数据隐私和安全

此页面介绍 Meta 如何以独立服务形式提供云端 API,以便商家通过 WhatsApp 向用户大规模发送消息。Meta 还会提供额外的可选服务,供商家选择与云端 API 搭配使用。例如,商家可以利用 Meta 的 AI 功能,通过云端 API 与客户对话。当商家选择使用这类服务时,可能会有不同的条款适用。请查阅适用文档,详细了解 Meta 如何处理用于这类服务的数据。

消息流程

当用户向其中一个企业发送消息时,消息会在用户与云端 API 之间进行端到端加密传输。根据 Signal 协议,用户与代表商家的云端 API 会协商加密密钥并建立安全的沟通渠道。WhatsApp 无法访问用户与商家交流的任何消息内容。

云端 API 收到消息后,会将消息解密并转发给商家。云端 API 只会暂时存储消息,以便提供基本的 API 功能。

商家向用户发送的消息按照相反路径传输。商家向云端 API 发送消息。云端 API 服务暂时存储消息,并负责将消息发送至 WhatsApp 平台。存储消息的目的是为了在必要时重新传输消息。

云端 API 将所有消息加密后,再使用 Signal 协议和与用户(收信人)协商的密钥,将消息发送至 WhatsApp。

WhatsApp 相当于传输服务,同时提供客户端和服务器的消息转发软件。它无法查看所发送的消息内容,但可以检测异常的消息模式(例如商家试图向所有用户发送消息)或收集用户报告的垃圾消息,以便保护用户。

云端 API 由 Meta 运营,相当于 WhatsApp 与云端 API 商家的中间方。换句话说,这些商家授权云端 API 代表他们操作。因此,WhatsApp 会将所有发往这些商家的消息都转发到云端 API。同时,WhatsApp 也应该会从云端 API 接收所有来自这些商家的消息。这是与本地客户端相同的客户端运作方式。

Meta 在提供云端 API 服务时,相当于代表商家操作的数据处理方。因此,商家已请求 Meta 提供程序化的方式来访问 WhatsApp Business 开放平台。

云端 API 会从 WhatsApp 接收发往使用云端 API 的商家的消息。云端 API 也会将这些商家发出的消息发送到 WhatsApp。Meta 的其他部分(除了云端 API 以外)无法访问云端 API 商家的通讯,包括消息内容。Meta 不会将任何云端 API 数据用于广告发布。

存储和收集的数据

云端 API 收集、存储和访问的所有数据都受到控制和监控,以确保数据得到正当使用,并维护 WhatsApp 客户端所期望的高度隐私保护。

商家的相关信息,包括公司电话号码、营业地址等等,由 Meta 和商务管理平台产品维护,并受 Meta 制定的服务条款所约束。云端 API 依赖商务管理平台和其他 Meta 系统来代表商家识别用户对云端 API 的任何访问权限。

通过云端 API 发送或接收的消息仅限云端 API 访问,Meta 的任何其他部分都不能使用此信息。消息保留期限最长 30 天,旨在提供云端 API 服务的基本特性和功能,例如重新传输。30 天过后,就无法再使用这些特性和功能。

除了用来识别帐号的电话号码之外,云端 API 不需依赖与商家通讯的用户(客户/消费者)的任何相关信息。仅在通过 WhatsApp 客户端代码发送消息时才会使用此信息。用户电话号码用作个别消息的来源或目的地,因此,当删除消息时,用户电话号码也会被删除。除了云端 API 以外,Meta 的任何其他部分都不能访问此信息。

绝不会有任何消息内容分享或发送给 WhatsApp,也没有任何 WhatsApp 员工可以访问任何消息内容。

云端 API 数据系统是否可供 Meta 其他部分使用?是否可供 WhatsApp 使用?

消息内容

云端 API

消费者电话号码

云端 API

无法识别身份的统计数据

云端 API

诚信信号 - 依商家而定

WhatsApp 客户端

商业信息

商务管理平台

账单 - 依商家而定

WhatsApp

常见问题

Meta 不会使用 WhatsApp 消息来决定用户看到的广告。但是,屡见不鲜的是,商家可以出于自身营销目的使用收到的消息,包括为了在 Facebook 或其他渠道(例如邮箱或电视)发布广告。

云端 API 在 Meta 数据中心运行,除非公司自己选择使用云端 API 本次存储选项。Meta 在北美和欧盟设有数据中心。

消息静止数据会加密。这些数据会在 30 天后被自动删除。

和其他所有 WhatsApp Business API 解决方案合作伙伴一样,Meta 会代表公司管理加密和解密密钥。为了让公司能够通过云端 API 发送和接收消息,云端 API 会代表公司管理加密/解密密钥。Meta 负责运行云端 API,根据 Meta 条款的规定,云端 API 只能用于传递消息。WhatsApp 没有密钥和消息的访问权限。

我们获得了 SOC 2 II 类报告。请访问我们的 Meta 业务消息合规中心 ,了解更多详情。

一直以来,Meta 都非常重视数据保护和用户的隐私安全,未来我们也将一如既往地遵守数据保护方面的法律。云端 API 让我们的客户可以继续遵守他们在《通用数据保护条例》(GDPR) 下的义务。Meta 旨在遵守适用法律、行业和监管要求,并且符合行业最佳实践。 查看更多信息

Meta 和 WhatsApp 将数据从欧盟和/或英国传输到美国时,使用了符合 GDPR 要求的适当传输机制。

如要了解更多信息,请参阅下方的法律条款:

请查看应遵守的 WhatsApp Business 数据处理条款Meta 云端 API 托管条款, 获取适用的分包处理方列表。

我们将确保商家和合作伙伴能继续使用业务解决方案,同时保障他们数据的安全无虞。