官方隐私条款
一、总则
本隐私条款(以下简称 “本条款”)是您(以下简称 “开发者”)与 TikTok(以下简称 “平台”)就 API 服务使用过程中个人信息处理活动订立的合规约定,是 API 服务条款的补充协议。
开发者申请、使用 TikTok API(包括接口、SDK 及相关工具,以下统称 “API 服务”),或实际处理通过 API 获取的任何个人信息,即视为已充分阅读、理解并同意本条款全部内容,以及全球适用的数据保护法规(包括但不限于中国《个人信息保护法》、欧盟 GDPR、美国 CCPA 等)。
平台有权根据法规更新或业务调整修改本条款,修改后将通过开发者后台公示,公示后 7 日内开发者未提出书面异议或继续使用 API 服务的,视为接受修改后的条款。
二、核心定义
个人信息:指以电子或其他方式记录的与已识别或可识别自然人相关的各种信息,不包括匿名化处理后的信息,包括但不限于用户昵称、联系方式、行为数据等。
敏感个人信息:指一旦泄露或非法使用,易导致自然人人格尊严受侵害或人身、财产安全受危害的个人信息,包括生物识别信息、医疗健康信息、金融账户信息等。
数据处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期活动。
匿名化处理:指通过技术手段处理个人信息,使其无法识别特定自然人且不能复原的过程。
三、数据处理核心原则
合法正当诚信原则:开发者处理个人信息必须具有合法依据,不得通过误导、欺诈、胁迫等方式获取或处理数据,不得违反法律法规和公序良俗。
目的明确最小必要原则:仅能为实现 API 获批用途收集必要的最少个人信息,不得超出约定目的处理数据,不得收集与功能无关的信息。
公开透明原则:必须以清晰易懂的方式向用户告知数据处理规则,包括处理目的、方式、范围、存储期限等关键信息,保障用户的知情权。
安全保障原则:采取与数据风险等级匹配的安全保护措施,确保个人信息的保密性、完整性和可用性,防止数据泄露、丢失或篡改。
四、开发者数据处理义务
(一)数据收集与同意
收集个人信息前必须获得用户明确、自愿的同意,同意需由用户主动作出(如勾选确认、点击授权按钮),不得默认勾选或强制捆绑同意。
向用户告知的内容需包含:数据处理者身份及联系方式、处理目的与方式、个人信息种类、存储期限、用户权利行使方式等,敏感个人信息需单独获取同意。
若变更数据处理目的或方式,需重新获取用户同意,并及时更新隐私政策。
(二)数据使用与存储
仅可在 API 获批的权限范围内使用数据,不得超范围、超场景处理,不得将数据用于营销推广、用户画像等未明确告知的用途。
个人信息存储期限不得超过实现处理目的所需的最短时间,超出期限后需立即采取匿名化处理或彻底删除,法律法规另有规定的除外。
禁止买卖、出租、共享个人信息,不得向第三方提供个人信息,除非获得用户单独同意并向平台报备。
不得对个人信息进行解码、去匿名化、反向工程或重新识别身份等操作。
(三)数据安全保障
建立完善的数据安全管理制度,部署数据泄露防护(DLP)、访问控制等技术措施,对数据传输采用 TLS 1.2 及以上版本加密,敏感数据存储需采用 AES-256 等强加密算法。
限制数据访问权限,基于角色分配最小操作权限,记录完整的访问日志并至少留存 6 个月,日志需不可篡改。
定期开展数据安全审计和风险评估,每季度至少进行一次安全演练,及时修复系统漏洞。
发生或可能发生数据泄露时,需立即采取补救措施,在 24 小时内通知平台,并在 72 小时内告知受影响用户及相关监管部门,同时提供泄露原因、影响范围及补救措施说明。
五、用户权利保障
开发者需为用户提供便捷的权利行使渠道,支持用户查询、更正、补充、删除其个人信息,以及撤回同意。
收到用户权利行使请求后,需在 15 个工作日内完成核查并响应,不得无故拒绝或拖延,法律法规另有规定的除外。
不得因用户撤回同意或行使数据权利,拒绝向其提供 API 相关的产品或服务(处理个人信息为提供服务所必需的除外)。
若通过 API 进行自动化决策(如精准推荐、资格审核),需保证决策透明度和结果公平公正,不得实行不合理差别待遇,用户有权要求说明决策依据并拒绝仅通过自动化决策作出的重大决定。
六、数据跨境传输规则
开发者向境外提供个人信息的,需遵守数据输出地和接收地的法律法规,确保传输路径合法合规。
符合以下情形之一的,需提前向平台报备并完成相应合规程序:
向境外提供重要数据或 1 万人以上敏感个人信息;
累计向境外提供 10 万人以上个人信息;
关键信息基础设施运营者向境外提供个人信息或重要数据。
跨境传输需采取必要保障措施,包括签订标准合同、通过个人信息保护认证或获得数据出境安全评估批准等,确保境外接收方的数据保护水平不低于法定标准。
无需申报数据出境安全评估的情形,需留存相关证明材料至少 3 年,以备平台和监管部门核查。
七、禁止行为
开发者不得利用 API 服务从事以下数据处理行为:
非法收集、窃取、篡改、泄露个人信息,或买卖、提供、公开个人信息;
基于种族、宗教、性别、年龄等敏感特征进行歧视性处理或煽动歧视;
利用数据进行监视、跟踪或侵犯用户隐私权的行为;
超出约定范围处理数据,或未经同意将数据用于自动化决策并对用户权益产生重大影响;
规避、绕开平台数据安全防护措施,或对 API 进行反向工程以获取未授权数据;
其他违反数据保护法规或本条款的行为。
八、平台权利与责任
平台有权对开发者的数据处理活动进行监督、核查,要求开发者提供隐私合规证明材料、数据处理记录等。
发现开发者存在违规处理数据行为的,平台有权采取警告、限制 API 调用、暂停或终止服务等措施,必要时向监管部门报告。
平台尊重开发者的合法知识产权和商业秘密,不泄露开发者在合规范围内的业务数据,法律法规要求或开发者同意的除外。
平台提供 API 技术文档和基础合规指导,但开发者独立承担数据处理活动产生的法律责任和用户纠纷。
九、违约责任
开发者违反本条款或相关数据保护法规的,需承担由此造成的全部损失(包括平台损失、用户赔偿及监管处罚等)。
因开发者违规处理数据导致平台被处罚或卷入纠纷的,开发者需全额赔偿平台的直接损失和间接损失(包括律师费、诉讼费等)。
若开发者行为涉嫌违法犯罪,平台将移交司法机关处理,并保留追究其法律责任的权利。
十、争议解决与适用法律
本条款的解释和执行适用中华人民共和国法律(开发者位于境外的,适用双方约定的管辖地法律)。
因本条款产生的争议,双方应先友好协商解决;协商不成的,任何一方有权向平台所在地有管辖权的人民法院提起诉讼。
十一、其他
本条款未约定的事项,适用 API 服务条款及平台公示的其他数据安全规则。
开发者若对本条款有疑问,可通过开发者后台客服渠道咨询;平台的合规指引、技术文档等均为本条款的补充说明,与本条款具有同等效力。
