StreamAnalytics 数据隐私

隐私信息

StreamUnlimited 工程有限公司是一家根据奥地利法律正式成立并存在的公司,其主要办事处和营业地点位于维也纳高科技园区,Gutheil-Schoder-Gasse 10, A-1100 Vienna,处理您的个人数据用于特定目的,具体目的如下所列。StreamUnlimited Engineering GmbH(以下简称“SUE”)根据数据保护要求处理您的数据。

我们在此根据 GDPR 第 13 条和第 14 条告知您处理的内容。

一、SUE作为控制者的联系方式 根据数据保护法规,负责处理您个人数据的控制者是

StreamUnlimited 工程有限公司
古特尔-肖德-加斯 10,
A-1100 维也纳
电话:+43 1 667 2002 4014
电子邮件: info@streamunlimited.com

二、个人信息处理的范围 
1. 处理的数据类型和处理活动
我们处理以下来自设备用户的汇总和假名数据,但不识别用户个人身份:安装标识符、型号标识符(同类所有设备通用)和设备数据(以太网/Wi-Fi;Wi-Fi 连接强度分布(dB);设备设置;固件版本;语言环境/国家/地区;电源状态;正常运行时间;恢复出厂设置;IO/Android 控制应用程序使用情况;跟踪编解码器/文件类型使用情况)以及有关设备上运行的特定进程的数据(每个服务的监听时间;物理输入和输出使用情况;值分布;按钮使用情况;交互表面)(统称“原始数据”)。

设备可以在任何操作期间与云服务器通信 - 但通常限制为每 24 小时一次。收集的数据在上传到云服务器之前会在设备上汇总并进行假名化,我们会在云服务器上识别设备并生成有关其活动的统计数据。所有设备都有一个唯一的安装标识符,该标识符以未加密的形式存储在设备上。执行设备出厂重置时会删除安装标识符。此外,还会存储特定于硬件类型的型号标识符,并且无法更改。最终用户无法读取任何一个标识符,但设备上运行的任何进程都可以访问它。

原始数据在设备上存储 24 小时,24 小时后,系统会自动从型号和安装标识符中得出哈希值,然后将原始数据发送到 SUE 并在单独的数据库中存储 30 天,并在时间过后自动删除(这包括通过删除任何直接或间接的人员引用来匿名化数据)。因此,每 24 小时收集的原始数据都会重新加密并作为汇总的每日报告发送到云服务器(不报告任何个人操作)。如果设备无法访问云服务器,则收集的原始数据将存储在设备上,直到可以建立连接。

然后,SUE 会将原始数据与其他设备的原始数据一起用于统计目的(“已处理数据”)。如果没有设备本身,就无法通过已处理数据识别人员——设备恢复出厂设置后,即使有手边的设备,也无法识别人员。

2. 处理原始数据的合法性 
如果通过结合设备特征间接处理个人(假名)数据,从而可以参考 30 天存储期内设备活动的历史记录,则 SUE 的合法利益(GDPR 第 6 条第 1 款 f 项)在假名级别评估用户行为,以便获得改进产品和服务的见解,这被视为法律基础。SUE 在一般分析方面的这些利益(GDPR 第 29 条承认)不会被数据主体的利益或基本权利和自由所凌驾。数据在设备上直接被假名化,因此在处理之前就被假名化了。

因此,SUE 或第三方无法在没有更多信息的情况下,尤其是没有对设备进行物理处理的情况下,根据处理后的数据反推到单个设备。此外,根据处理后的数据得出的统计数据与可识别的单个设备无关,因此属于非个性化结果(“洞察”)。

尽管不能排除处理数据中有关设备的数据组合可以在 30 天的存储期内跟踪设备活动的可能性,即使安装标识符是匿名的,但这也不是 SUE 的本意。因此,值得保护的数据主体的隐私利益没有受到侵犯。

在这种情况下,考虑到如果没有设备本身就无法从处理的数据中识别个人,数据主体的利益或基本权利和自由并不重要。

3. 数据处理的目的
我们收集与在终端设备上使用流媒体音频产品相关的数据,但不会进行个人评估或以其他方式实现个人结果,目的是记录产品的使用情况,并获取有关质量改进、产品优化或产品调整的见解。因此,这些测量和分析仅用于分析使用强度、用户数量和流媒体行为,例如确定产品的哪些部分被使用以及所有产品的使用频率。

特别是,我们不会处理您的数据来分析您的兴趣、创建客户档案或根据您的兴趣向您发送广告。

我们不会与任何第三方共享原始数据。最终,我们只会与任何第三方共享见解,根据 GDPR,这些见解不再是个人数据。此类见解的接收者没有其他信息可以让他们识别数据主体,而且也没有合法手段访问此类信息。

4. 数据接收者
只有经过处理的数据(因此,任何匿名形式的数据)才会与设备制造商共享。

加密的原始数据和个人数据存储在由美国 Google 托管的云服务器中。已签订欧盟标准合同条款(模块 2:控制者到处理者)(请参阅 https://cloud.google.com/terms/sccs/eu-c2p)。

5. 存储期限
原始数据将保存 30 天,之后将被删除。这样,数据就被匿名化了。

6. 关于自动化决策存在的信息
根据 GDPR 第 22 条第 (1) 款和第 (4) 款,我们不进行自动决策(包括分析),因此不会使用它。

III. 数据主体的权利
根据 GDPR,数据主体拥有以下权利:
1. 知情权(GDPR 第 15 条)
2. 更正权和限制处理权(GDPR 第 16 条;GDPR 第 18 条)
3. 数据可携权(GDPR第20条)
4. 删除权(GDPR 第 17 条)
5. 反对权(GDPR 第 21 条)

但是,对于特定的数据处理,我们仅以数据中无法识别数据主体的方式处理数据(原始数据和处理后的数据),因此数据主体没有直接的个人参考(GDPR 第 11 (1) 条)。由于我们在行使数据主体权利时无法轻易识别您,因此上述权利原则上不适用,除非您提供额外信息来行使上述权利,这使我们能够识别您。

7. 监管机构
无论是否可以根据《数据保护法》第 29 (2) 条向地区法院提出申诉或采取任何其他法律补救措施,如果认为个人数据处理不合法,则有权向主管国家监督机构提出申诉。在奥地利,维也纳的奥地利数据保护局负责此事。