数据安全每周观察 |工信部查处3·15晚会曝光的破解版APP

新闻
11月前

政策趋势

01《新时代的中国网络法治建设》白皮书发布

——健全数字经济法治规则

国务院新闻办公室16日发布《新时代的中国网络法治建设》白皮书,提到要不断完善数据基础制度,维护数字市场秩序,规范数字经济新业态新模式,助力经济由高速增长转向高质量发展。


(1)推动构建数据基础制度。注重发挥数据的基础资源作用和创新引擎作用,数据安全法对实施大数据战略、支持数据相关技术研发和商业创新、推进数据相关标准体系建设、培育数据交易市场等作出规定,提升数据开发利用水平,促进以数据为关键要素的数字经济发展。


(2)明晰数字市场运行制度。坚持依法规范发展数字市场,坚决反对垄断和不正当竞争,健全数字规则,有力维护公平竞争的市场环境。


(3)规范数字经济新业态新模式。数字经济新业态新模式快速涌现,在为经济社会发展带来巨大动力和潜能的同时,也对社会治理、产业发展等提出了新的挑战。


同时,划定网络安全法律红线,构建数据安全管理法律制度。立足数据安全工作实际,着眼数据安全领域突出问题,通过立法加强数据安全保护,提升国家数据安全保障能力。数据安全法明确建立健全数据分类分级保护、风险监测预警和应急处置、数据安全审查等制度,对支持促进数据安全与发展的措施、推进政务数据安全与开放等作出规定,以安全保发展、以发展促安全。


02《政府工作报告》——深入推进国家安全体系和能力建设

在十三届全国人大四次会议上,国务院发布了《政府工作报告》,提出2023年要持续推进政府职能转变,加快数字政府建设,实现90%以上的政务服务实现网上可办;加强和创新社会治理,深入推进国家安全体系和能力建设。加强网络、数据安全和个人信息保护。持续加强社会治安综合治理,严厉打击各类违法犯罪,开展扫黑除恶专项斗争,依法严惩黑恶势力及其“保护伞”,平安中国、法治中国建设取得新进展。


03《个人信息跨境传输认证要求》征求意见稿发布——明确个人信息跨境处理相关安全要求

3月16日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 个人信息跨境传输认证要求》征求意见稿。该标准规定了个人信息处理者跨境提供个人信息的基本原则和要求。标准的整体构架及主要内容包括范围、规范性引用文件、术语和定义、缩略语、基本原则、基本要求(包括具有法律约束力的协议、组织管理、个人信息跨境处理规则、个人信息保护影响评估)及个人信息主体权益保障(包括个人信息主体的权力、个人信息处理者和境外接受方的责任义务)7部分,以下为节选:

5.2.2 个人信息保护机构

开展个人信息跨境处理活动的个人信息处理者和境外接收方均应设立个人信息保护机构,履行个人信息保护义务,防止未经授权的访问以及个人信息泄露、篡改、丢失等,并在个人信息跨境处理活动中承担下列职责:


a) 依法制定并实施个人信息跨境处理活动计划;


b) 组织开展个人信息保护影响评估;


c) 监督本组织按照约定的个人信息跨境处理规则处理跨境个人信息,保护个人信息权益;


d) 采取有效措施保证按照约定的处理目的、范围、方式处理跨境个人信息,履行个人信息保护 义务,保障个人信息安全;


e) 定期对本组织处理个人信息遵守中华人民共和国个人信息保护相关法律、行政法规的情况进行合规审计;


f) 接受和处理个人信息主体的请求和投诉;


g) 接受认证机构对个人信息跨境处理活动的持续监督,包括答复询问、配合检查等


5.3 个人信息跨境处理规则

开展个人信息跨境处理活动的个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则,规则应至少包括下列事项:


a) 明确跨境处理个人信息的基本情况,包括个人信息数量、范围、种类、敏感程度等;


b) 明确跨境处理个人信息的目的、方式和范围;


c) 明确个人信息境外存储的起止时间及期满后的处理方式;


d) 明确跨境处理个人信息需要中转的国家或者地区;


e) 明确保障个人信息主体权益所需资源和采取的措施;


f) 明确个人信息安全事件的赔偿、处置规则。

······


监管动态

1上海市消保委暗访沪上奶茶店和快餐店 扫码点餐过度收集个人信息

近期,上海市消保委对29家知名度较高的奶茶店和快餐店进行了暗访,发现其中有“CoCo”“茶百道”“7分甜”“蜜雪冰城”“吉祥馄饨”和“书亦烧仙草”等8个品牌的小程序会索要消费者的手机号。其中,“CoCo”和“沈大成”问题最为突出,如果消费者拒绝提供手机号,则无法进行点餐。目前,上海市消保委会同市网信办和市市场监管局对相关企业进行了约谈,根据各自职责指导企业进行问题整改。


2工信部:查处3·15晚会曝光的破解版APP

“3·15”晚会播出后,工业和信息化部立即排查了曝光的“b站破解版2021”“百度网盘破解版”等APP,处置436条非法下载链接。据悉,315信息安全实验室对十余款常用的应用软件的破解版进行监测,发现一视频App被额外嵌入了3款第三方插件,运行后会窃取用户手机里的个人信息,实时追踪用户动态,形成精准画像。工信部对此表示,将高度重视用户权益保护工作,持续开展移动互联网应用程序侵害用户权益专项整治行动,不断改善应用程序服务环境。


3依法严厉打击侵犯公民个人信息犯罪 公安部公布8起典型案例

按照公安部统一部署,全国公安机关网安部门聚焦人民群众反映强烈的各类侵犯公民个人信息违法犯罪活动,依托“净网2022”专项行动,持续开展严厉打击侵犯公民个人信息犯罪工作,有力维护了网络空间安全和社会公共安全。


公安部公布打击侵犯公民个人信息犯罪8起典型案例,包括四川公安机关破获王某等人侵犯公民个人信息案、江苏公安机关破获黄某等人利用木马程序非法获取公民购物信息案、山东公安机关破获石某等人非法获取公民车辆位置信息案、辽宁公安机关破获黄某等人非法获取老年人个人信息推销虚假保健品案、内蒙古公安机关破获周某等人非法获取公民人脸信息解封网络账号案、浙江公安机关破获邱某非法获取公民个人信息案、河北公安机关破获刘某等人非法获取公民个人信息案、江苏网安部门破获石某等人非法获取公民个人信息案。


4内蒙古下架6款侵害用户权益App 涉及违规收集个人信息等问题

内蒙古自治区通信管理局近期向社会公开通报19款存在侵害用户权益行为问题的App企业名单,要求被通报App归属单位在2023年2月24日前完成整改。截至目前,仍有 6 款问题 App 未按要求完成整改,包括国蒙党建、天天自动点击器-连点器、同致健康、火炬党建在线、爱丢丢商城、蛮省,其涉及问题包括“App 强制、频繁、过度索取权限”、“违规收集个人信息”。


5湖南长沙首张违反《数据安全法》罚单:未制定数据安全管理制度

近期,长沙市岳麓公安分局网络安全保卫大队民警发现辖区一家信息科技公司疑似存在网络数据泄露隐患。经过进一步核实,该公司未制定数据安全管理制度、未开展等级保护备案工作,严重违反了《中华人民共和国数据安全法》规定。岳麓公安分局网络安全保卫大队依据相关法律给予该公司行政警告,并处罚款五万元。该公司负责人表示接受处罚并完成整改,切实履行网络安全主体责任。


业界之声

01浏览器类”App个人信息收集情况测试报告


近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“浏览器类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“浏览器类”App,包括华为浏览器、小米浏览器、uc浏览器、QQ浏览器、夸克、搜狗浏览器极速版、360浏览器、悟空浏览器、火狐浏览器这九种。


报告发现,9款App在4种场景下调用了位置、设备信息、剪切板、应用列表、相册5类系统权限,未发现调用麦克风、通讯录等其他权限。同时,9款App上传了4种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用Wi-Fi MAC地址;②唯一设备识别码,包括IMEI(国际移动设备识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址;③应用列表信息,包括手机上已安装、新安装、新卸载的应用信息;④用户在App内的截图操作信息


02地图导航类”App个人信息收集情况测试报告


近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“地图导航类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到5000万次的“地图导航类”App,共计3款,包括高德地图、百度地图、腾讯地图。


测试发现,3款App在4种场景下调用了位置、设备信息、麦克风、剪切板、应用列表5类系统权限,未发现调用相机、通讯录等其他权限。同时,3款App上传了5种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用基站信息、周边可用Wi-Fi MAC地址;②唯一设备识别码,包括Android ID(安卓ID)、手机MAC地址;③剪切板内容信息,主要是地点分享链接;④应用列表信息,包括手机上已安装、新安装和新卸载的应用信息;⑤地点信息,主要是地点名称,包括文本或语音形式。