奇安信网神WEB应用安全云防护系统隐私政策
欢迎您使用奇安信网神WEB应用安全云防护系统!
奇安信科技集团股份有限公司及其关联公司(包括但不限于奇安信网神信息技术(北京)股份有限公司、北京网康科技有限公司,以下简称 “我们”或者“奇安信集团”。)充分理解隐私对您的重要性,并会采取充分、适当的措施保证您的个人信息安全。
我们希望通过本隐私政策向您说明,在使用奇安信网神WEB应用安全云防护系统(以下简称“本产品”)时,我们如何收集、使用、存储、分享和转让用户信息,以及我们如何保护用户信息。请在使用本产品前,务必仔细阅读并了解本隐私政策,在确认充分理解并同意后使用我们的产品或服务。一旦您开始使用本产品或在我们更新隐私政策后继续使用本产品,即表示您已充分理解并同意本隐私政策,并同意我们按照本隐私政策收集、使用、储存和分享用户信息。如对本政策内容有任何疑问、意见或建议,您可通过本隐私政策提供的联系方式(见下文第十部分)与我们联系。
本隐私政策将帮助您了解以下内容:
一、我们如何收集和使用用户信息
二、我们如何存储用户信息
三、我们如何共享、转让、公开披露用户信息
四、我们如何保护用户信息
五、您对隐私信息的管理
六、权限政策
七、App使用的第三方SDK和辅助开发的框架
八、隐私政策的适用范围
九、隐私政策的变更和修订
十、如何联系我们
十一、 隐私政策的生效
一、 我们如何收集和使用用户信息
我们会出于本隐私政策所述的以下目的,收集和使用用户信息:
(一)云防护系统的接入功能
1、防护网站的接入功能
云防护系统需要用户将自身的网站业务流量配置解析至云防护节点,才能达到攻击流量清洗、Web攻击防护的目的。因此,为了防护网站接入,同时,基于合法、合规等要求和确定用户唯一标识等目的,我们将使用在线或离线填写的方式向用户获取以下信息,包括但不限于:用户及其员工的基本信息,如员工姓名/职务,手机,邮箱,账号及注册密码,公司名称;网站基本信息,如域名,协议,源站IP/端口,机房归属地,主域名权限归属,SSL证书及私钥;网站业务信息,如网站使用的云端代理,安全软件,本地防火墙/WAF,API接口及网站出口带宽等。以上信息将用于网站接入配置、判断网站是否合法和初始化网站安全配置。
此外,奇安信网神WEB应用安全云防护系统产品系列中的网站卫士和云防护产品,因其在线注册、支付等特性,我们还将收集和保留用户的身份证、支付结果等信息,作为用户身份和购买行为的合法凭证。接入防护的网站可以关闭防护功能,但以上信息仍将保存,以备再次开启防护时能快速生效。
我们产品和服务的个别特定功能可能需要您提供特定的个人敏感信息来实现。收集个人敏感信息前,我们会以弹窗或类似显著方式获取您的同意。若您选择不提供该类信息,则可能无法正常使用对应功能,但不影响您使用服务中的其他功能。若您主动提供您的个人敏感信息,即表示您同意我们按本政策所述目的和方式来处理您的个人敏感信息。
2、网站安全防护配置调优功能
由于被防护网站的业务类型、带宽大小、源站属性等差异,其安全配置也可能产生较大的差异,云防护提供的缺省安全配置可能不并适合所有网站的防护需求。在防护策略的调优过程中,需要了解用户网站的业务情况。云防护的特征,用户的业务流量都经由云防护节点,因此云防护系统能获取所有用户网站的访问信息,包括但不限于:访问源IP,访问频次,访问日期、访问目标URL,Cookie,网站PV数等。云防护平台对单个用户的攻击数据分析,可能被应用于全平台用户,包括但不限于:攻击IP,攻击特征等。同时,云防护的运营人员在处理安全事件时,可能会向用户询问防护网站的技术架构、Web组件及版本、出口IP、可信IP地址(加白)等信息。以上这些信息,将被云防护系统用于进行攻击行为的判断和处理、安全策略选择和放行,并持续性的进行单个用户及全平台用户安全配置的调优。多种防护策略都提供开启、关闭按钮,但以上信息仍将保存,以备再次开启防护时能快速生效。
3、网站缓存加速功能
云防护系统能为用户提供CDN加速、缓存、重保只读功能。此类功能都基于分布式缓存机制,即在云防护的多个节点,缓存用户配置的网站资源,如具体的URL,达到近源访问速度更快、网站不可被篡改的目的。网站缓存机制的运用,将基于用户自身的配置,也可在云防护配置建议的基础上根据自身需求调整缓存资源,甚至禁止缓存即全流量回源访问。缓存功能将提供关闭按钮,一旦关闭后,我们将停止收集、保存相关资源信息。
4、配置告警功能
网站安全的闭环性管理要求能快速及时地告知用户当前正在发生的安全事件及其处理结果,为了满足此类需求云防护系统提供了告警配置功能。此项功能基于用户自主配置,可填写的隐私信息保留包括但不限于:用户名称,部门归属,手机号,邮箱等,云防护系统将基于用户的配置将安全时间及其处理结果用短信或邮件的形式及时告知用户。配置告警功能有关闭按钮,但功能被关闭后以上信息仍将保存,以备再次开启防护时能快速生效。
5、日志的收集、分析及展示功能
很多时候,安全防护的攻击分析及结果展示依赖于用户网站的Web访问日志与云防护的防护日志(包括但不限于Web攻击日志、CC攻击日志、爬虫攻击日志、DDoS攻击日志)。云防护系统对于这两类日志的存储内容也存在区别,比如:云防护系统只会记录Web访问日志中的源IP、源端口等网络层信息;HOST、URL、Referer等请求头数据;响应码、是否来自缓存等相应头内容;而不会记录完整Cookie内容、请求体、响应等详细交互信息。而防护日志可能记录部分触发防护策略的请求或响应的详细内容,访问行为统计特征等。奇安信网神WEB应用安全云防护系统对于以上两类日志的存储都基于合法、合规的原则,仅在需要配合网络安全执法的过程中可能被司法机关、行政机关调取,其他情况下均不会被非授权用户获得。基于本产品的特点,相关攻击审计日志的收集、分析及展示功能不能被关闭。
(二)我们如何使用Cookie技术
1. Cookie为了辨别用户身份保持用户登录会话状态;在网站用户方配置要求下,借助 Cookie 对用户请求进行跟踪,可能会向Cookie中加入用于请求跟踪的信息,但不会修改用户的Cookie字段内容,确保访问行为正常;加入的信息包含但不限于加密后的用户IP 地址,端口号,定制化配置。
2. 我们不会将Cookie用于本隐私政策所述目的之外的任何用途。您可以通过改变浏览器附加程序的设置,或通过访问提供商的网页,来关闭或删除浏览器附加程序使用的类似数据。但如果您这么做,则需要在每一次访问我们的网站时更改用户设置, 而且您之前所记录的相应信息也均会被删除,并且可能会对您所使用服务的安全性有一定影响。
(三)解决您反馈的问题
您可以通过奇安信用户热线向我们反馈您使用本产品过程中遇到的问题,我们会努力解决您的问题。您在反馈意见中所提供的联系方式,仅将用于我们的用户热线与您沟通与反馈,除征得用户明确同意和/或法律明确规定外,我们将不会向任何第三方提供您的上述信息。
(四)安全保障
为提高您使用我们及我们关联公司、合作伙伴提供服务的安全性,保护您、其他用户或公众的人身以及财产安全免遭侵害,更好地预防钓鱼网站、欺诈、网络漏洞、计算机病毒、网络攻击、网络侵入等安全风险,更准确地识别违反法律法规或奇安信集团相关协议规则的情况,我们可能使用或整合您的设备信息、软件使用信息以及我们关联公司、合作伙伴取得您授权或依据法律共享的信息,用于进行身份验证、检测及防范安全事件,并依法采取必要的记录、审计、分析、处置措施。
(五)征得授权同意的例外
根据相关法律法规规定,以下情形中收集您的用户信息无需征得您的授权同意:
1. 与国家安全、国防安全有关的;
2. 与公共安全、公共卫生、重大公共利益有关的;
3. 与犯罪侦查、起诉、审判和判决执行等有关的;
4. 出于维护信息主体或其他个人的生命、财产等重大合法权益但又无法得到您明确同意的;
5. 所收集的用户信息是您自行向社会公众公开的;
6. 从合法公开披露的信息中收集用户信息的,如合法的新闻报道、政府信息公开等渠道;
7. 根据您的要求签订合同所必需的;
8. 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
9. 为合法的新闻报道所必需的;
10. 学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的信息进行去标识化处理的;
11. 法律法规规定的其他情形。
二、 我们如何存储用户信息
我们在中华人民共和国境内收集和产生的用户信息将存储在中华人民共和国境内。
若为处理跨境业务,确需向境外机构传输境内收集的相关用户信息的,我们会另行征求您的同意,并按照法律、行政法规和相关监管部门的规定执行。我们会确保用户信息得到足够的保护,例如匿名化、加密存储等。
我们仅为实现在本隐私政策所声明的目的所必须的期间和法律法规要求的时限内存储用户信息。
如我们停止运营本产品,我们将及时停止继续收集用户信息,并将停止运营的通知以公告或类似的形式通知您,超出期限后将对我们存储的用户信息进行删除或匿名化处理。
三、 我们如何共享、转让、公开披露用户信息
(一)共享
我们不会与任何公司、组织和个人共享用户信息,但以下情况除外:
1. 在获取您明确同意的情况下,我们会与其他方共享用户信息。
2. 我们可能会根据法律法规或者诉讼争议解决需要,按行政、司法机关依法提出的要求,对外共享用户信息。
3. 在法律法规允许的范围内,为维护奇安信集团、奇安信集团的关联方或合作伙伴、您或其他用户或社会公众利益、财产或安全免遭损害而有必要共享用户信息。
4. 在我们的关联方向您或向我们提供产品或服务的情况下,我们可能与我们的关联公司共享用户信息。但我们仅共享必要的用户信息,且关联方对您信息的处理受本隐私政策的约束。关联公司如要改变您用户信息的处理目的,将再次征求您的授权和同意。
5. 除非获得您的明确授权和同意,否则我们不会与第三方广告商、应用程序开发者、开放平台或其他合作伙伴共享用户信息。我们可能会为这些合作伙伴提供汇总后的信息、匿名化后的信息或者其他不会识别到您身份的信息。
6. 仅为实现本隐私政策中声明的目的,我们可能会与我们的供应商、服务提供商、顾问或代理人共享用户信息(或用户举报的短信或来电号码),以提供更好的用户服务和用户体验。这些供应商、服务提供商、顾问、代理人可能为我们提供技术基础设施服务,分析我们服务的使用方式,衡量广告和服务的有效性,提供用户服务和支付服务,进行学术研究和调查,或提供法律、财务与技术顾问服务。
对我们与之共享用户信息的公司、组织和个人,我们会与其签署严格的保密协议或者其他具有同等法律性质的约束性文件,要求其按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理用户信息。
(二)转让
我们不会将用户信息转让给其他任何公司、组织和个人,但以下情形除外:
1. 随着奇安信集团业务的发展,我们及我们的关联公司有可能进行合并、收购、资产转让或其他类似的交易。如相关交易涉及到用户信息转让,我们会要求新持有用户信息的公司、组织和个人继续受本隐私政策约束,否则我们将要求该公司、组织和个人重新征得您的授权同意。
2. 在获得您明确同意的情形下转让,亦即获得您明确同意后,我们会向其他方转让我们已经获取的用户信息。
3.根据适用的法律法规、法律程序的要求、强制性的行政或司法要求所必须的情况下进行提供。
4. 符合奇安信集团和/或我们的关联公司与您另行签署的相关协议或其他的法律文件约定所提供。
(三)披露
我们仅会在以下情况下,公开披露用户信息:
1. 已经获得您明确同意。
2. 在法律规定、诉讼程序或政府主管部门强制性要求的情况下,我们可能会公开披露用户信息。
3. 在法律法规允许的范围内,为维护奇安信集团、奇安信集团的关联方或合作伙伴、您或其他奇安信用户或社会公众利益、财产或安全免遭损害而有必要披露用户信息。
4. 法律法规规定的其他情形。
根据法律规定,共享、转让经去标识化处理的用户信息,且确保数据接收方无法复原并重新识别信息主体的,不属于用户信息的对外共享、转让及公开披露行为。请您知悉对此类数据的保存及处理将无需另行向您通知并征得您的同意。
四、 我们如何保护用户信息
我们已采取符合业界标准的安全防护措施保护您提供的用户信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的用户信息。
1. 我们通过发布隐私政策,实现用户信息处理的透明化,并建立用户意见反馈渠道,接受社会公众监督。
2. 我们会对可识别的个人身份信息进行加密传输和存储,以确保数据的保密性。
3. 我们在服务端部署访问控制机制,对可能接触到用户信息的工作人员采取最小够用授权原则,并定期核查访问人员名单和访问记录。
4. 我们存储用户信息的服务器系统均为安全加固后的操作系统。我们会对服务器操作进行账户审计及监控。如果发现外部公告有安全问题的服务器操作系统,奇安信集团会在第一时间会进行服务器安全升级,确保我们所有服务器系统及应用安全。
5. 我们为工作人员定期举办隐私保护相关法律法规培训,以加强工作人员的隐私保护意识。
6. 如果不幸发生我们的物理、技术或管理防护措施遭到破坏的事件,我们会及时启动应急预案,防止安全事件扩大,按照法律法规的要求上报国家主管机关,并及时采取推送、公告等合理、有效的方式向您告知安全事件的基本情况、可能的影响、已经采取的措施或将要采取的措施等。
五、 您对隐私信息的管理
(一)您有权访问、修改、删除您的隐私信息;但相关信息的删除或修改可能会影响您对相关产品或服务的使用或导致部分功能无法实现。您在使用本产品期间,可以通过以下方式访问并管理您的信息:
1.访问、查看个人信息
您访问、修改隐私信息的范围和方式将主要取决于您使用的具体产品和服务:
网页版:“用户中心”—“用户管理”;“策略配置”—“一键设置”—“一键回源”。
手机App:“用户中心”。
2.修改个人信息
为保证我们向您提供的产品及服务的质量,您需保证您提供给我们的个人信息的准确性。目前您可以在“用户中心”界面中更改您的登录密码等信息。如需变更其他个人信息的,您可根据本隐私政策第十条所附方式与我们进一步联系。
3.在下述特定情形下,如果您需要移除您的个人信息,您可以通过第十条所列方式与我们联系以实现您的需求:
(1) 根据本隐私政策第二条规定的个人信息存储期限,您的个人信息对实现产品功能已不再必要;
(2) 存在非法处理个人信息的情形;
(3) 根据相关法律法规的要求,个人信息需要被删除。
(二)您有权改变您授权同意的范围或撤回您的授权;您可以通过:1)删除信息、2)关闭设备功能、3)在具体产品的网站或软件“用户管理”、 “一键回源”中进行隐私设置改变您授权我们继续收集隐私信息的范围或撤回您的授权。您也可以通过注销账户的方式,撤回对我们继续收集您隐私信息的授权。请您理解,每个业务功能需要一些基本的隐私信息才能得以完成,当您撤回同意或授权后,我们无法继续为您提供撤回同意或授权所对应的服务。但您撤回同意或授权的决定,不会影响此前基于您的同意或授权而开展的隐私信息处理。
(三)注销账户:您可以通过具体产品或服务设置界面中所公布的注销方式或通过第十条所列联系方式申请注销相关产品账户,我们会根据您的账号安全状态以及产品线信息,判断是否满足注销条件。您注销账户后,我们将停止为您提供与账号相关的产品或服务功能,并将删除或匿名化处理您的隐私信息,除法律法规另有规定或您另有要求外。
(四)账户超期处理:账户超期后,您将无法再次登录奇安信网神WEB应用安全云防护系统网页版及手机APP,您将无法进行依赖于账号权限进行的其他操作;接入云防护中的网站均做回源处理,奇安信网神WEB应用安全云防护系统不再提供解析防护服务,需要您及时修改域名解析记录。
(五)我们将采取适当的技术手段,保证您对于自己的个人资料可进行查询、补充、更正或删除,或通过我们相关产品或服务发布的反馈或投诉渠道申请我们对相关信息进行补充、更正或删除;我们收到您的申请后将按流程(如我们可能会要求您提供相关证明,以确认您的身份)予以处理。请您理解,由于技术所限、法律或监管要求,我们可能无法满足您的所有要求,我们会在合理的期限内答复您的请求。
(六)如果您无法访问、更正或删除您的隐私信息,或您需要访问、更正或删除您在使用我们产品与/或服务时所产生的其他隐私信息,或您认为我们存在任何违反法律法规或与您关于隐私信息的收集或使用的约定,您可通过第十条所列方式与我们联系。
六、 权限政策
(一)App所需权限
1. iOS
FaceID:用于用户快捷登录App,可在用户中心随时关闭。
2. Android
Android_ID 设备标示:用于确定设备唯一性,保护账户安全。
读取外置存储器:用于应用升级时读取新的安装包。
写入外置存储器:用于应用升级时写入新的安装包。
读取电话状态:用于用户电话联系客服。
开机广播:用于确保推送服务正常运转。
(二)改变或撤回授权
您可以在设备本身操作系统中关闭授权同意我们使用的相关系统权限,以改变同意范围或撤回您的授权。关闭授权后我们将不再收集与这些权限相关的信息。以下是Android、iOS平台的关闭权限指南:
Android:打开“设置”->打开“应用”->找到“网神安域”,进入“权限”,您可关闭相应权限。
iOS:打开“设置”->找到“网神安域”,进入后您可关闭相应权限。
七、 App使用的第三方SDK和辅助开发的框架
为了保障用户体验,我们的App应用中植入以下SDK(英文全称:Software Development Kit,中文释义:软件开发工具包),我们提醒您注意并清楚地了解为您提供服务的服务商具体信息以及该服务商如何收集和使用您的个人信息:
1. SDK名称:友盟推送,anetwork,channel
所属机构名称:北京锐讯灵通科技有限公司
SDK用途、功能:推送功能,辅助开发
收集个人信息类型:设备信息(WIFI信息/MAC地址/Android ID/IMSI/SSID/BSSID/IMEI/ICCID)、手机名、手机制造商、设备版本、系统版本、设备应用安装列表、任务列表、行踪轨迹、网络设备制造商
官网链接,仅供参考:
隐私政策链接:https://www.umeng.com/page/policy
2. SDK名称:小米推送,米聊
所属机构名称:小米科技有限责任公司
SDK用途、功能:推送功能
收集的个人信息类型:
登录账号、Space ID、设备信息(IMEI号、设备型号、手机操作系统)、应用信息(APP版本号)、网络相关信息(IP或域名连接结果,当前网络类型)、系统语言信息、消息发送结果信息
官网链接,仅供参考:
https://dev.mi.com/console/appservice/push.html
3. SDK名称:华为推送,华为数据分析,华为应用升级
所属机构名称:华为技术有限公司
SDK用途、功能:推送功能
收集的个人信息类型:
设备信息、应用信息、日志信息、位置信息
官网链接,仅供参考:
https://developer.huawei.com/consumer/cn/hms/huawei-pushkit
4. SDK名称:OPPO推送,ColorOS
所属机构名称:OPPO广东移动通讯有限公司
SDK用途、功能:推送功能
收集的个人信息类型:
设备信息(IMEI号,SerialNumber,IMSI,UserID,Android ID,Google Advertising ID,手机Region设置,设备型号,手机电量,手机操作系统版本及语言)、应用信息(APP包名及版本号,运行状态)、推送SDK版本号、网络相关信息(IP或域名连接结果,当前网络类型)、消息发送结果、通知栏状态、锁屏状态
官网链接,仅供参考:
https://open.oppomobile.com/wiki/doc#id=10196
5. SDK名称:VIVO消息推送
所属机构名称:广东步步高电子工业有限责任公司
SDK用途、功能:推送功能
收集的个人信息类型:
系统和应用程序数据、设备信息
官网链接,仅供参考:
6. SDK名称:MobPush
所属机构名称:上海游昆信息技术有限公司
SDK用途、功能:推送功能
收集的个人信息类型:
系统运营信息、网络状态信息、iOS广告标识符(IDFA)、MAC地址、国际移动设备识别码(IMEI)、匿名设备标识符(OAID)、国际移动用户识别码(IMSI)、应用列表信息、基站信息、社交平台OpenID、地理位置
官网链接,仅供参考:
https:/www.mob.com/mobService/mobpush
7、SDK名称:阿里推送SDK,阿里百川,淘宝,阿里utdid2,阿里云推送,阿里聚安全
所属机构名称:阿里巴巴
SDK用途、功能:推送功能,辅助开发
收集的个人信息类型:
设备型号、操作系统版本、设备设置、 MAC 地址及 IMEI 、 IDFA 、 OAID 及其他设备标识符等软硬件特征信息, IP 地址、 GPS 位置以及能够提供相关信息的Wi-Fi接入点、蓝牙和基站等传感器信息
隐私政策链接,仅供参考:
8、SDK名称:Chromium,Gson
所属机构名称:谷歌公司
SDK用途、功能:辅助工具
收集的个人信息类型:
MAC地址、SSID、WIFI信息
官网链接,仅供参考:
9、框架名称: Glide图片加载
所属机构名称:Bump Technologies
功能:辅助开发
链接地址:
https://github.com/bumptech/glide
许可协议:
https://github.com/bumptech/glide/blob/master/LICENSE
10、框架名称 MPChartLib
功能:辅助开发
链接地址:
https://github.com/PhilJay/MPAndroidChart
许可协议:
https://github.com/PhilJay/MPAndroidChart#licence
11、框架名称: LoggingInterceptor
功能:辅助开发
链接地址:
https://github.com/ihsanbal/LoggingInterceptor
许可协议:
https://github.com/ihsanbal/LoggingInterceptor/blob/master/LICENSE
12、框架名称:bouncycastle
功能:辅助开发
链接地址:
https://mvnrepository.com/search?q=bouncycastle
13、框架名称:Apache
功能:辅助开发
链接地址:
https://httpd.apache.org
许可协议:
https://httpd.apache.org/licenses/
14、框架名称:OKHTTP
功能:辅助开发
链接地址:
https://square.github.io/okhttp/
许可协议:
https://square.github.io/okhttp/#license
八、 隐私政策的适用范围
本隐私政策仅适用于本产品。本隐私政策不适用于以下情况:
1. 将本产品嵌入到第三方产品(或服务),第三方产品(或服务)收集的信息。
2. 在本产品中接入的第三方服务、广告或其他公司、组织或个人所收集的信息。
九、 隐私政策的变更和修订
我们的隐私政策可能变更。未经您明确同意,我们不会限制您按照本隐私政策所应享有的权利。
对于本隐私政策的重大变更,我们还会提供显著的通知(例如,在软件改版或升级、或您重新登录时,以弹窗形式对您进行及时通知)。
本隐私政策所指的重大变更包括但不限于:
1. 我们的产品或服务模式发生重大变化。如处理用户信息的目的、处理的用户信息类型、用户信息的使用方式等;
2. 我们在控制权等方面发生重大变化。如并购重组等引起的所有者变更等;
3. 用户信息共享、转让或公开披露的主要对象发生变化;
4. 您参与用户信息处理方面的权利及其行使方式发生重大变化;
5. 我们负责处理用户信息安全的责任部门、联络方式及投诉渠道发生变化时;
6. 用户信息安全影响评估报告表明存在高风险时。
十、 如何联系我们
如果您对我们的隐私政策及对用户信息的处理有任何疑问、意见、建议或投诉,请通过以下方式与我们联系:
用户热线:95015 转2转4
联系邮箱:kefu@qianxin.com
我们将安排专员及时为您提供咨询或协调解决您投诉、反馈的问题。
收到反馈后,我们将在15个工作日内回复。如果情况复杂、需要延期解决的,我们也会在15个工作日内向您说明。
十一、 隐私政策的生效
本隐私政策版本更新及生效日期为2021年8月。