剛剛過去的11月，隱私焦點(diǎn)事件頻發(fā)，對口監(jiān)管法規(guī)緊鑼密鼓，堪稱2020年的“隱私月”。

本文我們整理了2020年11月國內(nèi)隱私與安全合規(guī)方向的最新動(dòng)態(tài)，并對監(jiān)管動(dòng)向進(jìn)行對比分析，最后對11月所發(fā)生的焦點(diǎn)案例及事件進(jìn)行了介紹和解析。

[[356669]]

一、11月新發(fā)布規(guī)范

1. 《個(gè)人信息保護(hù)法》草案

第十三屆全國人大常委會(huì)第二十二次會(huì)議對《中華人民共和國個(gè)人信息保護(hù)法(草案)》進(jìn)行了審議。草案將進(jìn)一步明確個(gè)人信息處理活動(dòng)應(yīng)遵循的原則，完善個(gè)人信息處理規(guī)則，保障個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利，強(qiáng)化個(gè)人信息處理者的義務(wù)，明確個(gè)人信息保護(hù)的監(jiān)管職責(zé)，并設(shè)置嚴(yán)格的法律責(zé)任。個(gè)人信息保護(hù)法的制定，將進(jìn)一步增強(qiáng)法律規(guī)范的系統(tǒng)性、針對性和可操作性，在個(gè)人信息保護(hù)方面形成更加完備的制度、提供更加有力的法律保障。

亮點(diǎn)分析：

• 賦予必要的域外適用效力;
• 健全的個(gè)人信息處理系列規(guī)則;
• 完善個(gè)人信息跨境規(guī)則，并要求境外個(gè)人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù);
• 明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)。

企業(yè)合規(guī)建議：

• 按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施;
• 指定負(fù)責(zé)人對公司個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督;
• 對處理敏感信息等高風(fēng)險(xiǎn)工作進(jìn)行事前風(fēng)險(xiǎn)評估;
• 確需向境外提供個(gè)人信息的，應(yīng)通過國家網(wǎng)信部門和專業(yè)機(jī)構(gòu)的評估和認(rèn)證。

新規(guī)政策鏈接：

http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachm ent.pdf

2. 《未成年人保護(hù)法》

新修訂的未成年人保護(hù)法10月17日經(jīng)十三屆全國人大常委會(huì)第二十二次會(huì)議表決通過，自2021年6月1日起施行。未成年人保護(hù)法專門增設(shè)“網(wǎng)絡(luò)保護(hù)”一章。

亮點(diǎn)分析：

• 網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者不得向未成年人提供誘導(dǎo)其沉迷的產(chǎn)品和服務(wù);
• 網(wǎng)絡(luò)服務(wù)提供者應(yīng)設(shè)置相應(yīng)的時(shí)間管理、權(quán)限管理、消費(fèi)管理等功能;
• 收到未成年人及其父母或者其他監(jiān)護(hù)人的通知后，網(wǎng)絡(luò)服務(wù)提供者應(yīng)及時(shí)采取必要的制止措施。

企業(yè)合規(guī)建議：

• 不提供誘導(dǎo)未成年沉迷的產(chǎn)品和服務(wù);
• 若做網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)直播、網(wǎng)絡(luò)音視頻、網(wǎng)絡(luò)社交的網(wǎng)絡(luò)服務(wù)提供者，應(yīng)該針對未成年人使用其服務(wù)設(shè)置相應(yīng)的時(shí)間管理、消費(fèi)管理等功能;
• 設(shè)置未成年人在遭受網(wǎng)絡(luò)欺凌行為時(shí)的安全措施，防止信息擴(kuò)散。

新規(guī)政策鏈接：

http://www.npc.gov.cn/npc/c30834/202010/82a8f1b84350432cac03b1e382ee174 4.shtml

3. 《個(gè)人信息安全影響評估指南》

11月25日，全國信息安全標(biāo)準(zhǔn)化委員會(huì)正式發(fā)布《信息安全技術(shù) 個(gè)人信息安全影響評估指南》，并將于2021年6月1日正式實(shí)施。

亮點(diǎn)分析：

• 無法選擇拒絕個(gè)性化廣告、疾病信息泄露造成歧視等，都將納入個(gè)人信息安全影響的評估因素;
• 規(guī)定了個(gè)人信息安全影響評估的基本概念、框架、方法和流程，并提出了特定場景下進(jìn)行評估的具體方法;
• “引發(fā)差別性待遇”也將成為影響評估結(jié)果的因素之一，具體表現(xiàn)如：因疾病、婚史、學(xué)籍等信息泄露造成的針對個(gè)人權(quán)利的歧視等。

企業(yè)合規(guī)建議：

• 有助于個(gè)人信息處理的檢驗(yàn)合法合規(guī)程度，判斷其對個(gè)人信息主體合法權(quán)益造成損害的各種風(fēng)險(xiǎn)，以及評估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施的有效性，并對處理和評估情況進(jìn)行記錄;
• 對評估過程進(jìn)行記錄，建議企業(yè)保存至少3年;
• 編寫《隱私政策》時(shí)重點(diǎn)關(guān)注以下幾個(gè)原則：告知方式和內(nèi)容是否友好可達(dá)、是否對用戶畫像機(jī)制進(jìn)行限制，避免精確定位到特定個(gè)人、匿名化機(jī)制是否有效，去標(biāo)識(shí)化后的個(gè)人信息是否能夠被關(guān)聯(lián)分析等。

新規(guī)政策鏈接：正式版本需家登陸國標(biāo)委網(wǎng)站查詢或購買。

二、監(jiān)管縱橫

11月兩單位雙管齊下，工信部下發(fā)了下架60款A(yù)PP的告示，同時(shí)APP治理工作組也發(fā)布關(guān)于35款A(yù)PP的通知。我們分別從違規(guī)原因分析和監(jiān)管行業(yè)趨勢來做下分析。

1. 違規(guī)原因統(tǒng)計(jì)

11月工信部下線60款A(yù)PP違規(guī)原因方面，其中違規(guī)收集個(gè)人信息、過度頻繁索取權(quán)限、違規(guī)使用個(gè)人信息、強(qiáng)制向用戶定向推送、超業(yè)務(wù)范圍收集個(gè)人信息分別占前五。

11月工作組通告35款A(yù)PP違規(guī)原因方面，未同步告知收集目的、第三方SDK告知問題、因未授權(quán)非必要權(quán)限，拒絕提供基礎(chǔ)服務(wù)、超業(yè)務(wù)范圍收集個(gè)人信息、賬號注銷問題分別占前五。

2. 違規(guī)原因說明及應(yīng)對建議

(1) APP收集個(gè)人信息不合規(guī)

過度頻繁索取權(quán)限:在用戶明確表示不同意打開非必要權(quán)限后，仍頻繁征求用戶同意，干擾用戶正常使用。

收集業(yè)務(wù)無關(guān)信息：收集業(yè)務(wù)功能無關(guān)的個(gè)人信息、個(gè)人敏感信息。

應(yīng)對建議：

• 收集類型：應(yīng)與產(chǎn)品或服務(wù)的業(yè)務(wù)功能直接關(guān)聯(lián);
• 采集頻率：應(yīng)是業(yè)務(wù)功能所必需的最低頻率;
• PS“最低頻率”的定義：原則上以低于該頻率相關(guān)產(chǎn)品或服務(wù)將無法實(shí)現(xiàn)或有重大缺陷為準(zhǔn)來評估所需的最低頻率。
• 從第三方獲?。簯?yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)。

(2) 有關(guān)及用戶權(quán)益的PbD功能設(shè)計(jì)不合規(guī)

① 強(qiáng)制用戶定向推送：強(qiáng)制用戶使用定向推送功能;

② APP明文上傳敏感信息：APP明文上傳用戶賬戶、密碼;

③ 投訴舉報(bào)渠道不合規(guī)：

Ⅰ未建立并公布投訴和舉報(bào)渠道

Ⅱ未有效落實(shí)投訴、舉報(bào)的功能：

• 未在15個(gè)工作日內(nèi)完成核查處理
• 客服電話，提示“座席忙，請掛機(jī)”
• 在線反饋顯示“客服不在線”

④ 賬號注銷問題：

• 未提供有效的注銷用戶賬號功能
• 為注銷賬號設(shè)置不合理?xiàng)l件

⑤ 未同步告知收集目的：在申請打開如相機(jī)、通訊錄、電話、存儲(chǔ)、位置、麥克風(fēng)等權(quán)限時(shí)，未同步告知用戶其目的。

⑥ 因未授權(quán)非必要權(quán)限，拒絕提供基礎(chǔ)服務(wù)：因用戶不同意打開非必要權(quán)限，拒絕提供所有業(yè)務(wù)功能。

應(yīng)對建議：

產(chǎn)品對隱私功能模塊的設(shè)計(jì)，尤其注重如：系統(tǒng)權(quán)限管理、賬號日志管理、第三方賬號授權(quán)與解綁、賬號注銷、隱私協(xié)議等。

建立嚴(yán)格的SDLC+PbD安全開發(fā)流程，安全隱私角色，應(yīng)滲透產(chǎn)品開發(fā)全生命周期，從需求介入，嚴(yán)格把持上線。

(3) 明示告知及第三方SDK不合規(guī)

未明示告知收集信息：未明示收集個(gè)人信息的目的、方式和范圍。

第三方SDK告知問題：未逐一列出第三方SDK收集使用個(gè)人信息的目的、類型。

應(yīng)對建議：

隱私協(xié)議中需清晰列明收集個(gè)人信息的目的、方式和范圍。

其中，我們發(fā)現(xiàn)多數(shù)APP被要求告知的第三方SDK聚集特定類型，以下整理出了本次通告涉及的TOP5 SDK類型。

對于如果處理第三方SDK常見違規(guī)問題的建議舉措，參考如下：

三、案例及事件復(fù)盤

1. “人臉識(shí)別第一案”

2020年11月20日，浙江人民法院對郭某訴杭州野生動(dòng)物世界一案開庭宣判，法院認(rèn)為被告“收集人臉識(shí)別信息，超出了必要原則要求，不具有正當(dāng)性”，判決野生動(dòng)物世界賠償郭兵1038元，刪除郭兵辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息等。

合規(guī)措施建議：

• 收集生物識(shí)別信息時(shí)告知的用途應(yīng)當(dāng)與實(shí)際使用一致，即與訂立合同時(shí)約定的使用方式一致，超出告知目的的信息收集仍屬于未獲得有效同意;
• 屬于用戶個(gè)人信息和服務(wù)方經(jīng)營信息的，在無證據(jù)證明對用戶造成或可能造成損害的情況下，服務(wù)方有權(quán)拒絕刪除;
• 通過收集新的個(gè)人信息觸發(fā)服務(wù)方式更改并造成用戶負(fù)擔(dān)的，屬于預(yù)期違約行為，應(yīng)當(dāng)承擔(dān)合同法意義上的違約責(zé)任。故如果服務(wù)方升級需要使用到新的個(gè)人信息種類的，建議保留原始個(gè)人信息的使用方式直至合同期滿，不應(yīng)強(qiáng)制升級并造成用戶負(fù)擔(dān)。

2. “快遞拍照案件”

“雙十一”過后，上海一快遞代收點(diǎn)推出新規(guī)：為防止偷竊和誤拿，強(qiáng)制對所有前來取件人必須要拍照并存檔才可取走快遞，快遞網(wǎng)點(diǎn)拍攝的照片的儲(chǔ)存位置、傳輸方式、保障措施均無法確保其處理過程的安全性。

合規(guī)措施建議：

• 收集個(gè)人生物識(shí)別信息前，應(yīng)單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，并征得個(gè)人信息主體的明示同意;
• 對第三方在合同、實(shí)際業(yè)務(wù)的指導(dǎo)上加強(qiáng)管理，制定嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn)。

3. “售樓處人臉識(shí)別案”

為了做大量營銷宣傳，吸引潛在客戶，很多房地產(chǎn)售樓處在不告知本人，未經(jīng)授權(quán)同意的情況下，使用人臉識(shí)別系統(tǒng)來定位目標(biāo)客戶。即使客戶戴著基本的防護(hù)措施，依然可以被“無感”抓拍。系統(tǒng)可以識(shí)別并預(yù)測看房者的行動(dòng)路徑，框選其必經(jīng)路線，設(shè)置攝像頭進(jìn)行抓拍。拍完后，系統(tǒng)還會(huì)自動(dòng)選出一到兩張“最優(yōu)照片”。

合規(guī)措施建議：

• 企業(yè)在個(gè)人信息的收集時(shí)，一定要遵循「合法、正當(dāng)、必要」的原則;
• 必須要征得當(dāng)事人同意;
• 設(shè)置顯著標(biāo)識(shí);
• 只做流量收集，不做任何存儲(chǔ)，并做到及時(shí)刪除。

4. 上外女生起訴某知名互聯(lián)網(wǎng)平臺(tái)侵犯隱私

某學(xué)生在使用某知名互聯(lián)網(wǎng)公司開發(fā)的 App 時(shí)，發(fā)現(xiàn)其個(gè)性化推送廣告、濫用地理位置信息已構(gòu)成侵犯其隱私，故決定起訴該 App 的母公司。2019 年 11 月，該學(xué)生在使用某知名 App 時(shí)發(fā)現(xiàn)，其首頁會(huì)通過電子信息的方式向用戶推送商業(yè)廣告，且這些商業(yè)廣告可以準(zhǔn)確定位到用戶所在地區(qū)。用戶在瀏覽該 App 對應(yīng)的網(wǎng)站版本首頁時(shí)無法拒絕接收這些頻繁出現(xiàn)的商業(yè)廣告。

合規(guī)措施建議：

• 用戶有完全自主選擇權(quán)限的權(quán)利，企業(yè)應(yīng)該嚴(yán)格按照法律規(guī)定及《隱私政策》的規(guī)定執(zhí)行用戶的選擇;
• 制定簡約清晰的《隱私政策》。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文