避免将 PII 发送到 Branch 的最佳做法

概述

为了保护用户隐私,您不得向 Branch 发送任何可能会被 Branch 用作或识别为个人身份信息(PII)的数据。个人身份信息包括但不限于全名,用户名,电子邮件地址和帐号之类的信息。

当您为数字财产配置 Branch 时,请遵循本文档中的最佳实践,以减少将个人身份信息传递给 Branch 的可能性。由于每个国家和地区的法律各不相同,且 Branch 服务的使用方式多种多样,因此,如果您不确定某些信息是否为个人身份信息,请向法律顾问咨询。

本文档将帮助您了解:

  • Branch 如何处理不同类型的数据—这取决于它们是归类为个人数据,个人身份信息,擬匿名数据或者匿名数据。
  • 与 Branch 或其他第三方分享之前保护个人数据的重要性。
  • 处理 Branch 服务所覆盖的各种数据参数。

个人身份信息,个人数据,擬匿名和匿名数据

从隐私角度来看,数据通常分为四类:个人身份数据,个人数据,擬匿名数据或匿名数据。通常,个人身份信息包括可识别个人的更敏感的数据形式。除以下标识的特定数据字段外,个人数据,个人身份信息和其他敏感数据不得与 Branch 分享,或者在完全与 Branch 分享之前应对其进行擬匿名化或匿名化。下面我们来讨论一下这些不同类别的数据,以及一些用于擬匿名化、匿名化的最佳实践。

什么是个人身份信息?

在 Branch,我们根据相关司法管辖区的法律将数据视为个人数据或个人身份数据。通常,Branch 将个人身份信息 (PII)解释为可单独用于直接识别、联系或精确定位个人的信息。
这包括:

  • 电子邮件地址
  • 邮寄地址
  • 电话号码
  • 精确的位置(例如,四位或更多小数位的 GPS 坐标)
  • 全名或用户名

除为了便于 “Text-Me-the-App” 功能而设的电话号码外,Branch 不会收集个人身份信息以提供服务,并强烈建议客户确保其不会在无意的情况下将个人身份信息发送给 Branch。

什么是个人数据?

个人 Data是2018年根据欧洲通用数据保护条例引入的相对广泛的 Data 类别,是任何与已识别或可识别个人有关的信息,例如 IP 地址,cookie ID 和广告标识符(如 IDFA 和 GAID)。Branch 向客户收集个人 Data,以提供服务。

什么是擬匿名数据?

擬匿名数据是指通过使用擬匿名替换数据记录中的个人数据或个人身份信息字段的技术来消除标识的数据。这样,如果不使用其他信息,数据记录便不能再归因于最终用户。擬匿名化是通过使用技术和组织措施来确保分别维护标识参考信息,以防止对最终用户的重新标识来实现的。

什么是匿名数据?

匿名数据未链接到最终用户的设备,且不以任何方式专门标识最终用户或提供将来识别该最终用户的可能性。例如,您在 Branch 操作后台 (Dashboard) 看到的在给定时间内安装数量的聚合数据就是匿名数据。

什么是哈希?

哈希(也称为混淆)是一种擬匿名化技术,可将文本string(例如,个人数据或个人身份信息字段)转化为任意数值。哈希是用于对个人数据和个人身份信息进行擬匿名化的有用工具,其原因如下:

  • 哈希值是唯一的,因为另一个文本 string 极不可能产生相同的哈希值。
  • 哈希具有确定性,因为相同的文本 string 每次都会产生相同的哈希值。
  • 哈希值是“单向的”,因为在实际操作中不能取杂凑值并用倒算法来揭示原始文本 string。

Branch 使用自动哈希技术来简化我们处理的个人数据。此外,就您在应用中的数据记录中利用个人身份信息的程度而言,您应确保在与第三方服务提供商(例如 Branch)分享该数据之前对任何此类个人身份信息进行哈希处理,以实现数据简化。

标准哈希算法

您可以使用几种标准的哈希算法来加密个人数据和个人身份信息,并将其安全地传递给 Branch 和其他第三方,例如:

  • MD5 –产生一个128位(16字节)的哈希值,通常表示为32位十六进制数。
  • SHA-1 –产生一个160位(20字节)的哈希值,通常表示为40位十六进制数。
  • SHA-256 –产生256位(32字节)的哈希值,通常表示为64位十六进制数。

哈希示例

举例来说,假设您的最终用户向您提供了他们的电子邮件地址— [电子邮件 受保护] —您将其视为个人身份信息,并因此在将该数据发送给 Branch 等第三方服务提供商之前,先对其进行哈希处理。

客户电子邮件地址

[电子邮件 受保护]

MD5 哈希价值

6a6c19fea4a3676970167ce51f39e6ee

SHA-1 哈希值

fd9c796f4269b3484f9ef436627d0d1cb35071c5

SHA-256 哈希值

d709f370e52b57b4eb75f04e2b3422c4d41a05148cad8f81776d94a048fb70af

在对数据进行哈希处理时,请铭记大写和标点符号的重要性。 [电子邮件 受保护] 会产生与 [电子邮件 受保护] 不同的哈希值。同样的情况也适用于电话号码中的括号、空格或破折号。

Branch 数据

As part of Branch’s guiding Privacy Principles, we practice data minimization, which means that we avoid collecting or storing information that we don’t need to provide our services. The personal data that we collect is limited to data like advertising identifiers, IP address, and information derived from resettable cookies. In addition, we take a variety of measures to make sure personal data like this isn’t stored in raw form in our systems for longer than we need it to provide our services.

Branch 自动哈希数据

Branch has implemented automated hashing mechanisms for data parameters that are expected to or could reasonably include personal data. The following data parameters are automatically salted and sha256 hashed per Our Data Retention Policy and stored only in this hashed form thereafter:

  • user_data_aaid —与用户相关的 Google 广告 ID。
  • user_data_android_id —与用户相关的 Android ID。
  • user_data_browser_fingerprint_id —与用户相关的 Web 浏览器指纹 ID。
  • user_data_randomized_device_token - The device fingerprint ID associated with the user.
  • user_data_developer_identity —与用户相关的开发者指定的身份。
  • user_data_geo_lat —从 IP 地址派生的纬度(上述),自动设置为服务器端。
  • user_data_geo_lon —从 IP 地址派生的经度(上述),自动设置为服务器端。
  • user_data_idfa —事件发生设备的 iOS 广告 ID。由客户指定。
  • user_data_idfv —事件发生设备的 iOS 供应商 ID。适用于 Facebook 等供应商:idfv 也同样适用于 Facebook 和 Messenger,但对于 Twitter 不同。由客户指定。
  • user_data_ip —API 调用追踪事件源的 IP 地址;自动设置服务器端。
  • user_data_local_ip —设备的本地 IP;仅适用于 Android。
  • user_data_persona_id —与用户相关的 Branch Persona (同人用户) 分配的 ID。
  • last_attributed_touch_data_custom_fields
    • $ aaid —与用户相关的 Google 广告 ID。
    • $idfa—事件发生设备的 iOS 广告 ID;由客户指定。
    • +phone_number—与用户相关的电话号码;通过 “Text-Me-the-App” 功能收集。
    • +url—%24idfa 和 %24aaid 字段作为查询参数附加到' + url ' 。这样,它们将被剥离并哈希,并附加回' + url '字段。

以下字段也被经过哈希处理,但是在60天之后而不是7天。在 JSON 字段中,列出的密钥值是经过哈希处理的,而不是顶级 JSON 对象中的所有数据。

  • last_attributed_touch_data_plus_referring_domain
  • last_cta_view_data_plus_referring_domain
  • user_data_http_referrer
  • install_activity_touch_data_plus_referring_domain
  • install_activity_touch_data_additional_data_plus_referring_domain
  • reengagement_activity_touch_data_plus_referring_domain
  • reengagement_activity_touch_data_additional_data_plus_referring_domain
  • last_attributed_touch_data_custom_fields, install_activity_touch_data_additional_data_custom_fields, & reengagement_activity_touch_data_additional_data_custom_fields
    • +referrer
    • +url
    • $original_url
    • $fallback_url
    • $fallback_url_xx
    • $canonical_url
    • $ desktop_url
    • $ios_url
    • $ipad_url
    • $android_url
    • $samsung_url
    • $huawei_url
    • $windows_phone_url
    • $blackberry_url
    • $fire_url
    • $ios_wechat_url
    • $android_wechat_url
    • $android_deeplink_path
    • $ios_deeplink_path
    • $deeplink_path
    • $og_image_url
    • $og_video
    • $og_url
    • $twitter_image_url
    • $og_image
    • +apple_search_ads_attribution_response
    • email
    • email_address
    • referral_email
    • emailId
    • userEmail
    • $email
    • referrerEmail
    • pw
    • password

个人身份数据最佳实践

为了保护用户隐私,Branch 的政策强烈建议您不要向我们传递任何我们可以识别为个人身份信息的数据。

Branch only collects (and soon thereafter hashes) the Personal Data listed above.

Branch 会收集以下任何个人身份信息:

  • 电子邮件地址
  • 帐号
  • 邮寄地址
  • 全名或用户名
  • 受 HIPAA 保护的健康信息

This is by no means an exhaustive list - if the specific data parameter is not the list in our Privacy Policy and you believe it to be PII or otherwise sensitive data, chances are you shouldn’t be sending it to Branch without at least anonymizing or pseudonymizing it first.

请遵循下文概述的最佳实践,以减少将此类个人身份信息发送到 Branch 的风险。

不要将原始个人身份信息发送给 Branch

  • 除电话号码( 用于 “ Text-Me-the-App” 功能)以外,请勿通过为收集信息而配置的任何数据参数将原始个人身份信息发送给 Branch。请注意,Branch 会在客户使用我们的 “Text-Me-the-App” 功能的情况下收集电话号码,但在这种情况下,我们收集和处理最终用户的电话号码仅是为了启用短信,并且我们会在7天内将它删除 (而非进行哈希处理)。

发送到 Branch 之前先对个人身份信息进行哈希处理

  • 如果您确实需要通过 Branch 发送个人身份信息,则必须先对它进行哈希处理,然后再将数据发送到 Branch,且最好是使用 sha256 哈希函数。
  • Branch does not need to collect the PII fields mentioned above for our services to work, and Branch does not support dedicated parameters for you to pass their hashed versions. If you need to send these hashed fields through Branch, you can do so by passing them into a custom data object via API or SDK. You should work with your account team to make sure this is done correctly before sending this data to Branch.
"custom_data": {
    "user_phone_sha256": "15e2b0d3c33891ebb0f1ef609ec419420c20e320ce94c65fbc8c3312448eb225",
    "user_email_sha256": "d709f370e52b57b4eb75f04e2b3422c4d41a05148cad8f81776d94a048fb70af"
  },

Developer Identity(开发者身份)

  • Developer Identity: Branch customers can optionally set a custom parameter called Developer Identity by calling the .setIdentity method on our SDKs (Android, iOS, Web). Generally this is done when a user logs in, and should represent some sort of non-PII user ID.
  • 如果您计划使用自己的用户身份标识将脱机数据与 Branch 的数据连接起来,那么在选择作为 Developer Identity 的值时,有些事情需要牢记在心。
  • 不得 使用包含个人身份信息(PII)的 Developer Identity 身份标识。这排除了电子邮件地址,用户登录名,社会保险号,电话号码或任何被视为" 个人身份信息 "的数据。
  • 可以 使用为访问者创建的非混淆字母数字数据库标识符。另一个可行的选择是,只要您使用适当的强哈希或加密,便可以将基于个人身份信息但不属于受保护健康信息(根据 HIPAA 定义)的哈希或加密标识符传递给 Branch。Branch 建议使用强哈希算法和加盐处理。
  • 如果要将 Branch 数据重新连接到您自己的的未哈希内部标识符,我们建议您创建自己的内部参考表,该表将原始个人身份信息或个人数据与其哈希对应项进行匹配。这样做将使您能够将导出的历史 Branch 数据与您自己的内部数据库进行排队,而不会保留敏感的,未经哈希处理的数据,从而使您自己的系统相对安全。

URL 中的个人身份信息

  • URLs: Email is often used for verification as part of site registration and sign up processes, or in the context of password resets or newsletter signups. These verification emails can sometimes inadvertently include PII in the confirmation/registration link. For instance, site.com/confirm?email=sample%40email.com&token=413203
  • 如果确认页面的 URL 包含个人身份信息, 并且该页面托管 Branch 的 Web SDK,则个人身份信息可能会不慎作为 URL string 的一部分出现在 Branch 的系统中。
  • 标识符检查个人身份信息链接: 注册一个帐户。检查验证/确认电子邮件中的 URL 是否包含电子邮件地址或其他个人身份信息。最佳实践是在任何情况下都不在 URL 中包含原始个人身份信息,而是对其进行哈希处理或加密,或者使用更安全的擬匿名标识符。

Branch Link 数据中的个人身份信息(包括查询参数)

  • 如上所述,在 Branch Link 数据中包含原始个人身份信息是违反 Branch 的政策的。这包括将个人身份信息作为查询参数添加到其他“干净”的 Branch Link 中,其原因是 Branch 会存储完整的 URL
  • For example, imagine a Branch link with a raw email appended as a query param, like this: https://www.test.app.link/abc123?email=sample%40email.com&token=413203. Branch will store the full URL, including the unwanted PII, in our systems when a user clicks on this link.
  • 最佳实践是,添加前通过进行哈希处理或擬匿名化来确保未在 Branch Link 数据中包含原始个人身份信息(即使是在链接创建后添加的查询参数)。

Text-Me-the-App

  • Branch does collect phone number only if a customer uses our deprecated Text-Me-the-App (TMTA) feature—but in that case, we will collect and process end user phone numbers solely to enable the text message, and will delete it within 7 days afterwards.

HIPAA 免责声明

  • 除非另有书面规定,Branch 意在避免因使用 Branch 服务而产生需要履行《健康保险隐私及责任法案》(修订版,简称“ HIPAA”)规定义务的场合,并且对于 Branch 的服务是否满足 HIPAA 要求亦不作任何声明。如果您是(或即将成为)HIPAA 的适用实体或业务伙伴,除非事先得到 Branch 的书面同意,否则不得以任何目的或任何方式对受保护健康信息使用 Branch 的服务。

这个页面对您有帮助吗?