来自美国司法部门的反垄断指控还未有定论，谷歌又遇上一出隐私官司。近日，荷兰的两家非营利组织——保护隐私利益基金会（FPPI）以及荷兰消费者协会（Consumerntenbond）代表成千上万的用户将谷歌告上法庭。谷歌被指控在未获得许可的情况下，在提供服务的过程中大规模收集用户的网络行为、位置数据等，涉嫌严重侵犯用户隐私。原告要求谷歌停止跟踪和共享数据，并向每位用户支付750欧元的赔偿。面对这一指控，目前谷歌发言人拒绝置评。当地时间9月12日，FPPI和荷兰消费者协会发布声明，指控谷歌涉嫌大规模侵犯隐私，并对其提起诉讼。声明指出，谷歌在未获得用户许可的情况下，通过其产品以及提供的服务大规模收集用户的个人数据并进行分析，包括上网记录、位置、健康状况、种族、政治偏好等高敏感内容。其后谷歌将这些数据共享给在线广告商以及数百个政党。“谷歌把你变成一个产品，每年获得数十亿美元的广告利润。”为此，FPPI和荷兰消费者协会在诉讼中提出，谷歌必须立即停止收集和共享用户个人数据的行为，并向每位谷歌用户支付750欧元（折合人民币近5900元）的赔偿金。同时，谷歌还被要求对产品和服务进行结构性调整，保证今后不再侵犯用户隐私。据悉，面对这项指控，谷歌发言人拒绝置评。自从两家非营利组织于今年5月宣布将寻求索赔以来，已有超过82000人加入这场索赔行动。据报道，FPPI主席艾达·范德维尔（Ada

近日，被业内称为“风险App治理第一案”的案件终审判决结果新鲜出炉。因某App在小米手机及自带浏览器中被下载、安装时会出现有关色情、诈骗隐患等风险提示，小米被该App所属公司告上法庭。经两次审理，相关法院判定小米提供风险提示的行为不构成商业诋毁和不正当竞争等，驳回原告全部诉讼请求。2021年，桂林某公司以小米涉嫌不正当竞争等为由，将小米诉至桂林市中级人民法院（下称“桂林中院”）。诉因系在小米手机及自带浏览器下载、安装其公司运营的某款影音App过程中，会出现“疑为色情文件”、“损害青少年健康”、“可能造成财产损失”的风险提示。该公司认为，其运营的影音App经国家有关机关调查认定不存在涉黄事实，小米为达到不正当竞争目的，恶意诋毁、贬损该公司产品，且提供的证据与事实不符。因此，桂林某公司要求判令小米停止不正当竞争行为，不再妨碍、破坏该影音App的下载安装及运行行为，同时小米需赔偿共计105万元并公开致歉。然而，桂林中院一审判决认为，小米设置的提示行为具有必要性，其提示内容以及步骤设置均在合理范围内，未超出正当商业竞争的限度，具有正当性，被诉行为均不构成不正当竞争，无需承担民事责任。于是，桂林中院驳回桂林某公司的全部诉讼请求。不久后，桂林某公司向广西壮族自治区高级人民法院（下称“广西高院”）提起上诉，双方提交新证据。近日，广西高院经审理作出终审判决，决定驳回上诉，维持原判。判决书显示，该案件的争议焦点主要为小米的相关提示行为是否构成商业诋毁和互联网不正当竞争行为等。针对前者，广西高院认定，小米曾在较长时间内收到多名用户投诉反映涉案影音App内存在淫秽色情、暴力恐怖、不良插件病毒等内容；多家互联网媒体曾对涉案App可播放涉黄视频一事进行报道和评价。不仅如此，有效证据显示，涉案App曾被执法部门要求进行整改；经过测试，该App可以播放涉黄视频的事实属实。同时，小米的相关提示行为也不属于误导性信息，并未发现其存在实施编造、传播误导性信息的行为。广西高院认为，小米此举目的具有正当性，所提示内容必要且合理，用户可在信息知情权基础上决定是否下载和安装，充分保障了用户作为消费者的知情权和选择权。桂林某公司无证据证明其商业信誉、声誉因“风险提示”受到损害，该指控不成立。在是否构成不正当竞争行为方面，广西高院认为，一方面，小米对高风险的第三方软件进行风险提示，是履行网络信息安全管理义务的应有之义；另一方面，小米为保证自己产品和服务品质，可以对不符合企业定位、客户需求的产品予以拒绝或限制。其结合对涉案软件的投诉、媒体报道、执法机关处理情况等将涉案App纳入高风险应用管理，采用技术手段向客户进行风险提示，具有合理理由。此外，对于桂林某公司的指控，如用户不接受小米的风险提示，选择继续安装，需多达十几个步骤才能完成，广西高院指出，小米的风险提示虽多，但最终没有影响涉案软件下载，下载完成后仍能在设备上使用，该风险提示手段并未超出必要限度而对某公司软件构成妨碍或破坏。综上，小米行为不构成不正当竞争。据公开消息，该案代理律师、浙江垦丁律师事务所创始合伙人张延来指出，小米公司站在用户角度，从多个维度对风险源头进行识别和发现，并对用户给予有效提示，同时又没有机械地切断用户访问权限，很好地在用户访问、风险控制和开发者内容有效触达三者之间寻求到最大公约数。他还表示，该案是网络服务提供者参与网络空间治理、践行社会主义核心价值观的一个里程碑式的案例，为更多类型网络服务提供者积极参与降低网络风险、净化网络环境提供了明确指引，吃了一颗“定心丸”。南都记者梳理发现，近年来，工信部持续对存在侵害用户权益行为的App开展检查和整治工作。今年2月，工信部发布《关于进一步提升移动互联网应用服务能力的通知》，围绕提升用户服务感知、提升行业管理能力提出26条措施，强调了对五类主体在提升行业管理能力方面的要求——其中就包括App开发运营者、分发平台以及终端等。文|樊文扬

3月2日晚，据无锡市公安局官微“平安无锡”消息，无锡市当日举行涉疫个人数据销毁仪式，首批销毁数据10亿条。同时门铃码、疫查通、货运通行证等40多项“数字防疫”应用也于当天陆续下线。南都记者注意到，继2月16日广东省“粤康码”下线老幼助查、健康申报、防疫工作台等部分服务并承诺彻底删除、销毁服务相关所有数据后，无锡是第二个公开宣布销毁涉疫个人数据的地方，也是全国地级市中率先销毁涉疫公民个人数据的城市。文|蒋琳

10月9日，全国信息安全标准化技术委员会发布国家标准《信息安全技术

最近三天，民权县多名居民经历了健康码“绿-红-绿”的转变。文|孙朝8月3日，河南商丘民权县的一则通知引发关注：对民权县全域人员赋码管理。其中绿洲街道、南华街道、北关镇等7个高风险区人员赋红码管理，伯党乡、花园乡、程庄镇等12个中风险区人员赋黄码管理。根据7月31日民权县发布的通知，被赋码的情形还包括：对7月20日以来进入民权县域停留4小时以上，目前已离开民权县域人员赋黄码管理等四种情形。通知一出，引发热议。对此，8月4日，河南商丘疫情防控指挥部发文称，商丘市防控指挥部发现这一情况后，立即进行了纠正。图源@商丘发布8月4日下午，民权县绿洲街道人民路的一名餐饮店老板告诉南都记者，8月2日及之前健康码均为绿码，昨日健康码变成红码，目前健康码又变回了绿码，具体什么时间以及为什么变码不太清楚。最近十天一直待在家里，希望能够早日开店上班。程庄镇的一名居民告诉南都记者，自己的健康码也在三天内经历了“绿-红-绿”的转变，目前健康码已经变绿。从25号开始静默一直在家，期间并未外出，也从未联系过官方解除红码，健康码“自动变绿了”。多名网友称，自己曾因去过民权县而被赋红码，至今仍未变回绿码，影响到了工作和生活。郑州居民李华告诉南都记者，自己曾在7月12日乘坐高铁时路过民权县，期间并没有下车。7月30日发现自己被赋黄码，至今健康码仍为黄码。根据她提供的健康码截图，8月1日，豫康码下方的黄码原因处写道“民权县进行赋码操作，去过中高风险区民权县”。8月4日，其黄码原因变为“疫情防控其他原因”。李华的“黄码”。受访者供图。8月4日，南都记者多次拨打商丘市市民服务热线，均处于占线状态。民权县的此轮疫情始于7月25日。当日，民权县出现两例无症状感染者，随后全县保持静默状态，暂停各类聚集性活动，全县实行临时交通管制。截至发稿，民权县已静默10天。根据河南省卫健委通报，8月3日0—24时，商丘市民权县新增本土无症状感染者35例。根据国务院疫情风险查询平台了解到，截至8月4日16时，民权县有18个高风险地区，8个低风险地区。值得注意的是，这些中高风险地区均以村（小区）级单位划定。根据《新型冠状病毒肺炎防控方案（第九版）》，高风险区原则上以居住小区（村）为单位划定，可根据流调研判结果调整风险区域范围。中风险区为病例和无症状感染者停留和活动一定时间，且可能具有疫情传播风险的工作地和活动地等区域。根据民权县8月3日的通知，中高风险区的划分单位为乡、镇、街道，并未提及村（小区）级单位。这也意味着，相较于国务院疫情风险查询平台所公布的中高风险区，民权县在通知中划分的中高风险区范围更广。国家卫生健康委疾控局副局长雷正龙曾在6月24日国务院联防联控机制新闻发布会上提出，各地根据不同疫情风险等级对相关人员进行精准赋码，不得“一刀切”“码上加码”。北京大学法学院教授、宪法与行政法研究中心主任王锡锌曾在接受南都记者采访时表示，疫情防控首先需要强大的社会动员能力。如果一些地方为了方便管理等短期利益，而打破法治的原则和底线，那么当真正需要社会动员凝聚社会力量的成本将变得非常高昂。“应尽可能避免一刀切，尽可能避免为追求形式上的效率而忽视公民的合理诉求，否则很容易造成政府公信力的下降。”北京大学法学院教授沈岿曾说道。自从健康码变黄后，李华曾多次联系疫情防控部门，电话未能打通。她只希望健康码尽快由黄转绿，“早点上班，别再被扣工资了”。（根据受访者要求，李华为化名。）

继“做完核酸在手上盖章并保持三天”事件后，7月7日，无锡的一则通告再次引发关注：“凡不在规定时间内进行核酸检测的个人，纳入个人征信系统，并给予个人门铃码赋红码警示。”今年以来，全国多地对未做核酸者的处罚“五花八门”，包括但不限于赋红码、行政拘留、纳入个人征信系统、在媒体上公开曝光等。而这些“硬核”防疫措施是否合法？曾有专家在接受南都记者采访时表示，如果为了方便管理等短期利益，而打破法治的原则和底线，那么当真正需要社会动员凝聚社会力量的成本将变得非常高昂。文|孙朝未在规定时间内做核酸，给予个人门铃码赋红码7月7日，无锡市新吴区政府官网发布《关于进一步加强疫情防控工作的通告（第68号）》。其中提出，高风险区域人员每天进行早、中、晚3次抗原自测，其他区域人员每天进行早、晚2次抗原自测。凭抗原检测阴性结果到采样点进行核酸检测。通告截图。图源：无锡新吴区政府官网。通告称，自7月8日起，每天早上6时至11时开展区域全员核酸检测，请全体居民和职工必须准时参与。“凡不在规定时间内进行核酸检测的个人，纳入个人征信系统，并给予个人门铃码赋红码警示。”所谓“门铃码”，适用于无锡全市范围内公共交通部位、企事业单位、人员密集公共场所、居民小区（村）等各类场所部位出入口的通行验证。据无锡市新冠疫情防控指挥部通告显示，如“门铃码”出现红色提示或码色异常的人员不得进入相关场所。7月8日下午，南都记者多次联系新吴区疫情防控指挥部，电话无人接听。据红星新闻报道，新吴区新安街道的一名工作人员回应称，按照新吴区的规定，目前全民核酸每天都要做，“如果两三天没做核酸，可能会纳入（征信系统），目前还没发生过”。新吴区江溪街道一名工作人员向红星新闻记者解释称，“现在都是在小区里面做核酸，时间在上午，（市民）尽量不要漏掉，如果24小时之内没做，联系社区，看能不能去外面医院做一下核酸，按社区要求补做核酸就不会纳入个人信用系统。”受安徽泗县新冠疫情影响，长三角多地出现感染病例。其中无锡市爆发规模性疫情。7月7日0—24时，无锡市新增本土确诊病例2例，新增本土无症状感染者32例。网传的一份标题为《新吴区新冠肺炎疫情联防联控指挥部“707”专项攻坚工作指令》文件提到，坚决实现本周六社会面彻底清零。据浙江日报天目新闻7月8日报道，新吴区江溪街道、梅里街道等多个街道办事处工作人员均表示，收到了“本周六内清零”的要求。另外，就在不久前，“无锡一街道黄码转绿码，做完核酸要在手上盖章并保持三天”一事曾引发热议。其后，无锡市扬名街道社区卫生服务中心发布致歉声明称，该做法欠妥。做完核酸在手上盖章。图源网络。曾有地方对未做核酸者进行训诫、拘留、罚款未按时参加核酸检测者，将面临什么？不仅如无锡新吴通告的“纳入个人征信系统”“门铃码赋红码”，还可能面临着在媒体上曝光、行政拘留等处罚。据南都记者不完全统计，此前至少有六地曾通告对未做核酸人员，处以行政拘留；至少六地称对未做核酸检测人员的社会信用记录予以扣分；还有至少两个地方鼓励居民举报未参加核酸检测人员，并分别给予举报者200元和2000元奖金。值得注意的是，这些“硬核”防疫措施是否合法？“不做核酸就将健康码赋红码，从而限制出行自由，这其实是没有法律依据的。”北京大学法学院教授沈岿在接受南都记者采访时曾说道。他解释，根据现行的传染病防治法，对人身自由采取限制措施的，主要有这几种情形：一是对病人、病原携带者予以隔离治疗；二是对疑似病人，确诊前在制定场所单独隔离治疗；三是对密切接触者，在指定场所进行医学观察和采取其他必要的预防措施。而将未做核酸的行为纳入个人信用记录的做法，沈岿认为，目前的社会信用体系建设尚未成熟，而有一些地方政府出台关于社会信用的规定，本身合法性就值得商榷，而未做核酸的居民纳入信用记录，这也是没有法律依据的。全国人大代表罗卫红曾在接受南都记者采访时表示，要警惕信用滥用、信用行为边界扩大化的现象。国家发改委新闻发言人孟玮曾表示，要防止失信行为认定和记入信用记录的泛化、扩大化；防止失信“黑名单”认定和实施失信惩戒措施的泛化、扩大化；防止包括个人信用分在内的其他信用建设举措应用的泛化、扩大化。北京大学法学院教授、宪法与行政法研究中心主任王锡锌表示，对于公权力而言，法无授权不可为。“对未做核酸人员行政拘留的做法，体现了权力的恣意和任性。”对于将未做核酸检测人员曝光的做法，他表示，这不仅涉及当事人对于其个人信息的同意权，而且涉及人格尊严的问题。“这就像是现代版的‘游街示众’，严重侵犯公民基本权利和自由。”王锡锌曾表示，疫情防控首先需要强大的社会动员能力。如果一些地方为了方便管理等短期利益，而打破法治的原则和底线，那么当真正需要社会动员凝聚社会力量的成本将变得非常高昂。

记者宋承翰

当地时间5月3日，美国马里兰州联邦法院法官批准了一起万豪连锁酒店（Marriott）数据泄露的集体诉讼，并明确了个人信息泄露的赔偿计算方法。据悉，马里兰州南区地方法院的法官保罗•格林(Paul

近日，南都记者独家获悉，因个性化广告功能存在涉嫌侵犯个人信息的行为，微信和微博所属的深圳市腾讯计算机系统有限公司、北京微梦创科网络技术有限公司被分别诉至深圳市南山区人民法院和龙岗区人民法院。诉状显示，两名原告认为，微信和微博在提供个性化广告功能时，存在未明确区分个性化广告和非个性化广告，默认开启个性化广告权限，设置关闭有效期等诸多违法行为，严重侵犯了原告的个人信息权益。值得注意的是，微信已于10月29日更新隐私政策和相关功能，取消了关闭有效期的设置。案件代理律师认为，微信这一举措体现了个保法实施的法律效果，但仅仅取消六个月的期限“显然还是不够的”。文

11月1日，《中华人民共和国个人信息保护法》（下称“个保法”）正式实施。事实上，在这部专门性法律出台前，已有不少个人信息保护条款散见于诸多法律之中，多地法院也已有过大量司法实践。值此重大节点，南都·隐私护卫队以“侵犯公民个人信息”、“买卖公民个人信息”等关键词，在裁判文书网上获取了8602份判决书，以此观察2016年至今，相关案件的数量分布、涉案信息量、涉案金额和量刑趋势等。分析结果显示，相关文书数量在2019年达到顶峰，其中超半数个人信息从行业内部工作人员处泄露。在这些“内鬼”中，有四分之一出自公安系统。此外，泄露的个人信息类型极广，从新生儿信息、股民信息到开房记录，无所不包。文

个人信息保护法实施在即，互联网大厂合规加速。为落实该法律中针对“守门人”企业成立外部独立监督机构的规定，腾讯、携程纷纷开始招募“个人信息保护外部监督员”。文

个人信息、重要数据等关乎个人信息权益、国家安全和社会公共利益的数据出境将迎来监管。10月29日，国家互联网信息办公室（下称“网信办”）发布《数据出境安全评估办法（征求意见稿）》，并向社会公开征求意见。南都记者梳理发现，这是网络安全法审议通过以来，网信办第三次对数据出境安全相关的评估办法征求意见。征求意见稿拟对达到申报要求的个人信息规模划出红线，如处理个人信息达到一百万人，或累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。文

近日，吉林省延边州汪清县公安局通过深挖公安部“断卡”（指手机卡、银行卡）行动线索，成功破获了一起非法开办、贩卖银行卡等涉电信网络诈骗犯罪案，打击了一个由21人组成的犯罪团伙。10月22日，南都·隐私护卫队从汪清县公安局了解到，该犯罪团伙以赵明为首，通过贩卖银行卡共非法获利20余万，其中15人由汪清县公安局逮捕。这15人自今年1月起共办理、贩卖40多张银行卡给他人用于网络犯罪支付结算，涉案金额高达2000多万，已核实受害者为45人。文

近日，OPPO携手德勤联合发布《移动应用（App）个人信息保护白皮书》。白皮书分析认为，平台方将逐渐成为个人信息保护方面的执法重点，目前侵犯个人信息的高额罚款集中于金融行业，未来可能向互联网等行业扩展。另外，个人信息保护法生效后，统筹协同制的个人信息保护监管体系有利于法律落地，但对于企业而言，需要投入更多资源和成本以符合不同维度的要求。文

10月26日，京东安全方面表示，今年上半年发现一个可能会影响全球8亿安卓用户的系统漏洞链，将其命名为魔形女漏洞。黑客可以利用此漏洞获取用户所有App的隐私数据和权限，例如窃取微信的聊天记录、支付宝记录等，而用户不会有任何感知。目前，该漏洞已向谷歌（Google）和各大手机厂商提报漏洞并提出修复建议。据京东探索研究院信息安全实验室高级安全研究员Ricky介绍，魔形女漏洞命名源于漫威漫画中的魔形女（Mystique），Mystique可以变化伪装成他人的身份并潜入防卫严密的基地。与Mystique类似的是，黑客诱导用户下载安装恶意App（或直接将攻击代码嵌入正常App）后，可利用魔形女漏洞伪装成任意其他App，从而可自动启动对手机所有APP的监听和信息获取。对安卓用户而言，该漏洞将对隐私造成什么影响？具体可能影响到哪些隐私数据？“我理解安卓用户的隐私数据分为两种，一种是包括相册、通讯录在内的系统管理通用数据，另外一种是相当于存放在App内部的数据，比如微信聊天记录等……魔形女漏洞相当于把用户的隐私‘一网打尽’，拿走用户的哪些隐私数据完全取决于攻击者的目的”。Ricky说道。他进一步举例说明，黑客可以利用该漏洞，获取用户所有App的隐私数据和权限，例如任意获取监听微信、Facebook、Telegram聊天记录，任意劫持支付宝、Gmail、公司内部工作应用等，而用户并不会有感知。漏洞从何而来？京东安全方面介绍，安卓系统工程师在Android新版本开发过程中为了完成某种特性在产品设计中违反了最小权限的原则，导致原本严密的沙箱设计中出现了松动。可类比为酒店房间的门锁制造厂商在新产品生产过程中出现了失误，导致了一把新出现的钥匙拥有打开所有酒店门锁的权限。Ricky表示，魔形女漏洞的发现对安全行业起到了警示作用，行业需要联合起来，积极投入系统的安全防御和检测。“有关部门、企业和公众对隐私问题越来越重视，但同时黑客通过窃取隐私获得的收益也越来越高。攻防不会因为因为难度增加和风险增大而停滞，我们必须持续重视安全问题，不仅从源头上减少漏洞的产生，开发者或者厂商也需要向用户告知，用户是否曾在网络安全上受到威胁，我觉得这个可能是需要大家再进一步行动的。”目前，京东安全方面表示，已经向Google和各大手机厂商提报漏洞并提出修复建议，并得到确认修复和致谢，Google和各大厂商已经在当前最新版本补丁（9、10月份）的Android11和10月新发布的Android12中修复这些问题。京东安全也通过京东探索研究院信息安全实验室官方博客向全社会提供检测能力和SDK，安卓用户可以下载检测工具，检测自己的手机是否存在魔形女漏洞的风险。另外，Ricky建议，用户可以尽快升级系统，关注安卓手机厂商的公告，也可以使用检测工具来检测自己是否曾经受到攻击。未经允许读取相册、剪切板，App被质疑窃取用户信息冤吗？工信部新规拟明确重要数据

网等行业主管部门依照职责负责本行业反电信网络诈骗工作，承担行业监管主体责任。电信业务经营者、银行业金融机构和非银行支付机构、互联

南都·隐私护卫队注意到，随着公众隐私保护意识的提升，越来越多看不见的“秘密”被挖出——App在后台频繁读取相册、剪贴板，私下调用摄像头……每一件都挑动着用户神经，引发对隐私安全的担忧。舆情被引爆后，企业往往会迅速“扑火”，发布声明。南都·隐私护卫队梳理发现，在上述事件中，企业解释的原因不外乎技术失误或为用户方便着想，且操作在本地完成，不会回传数据至服务器。文

9月30日，工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）》（下称《管理办法》）并面向社会公开征求意见。南都记者注意到，《管理办法》是数安法施行后，首个由行业、领域主管部门制定发布的数据安全相关法规。有专家对南都记者表示，《管理办法》提出“数据销毁”在国内数据安全层面的法律法规中尚属首次，之后还需公证、审计等第三方服务跟进。而《管理办法》对权责划分的细化规定将在“定岗定责”和“定岗定人”两方面形成更具体的业务指引。文

国家网信办再次牵头，针对算法专门发文。9月29日，国家网信办、中宣部、教育部、科技部等九部委印发《关于加强互联网信息服务算法综合治理的指导意见》（以下简称《指导意见》），提出要利用三年左右时间，逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。就在不久前，国家网信部发布《互联网信息服务算法推荐管理规定（征求意见稿）》，开始探索对算法进行规制。此次印发的《指导意见》中，也有颇多创新之处，比如首提算法分级分类，强调加强算法公开透明，要求树立算法正确导向等。国家网信办发文。清华大学公共管理学院教授梁正认为，从技术层面来讲很难对算法制定标准，因此首先要明确制定标准的对象，实际上是指应用应该合乎怎样的标准。中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括表示，国内首次提出“算法分级分类”这一治理思路，与国际算法治理潮流相呼应，具体可以针对算法应用场景或针对其所引发的风险等级来区别判断。浙江垦丁律师事务所创始合伙人麻策坦言，需要把握算法公开透明与商业秘密保护之间的“度”，否则会对企业造成不利影响。文

近日，“通信代理商贩卖个人信息40余万条”的新闻引发广泛关注。在重庆市经营一家电信社区门店的代理商平某利用工作权限有偿替他人查询个人电话号码，半年内非法查询并贩卖公民手机号信息40余万条，共获利八万余元。南都·隐私护卫队注意到，近年来，通讯运营企业的员工、加盟代理商等内部人员利用工作权限查询并对外出售公民个人信息的事件屡见不鲜，这些能接触、掌握大量信息的“内鬼”们已成为公民个人信息泄露的重要来源之一，窃取的信息则被广泛用于电信诈骗、身份冒用等情况中。为何代理商等内部人员利用工作权限获取、出售公民个人信息的事件频繁发生发生？整治的难点在哪？又该如何解决？有专家指出，“内鬼”往往是企业外部黑产的重点围猎对象，被“拉下水”的几率更高，建议实现业务操作全流程的可追溯、可审计。还有专家认为，个人信息保护应由组织承担最终责任，而不仅是个人责任，只有打破目前有组织、不负责的状态，才可能解决此类问题。文

9月27日，2021年世界互联网大会继续举行。在由中国人民大学和中国宋庆龄基金会共同主办的“互联网+教育论坛”分论坛上，联合国妇女署中国办公室国别主任安思齐表示，数字教育的发展能促进妇女的终身学习和技能发展，在改变就业市场和经济的同时激励妇女引领未来技术和性别平等的发展方向。文

9月24日，安永发布《2021安永全球信息安全调查报告》（以下简称“报告”）。报告显示，在1400多名首席信息安全官和高级安全主管中，55%的受访者称在其职业生涯中，如今是网络安全最受重视的阶段。不过，尽管超七成受访者认为过去12个月里破坏性网络攻击数量持续上升，仍有56%的受访者表示管理层制定紧急战略决策时不会或很晚才会咨询网络安全团队。文

近日，由中国公共关系协会和中国外商投资企业协会共同主办的《中华人民共和国个人信息保护法》宣介会在京举行。宣介会上，国家网信办网络法治局局长华清、全国人大常委会法工委经济法室副主任杨合庆分别围绕个人信息保护法进行介绍和解读，并与现场的企业代表进行互动交流，探讨“告知-同意”原则、敏感个人信息的使用、企业合规等问题。文

近日，“理想汽车软件更新再现霸王条款”的新闻登上热搜。智能电动车品牌理想汽车在最新的智能系统软件协议中规定，在用户使用车载应用平台期间，将收集其车辆驾驶行为数据、车载导航应用数据、车载娱乐系统资料等使用信息，不同意协议则无法继续使用汽车。文

9月21日，福建莆田警方通报称，两名医疗业相关工作人员将莆田本地新冠患者及密接者的个人信息转发至家族群，对受害者造成相当程度的伤害和困扰，依据治安管理处罚法对两人处以罚款500元的行政处罚。文

近日，据媒体报道，腾讯拟推出个人微信云存储付费服务，微信聊天记录有望实现云端备份和恢复。消息一出即引发热议——除了对于该功能是否必要的讨论，还有网友担心隐私安全问题。对此，专家对南都·隐私护卫队表示，微信推出该功能可能是为了“尝试和放风”。一旦确定推出，除了要取得用户充分、明确的同意，还需在隐私政策中对此作出明确约定，避免用户对内容的控制权与内容治理的相关法规发生冲突。截至发稿前，微信并未就上述功能作进一步回应。文|尤一炜为什么推出付费功能？据《中国日报》报道，该服务可能采用年付费方式。苹果用户或在180元/年左右，安卓用户或在130元/年。但该费用具体可以存储多大容量的数据尚未得到确定。知情人士表示，当前该项目仍在最后推动中，具体细节未最终敲定。南都·隐私护卫队了解到，目前微信仅支持将聊天记录迁移到另一台设备或备份聊天记录到电脑上。那么，推出云端存储功能的目的是什么？“微信拟提供云端备份的功能相当于是一项云盘服务，从商业角度来讲是一项个性化服务，可增加用户粘性。”中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括指出。另一方面，就微信的生态模式而言，南京信息工程大学法政学院教授蒋洁认为，微信本身不直接盈利，更多扮演的是媒介和导流的角色。所以尽管微信以前就有能力推出云端备份功能，但没有这么做。目前微信的主要收入来源是小程序、公众号和朋友圈广告变现，以及公众号认证，微粒贷、理财通等金融服务。然而，随着对数据、小程序、广告推送等的监管趋严，头部企业平台责任的加大，蒋洁表示，上述盈利模式必然受到更多的约束和管控。“从商业逻辑的角度讲，微信可能有必要开拓针对终端用户的付费服务。”在她看来，微信拟推出付费的云端备份功能有可能是一种“尝试和放风”，看一下社会反应，评判是否可做。如果可以的话，未来或将慢慢开发其他收费功能，“但基础功能如聊天功能不可能收费”。云备份和可携带权有关系吗？前不久审议通过的《中华人民共和国个人信息保护法》提出了个人信息可携带权的概念，规定个人有权向个人信息处理者查阅、复制其个人信息，也可请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。吴沈括认为，云端备份与可携带权没有必然联系，可当作实现可携带权的一种技术方式。观韬中茂（上海）律师事务所合伙人吴丹君也对南都·隐私护卫队表示，个人信息可携带权是一种数据权利，而云存储是一种信息存储方式，两者是不同维度上的概念。她进一步解释，可携带权设立的目的在于打破平台间的垄断，微信聊天记录云存储则更多地出于产品功能完善和盈利的考量，两者目的有所不同。此外，个人信息保护法所规定的可携带权的客体尚不明晰，微信聊天记录是否可成为可携带权的客体还有待讨论。“如果算的话，云存储可作为实现可携带权的一种途径。”隐私安全如何保证？对于该服务，支持和反对的声音都有。有网友认为没有必要性，删除聊天记录可作为跟过去告别的一种形式，“聊天记录放那么久干什么，适时断舍离不好吗？”也有网友认为，聊天记录云存储功能“还真有必要，但收费就有点不好了，这应该是基础功能。”该网友还说，现在都不敢清理微信聊天记录，占的内存越来越大。一旦“上云”，如何确保用户的数据隐私安全和服务质量便成为关键。因此，不少网友担忧该功能存在隐私安全问题。对此，吴沈括表示，提供服务时，平台首先需要取得用户充分、明确的同意，其次需要遵守国家相关的内容治理要求。他强调，如果平台基于上述要求删除某些违规信息，可能导致用户对内容的控制权与内容治理的相关法规出现冲突。平台需要在隐私政策中对此作出明确约定——例如“平台对用户授权的内容给予全面的、完整的保护，不可随便删除，但按照法律法规的要求除外”。在安全问题上，吴丹君表示，平台需做到技术和制度的双重保障——既要采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，又要制定内部安全管理制度和操作规程，划分数据访问权限，全面落实网络安全保护责任。“云存储服务没有绝对的数据安全，只能尽可能将风险控制在可接受范围之内，则此时权责分配就非常重要。”吴丹君表示，当发生网络安全事件时，若云服务提供者已充分履行网络安全保障义务，其所承担的责任亦应相应减轻。此外，云服务提供者还可通过网络安全保险等措施进一步降低风险。史上最详细《个人信息保护法》解读！专访周汉华：个人信息保护法未单设独立执法机构“有点遗憾”个人信息保护法出台记：历十八载，执法“九龙治水”争议多年

人物简介：周汉华，法律学者，

“既然国家机关也被纳入监管范围，肯定需要一个独立的监管机构。”“但是现在各个业务部门分头去管也不是完全行不通，应该尊重中国的实际现状。”类似的讨论，多次出现在《中华人民共和国个人信息保护法》（下称“个保法”）的审议现场和专题研讨会上。经过不断打磨，App过度索权、人脸识别、大数据杀熟等切中社会“痛点”的条款，也被一点点地添加进最后的版本中。8月20日，个保法获得十三届全国人大常委会第三十次会议表决通过，11月1日起施行。从启动立法研究到表决通过，个保法走了18年——既经历过机构改革、立法资源制约的困顿，也曾因智能手机普及和“徐玉玉案”被加速推进。立法背后，是学界、实务界、立法机构的多方碰撞。《中华人民共和国个人信息保护法》将于11月1日起施行。文|孙朝

历经十八载，个人信息保护法终出台。8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自11月1日起施行。值得注意的是，这是我国首部针对个人信息保护的专门性立法。南都记者注意到，个人信息保护法不仅回应了App过度收集个人信息、“大数据杀熟”、公共场所安装摄像头和人脸识别设备等社会热点问题，还重点加强了对头部企业的监管，并开创性地将国家机关纳入了监管范围。个人信息保护法的出台有何缘由？如何理解新增的数据可携带权、自动化决策条款？为何区分大小型个人信息处理者？当消费者的个人信息权益受到侵害后，此部法律又对个人维权产生哪些影响？就此，南都记者采访了参与个人信息保护法起草的核心学者、业界专家和活跃在一线实务界的数据合规律师。文|孙

南都记者注意到，谷歌并非第一家因违反“数据存储本地化”要求而被俄罗斯监管机构罚款的互联网公司。去年2月，脸书（Facebook）和推特（Twitter）也曾分别被罚400万卢布（约合35万元）。

7月21日，国家互联网应急中心（CNCERT/CC）在其官网发布《2020年中国互联网网络安全报告》（简称“报告”）。报告指出，个人信息非法售卖情况仍较为严重，政务公开等平台展示未脱敏公民个人信息事件超百起，涉及未脱敏个人信息近10万条。微信小程序数据泄露风险较为突出，平均一个被检测的小程序存在八项安全风险，超过90%的小程序在程序源代码暴露关键信息和输入敏感信息时未采取防护措施。文|孙朝个人信息非法贩卖情况严重，一个受测小程序存八项风险据了解，近年来，国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局持续开展App违法违规收集使用个人信息治理工作，对存在未经同意收集、超范围收集、强制授权、过度索权等违法违规问题的App依法予以公开曝光或下架处理。报告指出，App违法违规收集个人信息治理取得积极成效，但个人信息非法售卖情况仍较为严重，联网数据库和微信小程序数据泄露风险较为突出。国家互联网应急中心发现，涉及身份证号码、手机号码、家庭住址、学历、工作等敏感信息暴露在互联网上。政务公开、招考公示等平台未脱敏展示公民个人信息事件至少107起，涉及未脱敏个人信息近10万条。此外，国家互联网应急中心全年累计监测发现个人信息非法售卖事件203起。其中，银行、证券、保险相关行业用户个人信息遭非法售卖事件占比较高，约占数据非法交易事件总数的40%；电子商务、社交平台等用户数据和高校、培训机构、考试机构等教育行业通信录数据分别占比为20%和12%。近年来，微信小程序发展迅速，带来便利的同时也暴露了较为突出的安全隐患。报告对国内50个银行发布的小程序进行了安全检测。检测结果显示，平均一个小程序存在八项安全风险，超过90%的小程序在程序源代码暴露关键信息和输入敏感信息时未采取防护措施；超过80%的小程序未提供个人信息收集协议；个人信息在本地储存和网络传输过程中未进行加密处理的小程序超过60%；少数小程序则存在较严重的越权风险。2020年未脱敏医学影像数据出境近40万次据了解，联网智能设备存在的软硬件漏洞可能导致设备数据和用户信息泄露、设备瘫痪、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。通用型漏洞一般是指对某类软硬件产品都会构成安全威胁的漏洞。报告指出，2020年联网智能设备通用型漏洞数量按漏洞类型分类，排名前3位的是权限

《个人信息保护法（草案）》（下称“草案”）面世后，面临的核心问题之一是其所规定的内容和《民法典》原有规定之间如何进行规范性的协调？11月5日，第十一届中国信息安全法律大会在北京召开。清华大学法学院院长申卫星围绕这一问题，在大会“个人信息保护”分论坛上发表了题为“个人信息保护的规范协调与体系展开——从《民法典》到《个人信息保护法（草案）》”的演讲。申卫星指出，上述问题既是立法者需要进一步回答的问题，也是未来法学研究和执法、司法的重点所在。“只有协调恰当，才能构建出一个科学的个人信息保护统一体系。”文|白小皛

近日，在深圳工作的刘佳（化名）向隐私护卫队反映，因旧主欠下的“债”，她新办手机号后频繁收到催收电话和短信。就此情况，隐私护卫队致电运营商，客服表示目前没有好的解决方法，建议当事人设置拦截陌生来电和短信功能，或注销问题手机号，再开通新的号码。《民法典》规定，自然人的私人生活安宁属于隐私，任何组织或者个人不得以刺探、侵扰等方式侵害他人的隐私权。有专家对隐私护卫队表示，催收人员侵犯了新号主的隐私权。文|尤一炜编辑|石莹新办手机号后收到催收电话和短信去年9月，刘佳购买了一个新手机号，没想到竟招来催收电话和短信。“之前我出国了，新号一直关机。今年6月一回来就开始（收到催收电话和短信）。”刘佳对隐私护卫队说，对方要找的人叫张某，称其涉嫌网贷欺诈，欠债不还。而刘佳并不认识张某，起初以为这是诈骗电话。而后，刘佳隔三差五就收到催收短信和电话。她也曾向对方解释号码已经更换主人，但并没有起作用。刘佳收到的催收短信。直到9月25日，刘佳收到一条包含她个人地址的催收短信，上面显示：张某，已调取（你的）地址......涉嫌贷款欺诈罪审核已通过，材料已提交相关部门，警官、工商执法部门将在26日上午10点上门执法，请配合执法部门工作，切勿以身试法。刘佳收到的带有个人地址的催收短信。看到上述内容后，刘佳不胜其烦，随即选择报警。在警察到来之前，一位自称快递员的人敲门，刘佳说自己没有快递，对方又称是她同事下单要求上门取件。刘佳坚称弄错了，对方才离开。令刘佳不解的是，催收人员是如何得知她的地址信息。细思后，她怀疑催收人员此前冒充快递公司骗取了她的地址信息。早在9月中旬，刘佳收到一条“1069”开头、显示为某快递公司发送的企业短信，称快递面单资料部分损坏，需要她短信回复正确的寄送地址。刘佳收到的内容称快递面单损坏的短信。正在上班的刘佳没有多想便把地址发了过去。当天晚上，她确实收到两个快递，但配送公司都不是上述快递公司，“当时就觉得很奇怪。”她说。就此情况，隐私护卫队致电运营商，客服表示目前没有好的解决方法，建议当事人设置拦截陌生来电和短信功能，或注销问题手机号，再开通新的号码。专家：催收人员侵犯新号主的隐私权隐私护卫队发现，刘佳的遭遇并非个案。据厦门日报报道，今年3月，市民卢先生新办了一个手机号，激活当日就接到一通催收电话。之后更是频繁接到催收电话，催收公司也不止一家。潇湘晨报报道称，2019年2月，长沙的李先生也在办理新的手机号4个月后，不断接到催收公司的威胁短信和骚扰电话，有的甚至早上7点就开始“骚扰”。如今，刘佳没有其他办法，只能更换手机号。根据《民法总则》，自然人享有隐私权。明年1月1日即将实施的《民法典》规定，自然人的私人生活安宁属于隐私，任何组织或者个人不得以刺探、侵扰等方式侵害他人的隐私权。针对刘佳的遭遇，电子商务法律网创始人、中国网络空间安全协会理事阿拉木斯强调，催收人员侵犯了刘佳的隐私权。当今，从与他人电话联系，到注册App账号，手机号已和个人的生活工作密切绑定。据了解，因为号码资源有限，手机号停机冻结一段时间后会重新投放市场。北京市中伦律师事务所律师吴佳蔚认为，出售手机号时，在保障前号主隐私的前提下，运营商可考虑提示用户该号码是否为二次号码等信息。对于依赖手机号寻找借贷人的催收公司，吴佳蔚建议其与电信运营商合作，建立二次号码识别机制，基于用户入网时间与借贷时间的对比结果等信息，判断手机号是否更换新的主人。隐私护卫队建议，为避免泄露隐私、给他人带来麻烦，个人更换手机号时，应解绑与该手机号绑定的银行卡、信用卡、常用App的账号等，或注销该手机号注册的App账号。相约小蛮腰，聊聊数据与隐私，还有隐私保护神器赠送！女子深夜遭猥亵，外卖单成“帮凶”?状告平台骑手公司被驳回“惊”准广告？报告实测App个性化展示：仅两成对用户友好

算法，是当今时代无法回避的词语之一。在短视频平台上，它能了解一个人的喜好，自动推荐用户可能喜欢的视频或是感兴趣的人。然而，也有人利用算法的这一特性来作恶。近日，网友王女士和赵女士（化名）在某知名短视频平台上发现了疑似儿童色情内容。她们“顺藤摸瓜”，在相关视频的推荐关注人、评论和喜好列表中，找出了更多的儿童色情内容甚至疑似恋童癖。（注：恋童癖，通常是以儿童为对象获得性满足的一种性取向。）

还有官员指出，这项立法的目的在于限制公司和公共机构“不加区分地使用人脸识别技术”。欧洲居民将有权“知道人脸识别数据何时被使用”，即使有例外情况，也将是在“严格限制”之下，以确保适当使用。

不过，虽然不少家长自身也认同应当由家庭主要负责引导孩子正确使用手机，但仍有约四成的受访家长表示不太懂得如何引导孩子正确使用手机，且只有不到半数的家长认为自己在引导孩子科学使用手机上做得比较多。

2011年8月5日，23名犯罪嫌疑人站上北京市第二中级人民法院的被告席。其中7名来自电信运营商的“内鬼”，交待了非法提供个人信息的层层内幕。长达40分钟的宣判，引爆了北京当年最大的倒卖公民信息案。

江宁警方提醒，晚上关机/开启飞行模式，也可能导致其他诈骗风险的上升。比较稳妥的办法是关闭手机的移动信号，只使用家中或者办公室的WiFi，这样既能保持和大家的网络联系，也能略微提高被嗅探的难度。

翻看这位黑客界大神级人物的微博，也充满了各式段子。比如，做直播要自己化妆，不能请化妆师。理由是：核心技术必须自主可控。对于自己的外形，于旸曾调侃自诩为“紫竹桥刘德华”，只是现在变成了“中关村范伟”。

收到快递后，你无需再刻意把个人信息用笔涂黑或将快递单撕碎了。近日，顺丰宣布“丰密运单”全新上线。丰密面单升级后的快递面单不再显示寄件人信息，同时收件人电话号码仅显示后四位数。隐私护卫队注意到，此前京东、菜鸟网络、圆通等多家企业就已经采用不同方式隐去了快递单上的收寄件人关键信息，此类面单被统称为“隐私面单”。有专家表示，隐私面单或将成为快递行业的标配，但能起到的隐私保护效果可能有限。快递行业还应加强内部管理和信息系统安全，防止用户信息泄露。1快递单上的个人信息不再“裸奔”10月13日，顺丰速运在微信公号发文称，“丰密运单”全新上线。丰密面单对收寄件人的个人信息做了隐藏或加密处理，寄件人的地址、姓名等内容都不再显示，用编码代替；收件人的手机号也仅显示后四位数。隐私护卫队了解到，今年5月17日，“丰密运单”开始试点推行。顺丰相关负责人告诉隐私护卫队，在升级版的“丰密运单”上，还新增了二维码功能，用于分拣操作及客户查询，“在未来，顺丰还将把收件人的信息进一步隐去”。不仅如此，在联系方式上，顺丰还实施了双向隐藏。当快递员联系客户时，客户接收到的是统一的95338XXXX专属电话；而客户通过回拨此电话，也能直接找到对应的快递员。也就是说，双方都看不到对方的联系方式。在日常生活中，快递单是泄露个人信息的重要载体。为了保障用户信息安全，近来国内不少快递企业纷纷对外表示，在快递单上将个人信息加密化。隐私护卫队对比发现，各大公司推出的隐私面单，大多是在关键的个人信息上进行隐藏处理，并且隐去的信息不尽相同。京东：2016年6月开始试行“微笑面单”，在包裹生成时部分隐藏用户的姓名和手机号信息，以笑脸（^_^）代替，今年3月正式在全国推广。京东“微笑面单”截至目前，所有京东自营自配送以及第三方商家使用京东仓配服务的包裹已全部使用微笑面单。圆通：今年1月推出隐私面单，不再显示收寄人完整的姓名、手机号码和住址，部分以星号（*）屏蔽。圆通隐私面单菜鸟网络：5月16日，菜鸟网络宣布隐私面单正式上线，并联合了EMS、百世快递、中通、申通、中国邮政集团公司、天天、德邦、圆通、韵达等主要快递公司。菜鸟隐私面单隐私护卫队注意到，菜鸟网络的隐私面单仅对客户联上的收件人电话进行加密处理，但在留给快递员的快递联上，仍罗列着收寄件人的完整信息。菜鸟网络安全部高级专家周磊在接受媒体采访时表示，快递面单上暂时保留了完整的地址，主要是帮助快递员核对信息，以后将不断加“脱敏”力度，逐步淘汰含有消费者隐私的面单。2快递企业需加强数据技术保障当快递单上的个人信息被隐去，快递员如何联系用户呢？隐私护卫队从数家快递公司了解到，通过扫描快递单上的编码，快递员可从手机终端获取用户信息。菜鸟网络向物流企业推出一款“众配宝”的APP，快递员可用它与收件人联系。京东配送部终端服务负责人告诉隐私护卫队，京东在自主研发的APP“京牛”上，设有“联系客户”功能。快递员需要在站点扫描包裹上的条形码录入用户信息，然后在送货时根据订单号找到包裹，点击APP上的“拨打电话”即可与用户取得联系。据隐私护卫队了解，一条快递单信息的流转往往要经过很多环节。快递发出时，生成印有发件人和收件人个人信息的面单，通常一式四份，发件人、收件人、快递营业厅、快递员各一份。这些写有重要个人信息的快递往往要经过层层转运才完成投寄。这过程中，不乏窃取用户隐私的不法分子。隐私护卫队调查发现，在网上一些出售快递信息的群组依旧活跃。10月19日，隐私护卫队加入一个出售快递单号QQ群，一名自称可获得一手信息的卖家表示，从事快递员工作半个月，每天可接触到几百条快递信息，一条售价一元。而现在，随着隐私面单的逐步推广，快递员将无法从面单上获取用户的姓名和手机号信息，这在一定程度上保护了用户的隐私。大连理工大学城市学院物流管理教研室主任李东兵认为，除了保护消费者个人信息，隐私面单也为配送实名制、鼓励电子商务用户实名制打下了技术基础。他指出，隐私面单在防止用户隐私泄露的同时，也杜绝了因为非实名制产生的纠纷。然而，“不是说隐私面单一出来，所有问题都迎刃而解了。面单只是个人信息呈现的前台表现形式，物流公司的后台数据库内还有大量的个人信息。”国家邮政局发展研究中心研究员、物流学博士方玺对隐私护卫队表示。在他看来，隐私面单能够有效减少实物寄递过程中的个人信息泄露问题，但物流企业服务过程中沉淀的数据库信息如果保护不当，也有可能被不法分子所利用，因此企业还应加强后台数据库的技术保障与安全管理。