国外移动应用数据安全的发展现状和趋势不仅面临着国内数据安全的严峻挑战,而且在欧美移动应用发展较早的国家,移动应用数据安全问题日益猖獗。根据 2020 年 Verizon 数据 泄 露 调 查 报 告 ( The 2020 Verizon Data Breach InvestigationsReport),43%的数据泄露与应用漏洞有关。尤其是 2020 年COVID-19 疫情爆发时,个人位置数据、联系人信息等数据安全事件频发。基于此,欧构建基本法律框架的基础上,欧美主要国家通过出台一系列行业规范和有针对性的指南,严格执法控制应用程序数据的安全。
欧盟
2018 年 5 月 25 日,《通用数据保护条例》(下称“,《通用数)正式在全球生效。GDPR 旨在提高欧盟居民个人隐私的保护和可控性。GDPR 欧盟居民控制其个人数据,并要求企业如何处理客户数据。根据 GDPR 根据规定,处理欧盟居民个人数据的企业(包括移动应用,以下简称 APP)遵守一系列隐私规则,不遵守相应规则,将导致高额罚款。这些强制性规则包括:(1)必要性原则;(2)征得用户知情同意;(3)数据处理透明清晰;(4)响应用户请求;(5)给用户遗忘权;(6)与第三方处理服务提供商或 SDK (7)准备数据安全计划,并在数据泄露时通知用户;(8)指定数据安全保护官(即 DPO);(9)数据加密处理;以及(10)记录数据处理活动等。除统一法律 GDPR 此外,欧盟数据保护委员会(EDPB)还发布了一系列指南,指导各企业的行为准则。除统一法律 GDPR 外,欧盟数据保护委员会(EDPB)还发布了一系列指南,指导各企业的行为准则。指南包括 GDPR 定义适用范围、数据控制器和处理器的分类、如何获得用户的有效同意等,明确企业保护个人数据的义务。2021 年 1 月 5 日,欧盟理事会发布了新的电子隐私条例草案(即欧盟理事)。草案一经正式取代 2009 年度电子隐私指令对企业处理终端用户设备上元数据的方式施加了更多限制。
美国
与欧盟自上而下严格立法保护个人数据安全不同,美国没有统一保护个人隐私/数据的法案1,基于促进经济发展的考虑。个人隐私的保护取决于联邦贸易委员会的执法(即 FTC),散落在各专门立法和少数州立法中。如 1970 《公平信用报告法》(Fair Credit Reporting Act)、1974 隐私法(Privacy Act of 1974)、1986 《电子通信隐私法》(ElectronicCommunications Privacy Act of 1986)、1996 年度《健康保险流通与责任法》(Health Insurance Portability and Accountability Act )、1998年《儿童在线隐私保护法》(Children’s Online Privacy ProtectionAct );1999 《金融服务现代化法》(Gramm 服务现代化法》(line Priva)等,仅针对征信、金融、医疗、教育等特殊领域,或儿童、学生等特殊群体的个人数据收集和使用。 2018 《应用程序隐私保护与安全法护与安全法》草案(即 APPs Act of2018年),这是第一个国家专项规范 App 收集和使用用户隐私信息的法案,试图保护和保护用户隐私 App 正常功能之间的动态平衡3。除联邦各专门立法之外,在州层面,2020 年 1 月 1 日,《加州消费者隐私法案》(即 CCPA)正式生效。CCPA 给予每个加州居民强制执行的法定隐私权。与 GDPR 不同的是,CCPA 要求 APP允许用户选择退出 opt-out 机制),而不是要求 APP 在收集用户个人信息之前,获得用户的明确同意。值得注意的是,2020年 年 11 月,加州通过第 24 号提案(即 CPRA),该提案将有效扩大加州的数据隐私立法 2023 年 1 月 1 日正式取代 CCPA。CPRA 借鉴了 GDPR 经验,新的数据保护执法机构——加州隐私保护机构(即 California Privacy ProtectionAgency,下称 CPPA)。同时,CPRA 除以州检察长的名义提起民事诉讼外,扩大了数据泄露的行权,CPPA 还可以调查企业可能的数据泄露,并进行行政处罚,包括禁令和罚款4。与目前被称为美国最严格据保护法案相比, CCPA,CPRA 更严格的数据保护要求,致力于保护个人消费者的隐私,防止数据泄露。
数据安全执法
欧盟和美国保护消费者隐私和用户个人信息的主要手段是采取强制执法措施,制止违法行为,并要求企业采取积极整改措施。以欧盟为例,针对企业违规行为 GDPR 欧盟各国监管部门应对其行为进行相应处罚。如,2020 年 10 月 30 英国信息专员办公室(ICO)万豪集团披露客户个人信息 1840 一万英镑的罚单。泄露的个人信息类型因人而异,但可能包括姓名、电子邮件地址、电话号码、未加密护照 ID,起飞/降落信息,以及客户 VIP 信息和会员号码。而 ICO 经调查发现,万豪未能遵守 GDPR 履行系统安全义务的要求。 以美国为例,美国联邦贸易委员会(FTC)建立了两年一次的独立专家评估制度,对一系列移动互联网应用隐私问题进行执法行动,通过高罚款、禁止销售运营等强有力的处罚手段,阻止移动应用提供商5,如2020 年 11 月 13 日,视频会议平台 Zoom 对其安全性的误导性声明,FTC 表示,当 Zoom 该公司在错误地声称其视频通话受到端到端加密保护时,从事了破坏用户安全的欺骗和不公平行为。根据与联邦贸易委员会达成的协议, Zoom 必须采取具体措施解决投诉中的问题,并审查软件更新中的安全漏洞。根据与联邦贸易委员会达成的协议, Zoom 必须采取具体措施解决投诉中的问题,并审查软件更新中的安全漏洞。该公司还被禁止对其隐私和安全做法进行不当解释FTC 还要求 Zoom 独立的第三方必须每隔一年评估其安全性,并通知数据泄露 FTC。综上所述,在移动应用数据安全方面,欧美等领先的发展国家采取了建立保护数据安全的专项法律法规,辅以高压执法,促进企业落实法律法规要求,履行数据安全保护义务 数据安全是保证数据得到有效保护和合法利用,保持数据处于安全状态的能力。数据作为一种新的生产要素,深刻影响着国民经济社会的发展,促进了数字基础设施的发展和产业的迭代升级。 ,十三五规划明确提出要加强信息安全保障,加快数据资源安全保护布局。例如,建立大数据管理系统,实施数据分类和分级管理,加强数据资源在收集、存储、应用和开放中的安全保护,加强公共数据资源和个人数据保护。中共中央关于十四五规划和二〇建议明确建设网络强国和数字中国,发展数字经济,建立数据安全保护的基本制度和标准,确保国家数据安全。 ,中国数字经济获得了新的发展空间,深入融入了国民经济的各个领域。比如直播带货,网游, 在线教育、在线办公等新业态发展迅速,数字经济显示出强大的带动内需和消费,促进了中国经济的复苏和增长。数据安全是数字经济蓬勃发展的关键。除数据本身的安全外,数据的合法合规使用也是数据安全的重要组成部分。滥用数据或垄断数据,非法合规使用数据,将大大削弱数字经济的发展活力和动力。 全面梳理移动互联网数据安全发展现状和趋势,深入探讨数据安全周期中移动应用面临的问题和挑战,梳理数据安全管理要求、技术预防能力等方面,为移动互联网行业企业提供支持和帮助
参考文献
信通院 人工智能数据安全白皮书 信通院 应用程序接口-API2020年数据安全研究报告 信通院 2021年数据安全技术与产业发展研究报告 信通院 数据安全管理实践指南-1.0 信通院 2022年数据安全风险分析及应对策略研究 信通院 数据库开发研究报告 信通院 数据管理研究报告-2020-培育数据要素市场路线图