本文简要介绍了有关 Firebase 的安全性和隐私权的重要信息。无论您是要使用 Firebase 启动新的项目,还是想知道 Firebase 如何与您现有的项目协同工作,请继续阅读下文,了解 Firebase 如何有助于保护您和您的用户。
上次修改时间:2019 年 9 月 23 日
数据保护
Firebase 支持 GDPR
2018 年 5 月 25 日,欧盟的《一般数据保护条例》(GDPR) 取代了 1995 年颁布的《欧盟数据保护指令》。Google 将致力于帮助客户在遵守 GDPR 规定的前提下取得成功,无论这些客户是大型软件公司还是独立开发者。
GDPR 规定了数据控制方和数据处理方的义务。在因使用 Firebase 而向 Google 提供其最终用户的任何个人数据时,Firebase 客户通常扮演着“数据控制方”的角色,而 Google 通常是“数据处理方”。
这意味着数据处于客户的控制之下。控制方有责任承担相应的义务,比如维护个人用户在其个人数据方面享有的权利。
如果您是我们的客户,并且想要了解您作为数据控制方的责任,则应该熟悉一下 GDPR 的规定,并检查您的法规遵从计划。
需要考虑的关键问题有:
- 贵组织如何确保用户能够清楚了解和控制数据使用情况?
- 您确定贵组织已按照 GDPR 的规定获得了必要且恰当的同意吗?
- 贵组织是否拥有妥善的系统来记录用户的偏好和同意?
- 您如何向监管机构和合作伙伴表明您符合 GDPR 的原则并且是一个负责任的组织?
Firebase 数据处理和安全条款
当客户使用 Firebase 时,Google 通常充当着数据处理方的角色,可代表客户处理用户的个人数据。Firebase 条款包括所有 Firebase 服务的数据处理和安全条款,这些条款自 2018 年 5 月 25 日起生效。
已经有相关的数据处理条款(Google Cloud Platform (GCP) 数据处理和安全条款)对受 Google Cloud Platform (GCP) 服务条款约束的某些 Firebase 服务做出了规定。您可以在 Firebase 服务的服务条款中查看当前受 GCP 服务条款约束的全部 Firebase 服务的列表。
Crashlytics 和应用分发受 Firebase Crashlytics 和 Firebase 应用分发服务条款的约束,还需要遵守相关数据处理条款。
Google Analytics for Firebase 服务则受到 Google 广告数据处理条款的约束。
Firebase 已通过主流的隐私权和安全标准认证
ISO 和 SOC 合规性
所有 Firebase 服务都已成功完成了 ISO 27001 及 SOC 1、SOC 2 和 SOC 3 评估流程,部分服务还完成了 ISO 27017 和 ISO 27018 认证流程:
| 服务名称 | ISO 27001 | ISO 27017 | ISO 27018 | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|---|---|---|
| Google Analytics for Firebase | ||||||
| Firebase 机器学习套件 | ||||||
| Firebase 测试实验室 | ||||||
| Cloud Firestore | ||||||
| Cloud Functions for Firebase | ||||||
| Cloud Storage for Firebase | ||||||
| Firebase 身份验证 | ||||||
| Firebase 崩溃报告 | ||||||
| Firebase Crashlytics | ||||||
| Firebase 应用内消息 | ||||||
| Firebase 邀请 | ||||||
| Firebase 云消息传递 | ||||||
| Firebase 预测 | ||||||
| Firebase 性能监控 | ||||||
| Firebase 托管 | ||||||
| Firebase 动态链接 | ||||||
| Firebase 远程配置 | ||||||
| Firebase 实时数据库 | ||||||
| Firebase 平台 | ||||||
| Firebase A/B 测试 |
隐私护盾框架认证
2016 年 7 月,欧盟委员会认定,欧盟-美国隐私护盾框架提供了适当的机制,可帮助欧盟公司遵循欧盟数据保护指令中有关如何将个人数据从欧盟传输到美国的规定。Google LLC 已通过欧盟-美国隐私护盾框架和瑞士-美国隐私护盾框架认证。您可以在 Privacy Shield list(隐私护盾列表)中查看这些认证信息。
数据处理信息
由 Firebase 处理的最终用户个人数据的示例
某些 Firebase 服务会对您的最终用户的个人数据进行处理,以提供相应服务。下面的图表展示了有关各种 Firebase 服务如何使用和处理最终用户个人数据的若干示例。此外,许多 Firebase 服务还允许您请求删除特定的数据或控制数据的处理方式。
| Firebase 服务 | 个人数据 | 数据如何帮助提供服务 |
|---|---|---|
| Cloud Functions for Firebase |
|
提供帮助的方式:Cloud Functions 使用 IP 地址,根据最终用户的操作执行事件处理函数和 HTTP 函数。 保留:Cloud Functions 仅出于提供服务的目的而暂时保存 IP 地址。 |
| Firebase 身份验证 |
|
提供帮助的方式:Firebase 身份验证使用数据启用最终用户身份验证,并帮助管理最终用户帐号。它还使用用户代理字符串和 IP 地址提升安全性并防止注册和身份验证期间的滥用行为。 保留:Firebase 身份验证会将记录的 IP 地址保留几周。它会保留其他身份验证信息,直至该 Firebase 客户开始删除关联用户为止。在这之后,数据将在 180 天内从实时和备份系统中移除。 |
| Firebase 云消息传递 |
|
提供帮助的方式:Firebase 云消息传递使用实例 ID 来确定向哪些设备发送消息。 保留:Firebase 会保留实例 ID,直至 Firebase 客户为删除 ID 而进行 API 调用为止。在这之后,数据将在 180 天内从实时和备份系统中移除。 |
| Firebase 崩溃报告 |
|
提供帮助的方式:崩溃报告使用崩溃堆栈轨迹将崩溃与项目相关联,向项目成员发送电子邮件提醒,并在 Firebase 控制台中显示这些崩溃,而且可帮助 Firebase 客户查找崩溃原因。它使用实例 ID 来衡量受崩溃影响的用户数量。 保留:崩溃报告会将崩溃堆栈轨迹保留 180 天。Firebase 会保留实例 ID,直至 Firebase 客户为删除 ID 而进行 API 调用为止。在这之后,数据将在 180 天内从实时和备份系统中移除。 |
| Firebase 动态链接 |
|
提供帮助的方式:动态链接使用 iOS 上的设备规格,让新安装的应用在特定的页面或上下文中打开。 保留:动态链接仅出于提供服务的目的而暂时存储设备规格。 |
| Firebase 托管 |
|
提供帮助的方式:托管使用传入请求的 IP 地址检测滥用情况,并为客户提供详细的使用数据分析。 保留:托管会将 IP 数据保留几个月。 |
| Firebase 邀请 |
|
提供帮助的方式:用户可以利用邀请向其联系人发送邀请链接。这些链接是 Firebase 动态链接,此类链接使用 iOS 上的设备规格,让新安装的应用在特定的页面或上下文中打开。 保留:应用邀请平台只会通过设备访问存储在本地的联系人,并且只会出于提供关联服务的目的而通过 Firebase 动态链接暂时存储设备规格。 |
| Firebase 性能监控 |
|
提供帮助的方式:性能监控使用实例 ID 来计算访问网络资源的唯一应用实例的数量,以确保访问模式是充分匿名的。它还将实例 ID 与 Firebase 远程配置一起使用,管理性能事件报告率。此外,它使用 IP 地址将性能事件映射到这些事件的来源国家/地区。如需了解详情,请参阅数据收集。 保留:性能监控会将实例和 IP 关联事件保留 30 天,并将去标识化的性能数据保留 90 天。Firebase 会保留实例 ID,直至 Firebase 客户为删除 ID 而进行 API 调用为止。在这之后,数据将在 90 天内从实时和备份系统中移除。 |
| Firebase 预测 |
|
提供帮助的方式:预测使用实例 ID 将应用实例与项目相关联,并检索事件的时间序列。它利用这些事件启用对客户所指定事件发生可能性的预测,以及默认情况下的支出和流失预测。 保留:预测会将与实例关联的事件保存 60 天,并将根据这些事件进行的预测保存几周。Firebase 会保留实例 ID,直至 Firebase 客户为删除 ID 而进行 API 调用为止。在这之后,数据将在 180 天内从实时和备份系统中移除。 |
| Firebase 实时数据库 |
|
提供帮助的方式:实时数据库使用 IP 地址和用户代理启用分析器工具,此工具可帮助 Firebase 客户了解使用趋势和平台详细使用情况。 保留:实时数据库会将 IP 地址和用户代理信息保留几天时间,但客户选择延长其保存时间的情况除外。 |
| Google Analytics for Firebase |
提供帮助的方式:Google Analytics(分析)使用这些数据提供分析和归因信息。收集的具体信息可能因设备和环境而异。如需了解详情,请参阅数据收集。 保留:Google Analytics(分析)会将某些广告标识符关联数据(例如 Apple 的广告客户标识符、供应商标识符、Android 的广告 ID)保留 60 天,并保留不会自动过期的汇总报告和某些用户级广告系列数据,但 Firebase 客户在其 Analytics(分析)设置中更改其保留偏好设置或删除其项目的情况除外。 |
|
| Firebase 远程配置 |
|
提供帮助的方式:远程配置使用实例 ID 选择要返回到最终用户设备的配置值。 保留:Firebase 会保留实例 ID,直至 Firebase 客户为删除 ID 而进行 API 调用为止。在这之后,数据将在 180 天内从实时和备份系统中移除。 |
| Firebase 机器学习套件 |
|
提供帮助的方式:基于云的 API 会临时存储上传的图片以进行处理,并将分析结果返回给您。存储的图片通常会在几小时内删除。如需了解详情,请参阅 Cloud Vision 数据使用常见问题解答。 例如,与应用实例交互时,机器学习套件使用实例 ID 将开发者模型分配给应用实例。此外,机器学习套件可以借助实例 ID,使用 Firebase 远程配置确保设备端 API(例如主题列表和过滤条件)保持最新。 保留:Firebase 会保留实例 ID,直至 Firebase 客户为删除 ID 而进行 API 调用为止。在这之后,数据将在 180 天内从实时和备份系统中移除。 |
| Firebase Crashlytics | 如需详细了解 Crashlytics 和最终用户数据处理,请参阅 Crashlytics 数据收集政策。 |
让最终用户能够自主选择是否接受个人数据处理的指南
上表中的服务需要一定数量的最终用户个人数据才能正常工作。因此,在使用这些服务时不可能完全停用数据收集功能。
如果 Firebase 客户希望自己的用户可以自主选择启用某项服务及其附带的数据收集功能,那么在大多数情况下,只需添加一个对话框或用于设置的切换开关,待用户确认启用后,即可使用这项服务。
但是,某些服务在集成到应用中后会自动启动。为了让用户在使用这些服务之前能够自主选择是否启用它们,您可以选择为每项服务停用自动初始化,而改为在运行时手动初始化它们。如需了解具体操作方法,请阅读以下指南:
- 云消息传递:防止自动初始化 (Android) 或防止自动初始化 (iOS)
- Crashlytics:启用自选式报告
- 崩溃报告:启用自选式报告
- 性能监控:启用自选式监控
- Analytics:配置 Analytics 数据收集
数据存储和处理位置
除非某项服务或功能提供了数据存储位置选项,否则,Firebase 可能会在 Google 或其代理保有设施的任何地方处理和存储您的数据。不同的服务可能使用的设施位置也不尽相同。
仅在美国运行的服务
少数 Firebase 服务只能通过美国的数据中心运行。因此,这些服务仅在美国境内的设施上处理数据。
- Firebase 实时数据库
- Firebase 托管
- Firebase 身份验证
全球均可运行的服务
大部分 Firebase 服务都在 Google 遍及全球的基础架构上运行。这些服务可以在任意 Google Cloud Platform 服务点或 Google 数据中心位置处理数据。对于某些服务,您可以做出具体的数据位置选择,这样就能实施限制,以在选中的位置进行处理。
- Cloud Storage for Firebase
- Cloud Firestore
- Cloud Functions for Firebase
- Firebase 性能监控
- Firebase 崩溃报告
- Firebase 动态链接
- Firebase 邀请
- Firebase 远程配置
- Firebase 云消息传递
- Firebase 预测
- Google Analytics(分析)
- Firebase 机器学习套件
- Firebase 测试实验室
安全性方面的信息
数据加密
Firebase 服务使用 HTTPS 来加密传输中的数据,并在逻辑上对客户数据进行隔离。
此外,多项 Firebase 服务对于其静态数据也会进行加密:
- Cloud Firestore
- Cloud Functions for Firebase
- Cloud Storage for Firebase
- Firebase 身份验证
- Firebase 云消息传递
- Firebase 实时数据库
- Firebase 测试实验室
安全做法
为确保个人数据安全无虞,Firebase 采用各种安全措施来最大限度地缩减访问权限:
- Firebase 仅允许部分员工出于业务工作需要而访问个人数据。
- Firebase 会记录员工对包含个人数据的系统的访问情况。
- Firebase 仅允许使用 Google 登录和双重身份验证登录的员工访问个人数据。
仍有疑问?联系我们
如有任何本文未涵盖的与隐私权相关的问题,请通过帐号服务表单与我们联系。