凛冬已至:11月隐私安全焦点事件复盘
星期三, 十二月 9, 2020
刚刚过去的11月,隐私焦点事件频发,对口监管法规紧锣密鼓,堪称2020年的“隐私月”。本文我们整理了2020年11月国内隐私与安全合规方向的最新动态,并对监管动向进行对比分析,最后对11月所发生的焦点案例及事件进行了介绍和解析。
《个人信息保护法》草案
第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议。草案将进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。个人信息保护法的制定,将进一步增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
亮点分析:
企业合规建议:
新规政策链接:
http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachm ent.pdf
《未成年人保护法》
新修订的未成年人保护法10月17日经十三届全国人大常委会第二十二次会议表决通过,自2021年6月1日起施行。未成年人保护法专门增设“网络保护”一章。
亮点分析:
企业合规建议:
新规政策链接:
http://www.npc.gov.cn/npc/c30834/202010/82a8f1b84350432cac03b1e382ee174 4.shtml
《个人信息安全影响评估指南》
11月25日,全国信息安全标准化委员会正式发布《信息安全技术 个人信息安全影响评估指南》,并将于2021年6月1日正式实施。
亮点分析:
企业合规建议:
新规政策链接:正式版本需家登陆国标委网站查询或购买。
11月两单位双管齐下,工信部下发了下架60款APP的告示,同时APP治理工作组也发布关于35款APP的通知。我们分别从违规原因分析和监管行业趋势来做下分析。
违规原因统计
11月工信部下线60款APP违规原因方面,其中违规收集个人信息、过度频繁索取权限、违规使用个人信息、强制向用户定向推送、超业务范围收集个人信息分别占前五。
11月工作组通告35款APP违规原因方面,未同步告知收集目的、第三方SDK告知问题、因未授权非必要权限,拒绝提供基础服务、超业务范围收集个人信息、账号注销问题分别占前五。
违规原因说明及应对建议
01、APP收集个人信息不合规
过度频繁索取权限:在用户明确表示不同意打开非必要权限后,仍频繁征求用户同意,干扰用户正常使用。
收集业务无关信息:收集业务功能无关的个人信息、个人敏感信息。
应对建议:
从第三方获取:应是实现产品或服务的业务功能所必需的最少数。
02、有关及用户权益的PbD功能设计不合规
强制用户定向推送:强制用户使用定向推送功能;
APP明文上传敏感信息:APP明文上传用户账户、密码;
投诉举报渠道不合规:
(1).未建立并公布投诉和举报渠道
(2).未有效落实投诉、举报的功能:
A.未在15个工作日内完成核查处理
B.客服电话,提示“座席忙,请挂机”
C.在线反馈显示“客服不在线”
账号注销问题:
A.未提供有效的注销用户账号功能
B.为注销账号设置不合理条件
未同步告知收集目的:在申请打开如相机、通讯录、电话、存储、位置、麦克风等权限时,未同步告知用户其目的。
因未授权非必要权限,拒绝提供基础服务:因用户不同意打开非必要权限,拒绝提供所有业务功能。
应对建议:
产品对隐私功能模块的设计,尤其注重如:系统权限管理、账号日志管理、第三方账号授权与解绑、账号注销、隐私协议等。
建立严格的SDLC+PbD安全开发流程,安全隐私角色,应渗透产品开发全生命周期,从需求介入,严格把持上线。
03、明示告知及第三方SDK不合规
未明示告知收集信息:未明示收集个人信息的目的、方式和范围。
第三方SDK告知问题:未逐一列出第三方SDK收集使用个人信息的目的、类型。
应对建议:
隐私协议中需清晰列明收集个人信息的目的、方式和范围。
第三方SDK违规分析及建议,见下文。
道德不合规,欺骗误导用户下载App
其中,我们发现多数APP被要求告知的第三方SDK聚集特定类型,以下整理出了本次通告涉及的TOP5 SDK类型。
对于如果处理第三方SDK常见违规问题的建议举措,参考如下:
“人脸识别第一案”
2020年11月20日,浙江人民法院对郭某诉杭州野生动物世界一案开庭宣判,法院认为被告“收集人脸识别信息,超出了必要原则要求,不具有正当性”,判决野生动物世界赔偿郭兵1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息等。
合规措施建议:
“快递拍照案件”
“双十一”过后,上海一快递代收点推出新规:为防止偷窃和误拿,强制对所有前来取件人必须要拍照并存档才可取走快递,快递网点拍摄的照片的储存位置、传输方式、保障措施均无法确保其处理过程的安全性。
合规措施建议:
“售楼处人脸识别案”
为了做大量营销宣传,吸引潜在客户,很多房地产售楼处在不告知本人,未经授权同意的情况下,使用人脸识别系统来定位目标客户。即使客户戴着基本的防护措施,依然可以被“无感”抓拍。系统可以识别并预测看房者的行动路径,框选其必经路线,设置摄像头进行抓拍。拍完后,系统还会自动选出一到两张“最优照片”。
合规措施建议:
上外女生起诉某知名互联网平台侵犯隐私
某学生在使用某知名互联网公司开发的 App 时,发现其个性化推送广告、滥用地理位置信息已构成侵犯其隐私,故决定起诉该 App 的母公司。2019 年 11 月,该学生在使用某知名 App 时发现,其首页会通过电子信息的方式向用户推送商业广告,且这些商业广告可以准确定位到用户所在地区。用户在浏览该 App 对应的网站版本首页时无法拒绝接收这些频繁出现的商业广告。
合规措施建议:
参考资料
《移动互联网应用程序 (App)收集个人信息基本规范》
《APP违法违规收集使用个人信息自评估指南》
《个人信息安全规范》
《个人信息告知同意指南》
《App中的第三方软件开发工具包(SDK)安全指引》