从《移动互联网应用程序(App)收集使用个人信息自评估指南》看个人信息保护着力点
为指导应用运营者对自身收集、使用个人信息行为进行自查自纠,2019年3月,应用专项治理工作组发布了《应用违法违规收集使用行为自查自查指南》。个人信息”。随着对App违法收集、使用个人信息行为评价工作的开展和深入,《App违法违规收集、使用个人信息行为认定办法》(以下简称《办法》)的出台测定方法”)、国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》(以下简称《规范》)的修订,编写组结合各方经验和反馈,及时修订指南,2020年3月,《网络安全标准实施指南——移动互联网应用(App)收集和使用个人信息自评估指南(征求意见稿)》向社会公开征求意见稿,7月发布最新版《网络安全规范》实用指南——移动互联网应用(App)收集和使用个人信息自评估指南(以下简称“新版”)准则”)。
围绕《认定办法》中的六类违法违规行为,新版《指引》将一一解读细化。在结构上,删除了《征求意见稿》中各评价点的法律依据,使文本更加简洁实用;在内容上,更广泛地出台了相关法律法规和标准的要求,将六大评价要点细化为71条,多处补充了App个人信息保护合规路径和典型违法行为以注释的形式,帮助App运营者通过表象了解法律、法规和标准的要求,方便他们在自评过程中,有针对性地查找问题;从细化变化来看,文字更加简洁准确,要求更加贴近实际应用,充分体现了个人信息保护与良好用户体验相结合的编制思路。
一、依据法律法规、标准规范,注重信息保护技术文档的一致性。
新版《指南》是在新发布和修订的基础上修订了法律法规和标准的内容。
随着数字经济的发展,儿童个人信息面临着各种泄露风险。欧盟的《通用数据保护条例》也明确规定,儿童的个人数据应受到特殊保护。2019年8月,我国颁布首部未成年人数据保护专门法《儿童个人信息网络保护规定》。对应其第8条“网络运营者应当建立专门的儿童个人信息保护规则和用户协议”,新版《指引》对具有收集、使用儿童个人信息相关业务功能的应用增加1.1d)信息《个人信息保护规定》。
针对App嵌入第三方应用等个人信息收集,对应《规范》9.7新增的第三方访问管理要求,评估点5细分向他人提供个人信息的情况有第三方应用程序收集个人信息的几种方式,由应用程序直接发送给第三方,并在后台发送给第三方并被第三方访问。明确应用运营方需要向用户明确说明产品或服务中嵌入的第三方应用,第三方应用的采集行为需要用户授权。针对同一考核点不同文件存在差异的情况,新版《指南》有针对性地提出了自我考核建议。例如4.3c)在强制采集用户个人信息场景下结合了《规范》第四类第5款中“定向推送信息”和5.3f)中“增强安全性”的要求。以不正当方式获取信息,建议用户同意在这两种情况下不强制收集个人信息;上述两份文件中,回应用户查询、更正、删除个人信息和受理用户个人信息安全投诉举报的时限不一致,6.2b)和6.3b)采用了《决定》的要求方式”,即答复处理时限不得超过15个工作日。
可见,除了《规范》提出的个人信息保护基线要求外,App作为更注重与用户交互的服务方式,适合进一步选择更有利于用户的响应机制,到用户体验。此外,新版指南直接引用了引用规范中的相关要求,避免重复,将两者紧密结合。删除6.1c)中“为身份验证和注销过程提供额外的个人敏感信息”的描述,作为注销账户的不合理条件不仅是《规范》8.5c)和e)关于注销账户的描述取消身份验证时收集个人信息的条件回应也反映,对于注销账户等对用户权益影响较大的操作,要求企业在满足用户行使个人信息权利的同时,兼顾企业的合理合理性。保护用户权益、避免纠纷的诉求。
二、介绍标注实例,加深经营者对本质要求的理解
《指南》可视为对应用程序运营者自评估参考使用的法律、法规和标准进行细化和解释的要求。本版重点在上一版的基础上增加了扩展说明。同时,以“笔记”的形式介绍了运营商在个人信息保护方面的最佳实践,并对典型的APP违规应用场景进行了说明,增加了《指南》的实用性。
要求在“常规交互界面”显示隐私政策链接,存在范围不明确、容易产生歧义的问题。 ”,表示固定路径是指“我–设置–关于”或“我的–设置–隐私”等用户熟悉的页面跳转路径,准确表达了容易查找的意思隐私政策。
2019年专项治理工作中,发现多款APP存在“频繁征求用户同意,干扰用户正常使用”的违规行为。运营商常常困惑于如何理解这个要求的具体频率和应用场景。新版3.3a)、b)《指引》描述了App频繁征求用户意见的具体表现,同时用注解说明“支持App正常运行”等在某些情况下,用户主动选择使用的特定功能会触发同意请求。动作不是频繁的干扰行为。
为进一步明确收集个人信息前通知同意的合规要求,在3.1b)的备注中增加“用户同意前”的场景描述,更准确地解释了“同意”根据《规定》第三类行为第一款的含义,App收集个人信息的前提不仅是履行告知目的的义务,还应当取得用户的授权同意。此外,针对应用更新频繁的现状,新版《指引》补充了注3.5b),解释了在什么情况下应用更新无需再次征求用户同意,揭示了个人信息保护的本质应该真正站在用户的角度来做。说到要公开什么,就简单一点,不搞形式主义,不做无用功。
三、调整评价分值,突出个人信息保护与良好用户体验的结合
一方面响应用户诉求,兼顾使用便利性。另一方面,关注产业发展,增强企业实践的可操作性。
《网络安全法》第41条确认网络运营者有“公布收集使用规则”的义务,但并未规定具体形式和要求,因此独立的隐私政策是否是合规的必然要求一直是成为业界争论的焦点,也引起了运营商的广泛关注。 1.3c) 将原要求“另行以书面形式公布隐私政策”调整为“如因特殊原因需在用户协议、用户须知等文件中说明个人信息收集、使用规则的”作为展示条件,应尽可能显着标示,并标示“持续页面展示”,即是否单独制定和发布隐私政策可由运营者根据实际情况决定。这一要求的弱化,增强了用户个性化展示隐私政策的自由度,回应了用户因过多的文本协议导致的用户体验不佳的诉求。
为保证经营者做法的可操作性和指引的普适性,6.2d)不再强调对用户更正和删除个人信息的“同步”响应,而只是在后台“及时”执行操作。本次细则修订,既结合行业现状,降低技术难度,又从实际角度对保护用户权益提出了可行性要求;同时,当3.1a)要求在收集个人信息前选择同意或不同意时,应改为“自制”“主动选择”“可选”的用户授权行为描述,让App在设置相应功能时有更大的灵活性和创新空间,提升用户体验。
四、回应媒体热议,以问题为导向,向运营商提出建议
个人信息安全事件频发,引起媒体和公众的强烈关注,监管部门高度重视。 App专项治理工作主要是解决广大网民反映强烈的违法违规使用个人信息问题。新版《指引》在分析媒体热议问题的违法性质的基础上,提出了与《认定办法》中六类行为相对应的评价要点,提出了更加全面的建议。
经营者收集、使用个人信息的合规性。针对近期媒体热议,用户关心的App自启动、频繁访问用户通讯录、相册等问题。 4.4b) 明确在用户主动关闭App后,未经用户同意,不会以自启动或关联启动方式收集个人信息。本次补充,与App专项治理工作组通报的“收集用户个人信息的频率超出业务功能实际需求”问题相比,进一步明确了超出合理频率收集个人信息的典型场景。
相关文章:
收集使用个人信息自评估指南》看个人信息保护着力点)
从《移动互联网应用程序(App)收集使用个人信息自评估指南》看个人信息保护着力点
为指导应用运营者对自身收集、使用个人信息行为进行自查自纠,2019年3月,应用专项治理工作组发布了《应用违法违规收集使用行为自查自查指南》。个人信息”。随着对App违法收集、使用个人信息行为评价工作的开展和深入,《App违法违规收集、使用…...
电脑0x0000001A蓝屏错误怎么U盘重装系统教学
电脑0x0000001A蓝屏错误怎么U盘重装系统教学分享。有用户电脑开机之后遇到了系统蓝屏的情况。系统蓝屏问题很多时候都是系统bug,只有通过重装系统来进行解决。那么蓝屏问题如何通过U盘重装新系统来解决呢?来看看以下的详细操作方法教学吧。 准备工作&…...
Day939.如何小步安全地升级数据库框架 -系统重构实战
如何小步安全地升级数据库框架 Hi,我是阿昌,今天学习记录的是关于如何小步安全地升级数据库框架的内容。 当消息组件的数据存储都是采用 SQL 拼写的方式来操作,这样不便于后续的扩展及维护。除此之外,相比前面的其他重构&#x…...
2023 年十大 API 管理趋势
作者郑玩星,API7.ai 技术工程师。 阅读原文 什么是 API?什么是 API 管理? 近期,AIGC(AI Generated Content,生成式人工智能)在各行业的应用日趋普及。AIGC 服务提供商通过 API 向外部提供其内…...
计算机网络微课堂1-3节
目录 1. TCP/TP协议编辑 2. 3.调制解调器 4.因特网的组成 5.电路交换 6.分组交换 重要常用 7.报文交换 8.总结电路交换 报文交换和分组交换 9. 1. TCP/TP协议 2. ISP 网络提供商 ISP的三层 国际 国家 和本地 3.调制解调器 什么是调制解调器,它存在的…...
[Eigen中文文档] Array类与元素操作
文档总目录 本文目录什么是Array类?Array类型访问Array中的值加法与减法Array乘法其他按元素操作的运算array和matrix表达式之间的转换英文原文(The Array class and coefficient-wise operations) 本页旨在提供有关如何使用Eigen的Array类的概述和说明。 什么是A…...
python学习,全球有哪些特别好的社区推荐呢?
Surfshark可以访问全球社区学习的surfshark工具使用方法教程:qptool.net/shark.html 以下是一些全球范围内比较受欢迎的 Python 学习社区: 中文社区:csdn.net 优势:本土国语社区,获得相关知识与经验便利。 Python官…...
))
LC-1042. 不邻接植花(四色问题(染色法))
1042. 不邻接植花 难度中等198 有 n 个花园,按从 1 到 n 标记。另有数组 paths ,其中 paths[i] [xi, yi] 描述了花园 xi 到花园 yi 的双向路径。在每个花园中,你打算种下四种花之一。 另外,所有花园 最多 有 3 条路径可以进入…...
)
python实战应用讲解-【numpy科学计算】scikits-learn模块(附python示例代码)
目录 Numpy 安装scikits-learn 准备工作 具体步骤 Numpy 加载范例数据集 具体步骤...
大数据开发必备面试题Spark篇01
1、Hadoop 和 Spark 的相同点和不同点? Hadoop 底层使用 MapReduce 计算架构,只有 map 和 reduce 两种操作,表达能力比较欠缺,而且在 MR 过程中会重复的读写 hdfs,造成大量的磁盘 io 读写操作,所以适合高时…...
SpringBoot整合xxl-job详细教程
SrpingBoot整合xxl-job,实现任务调度说明调度中心执行器调试整合SpringBoot说明 Xxl-Job是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。Xxl-Job有…...
【MySQL--04】数据类型
文章目录1.数据类型1.1数据类型分类1.2数值类型1.2.1tinyint类型1.2.2bit类型1.2.3小数类型1.2.3.1 float1.2.3.2 decimal1.3字符串类型1.3.1 char1.3.2 varchar1.3.3char和varchar的比较1.4日期和时间类型1.5 enum和set1.5.1 enum1.5.2 set1.5.3 示例1.数据类型 1.1数据类型分…...
git 将其它分支的文件检出到工作区
主要是使用如下命令: git checkout [-f|--ours|--theirs|-m|--conflict<style>] [<tree-ish>] [--] <pathspec>…覆盖与 pathspec 匹配的文件的内容。当没有给出<tree-ish> (通常是一个commit)时,用 index 中的内容覆盖工作树…...
人工智能的最大危险是什么?
作者:GPT(AI智学习) 链接:https://www.zhihu.com/question/592107303/answer/2966857095 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 首先:人工智能为人类带来了很多益处&…...
rk3568点亮E-ink
rk3568 Android11/12 适配 E-ink “EINK”是英语ElectronicInk的缩写。翻译成中文为“电子墨水”。电子墨水由数百万个微胶囊(Microcapsules)所构成,微胶囊的大小约等同于人类头发的直径。每个微胶囊里含有电泳粒子──带负电荷的白色以及带正电荷的黑色粒子&#…...
如何将Springboot项目通过IDEA打包成jar包,并且转换成可执行文件
首先在IDEA打开你的项目,需要确认项目可以正常运行,然后点击页面右侧的Maven,运行Lifecycle下的package, 此时在项目的target目录下就可以看到一个jar包 这个时候你可以在jar包所在目录下执行cmd窗口,运行 java -jar campus-market-0.0.1-S…...
总结:网卡
一、背景 经常听到eth0,bond0这些概念,好奇他们的区别,于是有了此篇文章记录下。 二、介绍 网卡:即网络接口板,又称网络适配器或NIC (网络接口控制器),是一块被设计用来允许计算机在计算机网络上进行通讯…...
Java这么卷,还有前景吗?
“Java很卷”、“大家不要再卷Java了”,经常听到同学这样抱怨。但同时,Java的高薪也在吸引越来越多的同学。不少同学开始疑惑:既然Java这么卷,还值得我入行吗? 首先先给你吃一颗定心丸:现在选择Java依然有…...
--gocron)
后端简易定时任务框架选择(Python/Go)--gocron
文章目录前言实现后语前言 在使用Python的web框架中,包括flask/Django,其中大量用到celery;celery作为异步任务使用的多,同时也会用celery来跑些定时任务,比如每晚定时跑脚本、跑数据统计等闲时任务。但随着任务量的增…...
【GStreamer学习】之GStreamer基础教程
目标 没有什么比在屏幕上打印出“Hello World”更能获得对软件库的第一印象了! 但是由于我们正在学习多媒体框架,所以我们将输出“Hello World!”改为播放视频。 不要被下面的代码量吓到:只有 4 行是真正需要的, 其…...
RestClient
什么是RestClient RestClient 是 Elasticsearch 官方提供的 Java 低级 REST 客户端,它允许HTTP与Elasticsearch 集群通信,而无需处理 JSON 序列化/反序列化等底层细节。它是 Elasticsearch Java API 客户端的基础。 RestClient 主要特点 轻量级ÿ…...
观成科技:隐蔽隧道工具Ligolo-ng加密流量分析
1.工具介绍 Ligolo-ng是一款由go编写的高效隧道工具,该工具基于TUN接口实现其功能,利用反向TCP/TLS连接建立一条隐蔽的通信信道,支持使用Let’s Encrypt自动生成证书。Ligolo-ng的通信隐蔽性体现在其支持多种连接方式,适应复杂网…...
深入浅出Asp.Net Core MVC应用开发系列-AspNetCore中的日志记录
ASP.NET Core 是一个跨平台的开源框架,用于在 Windows、macOS 或 Linux 上生成基于云的新式 Web 应用。 ASP.NET Core 中的日志记录 .NET 通过 ILogger API 支持高性能结构化日志记录,以帮助监视应用程序行为和诊断问题。 可以通过配置不同的记录提供程…...
Appium+python自动化(十六)- ADB命令
简介 Android 调试桥(adb)是多种用途的工具,该工具可以帮助你你管理设备或模拟器 的状态。 adb ( Android Debug Bridge)是一个通用命令行工具,其允许您与模拟器实例或连接的 Android 设备进行通信。它可为各种设备操作提供便利,如安装和调试…...
Java 8 Stream API 入门到实践详解
一、告别 for 循环! 传统痛点: Java 8 之前,集合操作离不开冗长的 for 循环和匿名类。例如,过滤列表中的偶数: List<Integer> list Arrays.asList(1, 2, 3, 4, 5); List<Integer> evens new ArrayList…...
论文浅尝 | 基于判别指令微调生成式大语言模型的知识图谱补全方法(ISWC2024)
笔记整理:刘治强,浙江大学硕士生,研究方向为知识图谱表示学习,大语言模型 论文链接:http://arxiv.org/abs/2407.16127 发表会议:ISWC 2024 1. 动机 传统的知识图谱补全(KGC)模型通过…...
IoT/HCIP实验-3/LiteOS操作系统内核实验(任务、内存、信号量、CMSIS..)
文章目录 概述HelloWorld 工程C/C配置编译器主配置Makefile脚本烧录器主配置运行结果程序调用栈 任务管理实验实验结果osal 系统适配层osal_task_create 其他实验实验源码内存管理实验互斥锁实验信号量实验 CMISIS接口实验还是得JlINKCMSIS 简介LiteOS->CMSIS任务间消息交互…...
使用 Streamlit 构建支持主流大模型与 Ollama 的轻量级统一平台
🎯 使用 Streamlit 构建支持主流大模型与 Ollama 的轻量级统一平台 📌 项目背景 随着大语言模型(LLM)的广泛应用,开发者常面临多个挑战: 各大模型(OpenAI、Claude、Gemini、Ollama)接口风格不统一;缺乏一个统一平台进行模型调用与测试;本地模型 Ollama 的集成与前…...
计算机基础知识解析:从应用到架构的全面拆解
目录 前言 1、 计算机的应用领域:无处不在的数字助手 2、 计算机的进化史:从算盘到量子计算 3、计算机的分类:不止 “台式机和笔记本” 4、计算机的组件:硬件与软件的协同 4.1 硬件:五大核心部件 4.2 软件&#…...
Python 实现 Web 静态服务器(HTTP 协议)
目录 一、在本地启动 HTTP 服务器1. Windows 下安装 node.js1)下载安装包2)配置环境变量3)安装镜像4)node.js 的常用命令 2. 安装 http-server 服务3. 使用 http-server 开启服务1)使用 http-server2)详解 …...