关于神策数据信息保护说明

日期:2021年5月8日

本说明由神策网络科技(北京)有限公司及其关联方(「服务商」)共同做出。

定义

客户:接受神策数据提供的服务的一方

神策数据:神策网络科技(北京)有限公司及其关联方(「服务商」)

一、神策私有化部署产品的数据存储与应用情况说明

(一)神策数据郑重承诺不会触碰客户的任何数据

神策数据所有的系统都采用了私有化部署的系统结构,既系统部署在客户的机房或者客户的公有云,所有的安全措施和权限都由客户方掌握。

与一般的第三方服务商不同,神策数据依靠提供的是工具和支持服务来进行收费,不依靠数据本身获取商业价值,所以无需获取客户的数据,也不会利用客户的数据进行任何商业行为。

由于神策数据无法获取客户的任何业务数据,在面向普通用户时,神策数据的所有系统与客户自有系统是同一性质的。因此,从神策数据的角度看且考虑前述数据存储和应用安排,客户无需在《用户隐私说明》文件内解释数据是否传输给第三方时,提及神策数据的系统,因为神策数据不是第三方,没有被共享数据。

神策数据承诺在产品实施及维护过程中,不主动触碰任何不必要的原始数据或报表等形式的统计结果。如因神策数据主动触碰相关信息并发生泄露给客户造成损失,神策数据愿承担相应法律责任。

(二)神策数据提供的数据产品,仅可被用作于合法用途

客户仅可将神策数据提供的服务和与之相关的应用软件(包括但不限于 SDK、软件主体、底层存储)用于合法用途,客户需要确保其使用本服务和与之相关的应用软件的行为符合可适用的法律法规和监管要求,不侵犯任何第三方的知识产权及其他合法权益,不违反对其有约束力的在先法律文件的规定。

如果客户违反上述约定的,神策数据有权暂停客户对本服务和与之相关的应用软件的使用或解除本协议,已收取的服务费用不予退还,神策数据因此遭受第三方追索、行政调查或卷入其他法律程序的,客户还需赔偿神策数据遭受的一切损失(包括但不限于应诉费用、配合调查发生的费用、媒体公关费用、第三方追索赔偿款、补偿款、律师费等)。

(三)收集信息后的使用

神策数据所有的系统都采用了私有化部署的系统结构,既系统部署在客户的机房或者客户的公有云,所有的安全措施和权限限制都由客户方掌握。

与一般的第三方服务商不同,神策数据依靠提供的是工具和支持服务来进行收费,不依靠数据本身获取商业价值,所以无需获取客户的数据,也不会利用客户的数据进行任何商业行为。

所以神策数据不会对系统收集的数据做任何的应用。

二、神策数据 SDK 产品的情况说明

(一)神策数据 SDK 产品权限说明

1、 Android SDK

神策数据 Android SDK 需要如下系统权限以保证数据采集的正常展开:

权限 用途 是否必须
INTERNET 允许应用发送统计数据 必须权限,SDK 发送埋点数据需要此权限
ACCESS_NETWORK_STATE 允许应用检测网络状态 必须权限, SDK 会根据网络状态选择是否发送数据
READ_PHONE_STATE 允许应用获取设备 IMEI 可选权限,采用 App 内推广和采集 $carrier 属性时会用到此权限
ACCESS_WIFI_STATE 允许应用获取 MAC 地址 可选权限,采用 App 内推广时会用到此权限

尽管神策数据 Android SDK 需要如上系统权限,但是:

2、iOS SDK

神策数据 iOS SDK 需要如下系统权限以保证数据采集的正常展开:

权限 用途 是否必须
网络(国服专门) 允许应用发数据 必须权限,SDK 发送埋点数据需要此权限
定位 允许应用获取 GPS 数据 可选权限,SDK 采集 GPS 数据时需要此权限

尽管神策数据 iOS SDK 需要如上系统权限,但是:

3、神策数据 SDK 数据采集情况说明

神策数据 SDK 具有自动采集数据的功能,涉及到的常见属性如下:

用户信息 信息备注 信息隐私风险评估 风险评估备注
$app_version App 版本 无风险
$browser 浏览器 无风险 技术元数据
$browser_version 浏览器版本 无风险 技术元数据
$latest_referrer 最近一次站外地址 低风险 用户不一定想浏览的上一个页面被采集
$latest_referrer_host 最近一次站外域名 低风险 用户不一定想浏览的上一个页面被采集
$latest_search_keyword 最近一次搜索引擎关键词 无风险 业务信息无风险
$latest_traffic_source_type 最近一次流量来源类型 无风险 业务信息无风险
$referrer 前向地址 低风险 用户不一定想浏览的上一个页面被采集
$referrer_host 前向域名 低风险 用户不一定想浏览的上一个页面被采集
$title 页面标题 无风险
$url H5 的 url 无风险
$url_path H5 的 url 的 path 无风险
$lib 神策数据产生的 SDK 类型,js,iOS,Android 无风险 技术元数据
$lib_version 神策数据产生的 SDK 版本 无风险 技术元数据
$resume_from_background 是否是从后台恢复 无风险
$latest_scene 最近一次打开来源 无风险
$utm_medium 广告系列媒介 无风险
$utm_term 广告系列字词 无风险
$utm_content 广告系列名称 无风险
$carrier 运营商 无风险
$manufacturer 数据上传端的制造商 无风险
$model 数据上传端的制造商的子版本 无风险
$os 数据上传端的操作系统 无风险
$os_version 数据上传端的操作系统版本 无风险
$screen_height 屏幕高度 无风险
$screen_name 页面名 无风险
$screen_width 屏幕宽度 无风险
$network_type 网络类型 无风险 该项需要 App 具有网络权限,在谷歌的分类中网络权限属于正常权限,不涉及用户隐私。
$wifi 是否 wifi 无风险
$os 数据上传端的操作系统 无风险 该项需要 App 具有网络权限,在谷歌的分类中网络权限属于正常权限,不涉及用户隐私。
$city 事件发生城市 该项是后端解析获取,客户端不采集
$country 事件发生国家 该项是后端解析获取,客户端不采集
$device_id 设备标示符 中等风险 我们采集的是 Android ID
$ip 事件发生时的 ip 该项是后端解析获取,客户端不采集
$province 事件发生的省份 该项是后端解析获取,客户端不采集
$is_first_day 判断是否首日访问 无风险 业务信息无风险
$is_first_time 判断是否第一次 无风险 业务信息无风险
$is_login_id 判断是否登录 无风险 业务信息无风险
$event_duration 持续时间 无风险 业务信息无风险
time 事件发生时间 无风险 业务信息无风险
user_id 神策用户 ID 无风险 客户端不采集,服务端处理
event 事件 无风险 业务信息无风险
distinct_id 客户的用户 ID 或者神策设备 ID 无风险 业务信息无风险
$ios_install_source 渠道追踪关键字段 高风险

更多详细信息请联系神策工作人员。

(二)SDK 采集、数据发送与异常处理策略

详细见《Android SDK & iOS SDK 安全说明》

三、安全自查

(一)基于《中华人民共和国网络安全法》和公安部《互联网个人信息安全保护指南》的自查结果

根据自查,神策数据给客户提供的神策分析产品(包含 SDK),不违反《网络安全法》和《互联网个人信息安全保护指南》的强制性规定。

(二)基于《信息安全技术移动互联网应用( App )收集个人信息基本规范》的自查结果

根据自查,神策数据的产品符合《信息安全技术移动互联网应用( App )收集个人信息基本规范》的要求,也符合欧盟 GDPR 标准,针对上述标准,神策数据 SDK 提供如下功能:

(三)基于 ISO 27001 信息安全管理制度的自查

神策数据符合 ISO 27001 信息安全管理制度认证的标准,也拥有 ISO 9001 和 CMMI 3 的认证,在质量管理、项目管理和信息安全方面都有坚实的能力。

(四)基于《APP 用户权益保护测评规范》10 项标准及《APP 收集使用个人信息最小必要评估规范》的自查

根据自查,神策数据符合《APP 用户权益保护测评规范》10 项标准及《APP 收集使用个人信息最小必要评估规范》中的各项要求。

四、行业资格

神策数据积极践行数据合规,并参与到行业内众多合规活动中去。

2020 (第六届)中国互联网法治大会成立了移动互联网用户信息安全保护相关工作组织,包括神策数据、阿里巴巴、字节跳动、华为、百度、小米在内的 46 家企/事业单位、研究机构等获准加入。

2020 年 11 月 27 日,工业和信息化部组织的全国 APP 个人信息保护监管会在北京成功召开。

会上发布《APP 用户权益保护测评规范》10 项标准及《APP 收集使用个人信息最小必要评估规范》8 项标准,这些标准将为企业合规经营提供明确规范要求,为治理工作提供依据和支撑。

作为互联网协会成员单位,神策数据同样做出郑重承诺,神策数据创始人 & CEO 桑文锋宣读《APP 个人信息保护公开承诺书》,具体内容如下:

特此说明

附录:

《神策科技IOS SDK源代码安全性审计报告.pdf》

《神策SDK-Android源代码安全审计报告.pdf》

《神策SDK-JS源代码安全审计报告.pdf》

《神策微信小程序源码安全审计报告.pdf》

《SDK 安全说明.docx》