速查你的手机!这些App违法…
国家计算机病毒应急处理中心近期通过互联网监测发现12款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。
1、未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限,涉嫌隐私不合规。涉及6款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《咚动》(版本1.7.3,360手机助手)、《量子美食》(版本2.5.9,华为应用市场)、《外业精灵》(版本1.1.26,华为应用市场)、《亿森》(版本4.2.8,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
2、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及10款App如下:
《咚动》(版本1.7.3,360手机助手)、《衣邦人》(版本7.2.1,百度手机助手)、《量子美食》(版本2.5.9,华为应用市场)、《华为智慧生活》(版本12.0.5.315,华为应用市场)、《外业精灵》(版本1.1.26,华为应用市场)、《医知学》(版本3.3.9,华为应用市场)、《鲸探》(版本1.4.1,华为应用市场)、《Fit健身》(版本6.6.0,小米应用商店)、《亿森》(版本4.2.8,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
3、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及4款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《外业精灵》(版本1.1.26,华为应用市场)、《亿森》(版本4.2.8,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
4、未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及2款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《外业精灵》(版本1.1.26,华为应用市场)。
5、处理敏感个人信息未取得个人的单独同意,涉嫌隐私不合规。涉及7款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《自如》(版本7.5.7,360手机助手)、《衣邦人》(版本7.2.1,百度手机助手)、《量子美食》(版本2.5.9,华为应用市场)、《华为智慧生活》(版本12.0.5.315,华为应用市场)、《鲸探》(版本1.4.1,华为应用市场)、《亿森》(版本4.2.8,小米应用商店)。
6、处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则,涉嫌隐私不合规。涉及5款App如下:
《咚动》(版本1.7.3,360手机助手)、《外业精灵》(版本1.1.26,华为应用市场)、《医知学》(版本3.3.9,华为应用市场)、《Fit健身》(版本6.6.0,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。(宁夏新闻网综合)
构建数据要素交易的五大合规制度规范
数据要素商品化、社会化形成数据生产要素市场,是数字经济时代数字新生产力发展和技术进步的重要标志。国家《“十四五”规划和2035年远景目标纲要》明确提出,要培育规范的数据交易平台和市场主体,发展数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系。国务院《“十四五”数字经济发展规划》要求,规范数据交易管理,培育规范的数据交易平台和市场主体,建立健全数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,提升数据交易效率。
在2022中国国际大数据产业博览会上,工信部部长肖亚庆表示,工信部将加强部门联动、部省协同,加快数据确权、交易流通、跨境传输和安全等基础制度规范建设,探索多种形式的数据交易模式。
数据要素商品化形成的数据生产要素市场,需要构建完善的数据要素交易合规体系,应重点考虑构建以下数据交易合规制度规范:一是数据交易标的合规;二是数据交易场所合规;三是数据交易平台合规;四数据交易行为合规;五是数据交易安全合规。
1.数据交易标的合规
数据交易所涉及的数据标的,不仅仅是数据产品本身,还应包括与数据产品相关的数据服务。数据产品主要包括用于交易的原始数据和加工处理后的数据衍生产品,数据服务主要是数据供方对数据进行一系列计算、分析、可视化等处理后,为数据需方提供处理结果及基于结果的个性化服务。
数据交易标的合规,主要指数据供方交易的数据获取渠道合法、权利清晰无争议,能够向数据交易机构提供拥有交易数据完整相关权益的承诺及交易数据采集渠道、个人信息保护政策、用户授权等相关材料,以及确保交易数据的真实性,能够向数据交易机构提供交易数据真实性的承诺及相关材料。数据交易机构或其委托的合法数据处理机构应当对数据供方提供的交易数据的合法、真实、来源进行合规审查。
2.数据要素交易机构合规
目前,最有代表性的两部地方数据综合性立法《深圳经济特区数据条例》和《上海市数据条例》均规定,数据市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。依法设立的数据交易平台进行数据交易
我以为,数据要素具有分散性、多样性、易复制性、时效性、再创性等特性,这就要求数据要素的交易不仅要具有合规性,还应当具有安全、可信、可控、可追溯性。因此,数据应当在依法设立的数据交易机构进行交易。根据《数据安全法》第三十四条的规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。鉴于数据交易标的和行为的特殊性,从事数据交易机构的准入,应当依据《行政许可法》第十二条的规定设立行政许可制度。
3.数据交易平台合规
为了保障数据交易的公信力,数据交易应当通过依法设立的数据交易平台进行,建议数据交易平台由政府牵头设立,比如《深圳经济特区数据条例》就要求,深圳市人民政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易。
数据交易服务平台应至少应当具备下列五项基本功能:一是供求信息管理功能;二是交易数据计费管理功能;三是数据安全管理功能;四是数据交易审计功能;五是数据交易日志管理功能等。
数据交易平台应当依据《网络安全法》和《数据安全法》及其配套规定建立健全网络安全等级保护制度和全流程数据安全管理制度,并根据需要支持数据存储、加密、销毁、存取控制,以及数据库、中间件、数据接口等功能,为数据供需双方开展数据交易提供运行环境和技术支撑。
4.数据交易行为合规
数据交易行为一般包括交易申请、交易磋商、交易实施、交易结束、争议处理等环节。下面主要就交易申请、交易磋商、交易实施环节的合规做简要介绍:
首先,在申请环节,数据供方应明确说明交易数据的来源、内容、权属情况和使用范围,提供对交易数据的描述信息和样本数据,数据需方应披露数据需求内容、数据用途。数据交易服务机构应对数据供需双方披露信息进行审核,督促双方依法及时、准确地披露信息;
其次,在交易磋商环节,数据供需双方应对交易数据的用途、使用范围、交易方式和使用期限等进行协商和约定,形成交易订单。数据交易服务机构应对交易订单进行审核,确保符合相关法律、法规、规章和标准等要求;
再次,在交易实施环节,数据交易服务机构应与数据供方和数据需方签订三方合同,明确数据内容、数据用途、数据质量、交易方式、交易金额、交易参与方安全责任、保密条款等内容。如发现数据交易存在违法违规情形,数据交易服务机构应当依法采取必要的处置措施,并向有关主管部门报告。
数据交易服务机构可以与当地仲裁机构联合设立争议解决机制,制定并公示争议解决规则,根据自愿原则,公平、公正解决数据供需双方的争议。
5. 数据交易安全合规
数据交易安全合规,重点是对数据交易机构的合规要求。数据交易机构应当设立数据安全负责人和管理机构,落实数据安全保护责任,依照《网络安全法》《数据安全法》《个人信息保护法》等法律、法规、规章和国家标准的强制性要求,建立全流程数据交易安全管理制度,定期组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,确保数据交易安全。
要高度重视数据交易模式安全,重点研究和探索“原始数据不出域、数据可用不可见”的交易范式。这里需要强调,隐私计算将会成为上述交易范式的关键技术,隐私计算是一种由两个或多个参与方联合计算的技术和系统,参与方在不泄露各自数据的前提下通过协作对他们的数据进行联合机器学习和分析。在隐私保护计算框架下,参与方的数据不出本地,实现“数据可用不可见”。
数据交易机构应当对拟交易的数据建立分类制度,落实有关部门对不同类别数据提出的安全要求,对拟交易数据建立分级保护机制,根据数据的不同级别,为数据供需双方提供不同强度的安全保护技术支持措施。如果交易数据需向境外提供的,应当依法按照国家网信办制定的数据出境安全评估办法进行安全评估。(人民邮电报)
戳进来!《中华人民共和国网络安全法》解读
《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。
六大看点
看点一:不得出售个人信息
网络安全法作出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。
中国传媒大学网络法与知识产权研究中心主任王四新表示,网络安全法作为网络领域的基础性法律聚焦个人信息泄露,不仅明确了网络产品服务提供者、运营者的责任,而且严厉打击出售贩卖个人信息的行为,对于保护公众个人信息安全,将起到积极作用。
看点二: 严厉打击网络诈骗
除了严防个人信息泄露,网络安全法针对层出不穷的新型网络诈骗犯罪还规定: 任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
中国政法大学传播法研究中心副主任朱巍表示,无论网络诈骗花样如何翻新,都是通过即时聊天工具、搜索平台、网络发布平台、电子邮件等渠道实施和传播的。这些规定,不仅对诈骗个人和组织起到震慑作用,更明确了互联网企业不可推卸的责任。
看点三: 以法律形式明确“网络实名制”
网络安全法以法律的形式对“网络实名制”作出规定: 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
网络是虚拟的,但使用网络的人是真实的。事实上,现在很多网络平台都开始实行“前台资源、后台实名”的原则,让每个人使用互联网时,既有隐私,也增强责任意识和自我约束。这一规定能否落到实处的关键在于,网络服务提供商要落实主体责任,加强审核把关。
看点四:重点保护关键信息基础设施
网络安全法专门单列一节,对关键信息基础设施的运行安全进行明确规定,指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。
中国信息安全研究院副院长左晓栋表示,信息化的深入推进,使关键信息基础设施成为社会运转的神经系统。保障这些关键信息系统的安全,不仅仅是保护经济安全,更是保护社会安全、公共安全乃至国家安全。保护国家关键信息基础设施是国际惯例,此次以法律的形式予以明确和强调,非常及时而且必要。
看点五:惩治攻击破坏我国关键信息基础设施的境外组织和个人
网络安全法规定,境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该个人或者组织采取冻结财产或者其他必要的制裁措施。
网络空间的主权不仅包括对我国自己的关键信息基础设施进行保护的权利,同时包括抵御外来侵犯的权利。当今世界各国纷纷采取各种措施防范自己的网络空间不受外来侵犯,采取一切手段包括军事手段保护其信息基础设施的安全。网络安全法作出这一规定,不仅符合国际惯例,而且表明了我们维护国家网络主权的坚强决心。
看点六:重大突发事件可采取“网络通信管制”
网络安全法中,对建立网络安全监测预警与应急处置制度专门列出一章作出规定,明确了发生网络安全事件时,有关部门需要采取的措施。特别规定:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
在当前全社会都普遍使用信息技术的情况下,网络通信管制作为重大突发事件管制措施中的一种,重要性越来越突出。
“比如在暴恐事件中,恐怖分子越来越多地通过网络进行组织、策划、勾连、活动,这个时候可能就要对网络通信进行管制。但是这种管制影响是比较大的,因此网络安全法规定实施临时网络管制要经过国务院决定或者批准,这是非常严谨的。”(澎湃新闻)
网络安全在身边,一图看懂《网络安全法》
《中华人民共和国网络安全法》(以下简称《网络安全法》)是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。明确了部门、企业、社会组织和个人的权利、义务和责任,规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念。将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求。(网信固安)
网络家园如何变得更安全?
没有网络安全就没有国家安全。
2017年6月1日,我国网络安全领域的基础性法律——网络安全法正式施行,对保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,成为我国网络空间法治化建设的重要里程碑。
五年来,我国网络安全政策法规体系不断健全,网络安全工作体制机制日益完善,关键信息基础设施安全保护、数据安全管理、个人信息保护、新技术新应用风险防范等能力持续加强,网络安全教育、技术、产业融合发展,全社会网络安全意识和能力显著提高,网络安全保障体系和能力建设加快推进,网络安全工作进入快车道,你我的网络家园变得愈发安全。
【以法治之力护航网络安全】
法者,治之端也。
近年来,我国加快推进网络安全领域顶层设计步伐,在深入贯彻落实网络安全法基础上,制定完善网络安全相关战略规划。
颁布数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》等法律法规,出台《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定(试行)》等政策文件,建立网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等一批重要制度,制定发布300余项网络安全领域国家标准,推动发布多项我国主导和参与的国际标准,基本构建起网络安全政策法规体系的“四梁八柱”。
【持续加强关键信息基础设施安全保护】
关键信息基础设施是经济社会运行的神经中枢,涉及金融、能源、电力、通信、交通等方方面面,是网络安全的重中之重。关键信息基础设施一旦遭遇破坏或袭击,可能导致交通中断、金融紊乱、电力瘫痪等问题出现。
对此,网络安全法确立了我国建立关键信息基础设施安全保护制度的法治基础。2021年9月1日,《关键信息基础设施安全保护条例》正式施行,对法律规定的有关要求进行了细化,为我国深入开展关键信息基础设施安全保护工作提供了坚实的法治保障。
近年来,在中央网信办统筹协调下,相关部门做好安全保护和监督管理指导工作,运营者严格落实主体责任,社会各方面协同配合,安全防护能力不断强化。
【聚焦百姓关切保护个人信息安全】
互联网通达亿万群众,连接党心民心。网信事业要发展,必须贯彻以人民为中心的发展思想。
强制授权、过度索权、超范围收集个人信息……手机App中存在的这些违法违规收集使用个人信息的问题,百姓深恶痛绝。
2019年以来,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展App违法违规收集个人信息专项治理,对存在严重违法违规问题的App采取公开通报、责令整改、下架等处罚措施,有力震慑了违法违规行为。同时,还建立专门渠道常态化受理App违法违规问题投诉举报,强化社会监管,App运营者履行个人信息保护责任义务的能力和水平明显提升。
【重拳治理黑产维护人民群众合法权益】
非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术……针对这些侵害公民个人隐私的行为,2021年5月起,中央网信办会同有关部门开展摄像头偷窥等黑产集中治理工作,督促各类平台共处置相关违规有害信息3万余条,处置涉违法交易等活动的账号5600余个、群组138个,下架违规产品3000余件。
同时,督促国内主要应用商店下架偷窥偷拍类App;约谈多家电商平台,督促其下架微型摄像头等偷窥设备,并开展自查自纠;督促部分视频监控App厂商修复个人隐私视频信息泄露漏洞;对700余家企业联网摄像头开展梳理排查,要求各企业自查整改,发现并处置涉摄像头相关安全隐患90余个。
目前,网上流通的摄像头偷窥黑产工具基本全部失效,普通群众已无法轻易通过上述渠道接触到摄像头偷窥黑产,人民群众在网络空间的获得感、幸福感、安全感不断提升。
【全社会共筑网络安全防线】
网络安全为人民,网络安全靠人民。维护网络安全是全社会的共同责任,需要政府、企业、社会组织、广大网民共同参与。
自2014年以来,中央网信办会同联合举办部门每年在全国范围举办国家网络安全宣传周,各地区各部门以百姓通俗易懂、喜闻乐见的形式,推动宣传教育进社区、进农村、进企业、进机关、进校园、进军营、进家庭,有力推动了全社会网络安全意识和防护技能的提升,形成了共同维护网络安全的良好氛围。
网络空间的竞争,归根结底是人才竞争。
从设立网络空间安全一级学科,组织实施一流网络安全学院建设示范项目;到网络安全技术产业快速发展,产业生态不断完善,产业体系基本形成;再到建成国家网络安全人才与创新基地,实施国家网络安全教育技术产业融合发展试验区建设,推动加快网络安全学科建设和人才培养进程……
近年来,一项项政策举措,助力网络安全人才培养、技术创新、产业发展的良性生态加速形成,共同构筑网络安全防线。
