跳到主体内容

卡巴斯基的数据处理方式

卡巴斯基处理用户数据的方式基于对用户隐私的尊重和保护,以及对透明度和问责制的承诺。

我们公司进行数据处理的主要目标是为客户提供最佳的网络安全解决方案。为实现这一目标,我们通常以三个主要目的来处理数据:(a) 支持关键产品功能,(b) 提高保护组件的性能和有效性,(c) 为客户提供改进的、更合适的解决方案,并提供适当的内容。更多详细信息,请参见我们的产品和服务隐私政策

为实现这些目标,数据并不总是必须与特定个人关联,并且尽可能进行匿名化。卡巴斯基为实现这一目标所采取的措施包括:删除传输的 URL 中的账户详细信息,获取威胁而非确切文件的哈希值,隐藏用户 IP 地址等。

在大多数情况下,卡巴斯基产品的用户可以选择是否希望向公司提供个人数据,或者根据产品、服务和网站的功能选择希望提供多少数据。他们也可以避免直接向卡巴斯基提交信息。

卡巴斯基在数据处理方面始终提供清晰的信息,尤其会提供将要处理的完整数据列表,以确保客户能够做出明智的决定。卡巴斯基不断审查其解决方案处理的数据类型,以保护客户的隐私并遵守最新的法律要求。


所有处理和/或传输的数据都通过加密、数字证书、隔离存储、严格的数据访问策略和其他方法得到可靠保护。改公司还应用安全软件开发框架 (SSDF) 并实施供应链风险管理控制,以保护其数据处理基础设施和系统的安全。

在每六个月发布一次的透明度报告中,我们会公开分享有关我们收到和处理的用户数据请求数量的信息。




你们是否处理个人数据?

根据某些法律框架(如 GDPR),卡巴斯基处理的信息可能包含可被视为个人或个人可识别的数据。卡巴斯基产品从不处理客户的“敏感”个人数据,例如宗教、政治观点、性取向、健康或其他特殊类别的个人数据。

如果处理个人数据是实现产品或服务的目标所必需的,卡巴斯基会根据适用法律仔细分析处理个人数据的目的、构成和法律依据。所处理的个人数据集合始终与处理目的相符;我们的产品或服务不会收集或处理过多的个人数据。此外,卡巴斯基始终提供与数据处理相关的所有信息,尤其会提供将要处理的完整数据列表,以确保客户知情并能够做出明智的决定。有关数据处理的详细信息,请参见最终用户授权许可协议 (EULA)、卡巴斯基安全网络 (KSN) 声明、卡巴斯基网站和网络服务隐私政策以及其他所提供的文件(因产品或服务而异)。我们收集和处理的数据以汇总统计的形式使用,不会归因于特定个人,并尽可能进行匿名化。

哪些数据会被处理?

任何现代 IT 服务都需要处理大量数据才能高效运行。所处理数据的组成取决于具体的产品或服务。作为全球网络安全领导者,卡巴斯基可能处理各种与网络威胁相关的数据和统计信息。网络威胁相关数据包括可疑和恶意文件以及统计信息,可用于识别已知的 IS 威胁和新的恶意软件以及攻击者的手段。这些统计信息也称为元信息,即有关用户机器上发生的事件的补充技术信息,我们的产品可能会根据各种因素发送这些信息:例如,用户活动、卡巴斯基产品设置、安装卡巴斯基产品的操作系统的配置以及系统上安装的其他软件。有关所有处理数据的详细信息,请参见最终用户授权许可协议 (EULA)、卡巴斯基安全网络 (KSN) 声明和其他文件(因产品或服务而异)。

你们如何保护用户数据?

用户数据的安全是卡巴斯基的首要任务,公司采取多方面的措施来降低任何潜在风险。卡巴斯基公司制定了成熟的安全管理策略,由专门的信息安全部门执行,该部门负责实施公司的安全策略和战略,并持续监控安全性能和评估安全流程的有效性。

用户数据使用现代保护算法进行保护,公司确保网络和访问安全,以防止未经授权访问用户数据,并严格控制对其数据基础设施的物理访问,同时为该基础设施配备监控和警报系统加以保护。公司网络和系统的整体安全性由持续的资产管理、整体风险和漏洞管理流程、定期合规性检查以及持续的员工培训等措施支撑,但并不仅限于此。有关我们如何保护您的隐私和数据的更多详细信息,请查看卡巴斯基的产品和服务隐私政策

你们如何匿名化所处理的数据?

卡巴斯基非常重视用户隐私。公司实施以下措施来匿名化所处理的数据:

  • 采用分层方法来增强保护并降低重新识别风险:结合泛化、随机化和差分隐私等技术;
  • 从处理的数据(例如 URL、文件等)中删除所有直接标识符(例如姓名、ID 号);
  • 信息以匿名和汇总统计的形式处理,不归因于特定个人;
  • 防止匿名化数据与其他可能重新识别个人的数据集关联,数据存储在单独的服务器上,并有严格的访问权限策略;
  • 当我们处理可能的威胁数据时,我们使用哈希值,这是提供唯一文件标识符的单向数学函数。
  • 记录并定期审核匿名化过程。

卡巴斯基将数据存储在哪里?

卡巴斯基是一家全球性公司,我们的数据处理基础设施分布在全球各地(例如瑞士、德国、俄罗斯、加拿大等),从而能够更快地处理信息,并且即使某台服务器因任何原因发生故障时也能保证服务器可用性。可能处理个人数据的国家/地区的详细列表可以在卡巴斯基的官方政策中找到,包括产品和服务隐私政策

作为我们全球透明度倡议 (GTI) 的一部分,卡巴斯基迁移了其部分数据处理基础设施。欧洲、北美和拉丁美洲、中东以及亚太地区一些国家/地区的卡巴斯基产品用户所自愿共享的恶意和可疑文件在瑞士苏黎世的两个数据中心进行处理。这些中心提供符合领先安全标准的世界一流设施。此外,瑞士是少数几个与欧盟签订充分性决定的国家之一,这意味着该国被欧盟委员会认定为提供了充分的个人数据保护。

什么是卡巴斯基安全网络?

卡巴斯基安全网络 (KSN) 是卡巴斯基的主要云系统之一,旨在最大限度地发现新的和未知的网络威胁,从而确保为用户提供最快、最有效的保护。KSN 会自动处理从决定使用该系统的卡巴斯基用户所拥有的数百万台设备接收的网络威胁相关数据。这种基于云的系统方法现在是许多全球网络安全供应商应用的行业标准。

什么是基于‘云’的系统?

这是在公司服务器上而不是个人设备上运行的系统,可以通过互联网在世界任何地方使用。云系统的例子包括电子邮件、文件共享和文件托管。卡巴斯基安全网络的服务分布在全球不同的国家/地区(加拿大、德国、瑞士、俄罗斯等),能够更快地处理信息,并且即使某台服务器发生故障时也能保证服务器可用性。

云保护的目的是什么?

卡巴斯基认为混合保护模式(反病毒数据库 + 主动防御 + 云)是最有效的模式。

安全云的高性能使我们能够更快、更准确地分析网络威胁。传统的反病毒和反钓鱼数据库更新周期通常需要数小时,而云技术可以在几分钟内为用户提供针对新威胁的防护。

使用云还能让产品“更轻量”,防止其占用用户设备上过多的内存和资源。

能否限制数据处理?

我们的客户可以根据他们想要使用的产品或服务的功能以及相应接受的协议来选择是否提供数据以及提供多少数据。卡巴斯基始终提供有关数据处理的信息,尤其会提供将要处理的完整数据列表,以确保客户能够做出明智的决定。此外,卡巴斯基会定期在其透明度报告中公开披露有关收到并处理的用户数据请求数量的信息。最新的报告可在此处获取。

对于某些企业产品,我们的客户可以配置其解决方案,使其完全不共享数据,并可以直接联系我们来行使访问已处理的个人数据的权利:https://support.kaspersky.com/general/privacy

你们是否与第三方共享卡巴斯基解决方案处理的个人数据?

我们从不向任何第三方或任何政府组织提供访问公司基础设施(包括用户数据基础设施)的权限。

卡巴斯基可能通过与供应商签订的数据处理协议与其共享数据。在选择此类供应商时,我们会严格控制对法律要求的遵从性以及数据处理方式。例如,这些供应商为我们提供云存储和其他相关服务。

卡巴斯基还与国际执法机构合作,与他们分享调查网络犯罪所需的信息。公司对这些联系持开放态度,在其透明度报告中发布了有关执法部门对用户数据和技术专业知识的请求的数据。

这些报告还概述了公司在响应全球政府和执法机构请求时的核心原则,并展示了我们评估每个收到的请求的多步骤程序。因此,所有传入的用户数据请求都必需经过法律验证,在此过程中,我们确保这些请求具有法律依据、根据适用法律发出,并且实施方式不会损害卡巴斯基用户的安全或隐私。

你们的数据处理方法是否经过认证?

为了确认公司为用户提供最高级别的安全防护,卡巴斯基的数据服务会定期接受第三方安全审计和评估。特别是,公司的数据服务早已获得 ISO 27001 认证,并在 2022 年以扩展范围重新获得认证,因此处理网络威胁相关数据和统计信息的数据服务均在认证范围内。该认证适用于公司位于苏黎世、法兰克福、多伦多、莫斯科和北京数据中心的数据服务。符合 ISO/IEC 27001:2013(国际公认为行业最佳实践和适用的安全标准)是卡巴斯基实施和管理信息安全的方法的核心。该认证由第三方认可的认证机构授予,展现了我们对强大信息安全的承诺,以及卡巴斯基数据服务对行业领先最佳实践的遵守。重新认证的最终报告可根据要求提供给我们的企业客户和合作伙伴。