剛剛過去的11月，隱私焦點事件頻發，對口監管法規緊鑼密鼓，堪稱2020年的“隱私月”。

本文我們整理了2020年11月國內隱私與安全合規方向的最新動態，并對監管動向進行對比分析，最后對11月所發生的焦點案例及事件進行了介紹和解析。

[[356669]]

一、11月新發布規范

1. 《個人信息保護法》草案

第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護法(草案)》進行了審議。草案將進一步明確個人信息處理活動應遵循的原則，完善個人信息處理規則，保障個人在個人信息處理活動中的各項權利，強化個人信息處理者的義務，明確個人信息保護的監管職責，并設置嚴格的法律責任。個人信息保護法的制定，將進一步增強法律規范的系統性、針對性和可操作性，在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。

亮點分析：

• 賦予必要的域外適用效力;
• 健全的個人信息處理系列規則;
• 完善個人信息跨境規則，并要求境外個人信息處理者在境內設立專門機構或者指定代表，負責個人信息保護相關事務;
• 明確了個人信息處理者的合規管理和保障個人信息安全等義務。

企業合規建議：

• 按照規定制定內部管理制度和操作規程，采取相應的安全技術措施;
• 指定負責人對公司個人信息處理活動進行監督;
• 對處理敏感信息等高風險工作進行事前風險評估;
• 確需向境外提供個人信息的，應通過國家網信部門和專業機構的評估和認證。

新規政策鏈接：

http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachm ent.pdf

2. 《未成年人保護法》

新修訂的未成年人保護法10月17日經十三屆全國人大常委會第二十二次會議表決通過，自2021年6月1日起施行。未成年人保護法專門增設“網絡保護”一章。

亮點分析：

• 網絡產品和服務提供者不得向未成年人提供誘導其沉迷的產品和服務;
• 網絡服務提供者應設置相應的時間管理、權限管理、消費管理等功能;
• 收到未成年人及其父母或者其他監護人的通知后，網絡服務提供者應及時采取必要的制止措施。

企業合規建議：

• 不提供誘導未成年沉迷的產品和服務;
• 若做網絡游戲、網絡直播、網絡音視頻、網絡社交的網絡服務提供者，應該針對未成年人使用其服務設置相應的時間管理、消費管理等功能;
• 設置未成年人在遭受網絡欺凌行為時的安全措施，防止信息擴散。

新規政策鏈接：

http://www.npc.gov.cn/npc/c30834/202010/82a8f1b84350432cac03b1e382ee174 4.shtml

3. 《個人信息安全影響評估指南》

11月25日，全國信息安全標準化委員會正式發布《信息安全技術 個人信息安全影響評估指南》，并將于2021年6月1日正式實施。

亮點分析：

• 無法選擇拒絕個性化廣告、疾病信息泄露造成歧視等，都將納入個人信息安全影響的評估因素;
• 規定了個人信息安全影響評估的基本概念、框架、方法和流程，并提出了特定場景下進行評估的具體方法;
• “引發差別性待遇”也將成為影響評估結果的因素之一，具體表現如：因疾病、婚史、學籍等信息泄露造成的針對個人權利的歧視等。

企業合規建議：

• 有助于個人信息處理的檢驗合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施的有效性，并對處理和評估情況進行記錄;
• 對評估過程進行記錄，建議企業保存至少3年;
• 編寫《隱私政策》時重點關注以下幾個原則：告知方式和內容是否友好可達、是否對用戶畫像機制進行限制，避免精確定位到特定個人、匿名化機制是否有效，去標識化后的個人信息是否能夠被關聯分析等。

新規政策鏈接：正式版本需家登陸國標委網站查詢或購買。

二、監管縱橫

11月兩單位雙管齊下，工信部下發了下架60款APP的告示，同時APP治理工作組也發布關于35款APP的通知。我們分別從違規原因分析和監管行業趨勢來做下分析。

1. 違規原因統計

11月工信部下線60款APP違規原因方面，其中違規收集個人信息、過度頻繁索取權限、違規使用個人信息、強制向用戶定向推送、超業務范圍收集個人信息分別占前五。

11月工作組通告35款APP違規原因方面，未同步告知收集目的、第三方SDK告知問題、因未授權非必要權限，拒絕提供基礎服務、超業務范圍收集個人信息、賬號注銷問題分別占前五。

2. 違規原因說明及應對建議

(1) APP收集個人信息不合規

過度頻繁索取權限:在用戶明確表示不同意打開非必要權限后，仍頻繁征求用戶同意，干擾用戶正常使用。

收集業務無關信息：收集業務功能無關的個人信息、個人敏感信息。

應對建議：

• 收集類型：應與產品或服務的業務功能直接關聯;
• 采集頻率：應是業務功能所必需的最低頻率;
• PS“最低頻率”的定義：原則上以低于該頻率相關產品或服務將無法實現或有重大缺陷為準來評估所需的最低頻率。
• 從第三方獲?。簯菍崿F產品或服務的業務功能所必需的最少數。

(2) 有關及用戶權益的PbD功能設計不合規

① 強制用戶定向推送：強制用戶使用定向推送功能;

② APP明文上傳敏感信息：APP明文上傳用戶賬戶、密碼;

③ 投訴舉報渠道不合規：

Ⅰ未建立并公布投訴和舉報渠道

Ⅱ未有效落實投訴、舉報的功能：

• 未在15個工作日內完成核查處理
• 客服電話，提示“座席忙，請掛機”
• 在線反饋顯示“客服不在線”

④ 賬號注銷問題：

• 未提供有效的注銷用戶賬號功能
• 為注銷賬號設置不合理條件

⑤ 未同步告知收集目的：在申請打開如相機、通訊錄、電話、存儲、位置、麥克風等權限時，未同步告知用戶其目的。

⑥ 因未授權非必要權限，拒絕提供基礎服務：因用戶不同意打開非必要權限，拒絕提供所有業務功能。

應對建議：

產品對隱私功能模塊的設計，尤其注重如：系統權限管理、賬號日志管理、第三方賬號授權與解綁、賬號注銷、隱私協議等。

建立嚴格的SDLC+PbD安全開發流程，安全隱私角色，應滲透產品開發全生命周期，從需求介入，嚴格把持上線。

(3) 明示告知及第三方SDK不合規

未明示告知收集信息：未明示收集個人信息的目的、方式和范圍。

第三方SDK告知問題：未逐一列出第三方SDK收集使用個人信息的目的、類型。

應對建議：

隱私協議中需清晰列明收集個人信息的目的、方式和范圍。

其中，我們發現多數APP被要求告知的第三方SDK聚集特定類型，以下整理出了本次通告涉及的TOP5 SDK類型。

對于如果處理第三方SDK常見違規問題的建議舉措，參考如下：

三、案例及事件復盤

1. “人臉識別第一案”

2020年11月20日，浙江人民法院對郭某訴杭州野生動物世界一案開庭宣判，法院認為被告“收集人臉識別信息，超出了必要原則要求，不具有正當性”，判決野生動物世界賠償郭兵1038元，刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息等。

合規措施建議：

• 收集生物識別信息時告知的用途應當與實際使用一致，即與訂立合同時約定的使用方式一致，超出告知目的的信息收集仍屬于未獲得有效同意;
• 屬于用戶個人信息和服務方經營信息的，在無證據證明對用戶造成或可能造成損害的情況下，服務方有權拒絕刪除;
• 通過收集新的個人信息觸發服務方式更改并造成用戶負擔的，屬于預期違約行為，應當承擔合同法意義上的違約責任。故如果服務方升級需要使用到新的個人信息種類的，建議保留原始個人信息的使用方式直至合同期滿，不應強制升級并造成用戶負擔。

2. “快遞拍照案件”

“雙十一”過后，上海一快遞代收點推出新規：為防止偷竊和誤拿，強制對所有前來取件人必須要拍照并存檔才可取走快遞，快遞網點拍攝的照片的儲存位置、傳輸方式、保障措施均無法確保其處理過程的安全性。

合規措施建議：

• 收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意;
• 對第三方在合同、實際業務的指導上加強管理，制定嚴格的準入標準。

3. “售樓處人臉識別案”

為了做大量營銷宣傳，吸引潛在客戶，很多房地產售樓處在不告知本人，未經授權同意的情況下，使用人臉識別系統來定位目標客戶。即使客戶戴著基本的防護措施，依然可以被“無感”抓拍。系統可以識別并預測看房者的行動路徑，框選其必經路線，設置攝像頭進行抓拍。拍完后，系統還會自動選出一到兩張“最優照片”。

合規措施建議：

• 企業在個人信息的收集時，一定要遵循「合法、正當、必要」的原則;
• 必須要征得當事人同意;
• 設置顯著標識;
• 只做流量收集，不做任何存儲，并做到及時刪除。

4. 上外女生起訴某知名互聯網平臺侵犯隱私

某學生在使用某知名互聯網公司開發的 App 時，發現其個性化推送廣告、濫用地理位置信息已構成侵犯其隱私，故決定起訴該 App 的母公司。2019 年 11 月，該學生在使用某知名 App 時發現，其首頁會通過電子信息的方式向用戶推送商業廣告，且這些商業廣告可以準確定位到用戶所在地區。用戶在瀏覽該 App 對應的網站版本首頁時無法拒絕接收這些頻繁出現的商業廣告。

合規措施建議：

• 用戶有完全自主選擇權限的權利，企業應該嚴格按照法律規定及《隱私政策》的規定執行用戶的選擇;
• 制定簡約清晰的《隱私政策》。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文