乌鸦观察
15.6K subscribers
7.28K photos
320 videos
491 files
16.6K links
不定期推送新闻和杂谈;您的订阅、投稿和转发是对我们最大的支持;

有任何事宜欢迎通过 @big_crow_bot 联系,因我们知识精力有限,期盼各位多多指正;

整理不易,转发请自觉标记出处;

推荐使用浅色模式阅读,深色模式加粗重点显示不明显;

同义词检索欢迎使用:https://t.me/bigcrowdev/11487

无穷的远方,无数的人们,都和我们有关,向收到此信息的世界致以美好的祝愿。
——地狱乌鸦
Download Telegram
#韩亚航空 #成都 #仁川 #个人信息 #信息安全

【韩亚航空198名乘客个人信息遭泄露】

韩亚航空14日通过官网发布公告称,公司乘客管理服务9日发生事故,对部分乘客信息遭泄露一事致歉。

本月1日搭乘OZ234航班由中国成都抵达仁川的198名乘客英文姓名、出生日期、预约号码被泄露,金融、联络信息没有泄露。

韩亚航空方面表示,公司在发现乘客信息遭泄露后立即向韩国互联网振兴院申报,并对系统措施进行修复。公司将全力防止类似事件再次发生,致力于保护消费者个人信息。(韩联社)
image_2021-10-16_12-32-32.png
403.2 KB
#湖南 #临武 #摄像头 #个人信息 #信息安全

【警方回应女子住酒店换两房都有摄像头:未发现偷拍视频外泄事件】

湖南临武县公安局通报:近日,临武县公安局接到群众报警称,在临武某酒店房间内发现针孔摄像头,接报警后,临武警方高度重视,第一时间介入调查。目前,未发现偷拍视频外泄事件,调查工作正在依法进行中。(临武县公安局)

此前据媒体报道,该女子住酒店换了2间房,均查出摄像头。采访中,她向记者提供的一份《报警案件登记表》显示:2021年10月7日22时许,报警人称在临武县国际酒店1711房间发现了隐形摄像头。已派民警带队到达现场,了解在酒店1711房间内插座上,发现了针孔摄像头,民警立即对现场进行调查,酒店工作人员给报警人换到1311房间时,通过检查又发现了一个针孔摄像头,民警对现场进行调查取证,并将这两个针孔摄像头带回所里进行调查,经查,该两个针孔像头内存卡里有记录,民警正在进一步调查中。(上观新闻
#互联网 #账号 #账号名称 #实名制 #未成年 #监护人 #误导 #捏造 #仿冒 #职业资格 #IP地址 #账号转世 #跨平台 #信用管理 #个人信息 #信息安全

【《互联网用户账号名称信息管理规定(征求意见稿)》】

第六条
互联网用户账号使用者在注册、使用账号名称信息中应当遵循以下原则:互联网个人用户的账号名称信息应当充分体现个人特征,不得模仿、类似党政军机关、新闻媒体、企事业单位等组织机构的名称、标识,或是国家行政区域的地理名称,避免误导公众;...此外不得有下列情形:

(五)故意夹带二维码、网址、邮箱、联系方式等,或者使用同音、谐音、相近文字,拼音、数字、符号、字母和无意义文字等侵犯他人合法权益、谋取非法利益或者损害公共利益的;

第八条 互联网用户账号服务平台应当按照“后台实名、前台自愿”的原则,要求互联网用户账号使用者在注册账号时提供真实身份信息。
...
互联网用户账号服务平台向未成年人提供账号注册服务的,应当取得其监护人同意,并对未成年人进行基于居民身份证号码的真实身份信息核验,对监护人的真实身份信息进行核验。

第十条 互联网用户账号服务平台对申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,应当要求互联网用户账号使用者在注册时提供其专业背景,以及依照法律、行政法规获得的职业资格或者服务资质等相关材料,并进行必要核验。...

第十一条 互联网用户账号服务平台应当禁止被依法依约关闭的账号以相同或者相似的账号名称信息重新注册...防止被依法依约关闭的账号跨平台重新注册。

第十二条 互联网用户账号服务平台应当以显著方式,在互联网用户账号信息页面展示账号IP地址属地信息。境内互联网用户账号IP地址属地信息需标注到省(区、市),境外账号IP地址属地信息需标注到国家(地区)。

第十三条 互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。

第十四条 互联网用户账号服务平台应当建立健全互联网用户账号信用管理体系,将账号名称信息的信用评价作为互联网用户账号信用管理的重要参考指标,提供相应服务。

内详👉网信办
#互联网 #医疗 #人工智能 #职业资格 #实名制 #电子病历 #个人信息 #信息安全

【互联网诊疗监管细则(征求意见稿)】

第十三条 医师接诊前需进行实名认证,确保由本人接诊。其他人员、人工智能软件等不得冒用、替代医师本人接诊。各级卫生健康主管部门应当负责对在该医疗机构开展互联网诊疗的人员进行监管。

第十七条 互联网诊疗实行实名制,患者有义务向医疗机构提供真实的身份证明及基本信息,不得假冒他人就诊。

第十九条 ...互联网诊疗病历记录按照门诊电子病历的有关规定进行管理,诊疗过程中的图文对话、音视频资料等应当全程留痕、可追溯,并向省级监管平台开放数据接口,保存时间不得少于15年。

第三十四条 医疗机构发生患者个人信息、医疗数据泄露等网络安全事件时,应当及时向相关主管部门报告,并采取有效应对措施。

内详👉国家卫健委
#数据出境 #个人信息 #信息安全

【国家互联网信息办公室关于《数据出境安全评估办法(征求意见稿)》公开征求意见的通知】

第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。

第十二条 数据出境评估结果有效期二年。

内详👉网信办
乌鸦观察
#工信部 #网盘 #个人信息 #运营商 #老人 #弹窗 #隐私 #个人信息 #客服 #APP #应用商店 #知情权 【工信部对电信运营商跨省业务、网盘下载速度与个人信息保护等做出要求】 11月1日工信部发布《关于开展信息通信服务感知提升行动的通知》。通知说为推动信息通信行业进一步改善服务质量,提升服务水平,工业和信息化部决定自即日起到2022年3月底,开展信息通信服务感知提升行动(简称“524”行动)。有关事项通知如下: ... (一)服务举措“五优化”。 1.优化资费套餐设置展示方式。基础…
#工信部 #个人信息 #信息安全 #第三方共享个人信息清单 #推送

【工信部要求首批39家互联网企业建立个人信息保护“双清单”】

日前,工信部印发《关于开展信息通信服务感知提升行动的通知》。工信部信息通信管理局8日就相关内容进行解读。
...
工信部要求相关企业简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等,即建立已收集个人信息清单。

工信部还要求建立与第三方共享个人信息清单。工信部称,用户经常反映“在某一APP上浏览、购买产品,而其他APP会推送相关内容”,用户对个人信息被共享到何处不知情,容易造成恐慌。

为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况,工信部在前期APP专项治理行动基础上,进一步要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

此外,工信部还要求,涉及调用用户终端中相册、通讯录、位置等敏感权限的,应当以适当方式,如通过蒙层、顶栏浮窗等,在服务场景实际发生时同步向用户告知调用权限的目的,让用户更清晰地了解权限用途,充分保障用户知情权,从而便于用户更明确地作出主动性选择。(中新社)
#个人信息 #信息安全 #长臂管辖 #数据流通 #网络安全 #黑客 #第三方 #报备 #审查 #境外 #爬虫 #披露 #胁迫 #人脸识别 #人工智能 #步态 #自由选择 #身份认证 #百分之五 #大数据杀熟 #GFW #翻墙 #穿透

【《网络数据安全管理条例(征求意见稿)》】

第二条
在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。

第七条
国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。

第十一条 ....安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人...

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。

第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;...

第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。...

第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;

第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;

第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。...

第四十一条 国家建立 #数据跨境安全网关对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。

第四十三条 ...日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。

第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。

第四十六条
互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。

第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户 #数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。

第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。

第六十一条 数据处理者不履行....规定的数据安全保护义务的,....有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款....(乌鸦观察注:具体条款详见原文)

第六十六条 个人和组织违反第四十一条(#数据跨境安全网关)的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;...

第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;....

第七十三条 本条例下列用语的含义:
(十一)#数据跨境安全网关 是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。

内详👉(网信中国)
#广州 #剪贴板 #侵权 #个人信息 #信息安全

【法院明确App未经许可读取手机剪贴板系侵权行为】

近日,广州互联网法院宣判了两起案件,均认定App未经用户同意即读取“剪贴板”内容侵犯了用户隐私权。

有专家向《财经》E法表示,这两起案件的判决起到合规指引作用,也符合《个人信息保护法》确立的个人信息处理的相关原则。

萌推是由上海突进网络科技有限公司(下称“突进公司”)运营的一款电商App。用户李某发现,她与朋友聊天时经常会收到朋友分享的萌推App分享口令,口令里写着“复制这句话后打开萌推App。李某发现,打开萌推App后不用进行粘贴,就会自动弹出一个“帮他/她砍一刀”字样的页面。李某认为,口令分享与系统“剪贴板”有关,是萌推App 自动收集用户复制在“剪贴板”的信息,跳过用户对“剪贴板”进行了操作。但是萌推App在她安装时从来没有提示过该程序要收集“剪贴板”信息。

李某认为,手机“剪贴板”并不只是用来存储口令,也可以存储包括但不限于个人账号、密码、银行账号、行程信息、位置信息、图片等多种信息。她认为,突进公司侵犯她的以下权益:一是,突进公司未提示,也未主动披露收集“剪贴板”信息的行为,侵犯了其知情权;二是,萌推App 没有设置禁用口令分享功能的选项,也没有提示“如果不希望萌推App 访问、收集剪贴板信息,请不要使用口令分享”,其选择权没有得到实现;三是,突进公司未经许可,擅自收集“剪贴板”上个人信息的行为,侵犯了其个人信息权益;四是,她的手机“剪贴板”存储了个人隐私信息,突进公司擅自收集,侵犯了其隐私权。

因此李某请求法院判令,确认突进公司侵害了她的知情权、选择权、个人信息以及隐私权;要求突进公司立即停止侵权行为,包括但不限于停止未经她许可收集其个人信息、隐私信息的行为,删除未经她许可已经收集的信息;要求突进公司对上述行为道歉,消除影响,赔偿其精神损失费1元。

法院认定,手机存储空间是手机用户私人支配、不愿为他人知晓的虚拟私密空间。手机“剪贴板”作为手机存储空间的一部分,亦属于私密空间。突进公司未经李某许可,监测、读取其手机剪贴板信息,属于以技术手段侵入李某虚拟私密空间的方式侵害其隐私权的行为。

法院判令,突进公司向李某公开致歉。

《财经》E法注意到,广州互联网法院近日还审结了一起APP未经许可监测读取手机“剪贴板”的网络侵权责任纠纷——林某在使用好购APP时发现,该APP存在未经用户同意,监测、收集手机剪贴板信息的情形,他认为该行为侵害了其个人信息权益及隐私权,故将好购App的运营企业诉至法院。最终,法院判决,好购App侵害了林某的隐私权,要求其向林某出具书面道歉声明。(财经杂志)
#广西 #崇左 #农行 #开户 #学校 #个人信息 #信息安全 #银行

【千余毕业生莫名被开户续:农行广西分行称愿销户,当事人要了解真相】

近日,广西崇左幼儿师范高等专科学校(下称崇左幼专)多名毕业生反映,自己名下莫名多出10张左右农行账户。12月11日,中国农业银行广西区分行回应称,此事确系农行辖属江州支行营业室未与客户充分沟通,内部审核把关不严、不规范操作所致。

有被开户的当事人接受澎湃新闻采访时认为,银行的说明不够详细,“感觉说了什么又感觉什么也没说”,希望了解此事的来龙去脉。

12月7日,崇左幼专2020届毕业生的群聊中,不少2020届的学生检查发现,账户中多出了不少Ⅱ、Ⅲ类电子账户,开户网点均为中国农业银行崇左江州支行。此次事件中,被开卡的学生主要是崇左幼专2020届毕业生。在一份银行提供的“电子账户销户联系人”电子表格中,此次电子账户销户人数达1400余人,每位学生名下都有10张左右账户。

10日晚,崇左幼专发布声明称,学校没有通过任何渠道泄露学生的身份信息,没有代理学生开设银行账户或办理Ⅰ类、Ⅱ类、Ⅲ类卡账户的业务。

11日早上,中国农业银行广西区分行微信公众号发布说明称,此事确系农行辖属江州支行营业室未与客户充分沟通,内部审核把关不严、不规范操作所致。此说明承诺,将尽快与相关学生逐一取得联系,销掉多开立的账户。同时,将加强内部管理,对相关责任人进行严肃追责。

银行为学生开账户的信息来自哪里?极目新闻的报道称,崇左幼专财务处一名工作人员表示,农业银行崇左江州支行的工作人员曾上门提供办卡服务,或有学生在当时办了卡,在学生开设Ⅰ类卡时,银行已经掌握了学生的信息。该工作人员强调,当时的上门办卡为自愿业务,学校并未强制学生办过银行卡。不过,该报道中也提及,有受访者回忆,2020届学生入学当年涉事银行并未到学校上门办卡,也没有在校内摆摊。(澎湃新闻)(极目新闻)
#湖南 #岳阳 #河北 #辛集 #个人信息 #信息安全 #引流 #刑事拘留 #特困人员 #公示

【20余万条公民个人信息遭买卖,涉案2人被刑拘】

12月13日,湖南省岳阳市公安局岳阳楼分局通报称,近日,岳阳楼公安分局金鹗山派出所破获一起侵犯公民个人信息案,20余万条公民个人信息遭买卖。

12月1日,金鹗山派出所民警在开展日常巡查时,有居民举报,称某小区内有一住户情况异常,该住户一次性办理了30余张门禁卡,且家中聚集人员众多。

民警随即对居民反映情况进行汇总梳理,推测该住户屋内所聚集人员极有可能从事违法犯罪活动,随后民警前往该住户进行调查。

经民警调查发现,游某、苏某龙合开了一家网络游戏引流公司,通过招募话务员“撒网式”联系客户介绍游戏,并利用话术引诱客户提供微信账号,添加微信后再诱导客户给游戏充值。2人从今年9月份开始到被抓获,在某境外软件上非法购买公民个人手机号码信息共计20余万条,非法获利达30余万元。

经审讯,嫌疑人游某、苏某龙对其非法购买公民个人信息的犯罪事实供认不讳。目前,犯罪嫌疑人游某、苏某龙因涉嫌侵犯公民个人信息已被依法刑事拘留,案件正在进一步深挖中。(央视新闻)

【辛集两千余群众个人信息遭泄露:警示基层政府须提高法治意识】

日前,河北省辛集市政府官网公布的一份城乡特困人员公示名单引发社会广泛关注。该名单中不仅详细列出了两千多名城乡特困人员所属街道(乡镇)、社区、姓名、性别、特困类别和金额,还公布了完整身份证号码等隐私。
...
信息公开到何种程度不是一道选择题,而是一道法律题。我国多部法律法规对个人信息保护及其边界已经有了明确规定。然而,近年来,不少地方政府网站都出现过泄露身份证号码的问题,这凸显出有关部门把关审核程序存在缺失和纰漏,部分执法人员法治意识淡薄。

...各地各部门应以此为契机,举一反三,开展对本地官网个人信息保护的摸排和整改,对泄露个人隐私造成严重后果的,应依法追究责任。(新华每日电讯)