全球数据保护资讯 | EDPB发布关于新型冠状病毒疫情下数据处理的声明

享法享法互联网JoyLegal

2024-08-25

EDPB发布关于新型冠状病毒疫情下数据处理的声明

2020年3月16日，欧洲数据保护委员会（EDPB）主席Andrea Jelinek发表声明，明确指出欧盟数据保护法不妨碍采取措施对抗新型冠状病毒疫情。但是，它强调控制者（包括雇主）以及政府在采取应对疫情的措施且该措施涉及数据处理时应注意的一些事项。

3月19日，EDPB通过一份关于在新型冠状病毒病（COVID-19）爆发期间处理个人数据的正式声明。

首先，关于数据处理的合法性基础。EDPB表明， GDPR提供了若干法律依据，使公司和政府机构可以在疫情期间未经数据主体同意而处理个人数据，特别是以下合法性基础：“出于公共卫生领域的公共利益考虑而必须进行的处理”（GDPR第9（2）（i）条）；处理“对保护数据主体或另一自然人的切身利益至关重要”（GDPR第6（1）（d）和9（2）（c）条）；和“履行法律义务所必需的”处理（GDPR第6（1）（c）和9（2）（b）条）。这表明，EDPB可能允许公司参与收集员工和其他人的个人数据（包括健康数据）以防止疫情传播，至少，如果这样做是按比例进行的话。

其次，关于电子通信数据（例如，移动位置数据）的处理，Jelinek指出，实施ePrivacy指令的成员国国家法律规定，只有当数据被匿名化处理后，相关服务提供商才能使用位置数据（例如，通过汇总），或在受影响的个人的同意下。

当不可能仅处理匿名位置数据时，ePrivacy指令允许成员国根据其紧急立法，在未征得受影响个人同意的情况下提供可识别的电子通信数据的处理。但是，此类立法必须是必要的，适当的和相称的。特别是，它必须提供适当的保障，例如授予个人司法救济的权利。在这方面，应该指出，有几个成员国已经通过或正在通过紧急立法来对抗疫情，并可能决定利用其酌情权允许移动设备跟踪作为限制措施疾病的传播。

来源：insiderprivacy

App自评估指南征求意见：后台运行时如非必要不得收集个人信息

2020年3月19日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南（征求意见稿）》，并面向社会公开征求意见。

据了解，征求意见稿是在《App违法违规收集使用个人信息自评估指南》的基础上，依据《网络安全法》等法律法规要求，参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准，结合检测评估工作经验归纳总结出来的。App运营者可据此评估自身的个人信息保护水平。

征求意见稿共有六个评估点，分别为是否公开收集规则，是否明示收集使用目的、方式和范围，是否征得用户同意，是否遵循必要原则，仅收集与提供的服务直接相关的个人信息，是否未经同意向他人提供个人信息，以及是否按法律规定提供删除或更正个人信息功能，或公布投诉、举报方式等信息。

南都记者梳理发现，征求意见稿在此前相关文件的基础上进一步融合和细化。比如隐私政策内容需符合通用的语言习惯，使用标准化的数字、图示；此外，征求意见稿还针对多个真实使用场景提出了具体要求。如有的App会如以红包、金币、抽奖等方式，诱骗用户打开可收集个人信息的通讯录权限后，然后上传至后台。对此，征求意见稿要求，App不应故意欺瞒、掩饰收集使用个人信息的真实目的。

来源：南方都市报

天津通报7款疫情防控App违规收集信息，无隐私政策问题最普遍

2020年3月16日，天津市委网信办在其官网发布《天津市疫情防控App专项治理情况通报（第一期）》（下称《通报》）。《通报》称，自3月9日开展疫情防控App违法违规收集使用个人信息专项治理以来，广大网民积极举报违法违规线索，部分App运营者按要求在线填报相关信息。

市委网信办组织相关技术支撑单位对网民举报的疫情防控App（含小程序、网页工具等）进行评估和检测。经评估，发现“新冠通”等7个App存在收集使用个人信息问题，且逾期未填报相关信息。

据了解，此次通报了新冠通、门诊大厅、今日校园等3款App，以及泰平、双港复工通、保疫防、复工人员每日健康登记表等4款小程序。

根据《通报》，这7款疫情防控App（或小程序）的主要问题为：（1）在小程序中无法找到隐私政策；（2）在收集用户身份信息时，未同步告知用户使用目的；（3）未按法律规定提供删除或更正个人信息功能、或未公布投诉、举报方式等信息；（4）收集详细地址、行程证明图(如机票、船票、火车票)等信息时，未同步告知用户使用目的；（5）在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；（6）申请打开拍摄照片、录制视频、设备位置等权限时，未同步告知用户使用目的。

来源：天津网信办

广东省通信管理局查处一批违反用户个人信息保护规定App

“3·15”国际消费者权益日之际，广东省通信管理局聚焦用户权益保护开展APP隐私合规及网络数据安全专项检查工作，督促各应用商店排查疑似违规APP7万余款，发现并下架违规APP5998款，驳回违规APP上架申请2807次。

广东省通信管理局对抽检存在问题的21款APP运营者发出责令整改通知书并同步通知应用商店下架处置，对问题突出的“我连网”，“聚超值”等5款APP运营者做出警告并罚款的行政处罚。

此次查处的APP问题有两类，一是违反用户个人信息保护规定，主要体现在“无隐私政策或隐私政策中没有收集使用个人信息规则” “违反必要原则，索取或自动开启可收集用户敏感信息且与当前服务无关的权限”“未提供账号注销功能或指引”等；二是存在可能导致信息泄漏的APP安全隐患，主要体现在“源文件风险”“安全策略风险”“组件风险”等。

对此，广东省通信管理局通报了两起典型案例：一是深圳某科技有限公司运营的“我连网”APP索取与服务无关的高敏感权限。二是广东某互联网信息服务有限公司运营的“聚超值”APP安装后默认开启“短信”“存储”“电话”等多项权限。

上述两起案件，广东省通信管理局均已依据《网络安全法》《电信和互联网用户个人信息保护规定》相关规定责令该两家公司整改并对其做出给予警告和罚款的行政处罚。

来源：新华网

京沪两地52万余条学生信息遭倒卖，上海地方检察院发起公益诉讼

2020年3月17日，上海虹口区人民检察院在其官方微信公众号发布，3月12日，三名教育培训机构从业人员交换、倒卖50万余条京沪两地中学生个人信息的案件当庭获判，三名被告以侵犯公民个人信息罪被判处有期徒刑2到3年不等。

据虹口区检察院介绍，2019年底，该院公益诉讼检察官进行公民信息保护案件筛查时注意到这三人侵犯学生个人信息的案子：三名犯罪嫌疑人皆是教育培训机构从业人员，而被侵犯的学生信息涉及京沪两地，数量巨大。这些学生信息包含了学生的姓名、出生日期、身份证号码、学籍号、所在学校、年级、户籍地址、家庭住址、家长姓名、家长电话。

虹口检察院公益诉讼检察官认为，三人的行为均已违反国家侵权法规的规定，侵害不特定公民的隐私权，损害社会公共利益。因此，对三人在以侵犯公民个人信息罪提起刑事诉讼同时附带提起民事公益诉讼。最后，法院还依法判令要求三人在国家级新闻媒体上公开赔礼道歉，并要求刘某按照其侵犯公民个人信息的获利赔偿1.6万元。

虹口区检察院表示，此次是检察机关拓展公益诉讼案件范围的有益探索。有专家告诉南都记者，公权力机关以民事诉讼的方式介入，对侵权行为的震慑力更大，是解决现在大量存在的此类案件的良方。

来源：南方都市报

微博5亿用户绑定手机号在暗网出售，或因通讯录接口遭暴力匹配

近日，暗网出现一则出售“5.38亿微博用户绑定手机号数据”的交易信息。经安全圈人士验证，部分测试数据属实。对此，微博安全总监罗诗尧回应称，这些手机号是2019年通过通讯录上传接口被暴力匹配的，内部发现后第一时间已报警。

多个安全监测平台监控到，有暗网用户于2020年3月4日发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元。其中绑定手机数据包括用户ID和手机号，账号基本信息包括昵称、头像、粉丝数、所在地等。该用户在商品描述中称，上述信息“均为2019年中左右抓取”，并给出400条绑定手机号的测试数据，以及1500条账号基本信息的测试数据。

资深安全人士向南都记者解释，通讯录匹配是很多社交软件都有的功能，可以看做变相的爬虫。它可以通过获取用户手机的通讯录接口，读取联系人的手机号并进行匹配，有的还可以伪造某个字段的所有号码，比如13900000001-13900001000，依次枚举对照。

“微博可能没有对这个接口做监控和风控，导致个人信息数据泄露”，他指出，如果关联出了用户ID到手机号，本质就属于个人信息的“重标识”了。“企业有义务防范和监控这样的数据泄露风险，就和监控数据爬虫一样。”

南都记者了解到，最新版《信息安全技术个人信息安全规范》要求，发生安全事件后，个人信息控制者应及时将事件相关情况告知受影响的个人信息主体；如难以做到，也应发布警示信息。

来源：南方都市报

更
更多闻新闻

保留、删除还是彻底销毁？谁来给因疫情收集的个人信息“善后”？

来源：

https://3g.163.com/3g/article_cambrian/F86HH0LU05129QAF.html?isFromOtherWeb=true

数以千计的指纹文件暴露在不安全的数据库中

来源：

https://baijiahao.baidu.com/s?id=1660898813999106544&wfr=spider&for=pc

访问文末左下角点击“阅读原文”获取更多相关内容