亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

剛剛過去的11月，隱私焦點(diǎn)事件頻發(fā)，對口監(jiān)管法規(guī)緊鑼密鼓，堪稱2020年的“隱私月”。本文我們整理了2020年11月國內(nèi)隱私與安全合規(guī)方向的最新動態(tài)，并對監(jiān)管動向進(jìn)行對比分析，最后對11月所發(fā)生的焦點(diǎn)案例及事件進(jìn)行了介紹和解析。

11月新發(fā)布規(guī)范

《個人信息保護(hù)法》草案

第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護(hù)法（草案）》進(jìn)行了審議。草案將進(jìn)一步明確個人信息處理活動應(yīng)遵循的原則，完善個人信息處理規(guī)則，保障個人在個人信息處理活動中的各項權(quán)利，強(qiáng)化個人信息處理者的義務(wù)，明確個人信息保護(hù)的監(jiān)管職責(zé)，并設(shè)置嚴(yán)格的法律責(zé)任。個人信息保護(hù)法的制定，將進(jìn)一步增強(qiáng)法律規(guī)范的系統(tǒng)性、針對性和可操作性，在個人信息保護(hù)方面形成更加完備的制度、提供更加有力的法律保障。

亮點(diǎn)分析：

• 賦予必要的域外適用效力；
• 健全的個人信息處理系列規(guī)則；
• 完善個人信息跨境規(guī)則，并要求境外個人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個人信息保護(hù)相關(guān)事務(wù)；
• 明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)。

企業(yè)合規(guī)建議：

• 按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施；
• 指定負(fù)責(zé)人對公司個人信息處理活動進(jìn)行監(jiān)督；
• 對處理敏感信息等高風(fēng)險工作進(jìn)行事前風(fēng)險評估；
• 確需向境外提供個人信息的，應(yīng)通過國家網(wǎng)信部門和專業(yè)機(jī)構(gòu)的評估和認(rèn)證。

新規(guī)政策鏈接：

http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachm ent.pdf

《未成年人保護(hù)法》

新修訂的未成年人保護(hù)法10月17日經(jīng)十三屆全國人大常委會第二十二次會議表決通過，自2021年6月1日起施行。未成年人保護(hù)法專門增設(shè)“網(wǎng)絡(luò)保護(hù)”一章。

亮點(diǎn)分析：

• 網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者不得向未成年人提供誘導(dǎo)其沉迷的產(chǎn)品和服務(wù)；
• 網(wǎng)絡(luò)服務(wù)提供者應(yīng)設(shè)置相應(yīng)的時間管理、權(quán)限管理、消費(fèi)管理等功能；
• 收到未成年人及其父母或者其他監(jiān)護(hù)人的通知后，網(wǎng)絡(luò)服務(wù)提供者應(yīng)及時采取必要的制止措施。

企業(yè)合規(guī)建議：

• 不提供誘導(dǎo)未成年沉迷的產(chǎn)品和服務(wù)；
• 若做網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)直播、網(wǎng)絡(luò)音視頻、網(wǎng)絡(luò)社交的網(wǎng)絡(luò)服務(wù)提供者，應(yīng)該針對未成年人使用其服務(wù)設(shè)置相應(yīng)的時間管理、消費(fèi)管理等功能；
• 設(shè)置未成年人在遭受網(wǎng)絡(luò)欺凌行為時的安全措施，防止信息擴(kuò)散。

新規(guī)政策鏈接：

http://www.npc.gov.cn/npc/c30834/202010/82a8f1b84350432cac03b1e382ee174 4.shtml

《個人信息安全影響評估指南》

11月25日，全國信息安全標(biāo)準(zhǔn)化委員會正式發(fā)布《信息安全技術(shù) 個人信息安全影響評估指南》，并將于2021年6月1日正式實(shí)施。

亮點(diǎn)分析：

• 無法選擇拒絕個性化廣告、疾病信息泄露造成歧視等，都將納入個人信息安全影響的評估因素；
• 規(guī)定了個人信息安全影響評估的基本概念、框架、方法和流程，并提出了特定場景下進(jìn)行評估的具體方法；
• “引發(fā)差別性待遇”也將成為影響評估結(jié)果的因素之一，具體表現(xiàn)如：因疾病、婚史、學(xué)籍等信息泄露造成的針對個人權(quán)利的歧視等。

企業(yè)合規(guī)建議：

• 有助于個人信息處理的檢驗(yàn)合法合規(guī)程度，判斷其對個人信息主體合法權(quán)益造成損害的各種風(fēng)險，以及評估用于保護(hù)個人信息主體的各項措施的有效性，并對處理和評估情況進(jìn)行記錄；
• 對評估過程進(jìn)行記錄，建議企業(yè)保存至少3年；
• 編寫《隱私政策》時重點(diǎn)關(guān)注以下幾個原則：告知方式和內(nèi)容是否友好可達(dá)、是否對用戶畫像機(jī)制進(jìn)行限制，避免精確定位到特定個人、匿名化機(jī)制是否有效，去標(biāo)識化后的個人信息是否能夠被關(guān)聯(lián)分析等。

新規(guī)政策鏈接：正式版本需家登陸國標(biāo)委網(wǎng)站查詢或購買。

監(jiān)管縱橫

11月兩單位雙管齊下，工信部下發(fā)了下架60款A(yù)PP的告示，同時APP治理工作組也發(fā)布關(guān)于35款A(yù)PP的通知。我們分別從違規(guī)原因分析和監(jiān)管行業(yè)趨勢來做下分析。

違規(guī)原因統(tǒng)計

11月工信部下線60款A(yù)PP違規(guī)原因方面，其中違規(guī)收集個人信息、過度頻繁索取權(quán)限、違規(guī)使用個人信息、強(qiáng)制向用戶定向推送、超業(yè)務(wù)范圍收集個人信息分別占前五。

11月工作組通告35款A(yù)PP違規(guī)原因方面，未同步告知收集目的、第三方SDK告知問題、因未授權(quán)非必要權(quán)限，拒絕提供基礎(chǔ)服務(wù)、超業(yè)務(wù)范圍收集個人信息、賬號注銷問題分別占前五。

違規(guī)原因說明及應(yīng)對建議

01、APP收集個人信息不合規(guī)

過度頻繁索取權(quán)限:在用戶明確表示不同意打開非必要權(quán)限后，仍頻繁征求用戶同意，干擾用戶正常使用。

收集業(yè)務(wù)無關(guān)信息：收集業(yè)務(wù)功能無關(guān)的個人信息、個人敏感信息。

應(yīng)對建議：

• 收集類型：應(yīng)與產(chǎn)品或服務(wù)的業(yè)務(wù)功能直接關(guān)聯(lián)；
• 采集頻率：應(yīng)是業(yè)務(wù)功能所必需的最低頻率；
• PS“最低頻率”的定義：原則上以低于該頻率相關(guān)產(chǎn)品或服務(wù)將無法實(shí)現(xiàn)或有重大缺陷為準(zhǔn)來評估所需的最低頻率。

從第三方獲取：應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)。

02、有關(guān)及用戶權(quán)益的PbD功能設(shè)計不合規(guī)

強(qiáng)制用戶定向推送：強(qiáng)制用戶使用定向推送功能；

APP明文上傳敏感信息：APP明文上傳用戶賬戶、密碼；

投訴舉報渠道不合規(guī)：

(1).未建立并公布投訴和舉報渠道

(2).未有效落實(shí)投訴、舉報的功能：

  A.未在15個工作日內(nèi)完成核查處理

  B.客服電話，提示“座席忙，請掛機(jī)”

  C.在線反饋顯示“客服不在線”

賬號注銷問題：

  A.未提供有效的注銷用戶賬號功能

  B.為注銷賬號設(shè)置不合理條件

未同步告知收集目的：在申請打開如相機(jī)、通訊錄、電話、存儲、位置、麥克風(fēng)等權(quán)限時，未同步告知用戶其目的。

因未授權(quán)非必要權(quán)限，拒絕提供基礎(chǔ)服務(wù)：因用戶不同意打開非必要權(quán)限，拒絕提供所有業(yè)務(wù)功能。

應(yīng)對建議：

產(chǎn)品對隱私功能模塊的設(shè)計，尤其注重如：系統(tǒng)權(quán)限管理、賬號日志管理、第三方賬號授權(quán)與解綁、賬號注銷、隱私協(xié)議等。

建立嚴(yán)格的SDLC+PbD安全開發(fā)流程，安全隱私角色，應(yīng)滲透產(chǎn)品開發(fā)全生命周期，從需求介入，嚴(yán)格把持上線。

03、明示告知及第三方SDK不合規(guī)

未明示告知收集信息：未明示收集個人信息的目的、方式和范圍。

第三方SDK告知問題：未逐一列出第三方SDK收集使用個人信息的目的、類型。

應(yīng)對建議：

隱私協(xié)議中需清晰列明收集個人信息的目的、方式和范圍。

第三方SDK違規(guī)分析及建議，見下文。

道德不合規(guī)，欺騙誤導(dǎo)用戶下載App

其中，我們發(fā)現(xiàn)多數(shù)APP被要求告知的第三方SDK聚集特定類型，以下整理出了本次通告涉及的TOP5 SDK類型。

對于如果處理第三方SDK常見違規(guī)問題的建議舉措，參考如下：

案例及事件復(fù)盤

“人臉識別第一案”

2020年11月20日，浙江人民法院對郭某訴杭州野生動物世界一案開庭宣判，法院認(rèn)為被告“收集人臉識別信息，超出了必要原則要求，不具有正當(dāng)性”，判決野生動物世界賠償郭兵1038元，刪除郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息等。

合規(guī)措施建議：

• 收集生物識別信息時告知的用途應(yīng)當(dāng)與實(shí)際使用一致，即與訂立合同時約定的使用方式一致，超出告知目的的信息收集仍屬于未獲得有效同意；
• 屬于用戶個人信息和服務(wù)方經(jīng)營信息的，在無證據(jù)證明對用戶造成或可能造成損害的情況下，服務(wù)方有權(quán)拒絕刪除；
• 通過收集新的個人信息觸發(fā)服務(wù)方式更改并造成用戶負(fù)擔(dān)的，屬于預(yù)期違約行為，應(yīng)當(dāng)承擔(dān)合同法意義上的違約責(zé)任。故如果服務(wù)方升級需要使用到新的個人信息種類的，建議保留原始個人信息的使用方式直至合同期滿，不應(yīng)強(qiáng)制升級并造成用戶負(fù)擔(dān)。

“快遞拍照案件”

“雙十一”過后，上海一快遞代收點(diǎn)推出新規(guī)：為防止偷竊和誤拿，強(qiáng)制對所有前來取件人必須要拍照并存檔才可取走快遞，快遞網(wǎng)點(diǎn)拍攝的照片的儲存位置、傳輸方式、保障措施均無法確保其處理過程的安全性。

合規(guī)措施建議：

• 收集個人生物識別信息前，應(yīng)單獨(dú)向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意；
• 對第三方在合同、實(shí)際業(yè)務(wù)的指導(dǎo)上加強(qiáng)管理，制定嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn)。

“售樓處人臉識別案”

為了做大量營銷宣傳，吸引潛在客戶，很多房地產(chǎn)售樓處在不告知本人，未經(jīng)授權(quán)同意的情況下，使用人臉識別系統(tǒng)來定位目標(biāo)客戶。即使客戶戴著基本的防護(hù)措施，依然可以被“無感”抓拍。系統(tǒng)可以識別并預(yù)測看房者的行動路徑，框選其必經(jīng)路線，設(shè)置攝像頭進(jìn)行抓拍。拍完后，系統(tǒng)還會自動選出一到兩張“最優(yōu)照片”。

合規(guī)措施建議：

• 企業(yè)在個人信息的收集時，一定要遵循「合法、正當(dāng)、必要」的原則；
• 必須要征得當(dāng)事人同意；
• 設(shè)置顯著標(biāo)識；
• 只做流量收集，不做任何存儲，并做到及時刪除。

上外女生起訴某知名互聯(lián)網(wǎng)平臺侵犯隱私

某學(xué)生在使用某知名互聯(lián)網(wǎng)公司開發(fā)的 App 時，發(fā)現(xiàn)其個性化推送廣告、濫用地理位置信息已構(gòu)成侵犯其隱私，故決定起訴該 App 的母公司。2019 年 11 月，該學(xué)生在使用某知名 App 時發(fā)現(xiàn)，其首頁會通過電子信息的方式向用戶推送商業(yè)廣告，且這些商業(yè)廣告可以準(zhǔn)確定位到用戶所在地區(qū)。用戶在瀏覽該 App 對應(yīng)的網(wǎng)站版本首頁時無法拒絕接收這些頻繁出現(xiàn)的商業(yè)廣告。

合規(guī)措施建議：

• 用戶有完全自主選擇權(quán)限的權(quán)利，企業(yè)應(yīng)該嚴(yán)格按照法律規(guī)定及《隱私政策》的規(guī)定執(zhí)行用戶的選擇；
• 制定簡約清晰的《隱私政策》。

參考資料

《移動互聯(lián)網(wǎng)應(yīng)用程序 （App）收集個人信息基本規(guī)范》

《APP違法違規(guī)收集使用個人信息自評估指南》

《個人信息安全規(guī)范》

《個人信息告知同意指南》

《App中的第三方軟件開發(fā)工具包（SDK）安全指引》