安全技术专家解读:《App违法违规收集使用个人信息行为认定方法》

于 2020-04-17 16:03:22 发布
阅读量3.3k 收藏 8
点赞数 2
分类专栏: 技术分享 文章标签: 信息安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Baidu_Secrity/article/details/105582291
版权

近年来,App违规收集个人信息、过度索权等侵害用户权益的现象饱受诟病,并引发了来自国家监管层面的高度关注。

 

自2019年初监管机构开展App违法违规收集使用个人信息专项治理以来,多次重点针对App无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,进行通报、责令期限整改、处以警告处罚,更有2款App被立为刑事案件开展侦查……

 

1.png

 

2019年12月30日,国家网信办、工信部、公安部和市场监管总局四部门联合印发《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。

 

为了更加直观地说明监管机构对App违法违规收集使用个人信息行为的治理维度,百度安全对监管机构在2019年12月至2020年1月期间一系列执法重点进行剖析,并结合《认定方法》进行对应解读,其中涉及四部门App专项治理工作组通报的57款问题App、工信部公布的两批侵害用户权益行为App,以期能够帮助广大App开发及运营者快速了解监管机构治理的侧重点,从而快速对齐国家、行业安全标准与规范,规避App违法违规风险。

 

 

一 “未公开收集使用规则”

 

No.

检测项

简要分析

隐私合规助手评估方法举例

1

在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

明确要求App应公开隐私政策等文件,且隐私政策中应当包含收集使用个人信息的具体规则。在实践中,即使App公开了隐私政策,但App在用户首次登录时向用户默示隐私政策的情况十分普遍,导致隐私政策难以起到告知作用,因此本节要求App在首次运行时应以明显方式提示用户阅读。为了保护用户的知情权,除了要求在App首次运行时以明显方式提供用户阅读,还要求保证隐私政策在使用期间的易获得性。最后,对于难以阅读的情形也进行了非穷尽式列举,如未提供简体中文版等也构成“未公开收集使用规则”。就App专项治理工作组通报的57款存在收集使用个人信息问题App,其中:

1. 有12款App没有隐私政策;

2. 有10款App未通过明显方式提示用户阅读隐私政策,如未使用弹窗提示或采用将字体缩小,颜色变浅且放置在页面最底端的方式展示隐私政策链接;

3. 有14款App的隐私政策难以访问,如仅在注册或登录界面展示隐私政策链接,注册或登录后,无法再找到隐私政策;进入主界面后,多于4次点击等操作才能访问到隐私政策;

4. 有4款App的隐私政策难以阅读,如文字显示过小、过密;隐私政策中存在较多错别字或者歧义句;文字无自动换行;未提供简体中文版。

全自动化智能探测App是否有隐私政策,包括无法通过弹窗、文本链接、常见问题(FAQs)等形式在App中找到隐私政策。

2

在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。明显方式包括但不限于:弹窗、明显位置URL。

3

隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

全自动化智能探测App是否有隐私政策。检查从App首页到隐私政策是否可以在4次(含)点击之内访问到。

4

隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

全自动化智能探测App是否有隐私政策。包括隐私政策等收集使用规则的文字过小过密、颜色过淡、模糊不清;隐私政策是否是简体中文版;检查隐私政策文字是否造成阅读困难,如没有自动换行,段落划分不明确,存在较多错别字和歧义句等。

【法律依据】:

1) 《网络安全法》第四十一条第一款:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

2) 《消费者权益保护法》第二十九条第一款:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

 

 

 

二、 “未明示收集使用个人信息的目的、方式和范围”

 

No.

检测项

简要分析

隐私合规助手评估方法举例

1

未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

本节要求App需明示收集使用个人信息的目的、方式、范围。首先,要求App不仅要说明其自身收集使用个人信息的详细情况,同时为了打击SDK等第三方在App上进行隐秘收集的情况,也要求说明第三方SDK收集使用个人信息的具体情况。第二,原则上App收集使用个人信息的合法事由是获得用户同
最低0.47元/天 解锁文章
百度安全
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
红与蓝:现代Webshell检测引擎免杀对抗与实践
09-21 1614
上半年Webshell话题很火,业界举办了数场对抗挑战赛,也发布了多篇站在安全产品侧,着重查杀思路的精彩文章,但鲜有看到以蓝军视角为主的paper。作为多场挑战赛的参赛者及内部红蓝对抗的参与者,笔者试着站在蓝军角度,聊聊现代Webshell对抗的一些思路,也以PHP Webshell为例,分享包括利用PHP自身bug、构造PHP内存马、强制赋值私有变量等一些还没有被提及到但又比较有趣的trick。希望能对正在参与某些大型攻防对抗演练的你有所收获。1 轻松绕过传统规则查杀即便是现在一些主流商业产品,也
博客
百度世界大会公开课 | 人工智能的安全威胁:深度学习中的攻防对抗分析
09-17 1387
9月15日,“万物智能—百度世界2020”在线上召开。大会联合央视新闻,用线上发布会的形式,面向行业、合作伙伴、广大用户和媒体,发布了百度人工智能全年最新、最前沿的技术、产品、解决方案等成果。其中,在百度飞桨与生态公开课环节,来自百度研究院的资深安全研究员仲震宇带来了《深度学习模型的安全问题与防护》的技术分享。在数据丰沛的时代,计算机可以通过自我学习获得算法,把数据转化为知识。深度学习是当前机器学习技术中最为炙手可热的一种。深度学习的实质,就是通过构建具有很多隐层的机器学习模型和海量的训练数据,来学习更有
博客
百度安全论文入选IEEE TIFS,让攻击者再逃不出“楚门的世界”
07-28 1627
导读:近日百度安全发表的论文《Detecting Hardware-assisted Virtualization with Inconspicuous Features》入选国际TOP期刊IEEE TIFS,论文深度剖析了虚拟化检测技术,并创新性提出一种最新硬件虚拟化检测技术,无须提权就能实现对硬件虚拟化环境的检测,本文将对这篇论文进行详细的解读。虚拟化作为云计算系统中的一种基础技术,近年来,虚拟化技术不仅广泛应用于云服务器,也广泛应用于个人桌面。那么究竟虚拟化技术是什么,又为什么起到这么重要的.
博客
百度安全七大开源项目构建新一代人工智能安全技术栈
04-07 1163
新技术、新业态催生了传统网络安全格局的深刻变革。伴随移动互联网,大数据、云计算、人工智能等新一代信息技术的快速发展,围绕网络和数据的服务与应用呈现爆发式增长,智能设备将无所不在,智能家居、无人车、物联网将渗透到人类社会的各个角落,丰富的应用场景下暴露出越来越多的网络安全风险和问题,在全球范围内产生广泛而深远的影响。人身安全、数据安全与隐私面临着全新挑战,对互联网发展与治理带来巨大的挑战。不仅如...
博客
百度大模型安全荣获2024世界智能产业博览会“Find智能科技创新应用典型案例”
06-21 961
2023年,基于文心大模型安全实践经验,百度安全推出以AI安全为核心的大模型安全解决方案,从大模型全生命周期视角出发,方案涵盖大模型训练/精调/推理、大模型部署、大模型业务运营等关键阶段所面临的安全风险与业务挑战,提供全流程的包含数据安全与隐私保护方案、模型保护方案、AIGC 内容合规方案、以及业务运营风控方案的安全产品与服务,同时结合以攻促防守的思路建立AIGC 内容安全蓝军评测能力,对大模型实现例行化的安全评估,助力企业构建平稳健康、可信可靠的大模型服务。百度搜索“百度大模型安全”,了解更多详情。
博客
百度安全X盈科全球数据合规服务中心:推进数据安全及合规智能化创新领域深化合作
06-20 673
相信在双方的共同努力下,以大模型为代表的新一代技术手段将为法律服务提供新质生产力,共同为企业提供一体化、智能化的数据合规、数据安全服务,百度的大模型技术也将通过与盈科多维度、深层次的合作,得到更为广泛的行业应用。盈科律师事务所党委书记、主任、全球董事会主任梅向荣,百度安全副总经理刘蕊红,盈科全球董事会董事、综合业务部主任何宁宁,盈科全球数据合规服务中心主任郭卫红,盈科数智化信息中心主任孙文,百度数管平台负责人季石磊,百度合规认证工程师吴月升等出席签约仪式。盈科律师事务所党委书记、主任、
博客
百度大模型安全及产业应用实践将亮相 2024 WAVE SUMMIT
06-19 28
WAVE SUMMIT 深度学习开发者大会 2024 由深度学习技术及应用国家工程研究中心主办,百度飞桨、文心大模型联合承办。大会将由深度学习技术及应用国家工程研究中心主任、百度首席技术官王海峰等业界重磅嘉宾领衔,将与万千开发者分享国产大模型在技术创新、产业应用、生态社区等方面的最新进展。本届大会共设 1 场主论坛、6 大平行论坛、多场 Workshop 以及展区。“智变应用 码动产业” 论坛将围绕大模型技术,探讨企业智能化升级关窍,邀请各行业先锋企业,为生态伙伴带来全场景、多领域、准定位的业务升级思路。
博客
AI赋能数据安全体系化落地,出席网安标委2024年第一次标准周“数据安全标准与能力建设研讨会”
06-14 386
刘蕊红从安全的伴生性、风险的滞后性、技术的前瞻性三点特性出发,提出了业务与安全“一体化”、网络安全与数据安全“一体化”、 数据与人“一体化”的思考,并介绍了百度数据安全在体系化落地中的实践经验以及智能化探索。刘蕊红表示,企业数据安全建设是一个持续管理“数据”与“人”的风险的过程,需要始终以“数据”为本,以“业务”为锚 ,以“人”为本,以“风险”为尺,让数据安全融入业务发展,让数据安全风险评估成为驱动数据安全建设的抓手,将数据安全风险评估结果作为衡量数据安全体系落地效果的标尺。数据安全标准与能力建设研讨会。
博客
BCS2024|Baidu Comate:以研发提效为驱动实现“安全左移”
06-07 44
Baidu Comate 是百度基于⽂⼼大模型的智能代码助⼿,围绕 “AI+需求”、“AI+编码”、“AI+测试及发布”的三个关键研发流程,Comate将代码的理解、生成、优化和安全等能力无缝集成到DevOps研发流程的各个环节之中,不仅大幅提升代码的开发质量和效率,而且让研发安全转化为切实的交付结果。在漏洞修复方面,传统的漏洞修复需靠工程师手动修复,效率低,且质量无法保证,Baidu Comate以文心大模型 4.0 为基础,建设了代码漏洞自动修复能力,帮助工程师大幅提升漏洞修复效率;
博客
大模型安全技术实践 | RAG精确应对大模型敏感问题知识幻觉难题
06-07 569
因此,纠正这些幻觉现象,是一个值得长期关注的问题。百度大模型内容安全解决方案采用了检索增强安全大模型作为核心模块,融合了海量的高质量知识库数据,并经过安全对齐优化,能够精准识别AIGC生成内容中的各类违规风险,有的放矢地进行过滤和改写。而在大模型处理敏感问题上,由于敏感问题具备一定的推理复杂性、高时效性,因此使用常规的向量数据库存储知识、检索召回注入prompt,会面临高维护成本的基础上,并不能完全解决最新的敏感(如时政)问题,且面对较为复杂的问题上,传统的RAG范式并不能覆盖所有的问题。
博客
度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办
06-03 1069
奇安信产品安全高级经理,兼网络安全部蓝军负责人武鑫表示,SDL或DevSecOps已逐步在各大公司落地,但初步建成的效果并不是很好,比较明显的例子是SRC、红蓝对抗中发现经过安全测试的系统还存在高危漏洞。研发安全建设的最后一公里,也就是研发安全工作落地的最后关键环节,是需要大家对非自主发现的高危风险进行深度复盘剖析,下沉到研发体系、流程、规范、工具能力及人工测试的环节,一步步找出根因并解决问题,以此提升研发安全效果。奇安信产品安全高级经理 武鑫。
博客
2023全球DDoS攻击态势分析,与众多行业专家共议DDoS破局之道
05-23 254
深耕安全攻防领域二十余年,拥有丰富的经验首创可根据攻击类型的切换防御方案,并持续跟进企业需求变化,将从大流量防护性能、毫秒级攻击响应、精准新型攻击检测和防御自动化等多个方面不断提升产品价值,打造抗DDoS攻击防护利器,帮助千行万业构筑起坚固的互联网安全堤坝。DDoS攻击因其攻击成本低廉及难防御的特点,一直以来是网络安全的热点。随着人工智能时代来临,全球DDoS攻击频次呈持续增长趋势,2023年攻击频次同比大幅增长1.6倍,超800Gbps攻击高达248次,DDoS攻击已成为网络安全的最大威胁之一。
博客
Baidu Comate:“AI +”让软件研发更高效更安全
04-30 883
4月27日,百度副总裁陈洋出席由全国工商联主办的第64届德胜门大讲堂,并发表了《深化大模型技术创新与应用落地,护航大模型产业平稳健康发展》主题演讲。陈洋表示,“人工智能+”成为催生新质生产力的重要引擎,对于企业而言,务必要抓住这一重要机遇,一方面,要持续深化大模型技术的创新与应用落地;另一方面,要夯实数字安全,全力护航大模型产业平稳健康发展。
博客
技术实践|大模型内容安全蓝军的道与术
04-25 560
实际上,一个理想的蓝军体系更像在堆满不同针头的稻草堆中寻找一根描述模糊的针头,因为大模型产生的内容风险,并不一定是被人能提前定义的,用一个偏狭的标注方法去识别风险,只能使整个蓝军体系仅仅挖掘开发者已知的风险,然而智者千虑,必有一失,对于体系认知外的风险,不能直接粗暴的排除。在标注环节,我们结合多种模型,包括预训练语言模型(如bert),开源大语言模型,闭源大语言模型接口,开源大语言模型自微调版本,加上人工专家审核,尽可能的保证对整体风险的召回,防止单一模式的标注导致风险识别中的偏狭。
博客
百度安全多篇议题入选Blackhat Asia以硬技术发现“芯”问题
04-24 687
因此,跨缓存攻击的效率直接决定了安卓上众多基于堆栈的漏洞利用成功率。结合这些漏洞,议题依次分析了四种威胁模型中的典型漏洞案例,并介绍了Netlink相关漏洞的验证和利用方法,最后为厂商使用Netlink提供了最前沿的安全建议。百度安全是百度公司旗下以AI为核心打造的安全品牌,基于百度各业务线全技术栈的安全实践总结,在基础安全、数据安全、业务安全、车与IoT安全打造四大产品矩阵,面向行业和合作伙伴输出安全产品与行业一体化解决方案,在智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域已有丰富实践。
博客
Create 2024 分论坛:百度大模型安全解决方案护航开发者一起创造未来
04-19 403
会上,北京大学博雅特聘教授,北京大学(深圳)信息工程学院院长,鹏城实验室网络智能研究部副主任兼云脑研究所所长田永鸿从学术角度入手,围绕时下大火的科学计算、大模型为与会者进行深度拆解,认为AI大模型正改变生产力,将重塑X万亿元级产业格局,与此同时,人工智能也正在改变基础科学的研究范式,为科学计算的研究人员带来全新的AI开发模式,“未来几十年,科学研究将坐在AI火箭上,开拓新的范式。他强调,大模型和深度学习相互促进,相辅相成,他们的发展不仅推动了人工智能技术的进步,也为各行各业带来了巨大变革的机会。
博客
倒计时4天!百度Create AI开发者大会“大模型与深度学习技术”论坛亮点抢鲜看!
04-12 445
作为人工智能的核心基础技术,深度学习具有很强的通用性,大模型技术在深度学习的基础上,通过构建更加庞大神经网络模型和应用transformer等更加领先的算法,使模型的处理能力产生质的飞跃。大模型与深度学习技术大牛放大招,大规模分布式训练技术及应用、大模型推理部署技术及应用、深度学习框架架构演进与核心技术、产业级深度学习开源开放平台飞桨与开源社区、大模型应用安全及大模型在安全运营中的技术与实践……你想了解的各类技术干货,前沿的科技圈热点,来18号馆2F AI训练营,不容错过!▎网约车 / 出租车。
博客
百度获评CCIA数据安全和个人信息保护社会责任评价“三星”示范单位
04-09 466
2024年4月,CCIA数安委进一步完善国标《社会责任指南》文本,百度集团继2023年的二星级指标要求的基础上,进一步建立了良好的社会责任管理体系,作为责任试点取得更高的社会责任绩效——“三星(系统级)”,再次获得了在数据安全及个人信息保护领域能力建设上的高度认可。CCIA数安委开展《数据安全和个人信息保护社会责任指南》试点暨社会责任试评价活动,旨在推动委员单位更好履行数据安全和个人信息保护社会责任,引导全社会共同维护数据安全和个人信息保护,促进形成数字经济发展的良好环境。
博客
AI程序员上岗1年!四分之一代码都靠TA,还能检测修复安全漏洞!
04-03 222
再比如,在编码的过程中,你可以使用Comate的【调优建议】能力,它能通过大模型分析你的代码,检测出潜在的安全漏洞,如信息泄露风险、SQL注入等,并给出相应的优化点。作为一名有着大模型大脑的AI程序员,我不仅精通100多种主流开发语言,甚至写了我司四分之一的代码,不夸张地说,我为各位程序员爸爸提供的情绪价值,已经超过了格子衬衫。我想,大模型的发展,真的能让每个人只要说话,就具备程序员的能力。对了,最后啰嗦一句,搜索【百度Comate】就能找到我,当然,也欢迎你点击下方的阅读原文,让我加入你的编程世界哦!
博客
度安讲 | 首期「数据安全与隐私保护合规」技术沙龙顺利召开
04-03 232
百度安全“度安讲”安全技术沙龙,旨在搭建一个相互交流、学习、借鉴的平台,拓宽安全技术视野,共同推进生态建设,促进安全行业的有序运营和蓬勃发展。日前,百度安全首期“度安讲”安全技术沙龙圆满落地,本期沙龙聚焦数据安全与隐私保护合规主题,滴滴、美团、小米、京东、快手、百度等企业多位安全合规专家汇聚一堂,围绕当前局势深入探讨数据安全和隐私保护合规的诸多关键议题,从政策趋势、合规重要性再到企业落地执行,分享最新的行业洞见和最佳实践,共同探索应对当前环境下带来的挑战和机遇。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值