本文件將解答 RCS 商家訊息 (RBM) 資料安全性和相關主題的常見問題。
RBM 是訊息平台,可讓企業傳送一次性密碼 (OTP),並與客戶就交易、客戶服務、促銷活動等主題進行對話。Google 提供 RBM API,可透過 Google 伺服器在商家和使用者之間傳送訊息。
通常,企業會與訊息合作夥伴 (包括匯入器、通訊平台即服務 (CPaaS) 供應商、電信業者和其他 RCS 解決方案供應商) 合作,由對方連結 Google API,代為建構及維護 RBM 代理程式。如要透過 API 或 Business Communications Developer Console 使用 RBM,合作夥伴必須同意 Google 的《RBM 服務條款》和《使用限制政策》。由於 Google 是資料處理者,合作夥伴也受 Google 的《資料處理附加條款》規範。
認證和法規遵循
RBM 是否獲得第三方認證?
RBM 和 Google 的 RCS 基礎架構每年都會接受獨立稽核,確保符合廣泛認可的品質和資料安全標準。我們的服務已取得 ISO 27001、SOC 2 和 SOC 3 認證。如要索取證書副本,請與客戶經理聯絡。
RBM 是否符合歐盟《第二號支付服務指令》(PSD2)?
是,RBM 遵循《歐盟付款服務指令》(PSD2),因此需要嚴格用戶驗證機制 (SCA)。由於 RBM 與使用者已驗證的電話號碼和 SIM 卡相關聯,因此使用 RBM 傳送的一次性密碼 (OTP) 就構成符合 SCA 規範的「擁有權元素」,如 歐洲銀行業管理局所述。
資料處理
Google 擔任資料處理者的意義為何?
在 RBM 中,Google 是資料處理者,而商家或合作夥伴則是資料控管者。《資料處理修訂條款》(DPA) 說明 Google 是資料處理者,並規範代表商家和合作夥伴處理資料的條款。
DPA 是否適用於所有與 RBM 代理程式互動的使用者?
是的,DPA適用於所有使用者及其資料。Google 建構 RBM 平台是為了遵守資料保護協議,確保所有使用者都能享有同樣高水準的資料安全性。
訊息儲存和加密
使用者裝置上儲存哪些資料?
RBM 代理程式和與其交換的訊息的相關中繼資料,會儲存在使用者的裝置上。這些訊息可能包含與 RBM 服務專員分享的個人資訊。
代理程式的「區域」與訊息儲存空間有何關聯?
合作夥伴在代理程式設定期間指定的區域會告知 RBM 代理程式的所在位置。Google 會使用這項資訊判斷應儲存在何處,並將訊息流量最佳化,以便將訊息傳送給服務專員。
大部分的訊息都儲存在指定地區的資料中心 (如要進一步瞭解資料中心和網路安全性,請參閱DPA)。不過,如果發生區域性服務中斷,Google 可能會重新導向訊息流量。也就是說,訊息資料可能不會只儲存在指定的服務項目區域。
RBM 的訊息架構和流程為何?哪些元素會加密?
商家和使用者之間傳送的訊息會透過 Google RCS Business Messaging (RBM) API,在使用者裝置和 Google 伺服器之間,以及 Google 伺服器和訊息合作夥伴之間進行加密。
訊息會透過 Google 網路加密,並使用只有特定服務元件可存取的金鑰。加密金鑰可讓 Google 系統檢查政策遵循情形。
如要瞭解端對端訊息流程和所有相關方的角色,請參閱「運作方式」。
儲存的訊息是否已加密?
Google 伺服器上的儲存空間
如果收件者處於離線狀態,代理人對個人 (A2P) 訊息會保留在 Google 伺服器上。開發人員可以選擇撤銷這些訊息,並透過其他管道傳送。如果服務專員無法接收,人對應用程式 (P2A) 訊息會保留在 Google 伺服器上。Google 會先保留這類訊息七天,再將其刪除。
儲存在 Google 伺服器上的訊息會經過靜態資料加密處理。
Google 只能在下列情況下存取儲存的訊息:
- Google 可能會暫時處理商家傳送的訊息內容,藉此偵測及防範垃圾訊息和濫用行為,並可能使用這些信號訓練 AI 模型,藉此改善垃圾訊息防範和偵測功能。如要進一步瞭解垃圾內容檢舉的資料處理方式,請參閱「Google 是否會讀取商家與使用者之間的訊息?」。
- 我們可能會根據 Google 的義務條款,將儲存的訊息提供給外部執法機關,以符合適用法律規定。詳情請參閱 Google 的資訊公開報告。
訊息會保留多久?
Google 伺服器上的儲存空間
- RBM 服務專員素材資源 (標誌、名稱、說明等):永久儲存在全球 Google 儲存空間中。
- 使用者與客服專員的訊息 (P2A 訊息):以儲存及轉發的方式保留,最多七天。RBM 服務專員收到並確認訊息後,系統就會刪除該訊息。
- 服務專員傳送給使用者的訊息 (A2P 訊息):會保留至傳送完成,最多 30 天。在 30 天期限前,服務專員可以撤銷未送達的訊息,系統會將這些訊息從傳送佇列中移除,並從 Google 伺服器中刪除。如果已傳送的郵件含有媒體檔案,這些檔案會保留 60 天。A2P 訊息可能會在傳送後 14 天內保留在 Google 伺服器上,以便偵測及防範垃圾內容和濫用行為。
行動裝置上的儲存空間
使用者裝置上的訊息會儲存在該裝置上,直到使用者刪除或變更儲存機制為止。
商家可以控管儲存在 Google 的訊息加密金鑰嗎?
否,商家無法控管加密金鑰。為了保護使用者免於收到垃圾訊息,Google 需要維護加密金鑰,以便掃描 RBM 訊息,找出網路釣魚和惡意軟體網址等惡意內容。Google 會在掃描訊息時使用自動防護功能。除非使用者回報對話為垃圾內容,否則系統不會將訊息內容提供給人類 (詳情請參閱「Google 會讀取商家與使用者之間的訊息嗎?」)。
哪些實體可以存取 RBM 訊息?訊息合作夥伴、商家和電信業者有哪些責任,需要確保資料安全?
RBM 是 Google 提供的大眾運輸技術。RBM 會在使用者和代表商家的服務專員之間傳送訊息。這些服務專員是由訊息合作夥伴、商家,以及在某些情況下為電信業者建立及操作。管理 RBM 服務代理人的實體 (在某些情況下為電信業者) 需要 RBM 訊息內容存取權,以利傳送訊息及達成其他目的。此外,Google 也需要 RBM 訊息內容存取權,才可提供垃圾訊息和濫用行為防範功能。
訊息合作夥伴、企業和電信業者必須各自負責遵守所有相關的資料安全、隱私權和當地法規要求。
RBM API 安全性
Google 可以取得 OAuth 提供者傳送的存取權杖嗎?
否,Google 不會取得 OAuth 提供者在使用者驗證期間傳送的存取權杖。OAuth 2.0 會使用 Proof Key for Code Exchange (PKCE) 保護驗證流程。
RBM 開發人員與 Google 之間的資料是如何加密?
開發人員可透過 HTTPS 存取 RBM API,這是安全網頁交易的全球標準。RBM API 支援使用 AES 256 和 SHA384 加密法的 TLS 1.3。
執行下列指令,檢查憑證鏈結、TLS 版本和支援的密碼:
openssl s_client -connect rcsbusinessmessaging.googleapis.com:443
驗證電話號碼
為了維護 Google 訊息應用程式的安全性,Google 如何驗證電話號碼是否仍屬於原使用者?
電話號碼的初步驗證:Google 會使用各種技術來驗證使用者的電話號碼 (即 MSISDN 或 Mobile Station International Subscriber Directory Number)。這些方法包括與電信業者直接整合 API、透過行動裝置傳送簡訊,以及要求使用者輸入電話號碼。確認電話號碼後,Google 可能會傳送一組隱藏的動態密碼簡訊,用於驗證電話號碼。
在初始驗證後維持安全性:電信業者可透過直接整合 API,定期向 Google 傳送 SIM/MSISDN 停用動態饋給,藉此停用 RCS,並為已停用的電話號碼停用 RBM。Google 也可能透過裝置信號 (例如 SIM 卡移除和 SIM 卡活動) 以及定期重新驗證電話號碼,監控電話號碼擁有權的變化。
隱私權與安全性
Google 會針對 RBM 代理商提供哪些報表?
Google 會根據過去 14 天的資料,針對每位服務專員的使用者、訊息和回覆總數提供內部報表。Google 會使用這項資料進行診斷、改善系統,以及為電信業者產生帳單報表。系統不會為了回報目的而儲存訊息內容。超過 14 天後,Google 只會儲存匯總報表資料,且沒有儲存期限限制。任何對外共用的匯總資料,其存留時間 (TTL) 為 63 天。
電信業者收到的帳單報表和活動記錄會在 Google 伺服器上儲存 30 天。電信合作夥伴可以選擇下載這些檔案,並視需要保留這些檔案。
Google 是否會將 RBM 以外的使用者資料用於其他用途?
根據DPA第 5.2 節的規定,Google 只會使用使用者資料提供及改善 RBM 服務。
舉例來說,Google 可能會對使用者資料執行下列操作:
- 偵測及防範垃圾內容和詐欺行為。
- 與電信合作夥伴分享未匯總的帳單報表和活動記錄。
- 評估及改善使用者和企業的 RBM 成效。
為達成這項目標,Google 會與合作夥伴分享匯總資料,協助他們改善訊息傳送體驗。詳情請參閱「Google 會針對 RBM 代理商提供哪些報表?」。
不過,Google 不會對使用者資料執行下列操作:
- 根據訊息內容指定廣告。
- 與任何競爭者或第三方共用訊息內容,但適用法律規定的執法機關除外。
Google 是否會閱讀商家與使用者之間的訊息?
Google 垃圾訊息偵測和防範功能可能會掃描商家傳送的訊息內容,檢查是否違反《使用規定》。Google 無法存取使用者傳送給商家的任何訊息內容。不過,如果使用者檢舉對話為垃圾內容,系統會採取以下行動:
- 系統會將傳送者的資訊和對方最近傳送的訊息提供給 Google,也可能會提供給使用者的電信業者。
- Google 垃圾訊息偵測和防範功能可能會暫時處理商家傳送的訊息內容,並使用這些信號訓練 AI 模型,藉此做出改進。
- Google 員工和承包商可能會查看垃圾訊息資訊,以利改進 Google 的垃圾訊息阻擋和濫用行為防範功能。人工審查員可在 30 天內存取這類資訊,以便進行稽核。為保護使用者隱私,審查垃圾訊息時,我們會遮蓋使用者的電話號碼。
如要進一步瞭解 Google 為保護使用者資料而設立的控管機制,請參閱 Google 的《隱私權政策》。
Google 會向商家提供哪些有關使用者的資訊?
為啟用 RBM 對話,Google 會將使用者電話號碼提供給商家,以便在對話中識別使用者。我們不會向商家分享其他個人資訊。
在《適用行為準則》中,「隱私權和安全性」部分是否限制商家蒐集及使用自家顧客的資訊?
Google 無意限制商家為客戶提供服務的能力。透過 RBM API 建立的使用者與商家對話,可由商家依據其隱私權政策的條款進行儲存。
在 RBM 服務條款中,下列內容代表什麼意思?「您必須取得並保存所有必要的同意聲明,以便根據本「RBM 條款」處理個人資料。」
Google 希望所有使用 RBM 的企業都遵守相關資料和安全法規 (例如《一般資料保護規則》),並提供隱私權政策,說明他們如何使用和/或分享使用者資料。開發人員必須提供服務專員的隱私權政策,才能進行啟用前審查。
Google 在商家接受稽核時的合作態度
我們的業務受到法規規範,可能會接受稽核。Google 會遵守規定嗎?
商家有責任確保公司符合相關法規。Google 只會依據適用法律回應法律強制執行機構和監管機構的查詢。
事件應變
Google 如何處理資料外洩事件?
請參閱 DPA 的 7.2 節「資料事件」。
不支援的網路功能
RBM 不支援哪些網路功能?
- 允許防火牆傳送自訂標頭
- Google 服務的無類別跨網域路由 (CIDR) 區塊範圍