个人信息。声网会核实相关第三方处理数据的结果,以确保个人信息被有效删除或匿名化。
3.4 隐私权利保障
声网为开发者提供了许多自助行使隐私权利的功能,例如在管理界面中可以行使访问、删除开发者注册数据的权利。同时,声网在隐私政策中告知了开发者数据主体权利响应的机制和渠道。根据开发者的要求,声网将提供合理与及时的帮助,以支持开发者履行法律法规所规定的权利响应义务。
声网致力于保护用户的隐私权,并协调各部门,建立了标准的隐私权响应流程。开发者可以向服务支持团队发起隐私权利响应流程。声网将支持开发者行使以下权利:
• 撤回同意及删除权:在用户撤回同意或其他法律法规规定的情形下,声网具备相应技术和流程,支持开发者响应其用户撤回同意及删除数据的请求;
• 访问权:声网支持为开发者提供其上传或存储数据的访问权;
• 纠正权:声网支持开发者更正或完善个人信息;
• 获取个人信息副本的权利:当用户向开发者索要“结构化的计算机可读常用格式”的个人信息时,声网支持为开发者提供相关格式的数据文件副本。
4 隐私保护责任
作为领先的音频、视频和即时通讯平台,声网负责音频、视频和消息的传输,云端录制服务和聊天记录、流媒体数据(音频和视频)的存储。开发者负责用户个人信息的收集、存储、使用和删除的管理责任。声网将与开发者合作,保障用户的隐私安全。下图 5 显示了基于云服务 SPI(即 SaaS、PaaS 和 IaaS)责任划分的隐私保护责任模型。
4.1声网的责任
声网作为全球领先的视频、音频和即时通讯平台,负责按照服务协议和隐私政策的要求,对服务期间收集和生成的个人信息进行保护,并对音频和视频传输和消息服务涉及的信息系统进行保护:
• SDK 隐私及安全:声网按照法律法规要求及行业最佳实践,保障 SDK 产品的隐私与安全;
• 数据生命周期保护:声网严格按照法律法规要求,对从 SDK 端采集的数据采取技术、管理手段保障数据传输、存储、处理的隐私安全。声网提供基于监管要求和最佳行业实践的各种个人信息保护技术,包括但不限于访问控制、数据加密、审计日志;
• 共担的责任:声网支持开发者配置、选择存储节点,以及设置 Geo-fencing 限定数据传输。对于基础设施提供商,声网会与基础设施提供商签订合同,进行约定,一旦发生安全事件,声网有权知晓事件影响程度。如果影响到开发者,则进一步披露给开发者。
4.2 开发者的责任
作为个人信息的直接收集者,开发者拥有对个人信息的控制权。开发者在向用户提供服务时,应充分考虑各个国家和地区的合规性要求,保障用户的隐私权。
在使用声网的在线音频、视频传输服务和即时通信服务时,开发者应确保个人信息的合法来源。开发者在收集个人信息前,应通过隐私政策、服务协议、数据收集提示及其他途径取得用户的同意。
开发者应如实告知用户和声网在使用音频、视频和即时通信服务过程中收集或处理的个人信息的范围和相关目的,个人信息的处理和存储,以及共享个人信息时的责任界限。
开发者应为用户制定个人信息保护策略,并实施适当的管理和技术措施,以履行对用户的隐私保护承诺或可能涉及的合规要求,防止个人信息未经授权的访问、披露和篡改。对于需要与声网合作实施的管理和技术措施,开发者应确定这些措施并通知声网,声网将合作实现相应的策略。
开发者还应尊重和保护用户作为数据主体的权利,及时响应数据主体的请求,建立合规管理和用户上报管理制度。如果用户的隐私权利请求涉及声网的服务,或者开发者因业务调整需要改变个人信息的使用方式,开发者应及时通知声网,声网将在规定时间内做出回应。
5 声明
5.1 版权声明
本文的版权仅为声网所有。未经声网事先书面许可,任何主体不得复制、修改、抄袭或传播本文的全部、部分或任何形式的内容。
如若发现本文存在任何错误或对本文内容存在任何疑问,请通过 privacy@agora.io 邮箱直接联系声网。
5.2 使用限制
本文基于声网服务和产品的现状编写,仅作为开发者使用声网服务和产品的参考指南。声网尽最大努力提供相应的介绍和使用建议,但声网不对本文内容的准确性、完整性和适用性等作任何明示或暗示的保证。
开发者购买或使用的服务或产品受声网商业合同或服务协议的约束,开发者不得根据本文的描述对声网提出服务要求。
