数据合规声明 / 返回首页
数据合规声明 / 返回首页
本声明适用业务范围:dmp.dk.cn(DMP 大数据管理平台)
法律依据:《数据安全法》《个人信息保护法》《网络安全法》《广告法》《互联网信息服务管理办法》
北京点客科技有限公司(以下简称"本公司")深知数据合规是公司生存与发展的根本底线。dmp.dk.cn 作为本公司旗下面向广告主、媒体主与第三方合作伙伴提供的数据管理平台(DMP)服务,涉及大规模用户行为数据处理、用户画像构建、跨平台数据匹配等业务,属于《个人信息保护法》《数据安全法》重点监管领域。
为充分保障数据主体合法权益、明确各方责任,特制定本《数据合规声明》。本声明与《隐私政策》共同构成本公司 DMP 业务的合规基石。
(一)本公司提供的能力边界
本公司 DMP 平台仅提供以下技术能力(技术中立):
1. 数据接入:支持客户接入其合法拥有的第一方数据、第三方数据。
2. 数据处理:对客户接入的数据进行清洗、标准化、ID 映射等处理。
3. 人群圈选:基于客户数据进行人群标签筛选、分群、建模。
4. 人群投放:将人群包推送至广告投放系统、媒体平台。
5. 效果分析:提供人群投放的曝光、点击、转化等效果数据。
6. 数据看板:提供数据可视化分析。
(二)本公司不提供的能力(红线)
本公司 DMP 平台绝不提供以下能力:
1. 不从事大规模个人信息的非法采集。
2. 不从事个人信息的非法买卖。
3. 不从事未取得同意的个人信息处理。
4. 不从事未取得同意的跨平台、跨主体数据匹配。
5. 不从事未取得同意的敏感个人信息处理。
6. 不从事欺诈、刷量、刷单、网赚、传销等违法活动相关的数据服务。
7. 不从事国家秘密、关键信息基础设施数据的跨境流转。
8. 不提供任何形式绕开客户风控或规避监管的数据能力。
(一)客户数据来源合规要求
接入 DMP 平台的所有数据,客户必须保证其来源合法、授权完整、可追溯。具体要求如下:
| 数据类型 | 合法性要求 | 必备证据 |
|---|---|---|
| 第一方数据(客户自有) | 客户已依法取得数据主体授权 | 用户协议、隐私政策、用户勾选授权记录 |
| 第三方数据(外部采购) | 第三方具备合法授权链路 | 第三方授权链路证明、采购合同、第三方主体资质 |
| 公开数据 | 符合公开数据使用范围 | 数据来源网站截图、爬取合规说明 |
| 设备数据 | 已告知用户并取得同意 | 用户协议、隐私政策明示条款 |
| 行为数据 | 已告知用户并取得同意 | 业务页面告知 + 同意勾选 |
| 位置数据 | 单独取得用户明示同意 | 单独弹窗授权 + 撤回机制 |
| 生物识别数据 | 单独取得用户明示同意 | 单独弹窗授权 + 撤回机制 |
| 金融账户数据 | 严格授权 + 第三方支付牌照 | 业务许可 + 单独授权 |
| 未成年人数据 | 取得监护人明示同意 | 监护人身份证明 + 同意记录 |
(二)禁止接入的数据
以下数据严禁接入本公司 DMP 平台:
1. 未取得合法授权的设备数据、行为数据、人脸数据、人声数据。
2. 未取得监护人同意的 14 岁以下未成年人数据。
3. 从黑市、地下产业链购买的非法数据。
4. 从竞争对手处窃取的商业秘密数据。
5. 国家秘密、军事数据、关键信息基础设施数据。
6. 未经脱敏处理的个人金融账户、个人征信等敏感数据。
7. 用于违法犯罪活动的任何数据。
(三)客户举证责任
客户接入数据时,必须向本公司书面提供以下材料:
1. 《数据来源合法性承诺书》(本公司模板,详见附录)。
2. 数据采集的用户协议、隐私政策截图。
3. 用户勾选授权的典型页面截图。
4. 第三方数据的授权链路文件。
5. 数据规模、数据种类、数据保留期限的备案说明。
如客户无法提供上述材料,本公司有权拒绝接入。
(一)处理目的限定
1. 数据处理活动必须有明确、合理、具体的目的。
2. 处理目的变更前必须重新取得用户同意。
3. 禁止超范围处理、捆绑处理、强制同意。
(二)数据最小化
1. 只处理与处理目的相关的最小范围信息。
2. 禁止过度收集。
3. 业务结束后及时删除或匿名化。
(三)数据脱敏
1. 所有对外展示、共享、传输、合作的客户数据必须经过去标识化或匿名化处理。
2. 严禁明文传输敏感个人信息。
3. 严禁明文存储敏感个人信息。
(四)自动化决策
1. 涉及用户权益的重大自动化决策(如个性化定价、信用评估、自动化筛选)必须保障用户的异议权和拒绝权。
2. 自动化决策应当保持透明,并提供人工复核渠道。
(五)数据质量
1. 保证数据的准确性、完整性、时效性。
2. 错误数据应及时更正或删除。
(一)数据共享
1. 客户之间严禁直接共享原始数据,必须经匿名化或去标识化后进行。
2. 客户与本公司关联方之间共享数据,必须签署数据共享协议。
3. 与外部第三方共享数据,必须单独取得用户同意。
(二)数据转让
1. 涉及合并、收购、资产转让等情形导致数据转让的,必须提前告知数据主体并取得同意。
2. 涉及重要数据、个人信息的转让,必须向监管部门报告。
(三)公开披露
1. 严禁公开披露数据主体的个人信息和敏感数据。
2. 法律规定的除外情形除外。
(一)境内存储
1. 原则:本公司 DMP 平台处理的数据全部存储于中华人民共和国境内。
2. 服务器位置:本公司 DMP 平台服务器位于北京、上海、广州(具体机房信息详见客户接入协议)。
(二)跨境传输
1. 禁止未经国家网信部门安全评估的数据跨境传输。
2. 如客户因业务需要必须跨境传输数据,必须提前向本公司申报并自行办理:
- 国家网信部门数据出境安全评估;
- 个人信息保护认证;
- 个人信息出境标准合同备案。
3. 涉及重要数据的跨境传输,必须向国家网信部门申报。
(三)存储期限
1. 客户数据最长保存期限为业务存续期 + 3 年。
2. 超过保存期限的数据自动删除或匿名化。
3. 法律另有规定的,从其规定。
(一)用户权利清单
最终用户(数据主体)对本公司处理的数据享有以下权利:
| 权利 | 实现方式 |
|---|---|
| 知情权 | 隐私政策明示 + 业务页面告知 |
| 决定权 | 单独同意 / 撤回机制 |
| 查询权 | 通过本公司客服或客户渠道查询 |
| 更正权 | 通过本公司客服或客户渠道更正 |
| 删除权 | 通过本公司客服或客户渠道删除 |
| 解释权 | 算法说明、可解释性报告 |
| 投诉权 | 客服邮箱 + 监管投诉渠道 |
(二)响应用户请求
1. 本公司客服收到用户请求后,应在 15 个工作日 内转交至相关客户。
2. 相关客户应在 15 个工作日 内回复用户。
3. 涉及敏感个人信息的请求,应在 10 个工作日 内处理完毕。
1. DMP 业务严禁针对14 周岁以下未成年人开展个性化广告、数据画像、行为分析。
2. DMP 业务应当为14-18 周岁未成年人提供专门保护措施:
- 默认关闭个性化推荐;
- 限制敏感数据采集;
- 提供家长控制功能。
3. 严禁将未成年人数据用于商业营销、个性化推荐、行为画像等场景。
(一)技术措施
1. 传输加密:所有数据传输采用 HTTPS / TLS 1.3 或以上协议。
2. 存储加密:敏感数据采用 AES-256 或更高级别加密。
3. 访问控制:基于角色的访问控制(RBAC),最小权限原则。
4. 日志审计:所有数据访问行为全量记录。
5. 入侵检测:部署 IDS / IPS / WAF 防护。
(二)管理措施
1. 数据分类分级:建立数据分类分级制度,按敏感程度分级保护。
2. PIA 评估:开展个人信息保护影响评估(PIA)。
3. 应急响应:建立数据安全事件应急响应预案,定期演练。
4. 人员管理:员工签署保密协议,定期开展安全培训。
5. 供应商管理:所有数据处理合作方签署数据处理协议。
(三)认证与备案
本公司已获得或正在申请:
- 信息系统安全等级保护三级认证
- ISO 27001 信息安全管理体系认证
- ISO 27701 隐私信息管理体系认证
(一)客户违规处置
客户出现以下情形之一的,本公司有权立即采取以下措施:
| 违规情形 | 处置措施 |
|---|---|
| 数据来源不合法 | 立即断开接入、冻结账户、要求整改 |
| 接入禁止数据 | 立即断开接入、终止合作、永久封禁、依法报案 |
| 违反数据处理规范 | 暂停服务、要求整改、扣除保证金 |
| 引发数据安全事件 | 立即关停、保留证据、依法报案 |
| 监管部门处罚 | 立即关停、配合调查、终止合作 |
| 涉及刑事犯罪 | 永久封禁、依法报案、保留追诉权 |
(二)本公司违规处置
如本公司及员工违反本声明,将按以下方式处理:
1. 内部追责:员工违规者按公司规定严肃处理;情节严重者解除劳动合同。
2. 客户赔偿:因本公司原因导致客户损失的,依法承担赔偿责任。
3. 监管报告:主动向监管部门报告违规情况。
(一)客户《数据来源合法性承诺书》(必签)
《数据来源合法性承诺书》(附件 1)由客户法定代表人或负责人签署,主要承诺:
1. 我方接入 DMP 平台的所有数据均已依法取得数据主体的同意或符合其他合法基础。
2. 我方不接入未取得合法授权的设备数据、行为数据、人脸数据等敏感个人信息。
3. 我方不接入未取得监护人同意的未成年人数据。
4. 我方不接入从黑市、地下产业链、竞争对手获取的非法数据。
5. 我方接入的数据仅用于本协议约定的业务目的,不超范围使用。
6. 我方愿意承担因数据来源不合法、数据处理违规、数据安全事件造成的全部法律责任。
7. 我方配合本公司、监管部门、公安机关开展数据合规调查。
8. 我方知悉违反本承诺的法律后果。
(二)客户日常合规义务
1. 年度合规自查:每年至少开展一次数据合规自查,并向本公司提交自查报告。
2. PIA 评估:新业务上线前、重大变更前、开展个人信息保护影响评估。
3. 应急演练:每年至少开展一次数据安全事件应急演练。
4. 培训教育:每年至少开展一次数据合规培训。
5. 记录留档:合规材料至少保存 3 年。
(一)监督渠道
欢迎社会各界监督本公司 DMP 业务合规情况:
- 监督邮箱:legal@dk.cn
- 举报电话:010-84921966
- 监管举报:可通过国家网信办、公安部、市场监管总局等渠道举报。
(二)奖励
对提供真实有效举报信息的举报人,本公司将按内部规定给予必要奖励,并对举报人严格保密。
1. 客户因数据来源不合法、数据处理违规、数据安全事件造成的对本公司、第三方、数据主体的任何损失,由客户承担全部法律责任及经济赔偿。
2. 涉及行政责任:本公司将配合监管部门对违规方进行行政处罚。
3. 涉及刑事责任:本公司将依法向公安机关报案。
1. 本声明与《隐私政策》《用户协议》《广告审核制度》《合法使用承诺书》共同构成客户接入本公司 DMP 平台的完整合规文件。
2. 本声明的最终解释权归本公司所有。
3. 本声明如有重大更新,将至少提前 30 个自然日 在 dk.cn 公告。
附录清单
- 附件 1:《数据来源合法性承诺书》
- 附件 2:《个人信息保护影响评估(PIA)模板》
- 附件 3:《数据安全事件应急响应预案》
北京点客科技有限公司
- 客服邮箱:hezuo@dk.cn
- 联系电话:010-84921966
- 通讯地址:北京市朝阳区北苑路北北辰新纪元 2-11 楼 1104
- 个人信息保护负责人:legal@dk.cn