-
标准应用 | 收集个人信息合法性的测试技术解析与实践
个人信息收集的合法性是近年来监管部门关注的重点内容,国家标准GB/T 35273-2020 《信息安全技术 个人信息安全规范》 中明确提出了关于收集个人信息合法性的具体要求,本文从标准应用角度出发,详解对于标准相关内容进行测试的具体技术思路,供参考: 01 条款解读 5.1收集个人信息的合法性 a)不应以欺诈、诱骗、误导的方式收集个人信息。 重点解析/检测思路: 查看功能界面是否有收集与声明不相符的个人信息(包括欺骗用户访问、误导用户点击等行为)。b)不应隐瞒产品或服务所具有的收集个人信息的功能…
-
知识科普 | 3.15曝光的“低版本”系统和App有哪些危害?有何安全建议?
2022年3.15晚会曝光了具有安全风险的儿童智能手表,此款儿童智能手表的价格较低,但号称功能齐全,具备实时定位、移动支付、视频通话、人脸识别、高清拍照、深度防水、App下载等等功能,在电商平台的销量上也达到了10万+的记录。节目曝光,这款儿童智能手表的操作系统使用的是10年前Android发布的4.4.4的版本,与目前最新的移动终端操作系统Android12差距甚远。 此外,节目还曝光了使用了较新版本的移动终端操作系统Android9的儿童智能手表,由于预装的App版本低,存在强制索权,超范围…
-
知识科普 | 3.15曝光的“虚假Wi-Fi连接”类App有哪些危害?有何安全建议?
2022年3.15晚会曝光了一批号称提供“免费Wi-Fi连接”服务的恶意App,此类App的功能有破解Wi-Fi密码、查看Wi-Fi密码、一键连接Wi-Fi等。节目曝光的几款App存在功能虚假连不上,诱骗下载、弹窗广告骚扰用户、后台大量搜集用户信息、频繁自启动等问题,为用户个人信息安全和手机使用安全带来严重隐患。 究其原因,就是这一类App利用了用户想要“免费用网、蹭网”的心态,通过各种广告、关联下载等方式让用户将其安装在手机上。 虚假Wi-Fi类App的主要危害 危害1:功能虚假,套路用户下载…
-
知识科普 | 免费抽奖便得“冰墩墩”?谨防抽奖活动中的个人信息泄露风险
随着冬奥会的开幕,冬奥会周边产品的热度在持续升温。其中 “顶流”就是吉祥物“冰墩墩”啦,但由于需求量太大,产量跟不上,有个别人利用民众求墩心切,甚至打起了倒卖、诈骗等歪主意。 01 现象分析这两天,不少微信公众号、小程序推出了“抽奖”赠送“冰墩墩”活动,来吸引用户关注,达到引流效果。其中,笔者就发现,有的“冰墩墩抽奖活动”有骗取个人信息的嫌疑。 笔者在浏览朋友圈时,发现了上面这个“个人”注册的公众号,就号称免费抽奖中奖后便赠送“冰墩墩”,点击链接后首先要求填写详细的姓名、住址、电话等信息才能参与…
-
专题研讨 | “隐私政策”的书写、展示、使用方式如何能兼顾监管要求、用户体验?
1、研讨背景 在国内外个人信息保护相关的法律法规中,“告知-同意”一直是重要的处理个人信息的合法性基础,“隐私政策”或“个人信息保护政策”作为向用户告知其个人信息处理规则的最主要载体,是长期以来最广泛使用的告知方式,点击同意“隐私政策”也成为了用户做出“同意”个人信息处理的最常见方式。然而,《个人信息保护法》中,明确强调了个人可以拒绝同意收集非必要信息,规定了“单独同意”的适用情形和要求,以及个人撤回同意的权利等,这些要求对“告知-同意”规则提出了更进一步的要求,仅依靠“隐私政策”弹窗等方式已经…
-
专家解读 |《互联网信息服务算法推荐管理规定》系列解读一:合规红线和义务清单
2021年12月31日,国家网信办会同工信部、公安部、市场监管总局出台《互联网信息服务算法推荐管理规定》(以下简称“《算法推荐管理规定》”),全面规范互联网信息服务算法活动,旨在实现算法技术创新与用户权益保障之间的动态平衡。本文将对《算法推荐管理规定》的监管关注点以及企业需要着重注意的合规要求进行分析。 01 算法推荐服务的监管关注点 随着数字经济的高速发展,算法应用本身带来的社会问题不断积累,引起社会的广泛关注,《算法推荐管理规定》可谓是一个阶段性的法律回应。需要明确的是,算法监管的对象不是算…
-
专题研讨 | 如何理解和规范App接入的第三方服务处理个人信息的情形?
1、研讨背景 App广泛接入第三方服务(如SDK、服务页面/接口等)是移动互联网发展至今形成的一种常态运营模式,其中原因众多,包括开发效率、服务所需、应用交互、用户体验、产品创新、业务风控等等。然而,这对于个人信息处理来说,无疑在厘清责任边界、实施安全措施等方面增加了复杂度、安全隐患以及合规工作的不确定性。对此,企业如何理解和规范App接入的各类第三方服务成为了数据合规实务工作的难点之一。针对上述难点,CCIA数据安全工作委员会于近日组织各方专家进行了研讨。与会专家从厘清基础概念、探索实践路径、…
-
深度分析 | 收集位置信息频次的检测方式对合规评判的影响
1、背景 随着2021年11月1日《个人信息保护法》正式实施,我国已形成了以《国家安全法》为总纲,《网络安全法》、《数据安全法》和《个人信息保护法》三部法律为支撑的法律监管体系,并以一些部门规章以及政策性文件等作为补充。其中,《个人信息保护法》的第六条款明确要求“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”,明确规定收集个人信息最小必要的基本原则,展开来说:第一,收集个人信息和所提供产品或服务的业务功能最小直接关联必要性;第二,采集个人信息是所提供产品或服务的业务功能所需…
-
深度分析 | 第三方SDK收集个人信息行为检测方法的分析与建议
2021年10月15日,工信部发布了《关于下架侵害用户权益App名单的通报》,通报中一共下架了96款App。值得关注的是,在本次通报中首次通报了SDK存在较多问题,并明确后续会将反复出现问题的SDK从严处理。 背景 近年来对App收集个人信息违法违规行为治理工作的深化,很多第三方SDK也在逐步将收集行为合规化,很多第三方SDK供应商也提供了隐私政策,也将SDK的个人信息收集行为进行公示,说明了SDK在收集个人信息时候的目的、类型等。App在集成这些SDK后,也会在App隐私政策中公示使用的S…