国外移动应用数据安全发展现状与趋势
不仅国内数据安全面临严峻挑战,在移动应用发展较早的欧美国家,移动应用数据安全问题也日益猖獗。根据 2020 年 Verizon 数据 泄 露 调 查 报 告 ( The 2020 Verizon Data Breach InvestigationsReport),43%的数据泄露都与应用程序漏洞相关。尤其是 2020 年COVID-19 疫情的爆发,通过应用程序非法调用个人位置数据和联系人信息等数据安全事件频发。基于此,欧美主要国家在构建基础性法律框架的基础之上,通过出台一系列行业规范、针对性指南并通过严格执法的方式对应用程序数据安全进行管控。

欧盟

2018 年 5 月 25 日,《通用数据保护条例》(下称“,《通用数)正式在全球生效。GDPR 旨在提升对欧盟居民个人隐私的保护与可控程度。GDPR 给予了欧盟居民对其个人数据的控制权,并对企业如何处理客户数据提出了要求。根据 GDPR 的规定,处理欧盟境内居民个人数据的企业(包括移动应用,下称 APP)将需要遵守一系列隐私规则,不遵守相应的规则将会导致高额罚款。这些强制性规则包括:(1)必要性原则;(2)征得用户的知情同意;(3)数据处理透明清晰;(4)回应用户请求;(5)给予用户被遗忘权;(6)与第三方处理服务提供方或 SDK 服务方签署义务完备的协议;(7)准备数据安全预案并在发生数据泄露时通知用户;(8)指派数据安全保护官(即 DPO);(9)数据加密处理;及(10)记录数据处理活动等。除统一法律 GDPR 外,欧盟数据保护委员会(EDPB)还通过发布一系列指南指导各企业的行为规范。指南涵盖 GDPR 适用范围的界定、数据控制者和处理者的分类、如何获得用户的有效同意等,明确企业对个人数据的保护义务。
2021 年 1 月 5 日,欧盟理事会发布了新的电子隐私条例草案(即
“,欧盟理事)。该草案一经通过将正式取代 2009 年的电子隐私指令,并对企业处理终端用户设备上元数据的方式施加了更多限制。

美国

与欧盟自上而下严格立法保护个人数据安全所不同的是,美国基于促进经济发展的考量,暂无联邦层面生效的统一保护个人隐私/数据的法案1。其对个人隐私的保护依托于联邦贸易委员会的执法(即 FTC),散落在各专门立法及少数州的立法之中。如 1970 年的《公平信用报告法》(Fair Credit Reporting Act)、1974 年的《隐私法》(Privacy Act of 1974)、1986 年的《电子通信隐私法》(Electronic
Communications Privacy Act of 1986)、1996 年《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act )、1998年的《儿童在线隐私保护法》(Children’s Online Privacy ProtectionAct );1999 年的《金融服务现代化法》(Gramm 服务现代化法》(line Priva)等,仅针对征信、金融、医疗、教育等特殊领域,或儿童、学生等特殊群体的个人数据收集、使用等问题做出了规定。
2018 年美国发布《应用程序隐私保护和安全法草案》(即 APPs Act of2018),这是第一部全国性的专门规范 App 收集使用用户隐私信息的法案,试图实现用户隐私保护与 App 功能正常之间的动态平衡3。除联邦各专门立法之外,在州层面,2020 年 1 月 1 日,《加州消费者隐私法案》(即 CCPA)正式生效。CCPA 给予每位加州居民可强制执行的法定隐私权利。与 GDPR 不同的是,CCPA 要求 APP允许用户选择退出(即 opt-out 机制),而不是要求 APP 在收集用户个人信息之前获得用户的明确同意。值得注意的是,2020 年 11 月,加州通过第 24 号提案(即 CPRA),该提案有效地扩大了加州的数据隐私立法,将于 2023 年 1 月 1 日正式取代 CCPA。CPRA 借鉴了 GDPR 的经验,成立了新的数据保护执法机构—加州隐私保护机构(即 California Privacy ProtectionAgency,下称 CPPA)。同时,CPRA 扩大了针对数据泄露的行权方式,除以州检察长的名义提起民事诉讼外,CPPA 也可自行调查企业可能的数据泄露行为,并作出行政处罚,内容包括禁止令及罚款4。相比目前号称全美最严数据保护法案的 CCPA,CPRA 针对数据保护的要求更加严格,致力于保护个人消费者的隐私与防范数据泄露。

数据安全执法层面

欧盟与美国保护消费者隐私与用户个人信息最主要的手段就是采取强制执法措施来制止违法行为,并要求企业采取积极整改措施。以欧盟为例,针对企业违反 GDPR 的行为,由欧盟各国监管部门作出相应惩罚。如,2020 年 10 月 30 日,英国信息专员办公室(ICO)就万豪集团泄露顾客个人信息一事对其开出 1840 万英镑的罚单。遭到泄露的个人信息种类因人而异,但可能包含姓名、电子邮件地址、电话号码、未加密的护照 ID,起飞/降落信息,以及顾客的 VIP 信息和会员号码。而 ICO 经过调查发现,万豪未能依照 GDPR 的要求,履行其系统的安全保障义务。
以美国为例,美国联邦贸易委员会(FTC)已建立两年一次的独立专家评估制度,并针对一系列移动互联网应用隐私问题开展执法行动,通过高罚款、禁止销售运营等强力处罚手段,震慑移动应用提供者5如,2020 年 11 月 13 日,针对视频会议平台 Zoom 就其安全性的“误导性声明”,FTC 表示,当 Zoom 错误地声称其视频通话受到端到端加密保护时,该公司从事了“破坏用户安全的欺骗行为和不公平做法”。根据与联邦贸易委员会达成的协议条款, Zoom 必须采取具体措施解决投诉中的问题,并审查软件更新中的安全漏洞。该公司还被“禁止对其隐私和安全做法做出不当解读”,包括该公司如何收集和使用客户的个人数据,以及“用户能够在多大程度上控制其个人信息的隐私或安全”户。FTC 还要求 Zoom 必须让独立的第三方每隔一年评估其安全性,并在数据泄露的情况下通知 FTC。
综上所述,在移动应用数据安全方面,欧美等先行发展国家采取了构建保护数据安全专门法规、辅以高压执法的方式,用强力处罚推动企业落实法律法规要求,履行数据安全保护义务

参考文献

信通院 大数据平台安全研究报告
信通院 大数据白皮书-2019年
信通院 大数据白皮书-2020年
信通院 大数据白皮书

Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐