中国信通院：移动互联网数据安全蓝皮报告（70页）.pdf

《中国信通院：移动互联网数据安全蓝皮报告（70页）.pdf》由会员分享，可在线阅读，更多相关《中国信通院：移动互联网数据安全蓝皮报告（70页）.pdf（70页珍藏版）》请在三个皮匠报告上搜索。

1、欧盟2018年5月25日，通用数据保护条例(下称“，通用数)正式在全球生效。GDPR旨在提升对欧盟居民个人隐私的保护与可控程度。GDPR给予了欧盟居民对其个人数据的控制权，并对企业如何处理客户数据提出了要求。根据GDPR的规定，处理欧盟境内居民个人数据的企业(包括移动应用，下称APP)将需要遵守一系列隐私规则，不遵守相应的规则将会导致高额罚款。这些强制性规则包括: (1) 必要性原则;(2)征得用户的知情同意; (3) 数据处理透明清晰; (4) 回应用户请求; (5) 给予用户被遗忘权; (6) 与第三方处理服务提供方或SDK服务方签署义务完备的协议; (7) 准备数据安全预案并在发生数据泄

2、露时通知用户; (8) 指派数据安全保护官(即DPO) ;(9)数据加密处理;及(10)记录数据处理活动等。除统一法律GDPR外，欧盟数据保护委员会(EDPB)还通过发布一系列指南指导各企业的行为规范。指南涵盖GDPR适用范围的界定、数据控制者和处理者的分类、如何获得用户的有效同意等，明确企业对个人数据的保护义务。2021年1月5日,欧盟理事会发布了新的电子隐私条例草案(即“，欧盟理事)。该草案一经通过将正式取代2009年的电子隐私指令，并对企业处理终端用户设备，上元数据的方式施加了更多限制。美国与欧盟自上而下严格立法保护个人数据安全所不同的是，美国基于促进经济发展的考量，暂无联邦层面生效的统

3、一保护个人隐私/数据的法案。其对个人隐私的保护依托于联邦贸易委员会的执法(即FTC)，散落在各专门立法及少数州的立法之中。如1970年的公平信用报告法( Fair Credit ReportingAct)、1974 年的隐私法( Privacy Act of1974).1986年的电子通信隐私法( ElectronicCommunications Privacy Act of 1986)、1996 年健康保险流通与责任法案( Health Insurance Portability and AccountabilityAct )、 1998年的儿童在线隐私保护法( Childrens Onli

4、ne Privacy ProtectionAct ) ; 1999年的 金融服务现代化法( Gramm服务现代化法(line Priva) 等，仅针对征信、金融、医疗、教育等特殊领域，或儿童、学生等特殊群体的个人数据收集、使用等问题做出了规定。2018年美国发布应用程序隐私保护和安全法草案(即APPs Act of2018)2,这是第一部全国性的专门规范App收集使用用户隐私信息的法案，试图实现用户隐私保护与App功能正常之间的动态平衡3。除联邦各专门立法之外，在州层面，2020年1月1日，加州 消费者隐私法案(即CCPA)正式生效。CCPA给予每位加州居民可强制执行的法定隐私权利。与GDPR不同的是，CCPA要求APP允许用户选择退出(即opt-out机制)，而不是要求APP在收集用户个人信息之前获得用户的明确同意。值得注意的是,2020年11月,加州通过第24号提案(即CPRA),