隐私合规
- source: 首次!TikTok CEO将出席美国国会听证会
- date: 2023-01-31
美国众议院能源和商业委员会 1 月 30 日宣布,TikTok 首席执行官周受资已同意参加在美国国会举行的听证会,时间定于 3 月 23 日。
听证会公告称,他预计将就对用户隐私和消费者信息安全的保护措施,平台对未成年人的影响,以及“与中国方面的关系”等问题作证。
委员会主席凯西·罗杰斯(Cathy Rogers)在谈及听证会时宣称,TikTok 允许中国官方拥有“获取美国用户数据的能力”,这影响到了美国用户的“隐私和数据安全”。
但是,TikTok 发言人在声明中回应称,罗杰斯的说法没有事实根据。“此外,根据我们通过美国外国投资委员会和最高安全结构制定的方案,这种数据共享,以及其他任何形式的外国对美国 TikTok 平台的影响,都是不可能的。”
根据美国国会向媒体披露的消息,周受资是自愿参加这次听证会的,他将是这场听证会上唯一的发言者,这也是 TikTok 首席执行官首次出现在美国国会的有关听证会上。
隐私泄露
- source: 突发!俄罗斯科技巨头Yandex内部源代码全部泄露
- date: 2023-01-28
前员工所为,疑因政治动机。
- 这批据称为 Yandex 前员工 2022 年 7 月从公司窃取,总计 44.7GB,包含了该公司除反垃圾邮件规则之外的全部源代码;
- Yandex 前技术主管分析,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手;
- 泄露内容不包含任何客户数据,因此不会对用户隐私或安全构成直接风险,也不会导致专有技术外流,但增加了黑客暴露风险。
1 月 25 日,泄密者公开发布了一条磁力链接,宣称这是“Yandex git sources”,包含了 2022 年 7 月从 Yandex 公司窃取的 44.7 GB 文件。据称,这批数据包含了该公司除反垃圾邮件规则之外的全部源代码。
软件工程师 Arseniy Shestakov 分析了泄露的 Yandex Git 代码仓库,并表示其中包含关于以下产品的技术数据和代码:
- Yandex 搜索引擎与索引机器人
- Yandex Maps
- Alice (AI 助手)
- Yandex Taxi
- Yandex Direct (广告服务)
- Yandex Mail
- Yandex Disk (云存储服务)
- Yandex Market
- Yandex Travel (旅游预订平台)
- Yandex360 (办公服务)
- Yandex Cloud
- Yandex Pay (支付处理服务)
- Yandex Metrika (互联网分析)
代码比例:
- search hyply
- 27.90% C++
- 23.52% Makefile
- 21.21% Python
- 5.13% Sass
- 3.57% JavaScript
- 3.46% TSX
- 3.45% TypeScript
- travel hyply
- 19.13% Python
- 18.93% TypeScript
- 11.48% CSS
- 10.74% TSX
- 9.47% Java
- 6.97% JavaScript
- 5.76% Makefile
- 4.75% Go
Shestakov 还在 GitHub 上共享了泄露文件的目录列表,感兴趣的读者可以具体查看有哪些源代码遭到窃取。
http://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989
“其中至少包含部分 API 密钥,但它们可能仅用于测试部署。”Shestakov 在谈到泄露数据时说。
Yandex 官方给外媒的声明中表示,他们的系统并未遭受黑客入侵,泄露源代码仓库的是一名前雇员。
“Yandex 并未遭受黑客入侵。我们的安全服务从公共域的内部仓库中发现了代码片段,但内容 与 Yandex 服务中的当前代码仓库版本不同。
代码仓库是用于存储和使用代码的工具。大多数公司都通过这种内部仓库的方式使用代码。
代码仓库的作用在于处理代码,而非存储个人用户数据。我们正对源代码片段外泄的原因开展内部调查,但并未发现用户数据或平台性能面临任何威胁。”
——Yandex 公司
源代码泄露将内部架构暴露于黑客
外媒 BleepingComputer 与 Yandex 公司前高级系统管理员、开发副主管兼技术传播总监 Grigory Bakunov 讨论了此次泄露事件。Bakunov 对泄露的代码内容非常熟悉,曾在 2002 年至 2019 年期间在这家俄罗斯科技巨头工作。
Bakunov 解释称,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手。
这位前高管补充道,泄露内容不包含任何客户数据,因此不会对 Yandex 用户的隐私或安全构成直接风险,也不会导致专有技术外流。
Yandex 使用了名为“Arcadia”的单一仓库结构,但也有一部分服务不使用该结构。此外,即使只是构建服务,也需要大量内部工具和专业知识,因为这个并不适用标准构建程序。
泄露的代码仓库仅包含代码内容,另一重要部分数据并不在其中。神经网络的模型权重等关键信息也都没有,所以几乎无法实际使用。
尽管如此,仍有许多有趣的文件,比如“blacklist.txt”文件可能会暴露正在运行的服务。
但 Bakunov 在采访中证实,黑客确实有可能通过泄露代码发现安全漏洞,并实施有针对性的漏洞利用行为。Bakunov 认为这类状况的发生将只是时间问题。
这位前高管也评论了 Yandex 的官方回应,称泄露代码虽然可能跟当前工作服务中的代码版本不尽相同,但相似度也许高达 90%。
因此,对泄露代码开展全面检查之后,恶意黑客很可能会从 Yandex 系统中发现可供利用的缺口。
隐私罚款
- source: France fines Apple for targeted App Store ads without consent
- date: 2023-01-05
法国的数据保护机构(CNIL)对苹果公司进行了罚款,因为该公司在没有征得用户同意的情况下,在 App Store 上收集用户数据进行定向广告宣传,被罚款 800 万欧元(850 万美元)。
这种做法被认为违反了《法国数据保护法》(DPA)第 82 条,这是一项与适用于整个欧洲的 GDPR(通用数据保护条例)相一致的国家指令。
法国《DPA》第 82 条规定," 电子通信服务通过任何行动访问或输入用户终端设备中的信息(如存储 cookies),都需要得到用户的同意 "。
这也是 Facebook 和谷歌过去违反的条款,因为他们的网站访问者很难找到拒绝跟踪 cookies 的选项,为此,CNIL 对 Facebook 和谷歌分别罚款 60,000,000 欧元(6800 万美元)和 150,000,000 欧元(1.7 亿美元)。
正如 CNIL 在处罚理由中解释的那样,禁用持久性标识符的设置使苹果公司有可能对用户进行剖析,在 IOS 上是可用的,并且默认设置为 " 启用 ",但它有些隐藏。
更具体地说,该选项是在 IOS " 设置 " 菜单的 " 隐私 " 小节中的 " 苹果广告 " 部分。
这意味着用户必须遵循几个有针对性的步骤,才能找到并停用这个追踪系统,而且据推测,大多数人不知道如何做,也懒得去找它。
数据泄露
- source: Meta to fight €390 million fine for breaching EU data privacy laws
- date: 2023-01-05
据 BleepingComputer 消息,当地时间 1 月 4 日,爱尔兰数据保护委员会 (DPC) 以 Meta 强迫 Facebook 和 Instagram 用户接受定向投放的个性化广告,违反欧盟《通用数据保护条例》为由,向 Meta 开出 3.9 亿欧元巨额罚单。
当日,Meta 已对这一处罚结果发表声明,称并不认同这一裁决,将进行上诉。Meta 表示在欧盟地区推出的个性化广告完全符合《通用数据保护条例》相关规定,并对爱尔兰数据保护委员会“缺乏监管透明度”而表示遗憾。
无论结果如何,这已经是短短三个月内 Meta 被爱尔兰数据保护委员“二度施以重罚”。在刚刚过去的 2022 年 11 月,因 Facebook 泄露 5.33 亿用户隐私数据,Meta 被处以 2.65 亿欧元罚款。
截至目前,爱尔兰数据保护委员会已累计对 Meta 开出了 13 亿欧元罚单,同时还有针对该公司的其他 11 项调查正在进行中。
重要会议
- source: data free flow with trust
- date: 2023-01-16
提出了“信任的数据自由流动”的概念,强调了全球数据流动的重要性,期望能够克服跨境数据流动的障碍,并“敦促公共和私营部门的全球领导人采取集体行动,努力实现对数据流动的共同理解”
DFFT(Data Tree Tlow with Trust ) page 4
At the G20 in 2019, Japanese prime minister Shinzo Abe declared the launch of the “Osaka Track” on “Data Free Flow with Trust” (DFFT), a vision for data flows in which openness and trust in data flows coexist and complement each other
Multistakeholder approach to cross-border data flows
- a) 允许流动:allow data to flow by default;
- b) 分级保护:establish a level of data protection;
- c) 网络安全:prioritize cybersecurity;
- d) 可审计和可问责:hardwire accountabilitybetween nations;
- e) 数据保护:prioritize connectivity, technical interoperability, data portability and data provenance;
- f) 可自证:future-proof the policy environment.
数据跨境的痛点 Page 6
- Product development by online app companies:初创企业成本太高
- Transfer to a foreign third-country company for outsourcing:要求复杂且不清晰
- Real-time data analysis from abroad via IoT1 devices – no personal data is included:破坏了物联网的基础能力,新数据会被定义的“安全信息”之列
- Real-time data analysis from abroad via IoT devices – personal data is included:个人数据定义复杂,不统一
- Provide platform services and IaaS:需要跨境保证高可用
- Providing cybersecurity services :全球认证外,还需要地区认证,成本高
主要工具 page8
尽可能通过 SCC,同时提到了隐私相关五个技术
-
- 查分隐私
-
- 联邦学习
-
- 同态加密
-
- 零知识信任
-
- 多方安全技术