随笔分类 - 安全合规
App隐私合规、个人信息保护、数据安全隐私保护、出海.....
摘要:一、关于App 监管新规 2026年1月1日发布的 《互联网应用程序个人信息收集使用规定(征求意见稿)》(以下简称《新规》),引起了行业内的讨论。 笔者认为很多要求都在之前的标准或文件中有提及,不过现在重新发布的新规体现了监管确实要求越来越严格了,开始抓落实了。 比如: 1、全生态的App隐私合规要
阅读全文
摘要:1、思维上的根本差异 以PIPL(个人信息保护法)为代表的国内法规,是以“数据”、“资产”为主体、符合监管的要求,评估「资产」风险,是否合规,【风险 × 资产 × 影响】; 而GDPR(通用数据保护条例)是围绕以“数据主体”为保护对象,评估如果数据泄露对他们权利的影响,评估「权益」风险,是否合理,【
阅读全文
摘要:APP 隐私合规检测的目标,是识别 App 是否在合法、正当、必要的前提下处理个人信息。 从技术实现上,主流检测方法可以分为:静态检测、动态检测。 一、静态检测 在不运行 App 的前提下,对 APK 安装包(或源代码)进行反编译与分析,从代码层面识别潜在的隐私风险。 1.1 典型分析对象 1.1.
阅读全文
摘要:一、基本概念 1、“出境活动”的定义 第一种,(从内向外)是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。 如:跨境电商、跨境支付场景,中国用户的数据需要“传出去”,给国外总部进行存储和分析。 第二种,(从外向内)是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以访问
阅读全文
摘要:GDPR我们并不陌生,其中的第35条提到了DPIA (Data Protection Impact Assessment,数据保护影响评估),btw 对应《个人信息保护法》也有PIA(隐私影响评估)。 今天介绍的这个执行DPIA的开源工具来自于CNIL(GDPR法国监管机构):https://git
阅读全文
摘要:GDPR发布以后,DPIA(Data Protection Impact Assessment)是数据控制者Data Controller 必须履行的一项安全职责(详见GDPR第35条)。 一、触发的时机: DPIA应当前置评估,在如下这些场景实施前: 使用新技术:If you’re using n
阅读全文
摘要:GDPR第四部分着重讲述了DPO (Data Protection Officer)这个角色,本文记录下学习过程中遇到的一些问题。 一、DPO是一个人来担任吗? 数据保护官可以是一个单独的人、也可以是一个团队(需要有个总的负责人),只要能履行GDPR 中对DPO的职责要求就行; 数据保护官可以是内部
阅读全文
摘要:合法合规前提/原则 (PbD)Privacy by design DPIA 数据出境 数据共享/委托 DPO(必须设立的三个场景、工作职责内容等) 数据保护措施(加密、匿名化、去标识化等) 履行数据主体的权利 事件披露:数据泄漏上报72H内。流程?哪个机构?入口?文档模板? 合作和监管 1)组织建设
阅读全文
摘要:GDPR中第三章介绍了数据主体的9项权益,企业应该如何落实以满足用户权益的行使呢? 知情权 访问权 反对权 可携带权:数据主体将自己的数据从一家服务商转移到另一家服务商; 更正权 删除权/被遗忘权/擦除权(不同的叫法):数据主体要求对个人数据的删除 限制处理权 不受自动化决策影响的权利 可携带、遗忘
阅读全文
摘要:判定企业是否需要遵循GDPR的要求,第一步需要判断是否属于GDPR的管辖范围。粗略讲分为两类: 1、营业地在欧盟(域内):注册地、在欧盟区域设有办事处等分支机构 2、营业地不在欧盟(域外):但针对欧盟公民处理数据(提供服务、监控等) 进一步的判定如下: “营业活动”:指通过稳定的安排而实施地有效实际
阅读全文
摘要:欧盟各国家内有独立的监管机构,在面对跨境问题、跨国公司问题时,通过一致性机制来协调、共同决策。 1、监管机构 类比于国内网信办、工信部、四部委等监管机构,欧盟的机关单位有哪些呢? 1)欧盟数据保护委员会(European Data Protection Board,EDPB):“最高委员会” 是欧盟
阅读全文
摘要:一、前言 1、以GDPR为代表的监管条例 GDPR(《通用数据保护条例》)于2018年5月25日生效,取代了欧盟的《数据保护指令》(DPD,95指令,1995年颁布),对欧盟所有成员国发生直接、统一、首要的效力。 除GDPR之外,其他法规对欧盟制度下的企业也很重要。如,适用于电子通信行业中个人数据处
阅读全文
摘要:一、基本概念 0、概述 PCI DSS(Payment Card Industry Data Security Standard) 是 2004 年启动的一套安全标准;这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC(支付卡行业安全标准委员会,全球安全标准
阅读全文
摘要:一、背景介绍 ISO/IEC 27001 是由英国标准BS7799演变而来,该标准由英国标准协会(BSI)提出并修改,现已更新至2022版本(ISO/IEC 27001:2022)。 二、ISO 27000 ISO 27000是一个系列标准族,其中常见于认证的有ISO 27001(信息安全管理体系的
阅读全文
摘要:0、法规依据 e-privacy(欧盟电子隐私指令)、GDPR 第三方Cookie存取过程对用户个人隐私产生侵扰,因为它存储个人数据并被用于追踪用户行为,甚至被第三方读取。 0.1 欧盟的要求 0.1.1 《电子隐私指令》:明确告知和同意后 《隐私与电子通信指令》(或称E-Privay指令) 被形象
阅读全文
摘要:一、监管要求 1.1 监管条例 164号文(《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》)中有提到,App在无合理场景、且未经用户明示告知和同意的情况下,禁止频繁自启动和关联启动: 《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》 1.2 被通报案例 二、什么是
阅读全文
摘要:1、政策制度 互联网生态内容治理的制度依据。 2016.12.1 《互联网直播服务管理规定》 平台方需要健全内容审核机制、提供举报渠道,直播服务使用者需要进行实名认证(“后台实名、前台自愿”) 2020.3.1 《网络信息内容生态治理规定》 “十条红线”、“八类不良信息” 2022.3.5 《关于进
阅读全文
摘要:1、检测的原理 1)静态检测 不运行 App 的前提下,直接对 APK 包(或源代码)进行反编译,分析其代码结构和隐私相关 API 调用。例如: 敏感API:是否调用了获取设备信息(如 IMEI、MAC、定位等)的 API; 安装包/SDK:如,是否使用了第三方 SDK,及其数据收集行为; 权限清单
阅读全文
摘要:一、概述 隐私设计(PbD)的概念由加拿大渥太华省信息与隐私委员会前主席安·卡沃基安博士(Dr. Ann Cavoukian)在20世纪70年代提出,并在90年代纳入第95/46/EC号欧盟数据保护指令(RL 95/46/EC Data Protection Directive)。PbD提倡将隐私保
阅读全文
摘要:自2019年开始,监管便开始关注 App隐私合规问题,通报了一批又一批App,关注较多的问题主要是 违规收集和使用用户信息、采集用户权限等行为。随着监督力度逐渐加大,治理对象从App扩展到SDK、小程序、应用分发平台(如应用商店),甚至是手机厂商和网络接入服务提供者。 1、手机厂商 手机厂商早已加入
阅读全文
浙公网安备 33010602011771号