标签: 欧盟

丹麦情报机构被曝秘密协助美国 NSA 监视德国总理和其他欧盟官员

外媒援引《德国之声》的报道称,周日公布的一项欧洲媒体调查表明 —— 丹麦情报机构曾秘密协助美国国家安全局(NSA)对身居高位的欧盟政客实施了大规模的监听,其中就包括了德国总理安吉拉·默克尔和总统弗兰克-瓦尔特·施泰因迈尔。其实早在 2013 年,美国对其盟友开展间谍活动的爆料就已经首次浮出水面。但直到现在,才有记者披露了丹麦国防情报局(FE)为美国打下手的消息。 据悉,包括丹麦、瑞典和挪威广播公司(DR、SVT、NRK),法国《世界报》、德国《南德意志报》、以及德国公共广播公司(NDR、WDR)在内的许多媒体,都拿到了这份让人震惊的报告。 报告还指出,当时德国中左翼政党 (SPD) 总理候选人皮尔·史坦布律克(Peer Steinbrueck)也成为了被“亲密盟友”NSA(FE)监听的目标。 在得知此事后,史坦布律克认为这绝对是个丑闻。一方面,他承认西方国家需要“正常运作”的情报部门。但另一方面,丹麦当局的监视事实表明他们更愿意亲自下场。 至于丹麦在其中扮演了什么角色,外媒披露政府最迟从 2015 年就知道该国情报部门卷入了 NSA 丑闻。 NDR 报道称,在前 NSA 雇员爱德华·斯诺登曝光后,他们开始在 2012 至 2014 年的秘密报告中收集有关 FE 和 NSA 合作的信息。 后续获得的证据表明,FE 曾协助 NSA 监事过瑞典、挪威、荷兰、法国、以及德国的高级政客。 此外丹麦情报部门还协助美国间谍机构追踪了该国的外交部、财政部、一家丹麦军火制造商,甚至合作开展过针对美国政府的窃听行动。 当丹麦政府发现两国情报机构之间的合作有些“越界”之时,最终在 2020 年下令撤掉 FE 的整个领导层。   (消息及封面来源:cnBeta)

明年开始欧盟的微软客户将能够在当地存储他们的所有数据

微软宣布了一项名为 “微软云的欧盟数据边界”的新举措,通过这一做法,微软旨在使欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于该公司的所有核心云服务,即Microsoft 365、Dynamics 365和Azure,这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。 微软将继续与这些组织以及监管机构合作,确保在2022年底前完成实施这一变化的工程工作。 现在,微软大部分在线服务允许用户选择数据存储的地理位置,但在未来几个月,它将进一步加强这些服务,以减少欧盟以外的数据传输,然而,客户仍将有能力利用增强的服务,利用位于欧盟以外的资源。 微软强调,新的欧盟客户不需要等待,其使用到的云服务就已经遵循欧盟执行的准则,使客户能够遵守GDPR,即使没有这个额外的承诺,在欧盟边界内存储和处理数据时,微软也在Schrems II决定后实施了补充措施,以进一步支持数据传输的合规性,这些措施满足并超越了Schrems II决定的要求。与此同时,微软正在进行这些额外的投资,以便在2022年底前在欧盟处理和存储数据。这表明其对欧洲客户的持续承诺,并通过最大限度地减少欧盟边界以外的数据传输来简化后Schrems II的合规性。 欧盟标准合同条款(SCC)用于服务提供商(如微软)和他们的客户之间的协议,以确保任何离开欧洲经济区(EEA)的个人数据将按照欧盟数据保护法进行转移,并满足欧盟数据保护指令95/46/EC的要求。 微软将执行欧盟委员会修订的SCC,并继续为客户提供围绕微软服务范围内个人数据转移的具体保证。这确保了微软的客户可以通过微软云将数据从欧洲经济区自由转移到世界其他地区。如果客户对自家部署的SCC的适用性有具体疑问,应该咨询他们的法律顾问。 该公司已明确表示,它不会让美国政府或任何其他政府访问欧洲数据,并将把所有此类请求转给客户。在可能的情况下,它将把此事送进法庭,并通知客户,除非法律禁止它这样做。同样,如果任何客户数据的披露违反了GDPR,该公司将对受影响的客户进行经济赔偿。 尽管微软从其角度评估了实施这些变化所需的工程和技术努力,但公司表示,它将继续与客户和监管机构协商在特殊情况下可能需要的潜在调整。   (消息及封面来源:cnBeta)

人脸识别 60 年:欧盟通用数据保护条例真的算“史上最严”吗

2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效。此后,法国对Google开出了高达5千万欧元的罚单,认为其服务条款不够透明,违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单,认为使用人脸识别记录出勤违背了“必要性原则”。 据统计,截至2020年1月,欧盟各国数据监管机构接到的违规举报超过16万件,而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”,也影响了其后多国的数据立法,包括中国刚刚出台的《个人信息保护法(草案)》。但面对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。比如,它未能覆盖“数据生命全周期”,原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics:Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)的第四章。为便于理解,我们对原文进行了必要的补充和修改。 2004年,欧盟颁布了一项法律,要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时,欧盟建立了一个大型数据库,涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久,生物识别的应用在公共部门和私人企业得到了进一步扩张,用于控制人流、公司的电子门禁,以及校园监控。技术的优越性得到了欧洲委员会的承认,但后者提醒,生物识别数据应被视为“敏感”信息,它包含个人的健康状况、种族等敏感信息,能识别人的身份,能轻易与其他信息扣连,且不可更改。 面对上述风险,法律层面的监管一度“缺位”,无论是一般意义上的数据保护法,还是大多数国家的立法,都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时,法律相对滞后。 为弥补其间差距,一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如,强调数据的敏感性、数据库维护的风险性,以及 “功能潜变”(编者注:function creep,即出于某一特定目的采集的数据被用于其他目的)的可能性,还包括使用目的和手段之间是否相称(编者注:proportionality,相称性原则,即需考察为达成某一目的,是否有必要采用生物识别技术)。然而,这些法案在实际操作时留下了诸多不确定空间。 2016年,欧盟推出了《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),适用于各成员国,涵盖了生物识别数据在公共和私人领域的应用。此外,欧盟还通过了《数据保护执法指令》(Data Protection Law Enforcement Directive,下文简称DP LED),专门针对执法部门,当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时,需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间,各国数据监管机构依据GDPR所做出的判罚,其中,荷兰、德国、英国位列数据泄露案件数的前三位。图片来源:DLA Piper统计报告。 欧盟如何监管生物识别数据? GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据,这些个人数据可用于确认该自然人的独特身份,如面部图像或皮肤(指纹)数据。” 值得注意的是,对“特定技术处理”(specific technical processing)的强调排除了那些存储和保留在数据库中的“原始”数据,如视频监控拍到的人脸或录音,以及用户发布在网站、社交媒体上的原始信息。 此外,GDPR提及,“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据,除非它经过特殊技术处理,可以识别出个人。 虽然GDPR规定,禁止“以唯一识别为目的进行生物特征数据处理”,但这项禁令仍存在许多例外。比如数据“明显公开”,或“出于重大公共利益的目的”。这些“例外情况”大量存在,模糊不清,实际上,GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架,GDPR也提及,各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制,只有在以下三种情况下执法机关可以使用生物识别数据:获得了法律授权、保护关键利益,或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时,或大规模处理特定类型的个人数据时, GDPR和DP LED要求启动“数据保护影响评估”(Data Protection Impact Assessments, DPIA)。此外,当公共部门系统性监控某个可公开进入的区域时,同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估,包括数据处理的风险性、必要性,以及目的与手段是否相符。某些情况下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先向当地或本国的数据监管部门咨询,获得许可。 英国信息委员会办公室(Information Commission Office)列出的“数据保护影响评估”的基本步骤,其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示,该评估应先于技术的应用。图片来源:ICO官网 此外,生物识别数据的处理和技术应用需尊重公民的基本人权和自由,当隐私权或个人数据保护权受到侵害时,与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训,讨论了它们的有效性,并重点介绍了未来监管应吸取的经验。 模糊的定义:原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中,生物识别数据被定义为“经过特定技术处理”的数据,(编者注:由于过多强调数据的处理环节)。在采集和存储环节,除了获得用户同意、满足必要性等原则之外,相较于其他一般意义上的个人数据,生物识别数据并不享有更高级别的保护。 正因如此,生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注:即尚不符合GDPR对生物识别数据的定义),而无法被保护。这一点尤为关键,特别在执法部门使用时,透明度受限,数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞,公司和政府可以收集大型图像数据库,这些数据以后可能用于执法目的。 2020年,Clearview AI公司引发了巨大争议,通过一张人脸信息就可以识别出其身份和电子足迹,这也让更多人意识到现有法律框架的局限。图片来源:Clearview AI官网。 这也与欧洲人权法院的判例法相违背,后者一再强调,从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前,英国人Gaughran就将英国政府告上欧洲人权法庭,(编者注:2008年Gaughran因酒驾被捕,在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁,但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭,要求警方销毁个人数据或退还给自己。)欧洲人权法院将人脸识别和面部特征比对等技术考虑在内,最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护,这些数据可用于身份识别目的,或可供自动化识别过程, 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义:所有满足以下条件的个人数据:(a)直接或间接与人类独特的生物或行为特征有关的数据;(b)可使用或可通过自动化手段使用的数据;(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分,也未能对不同的数据处理方式设置针对性规范。例如,虽然GDPR的第9.1条列出了一些禁止使用和处理的规定,但它并没有区分“一对一” 的“验证”(编者注:1:1,比如通过电子门禁时,确认进入者身份)和“一对多”的“识别”。 目前,欧洲委员会和许多国家的数据监管部门表示,验证比识别的风险性小,因为验证不需要数据库。 一对多的身份识别存在额外的风险,包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配(这引起了人们对准确性和误报的担忧),以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能,这也造成了技术开发者的顾虑,对于希望投资生物识别验证技术和隐私增强方法的公司来说,这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异,禁止那些构成真正风险的技术,鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”? 最后,法律中含糊的“例外情况”也存在漏洞,为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛,允许基于“重大公共利益”进行生物识别数据处理(编者注:由于未对“重大公共利益”进行具体界定,它会成为一个宽泛的“筐”)。 由于对“例外”情况的界定笼统宽泛,目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据(例如,在大型体育场活动中)。GDPR和DP LED无法回答这些问题的,还需要制定更针对性的法律。         (消息来源:cnBeta;封面来自网络)

欧洲打算破解 WhatsApp 等通讯服务的数据加密方式

据报道,在巴黎、维也纳、尼斯发生一连串恐怖袭击之后,欧盟(EU)似乎正在为打击已接受端到端加密数据的行动做准备。在本月早些时候发表的一份联合声明中,欧盟成员国内政部长呼吁各国元首“慎重思考数据加密问题,以便主管部门能够合法收集和使用数字证据。” 在这份声明发表之前,有几份关于加密数据的欧盟内部文件遭遇泄露。最开始是由Politico发布的一份声明,提出了反对端到端加密的一些措施,并以此作为打击虐待儿童内容的一种方式。声明中说道:“对于此类非法内容的打击是争议最小的。” 端到端加密(End-to-end encryption)是一些应用程序和服务(包括WhatsApp、Signal和Facebook Messenger)使用的一种安全工具,旨在提供更高级别的隐私保护服务。 使用端到端加密工具发送的信息在离开发送者的手机或电脑之前会被加密,使用的密钥是交换双方设备的唯一密钥。即使这些信息在传输过程中被黑客或政府机构截获,这些信息也是不可读的,因为只有来自发送方和接收方的设备才能解码这些信息。 这种保密形式给试图监控犯罪团伙通信情况的国家带来了一个问题:只有当你真正能够读取非法信息内容时,拦截非法信息的能力才是有用的。 欧盟的一名发言人表示,长期以来,欧盟立法者一直在公民隐私权和警察机构工作范围之间寻求更妥善的平衡。 欧盟成员国已经在多个场合“呼吁采取解决方案,允许执法部门和其他主管部门在不禁止或削弱加密的情况下合法获取数字证据。” 正如7月安全联盟策略(Security Union Strategy)所述,欧盟选择支持这样一种方式:“既保持加密在保护隐私和通信安全方面的有效性,又能对严重犯罪和恐怖主义做出有效回应。” 欧盟反恐协调员吉尔斯·德克尔乔夫(Gilles de Kerchove)试图通过避开“后门(back-door)”的方式来达到这一目的,他认为这是与“前门(front-door)”相对应的方法,即与第三方加密提供商展开正式合作,而不是在尚未获得其同意的情况下擅自行动。 而隐私教育评论网站ProPrivacy的研究员雷·沃尔什(Ray Walsh)却表示,这种方法时不可能的。他在接受媒体采访时表示:“无论你是选择将一个专门开发的辅助接入点称为‘前门’还是‘后门’,其结果都是消除了数据所有权和访问控制,这将会不可避免地会导致一个根本性的漏洞。” 他补充说:“部长们想要鱼与熊掌兼得,但他们似乎不明白,也不想承认,这是不可能的,而且这种行为会有意识地造成数据加密系统的脆弱。如果这类立法获得通过,那么普通公众将会受到极大损害。” 伦敦国王学院(King’s College London)的德语区、欧洲与国际研究讲师亚历克斯•克拉克森(Alex Clarkson)指出,类似这种正在讨论中的措施“已经成为政府议程中持续进行的一部分。” 但他和沃尔什都强调,目前还只是讨论而已。 克拉克森将这些提议简单地描述为“官僚机构正在做什么”,是由一系列决策组成的政治“愿望清单”中的一部分。他表示:“这些系统中的某些部分会催生一种冲动,而系统的另一部分会对这种冲动进行制衡。但这并不一定意味着,他们会选择这些决策。” 尽管如此,沃尔什还是担心这种所谓“后门”的方式会引起争论。他说:“这将给国家安全和数据隐私带来问题,但实际上却并不会降低犯罪分子找到秘密通信方式的可能性,比如通过暗网或其他加密方式。” 他表示:“在任何自由开放的社会中,能够进行私下的自由交流是一项基本人权。剥夺公民在不被观察的情况下分享信息的能力,将导致更大程度的自我审查,使人们无法行使言论自由的权力。”       (消息来源:cnBeta;封面来自网络)

欧盟就 2015 年入侵德国议会网络事件对俄罗斯实施制裁

据外媒报道,当地时间周四欧盟宣布对俄罗斯实施制裁,因为认为后者参与了2015年入侵德国议会网络事件。欧盟对俄罗斯陆军下属的军事情报机构GRU及其两名军官进行了制裁。这两名GRU军官被确认为Dmitry Badin和Igor Kostyukov。 欧盟官员表示,Badin是2015年4月至5月期间入侵联邦议院IT网络的俄罗斯军事情报人员团队的一员。 “这次网络攻击的目标是议会的信息系统,并影响了议会数天的运作,”欧盟周四说。“大量数据被窃取,多名议员以及总理默克尔的电子邮件账户受到影响。” Kostyukov因担任GRU第一副负责人而受到制裁。欧盟官员表示,Kostyukov指挥着第85特种服务主中心(GTsSS),该中心也被称为军事单位26165,但在网络安全行业更常见的黑客代号为APT28、Fancy Bear、Sofacy或Strontium。 德国当局自今年早些时候对Badin提出正式指控后,一直在推动欧盟就2015年黑客事件对俄罗斯进行正式制裁。俄罗斯当局表示,德国从未就2015年联邦议院黑客事件和Badin的指控提供任何证据,指责柏林政府追逐制裁,而不是真的想把这位GRU官员送上法庭。 Badin在美国也被指控在APT28期间进行了一长串的黑客攻击,如针对世界反兴奋剂机构(WADA)、禁止化学武器组织(OPCW)的网络攻击,以及参与美国的政治虚假信息工作。 周四天的公告是欧盟今年对俄罗斯黑客实施的第二波制裁。布鲁塞尔官员在7月底制裁了四名GRU官员,因为他们试图入侵禁化武组织的WiFi网络。制裁内容包括旅行禁令和资产冻结。欧盟公民和企业被禁止与任何受制裁实体进行交易。     (消息及图片来源:cnBeta)

欧盟起草“打击名单” 大型科技公司将面临更严格的监管

欧盟希望进一步打击科技巨头已经不是秘密,他们可能会用一份简单的短名单来决定哪些公司面临新的限制。《金融时报》消息称,欧盟正在起草一份涉及多达20家大型科技公司的 “打击名单”,这些公司将面临比小型竞争对手更严厉的监管,比如强制数据共享和提高透明度的要求。该名单的制定基于市场份额、用户数以及他人对其平台的依赖性等标准。 不过目前谁在名单上还暂不清楚。不过,据信它非常以美国为中心,很可能包括亚马逊、苹果、Facebook和谷歌等知名重量级企业。这很可能无助于缓解欧盟与美国现任领导层的紧张关系,但事实上这又与美国众议院小组委员会的调查相吻合,该调查指责这些公司同样掌握着需要监管的垄断权力。 全面改革欧盟互联网监管的《数字服务法案》提案将于12月初提交,但目前还不能确定名单是否会同时准备好。 无论时间如何,目标都将保持不变。据报道,欧盟希望不仅仅是打算对科技公司进行罚款,而是想办法让这些公司迅速改变自己的行为,无论是开放竞争的通道,甚至是强迫它们拆分。理论上,这将会给当事企业施加压力,让它们在原本会推脱惩罚的地方改过自新。       (稿件及图片来源:cnbeta)

Twitter 怕再遭调查 主动向欧盟报备黑客攻击事件

新浪科技讯 北京时间7月22晚间消息,据国外媒体报道,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向欧盟数据保护机构报备该事件。 欧盟数据保护机构“爱尔兰数据保护委员会”(DPC)发言人格雷厄姆·多伊尔(Graham Doyle)今日称,该监管机构已收到关于这一事件的通报。DPC是Twitter和其他美国科技公司在欧盟的主要监管机构,因为这些公司的欧洲总部都设在爱尔兰。 当前,Twitter正在努力应对这一最严重的安全事故。Twitter上周三晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了包括民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)、真人秀明星金·卡戴珊(Kim Kardashian)和科技亿万富豪兼特斯拉创始人埃隆·马斯克(Elon Musk)在内的账户。 Twitter随后又表示,黑客此次共锁定130个帐号,通过重置密码控制了其中的45个账号,并通过它们发布了“推文”(Twitter消息)。另外,Twitter还证实,攻击者成功地操纵了一小部分内部员工,并利用他们的凭证访问Twitter的内部系统。 2018年5月,欧盟新的数据隐私法规《通用数据保护条例》(GDPR)正式生效。同年10月,Twitter就在欧洲遭到了有关用户数据跟踪的调查。这也是GDPR生效之后,Twitter首次遭遇调查。(李明)     (稿源:新浪科技,封面源自网络。)

欧盟监管机构对谷歌发起数据隐私相关调查

北京时间5月23日凌晨消息,总部设在爱尔兰的欧盟数据保护委员会(Data Protection Commission)周三宣布将对谷歌展开调查,内容涉及这家科技巨头收集网络广告相关数据的行为。 在欧洲地区,欧盟数据保护委员会是对谷歌进行监管的主要机构,该委员会称其将会调查谷歌在广告交易中的数据处理方式是否违反了欧盟的隐私权规定。 “根据2018年数据保护法(Data Protection Act 2018)第110条的规定,我们已经开始对谷歌爱尔兰有限公司(Google Ireland Limited)在线上广告交易中处理个人数据的行为展开法定调查。”欧盟数据保护委员会在周三发布的一份声明中说道。 去年欧盟推出了全面的最新隐私权改革措施,也就是所谓的“一般数据保护条例”(GDPR),在控制个人数据的问题上向欧洲公民赋予了新的权利,包括他们拥有了解公司如何使用其数据以及强迫公司销毁其数据的权利等。 欧盟数据保护委员会宣布对谷歌展开调查的背景是,科技公司正在全球范围内面临着从内容到数据保护等各个方面的监管审查。去年,Facebook尤其遭到了诸多批评,原因是该公司允许颇受争议的政治咨询公司剑桥分析(Cambridge Analytica)获取了8700万名用户的个人数据。 与此同时,今年早些时候法国隐私监管机构决定对谷歌处以5000万欧元(约合5600万美元)的罚款,这是自“一般数据保护条例”出台以来,欧盟首次对一家美国科技巨头处以罚款。 “一般数据保护条例”是在2018年5月25日生效的,即将迎来一周年纪念日。(唐风)   (稿源:,稿件以及封面源自网络。)

谷歌 Facebook 等公司被曝在政府网站上追踪欧盟用户

讯 北京时间3月19日凌晨消息,丹麦浏览器分析公司Cookiebot公布研究报告称,欧盟各国政府将允许包括谷歌和Facebook在内的100多家广告公司在敏感的公共部门网站上秘密跟踪公民,而这显然是违反欧盟数据保护规则的。 Cookiebot在欧盟25个成员国的官方政府网站上发现了可记录用户位置、设备和广告主浏览行为的广告追踪工具,其中法国政府网站上的广告追踪工具数量最多,共有25家不同公司在其网站上跟踪用户行为。 在22个主要政府网站的前五大追踪域名中,谷歌、YouTube和谷歌旗下DoubleClick广告平台占据了三席。 研究人员还对欧盟公共卫生服务机构的网站进行了研究,结果发现在接受分析的网站中,就堕胎、艾滋病毒和精神疾病等敏感话题寻求健康建议的人而言,他们在超过一半的网站上都遇到了商业广告追踪工具。 Cookiebot对爱尔兰卫生服务网站的15个页面进行了扫描,发现其中近四分之三页面都含有广告追踪工具;而就法国政府有关流产服务的一个页面而言,有21家不同的公司正在对这个页面进行监控。一个有关产假的德国网页遭到了63个追踪工具的监控,而在提供艾滋病病毒症状、精神分裂症和酒精中毒相关信息的卫生服务网页上则发现了谷歌DoubleClick追踪工具。 研究人员还发现,虽然很多政府都在隐私政策中提到了谷歌用于运行网站的分析cookie,但该公司并未披露任何广告相关cookie。 “任何网站都有责任将其网站上发生的任何数据收集和处理行为告知用户。”非营利组织“隐私国际”(Privacy International)的技术专家埃利奥特·本迪内利(Eliot Bendinelli)说道。“这些网站没有遵循这项基本要求,这个事实表明当前的追踪生态系统已经失控。” 许多商业追踪工具应该是通过后门访问这些公共网站的,其中包括通过ShareThis等社交共享插件进行访问。 “我们发现,在未经用户本人同意或政府不知情的情况下,很多广告技术追踪工具都通过这些插件从其他第三方渠道访问网站。”Cookiebot CEO丹尼尔·约翰森(Daniel Johannsen)说道。“虽然政府应该并没有控制或是受益于有文件证明的数据收集行为,但其仍旧允许公民的隐私权受到损害,这违反了各国政府自己制定的法律。” 行业专家称,广告技术公司正在获取访问欧盟政府网站的访客的个人数据,并将这些数据与其他来源的数据结合起来,组合成每名独立用户的详细信息,并可能将其出售给数据掮客。 “浏览历史是非常私密的信息,能表明我们担心些什么,有什么计划,对什么感兴趣,日常生活是怎样的,工作的重点是什么。”本迪内利说道。“政府网站(的问题)是特别令人关注的案例,因为这些网站提供至关重要的信息和服务,人们依赖这些信息和服务,而且往往无法选择不使用这些信息和服务。” 布鲁塞尔民权组织“欧洲数字权利”(European Digital Rights)高级政策顾问迭戈·纳兰乔(Diego Naranjo)表示,Cookiebot的调查结果引发了人们的疑问,令人质疑这些公共网站是否违反了去年刚刚生效的欧盟“通用数据保护条例”(General Data Protection Regulations)。 “我们需要欧盟数据保护官员对这一行为是否符合‘通用数据保护条例’的问题进行分析。”他说道。“在我看来,这种行为没有任何明显的法理基础,并表明在线广告追踪的问题已经变得多么普遍,需要尽快加以解决。” 谷歌表示:“我们的政策很明确:如果网站出版商选择使用谷歌网站或广告产品,那就必须获许使用与这些产品相关的cookie才行。”此外谷歌还补充称,该公司不允许出版商“根据怀孕或艾滋病毒等健康状况相关的用户敏感信息来建立目标选择清单”。 Facebook发言人称,这项调查“让那些选择使用Facebook商业工具——如‘喜欢’和‘共享’按钮或Facebook像素等——的网站凸显了出来”。 “我们的商业工具能帮助网站和应用程序扩大社区,或是使其更好地了解人们如何使用它们的服务。”Facebook补充道。“Facebook认为,网站所有者有责任就哪些公司可能正在追踪用户的问题向后者发出通知。”     (稿源:,稿件以及封面源自网络。)

英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策

讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。   稿源:,稿件以及封面源自网络;