近年来个人信息泄漏事件层出不穷,疫情之下更有泛滥的趋势,作为信息泄漏的主要渠道之一,部分APP对终端设备隐私权限的违规获取与利用饱受诟病。然而,在国家强监管之下,众多App企业开发者和运营者却面临着诸多困境,在实际落地中难以实现与监管要求的完整匹配,更难谈及与监管要求的深度契合。
7月1日,百度安全邀请到国家计算机病毒应急处理中心移动安全部部长张鑫、北京大成(上海)律师事务所高级合伙人陈立彤律师、大成律所Dentons柏林办公室的GDPR专家合伙Christian Schefold博士以及百度安全产品总经理韩祖利,给广大APP企业开发者和运营者带来了一场APP隐私合规的线上公益讲座。讲座分别从监管、法律法规、企业的不同视角,讲解了APP个人信息保护趋势与监管重点、个人信息保护层面的相关法律法规政策,以及App隐私合规的挑战与应对方法。希望能够切身帮助各家APP企业深入了解隐私合规政策趋势和监管重点、安心上架避免违规风险。
公益讲座的首位开场嘉宾是来自监管侧的国家计算机病毒应急处理中心移动安全部部长张鑫,他的分享议题为《个人信息保护趋势与监管重点》。张部长从移动互联网应用个人信息保护整体形势、相关政策以及移动互联网应用安全治理的重要举措三个部分给广大APP开发者和运营者带来了监管层面的分享。
干货太多,我们对监管重点进行了部分提炼,如下:
  • APP隐私合规治理的检测依据和检测内容是什么?
检测依据主要是参照《网络安全法》第二十二条、第四十一条、第四十二条、第四十三条、第四十四条和《App违法违规收集使用个人信息认定方法》。
  • 检测的主要内容是什么?
检测的主要内容包括:
1、APP是否主动引导用户阅读隐私政策或隐私协议,并征得用户同意。
2、APP实际向系统申请的权限和隐私协议中明示的服务和需要的权限是否对应,是否存在未向用户明示而申请的权限。
  • APP违法违规收集使用个人信息行为概括为哪几类?
参考四部委联合印发的《App违法违规收集使用个人信息认定方法》
  • 公安部关注的重点是什么?
1、违反正当、合理、必要原则获取数据
2、未开展准确明示数据获取的行为和处理
3、超范围使用获取的公民个人信息
4、非法出售提供获取的公民个人信息
在了解监管趋势之后,法律法规也是广大企业关注的重点。随后,大成律所Dentons柏林办公室的GDPR专家合伙Christian Schefold博士、北京大成(上海)律师事务所高级合伙人陈立彤律师给大家带来了《APP合规风控——GDPR及中国法下的最佳实践》的分享。
陈立彤律师提出:有关数据治理我们不仅要关注数据的完整、保密和安全及其相关的“操作风险”,同时还要关注数据治理中的重中之重“法律风险”——法律所规定的禁止性合规义务所带来的风险——比如个人信息不经数据主体的授权不能收集。从这个角度来说,数据如中药,非经炮制不能使用。另外,还有内部员工以及外部黑客等通过种种欺诈行为所带来的“欺诈风险”。这三类风险“法律风险”、“欺诈风险”和“操作风险”构成了数据治理中的合规风险全貌,只管控其中一类风险(比如通过等保管控网络及信息系统中的漏洞所带来的操作风险),并不能想当然地解决其他类别的合规风险(比如非经授权而收集个人信息所带来的法律风险)。一个公司如果不能对三类风险的管控统筹规划,那就是在数据治理问题上盲人摸象。阅读原文可免费领取由大成律所嘉宾分享的《个人信息保护法律法规及案例汇总》)
在线上公益讲座的最后环节,百度安全产品总经理韩祖利从企业的角度为大家带来了《百度隐私合规挑战与防控对策》的分享。阅读原文可免费领取百度安全嘉宾的干货PPT)
截至2019年12月末,我国国内市场上监测到的APP数量为367万款,分发总量达9502亿次。在对齐监管新政的过程中,中小企业大多面临着政策解读门槛高、缺乏专业合规检测团队、第三方SDK信息不可控、产品设计流程不规范、人员流失快带来的代码高风险以及移动应用更新迭代快带来新的风险等诸多问题。
对此,百度基于内部大量实践经验打造了“安全隐私合规助手”,为APP开发者和运营者带来了一站式的解决方案。在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,可实现检测能力与监管要求的一致性,实现对最新政策要求的全面覆盖和规则对齐。
同时,针对创业者和中小企业,百度安全还上线了个人信息保护扶持计划,并专门推出了史宾格隐私合规助手扶持版,实现对App权限代码分析、第三方SDK分析等功能的支持。加入计划的企业可在一年的计划期限内获得对旗下选定的一款App的扶持版使用权限,并支持每天5次的隐私合规检测。
即日起至7月31日,申领扶持版免费(1年使用期),专业版6折,点击阅读原文速来领取福利吧!
往期回顾
GDPR下的“consent” PK 中国法下的“同意”
开放银行与个人金融信息安全(一)「实务经验介绍暨往期沙龙回顾」
开放银行与个人金融信息安全(二)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(三)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(四)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(五)「实务经验暨往期沙龙」
“人脸识别第一案”开庭,对强制刷脸能否说不?
网络爬虫与大数据安全「往期沙龙回顾」
侵害公民个人信息刑事风险的识别与控制「往期沙龙回顾」
我们刚做的这个等保2.0,得分接近90
本栏目由大成律师事务所陈立彤、赵云虎、刘骥、赵中星、张建民、马朗、朱海斌律师等组成的网络安全与数据治理团队主持。
陈立彤律师
陈立彤律师为中国律师、美国纽约州律师、福特公司前亚太区合规总监;香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”,钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务,是“数据120”首席数据合规顾问,该平台运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草修订的标准之一包括《信息安全技术 个人信息安全规范》、《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(征求意见稿)以及《信息安全技术 移动智能终端个人信息保护技术要求》等。
赵云虎律师
赵云虎律师执业于北京大成(上海)律师事务所,上海交通大学金融学士、工学硕士,华东政法大学法律硕士,拥有律师执业资格、基金从业人员资格、专利代理人资格以及高级程序员资格,曾任职于华为、中兴、先进半导体等企业。赵律师的执业领域主要为公司法、争议解决、以及科技法,包括高新技术企业投资、知识产权等高新科技领域的法律业务,能够将数理逻辑和法律相结合为客户提供更专业、差异化的法律服务。赵律师曾经或正在服务的客户主要来自于高科技行业及金融类机构。
刘骥律师
刘骥律师是耶鲁创新学者、全国律协涉外领军人才与司法部涉外人才千人计划双入库律师、广东省律协涉外领军人才、广东省律协信息网络与高新技术法律专业委员会委员,大成律师事务所中国区科技、传媒、通讯行业领导人、大成律师事务所知识产权专业委员会理事。刘骥律师对高科技产业的趋势和方向具有极高的敏锐度,为创业技术与新兴成长企业提供融资、股权激励、投资并购、合规等创造性的解决方案和灵活的策略,帮助企业迅速应对,推动事业发展。
赵中星律师
赵中星律师的执业领域为网络安全和数据合规、外商直接投资、境外投资和公司事务。赵中星律师专注于为科技、媒体和电信行业客户的日常运营、投融资、行业监管和数据合规等方面提供法律解决方案。赵中星律师曾为全球知名电商企业、数据分析公司、网络营销公司、互联网和手机安全产品公司、互联网金融公司、区块链、共享单车平台等商业模式所涉及的诸多与数据相关的前沿法律和监管问题提供咨询和建议。赵中星律师也是汤森路透Practical Law数据库的特约作者之一,曾就网络安全和数据合规、外商投资、境投融资、互联网行业监管多个专题撰写律师实务指引文章。
张建民律师
张建民律师为狗熊会联合创始人,数据合规研究中心主任。主要从事私募股权、证券投资基金,投融资并购以及衍生的争议解决业务,张律师是数据资产调查(数据FTA)法律服务产品的首创者,对数据合规、隐私保护、数据治理有着长期、深入的研究。
马朗律师
马朗律师执业以来,共办理各类刑事案件200多件,尤其在职务犯罪、金融犯罪和知识产权犯罪领域有丰富的办案经验。基于丰富的刑事诉讼经验,马律师在企业合规领域所遇刑事法律风险的识别与控制,亦有独到且专业的法律见解与方案。马律师兼任中国案例法学研究会理事、上海市刑法学研究会理事、华东政法大学司法改革与判例研究中心副主任、上海市律师协会刑事法律业务研究会委员、大成律师事务所企业合规与刑事法律风险防范研究中心执行主任等职。
朱海斌律师
朱海斌律师专注于金融证券、贪污贿赂、合同诈骗、涉税、非法集资、挪用侵占等各类型白领犯罪及金融领域犯罪案件的研究与办理。曾办理多起具有重大社会影响力的刑事犯罪案件,曾荣获大成首届“十佳刑辩律师”。曾在上海市公安局普陀分局、经济犯罪侦查总队办理经济犯罪案件十余年,侦办过百余起重特大经济金融犯罪案件。具有丰富的办案实战经验,获得上海市公安局、中国证监会授予的多项荣誉。
我们的服务范围包括:

政府调查与刑事辩护:
-行政监管调查应对
-刑事调查应对
-刑事辩护
-政府调查应对
监管分析
结合行业监管要求,对于数据驱动或涉及数据的业务模式或活动进行监管分析,包括:
-自动驾驶;
-大数据分析和应用;
-电商平台(包括跨境电商业务);
-智能硬件;
-网络营销;
-线上销售保险产品;
-政务数据的合作和使用。
网络安全等级保护制度
将网络划分为不同的安全保护等级并对其实施不同的保护和监管。网络安全等级保护工作包括以下:
-定级:确定系统等级
-备案:向公安机关备案
-安全建设整改:安全技术建设整改、安全管理建设整改
-等级保护测评(需要具有网络安全等级保护测评资质的机构进行,并且不能是安全建设整改供应商);
-安全自评。
数据自由应用尽职调查(FTA调查)
指对数据控制者/数据处理者获取、存储、流通以及商业应用数据是否可能侵犯数据主体的权利和是否违反其他法律法规的规定而进行的调查和分析。FTA调查适用于以下情景:
-以数据资产为标的的交易;
-包含数据资产的投资并购项目;
-以数据为纽带的企业间合作项目;
-基于数据衍生的数据类创业项目;
-数据企业的自我合规诊断与提升。
差距分析
对现时的数据收集和使用活动进行梳理,生成数据地图,并根据相关法律法规和内部数据治理制度的要求,评估违法违规的数据处理活动,并提出建议,协助实施建议。差距分析可适用于特定的数据处理活动或特定的产品或业务线。
数据影响评估
-个人隐私影响评估:为涉及个人信息收集和使用的业务开展个人隐私影响评估,出具评估报告,提示风险和建议
-供应商(上游)评估
-供应商(下游)评估
-第三方数据接收方评估
-第三方数据提供方评估。
数据合规体系建设
为客户建立全面的网络安全和数据治理合规体系制度,包括:
-《网络安全和数据保护政策》(纲领)
-《个人信息管理规范》
-《数据分类分级和权限管理规范》
-《实现数据主体权利管理规范》
-《向第三方输出数据管理规范》
-《从第三方接收数据管理规范》
-《数据安全事件管理制度》
区块链
-区块链赋能场景合规评估
-区块链监管与合规咨询
-区块链境外监管、合规及商用项目咨询
                                        扫描二维码
                                   关注我们
继续阅读
阅读原文