VMware Workspace ONE® Unified Endpoint Management™ 隐私披露

生效日期：2018 年 11 月

第 I 部分：简介

本隐私披露涵盖 VMware 的统一端点管理软件 Workspace ONE® Unified Endpoint Management™ (UEM)（由 AirWatch® 提供技术支持），包括相关的 VMware 移动应用（以下统称为“本软件”）。本隐私披露的目的是告知购买本软件以进行统一端点管理的客户（以下简称为“客户”）以及设备由本软件管理的个人（以下简称为“用户”），本软件会收集与用户及其设备相关的哪些类型的信息。

用户应知晓，本软件收集的信息取决于客户配置本软件的方式。用户应查看客户的隐私策略或声明。此外，VMware 及其服务提供商可能会收集本软件的使用数据，以及客户关系数据。VMware 会根据 VMware 的隐私声明和 VMware 的服务条款使用这些数据。客户有责任向其用户提供所有必要的声明，并从用户处获取有关使用本软件的所有法律要求的授权或同意。

随着新功能特性的增加，此隐私披露随时可能更新。我们鼓励客户和用户定期查看此页面。

第 II 部分：软件概述

本软件使客户能够保护客户系统和信息（由用户通过企业拥有和用户拥有的设备进行访问）的保密性、安全性和完整性。本软件为客户提供的控件使客户能够管理其用户设备的访问权限和安全性。本软件包含一个客户特定的控制台，客户可在此管理其用户的设备（以下简称为“控制台”）以及在用户设备上安装的软件，用于 (i) 促进用户设备和控制台之间的通信，以及 (ii) 为用户提供各种高效工作应用（即电子邮件客户端，Web 浏览器等）。为客户或客户的用户提供的具体功能特性将取决于购买的具体版本/捆绑包，客户配置软件的方式，设备/平台（即 iOS、Android、Windows 等）以及用户使用的移动应用。控制台可能由客户在其自己的 IT 环境中托管（以下简称“本地”），或由 VMware 托管（以下简称“托管服务”）。

第 III 部分：控制台控制

控制台为客户提供的控件可协助他们遵守其法律义务，以及内部合规性计划和要求。为客户或客户的用户提供的具体功能特性将取决于购买的具体版本/捆绑包，客户配置软件的方式，设备/平台（即 iOS、Android、Windows 等）以及用户使用的移动应用。例如，客户可以通过控制台设置用户设备的密码复杂性、密码到期日以及屏幕锁定时间。客户还可选择为企业所有的设备和用户所有的设备启用不同的设置。下文中简要介绍了为客户提供的部分其他选项：

• 基础架构：客户选择是在本地托管控制台还是由 VMware 通过托管服务托管控制台。如果客户希望对托管控制台的环境（包括安全性）保持更高程度的控制，客户可以选择在本地托管控制台，而不是由 VMware 托管控制台。收集的数据通过控制台提供给客户。如果客户选择托管服务，则 VMware 也可通过控制台访问收集的数据；但 VMware 只会根据 VMware 服务条款中的表述使用这些数据。
  
  
• 数据收集：客户可使用控制台控制他们收集到的与用户设备相关的信息类型。此外，客户还可使用控制台针对企业专用、企业共享和用户所有的设备实施不同的数据收集。例如，客户可通过控制台启用或禁用对以下数据的收集。
  • GPS 数据
  • 运营商/国家/地区代码
  • 漫游状态
  • 蜂窝网络使用情况数据
  • 电话使用情况
  • 短信使用情况
  • 设备电话号码
  • 个人应用
  • 非纳管个人信息
  • 公共 IP 地址
• 设备命令：客户可使用控制台允许/阻止某些命令，可决定特定命令的执行是否需要用户权限：
  • 设备擦除
  • 清除设备密码/锁定设备
  • 文件管理器访问
  • 远程控制
  • 注册表管理器
  • 请求设备日志
• 显示用户数据：客户还可通过控制台中包含的设置决定 IT 管理员可通过控制台看到哪些用户数据。例如，客户可决定 IT 管理员是否可在控制台中看到以下用户数据：
  
  • 名字
  • 姓氏
  • 电话号码
  • 电子邮件帐户
  • 用户名

VMware 一直在更新并改进本软件，以包含新的功能特性。客户有责任确保在使用本软件时遵循其内部政策和法律要求，包括向用户提供所有必要的声明，并获得所有必要的同意。

第 IV 部分：通过本软件收集用户和设备数据

本软件收集的用户数据取决于客户购买的具体版本/捆绑包，客户配置本软件的方式，设备/平台（即 iOS、Android、Windows 等）以及用户使用的移动应用。下文中提供了本软件收集的数据示例。

• 本软件收集的一般用户和设备数据

  针对其核心企业移动化管理功能，本软件会收集用户和设备数据，例如：
  
  身份认证和身份验证信息

  • 身份认证详细信息（包括姓名、电子邮件地址、电话号码等）
  • 登录凭证和安全身份验证数据（包括证书、域信息、登录和注销日期和时间、用户名、注册 ID 等）

  就业信息

  • 雇主、职务、工作地址、员工编号
  • 客户的 Active Directory 中保留的信息

  设备信息

  • 设备类型、名称、品牌、型号、制造商，以及设备标识符，例如通用唯一标识符 (UUID)、国际移动终端设备标识 (IMEI)、移动设备标识符 (MEID)、序列号、国际移动用户识别码 (IMSI)、Internet 协议 (IP) 地址和介质访问控制 (MAC) 地址。
  • 最后上线信息（即设备上次连接到控制台的时间），日志数据
  • 设备操作系统相关信息（包括操作系统内部版本、版本、固件/内核版本等）
  • 电池容量和可用性、内存容量和可用性、存储容量和可用性
  • 设备上已安装的配置文件，包括用户设备的配置数据，以及客户在其控制台设置中所定义的要求的合规性状态
  • 设备的文件管理器和注册表管理器的相关信息（Android/Windows 设备）

  本软件还可能收集与以下内容相关的用户和设备数据：

  
  客户管理应用的相关数据：“客户管理应用”是由客户批准的应用，这些应用可由客户推送到用户设备，或者通过 AirWatch Agent®、Workspace ONE App Catalog™, Workspace ONE Intelligent Hub™ 或客户应用目录进行下载。这些移动应用可以是公共应用或内部创建的应用。所收集的与客户管理应用相关的信息可能包括：

  • 设备上安装的客户管理应用的名称和详细信息，例如应用名称、版本号、文件大小、配置设置、安装进度状态、应用故障错误代码等。
  • 使用客户管理应用生成的技术数据，例如启动活动、点击流数据、崩溃报告和日志文件，其中可能包含用户的个人数据。

  个人应用相关数据：“个人应用”是用户从公共应用商店（例如 Apple App Store、Google Play Store）购买或下载到其设备上的应用。它们不是客户自动推送到用户设备上的，并且不是通过本软件管理。本软件可能收集有限的个人应用详细信息（具体取决于客户配置本软件的方式），以协助客户了解/验证其用户下载的个人应用不会构成安全威胁。本软件不会收集或访问个人应用内的任何数据。所收集的与个人应用相关的信息可能包括：

  • 设备上安装的个人应用的名称、版本、标识符和总大小

  文件管理器访问：可通过文件管理器访问功能对设备的内部和外部存储进行只读访问。某些移动应用（例如 Workspace ONE Content™，以前称为 Content Locker）可能会请求访问用户的文件管理器，用于在用户设备和客户系统之间同步数据，将用户要发送的文件附加到电子邮件中等等。启用后，本软件即可收集设备存储（包括 SD 卡和本地存储的文件）的内容。

  
  电信和网络信息：本软件会收集某些电信数据，例如运营商信息、漫游状态和所用的网络。这些信息可帮助客户了解设备的连接方式、与设备通信以及强制执行在使用本软件的过程中客户实施的任何限制，例如防止将大型应用自动推送到正在漫游的设备。此电信和网络信息可能包含以下内容（具体取决于客户配置本软件的方式）：

  • 运营商信息（包括运营商设置版本、电话号码、信号强度、漫游状态、当前及用户手机国家/地区代码和国家/地区位置、当前及用户手机网络代码、SIM 运营商网络信息等）
  • 设备所用蜂窝技术的相关信息（例如全球移动通信系统标准 (GSM) 和码分多址 (CDMA)）
  • 所用 Wi-Fi 网络的 SSID、Internet 协议 (IP) 和介质访问控制 (MAC) 地址
  • 网络连接所用数据量、蜂窝数据使用情况和 Wi-Fi 带宽使用的聚合信息（不包含内容）

  通信数据：客户可配置本软件，以收集使用情况信息，例如接打电话数量和收发短信数量。这些信息可协助客户管理蜂窝移动网络计划的短信限制。本软件不会收集或访问短信、电话或个人电子邮件账户的内容。通信数据可能包含以下内容（具体取决于客户配置本软件的方式）：

  • 所用数据量、收发短信数量、电话使用量统计信息（接打电话数量、通话时长）、按注册的设备电话号码细分的内容
  • 发送人名称、接收人名称、日期、时间

  地理位置数据： 本软件会收集地理位置数据，具体取决于客户配置本软件的方式。本软件在默认情况下不会收集地址位置数据。本软件支持客户收集地址位置数据，这样客户就可以找到丢失的设备，或根据某些地理围栏位置分发功能和内容。用户可能会收到操作系统通知，询问用户是否同意收集地理位置数据，具体取决于设备的操作系统和平台。用户可更改选择，方法是进入设备设置并撤销地理位置许可。

  
  远程访问数据： 客户可使用本软件建立远程控制访问，这样客户的 IT 管理员就可以远程控制设备，协助用户排除设备故障。必须在设备上安装远程控制应用，在进行远程控制时可能还需要用户批准（具体取决于平台和配置）。此功能支持客户远程访问或控制设备，包括使用远程锁定、抓屏、设备远程重新引导或远程重新启动（适用于设备或应用）。
  
  

• VMware 专用移动应用功能的其他数据
  VMware 提供与本软件连接的多种移动应用（以下简称“VMware 移动应用”）。其中一些 VMware 移动应用会收集或共享其他数据，以支持其专用功能。例如，提供 VPN 或 Internet 浏览功能的 VMware 移动应用（如 Boxer 和 Web）会收集通过这些 VMware 移动应用访问的 URL。所收集和共享的数据会因移动应用提供的功能而异，如在产品文档中所做的进一步详细介绍。以下是具体 VMware 移动应用收集的其他数据的一些示例：
  • Workspace ONE Boxer™： Workspace ONE Boxer 提供对企业版电子邮件、日历和联系人的访问。Boxer 不会托管电子邮件或日历内容；而是在客户的后端电子邮件系统和用户设备之间提供直接通信。Boxer 在运行时会收集特定电子邮件标头信息（例如发件人/收件人姓名、日期、时间、主题行等）根据配置情况，Boxer 可以访问用户设备日历以叠加用户的企业日历；访问用户设备中的联系人以在 Boxer 中显示这些联系人；将企业联系人写入设备联系人应用以用于呼叫识别。用户可通过操作系统设置启用/禁用此功能。
  
  
  • Workspace ONE Web™： Workspace ONE Web 使用户能够通过安全 VPN 访问 Internet 和内联网站点。它还可提供单点登录功能，这样用户无需输入凭证即可访问客户指定的网站和 Web 应用。可通过用户设备上的 Web 和客户后端系统上的 Web 直接通信。Web 在运行时会收集其他特定信息，例如用户设备上的浏览器信息和浏览历史记录。Web 会记录使用 Web 查看的网站和网页的 URL，但 VMware 不能通过 Web 访问使用 Web 查看的内容。（要澄清的是，本软件对内容的访问仅限于客户在托管 VMware 服务中保留的内容。）
    
  
  
  • Workspace ONE Content™： 可在用户设备上使用 Workspace ONE Content 上传、存储、编辑、共享和访问客户内容。这些内容存储在用户设备上的企业容器中，或存储在服务器端托管存储库中，客户可使用本软件托管该存储库（本地或托管服务，取决于客户部署方式），客户也可使用第三方服务维护该存储库。用户可在其设备上使用 Content 移动应用安全地访问、分发内容并就内容进行协作。客户可配置 Content，允许或限制对特定内容的访问。如果使用 Content，本软件获得的数据包括访问和共享文件的日期和时间、文件大小、文件名、用户在 Content 中操作的历史记录，以及用户通过 Content 与他人互动的详细信息。Content 具有地理围栏功能，客户的 IT 管理员可对 Content 中存储的内容访问权限施加地理围栏限制。地理围栏功能不会将用户的地理位置数据传输到控制台；Content 移动应用只在设备上本地使用地理位置数据来执行地理围栏功能。
  
  
  • Workspace ONE People™： 用户可使用 Workspace ONE People 应用访问客户维护的企业和用户信息，例如组织结构图、办公地点、管理分层结构、员工目录照片和联系人信息。个人信息的详细程度可由客户配置。
  
  
  • Agent 应用的 OEM 补充：VMware 会对某些客户运行随其标准 AirWatch Agent 移动应用提供的自定义 OEM（原始设备制造商，指硬件或平台制造商）移动应用，或用于管理移动设备的 Workspace ONE Intelligent Hub。这些 OEM 移动应用可提供其他功能，并根据客户和/或设备规范收集其他数据点。例如，其中包含运营商代码、电池运行状况的相关信息，以及与客户设备或产品规范相关的其他数据。
• 软件开发工具包 (SDK)：Workspace ONE 软件开发工具包（以下简称“Workspace ONE SDK”）是一个代码库，移动应用开发人员可在自己的非 VMware 移动应用中用它来构建安全、配置和管理功能。使用 Workspace ONE SDK 的应用会收集特定数据并传回 VMware，例如上述身份认证和身份验证信息和设备信息，以及下述崩溃报告数据和分析数据。应用在使用 Workspace ONE SDK 提供安全加密链路功能时，还会将使用安全加密链路功能访问的站点 URL 传输到 VMware 的系统中。使用 Workspace ONE SDK 的第三方应用的开发人员还可配置 Workspace ONE SDK，自行决定是否收集其他自定义数据点。本隐私披露只介绍 VMware 通过 Workspace ONE SDK 收集的用户数据；不涉及可能在其非 VMware 移动应用中包含 Workspace ONE SDK 的第三方开发人员的做法。
  
  
• 崩溃报告： 本软件可收集崩溃报告，包括 VMware 移动应用生成的崩溃报告（以下简称“崩溃报告”）。客户 IT 管理员可通过控制台设置禁止收集崩溃报告。崩溃报告中可能包含用户数据，例如 IP/MAC 地址、设备信息（包括唯一标识符、设备类型、运营商、操作系统、型号、系统等），以及地理位置信息。崩溃报告通过本软件提供给客户，支持客户对用户问题进行故障排除。VMware 也会使用崩溃报告改进我们的产品和服务，进行故障排除，并为客户提供支持。
  
  
• 分析数据： VMware 会从客户及其用户处收集特定配置、性能、使用情况和其他分析数据，并用于多种用途，包括改进我们的产品和服务、修复问题、帮助我们更好地了解客户如何使用我们的产品和服务，并针对如何对我们的产品和服务进行最佳部署和最佳使用方法向客户提供建议。客户/用户在使用 Workspace ONE 品牌的产品和服务时，可参与若干不同的数据收集计划。请参阅 Workspace ONE 信任和保证页面，了解更多信息。
  
  
• 运维数据：VMware 会监控并收集与客户及其用户使用本软件相关的配置、性能、使用情况和使用量数据（统称为“运维数据”），以便更好地提供服务，如 VMware 隐私声明中所述。

第 V 部分：设备擦除

本软件支持两种不同类型的设备擦除：

• 企业级擦除 - 企业级擦除会删除所有客户管理应用，以及客户管理应用中存储的所有信息。企业级擦除不会删除个人应用，或个人应用中存储的照片、视频、短信或个人电子邮件。
  
  
• 全面设备擦除 - 全面设备擦除是指完全恢复出厂设置。全面设备擦除将删除设备中的所有数据和应用。

客户的 IT 管理员可选择要启用的设备擦除功能，并在控制台中手动或通过自动化合规性操作执行擦除。特定设备注册后，无法打开对该设备的全面设备擦除功能，也就是说，如果在用户注册设备时关闭了此设置，即使客户之后在控制台中启用了全面设备擦除设置，也无法对该用户设备执行全面设备擦除。用户可能可以通过自服务门户对其设备执行企业级擦除，具体取决于客户的配置。

第 VI 部分：用户透明度

在设备注册过程中，本软件会将一个隐私对话框推送到用户的移动设备，这样用户就可以查看本软件在其设备上启用的设置摘要。用户在某些情况下还能通过自服务门户和/或设备设置控制本软件对某些功能特性的启用。VMware 提供的大多数 VMware 移动应用的隐私对话框包括 (i) 此移动应用收集的数据概述，(ii) 移动应用将要请求的权限，以及 (iii) 向 VMware 发送分析数据的选项（除非客户已禁止所有用户发送分析数据）。客户还可通过控制台使用本软件提供的功能，通过隐私对话框向用户提供指向隐私声明的链接。

本软件中允许控制台监控设备的部分在设备后台运行，可能不会在这些功能工作时实时提供其他通知。

第 VII 部分：数据主体访问请求

对于因提供本软件及任何相关服务而处理的数据，VMware 与拥有这些数据的用户没有直接关系。如果用户希望访问，或希望更正、修改或删除不准确的数据，应询问客户。如果客户要求 VMware 修改或删除数据，我们会根据与适用客户的协议或适用法律的要求响应客户的请求。

第 VIII 部：如何联系我们

如果您对本隐私披露有任何问题或顾虑，请发送电子邮件至 privacy@vmware.com 或寄信至 Office of the General Counsel of VMware, Inc., 3401 Hillview Ave, Palo Alto, California, 94304, USA。