个人信息保护法、数据安全法本月底将二审 人脸采集条款受关注
4月16日,十三届全国人大常委会第九十一次委员长会议在京举行。会议透露,十三届全国人大常委会第二十八次会议将于4月26日至29日举行,会上将审议多项草案和议案,包括数据安全法草案和个人信息保护法草案。
两份草案分别于去年6月和10月经过初次审议并公开征求意见。截止目前,数据安全法草案共收到651条意见,个人信息保护法草案共收到1245条意见。
有专家表示,数据安全法整体上关注数据安全与发展利益的动态化平衡,在重要数据上保持与国家安全法、网络安全法等基本法律一致,未来还需进一步明确对重要数据的判断标准、数据交易的尽职免责规则等内容。
清华大学法学院教授、副院长程啸指出,个人信息保护法是一部运用民事、行政、刑事等综合性手段对于个人信息加以保护,对于自然人个人信息权益、信息自由、公共利益等多重利益关系加以协调的法律。
其中个人信息保护法草案设专节规定处理规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。此外,草案备受关注的条款还包括在公共场所安装图像采集、个人身份识别设备的相关规定。
中国社会科学院法学研究所研究员周汉华认为,个人信息保护法草案的一大亮点在于,相比过去零碎的、片段式的立法,草案对个人信息的整个生命周期进行了一个全流程的系统设计,解决了过去几部立法都没有解决的问题。
来源:南方都市报
魔蝎科技非法缓存两千万条数据,被判侵犯个人信息罚三千万
一年多前,杭州、上海多家数据科技公司接连被查,一时间大数据行业人人自危,纷纷关闭旗下的爬虫服务。近日,首批被查的杭州魔蝎科技公司(下称“魔蝎科技”)相关案件迎来一审判决。
法院审理查明,魔蝎科技会将其开发的前端插件嵌入网贷平台A**中。网贷平台用户使用网贷平台的App借款时,需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。
经过用户授权后,魔蝎科技的爬虫程序即代替用户进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。
尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知,“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其仍在服务器上采用技术手段长期保存用户各类账号和密码。截至2019年9月案发时,以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。
西湖法院认为,魔蝎科技以其他方法非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪,判处罚金人民币三千万元;被告人周某某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币50万元;被告人袁某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币30万元。
来源:南方都市报
浙江通管局通报51款App存在侵害用户权益行为
依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管〔2020〕164号)工作部署,浙江通管局近期组织第三方检测机构对108手机应用软件开展检测工作,其中66款APP存在“未明示收集使用个人信息的目的、方式和范围”、“超范围收集个人信息”、“APP强制、频繁、过度索取权限”等相关问题,浙江通管局书面要求问题APP相关企业限期整改。
截至目前,尚有51款APP未完成整改,上述APP应在4月25日前完成整改落实工作。逾期不整改的,浙江通管局将依法依规组织开展相关处置工作。
来源:浙江通管局官网
豆瓣被起诉 用户诉称其定向推送广告侵犯隐私要求赔1元
北京互联网法院微信公号4月15日消息,龚某是“豆瓣”APP用户,在使用该软件过程中发现豆瓣APP可以根据其所处的地理位置向其推送所处区域的广告信息,但龚某并未授权该APP收集其个人位置信息,为此龚某怀疑“豆瓣”在未经其同意的情况下获取了其地理位置信息,故龚某诉至北京互联网法院。
龚某诉称,其为“豆瓣”APP用户,在使用“豆瓣”过程中发现,尽管从未授权该软件获取其地理位置信息,但“豆瓣”总能根据其所处位置,向其定向推送广告。如,其从湖北武汉来到陕西神木后,“豆瓣”向其推送陕西榆林和神木的广告;其从神木返回武汉后,“豆瓣”又向其推送武汉地区的广告。龚某认为,地理位置信息属于个人敏感信息,具有隐私属性,“豆瓣”APP未经许可获取前述信息,并依据获取的信息定向推送广告,侵犯其隐私权和个人信息。因此,龚某诉至法院,请求判令“豆瓣”APP停止侵害、赔礼道歉、提供退出定向推送选项,并赔偿损失1元。
目前该案正在进一步审理中。
来源:财经网
国标《个人信息去标识化效果分级评估规范》征求意见
2021年4月12日,全国信息安全标准化技术委员会发布关于国家标准《信息安全技术 个人信息去标识化效果分级评估规范》征求意见稿征求意见的通知。经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 个人信息去标识化效果分级评估规范》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。意见征求时间截止到2021年6月11日。
在该标准的《编制说明》中介绍了标准编制原则和确定主要内容的论据及解决的主要问题。
数字经济的发展需要数据的广泛流通使用,但同时又要做好数据安全保护,其中很重要的一部分是个人信息安全保护。去标识化工作有利于在保护个人信息安全的前提下推动数据的流通使用,但去标识化效果的判定尚无统一标准;另一方面,个人信息基于标识个人身份程度细分,有利于个人信息安全工作细化,可针对不同分级细化安全要求,明确各级的应用范围。
主要解决如下问题:(1)去标识化效果如何分级;(2)常见直接标识符、常见准标识符有哪些;(3)如何度量重标识风险;(4)如何评估去标识化效果。
来源:信安标委官网
欧盟拟为AI数据采集立法 开创个人隐私保护监管先河
使用人工智能等科技手段对普通人的信息不加区分地收集,未来在欧盟将被明令禁止。欧盟委员会将于4月21日正式发布一项针对AI的法律监管框架。这份长达81页的立法草案指出,欧盟将禁止使用人工智能系统建立社会征信体系,同时将彻底禁止一些对个人隐私构成“高风险”的人工智能应用。这意味着未来不符合准入标准的AI系统,可能无法进入欧盟。
如果该法案获得投票通过,欧盟将有望成为全球首个对人工智能立法的地区,这会对其他国家和地区类似的人工智能监管法规的出台起到示范作用。
目前这份草案尚未正式推出,不过根据已经泄漏的文件来看,企业无论是在欧盟内部或者外部开发AI系统,只要违反了欧盟即将出台的法律,可能被处以2000万欧元或公司全球收入4%的罚款,这与此前的反垄断法规定的处罚标准类似。
此外,企业如果要部署被视为对个人隐私构成“高风险”的AI系统,那么不仅需要受到审查,而且系统的创建者必须证明是通过可追溯的方式并在人工监督下对无偏数据集进行训练。
欧盟委员会在推出该法案前仍需对其进行投票。近年来,欧盟立法者不断试图在支持创新和确保AI技术不侵犯欧盟5亿人口隐私两方面寻求适当的平衡。如果该法案被采纳,那么欧洲也将成为首个以法律形式规范AI数据采集使用的地区。
来源:第一财经
爱尔兰调查脸书5.33亿用户数据泄露事件
据美联社报道,当地时间4月14日,爱尔兰数据保护委员会表示,他们已经对脸书公司展开调查,因为此前有报道称,超过5亿脸书用户的数据被丢弃曝光在网上,这一行为涉嫌违反了严格的欧盟隐私规则。
爱尔兰数据保护委员会表示,在“多家国际媒体”报道了数据曝光事件后,该委员会决定展开调查。调查的目的是确定脸书是否侵犯了欧盟范围内的《一般数据保护条例》以及相应的爱尔兰法律。本月早些时候,有外媒报道称,这些数据是在一个黑客网站上发现的,其中包含来自100多个国家的5.33亿用户的信息,包括姓名、脸书账号、电话号码、地理位置、生日和电子邮件地址。
爱尔兰数据保护委员会表示,它是在“与脸书爱尔兰公司进行接触”、质疑其是否遵守隐私规则后展开调查的。脸书爱尔兰公司做出了回应,然而监管机构表示对答案并不满意。脸书日前表示将“全力配合”调查。
报道称,这家社交媒体巨头试图淡化这起数据泄露事件,称其与已在2019年修复的一个“老”漏洞有关。该公司上周发表博文解释称,这些数据是在2019年9月之前的某个时候,被黑客使用联系人导入工具所窃取的。
来源:经济参考报
图文编辑:北京师范大学 陈丽琳
如有侵权请联系:admin#unsafe.sh