腾讯T-Sec SDP隐私保护协议
生效日期:2021年3月15日
欢迎你使用腾讯T-Sec SDP!
为保障你的相关权利,《腾讯T-Sec SDP隐私保护协议》(下称“本隐私协议”)将向你说明腾讯T-Sec SDP软件(以下简称SDP)会如何收集、使用和存储你的个人信息及你享有何种权利,请你在使用SDP之前,阅读、了解并同意本隐私协议和相关补充文件。
本隐私协议适用于SDP产品自身的功能及服务(包括安全连接、移动安全检测、访问控制、多因子身份验证、数据可视化等功能和服务),不适用于其他通过SDP服务或客户端提供的产品或服务,或任何其他第三方提供的产品或服务(以下统称“第三方服务”),你在选择使用第三方服务前应充分了解第三方服务的产品功能及隐私保护政策。
本隐私协议将帮助你了解以下内容:
1. 我们收集哪些类型的信息
2. 我们如何存储这些信息
3. 我们如何保护这些信息
4. 我们如何使用这些信息
5. 信息的分享和对外提供
6. 您的权利
7. 变更
8. 其它
9. 联系我们
相关定义:
SDP:软件定义边界,SDP是腾讯向企业用户提供的新一代的安全接入云服务。SDP产品及服务,包括SDP管理平台及SDP客户端(包括Windows、Mac、iOS、Android等多个应用版本)等。
SDP运营主体:指提供SDP产品和相关服务的法律主体,为腾讯云计算(北京)有限责任公司,以下简称“腾讯公司”或“我们”。
企业用户:指注册、登录、使用SDP产品及服务并获得管理权限的个人或组织,包括但不限于法人、政府机构、其他组织、合伙或个体工商户等(下称“企业用户”);企业用户可以通过SDP创建个人用户账号(指由企业用户创建并管理的,可以个人进行登录使用的账号)。
企业用户管理员:指经企业用户指定,拥有企业用户管理后台系统操作权限的个人;企业用户管理员可以为一人或多人。
个人用户/最终用户:指被企业用户在管理平台开通的个人账号,该账号可直接登录使用SDP客户端,以下称“你”或“最终用户”。
个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人敏感信息:指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、通信记录和内容、财产信息、行踪轨迹、健康生理信息、交易信息等。
企业控制的数据:指企业用户和该企业用户的最终用户使用SDP过程中提交或产生的信息和数据,包括企业用户提交或要求最终用户提供的信息、企业用户分配给最终用户的信息,以及为完成工作需求、满足企业日常管理需求最终用户提交给企业用户的信息,详情参见1.3部分的表述。
匿名化处理:指通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的信息不属于个人信息。
更多定义请参照腾讯隐私政策 。
1. 我们收集哪些类型的信息
1.1 为了向你和企业用户提供服务、保障服务的正常运行、改进和优化我们的服务以及保障账号安全,SDP会按照如下方式收集你在注册、使用服务时主动提供、授权提供或因为使用服务而产生的信息:
1.1.1 账号注册信息:当你首次注册登录SDP,你需要提供你的手机号,此信息为你使用SDP所必需,若你不提供这类信息,你将无法正常使用我们的服务。
1.1.2 当你使用SDP服务时,为向你及企业用户提供SDP产品及服务,维护我们服务的正常运行,改进及优化我们的服务体验以及保障你的账号安全,我们会收集你下述信息:
1.1.2.1 设备信息:根据你在安装及使用SDP服务过程中的设备型号及授予的权限,我们会收集使用SDP服务的设备相关信息,包括设备型号、操作系统、唯一设备标识符、设备所在位置信息(如登录IP地址、GPS位置以及能够提供相关信息的Wi-Fi接入点等相关信息)、SDP软件版本号以及设备加速器(如重力感应设备)等。
1.1.2.2 日志信息:当你使用SDP服务时,我们会收集你服务使用的日志信息,包括接入网络的方式、类型和状态、网络质量数据、操作日志、服务日志信息(如你在SDP查看的网址信息、服务故障信息等)等。
1.2 为提供持续可信认证、访问策略管理和日志审计等服务,我们会收集企业用户和该企业用户的最终用户使用SDP过程中提交或产生的信息和数据(下称“企业控制的数据”),企业控制的数据可能包括:
1.2.1 在客户端登录之前,我们会收集相应的设备环境、网络环境和应用环境信息,以完成终端的安全检测及可信识别。
1.2.2 用户认证信息:在你使用SDP服务期间,我们会收集你的用户信息(包括名称、手机号码、所属部门等)、设备信息(设备名称、设备型号、客户端版本、设备平台、网络IP、ID信息)、以及认证信息(认证行为、额外参数、认证因子/认证方式等)。
1.2.3 用户的访问行为:包括用户访问成功、访问失败的时间、用户身份、设备名称、网关名称、连接器、资源、允许访问策略、访问结果、客户端版本信息等。
1.2.4你的姓名、性别、手机号码以及身份证等企业用户提交或要求你提供的个人信息。
1.2.5 其他由企业用户提交的数据,如组织架构、访问权限等。
你理解针对企业控制的数据中的个人信息,企业用户为个人信息的控制者,我们仅根据企业用户的指示(包括企业用户以及企业用户管理员通过管理后台进行的操作等)以及我们与企业用户间的协议进行相应的处理。如果你对以上企业控制的数据的收集目的、范围和使用方式有任何疑问或意见,你理解并同意联系你所在企业用户或企业用户管理员处理。
2. 我们如何存储这些信息
2.1 信息存储的地点
我们会按照法律法规规定,将在中国境内收集和产生的个人信息存储于中国境内。
2.2 信息存储的期限
一般而言,我们仅为实现目的所必需的时间保留你的个人信息。对于企业用户可自主设定留存期限的部分企业控制的数据(如认证、访问日志等),我们会根据企业用户的设置留存相关信息,我们不会查看或使用企业用户留存的日志信息
当我们的产品或服务发生停止运营的情形时,我们将以推送通知、公告等形式通知你,在合理的期限内删除你的个人信息或进行匿名化处理,并立即停止收集个人信息的活动,以及关闭第三方应用服务接口,避免第三方服务收集及继续使用个人信息。
3. 我们如何保护这些信息
3.1 我们努力为用户的信息安全提供保障,以防止信息的丢失、不当使用、未经授权访问或披露。
3.2 我们将在合理的安全水平内使用各种安全保护措施以保障信息的安全。例如,我们会使用加密技术(例如,SSL /TLS)、匿名化处理等手段来保护你的个人信息。
3.3 我们建立专门的管理制度、流程和组织以保障信息的安全。例如,我们严格限制访问信息的人员范围,要求他们遵守保密义务,并进行审计。
我们通过不断提升的技术手段加强安装在你设备端的软件的安全能力,以防止你的个人信息泄露。例如,我们为了安全传输会在你设备本地完成部分信息加密的工作;为了预防病毒、木马程序或其他恶意程序、网站,我们可能会检测你设备安装的应用、正在运行的进程或设备内存中寄存的信息是否存在安全隐患;为了预防诈骗、盗号、仿冒他人等不法行为和进行安全检查我们可能会分析利用唯一设备标识符、登陆IP地址、操作日志、地理位置信息等数据,以便于采取安全措施或对用户进行安全提醒等。
3.4 若发生个人信息泄露等安全事件,我们会依法启动应急预案,阻止安全事件扩大,并以推送通知、公告等形式告知你安全事件的情况、事件可能对你的影响以及我们将采取的补救措施。我们还将按照法律法规和监管部门要求,上报个人信息安全事件的处置情况。
3.5 目前,SDP在信息安全与网络安全方面已达到ISO/IEC 20000、ISO/IEC 27001、ISO/IEC 27018、网络安全等级保护(三级)系等国际及国内权威认证标准的要求,并已获得了相应的认证。
我们会尽力保护你的个人信息。我们也请你理解,任何安全措施都无法做到无懈可击。
4. 我们如何使用这些信息
我们严格遵守法律法规的规定及与用户的约定,将收集的信息按照本隐私保护协议的规定用于以下用途。
4.1 我们在你使用SDP服务过程中收集相关的信息是为了向SDP用户(包括企业用户和最终用户)打造和提供更好的服务。我们会将收集的信息用于以下用途:
4.1.1 提供、维护及开发SDP服务:我们会利用收集的信息来提供和优化改进SDP服务,例如,跟踪服务中断情况或排查SDP用户向我们报告的问题;根据SDP日志、服务使用信息等为你或你所在企业用户提供各类数据统计分析功能及服务。
4.1.2 安全保障:为保障你以及所有SDP用户的安全,我们会利用相关信息协助提升SDP服务的安全性和可靠性,包括检测、防范和应对可能危害SDP、我们的用户或公众的欺诈行为、滥用行为、非法行为、安全风险和技术问题等;
4.1.3 与你沟通:我们会利用收集的信息(例如你提供的电子邮件地址、企业用户的管理者联系邮箱、电话等)直接与你沟通。例如,如果我们检测到可疑活动(如尝试从不同于平常的位置登录你的SDP),则可能会向你发送通知,我们可能会让你了解SDP即将发生的变化或即将进行的改进。或者,我们会对你进行服务回访等;
4.1.4 为了遵从相关法律法规、部门规章、政府指令的相关要求。
目前,我们不会将你的个人信息用于个性化推荐或广告用途。如我们使用你的个人信息,超出了与收集时所声称的目的及具有直接或合理关联的范围,我们将在使用你的个人信息前,通过页面提示、交互流程、网站公告等方式另行向你告知并征得你的明示同意。
4.2 对于企业控制的数据的使用,我们将根据企业用户的决定以及我们与企业用户的相关协议依法予以处理。例如,企业用户有权决定在SDP内展示哪些以及如何展示最终用户的相关信息。
4.3 根据相关法律法规以及国家标准,在以下情况下我们可能会收集、使用你的个人信息而无需征求你的授权同意:
1)与个人信息控制者履行法律法规规定的义务相关的;
2)与国家安全、国防安全直接相关的;
3)与公共安全、公共卫生、重大公共利益直接相关的;
4)与刑事侦查、起诉、审判和判决执行等直接相关的;
5)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
6)所涉及的个人信息是个人信息主体自行向社会公众公开的;
7)根据个人信息主体要求签订和履行合同所必需的;
8)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
9)维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;
10)个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;
11)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要, 且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
5. 信息的分享及对外提供
我们不会共享或转让你的个人信息至第三方,但以下情况除外:
5.1 获取你的明确同意:经你事先同意,我们可能与第三方分享你的个人信息;
5.2 为实现外部处理的目的,我们可能会与关联公司或其他第三方合作伙伴(第三方服务供应商、承包商、代理、应用开发者等)分享你的个人信息,让他们按照我们的说明、隐私政策以及其他相关的保密和安全措施来为我们处理上述信息,并用于向你提供我们的服务,实现“我们如何使用信息”部分所述目的。如我们与上述关联公司或第三方分享你的信息,我们将会采用加密、匿名化处理等手段保障你的信息安全。
5.3 我们不会对外公开披露所收集的个人信息。如必须公开披露时,我们会向你告知此次公开披露的目的、披露信息的类型及可能涉及的敏感信息,并遵从相关法律法规的要求进行披露。需要特别说明的是,对最终用户相关信息如何在其加入的企业用户工作平台中对外披露或共享,由企业用户决定并管理,如果你对此有任何疑问或意见,你理解并同意联系你所在企业用户或企业用户管理员处理。
5.4 随着我们业务的持续发展,我们有可能进行合并、收购、资产转让等交易,我们将告知你相关情形,按照法律法规及不低于本隐私协议所要求的标准继续保护或要求新的控制者继续保护你的个人信息。
5.5 我们可能基于法律要求或相关部门的执法要求披露你的个人信息。
6.您的权利
在使用SDP服务期间,你可以通过客户端的“设置”—“退出登录”按钮退出app,退出登录后,你在客户端上的其它操作行为将不会被访问和记录,但同时正在连接的内网通道也会被关闭。此外,你的任何问题或意见都可联系企业用户管理员或SDP产品交付人员,以得到及时的反馈和处理。
7. 变更
我们可能会适时对本隐私保护协议进行修订。当隐私保护协议的条款发生变更时,我们会在版本更新时以适当的方式向您提示变更后的隐私保护协议,并向您说明生效日期。请您仔细阅读变更后的隐私保护协议内容,您继续使用SDP产品表示您同意我们按照更新后的隐私保护协议处理您的个人信息。
8. 其他
腾讯 《隐私政策》 是腾讯统一适用的一般性隐私条款,其中所规定的用户权利及信息安全保障措施,包括但不限于我们如何使用cookie及相关技术等均适用于SDP用户。如腾讯 《隐私政策》与本隐私协议存在不一致或矛盾之处,请以本隐私协议为准。
9. 联系我们
当你有其他的投诉、建议、未成年人个人信息相关问题时,请通过 http://kf.qq.com 与我们联系。你也可以将你的问题发送至Dataprivacy@tencent.com或寄到如下地址:
中国广东省深圳市南山区科技中一路腾讯大厦 法务部 数据及隐私保护中心(收)
邮编:518057
我们将尽快审核所涉问题,并在验证你的用户身份后的十五天内予以回复。