中國信通院：移動互聯網數據安全藍皮報告（70頁）.pdf

1、歐盟2018年5月25日，通用數據保護條例(下稱“，通用數)正式在全球生效。GDPR旨在提升對歐盟居民個人隱私的保護與可控程度。GDPR給予了歐盟居民對其個人數據的控制權，并對企業如何處理客戶數據提出了要求。根據GDPR的規定，處理歐盟境內居民個人數據的企業(包括移動應用，下稱APP)將需要遵守一系列隱私規則，不遵守相應的規則將會導致高額罰款。這些強制性規則包括: (1) 必要性原則;(2)征得用戶的知情同意; (3) 數據處理透明清晰; (4) 回應用戶請求; (5) 給予用戶被遺忘權; (6) 與第三方處理服務提供方或SDK服務方簽署義務完備的協議; (7) 準備數據安全預案并在發生數據泄

2、露時通知用戶; (8) 指派數據安全保護官(即DPO) ;(9)數據加密處理;及(10)記錄數據處理活動等。除統一法律GDPR外，歐盟數據保護委員會(EDPB)還通過發布一系列指南指導各企業的行為規范。指南涵蓋GDPR適用范圍的界定、數據控制者和處理者的分類、如何獲得用戶的有效同意等，明確企業對個人數據的保護義務。2021年1月5日,歐盟理事會發布了新的電子隱私條例草案(即“，歐盟理事)。該草案一經通過將正式取代2009年的電子隱私指令，并對企業處理終端用戶設備，上元數據的方式施加了更多限制。美國與歐盟自上而下嚴格立法保護個人數據安全所不同的是，美國基于促進經濟發展的考量，暫無聯邦層面生效的統

3、一保護個人隱私/數據的法案。其對個人隱私的保護依托于聯邦貿易委員會的執法(即FTC)，散落在各專門立法及少數州的立法之中。如1970年的公平信用報告法( Fair Credit ReportingAct)、1974 年的隱私法( Privacy Act of1974).1986年的電子通信隱私法( ElectronicCommunications Privacy Act of 1986)、1996 年健康保險流通與責任法案( Health Insurance Portability and AccountabilityAct )、 1998年的兒童在線隱私保護法( Childrens Onli

4、ne Privacy ProtectionAct ) ; 1999年的 金融服務現代化法( Gramm服務現代化法(line Priva) 等，僅針對征信、金融、醫療、教育等特殊領域，或兒童、學生等特殊群體的個人數據收集、使用等問題做出了規定。2018年美國發布應用程序隱私保護和安全法草案(即APPs Act of2018)2,這是第一部全國性的專門規范App收集使用用戶隱私信息的法案，試圖實現用戶隱私保護與App功能正常之間的動態平衡3。除聯邦各專門立法之外，在州層面，2020年1月1日，加州 消費者隱私法案(即CCPA)正式生效。CCPA給予每位加州居民可強制執行的法定隱私權利。與GDPR不同的是，CCPA要求APP允許用戶選擇退出(即opt-out機制)，而不是要求APP在收集用戶個人信息之前獲得用戶的明確同意。值得注意的是,2020年11月,加州通過第24號提案(即CPRA),