今天我们将探讨数据隐私,本帖也是四篇系列文章中的第三篇。总体而言,该系列文章探讨的是,如何通过数据供应商和客户在合规方面的深入投资,从而保障数据行业的光明未来。如您还未看过本系列的前两篇文章,点击如下链接即可阅读:
《通用数据保护条例》(GDPR)诞生至今,早已家喻户晓。
GDPR的出现,彻底改变了科技行业,企业不再被允许随意使用个人数据,而用户对自己的个人数据有了更多的控制权。尽管之前的法律法规对个人数据的使用进行了监管,但它们基本无法限制科技公司在各个领域随意销售和使用个人数据。GDPR于2016年4月14日通过,并于2018年5月25日开始执行,具有深远的影响,违反这一法规的企业将受到严厉处罚。请参阅“谷歌、英航、H&M和万豪有什么共同点?因违反GDPR的个人数据使用,它们都收到超过1000万欧元的罚款。”
英国、土耳其、毛里求斯、智利、日本、巴西、韩国、南非、阿根廷等很多国家也以GDPR为模板建立了自己的隐私法律。在美国,有些州也基于或至少参考GDPR通过了自己的隐私法,包括《加州消费者隐私法 》(CCPA) 及其后续法案,《2020加州隐私权法案》。
大多数隐私法律的主要宗旨是确保公平和透明。要实现公平,数据提供者处理数据的方法就不能对数据主体产生不正当的损害、不可预知的后果或误导。为保持透明,数据提供者必须基于开放和诚信原则处理数据,并对数据主体尽到充分告知义务。此外,根据GDPR和其他类似法律,数据的收集还必须要基于有效的法律依据(点击此处了解更多信息)。
为遵守上述隐私法律,数据提供者必须重新评估自身的数据源,确保通过这些来源获得的数据符合前述法律的宗旨和其他要求。正如我们在之前的文章中所介绍的,除数据供应商可能自行收集的个人数据以外,这些规则也适用于从其他数据提供方(第三方数据源)获得的数据。
出于某些原因,有些数据供应商会坚持认为,面板程序在未经用户同意的情况下跟踪用户,或不安全。但坦率地说,这些指控并没有什么意义。就安全性、准确性或合规性而言,数据源本身并没有好坏之分(不论第一方亦或第三方),关键在于数据提供者是否愿意确保其产品使用的所有用户数据,都符合适用的数据隐私法律和法规,无论这些数据是他们自己收集的还是从第三方供应商接收的。如果供应商从其他数据供应商购买用户数据,那么还应该评估数据代理的合规性。
根据具体产品,Sensor Tower可能选择使用第一方和第三方数据源。无论如何,基于移动行业有关隐私的最佳实践,在启用新的数据源(无论第一方或第三方)之前,我们会评估是否需要相关数据,以及是否可以在不收集个人数据的情况下实现目标。如可以不收集,我们会采用隐私中心方法,避免收集个人数据。如果还是需要收集,我们会尽量减少个人数据的收集量,并尽可能消除数据的可识别性,由此来降低风险。
举例来说,Sensor Tower管理的一系列基于面板的应用就在为我们的部分智能产品提供数据支持。在这些应用中,基于面板的健康应用StayFree和ActionDash(于2020年被Sensor Tower收购)是同类产品中顶级的安卓应用,由我们自行开发的三个内容拦截应用,Mobile Data Usage、Luna 和 Adblock Mobile,则已经登录Android和iOS两个平台。
这些面板应用都会充分告知个人用户,我们的数据收集方法,以及他们对提供的数据有哪些权利。更重要的是,即使选择不提供数据,ActionDash和StayFree的用户仍然可以免费使用应用附带的所有数字健康功能。另一方面,我们的广告拦截应用只会通过服务器转发广告和分析数据,并且这个过程使用了我们基于隐私保护原则专门开发的“隧道分离”技术,可保证仅处理广告相关的域,具体如下图所示。
用户也可轻松地禁用这些应用附带的证书,但代价是无法再阻止加密广告网络。通过这些方法,我们保证只处理广告和分析数据,其数量只占设备发送和接收数据总量的不到10%。更重要的是,在只处理广告或分析数据的情况下,我们可以避开任何涉及敏感数据(如健康或财务数据)的请求。
在接收使用数据和广告数据的同时,我们的面板会对其去识别化。基于底层隐私设计,我们从不长期保存IP地址,因此唯一可关联我们面板应用的标识符是安装时生成的安装标识符 (ID)。这些标识符是本地存储的,我们无法用其识别用户(除非用户明确同意提供其他信息,例如主动寻求支持时提供的信息)。在用户卸载面板应用后,这一ID会立刻失效,与之关联的任何数据也将完全匿名化。如果之后用户重新安装同一应用,我们的面板程序会重新分配一个随机生成的ID,而且这个ID也只适用于这个新实例(即卸载后该ID也会失效)。
我们的所有面板数据都是匿名的聚合数据,把这些数据传输到统计聚合模型后即可生成sensortower.com所提供的情报(例如我们的广告情报和使用情报产品)。
我们提供的其他产品(例如Pathmatics Explorer)则可能需要第三方数据源,包括第三方面板数据。和对待我们的一手用户面板数据一样,我们会要求数据提供者严格遵守适用的数据隐私法律和法规。在接触此类提供者之前和与它们合作期间,我们会通过审查同意条款、使用条款、隐私政策和其他材料来验证其合规性,同时基于合同要求它们持续遵守前述法律和法规。
保护用户隐私一直是Sensor Tower遵循的重要宗旨。在GDPR和其他更新的隐私法律出现之前,Sensor Tower团队就在开发面板应用时充分考虑了隐私保护的需要。在开发这些应用时,我们一直在努力加入更多预防措施以最小化潜在的隐私风险。今后,我们还将继续提供尊重全球用户隐私的创新工具。