全球数据保护资讯 |14款游戏类App被通报，涉嫌超范围采集个人信息

国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现，多款游戏类移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌以下违法违规采集个人隐私信息行为：

1.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，或以默认选择同意隐私政策等非明示方式征求用户同意。

2.未向用户明示申请的全部隐私权限，涉嫌隐私不合规。

3.未逐一列出收集使用个人信息的目的、方式、范围等，涉嫌隐私不合规。

4.未提供有效的更正、删除个人信息及注销用户账号功能，或注销用户账号设置不合理条件，涉嫌隐私不合规。

被点名的包括《贪吃蛇大作战®》（版本4.3.36）、《天天酷跑》（版本1.0.78.0）、《汤姆猫跑酷》（版本4.3.2.351）、《迷你世界》（版本0.44.2）、《宾果消消消®》（版本7.5.1）、《和平精英》（版本1.8.10）、《天天飞车》 （版本3.6.4.709）、《植物大战僵尸2》（版本2.4.84）等14款App。

针对上述情况，国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动应用，避免手机操作系统受到安全威胁；其次，建议打开手机中防病毒移动应用的“实时监控”功能，对手机操作进行主动防御，第一时间监控未知病毒的入侵活动。

来源：央视新闻客户端

据路透社报道，2020年9月10日，美国参议员鲁比奥(Marco Rubio)要求对哈药集团收购GNC（中文：健安喜）计划，进行国家安全审查。

在致财政部长努钦的一封信，就中国哈药集团收购美GNC公司的情况，鲁比奥要求美国外资审议委员会（CFIUS）全面审查。CFIUS隶属于美国财政部，设立于1988年，初衷是为了保障国家安全，关注外国投资审批制度。

作为美国一家主要健康营养连锁公司，GNC在美国拥有超过5200家零售店和庞大的客户基础。

对此，鲁比奥在信中表示，中国正在通过各种手段寻找有关美国人的敏感数据，而GNC的数据是有价值的，对此他表示：“就与美国人健康信息和金融交易相关的个人和敏感数据，相关的交易必须进行审查。”

鲁比奥还进一步说明，GNC在美国军事设施内和附近有许多门店，并表示：“哈药集团收购GNC，中国当局可以利用GNC在军事基地附近的门店，进入那些限制场所。”

对于这一收购，GNC的一位发言人表示，哈药集团对GNC的控股权此前已经通过了CFIUS的审查，并于2018年获得批准，发言人补充表示，没有任何外国公民可以获得消费者数据。

来源：医药观察家报

2020年9月4日，习近平总书记在2020年中国国际服务贸易交易会开幕会致辞中表示，支持北京设立以科技创新、服务业开放、数字经济为主要特征的自由贸易试验区，构建京津冀协同发展的高水平开放平台，带动形成更高层次改革开放新格局。

北京市高度重视数字经济发展，按照市委、市政府的统一部署，市经济和信息化局、市商务局、市金融监管局和市委网信办分别牵头制定了《北京市促进数字经济创新发展行动纲要（2020-2022年）》《北京市关于打造数字贸易试验区的实施方案》《北京国际大数据交易所设立工作实施方案》及北京市数据跨境流动安全管理试点相关工作安排。经北京市人民政府同意，于9月7日召开新闻发布会对上述政策和工作安排予以发布、介绍。

《北京市促进数字经济创新发展行动纲要（2020-2022年）》提出到2022年，北京市数字经济发展水平持续提高，数字经济增加值占地区GDP比重达到55%，将北京打造成为全国数字经济发展的先导区和示范区。

《北京市关于打造数字贸易试验区实施方案》明确五大重点任务：包括立足中关村软件园国家数字服务出口基地、朝阳金盏国际合作服务区、自贸区大兴机场片区打造三位一体的数字经济和数字贸易开放格局；探索试验区内跨境数据安全有序流动的发展路径；推动跨境数据流动等数字贸易重点领域政策创新等。

《北京国际大数据交易所设立工作实施方案》规划设计了北京大数据交易基础设施的建设内容，明确了北京国际大数据交易所“权威的数据信息登记平台、受到市场广泛认可的数据交易平台、覆盖全链条的数据运营管理服务平台、以数据为核心的金融创新服务平台、新技术驱动的数据金融科技平台”五大功能定位。

此外，北京市将在中央网信办等部门的指导下，在数字贸易试验区范围内，针对数字服务贸易中商业存在、跨境交付、境外消费、自然人移动等形态涉及的数据跨境流动、数据保护能力认证等内容，研究推进数据跨境流动安全管理试点工作，积极促进数字经济新业态发展丰富，全面提升数字化治理能力现代化水平，为我市推进建设数字贸易试验区提供有力的政策、管理和安全保障。

来源：信息化与软件服务业处

继2020年7月宣布《欧美隐私盾牌》协定失效后，在商业领域的个人数据跨大西洋传输隐私问题上，爱尔兰正式向美国科技企业打响了第一枪。

8月下旬开始，爱尔兰数据保护委员会（DPC）展开了对脸书（Facebook）把欧洲用户数据传回美国的调查。DPC要求脸书分离出从欧洲用户收集的大部分数据，或者暂时完全停止为欧洲用户提供服务。为此脸书很可能不得不重新设计服务，否则将面临至多年收入4%的罚款，即28亿美元。

脸书2020年9月9日回应称，企业需要明确全球性规则，并以坚实的法律为基础，来保护长期稳定的跨境数据流动。

不过，欧洲法院虽然裁定《欧美隐私盾牌》无效，但并未废除“标准合同条款”，只是表示企业必须评估它们发送数据的国家的法律是否允许它们在欧盟法律下得到充分保护，因此并没有引起美国企业过分担忧。包括脸书在内的几家企业表示，他们将依赖这些标准合同条款将数据转移到美国。爱尔兰发出暂停数据传输的初步命令表明，仅有标准条款并不够。DPC此举是欧盟监管机构为执行7月份欧盟最高法院一项数据传输裁决而采取的第一个重要步骤。

脸书负责全球事务和通信的副总裁克莱格（Nick Clegg）9日表示，缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长。这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务或欧盟以外的呼叫中心。

克莱格表示，爱尔兰这一命令的影响还将超出商业领域，可能影响医疗和教育等关键公共服务。阻止大型科技公司向美国转移数据，将为跨境数据活动带来数十亿美元的损失。

值得注意的是，爱尔兰的命令只是初步的，在最终敲定之前仍可能会被修改，这一过程一般需要几个月的时间。

来源：第一财经

2020年9月14日，2020年国家网络安全宣传周高峰论坛在郑州举行。App专项治理工作组专家何延哲在峰会上介绍，经过一年多的治理工作，App个人信息安全问题有所好转，但仍有许多难点，比如“设备识别符”收集使用问题、“人脸识别”技术的应用等。

为了更好地了解民众遇到的问题，去年3月，针对App违法违规收集使用个人信息的举报平台——“App个人信息举报”微信公众号正式上线。分析今年用户举报的内容，何延哲指出，App治理工作还存在诸多难点。

比如，公众普遍对App是否存在“偷听”的情况感到疑虑。对此何延哲表示，理论上可以，但App不会这么做。因为当App调用麦克风时，最新的手机操作系统可以监测并提醒用户。另外，App“偷听”是一项高商业成本、高技术门槛、高法律风险的行为。不过，鉴于App“偷听”在技术上的可行性，何延哲强调，手机操作系统需要加强监控和提醒；相关部门有必要出台规定，决定企业进行大数据画像时能否使用个人语音信息。

此外，“设备识别符”的使用问题也是亟待解决的难点。大数据时代，企业依靠“设备识别符”追踪用户，推送广告。从个人信息保护角度考虑，企业不应该未经用户同意收集使用“设备识别符”。但随着物联网等技术的发展，杜绝收集使用“设备识别符”不利于网络秩序的建设和社会治理，还会导致安全问题。所以，优化“设备识别符”的使用、制定相关标准是目前面临的问题。

还有，由于收集使用规则不明、易造成未经同意收集等原因，“人脸识别”技术的使用备受质疑。

峰会上，何延哲还透露了App治理工作组后续工作的突破点，包括改善整个生态环境，比如将SDK、手机操作系统等纳入治理工作，强化应用商店的审核管理，自动阻止劣质App的上线。此外，还要做好宣传教育和知识科普工作，提供民众的个人信息保护意识和能力。

来源：南方都市报