未成年人网络安全保护条例范文
时间:2024-02-27 17:56:14
导语:如何才能写好一篇未成年人网络安全保护条例,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
通过6款APP隐私政策内容对比,值得注意的是,有4款APP均提到了未成年人保护的问题,其中YouTube有专门针对儿童的隐私声明。南都未成年人网络保护中心今年5月的《未成年人网络保护报告》显示,鲜少有APP像YouTube这样提供单独的儿童隐私政策,且近两成平台缺乏相关的儿童信息保护条款。
据南都记者了解,GDPR的一大亮点在于增加了数据主体的权利,规定用户享有访问权、更正权、删除权、限制处理权、数据可携权和拒绝权等。其中备受争议的是删除权(又称被遗忘权)和数据可携权,前者允许数据主体在特定情形下,有权要求数据控制者立即清除相关的个人数据。而数据可携权是指,用户有权以结构化、通用、机器可读的格式获取个人信息副本,并移至其他数据控制者。
6款APP基本上都提到了GDPR里赋予用户的几大权利。以可携权和被遗忘权为例,领英称,用户有权访问和索取您的数据,要求提供和索取一份个人数据的副本,并承诺通常可在30天注销账号。谷歌表示,用户可以随时从谷歌账号中导出和删除信息副本。
相比之下,爱彼迎在“数据访问与转移”说明中,较为谨慎,多了在某些司法管辖区的前提条件,称适用法律使得您有权要求获得个人信息副本。同时界定在技术可行的情况下,用户可要求将这些信息传输至其他服务商。
在删除信息方面,Facebook隐私政策新增说明,“我们存储数据,直至我们不再需要这些数据来提供服务和Facebook产品或直至用户的帐户被删除——— 以较早发生者为准。”Facebook举例称,如果用户提交政府发放的身份证件的副本用于帐户验证,平台将在提交30天后删除该副本。
GDPR生效
5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式生效。由于这一“史上最严数据保护条例”将适用范围扩展到“属人管辖”,凡是与欧盟有业务往来的中国企业都可能受到影响。据南都记者了解,一些行动较早的企业已经建立起相应的数据安全治理体系。但还有很多企业处于起步状态,只能先采用“打补丁”式的方法满足GDPR的基本要求。
挑战
“属人管辖”与巨额违规成本
GDPR的特殊之处在于,它的适用范围从“属地管辖”扩大到了“属人管辖”。按照GDPR的规定,只要一家企业满足以下两个条件之一,即受到管辖:(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
这意味着,无论办公地址和服务器是否在欧盟境内,无论产品和服务是否收费,只要企业在提品和服务的过程中处理了欧盟境内个体的个人数据,或者对欧盟境内个人的活动实施了监控行为,就将落入GDPR管辖——— 在金融、制造等传统领域和社交、电商、云计算等新兴领域,符合条件的中国企业都绝不在少数。相较于国内的网络安全法等,GDPR的规定更加具体,明确了处罚违规企业的分类办法。如果发生最为严重的侵犯个人信息安全的行为,例如,没有充分获得用户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业就可能面临高达其全球年营业额的4%或2000万欧元(以较大者为准)的行政罚款。
全球年营业额的4%是什么概念?以《财富》杂志“世界500强排行榜”的数据作为参考,2016年排名第一的沃尔玛营业收入达4858亿美元,排名第二的国家电网营业收入为3151亿美元,它们的4%分别约为194亿美元和126亿美元。对企业来说,这样的巨额罚款无疑是“不能承受之重”。
而对于那些正在积极“出海”,力图实现国际化愿景的中国企业而言,违反GDPR的代价远不止在财务层面。“企业最大的风险是失去欧洲市场准入机会和用户的信任。”有业内人士表示。
应对
从结构到技术,调整企业数据治理体系
从2016年4月27日GDPR获得通过到今天正式实施,短短两年时间,动作快的企业已经投入了大量的时间精力。“传统的安全治理框架与互联网企业的模式存在一定的冲突,企业要在安全治理和快速发展之间找到平衡点。”小米相关负责人透露,小米对GDPR及欧盟各国隐私法规的调研始于2016年,同时启动了全球数据中心部署项目。2018年初小米聘请第三方咨询公司针对GDPR做了对标检查,并修正了对标过程中发现的问题。
按照GDPR的规定,掌握用户个人数据的企业,即“数据控制者”,要履行极为细致的义务,比如默认隐私保护、数据保护影响评估、设置数据保护官(Data Protection Office,简称DPO)等。小米据此梳理了各业务场景的个人数据流向,设置各项公司内部机制,以保障用户权利实现。
对企业而言,挑战之一在于GDPR规定的“72小时内报告数据泄露事件”。小米相关负责人称,“72小时”在实践中是非常高的标准,为了实现这一点,企业要建立完善的数据监控机制,实时发现内部违规操作和外部入侵行为。同时,企业应当提升公司内部的安全意识,完善数据泄露发现、核查和报告的流程。
几乎与小米同时,2015年上线欧盟配送业务的顺丰也开始行动。据顺丰介绍,GDPR刚获通过,法务部门就联手信息安全、业务部门制定实施方案。去年11月,各部门联动落地方案正式实施。目前,顺丰为欧盟消费者和欧洲员工分别制定了相应的隐私政策,并在A PP下单等信息收集页面为欧盟消费者接收营销信息设置了单独的勾选项。
在顺丰相关负责人看来,各部门联动,是GDPR合规过程中的一大难点。“GDPR的要求多且复杂,需要欧盟律师协助梳理业务模式后确定改进措施。而数据的收集、处理各个环节涉及多个部门,为了提高工作效率,集团将此项工作作为专项开展,通过例会跟进。”顺丰相关负责人介绍,专项工作前后调动了公司法务、信息安全、IT、营运、市场、人力资源等多个部门的上百名员工。
他说,履行GDPR规定的具体义务时,顺丰最大的挑战是个人数据的匿名化。在技术层面,数据匿名化处理导致系统的实现逻辑发生变化,某些系统的逻辑复杂度和耦合度提高。在业务操作层面,要增加一定的设备辅助操作程序。为避免业务流程变更对一线快递员的效率影响,企业须投入大量人力,循序渐进地推广。
难点
仍有很多企业处于“打补丁”阶段
值得注意的是,GDPR引入了从设计着手保护隐私(privacybydesign)和默认保护隐私(privacybydefault)两项原则,要求各类组织机构在产品和服务的初始设计阶段以及整个过程中,都将数据与隐私保护考虑在内。有业界人士认为,像小米和顺丰这样从源头调整内部的数据治理体系,才是根本的合规之道。
但事实上,并非所有企业都具备这样的能力。在隐私保护方面,小米和顺丰都属于“内功深厚”型选手:小米自视是“数据驱动的互联网公司”,很早就设置隐私委员会(类似于GDPR要求的DPO),2014年进入国际市场时成为中国第一家取得国际TRUSTe隐私认证的企业。顺丰此前也已建立起非常完善的数据保护组织架构和技术措施,针对GDPR的合规措施更多是原有措施的进一步细化。
中国大多数企业没有类似的基础。传统大企业更是受制于自身的组织架构与业务规模,难以快速建立起由上到下的隐私保护体系。它们只能对照GDPR的条款要求,逐一采取应对措施,如数据流向的梳理,隐私政策的修订和补充等———就像打补丁,哪里有缺口就在哪里补上。
“GDPR其实是关于数据隐私的,这就意味着在谈到隐私保护问题时,大家一直依赖的传统加密和基于角色的访问控制策略都不再足够。相应的,各家企业要衡量分析型的收益与守法的支出之间的关系。”美国数据公司Immuta的首席技术官Steve Touw接受媒体采访时如是说。
Touw提到的收益和支出的关系,也是很多中国企业缺乏体系建设动力的原因。守法需要成本,而企业都是逐利的。GDPR尚未开始实施,某些具体要求尚不明确,也无相关案例可供参考。因此,部分企业仍抱有侥幸心理,一边“打补丁”一边观望事态进展。
有分析人士指出,有效实施隐私策略需要强大、多构面的隐私组织,且隐私组织需要与业务单位合作完成数据的保护、管理和利用。要让公司从上到下都认识到隐私保护的重要性与必要性,在意识上首先进行转型,其实是最难的。
影响
GDPR倒逼中国企业更重视隐私安全
可以确定的是,GDPR的影响迟早会来,中国企业无法完全规避。为了更好地开拓欧盟市场、赢得欧盟用户的信任,中国企业应及时审视现有的商业操作。
工信部赛迪智库网络安全研究所助理研究员魏书音判断,未来,C 2C模式下的电子支付、电子商务,以及云服务、区块链、大数据征信等场景,将更加紧密地涉及用户个人数据的收集、控制、处理及利用。在GDPR的监管下,企业面临维护用户隐私与充分发挥数据价值、寻求商业利益之间的平衡难题。
“企业需要培养个人信息安全保护的战略意识。”魏书音建议企业把数据安全作为占有市场和增强用户粘性的战略举措,融入业务发展的各个环节,“同步设计、同步建设、同步更新,变被动为主动。”
顺丰相关负责人认为,GDPR将使企业更重视用户的隐私安全,更尊重用户的选择。“技术方面,能促使企业提高数据保护能力以防范信息破坏、泄露,用技术手段保护用户隐私。合规治理方面,能促使企业提高合规管理水平,如制定和完善相关合规措施、开展员工培训等。”他说。
- 上一篇:工程审计重点和经验
- 下一篇:电力设施建设与保护条例
相关期刊
精品范文
10未成年保护法案例