刚刚过去的11月,隐私焦点事件频发,对口监管如火如荼。2020年堪称“隐私月”。本文整理了2020年11月国内隐私安全合规方向的最新动态,并对监管趋势进行了对比分析。最后,我们对11月份发生的重点案例和事件进行了介绍和分析。一、11月新发布的规范1.《个人信息保护法》草案十三届全国人大常委会第二十二次会议审议了《中华人民共和国个人信息保护法(草案)》。草案将进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则,保护个人在个人信息处理活动中的权利,强化个人信息处理者的义务,明确个人信息保护的监管责任,并设置严格的法律责任。个人信息保护法的制定,将进一步增强法律规范的系统性、针对性和可操作性,形成更加完备的体系,为个人信息保护提供更有力的法律保障。亮点分析:赋予必要的域外适用效果;完善一系列个人信息处理规则;完善个人信息出境规则,要求境外个人信息处理者在境内设立专门机构或指定代表,负责个人信息保护相关事宜;明确了个人信息处理者的合规管理和个人信息安全义务。企业合规建议:按照规定制定内部管理制度和操作规程,并采取相应的安全技术措施;指定负责人对公司的个人信息处理活动进行监督;对处理敏感信息等高风险任务进行风险前评估;向境外提供个人信息的,应当通过国家网信部门和专业机构的评估认证。新政策链接:http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachment.pdf2.《未成年人保护法》新修订的《未成年人保护法》获十三届全国人大常委会审议通过人民代表大会10月17日第22次会议表决通过,自2021年6月1日起施行。《未成年人保护法》专门增设“互联网保护”一章。亮点分析:互联网产品和服务提供者不得向未成年人提供诱导成瘾性的产品和服务;互联网服务提供者应当设置相应的时间管理、权限管理、消费管理等功能;接到未成年人及其父母或者其他监护人的通知,网络服务提供者应当及时采取必要措施制止。企业合规建议:不提供诱导未成年人成瘾的产品和服务;如果您是网络游戏、网络直播、网络音视频、网络社交等网络服务提供商,您应当设置相应的时间管理、消费管理等功能;设置未成年人遭受网络欺凌行为时的安全措施,防止信息传播。新政策链接:http://www.npc.gov.cn/npc/c30834/202010/82a8f1b84350432cac03b1e382ee1744.shtml3。《个人信息安全影响评估指南》11月25日,国家信息安全标准化委员会正式发布《信息安全技术 个人信息安全影响评估指南》,并将于2021年6月1日正式实施。亮点分析:无法选择拒绝个性化广告、疾病信息泄露造成的歧视等,将纳入个人信息安全影响评估因素;规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了具体场景。评估的具体方法如下;“区别对待”也将成为影响评估结果的因素之一,例如:因疾病、婚姻史、学历等信息泄露而造成的个人权利歧视。企业合规建议:有助于验证个人信息处理的合法合规程度,判断个人信息主体合法权益受到损害的各种风险,评估用于保护个人信息主体的各种措施的有效性,记录处理和评价;记录评价过程,建议企业至少保存3年;撰写《隐私政策》时,着重考虑以下原则:通知方式和内容是否友好易懂,是否限制用户画像机制,避免针对特定个体,匿名化机制是否有效,去标识化的个人信息是否有效可以关联分析等。新政策链接:正式版需到国家标准局网站查询或购买。二、监督管理11月,两单位双管齐下。工信部下发通知,下架60款应用。同时,AppGovernanceWorkingGroup也对35款App发布了通知。我们分析了违规的原因和监管行业的趋势。一、违规原因统计工信部11月下线60款APP违规原因统计,非法收集个人信息、过度频繁请求权限、非法使用个人信息、被迫向用户推送、超出业务范围收集个人信息分别占据前五名。11月,工作组公布了35款APP的违规原因。未同步告知收集目的、第三方SDK通知问题、非必要权限未授权拒绝提供基础服务、超出业务范围收集个人信息、注销账号等占据前五。.二、违规原因说明及应对措施(一)APP违规收集个人信息、过于频繁请求权限:用户明确表示不同意开启不必要的权限后,仍征得用户同意频繁搜索,干扰用户正常使用。收集无关业务信息:收集与业务功能无关的个人信息和个人敏感信息。回复建议:收藏类型:应与产品或服务的业务功能直接相关;采集频率:应为业务功能所需的最低频率;PS“最低频次”定义:原则上,相关产品或服务将以无法达到或存在重大缺陷所要求的最低频次为准进行评估。从第三方获得:应该是实现产品或服务的业务功能所必需的最低限度。(2)涉及用户权益的PbD功能设计不合规①强制定向推送:强制用户使用定向推送功能;②APP明文上传敏感信息:APP明文上传用户账号和密码;③投诉举报渠道不合规:Ⅰ未建立并公布投诉举报渠道Ⅱ未有效落实投诉举报功能:未在15个工作日内完成客服电话的核实处理,提示“代理忙,请挂断”在线反馈显示“客服不在线”④注销问题:未提供有效的用户注销功能,设置不合理的注销条件⑤未同步通知收款目的:当申请权限开启如相机、通讯录、电话、存储、定位、麦克风等,未同时告知用户其他权限目的。⑥非必要权限未授权拒绝提供基础服务:因用户不同意开启非必要权限而拒绝提供所有业务功能。回复建议:产品隐私功能模块设计特别注意:系统权限管理、账号日志管理、第三方账号授权解绑、账号注销、隐私协议等。建立严格的SDLC+PbD安全开发流程、安全和隐私角色,应贯穿产品开发全生命周期,从需求入手,严控上线。(3)明示通知和第三方SDK不合规未明示信息收集:未明确说明收集个人信息的目的、方式和范围。第三方SDK通知问题:第三方SDK收集和使用个人信息的目的和类型未一一列举。应对建议:收集个人信息的目的、方式和范围必须在隐私协议中明确说明。其中,我们发现大部分APP都需要通知特定类型的第三方SDK。以下为本次公告涉及的TOP5SDK类型列表。第三方SDK常见侵权问题处理建议措施见下:三、案例及事件回顾1、“人脸识别第一案”2020年11月20日,浙江省人民法院诉郭某诉郭某诉杭州野生动物世界案开庭审理。法院认为,被告“收集人脸识别信息,超出必要性原则的要求,不正当”。责令野生动物世界赔偿郭兵1038元,并删除郭兵申请指纹年卡时提交的照片。人脸特征信息等合规措施建议:采集生物识别信息时披露的目的应当与实际用途相一致,即与签订合同时约定的使用方式一致。超出告知目的收集信息,仍未取得有效同意的;属于用户个人信息,服务提供者如无证据证明已经对用户造成或可能造成损害的,服务提供者有权拒绝删除;因收集新的个人信息而导致服务方式变更,给用户造成负担的,属于预期违约,应当承担合同责任。违约的法律责任。因此,若服务商升级需要使用新类型的个人信息,建议保留原个人信息使用方式直至合同到期,不得强行升级,给用户造成负担。2、“快递拍照案”和“双十一”后,上海某快递代收点出台新规定:为防止盗窃和误认,所有前来取件的人必须拍照存档后才能取件上快递。快递网点所拍照片的存储位置、传输方式、保障措施等不能保证处理过程的安全。合规措施建议:收集个人生物识别信息前,应当单独告知个人信息主体收集、使用个人生物识别信息的目的、方式、范围以及存储时间等规则,并明确同意应当获取个人信息主体的;第三方在合同指导和实际业务中加强管理,制定严格的准入标准。3、“售楼处人脸识别案例”很多楼盘售楼处为了做大量的营销宣传和吸引潜在客户,在不通知自己、未经授权同意的情况下,使用人脸识别系统定位目标客户。即使顾客戴上了基本的防护措施,依然可以“不敏感”地被抓获。该系统可以识别和预测观看者的行动路径,选择必要的路线,并设置相机进行捕捉。拍摄完成后,系统会自动选出一两张“最佳照片”。合规措施建议:企业在收集个人信息时,必须遵循“合法、正当、必要”的原则;必须征得当事人的同意;设置显着标志;只收集流量,不存储,及时删除。4.上外一女生起诉某知名网络平台侵犯隐私。一名学生在使用某知名互联网公司开发的一款APP时,发现其个性化推送广告和滥用地理位置信息等行为构成了对个人隐私的侵犯,于是决定起诉该APP的母公司。2019年11月,学生在使用某知名APP时,发现其首页会通过电子信息向用户推送商业广告,这些商业广告可以准确定位到用户所在位置。用户在浏览相应网站版本应用程序的首页时,不能拒绝接收这些频繁出现的商业广告。合规措施建议:用户拥有完全自主选择权限的权利,企业应严格按照法律规定和《隐私政策》规定执行用户选择;制定简单明了的《隐私政策》。【本文为专栏作者“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
