一、前 言
作为新一代品质生活购物社区,得物App以正品电商和品质生活社区作为两大核心服务。成立十年来,它始终致力于帮助用户得到美好生活,已成为年轻用户重要的潮流阵地与品质生活购物平台。
得物在坚持严格的选品标准、专业的查验鉴别、统一的履约交付等服务的同时,尊重和保护个人信息,并不断完善个人信息保护建设,《得物个人信息保护社会责任报告》将公开展示得物在个人信息保护建设所做的持续努力,为用户提供更安全放心的服务和购物体验。
二、得物个人信息保护框架
2.1个人信息保护管理
个人信息保护制度
得物在进行个人信息保护管理时,通过对法律法规和监管政策的研究解读,结合公司实际需要,制定符合业务的制度规范以及建立对应的合规监管机制。
个人信息保护组织建设
得物设立信息安全委员会、数据安全委员会,并确立个人信息保护负责人,保障公司的信息安全、数据安全,个人信息保护战略与规划在组织层面有效落地。通过设置个人信息保护管理的三道防线,明确各方职责分工,统筹推进个人信息保护工作的实际运行。
知识管理和培训宣贯
得物重视个人信息保护知识体系的搭建以及合规知识培训。密切关注监管动向、合规趋势等信息,定期开展个人信息保护相关的意识提升,持续性开展个人信息保护文化宣贯。多渠道提高全体员工的个人信息保护意识,营造个人信息保护文化氛围。
审计监督
为满足监督和审计要求,开展业务部门自查,审计团队有效识别用户个人信息管理风险,提出整改建议并推进整改方案落地,满足监管层面合规,同时提升内部管理水平,降低合规风险。积极与监管机构、行业协会和科研机构合作,通过协同联动的方式,共同努力构建坚固的信息安全保护屏障。从而构建“企业自查+第三方审计+行政监管”的三层治理体系。
技术工具
得物结合业务实际情况,合理协调隐私运营、基础安全、安全运营与技术工具的关系,保障个人信息保护安全运转。运用人工智能大模型结合实际经验,开发自动化测试工具。通过智能算法快速生成个人信息保护的测试用例,提高测试的效率和准确性。实施全链路监测,实时追踪敏感API的调用和数据传输并提供预警及时识别合规风险。针对异常行为迅速做出响应,形成有效的风险管理闭环。
用户权益保护
得物尊重和保护用户隐私,用户在使用期间享有个人信息权益,包括查阅、复制、撤回处理同意和注销帐号等。并设设置投诉举报和请求解释的渠道,保证用户意见得到及时响应,并由专门的合规团队负责处理,并制定个性化方案(如未成年人模式和学生认证)以满足不同用户需求。采取符合业界标准的安全措施(如加密技术、去标识化和严格的身份认证)保护用户信息,防止泄露和不当使用。
风险管控与响应
建立了个人信息保护风险管理体系,持续开展隐私风险的识别、分析、评价、处置和监控,各业务域各司其职开展日常的风险预防工作。制定并完善应急预案,明确应急处置要求和监管沟通机制,对已发生的风险事件进行复盘和总结,采取改进措施以防止类似事件再次发生。
Privacy by Design(PbD)
得物将隐私保护贯穿至产品的整个生命周期,实践PbD要求,确立开发过程中角色-产出的责任体系,建立数据保护7大原则。针对个人信息处理活动设置了PIA(个人信息安全影响评估)流程,检验其合法合规程度,并评估用于保护个人信息主体的各项措施有效性。内部配套供PIA评估人员和相关业务人员使用的系统平台,通过系统能力与AI的高效开展,提升风险覆盖与管控能力,并确保检测效果。
2.2全生命周期个人信息保护
得物高度重视用户的个人信息安全,为营造安全的购物环境,各业务域采用适当的技术和组织措施保护个人信息。建立全生命周期保护,从个人信息的事前、事中、事后,全方位落实保护措施,保障全流程管控能力。
2.3合作方安全管理
得物在与合作方建立数据处理关系时,通过数据安全管理制度,对合作方进行充分评估,优先选择对个人信息保护表现良好的签订合作协议,明确其数据安全保障的责任和义务。合作过程中,持续监督合规情况,建立数据传输监控,确保个人信息在各环节得到保护。对不合规情况及时处理,必要时采取终止合作等合规措施。合作结束时,监督合作方按照协议清除非必要的保留个人信息。
2.4SDK安全合规
得物始终在合法、正当、必要的原则下接入第三方SDK,并关注监测其风险,确保所有接入严格合规。通过《隐私权政策》告知用户相关的个人信息处理规则,采取全方位措施保障用户隐私安全。得物要求第三方SDK明确告知其收集个人信息的目的、方式和范围,承诺最小化信息收集使用,并公开信息类型、目的、频次、时机、场景和触发条件。在确保合规性原则的同时,也需满足必要性原则。
2.5未成年人个人信息保护
得物致力于履行社会责任,关注未成年人的健康成长和个人信息保护,坚持落实《未成年人保护法》和《未成年人网络保护条例》,积极落实中央、上海两级网信办的清朗专项,为未成年人提供安全、健康的网络环境。得物高度重视未成年人个人信息保护,制定专门的《得物未成年人个人信息保护规则》,采取严格的数据使用和访问制度,确保只有授权人员可访问,并定期进行安全审计。同时,得物采取加密及其他技术手段,确保未成年人个人信息的安全,努力为未成年人的健康成长和信息安全保驾护航。
2.6产业发展
为落实用户隐私在快递信息中的个人信息保护安全措施,得物对快递面单中的个人信息进行脱敏处理,明确快递供应商的责任与义务;为避免第三方渠道用户信息泄露,推动得物隐私小号服务落地,扩充隐私小号服务商、增加对快递柜的支持、对快递员通过虚拟号短信触达用户的支持,在保障消费者个人信息权益的同时,带来放心、安心的服务。
三、优秀实践
3.1安全认证
得物致力于建设安全可靠的网络环境,在保障客户端安全、隐私安全等多个安全领域上持续获得权威机构肯定,专业性和成熟度处于业内较高水准。连续多年获得ISO/IEC 27001:2022信息安全管理体系、ISO/IEC 27701:2019隐私信息管理体系双认证,通信网络安全防护管理三级,信息系统安全等级保护三级认证,并获得PIA标识二星级+标识,标志着得物在个人信息保护与数据治理方面具备了系统化的管理能力和较高标准的合规实践。
3.2得物隐私合规智能检测项目
得物坚持不断完善技术安全能力,致力于建设安全可靠的网络环境,让用户获得新潮又放心的购物体验。自研合规智能检测管理系统—隐私先锋系统,整合了AI技术与自动化测试能力,由“用例管理平台-Tesla移动端测试体系-合规检测系统”构成,形成闭环管理机制。
通过AI辅助测试用例编写,系统借助智能算法快速生成隐私合规测试用例,显著提高测试效率,保证合规性检测的准确与高效。全链路监测与智能归因,通过全链路监测,可实时追踪敏感API调用及数据传输并进行预警,帮助企业快速识别合规风险。风险监测与响应方面,系统具备多维度数据分析能力,可实时监测异常行为,快速响应合规风险,形成有效的风险管理闭环。
四、结语
得物始终坚持将安全和隐私保护作为重要核心工作,公司自上而下高度重视,从组织建设、产品设计、技术发展和生态搭建等多维度贯彻隐私保护价值观。以“用户中心”为驱动,建立健全全生态、全周期、全流程的隐私保护管理框架。
得物将持续长期投入,在做好数据安全和用户个人信息保护的基础上,积极响应日趋严格的全球化数据合规和隐私保护要求,进一步深入在安全合规领域的各方合作,通过多种安全合规解决方案向用户提供更加安全放心的购物环境,为企业数字化业务稳健运营保驾护航。
往期回顾
- 喜报!得物安全团队荣获2025年磐石行动“优秀蓝方队伍”、“龙榜”第二、“优秀个人”三项荣誉
- 项目性能优化实践:深入FMP算法原理探索|得物技术
- Dragonboat统一存储LogDB实现分析|得物技术
- 从数字到版面:得物数据产品里数字格式化的那些事
- 一文解析得物自建 Redis 最新技术演进
文 /得物安全
关注得物技术,每周更新技术干货
要是觉得文章对你有帮助的话,欢迎评论转发点赞~
未经得物技术许可严禁转载,否则依法追究法律责任。
《得物个人信息保护社会责任报告》 是转载文章,点击查看原文。
