天珑产品满足GDPR的要求

关于GDPR

2018年5月25日欧盟《通用数据保护条例》（GDPR）全面实行，GDPR是欧盟针对隐私保护实施的一项新立法，这部最早提出用户拥有“被遗忘权”的法律明确规定：数据主体有要求数据控制者删除与其相关的个人数据及避免其数据被传播的权利，最大限度的保护个人隐私，严格限定企业、政府对个人信息数据的使用条件。这部立法是数十年来最重要的数据隐私变化保护，也是有史以来规模最大、最具惩罚性的隐私保护法，任何违反GDPR的行为,会产生1000万到2000万欧元的罚款，或企业全球年营业额的2%到4%，以数额最大的为准。

GDPR的适用范围

GDPR与全球性运营公司相关，不仅仅适用于欧盟范围内的公司，对公司成立地点在欧盟范围内，或者公司成立地点不在欧盟范围内，但是数据处理活动与欧盟个人相关、与向其提供商品和服务相关或者与对其行为监控相关的同样具备约束力。

GDPR的核心概念

GDPR对公司处理欧盟个人的个人数据进行管控, 个人数据的处理是触发 GDPR 项下义务的一项主要活动,而个人数据是一个非常宽泛的概念，是指与身份已识别或身份可识别的个人相关的任何信息。

数据主体的权利和数据主体的同意：数据主体享有包括访问请求、拒绝、修正或者删除权、限制、数据便携等更广泛的权利；对个人数据的处理普遍须取得数据主体的明确同意，该同意必须是自由做出的、特定的、明确的和知情的；

对于GDPR，TINNO处理就绪，其产品及业务服务皆能满足GDPR的要求

公司严格遵守GDPR法规规定并建立了专门团队负责实施，将用户数据安全及隐私放在首要位置，海外子公司wiko于2017年已聘用专业的技术顾问，持续帮助检查从研发、设计、生产、销售的整个产品链条上的活动是否完善，并针对欧盟的标准每年进行GDPR专项审计。

具体的处理措施如下：

产品系统端

将隐私保护落入产品研发管理体系，从产品系统源码部分即满足数据安全及隐私保护的相关要求，出货软件中关闭或移除所有相关功能和数据；

应用端

web应用防火墙；所有的web请求都必须在SSL下执行且必须通过应用程序会话或秘密令牌授权；应用程序必须声明尽可能少的权限，发布模式下移除所有测试、调试及源代码信息、数据及文件等；不在SD卡上存储应用程序/用户数据，加密的SQlite数据库等；

服务器端

与TLS的设备进行安全通信，实时更新系统、删除过时数据，禁止不需要的服务（如在启动时查看正在运营的服务），建立防火墙，实时检查服务器数据并加密等；

另外，从“数据收集内容的公示”以及“用户权力行使”方面，TINNO也在不断尝新和实施。