标签: 隐私保护

英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策

新浪科技讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。   稿源:新浪科技,封面源自网络;

美国科技游说组织提出隐私保护框架:权衡企业利益

新浪科技讯 北京时间10月23日早间消息,美国华盛顿特区主要的科技行业游说团体“信息技术产业委员会”(ITI)周一提出一项保护在线用户隐私的立法框架。 基于欧洲和美国加州近期的新法规,美国联邦立法者也尝试推进隐私保护立法。与此同时,行业团体正试图影响这场讨论,并提出了指导方针供立法者参考。 ITI的成员包括谷歌和Facebook。该组织总裁迪恩·加菲尔德(Dean Garfield)表示,ITI提出的框架希望给美国和全球立法者提供参考,帮助他们权衡在线隐私保护方面的关切。 该框架建议,关于个人敏感数据被使用,用户应当有选择权,除非“根据适用法律或在其他允许的情况下”。敏感数据的定义是“个人数据,包括民族来源、政治派别、宗教或哲学信仰、工会成员状况、遗传数据、生物特征数据、健康数据、性取向、某些已知的少数族裔特征,以及精确的位置数据”。 不过,这种限制不适用于使用人工标识符、受到保护,或完全匿名的数据。加菲尔德表示,他希望这可以推动业界将匿名化的措施变成标准做法。 文件显示:“在合理情况下,个人应当对个人数据的使用情况有控制权。个人控制权,与其他利益相关方的权利和法律义务一致,包括获得、纠正、输出、删除、同意以及反对使用个人数据的权利。” 这份文件还提供了其他方面的指南,包括公司如何管理隐私风险,以及允许客户将他们的数据转移到其他平台上。   稿源:新浪科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

苹果公布 macOS Mojave 即将更新的隐私和安全保护特性详情

在WWDC期间,苹果在面向开发者的主题日活动Platforms State of the Union Event中,公布了更多关于将在 macOS Mojave中出现的隐私和安全保护特性的详情。首先,苹果将隐私保护手段扩展至相机、话筒及各类敏感用户数据-包括邮件数据、消息历史、Safari数据、时间机器备份、iTunes的设备、定位和连线、系统Cookies等等。 在macOS Majave中,应用所有的API和对资源的直接访问都会需要请求用户的准许,用户也能够直接通过系统偏好设置访问它们的安全偏好设定。 对于不通过Mac App Store分发安装的应用,除了需要者签名。苹果还将在新系统中引入Notarize的认证评估程序,旨在更快速地检测恶意软件,并且为苹果提供更加细致的认证撤销工具。公证化进程将让macOS Mojave能够保证第三方非App Store下载的mac应用能够经过苹果双重认证,并且不包含恶意代码。苹果还将要求所有的开发者签名Developer ID应用经过该过程才能进行安装。 苹果还介绍了最强的运行时保护机制,延申系统完整性保护措施,确保代码注入和其它恶意行为不会破坏系统完整性。macOS Mojave还将分别标记重复创建的密码、让用户能够创建更加独特的密码。此外Safari还将加入多重反追踪和隐私改进措施让浏览习惯保持隐秘。   稿源:cnBeta,封面源自网络;

欧盟最严数据保护条例GDPR今日生效 官员:违反将严惩不贷

北京时间5月25日早间消息,从科技巨头Facebook,到图书馆,再到学校,各个组织机构现在都受到了世界上影响最深远的数据隐私保护条例的约束——旨在保护人们能够牢牢掌握自己的个人信息。 这一条例耗费了数千名律师的心血,花了数年的时间去规划,并伴随着数十亿封的电子邮件往来。 负责监管欧盟《通用数据保护条例》(即GDPR)执行的奥地利人Andrea Jelinek警告说,现在再搞糟的话,你别指望能得到多少原谅。该法规将于5月25日生效。 “如果有必要警告,我们就会警告;如果有必要谴责,我们就会谴责;如果有必要罚款,我们就会罚款。”57岁的耶利内克在这则大新闻的采访之前告诉记者。当被问及人们批评一些监管机构可能会比其他监管机构更宽松时,她说,过去是这样,但未来不应该再这样下去了。 隐私已经从一个非常小众话题一跃成为让世界各大商业巨头的老板们头痛不已的弊病:如Facebook创始人马克·扎克伯格——他本周被欧盟立法者拷问,其8700万用户的数据和他们的朋友的数据额是如何被分享给政治咨询公司,进而影响到唐纳德·特朗普的美国总统竞选活动。 巨额罚款 在条例出台的大限之前,如何使用或处理欧盟国家中个人用户的数据是一个诸多公司所正在面临的严重问题。欧洲的隐私监管机构将首次获得平等的权利和责任,他们同时还有权对企业严重的违规行为处以高达4%的企业全球年度销售额的罚款。 欧盟国家将在整个欧盟范围内实施同样的规则,并赋予它们的数据监管机构以完全的独立性。“我们不希望看到有任何偏离条例和其精神的措施偏差”,欧盟司法专员Vera Jourova上周说。 但是,即使剑桥分析案例中的任何违规行为都被证明属实,但是Facebook还是将在更新的欧盟规则眼皮底下避开严厉的新制裁——因为这些条例并没有追溯效力。 尽管如此,如果公司直到“周五还不收手,我们就会瞄准它们”,耶利内克说。她领导着奥地利的数据隐私机构,以及来自欧盟其他28个国家的监管机构。她表示,她预计在新规定发布的第一天,可能就会收到大量的投诉。 新时期 监管机构将“尽最大努力”处理所有投诉。她预计,不消两个月的时间就会有第一批违例情况坐实,但罚款措施并不会被立刻采用。她说,监管机构的官员们不会只是“向”公司“扑过去”,对他们处以罚款。“我们正在和企业谈判,我们有法律程序要履行,我们也必须给他们机会和我们交谈。” 对于每个人来说,这将是一个新时代的开始:“我们正处于一段新进程的开始,我们将在数据保护的领域共同努力。”伦敦DLA Piper律师事务所律师的Andrew Dyson表示:“过去几年,人们对数据保护问题的认识发生了转变。但凡你翻阅了报纸,你就不可能读不到最新的数据泄露、社交媒体丑闻或不道德的营销活动等新闻。条例确实出台了,但它来自一个不同的时代——在我们当前所处的时代里,法律、监管机构正越来越失去权势,政策越来越过期。GDPR将把这个时代扳回正轨。GDPR所赋予的权利将帮助建立更高的道德标准,提高消费者的信任度,并能够彻底释放数据的真实价值。那些犯错的人会面对监管机构的愤怒、客户的不满,以及其自身数字创新所面临的巨大桎梏。”   稿源:新浪科技,封面源自网络;

微软将 GDPR 隐私保护权利扩大至全球用户

《欧盟通用资料保护规则》(GDPR)实施在即,微软周二宣布,其他地区的个人用户也能获得同样的资讯隐私保护。 GDPR将于本周五(5/25)正式上路,未来只要网站或服务会直接或间接搜集、处理和利用欧盟民众个人可识别资料时,都将强制受到GDPR的规范。微软是少数受邀与欧盟于比利时布鲁塞尔记者会上连袂宣布启动的厂商。微软企业副总裁暨法务长Julie Brill指出,GDPR为欧盟地区个人提供了重要的隐私权利,但微软相信这些原则和其他地区的人也有关。 为此微软宣布将把GDPR的权利扩大到全球所有消费者用户。微软于5月更新了隐私声明,其中变更的地方包括加入GDPR要求的文字(如用户权利及法源),并说明微软搜集的用户资料种类(语音、使用的内容及上网纪录)、用途(如用于改善产品、提供服务或功能更新,以及广告)及举例,且运用简明的文字或条列方式,方便用户阅读。 微软的隐私声明指出,微软将透过和用户的互动及产品,依据互动的情境及用户在隐私设定及产品功能选择,搜集使用者资料。 但微软表示,所有消费者用户都享有GDPR定义的「资料主体权利」(Data Subject Rights),包括了解微软搜集用户哪些资讯、及修改、删除与将资讯转移到其他地方的权利。针对企业用户,微软也说明从Azure、Office 365、SQL Server到Windows 10/Server 2016有哪些工具可确保资讯安全,符合GDPR规定。 号称欧盟最严格个资法的GDPR对个资外泄罚则十分严格。情节最重者可被罚款2千万欧元(新台币7.2亿元)或全球营业额4%。所有大小网路服务业者无不相继更新了GDPR的用户服务条款,也有小公司索性退出欧盟市场。脸书则是为了降低法规风险,上个月悄悄将欧洲15亿用户移到美国总部管理范围。   稿源:ithome.com.tw,封面源自网络;

Mozilla 高管就印度数据隐私法案和 Aadhaar 发表了一封公开信

Mozilla 基金会主席 Mitchell Baker 以全版广告的形式,在印度当地最受欢迎的日报之一的《印度斯坦时报》上发表了一封致印度电子信息技术专家委员会的公开信。信中就 Justice Srikrishna 主导的“建立一个国家级数据保护框架”阐述了她的看法,敦促该委员会“捍卫全印度人民的隐私和安全”。几周前,该委员会就数据保护的复杂性而发表了一份白皮书,目前尚不清楚 Mozilla 是否已经正式向其提交了建议。 此外,信中还谈论了印度的“Aadhaar”系统。民众可以自愿登记生物信息,而政府负责分发 12 位数的唯一标识码,并指定 UIDAI 作为身份认证管理机构。 虽然打着“自愿”的旗号,但印度政府一直在强力把这套系统推进到居民的生活中。注册之后,民众可以通过 Aadhaar 系统办成很多事情,比如开立银行和手机账户、或者接受政府的援助,但也引发了一些争议。 Mitchell Baker 关注的重点是,印度身份认证管理机构是否有能力保障其庞大的生物识别数据库的安全性和完整性,以及 UIDAI 可否维护那些已登记 Aadhaar 用户的个人隐私。 过去几个月,印度已经发生了多起伪造卡片、身份失窃、以及诈骗案件,而政府却对那些曝光问题的急着提起了法律诉讼。在所有这些骚动的背景之下,印度高院于去年 8 月裁定,隐私是每一位印度人民的基本权利。 Baker 表示,包括 Mozilla 在内的许多人,对系统效率的关注都在与日俱增。因此她向该委员会提出了几点建议,希望能够对当前版本的白皮书进行迭代: ● 当前建议中,并未在‘必须被特别保护的敏感个人信息’定义中,将生物信息包含进去。鉴于指纹等生物信息不能像密码一样进行‘重设’,此事必须更加慎重地看待。 ● Aadhaar 在设计时并未有效征得用户的同意,随着与 Aadhaar 联通的公共和私人服务越来越多,委员会必须抓紧弥补,将数据收集做最小化的限制。 ● 不应通过推动强制立法来豁免整个机构的责任和法律义务,必须了解用户数据是如何被访问和处理的。 ● 人们应该有对数据处理方式提出质疑的权利,这是数据保护的核心支柱。若失去了反对和不同意的权利,就是对个人自由的剥夺。 当前印度高院正在审理一起与反对 Aadhaar 有关的案件,诉方认为该系统违宪,但法院并未支持这一观点,其计划在 2 月 13 日举行一场听证。 稿源:cnBeta,[原文编译自:Neowin , 来源:Mozilla];封面源自网络

欧盟将于 6 月全面推动软件后门设置,公民隐私何去何从?

据欧盟司法委员会委员 Věra Jourová 公开表示,欧盟委员会将于今年 6 月全面推动各类应用程序加密机制的后门访问能力。欧洲政府官员目前已就此问题达成共识,并将提供“三个或四个选项”,主要包括企业自愿公开权限或严格立法强制执行。 欧盟此举的目的是向执法机构提供一种监控加密应用程序用户通信内容的“快捷可靠”的方式。检察官、法官、警察以及执法机构目前只能依赖于供应商在自愿的前提下提供访问权限和证据,仅凭这点并不能确保欧洲人民的安全。 政府通常会利用立法权威迫使供应商自愿提供权限。然而,欧盟委员会显然已经预料到来自技术行业的重大阻力,尤其像 Facebook 和苹果这样的美国企业,认为自愿、非立法处理方式只是获得“快速解决方案”的临时策略,并非长久之计,相关法律法规仍有待制定与完善。 根据目前形势,欧盟委员会提供的观点并非虚张声势。尽管通过整个立法的过程需要耗时数年,但欧盟断言已为此做好一切准备。 对此,技术公司和安全专家的看法是,倘若加密后门被创建,则无法确保只有“好人”使用该特殊访问通道,在一定程度上打破了端到端加密系统与加密存储的安全性。然而,政府官员与执法机构则表示,他们并不关心具体实施过程,只希望能够访问欧洲人民的私人通信与数据存储,特别是在已经对嫌疑人发出逮捕令的情况下。 原作者:Kieren McCarthy, 译者:青楚     校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

消费者报告计划将网络安全和隐私保护纳入产品打分体系中

消费者报告(Consumer Reports)是一家在美国拥有极高公信力的非营利机构,主要对汽车、厨房电器等产品进行全方位的审查。本周一,该机构已经同数家外部机构进行合作,开发相应的标准来衡量产品是否容易被黑客入侵,以及衡量产品如何保护用户数据,将网络安全和隐私保护纳入到现有的产品打分体系中。 消费者报告将会逐步实施新的方法,从少量产品评估中开始测试。该机构的电子测试负责人 Maria Rerecich 在电话采访中表示:“这是一个非常复杂的领域,要达到这个目标需要对类目进行很多的细分。” Craigslist 的创始人 Craig Newmark 表示:“用户的网络安全和隐私对于每个人来说都是至关重要的,因此我们迫切需要这样具备公信力的衡量标准。” 稿源:cnBeta;封面源自网络