-
跨境工作站 | 出境合规的最后一块拼图——论三条合规路径外的个人信息出境合规工作如何开展(上篇-合规策略篇)
前言 3月22日,国家网信办公布《促进和规范数据跨境流动规定》(以下简称“《促进规定》”),数据出境的三条合规路径得到了优化和完善,极大简化了开展数据出境合规的工作范围、工作程序、工作量,为促进数字经济国际化合作和交流,推动数据高效规范跨境流通注入了一剂“强心剂”,彰显了我国坚定不移推进高水平对外开放的决心。可以预见,数据出境合规工作将迈向快速、全面开展的新阶段,此时,有必要全面审视各类可能涉及的个人信息出境场景,以及需要采取的合规举措。本文从剥离具体场景和提出具体建议视角,论述三条合规路径以外…
-
标准应用 | GB/T 41391中“App嵌入第三方SDK”相关条款测试技术解析
当下,大多数的App运营者为了更加方便、快速地构建出各种应用程序,通常会在App内接入第三方SDK以实现特定的业务功能,满足用户的多样化需求。然而不规范地接入第三方SDK可能会为App带来合规性问题,本文将依据《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)“6.6.2 App嵌入第三方SDK”章节,举例分析第三方SDK常见违规问题及整改建议。 一、何为第三方SDK? SDK全称Software Development Kit,即软件开发工具包…
-
深度分析 | 苹果隐私新规发布后,SDK和APP该如何合规
自苹果推出IDFA之后,就一直在不断加大力度来完善苹果内部的隐私保护机制,在2023年苹果全球开发者大会(Worldwide Developers Conference,简称“WWDC”)上,苹果又宣布了2024年的春季新政策,同时在官网发布的《关于App Store提交的隐私更新》文档中新增了两类隐私保护要求,第一就是要求SDK开发者要增加SDK隐私清单和签名。第二是要求SDK开发者和App开发者如果使用了5类特殊的API,则需要声明具体的使用原因。因此,SDK开发者和App开发者均需要关注新…
-
深度分析 | 个人信息保护合规审计及工具设计
1、背景及概述 回想一下,你下载、注册和使用的社交软件、网购平台、金融、教育、医疗等绝大多数APP功能时,提交过多少个人信息?又通过了多少隐私授权?而在大量真实的个人信息被收集后,被存放在哪里?又在被什么人以何种方式使用?多年来,这些问题对于广大普通用户而言几乎成为一个公开的“秘密”——会不会遇到真正的危机,全凭运气高低…一方面,平台收集个人信息难以被用户明确感知;另一方面,对所收集个人信息的使用也处于“黑盒子”状态,这两个特点造成的结果是个人(包括消费者组织)难以对个人信息处理者进…
-
跨境工作站 | 从“备案”到“备查”,粤港跨境PIA有哪些注意点和实施建议?
2023年12月13日,国家互联网信息办公室和香港创新科技及工业局联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同指引》(以下简称“《大湾区标准合同指引》”)[1],其中提出的粤港澳大湾区(内地、香港)个人信息跨境流动新模式引起广泛关注,该模式具有普遍适用性,相比此前数据出境安全评估、标准合同、个人信息跨境处理认证(PIPCB)三种路径,合规义务、工作流程等均简化不少,对促进两地数据合法合规自由流通有显著促进作用。 其中,《大湾区标准合同指引》第五条明确了跨境前开展个人信息保护影响评…
-
标准应用 | GB/T 43435-2023《SDK安全要求》与实践解读
前 言 目前实践中,绝大多数App都会嵌入第三方的SDK以降低研发成本、提高服务效率,所以SDK收集个人信息的合规性也日益引起监管的重视。据全国标准信息公共服务平台显示,国家标准GB/T 43435-2023《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》(以下简称《要求》)已于2023年11月27日发布,并将于2024年6月1日正式实施,其在GB/T 35273—2020《信息安全技术 个人信息安全规范》(以下简称GB/T 35273—2020)的基础上进一步…
-
标准应用 | 从社会责任视角看数据安全与个人信息保护
数字化背景下,数据成为新的关键生产要素,数据安全既关乎国家安全、经济发展和社会稳定,又与每个个体的隐私息息相关。随着《数据安全法》《个人信息保护法》在2021年相继发布实施,近两年来国家相关主管机构不断加强数据安全和个人信息保护的监管,组织的安全意识获得了显著的强化和提升,相应的措施获得了实质性的应用。从社会责任的视角来看,数据安全和个人信息保护的落实,是每个组织的责任和义务。 1. 法律法规规定社会责任的承担 关于社会责任,在《数据安全法》第八条明确指出:开展数据处理活动,应当遵守法律、法规,…
-
深度分析 |《敏感个人信息处理安全要求(征)》促使数据安全治理效能提升
数据安全治理落地难题 人脸识别和健康码在疫情防控中提供了高效的手段,同时也引发了人们对收集和处理人脸信息等生物识别信息边界的关注。《个人信息保护法》规定所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。国家高度重视个人隐私保护,密集颁布系列法律、法规、标准保障个人信息安全。对个人信息处理过程进行有效治理,促进个人信息合理利用与保护隐私并重,成为企业(组织)进行数据安全治理的又一关键目标。 首先不同行业使用个人信息的情况不同,应对趋势也不同。一是金…
-
标准应用 | GB/T 35273中“个人敏感信息的传输和存储”技术解读
近年来,随着互联网技术的迅猛发展,个人敏感信息的传输和存储安全问题备受关注。为了保护用户的隐私权益,我国制定了GB/T-35273标准,该标准旨在规范个人敏感信息的传输和存储过程,保障信息安全。本文将针对GB/T-35273标准中的“6.3 个人敏感信息的传输和存储”进行解读,以帮助大家更好地理解和应用该标准。 1、条 款 解 析 《信息安全技术—个人信息安全规范》(GB/T 35273-2020)是2020年10月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。具体规…
