Design and Implementation of Privacy Impact Assessment for Android Mobile Devices

There are a lot of personal information stored in our smartphones, for instance, contacts, messages, photos, banking credentials and social network access. Therefore, ensuring personal data safety is a critical research and practical issue. The objective of this paper is to evaluate the influence of personal data sect,rity and decrease the privacy risks in the Android system. We apply the concept of privacy impact assessment （PIA） to design a system, which identifies permission requirements of apps, detects the potential activities from the logger and analyses the configuration settings. The system provides a user-friendly interface for users to get in-depth knowledge of the impact of privacy risk, and it could run on Android devices without USB teleport and network connection to avoid other problems. Our research finds that many apps announce numerous unnecessary permissions, and the application installing confirmation dialog does not show all requirement permissions when apps are installed first time.

联邦学习的个人信息保护合规分析框架

联邦学习在个人信息保护意义下的合规分析需进一步完善,尤其需要技术与法律更紧密结合.故建立识别适用规定、定性数据流、识别处理行为、定性主体身份、识别责任义务和合规风险分析6步骤合规分析框架.框架对经典的横向纵向联邦学习架构足以给出具体、与适用规定存在紧密逻辑关系的合规结论;并可推广至其他架构或隐私计算技术合规分析;可融入其他国家或地区的合规要求;有助于满足《中华人民共和国个人信息保护法》对个人信息处理影响评估的要求.最后,基于框架及其分析结论,对联邦学习的个人信息保护标准制定提出建议.

企业跨境数据保护成熟度研究:以面向欧盟区域为例

[研究目的]跨境流动已成为国际贸易谈判的焦点议题。以欧盟为代表的各主体为积极应对数据跨境安全问题,纷纷出台数据保护立法。在此背景下,作为掌握海量数据的企业对于数据的跨境安全传输问题更是责无旁贷。[研究方法]通过提出企业跨境数据保护成熟度评估工具,来研究企业面向欧盟区域的数据保护问题。根据数据隐私管理标准发展三阶段内容以及能力成熟度等理论,结合GDPR区域监管要点及企业跨境数据保护管理实践,构建了包含3个一级指标,12个二级指标,41个三级指标的企业涉欧跨境数据保护成熟度评估模型。[研究结论]将该模型运用于GDPR 19个经典案例及国内3个典型行业,验证了评估体系的有效性,并最终获得所选行业面向欧盟区域的跨境数据保护成熟度评估概况,为我国企业的跨境数据保护合规自评提供了有利的参考。

欧盟数据保护影响评估制度及其启示

欧盟数据保护影响评估制度起源于隐私影响评估制度,数据保护影响评估制度的实施主体是数据控制者,规制对象是具有高风险的数据处理行为,具体流程包括审查、咨询、评估、报告和保障及复审五个阶段。欧盟数据保护影响评估制度对数据保护有风险防控作用,企业可因此更被消费者信赖。数据保护影响评估制度有指导性规范与行业自律结合、强制性义务两种模式。欧盟数据保护影响评估制度对于我国个人信息和重要数据安全风险评估制度配套法规的制定和落地,尤其是在安全风险评估的适用范围、评估性质、流程设计与机构设置等方面,具有重要的借鉴意义。

中外用户隐私影响评估标准比较

[目的/意义]当数据合规成为大数据时代企业的命脉,研究用户隐私影响评估标准(PIA)之间的异同,对于企业规避数据合规风险具有现实意义。[过程/方法]运用文献分析法以及比较分析法,以ISO/IEC 29134基本框架为依据,从PIA的界定与作用、进行PIA的时机、进行PIA的目的、PIA的流程及内容以及审核及问责制度5个方面,对各国隐私影响评估标准进行比较与评价。[结果/结论]当前中外隐私影响评估标准普遍存在操作性不强的问题,对标准的完善及评估模板的研究与编制是未来重要的研究方向。

大数据环境下隐私泄露影响评估研究

[目的/意义]在大数据环境下,隐私的泄露成为公众普遍关注的问题。隐私泄露影响评估是降低政府和企业隐私风险的重要工具和手段。[方法/过程]隐私泄露影响评估的研究在我国刚刚开始,采用了文献研究的方法,回顾了国外隐私泄露影响评估的发展及概括和总结了国外学者关于这方面研究进展的情况。并采用定性研究的方法,探讨了在大数据环境下隐私泄露影响评估的重要性及评估的主体和过程,并就我国实施隐私泄露影响评估的困境进行了探讨,并提出了我国推行隐私泄露影响评估的策略。[结果/结论]总之,在大数据环境下,在我国推广和实施隐私泄露影响评估还需要在相关的法律、政策、管理机制及教育培训方面进一步完善,才会为政府和企业推广隐私泄露影响评估创造有利的环境。

个人信息保护影响评估:制度内涵与完善路径

《个人信息保护法》第55条明确提出了个人信息处理者在开展个人信息处理活动前进行个人信息保护影响评估的要求。国际上在个人信息处理领域存在隐私影响评估、数据保护影响评估、算法影响评估三种典型样态。隐私影响评估与数据保护影响评估的保护范围大致相同;数据保护影响评估主要关注个人权利的保护,算法影响评估具有更广泛的社会公共利益价值导向。我国个人信息保护影响评估在制度定位上与数据保护影响评估一脉相承,应更多纳入对社会群体造成影响的公共利益方面的考量。个人信息保护影响评估制度缺乏向公众强制披露的机制,同时带来了监督与问责的障碍,需要充分整合政府机构、社会公众、行业组织等多元力量建立协同监督的客观机制,以弥补现有个人信息保护影响评估制度透明度、正当程序、公众审查空间不足的问题。

数字化转型背景下企业数据保护成熟度模型构建

[目的/意义]数字化转型已经成为数字经济时代企业运营的趋势,不仅互联网企业天然是数据驱动运营的企业,传统企业也会在数字化转型中日益成为数据驱动运营的企业。在此背景下,数据有效保护与数据高效应用同时成为企业数据资产运营的重要方面。[方法/过程]通过构建企业数据保护成熟度评估模型,聚焦于企业数据有效保护问题。以隐私影响评估(PIA)为指引,参考能力成熟度等理论,结合企业数据保护管理实践,构建了包含三个一级指标,十二个二级指标的企业数据保护成熟度评估模型。[结果/结论]运用该模型到国内三个典型行业,为相关行业的企业数据保护提供了针对性建议。

基于通用数据保护条例的数据隐私安全综述

随着全球数字化进程逐渐加快,数据已经成为当今社会重要的生产要素.数据的流动为社会创造了无穷的价值,但也潜藏着巨大的隐私风险.随着欧盟通用数据保护条例(GDPR)的出台,个人数据安全成为了大数据时代下的敏感话题,也越来越受到研究人员的重视.首先,对数据隐私安全发展历程进行了回顾,介绍了欧盟数据保护条例GDPR及其应用领域和影响;其次归纳分析了近几年国内外相关研究文献,将GDPR合规问题划分为3个方面:GDPR违规行为分析、隐私政策分析、GDPR模型框架,并分析了这3个方面的研究现状.总结分析了基于GDPR的数据技术,并分别探讨了GDPR在区块链、物联网等具体领域的应用;最后,根据现有研究工作存在的不足与问题,指出了基于GDPR的数据隐私安全研究面临的主要挑战和机遇,并针对中国数据隐私保护提出了一些启示.

英国数据保护影响评估制度及其启示

[目的/意义]从制度的角度,调查英国数据保护影响评估的制度支持,为我国数据保护影响评估制度构建提供参考,从而为政府保护公民隐私提供工具。[方法/过程]利用文献调研和案例分析的研究方法,以英国为例,通过对文献资料和网站内容的调查,获取一手资料阐述英国数据保护影响评估制度的发展历程,对数据保护影响评估内涵与特质、实施主体、实施阶段、适用情形进行梳理,并在此基础上分析英国数据保护影响评估制度的演化。[结果/结论]提出推进隐私阈值分析、加强利益相关者参与、注重第三方审核的建议。

风险管理模式下的数据保护影响评估制度

伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》(GDPR)对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。

基于数字化转型的文化传媒企业数据保护模型构建

数字化转型随着社会经济的不断发展,日益成为数字经济时代背景下企业运营的发展趋势,文化传媒公司随着社会经济的日益发展逐步成为数据驱动运营企业,因此数据安全问题成为文化传媒企业发展的重要问题.文通过对数字化转型进行论述,结合传媒企业数据保护时间,在隐私影响评估、参考能力成熟度等理论的指导下,构建一种数字化转型的企业数据保护模型构建方法.为传媒企业的数据保护提出有效建议,最后得出:数字化转型的企业数据保护模型能够帮助企业更加及时、客观、准确地了解其在数据保护方面的成熟度.

国外政府数据开放隐私影响评估的政策考察与启示——以美英澳新四国为例

文章选取美英澳新四国作为研究样本,采用文献分析法对其政府数据开放隐私影响评估的政策进行系统考察。国外政府数据开放隐私影响评估缘起于政府与公众隐私安全保护的双重需求,以切实保护个人隐私和防范化解隐私风险为目标,主要适用于涉及个人可识别信息的程序、系统、技术、规则等特定领域。在操作上,大体可分为准备、分析和落实三个阶段。其中,准备阶段涉及描述评估项目、选择评估时机、确定执行主体与明确协商对象,分析阶段涉及描述信息流动、识别隐私风险与制定应对方案,落实阶段涉及发布评估报告、实施应对方案与更新评估结果。立足基本国情与发展现状,我国可从国外政府数据开放隐私评估政策实践中获取制定隐私影响评估指南、设置隐私影响评估机构、构建多元主体参与机制、健全隐私风险管理体系等有益启示。

作为政府工具的隐私影响评估:缘起、价值、实施与启示

隐私影响评估作为政府保护公民隐私的重要工具,已在西方发达国家隐私管理实践中有着二十多年的应用与发展历程。西方隐私影响评估缘起于公众隐私保护诉求和政府隐私管理需要,在特定的政府信息数据管理项目中通过识别隐私风险因素、评估隐私风险影响和制定隐私风险应对方案发挥着一系列积极作用。隐私影响评估的实施分为准备阶段、分析阶段和落实阶段。准备阶段的任务是描述评估锚定项目、选择评估执行时机、确定评估执行主体和明确评估协商对象,分析阶段的任务是描述项目信息流动、识别项目隐私风险和制定风险应对方案,落实阶段的任务是发布隐私评估报告、实施风险应对方案和持续更新评估结果。西方隐私影响评估的丰富实践给我国制定隐私影响评估指南、设置隐私影响评估机构、构建多元主体协商机制和建立隐私风险管理体系提供了重要启示。

加拿大隐私影响评估政策:历程、内容、分析与启示

[目的/意义]从政策的角度,调查加拿大隐私影响评估的政策支持,为我国隐私影响评估政策制定提供参考,为政府保护公民隐私提供工具。[方法/过程]利用文献调研和案例分析的研究方法,以加拿大为例,通过对文献资料和网站内容的调查,荻取一手资料阐述加拿大隐私影响评估政策的发展历程,对政策目标、政策主体、政策内容进行梳理,并在此基础上分析加拿大隐私影响评估政策的优势和不足。[结果/结论]提出提高政策执行人员技能、尽早制定PIA政策、加强PIA政策认同E建议。

个人信息保护风险规范的建构机理与实现路径

数字时代的个人信息制度是一种前置性保护规范,旨在防范因个人信息被滥用而可能产生的抽象危险。个人信息保护的风险规范路径符合数字经济发展现实,是数字时代个人信息保护的最佳范式。个人信息处理行为引发的风险可以通过“结果”和“行为”两种角度予以评估,对个人权益侵害“高风险”的判断包括风险发生可能性和风险严重程度两个方面。可归责性原则是风险规范路径的基本原则,中国个人信息保护制度综合“自下而上”和“自上而下”两种风险规制的实现路径,在差异化风险、类型化平台、分层级义务等方面仍存在问题,应从宏观上整体把控风险路径,中观上强化信息处理者的规范引导,微观上细化不同场景下的风险规范,形成一整套风险可控、高效全面的保护机制。

美国隐私影响评估制度及其启示

[目的/意义]从制度的角度,调查美国隐私影响评估的制度支持,为我国隐私影响评估制度构建提供参考,为政府保护公民隐私提供工具。[方法/过程]文章利用文献调研和案例分析的研究方法,以美国为例,通过对文献资料和网站内容的调查,获取一手资料阐述美国隐私影响评估制度的发展历程,对隐私影响评估制度的适用情形、隐私影响评估审核与发布流程、隐私影响评估目的与意义、隐私影响评估方法的具体实施进行梳理,并在此基础上分析美国隐私影响评估制度的相互关系以及优缺点。[结果/结论]美国隐私影响评估制度优点在于注重风险分析的安全控制、强调政府内部监管、关注隐私影响评估结果公开、强调隐私影响评估更新,不足在于缺乏公民参与、隐私影响评估制度执行不力。美国隐私影响评估制度对我国个人信息安全风险评估制度构建与完善有借鉴意义,尤其是构建隐私风险管理体系、注重外部监督、加强评估结果公开发布、及时更新评估。