同意选择加入/选择退出:
Posted: Sat Jun 14, 2025 8:11 am
端到端加密 (E2EE):与全球范围一样,所有个人消息、通话和媒体均采用 E2EE 加密。这是一项关键的安全功能,它从本质上限制了 WhatsApp 对用户内容的访问。这意味着 WhatsApp 不会在其服务器上存储已发送的消息内容。
元数据收集: WhatsApp 仍然会收集大量元数据(发件人/收件人 ID、时间戳、设备信息、使用模式、个人资料信息、用于一般位置推断的 IP 地址),如其美国区域隐私声明中所述。此元数据不是 E2EE。
执法请求: WhatsApp 在美国的执法请求政策强调遵守法律程序(传票、法院命令、搜查令)。他们只会披露特定且合理地能够找到和检索的数据。由于E2EE的规定,他们无法提供已发送消息的内容。他们确实会提供基本的用户记录和某些账户信息,并遵循适当的法律程序。
与 Meta 公司共享数据: WhatsApp 声明它接收并与其他 Meta 公司(Facebook、Instagram)共享信息,以帮助运营、提供、改进、理解、定制、支持和营销其服务及其产品。 然而,它强调对 WhatsApp 个人数据的访问受到限制,因此其他 Meta 应用程序不能将其用于广告,除非是为了确定他们服务多少人、保障人们的安全或跨 Meta 公司产品(例如,帐户中心)运行的可选功能。WhatsApp 还澄清说,它不会与 Meta 共享 E2EE 内容、通话记录或精确位置。
“去识别化”数据: WhatsApp 声明,当数据被去识别化(根据美国隐私法的定义)时,他们会以去识别化的形式保存数据,并且不会尝试重新识别数据。
不“出售”个人信息: WhatsApp 明确声明它不会“出售”您的个人信息,因为该术语在 CCPA 中有定义。
4. WhatsApp 商业平台 (API) 是否符合美国企业的要求
对于利用 WhatsApp 商业平台 (API) 的美国企业来说,合规责任至关 科索沃 VB 数据库 重要,并且通常与 GDPR 类似的最佳实践相似:
透明度: 企业必须清楚地告知用户其数据收集和使用实践,包括其隐私政策。
TCPA 相关性: 对于通过 WhatsApp 发送的任何自动或营销信息,企业必须获得用户明确的选择加入同意,并遵守与 SMS/MMS 的 TCPA 类似的原则。
WhatsApp 政策: WhatsApp 的商业消息政策要求企业获得“收集、使用和共享人们的内容和信息所需的通知、许可和同意”。这包括维护已发布的隐私政策。
轻松退出:企业必须为用户提供清晰、简单的方法来选择不接收消息(例如,回复“停止”)。
数据最小化:企业应该只收集和保留对其目的绝对必要的 WhatsApp 数据(来自 API 和 CRM 集成)。
安全性: 企业有责任保护通过 WhatsApp API 接收并存储在其系统(CRM、数据库)中的客户数据。 这包括实施强大的访问控制、静态和传输中数据的加密以及事件响应计划。
数据主体权利:如果受 CCPA/CPRA 或其他州法律的约束,企业必须能够响应消费者对其收集和处理的 WhatsApp 数据相关的访问、删除或退出请求。
数据处理协议 (DPA):虽然美国联邦法律没有明确称为“DPA”(除非根据 HIPAA 的 BAA),但企业应该直接与 WhatsApp 商业解决方案提供商 (BSP) 和 WhatsApp/Meta(针对云 API)审查条款和条件,以了解如何代表他们处理数据并确保其符合他们的隐私义务。
结论
元数据收集: WhatsApp 仍然会收集大量元数据(发件人/收件人 ID、时间戳、设备信息、使用模式、个人资料信息、用于一般位置推断的 IP 地址),如其美国区域隐私声明中所述。此元数据不是 E2EE。
执法请求: WhatsApp 在美国的执法请求政策强调遵守法律程序(传票、法院命令、搜查令)。他们只会披露特定且合理地能够找到和检索的数据。由于E2EE的规定,他们无法提供已发送消息的内容。他们确实会提供基本的用户记录和某些账户信息,并遵循适当的法律程序。
与 Meta 公司共享数据: WhatsApp 声明它接收并与其他 Meta 公司(Facebook、Instagram)共享信息,以帮助运营、提供、改进、理解、定制、支持和营销其服务及其产品。 然而,它强调对 WhatsApp 个人数据的访问受到限制,因此其他 Meta 应用程序不能将其用于广告,除非是为了确定他们服务多少人、保障人们的安全或跨 Meta 公司产品(例如,帐户中心)运行的可选功能。WhatsApp 还澄清说,它不会与 Meta 共享 E2EE 内容、通话记录或精确位置。
“去识别化”数据: WhatsApp 声明,当数据被去识别化(根据美国隐私法的定义)时,他们会以去识别化的形式保存数据,并且不会尝试重新识别数据。
不“出售”个人信息: WhatsApp 明确声明它不会“出售”您的个人信息,因为该术语在 CCPA 中有定义。
4. WhatsApp 商业平台 (API) 是否符合美国企业的要求
对于利用 WhatsApp 商业平台 (API) 的美国企业来说,合规责任至关 科索沃 VB 数据库 重要,并且通常与 GDPR 类似的最佳实践相似:
透明度: 企业必须清楚地告知用户其数据收集和使用实践,包括其隐私政策。
TCPA 相关性: 对于通过 WhatsApp 发送的任何自动或营销信息,企业必须获得用户明确的选择加入同意,并遵守与 SMS/MMS 的 TCPA 类似的原则。
WhatsApp 政策: WhatsApp 的商业消息政策要求企业获得“收集、使用和共享人们的内容和信息所需的通知、许可和同意”。这包括维护已发布的隐私政策。
轻松退出:企业必须为用户提供清晰、简单的方法来选择不接收消息(例如,回复“停止”)。
数据最小化:企业应该只收集和保留对其目的绝对必要的 WhatsApp 数据(来自 API 和 CRM 集成)。
安全性: 企业有责任保护通过 WhatsApp API 接收并存储在其系统(CRM、数据库)中的客户数据。 这包括实施强大的访问控制、静态和传输中数据的加密以及事件响应计划。
数据主体权利:如果受 CCPA/CPRA 或其他州法律的约束,企业必须能够响应消费者对其收集和处理的 WhatsApp 数据相关的访问、删除或退出请求。
数据处理协议 (DPA):虽然美国联邦法律没有明确称为“DPA”(除非根据 HIPAA 的 BAA),但企业应该直接与 WhatsApp 商业解决方案提供商 (BSP) 和 WhatsApp/Meta(针对云 API)审查条款和条件,以了解如何代表他们处理数据并确保其符合他们的隐私义务。
结论