Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now

Firebase 中的隱私和安全

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

本頁概述了 Firebase 的關鍵安全和隱私信息。無論您是希望使用 Firebase 啟動一個新項目,還是想了解 Firebase 如何與您現有的項目協同工作,請繼續閱讀以了解 Firebase 如何幫助保護您和您的用戶。

最後修改時間:2022 年 9 月 13 日

數據保護

Firebase 對 GDPR 和 CCPA 的支持

2018 年 5 月 25 日,歐盟通用數據保護條例 (GDPR) 取代了 1995 年歐盟數據保護指令。 2020 年 1 月 1 日,加州消費者隱私法 (CCPA) 生效。 Google 致力於幫助我們的客戶在這些隱私法規下取得成功,無論他們是大型軟件公司還是獨立開發者。

GDPR 對數據控制者和數據處理者施加了義務,而 CCPA 對企業及其服務提供商施加了義務。 Firebase 客戶通常充當“數據控制者”(GDPR) 或“企業”(CCPA),負責他們向 Google 提供的與使用 Firebase 相關的任何個人數據或信息,而 Google 通常作為“數據處理器”(GDPR)或“服務提供商”(CCPA)。

這意味著數據在客戶的控制之下。客戶有責任履行個人對其個人數據或信息的權利等義務。

Firebase 數據處理和安全條款

當客戶使用 Firebase 時,Google 通常是 GDPR 下的數據處理者,並代表他們處理個人數據。同樣,當客戶使用 Firebase 時,Google 通常作為 CCPA 下的服務提供商,代表他們處理個人信息。 Firebase 條款包括詳細說明這些責任的數據處理和安全條款

Google Cloud Platform (GCP) 服務條款約束的某些 Firebase 服務已包含在相關的數據處理條款、 GCP 數據處理和安全條款中。 Firebase 服務的服務條款中提供了當前受 GCP 服務條款約束的 Firebase服務的完整列表。

Crashlytics 和 App Distribution 受Firebase Crashlytics 和 Firebase App Distribution 服務條款的約束,並受相關數據處理條款的約束。

Google Analytics for Firebase 和 Google Analytics 分別受Google Analytics for Firebase 服務條款Google Analytics 服務條款以及Google Ads 數據處理條款的約束。有關更多信息,請參閱保護您的數據

Firebase 已通過主要隱私和安全標準的認證

ISO 和 SOC 合規性

所有 Firebase 服務(App Indexing 除外)均已成功完成ISO 27001SOC 1SOC 2SOC 3評估流程,部分還完成了ISO 27017ISO 27018認證流程。可通過合規報告管理器請求受 GCP 服務條款約束的 Firebase 服務的合規報告和證書

服務名稱ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics for Firebase
Firebase 機器學習
Firebase 測試實驗室
雲防火牆
Firebase 的雲函數
Firebase 的雲存儲
Firebase 身份驗證
Firebase Crashlytics
Firebase 應用檢查
Firebase 應用分發
Firebase 應用內消息
Firebase 雲消息傳遞
Firebase 性能監控
Firebase 託管
Firebase 動態鏈接
Firebase 遠程配置
Firebase 實時數據庫
Firebase 平台
Firebase A/B 測試

國際數據傳輸

隱私護盾框架提供了一種機制,可在將 EEA、英國或瑞士的個人數據傳輸到美國及以後的地方時遵守數據保護要求。鑑於歐盟法院對數據傳輸的裁決,使歐盟-美國隱私護盾無效,Firebase 已轉向依賴標準合同條款進行相關數據傳輸,根據裁決,該條款可以繼續作為根據 GDPR 傳輸數據的有效法律機制。歐盟委員會於 2021 年 6 月 4 日批准了新版本的標準合同條款,我們正在將其納入與 Firebase 客戶的相關數據傳輸合同中。

我們致力於為符合適用的數據保護法律的數據傳輸提供合法依據。

數據處理信息

Firebase 處理的最終用戶數據示例

某些 Firebase 服務會處理您的最終用戶的數據以提供服務。下圖舉例說明了各種 Firebase 服務如何使用和處理可能被識別的最終用戶數據。此外,許多 Firebase 服務提供請求刪除特定數據或控制數據處理方式的能力。

Firebase 服務最終用戶數據數據如何幫助提供服務
Firebase 的雲函數
  • IP 地址

如何提供幫助: Cloud Functions 使用 IP 地址來執行基於最終用戶操作的事件處理函數和 HTTP 函數。

保留:雲功能只是臨時保存IP地址,以提供服務。

Firebase 身份驗證
  • 密碼
  • 電子郵件地址
  • 電話號碼
  • 用戶代理
  • IP 地址

如何提供幫助: Firebase 身份驗證使用數據來啟用最終用戶身份驗證,並促進最終用戶帳戶管理。它還使用用戶代理字符串和 IP 地址來提供額外的安全性並防止註冊和身份驗證期間的濫用。

保留: Firebase 身份驗證將記錄的 IP 地址保留幾週。它會保留其他身份驗證信息,直到 Firebase 客戶開始刪除關聯用戶,然後在 180 天內從實時和備份系統中刪除數據。

Firebase 應用檢查
  • 來自受支持的證明提供者的證明材料
  • 來自成功證明的 App Check 令牌

如何提供幫助: Firebase App Check 使用相應證明提供商所需的證明材料,並從最終用戶的設備接收到證明材料,以幫助建立設備和/或應用程序的完整性。證明材料根據開發者的配置發送到相應的證明提供者進行驗證。從成功的證明中獲得的 App Check 令牌會隨每個請求一起發送到支持的 Firebase 服務,以訪問受 App Check 保護的資源。

保留: App Check 不保留證明材料,但在將其發送給證明提供者時,它受這些證明提供者的條款約束。成功證明返回的 App Check 令牌在其 TTL 持續時間內有效,不能超過 7 天。 Firebase 服務不保留應用檢查令牌。

Firebase 應用分發

如何提供幫助: Firebase App Distribution 使用數據將應用構建分發給測試人員、監控測試人員活動並將數據與測試人員設備相關聯。

保留: Firebase App Distribution 會保留用戶信息,直到 Firebase 客戶請求刪除,然後在 180 天內從實時和備份系統中刪除數據。

Firebase 雲消息傳遞
  • Firebase 安裝 ID

如何提供幫助: Firebase Cloud Messaging 使用 Firebase 安裝 ID 來確定要將消息傳遞到哪些設備。

保留: Firebase 會保留 Firebase 安裝 ID,直到 Firebase 客戶調用 API 刪除 ID。通話後,數據會在 180 天內從實時和備份系統中刪除。

Firebase Crashlytics
  • Crashlytics 安裝 UUID
  • 崩潰痕跡
  • Breakpad minidump 格式化數據
    (僅 NDK 崩潰)

如何提供幫助: Firebase Crashlytics 使用崩潰堆棧跟踪將崩潰與項目相關聯,向項目成員發送電子郵件警報並將其顯示在 Firebase 控制台中,並幫助 Firebase 客戶調試崩潰。它使用 Crashlytics 安裝 UUID 來衡量受崩潰影響的用戶數量,並使用小型轉儲數據來處理 NDK 崩潰。 minidump 數據在崩潰會話被處理時被存儲,然後被丟棄。有關收集的用戶信息類型的更多詳細信息,請參閱存儲設備信息示例

保留: Firebase Crashlytics 將崩潰堆棧跟踪、提取的小型轉儲數據和相關標識符(包括 Crashlytics 安裝 UUID)保留 90 天。

Firebase 動態鏈接
  • 設備規格 (iOS)
  • IP 地址 (iOS)

它的幫助:動態鏈接使用 iOS 上的設備規格和 IP 地址將新安裝的應用程序打開到特定頁面或上下文。

保留:動態鏈接僅臨時存儲設備規格和 IP 地址,以提供服務。

Firebase 託管
  • IP 地址

如何幫助:託管使用傳入請求的 IP 地址來檢測濫用情況並為客戶提供使用數據的詳細分析。

保留:主機將 IP 數據保留幾個月。

Firebase 性能監控
  • Firebase 安裝 ID
  • IP 地址

如何提供幫助:性能監控使用 Firebase 安裝 ID 來計算訪問網絡資源的唯一 Firebase 安裝的數量,以確保訪問模式足夠匿名。它還使用 Firebase 安裝 ID 和 Firebase 遠程配置來管理性能事件報告的速率。此外,它使用 IP 地址將性能事件映射到它們的來源國家。有關詳細信息,請參閱數據收集

保留:性能監控將安裝和 IP 相關事件保留 30 天,並將去識別的性能數據保留 90 天。

Firebase 應用內消息
  • Firebase 安裝 ID

如何提供幫助: Firebase 應用內消息傳遞使用 Firebase 安裝 ID 來確定將消息傳遞到哪些設備。

保留: Firebase 會保留 Firebase 安裝 ID,直到 Firebase 客戶調用 API 刪除 ID。通話後,數據會在 180 天內從實時和備份系統中刪除。

Firebase 實時數據庫
  • IP 地址
  • 用戶代理

如何提供幫助:實時數據庫使用 IP 地址和用戶代理來啟用分析器工具,這有助於 Firebase 客戶了解使用趨勢和平台故障。

保留:實時數據庫將 IP 地址和用戶代理信息保留幾天,除非客戶選擇將其保存更長時間。

Google Analytics for Firebase

如何提供幫助: Google Analytics for Firebase 使用這些數據來提供分析和歸因信息。收集的精確信息可能因設備和環境而異。有關詳細信息,請參閱數據收集

保留: Google Analytics for Firebase 將某些廣告標識符相關數據(例如,Apple 的廣告商標識符和供應商標識符、Android 的廣告 ID)保留 60 天,並保留匯總報告而不會自動過期。用戶級數據(包括轉化)的保留時間最長為 14 個月。對於所有其他事件數據,您可以在 Google Analytics for Firebase 設置中將保留時間設置為 2 個月或 14 個月。了解更多

Firebase 遠程配置
  • Firebase 安裝 ID

如何提供幫助:遠程配置使用 Firebase 安裝 ID 來選擇配置值以返回給最終用戶設備。

保留: Firebase 會保留 Firebase 安裝 ID,直到 Firebase 客戶調用 API 刪除 ID。通話後,數據會在 180 天內從實時和備份系統中刪除。

Firebase 機器學習
  • 上傳的圖片
  • 安裝授權令牌

它的幫助:基於雲的 API 臨時存儲上傳的圖像,以處理並將分析返回給您。存儲的圖像通常會在幾個小時內被刪除。有關更多信息,請參閱 Cloud Vision數據使用常見問題解答

Firebase ML 在與應用實例交互時使用安裝身份驗證令牌進行設備身份驗證,例如,將開發人員模型分發到應用實例。

保留:安裝授權令牌在到期日期之前一直有效。默認令牌生命週期為一周。

Crashlytics 收集的存儲設備信息示例

  • 一個 RFC-4122 UUID,它允許我們對崩潰進行重複數據刪除
  • 崩潰發生時的時間戳
  • 應用程序的捆綁標識符和完整版本號
  • 設備的操作系統名稱和版本號
  • 一個布爾值,指示設備是否已越獄/root
  • 設備的型號名稱、CPU 架構、RAM 量和磁盤空間
  • 每個當前正在運行的線程的每一幀的 uint64 指令指針
  • 如果在運行時可用,則包含每個指令指針的純文本方法或函數名稱。
  • 如果拋出異常,異常的純文本類名和消息值
  • 如果引發了致命信號,它的名稱和整數代碼
  • 對於加載到應用程序中的每個二進製圖像,它的名稱、UUID、字節大小和加載到 RAM 中的 uint64 基地址
  • 一個布爾值,指示應用程序在崩潰時是否在後台
  • 一個整數值,指示崩潰時屏幕的旋轉
  • 一個布爾值,指示設備的接近傳感器是否被觸發

性能監控收集的信息示例

  • 一般設備信息,例如型號、操作系統和方向
  • RAM 和磁盤大小
  • CPU使用率
  • 運營商(基於移動國家和網絡代碼)
  • 無線電/網絡信息(例如,WiFi、LTE、3G)
  • 國家(基於 IP 地址)
  • 地區/語言
  • 應用版本
  • 應用前台或後台狀態
  • 應用包名稱
  • Firebase 安裝 ID
  • 自動跟踪的持續時間
  • 網絡 URL(不包括 URL 參數或負載內容)和以下相應信息:
    • 響應代碼(例如,403、200)
    • 有效負載大小(以字節為單位)
    • 響應時間

查看性能監控收集的自動跟踪的完整列表

啟用選擇加入最終用戶數據處理的指南

上表中的服務需要一定數量的最終用戶數據才能發揮作用。因此,在使用這些服務時不可能完全禁用數據收集。

如果您是希望為用戶提供選擇加入服務的機會以及隨之而來的數據收集的客戶,在大多數情況下,您只需要在使用服務之前添加一個對話框或設置切換。

但是,某些服務在包含在應用程序中時會自動啟動。為了讓用戶有機會在使用這些服務之前選擇加入,您可以選擇禁用每個服務的自動初始化,並在運行時手動初始化它們。要了解如何操作,請閱讀以下指南:

數據存儲和處理位置

除非服務或功能提供數據位置選擇,否則 Firebase 可能會在 Google 或其代理維護設施的任何地方處理和存儲您的數據。潛在的設施位置因服務而異。

僅限美國的服務

Firebase 身份驗證服務僅在美國數據中心運行。因此,Firebase 身份驗證僅在美國處理數據。

全球服務

大多數 Firebase 服務在全球 Google 基礎架構上運行。他們可以在任何Google Cloud Platform 位置Google 數據中心位置處理數據。對於某些服務,您可以進行特定的數據位置選擇,將處理限制在該位置。

  • Firebase 的雲存儲
  • 雲防火牆
  • Firebase 的雲函數
  • Firebase 託管
  • Firebase Crashlytics
  • Firebase 性能監控
  • Firebase 動態鏈接
  • Firebase 遠程配置
  • Firebase 雲消息傳遞
  • 谷歌分析
  • Firebase 機器學習
  • Firebase 測試實驗室
  • Firebase 應用檢查

安全信息

數據加密

Firebase 服務使用 HTTPS 對傳輸中的數據進行加密,並在邏輯上隔離客戶數據。

此外,一些 Firebase 服務也會對其靜態數據進行加密:

  • 雲防火牆
  • Firebase 的雲函數
  • Firebase 的雲存儲
  • Firebase Crashlytics
  • Firebase 身份驗證
  • Firebase 雲消息傳遞
  • Firebase 實時數據庫
  • Firebase 測試實驗室
  • Firebase 應用檢查
  • Firebase 性能監控

安全實踐

為了保證個人數據的安全,Firebase 採用了廣泛的安全措施來最大限度地減少訪問:

  • Firebase 將訪問權限限制為具有訪問個人數據的商業目的的選定員工。
  • Firebase 記錄員工對包含個人數據的系統的訪問。
  • Firebase 僅允許使用 Google 登錄和2 因素身份驗證登錄的員工訪問個人數據。

Firebase 服務數據

Firebase 服務數據是 Google 在提供和管理 Firebase 服務*期間收集和生成的個人信息,不包括我們的客戶協議中定義的客戶數據** ,涵蓋 Firebase 服務和Google 雲服務數據。 Firebase 服務數據的示例包括有關服務使用的信息、資源標識符(如應用程序 ID 和包名稱/捆綁包 ID)、使用的技術和操作詳細信息(如 IP 地址),以及通過反饋和支持相關對話與開發人員直接通信。

*涵蓋的服務包括 Firebase A/B 測試、Firebase 應用檢查、Firebase 應用分發、Firebase 雲消息傳遞、Firebase Crashlytics、Firebase 動態鏈接、Firebase 託管、Firebase 應用內消息傳遞、Firebase ML、Firebase 性能監控、Firebase 實時數據庫、Firebase遠程配置和 Firebase 用戶分段存儲。

**有關我們如何處理客戶數據的更多信息,請參閱我們的Firebase 數據處理和安全條款以及Crashlytics 和應用分發數據處理和安全條款

Firebase 如何處理 Firebase 服務數據的示例

Google 根據我們的隱私政策和適用條款使用 Firebase 服務數據。例如,Firebase 服務數據用於:

  • 提供您請求的 Firebase 服務
  • 提出建議以優化 Firebase 服務的使用
  • 維護和改進 Firebase 服務
  • 提供和改進您要求的其他服務
  • 了解您對 Firebase 和其他 Google 服務的使用情況
  • 為您提供更好的支持和溝通
  • 保護您、我們的用戶、公眾和 Google
  • 遵守法律義務

非 Firebase Google 服務使用 Firebase 服務數據

您可以控制 Google 是否可以使用您的 Firebase 服務數據來提供有關非 Firebase Google 服務的更深入分析、見解和建議,並改進非 Firebase Google 服務。您可以在 Firebase 數據隱私設置頁面中進行配置。

如果禁用此控件,Firebase 服務數據將繼續用於其他目的,例如上述目的,根據我們的隱私政策和適用條款,包括提出有關Firebase服務的建議和改進,以及提供和改進其他您請求的服務,例如您鏈接到 Firebase 項目的 Google 產品。

還有問題嗎?聯繫我們

對於此處未涵蓋的任何與隱私相關的問題,請聯繫Firebase 支持。如果您是 Firebase 開發人員,請提供您的 Firebase 應用 ID。在您的項目設置您的應用程序卡中找到您的 Firebase 應用程序 ID。