GDPR 就绪性的 IBM® Voice Gateway 和 SMS Gateway 注意事项
对于 PID:5737-D52,D1STQLL
声明:
本文档旨在帮助执行针对 GDPR 就绪性的准备工作。它提供有关您可以配置的 IBM® Voice Gateway 功能以及通过 GDPR 就绪性来帮助您的组织时所应考虑的产品使用方面的信息。此信息并非详尽列表,因为客户可以通过许多方式来选择和配置功能,并且产品可以单独使用以及与第三方应用程序和系统配合使用的方式多种多样。
客户负责确保自己遵守各种法律和条例,包括欧盟通用数据保护条例。客户仅负责获取合格法律顾问在确定和诠释可能影响客户业务的任何相关法律和条例以及客户为遵守此类法律和条例而需采取的任何措施方面的建议。
此处描述的产品、服务和其他功能并非对于所有客户情况都适用,并且可能具有有限的可用性。IBM 不提供法律、会计或审计建议,或者代表或保证其服务或产品将确保客户遵守任何法律或条例。
目录
1. GDPR
通用数据保护条例 (GDPR) 已被欧盟 (EU) 采纳,并从 2018 年 5 月 25 日起实施。
GDPR 的重要性
GDPR 建立用于处理个人数据的更强大的数据保护监管框架。GDPR 实现:
- 新增和增强个人权利
- 拓宽个人数据的定义
- 新增处理个人数据的公司和组织的职责
- 可能对不合规情况进行重大财务处罚
- 强制性数据违规通知
详细了解 GDPR
2. 产品配置 - GDPR 就绪性的注意事项
以下部分提供有关配置 Voice Gateway 以通过 GDPR 就绪性来帮助您的组织的注意事项。
产品配置
Voice Gateway 组合不同的微服务来协调最终用户(称为客户)与感知服务之间的通信。虽然 Voice Gateway 本身并不会以违反最终用户权利的方式存储、收集或处理数据,但是根据用户启用的外部服务的配置,这些集成服务可能会违反 GDPR。
Voice Gateway 包含多种类型的微服务,这些微服务会路由客户在与 Voice Agent 或代理程序助手的对话期间提供的信息。这些微服务不收集或存储数据,并且没有任何闲置数据。在正常操作期间,可以在生成的用于跟踪 Voice Gateway 性能的日志中包含客户的电话号码。这些日志用于诊断目的,并且只能由具有系统管理员特权的用户访问。此外,在经过用户可定制的时间间隔后会定期覆盖日志。
Voice Gateway 包含以下微服务:
- SIP Orchestrator
- Media Relay
- SMS Gateway
- Speech to Text Adapter
您可以阅读有关数据生命周期的更多信息来更好地了解 Voice Gateway 与数据的交互方式。或者,可以查看关于 Voice Gateway 和关于 SMS Gateway 的文档以获取各项的全面描述。
用于支持数据处理需求的配置
加密
用户负责加密其客户的数据。用户需要对 Voice Gateway 部署所在的磁盘进行加密,以保护 IBM® Text to Speech 高速缓存并支持 GDPR 合规性。请参阅入门。
配置限制
避免故障:用户可以将其 Voice Gateway 实例配置为不符合 GDPR,并且必须独立评估与 Voice Gateway 集成的任何外部服务。
用于支持数据隐私的配置
用户可以通过对 Voice Gateway Text to Speech 抄本高速缓存存储所在的磁盘进行加密来应对 GDPR 需求。此外,可以将 Voice Gateway 配置为定期覆盖日志。
Text to Speech 高速缓存排除
为与客户进行对话,Watson Assistant 将响应制作为文本,这些响应在 SMS Gateway 中发送到客户,或在 Voice Gateway 中传递到 Text to Speech 服务并大声口述。Watson Assistant 创建的响应可能包含敏感信息。要防止 Voice Gateway 对从 Text to Speech 服务接收到的包含个人数据的响应进行高速缓存,可以启用 vgwActExcludeFromTTSCache 操作命令以在高速缓存中排除包含特定类型的信息的发声。请参阅
Voice Gateway API 中的操作标记和状态变量。
日志记录
在 Voice Gateway 的操作期间会记录电话号码以进行问题诊断和性能评估,然后定期使用新日志覆盖这些电话号码。用户可以配置微服务来定制覆盖日志的时间间隔。
Media Relay
您可以配置环境变量来通过更改 MEDIA_RELAY_LOG_LEVEL、MEDIA_RELAY_LOG_ROTATION_FILE_COUNT 或 MEDIA_RELAY_LOG_ROTATION_PERIOD 变量调整日志保留的时间长度。使用这些环境变量的缺省设置将确保不在日志中收集或存储客户信息。请参阅为 Voice Gateway 配置日志记录和跟踪。
MEDIA_RELAY_LOG_LEVEL:缺省情况下,此变量设置为INFO,其中仅包含有关 Voice Gateway 的操作信息。DEBUG和TRACE日志可以包含更多详细操作信息,包括抄本。MEDIA_RELAY_LOG_ROTATION_FILE_COUNT和MEDIA_RELAY_LOG_ROTATION_PERIOD:这些变量确定保留的文件数以及日志在该文件中存储的时间长度。例如,MEDIA_RELAY_LOG_ROTATION_FILE_COUNT的缺省设置为 10,因此有 10 个文件。MEDIA_RELAY_LOG_ROTATION_PERIOD的缺省值为1d,因此每个文件是在 1 天(或 24 小时)内收集的日志的记录。这意味着每隔 10 天会将日志文件循环并覆盖一次。可以通过减小MEDIA_RELAY_LOG_ROTATION_FILE_COUNT或MEDIA_RELAY_LOG_ROTATION_PERIOD来减少日志保留的持续时间。
SIP Orchestrator
客户与 Voice Agent 或 SMS 代理程序之间的对话的抄本可能包含个人信息。虽然可以启用日志记录来包含这些抄本,但是 Voice Gateway 在缺省情况下禁止收集抄本。请参阅为 Voice Gateway 配置日志记录和跟踪。
可以通过将 ENABLE_TRANSCRIPTION_AUDIT_MESSAGES 设置为 false 来确保日志消息中不包含抄本。
如果 LOG_LEVEL 设置为 FINE、FINEST 或 ALL,那么可能会在 SIP Orchestrator 日志中收集客户数据。验证 LOG_LEVEL 设置为 off、fatal、severe、warning 还是 info 可防止在日志文件中收集个人客户信息。
maskCallerID 环境变量可以隐藏呼叫者 ID。默认情况下,此值设置为 false,这意味着将显示电话号码。您可以将 maskCallerID 变量设置为 true 以避免收集这种类型的个人身份信息。
SMS Gateway
客户与 Voice Agent 或 SMS 代理程序之间的对话的抄本可能包含个人信息。虽然可以启用日志记录来包含这些抄本,但是 Voice Gateway 在缺省情况下禁止收集抄本。
可以通过将 ENABLE_TRANSCRIPTION_MESSAGES 设置为 false 来确保日志消息中不包含抄本。
如果 LOG_LEVEL 设置为 FINE、FINEST 或 ALL,那么可能会在 SIP Orchestrator 日志中收集客户数据。验证 LOG_LEVEL 设置为 off、fatal、severe、warning 还是 info 可防止在日志文件中收集个人客户信息。
请参阅 SMS Gateway 的配置变量以获取有关如何配置环境变量的更多信息。
报告转发
用户可将外部服务配置为与 Voice Gateway 集成,以监视与呼叫相关的事件并提高质量保证。在 Voice Gateway 中未存储、处理或收集呼叫数据和报告事件,用户应适当配置其外部服务以符合 GDPR。缺省情况下会禁用这些配置。
Watson 服务报告事件
您可以配置 Voice Gateway 来生成报告事件并将其转发到外部服务,包括 Watson Assistant 轮次事件和转录事件。这些事件包括文本转录和其他可能包含受保护健康信息 (PHI)、个人身份信息 (PII) 或 PCI 数据安全标准 (PCI DSS) 数据的信息。此数据未使用 Voice Gateway 进行存储、收集或处理,仅转发到用户配置的服务。因此,用户务必遵守道德来处理数据并适当配置外部服务器以符合 GDPR。请参阅报告事件。
呼叫录制
缺省情况下,已禁用呼叫录制,但是用户可以配置 Voice Gateway 来将呼叫音频录制到其安装所在的文件系统上的 WAV 文件。录制会捕获来自客户和 Voice Agent 的音频。为保护录制并符合 GDPR,客户必须对系统上 Voice Gateway 部署所在的磁盘进行加密。用户务必适当配置并处理数据以符合 GDPR。请参阅录制和监视呼叫数据。
用于支持数据安全性的配置
访问限制
应仅允许具有管理员特权的用户访问包含日志或 Text to Speech 数据高速缓存的机器的任何组件。在普通功能中,非管理员用户不应具有 Text to Speech 高速缓存访问权。
3. 数据生命周期
端到端进程
有两种类型的用户与 Voice Gateway 交互:管理环境的用户,以及呼入并与 Voice Agent、代理程序助手或 SMS 代理程序交互的客户。通常,管理员配置为通过其业务帐户而非个人帐户进行登录。从管理员收集的数据可能包括服务标识、服务密码以及管理操作的审计跟踪(其中可能包含 IP 地址以及管理界面、参数和结果)。数据可能持久存储在日志文件和审计日志中,并且通常对于安全审计和取证分析是必需的。请注意,Voice Gateway 不收集任何管理数据。
Voice Gateway 基础结构协调客户与 Voice Agent 或 SMS 代理程序之间的对话。客户呼叫 Voice Gateway 所托管的电话号码。然后,客户可以通过语音与 Voice Agent 进行对话。Voice Gateway 协调客户与用于模拟代理程序的服务之间的往来信息流以启用对话。在 Voice Gateway 操作过程中,客户语音由 IBM® Speech to Text 转录,通过 Watson Assistant 进行分析以创建响应,然后由 IBM® Text to Speech 将该响应合成为音频,并回传到呼叫者。对于 SMS Gateway,客户与 SMS 代理程序会话进行交互。SMS Gateway 协调客户与 Watson Assistant 之间的对话。
由于客户通过口头或书面对话与产品进行交互,因此个人的身份可能会流经 Voice Gateway 和 SMS Gateway,以促进对话交互中所期望的传统礼仪和社交规范。缺省情况下,Voice Gateway 和 SMS Gateway 不存储客户的个人信息。此数据仅在 Voice Gateway 中驻留编排将此数据发送到外部服务所需的时间长度。
要了解有关针对 Voice Agent 和 SMS 代理程序的 Voice Gateway 的数据生命周期和操作的更多信息,请参阅以下主题,其中概括了 Voice Gateway 的操作:
虽然 Voice Gateway 和 SMS Gateway 本身并不会以违反最终用户权利的方式存储、收集或处理数据,但是根据用户启用的服务的配置,这些集成服务可能会违反 GDPR。用户应考虑如何针对 GDPR 就绪性来配置其 Voice Gateway 和 SMS Gateway 实例,其中可能包括以下方面:
- 通过必要时在客户问候中包含许可请求,确保提供适当的许可。
- 加密磁盘以保护 Text to Speech 数据高速缓存和呼叫录制(如果显式对其进行了启用)。
- 通过使用
vgwActExcludeFromTTSCache操作命令从高速缓存中排除发声,防止在 Voice Gateway 中对 PII 进行高速缓存。请参阅 Voice Gateway API 中的操作标记和状态变量。 - 按时间间隔定期覆盖日志。缺省情况下会覆盖日志。请参阅为 Voice Gateway 配置日志记录和跟踪。
- 禁用日志,包括对话抄本。缺省情况下,日志不包含对话抄本。请参阅为 Voice Gateway 配置日志记录和跟踪。
显式需求
在配置 Voice Gateway 或 SMS Gateway 的实例时,必须确保配置满足 GDPR 的显式需求。
- 确保提供适当的许可:合同、服务、显式数据主体许可
- 了解数据在应用程序/解决方案中的驻留位置
- 通过以下方式确保数据安全:
- 加密
- 访问控制
- 其他控件
- 确保明确定义此数据的保留期
- 确保在保留期结束时删除数据
- 确保可以履行所有数据主体权利:
- 提高隐私策略和声明以及获取许可的标准
- 提高数据主体访问个人数据的简易性
- 增强请求擦除其个人数据的权利
- 用于将个人数据传输到其他组织的权利(可移植性)
- 用于反对处理现在显式包含概要分析的权利
用于与 IBM 在线联系的个人数据
IBM® Voice Gateway 客户可通过各种方式提交在线评论/反馈/请求,以就 Voice Gateway 和 SMS Gateway 主题与 IBM 联系,主要包括:
- IBM developerWorks 上 Voice Gateway 和 SMS Gateway 社区中的页面上的公共评论区域。
- IBM Knowledge Center 中 Voice Gateway 和 SMS Gateway 文档的页面上的公共评论区域。
- dWAnswers 的 Voice Gateway 和 SMS Gateway 空间中的公共评论。
- Voice Gateway 和 SMS Gateway 社区中的反馈论坛。
通常,仅使用客户名称和电子邮件地址,以对联系人的主题启用个人回复,以及使用符合 IBM 在线隐私声明的个人数据。
4. 数据收集
如果用户使用 Voice Gateway 或 SMS Gateway 来从其客户收集个人数据,那么由用户负责确保这些数据符合 GDPR 需求。可以转发的数据包括抄本、日志以及辅助数据库或服务的使用情况数据。用户应评估其从下游服务收集的数据是否要求提供客户隐私声明和许可请求。
Voice Gateway 支持向客户回放录制的问候。如果用户通过 Voice Gateway 将数据转发到外部服务,那么他们可以将此问候配置为包含对客户个人数据的使用的许可请求。
5. 数据存储
透明度和数据最小化
Voice Gateway 不收集、处理或存储超过操作所需的最小量的最终用户数据。
用户可以配置应用程序来存储与 Voice Gateway 或 SMS Gateway 进行对话的客户所提供的个人数据。但是,此个人数据不是由 Voice Gateway 或 SMS Gateway 收集、处理或存储。
要保护对与 Voice Gateway 或 SMS Gateway 集成的外部服务中存储的个人信息的访问,请考虑以下操作:
- 首选实施密码和审计策略的外部用户注册表。
- 使用密码加密来访问用户注册表和外部资源。
- 在配置对外部资源(例如数据库)的访问权时不使用个人帐户。
- 不创建其中会存储个人信息的管理或操作帐户。使用不包含个人信息的业务帐户。
6. 数据访问
只有具有适当定义的管理员特权的 Voice Gateway 用户才能访问 Voice Gateway 中的日志数据或 Text to Speech 数据高速缓存。除非用户显式向 IBM 提供日志数据以帮助解决问题,否则 IBM 无法访问 Voice Gateway 或 SMS Gateway 中的数据。如果用户向 IBM 或任何外部组织提供日志,那么由用户负责清理数据并采取必要的步骤以满足 GDPR 需求。
与 Voice Gateway 或 SMS Gateway 集成的任何外部服务必须由用户配置以确保 GDPR 合规性。
7. 数据处理
Voice Gateway 是用于将数据交付给其他处理数据的服务的同步管道。这包括语音(音频)数据以及流经 Voice Gateway 的音频的文本转录。在 Voice Gateway 外部处理数据的服务包括 Speech to Text、Text to Speech 和 Watson 服务,例如 Watson Assistant。除非启用音频录制(在 GDPR 存在问题时建议不要执行此操作),否则 Voice Gateway 中没有任何闲置数据。语音和助手类型服务的所有数据路径都使用 TLS 1.2 进行加密。Voice Gateway 不支持加密 RTP 媒体流量。此流量通常受 SIP 干线服务提供程序的保护,并在 Voice Gateway 驻留所在的网络边界进行解密。
加密
Voice Gateway 不存储或收集闲置数据,并且不处理个人数据。
客户提供的数据通过远程通信基础结构发送到 SIP 端点。缺省情况下,将会加密行经 Voice Gateway 或 SMS Gateway 的数据。请参阅关于Voice Gateway 和关于 SMS Gateway。
8. 数据删除
数据删除特征
Voice Gateway 和 SMS Gateway 协调用户定义的服务和应用程序之间的数据流。用户定义的外部服务收集的数据类型以及该信息的删除方式由用户确定。
9. 数据监视
用户应定期测试、评定和估计其技术和组织措施的有效性以符合 GDPR。
客户应定期测试、评定和估计其技术和组织措施的有效性以符合 GDPR。这些措施应包括进行中的隐私评估、威胁建模、集中安全性日志记录和监视等等。
产品文档中对 Voice Gateway 中的日志记录进行了全面概括。请参阅 SMS Gateway 的日志记录和跟踪以及为 Voice Gateway 配置日志记录和跟踪。
由于在涉及 GDPR 时绝不应在 Voice Gateway 中启用任何闲置数据,因此对敏感信息的唯一访问是通过日志文件。日志文件可以包含诸如呼叫者电话号码之类的内容。请注意,对于日志记录还可启用转录事件以用于调试目的,但在缺省情况下转录事件处于禁用状态,并且在任何生产部署中都应禁用。
10. 响应数据主体权利
由于 Voice Gateway 和 SMS Gateway 不存储闲置数据,也不收集或处理个人数据,因此用户必须检查其在外部服务中收集的任何数据以解析任何数据主体请求。Voice Gateway 或 SMS Gateway 记录的任何数据会按照特定时间间隔进行覆盖。
数据主体请求是不直接支持作为 Voice Gateway 功能的内容。Voice Gateway 促进创建 Voice Bot。如果 Voice Bot 收集任何形式的个人信息,那么由 Bot 创建者负责响应数据主体请求。这超出了 Voice Gateway 提供的内容范围。