时间:2023年9月23日-9月24日(周末两天)地点:北京赛迪产业园(昌平区豆各庄11号),上海、广州同步招生联系:手机(朱老师 )138 1664 6268;微信(徐博士) heguilvshi
整理:DPOHUB数据保护官
全球12个国家和地区的数据保护和隐私管理机构今天发表了一份联合声明,呼吁保护人们的个人数据免受社交媒体网站上非法数据爬取的侵害。
数据爬取是一种从网络上获取大量信息的自动化方式。从社交媒体上抓取信息会带来隐私风险和潜在危害,比如人们在网上发布的信息会被用于他们意想不到的用途、被用于网络攻击或身份欺诈。
这次发表的联合声明就社交媒体公司应如何保护人们的数据免受非法数据爬取提出了期望。声明还建议人们在网上分享信息时可以采取哪些措施来最大限度地降低风险。
这份联合声明有助于在数据保护如何适用于人们在网上发布的信息方面提供确定性和跨国一致性。组织收集和使用人们的数据必须有合法的理由,即使这些数据是公开的。
该联合声明由全球隐私大会召集的十二家权威机构共同签署。社交媒体公司应邀作出回应,并展示他们是如何保护人们免受非法爬取的。
联合声明的签署方:
澳大利亚信息专员办公室
加拿大隐私专员办公室
英国信息专员办公室
个人资料私隐专员公署--中国香港
联邦数据保护和信息专员- 瑞士
Datatilsynet -挪威
隐私专员办公室- 新西兰
哥伦比亚工商业监管局
泽西岛信息专员办公室
CNDP -摩洛哥
AAIP(公共信息机构)--阿根廷
国家透明度、信息获取和个人数据保护研究所(INAI)--墨西哥
以下是全文:
主要启示:
· 在大多数司法管辖区,可公开访问的个人信息仍受数据保护和隐私法管辖。
· 根据数据保护和隐私法,社交媒体公司和托管可公开访问的个人数据的网站运营商有义务保护其平台上的个人信息免遭非法数据爬取。
· 在许多司法管辖区,获取个人信息的大规模数据爬取事件可能构成应报告的数据泄露。
· 个人也可采取措施保护其个人信息免遭数据爬取,而社交媒体公司也应发挥作用,确保用户能够以保护隐私的方式使用其服务。
1. 数据爬取一般涉及从网上自动提取数据。数据保护机构发现,涉及数据爬取的事件越来越多,特别是从社交媒体和其他可公开访问数据的网站。2. 数据爬取技术能够从互联网上收集和处理大量个人的个人信息,这引起了人们对隐私问题的极大关注,即使被爬取的信息是公众可以访问的。3. 在大多数司法管辖区,互联网上 "可公开获得"、"可公开访问 "或 "具有公开性质 "的个人信息受数据保护法和隐私法管辖。因此,收集此类个人信息的个人和公司有责任确保遵守这些法律和其他适用法律。不过,社交媒体公司和托管可公开访问的个人信息的其他网站(社交媒体和其他网站)的运营商也对第三方从其网站上搜刮信息负有数据保护义务。这些义务通常适用于个人信息,无论该信息是否可公开访问。在许多司法管辖区,对个人信息的大规模数据爬取可能构成应报告的数据泄露。4. 爬取的个人信息可被用于各种目的,如通过在第三方网站上重复使用、出售给恶意行为者或私人分析或情报收集来实现货币化,从而对个人造成严重风险,下文将进一步解释这一点。5.社交媒体及其他网站应审慎考虑在其适用的司法管辖区内不同类型的数据爬取是否合法,并采取措施防止非法的数据爬取。· 列出社交媒体和其他网站应如何保护个人的个人信息免遭非法数据爬取,以满足监管期望;以及列出个人可采取的步骤,以尽量减少数据爬取带来的隐私风险。7.我们发布本联合声明的目的是为社交媒体和其他网站以及在这些网站上使用和发布个人信息的个人提供帮助。本声明还直接发送给 Alphabet 公司(YouTube)、ByteDance公司(TikTok)、Meta Platforms公司(Instagram、Facebook 和 Threads)、微软公司(LinkedIn)、新浪公司(微博)和 X 公司(X,前身为 Twitter)。8.本联合声明中概述的做法反映了全球共同的数据保护原则和做法,旨在帮助保护个人信息免遭数据爬取并减轻其对隐私的影响。虽然这些期望被表述为建议(使用了 "应该 "一词),但其中许多都是特定司法管辖区的明确法定要求,或可能被法院和数据保护机构解释为法定要求。9.我们认识到,一些 SMC s已实施控制措施,包括通过法院诉讼或治理措施等,来解决对公众可访问的个人信息进行数据爬取的问题。本公开信中包含的原则和期望借鉴了这些活动,并以此为基础。10.近年来,许多数据保护机构看到了越来越多的关于从社交媒体和其他网站大量爬取数据的报告。这些报告提出了一些隐私问题,包括将爬取数据用于以下目的:· 有针对性的网络攻击--例如,在"黑客论坛 "上发布的身份和联系信息可能被恶意行为者用于有针对性的社会工程或网络钓鱼攻击。· 身份欺诈--爬取的数据可能被用于提交欺诈性贷款或信用卡申请,或通过创建虚假社交媒体账户冒充个人。· 监测、剖析和监视个人--爬取的数据可用于填充面部识别数据库,并向当局提供未经授权的访问。· 未经授权的政治或情报收集目的- 外国政府或情报机构可能会出于未经授权的目的使用爬取数据。· 不受欢迎的直接营销或垃圾邮件--爬取的数据可能包括联系信息,可用于发送大量未经请求的营销信息。更广义地说,当个人信息在个人不知情的情况下、在违背个人期望的情况下被爬取时,个人就会失去对其个人信息的控制。例如,数据爬取者可能会将从一个网站爬取到的数据与其他个人信息聚合在一起,并将其用于意想不到的目的。这可能会破坏个人对社交媒体或其他网站的信任,对数字经济造成潜在的不利影响。此外,即使个人决定从社交媒体账户中删除自己的信息,数据爬取者也可能会继续使用和分享这些信息。11.此外,即使个人决定删除社交媒体账户中的信息,数据爬取者也可能继续使用和分享他们已经爬取的信息,从而限制了个人对其在线存在和声誉的控制。12.社交媒体和其他网站有责任保护个人的个人信息免遭非法数据爬取。13.从可公开访问的数据中爬取和提取价值的技术不断出现和演变。数据安全是一项动态责任,必须保持警惕。14.由于没有一种保障措施能充分防止与数据爬取有关的所有潜在隐私损害,因此社交媒体s和其他网站应实施多层次的技术和程序控制,以降低风险。这些控制措施的组合应与信息的敏感性相称,可包括:· 在组织内指定一个团队和/或特定角色,负责识别和实施控制措施,以防范、监控和应对 爬取活动。· 对一个账户每小时或每天访问其他账户配置文件的次数进行"速率限制",并在发现异常活动时限制访问。· 监控新账户开始寻找其他用户的速度和积极性。如果检测到异常高的活动,这可能表明存在不可接受的使用情况。· 采取措施,通过识别"僵尸 "1 活动的模式来检测 爬取程序。例如,通过监控从多个地点使用相同凭证访问平台的情况,可以检测到一组可疑的 IP 地址。如果这些访问是在短时间内发生的,就很可疑。· 采取措施检测机器人,如使用验证码2,并在发现数据爬取活动时阻止 IP 地址。· 在怀疑和/或确认存在数据爬取的情况下,采取适当的法律行动,如发送 "停止和终止 "信函、要求删除爬取的信息、获得删除确认以及其他法律行动,以执行禁止数据爬取的条款和条件。· 在数据爬取可能构成数据泄露的辖区,按要求通知受影响的个人和隐私监管机构。 "机器人"--执行自动重复任务的计算机程序,或设计用于自动执行某些任务(如在线收集信息)的计算机应用程序,尤其是设计用于执行恶意行为的计算机程序。梅里亚姆-韦伯斯特词典验证码是一种用于区分计算机和人类的完全自动化公共图灵测试。这是一个测试用户是人类还是自动程序(如机器人)的程序(PC Mag,CAPTCHA 的定义)。验证码的一些示例包括要求用户:解释扭曲的文本,或查看一组类似图片并识别其中包含特定对象的程序。15.除上述安全控制措施外,社交媒体和其他网站还应在使用户以保护隐私的方式使用其服务方面发挥作用。为此,社交媒体和其他网站应积极主动地为用户提供支持,使他们能够在知情的情况下决定如何使用平台以及分享哪些个人信息。这还应包括提高用户对他们可以使用的隐私设置的认识和了解,下文将进一步讨论。16.如果为防止数据爬取而实施的任何保障措施涉及个人信息的处理, 社交媒体s和其他网站应确保这种处理符合任何适用的数据保护或隐私法要求。作为良好做法和确保透明度,这些实体还应告知用户它们为防止数据爬取而采取的步骤。17.鉴于数据爬取威胁的动态性质, 社交媒体s和其他网站应持续监测恶意或其他未经授权的行为者对其平台造成的新安全风险和威胁,并灵活应对。应定期对控制措施进行压力测试和更新,以确保这些措施始终有效,并跟上不断变化的技术步伐。社交媒体s和其他网站还应收集和分析有关 爬取事件的指标,以便为其安全控制框架提供信息并确定需要改进的领域。18.尽管上述安全控制措施可减轻与数据爬取相关的风险,但没有任何保障措施是百分之百有效的,因此个人应注意他们在网上分享的个人信息可能存在风险。虽然本联合声明的重点是 社交媒体s和其他网站可以采取哪些措施来降低数据爬取的风险,但个人也可以采取一些措施来增强自己的能力,更好地保护自己的个人信息:· 阅读由社交媒体s 或其他网站提供的关于如何共享个人信息的信息,包括隐私政策--特别关注网站的共享和披露政策将有助于个人在选择共享哪些信息时做出明智的决定,并了解由此产生的隐私风险。· 考虑共享信息的数量和种类--个人应考虑限制他们在网上发布的信息。尤其是,个人应谨慎限制敏感信息的共享,并考虑共享某些信息(如个人信息、账号或身份证号码)是否会使他们面临声誉受损、歧视、骚扰、身份欺诈或盗窃的风险。· 了解并管理隐私设置--虽然个人用户隐私设置在提供隐私保护方面只能起到一定的作用,但它们可以而且应该帮助个人加强对如何在网上共享其个人信息的控制。因此,网站用户应考虑使用这些设置来限制他们公开访问的信息。最后,我们鼓励个人从长远考虑。多年以后,一个人会如何看待他们今天分享的信息?虽然社交媒体和其他网站可能会提供工具来20.删除或隐藏信息的工具,但同样的信息如果被编入索引或爬取并继续共享,就会永远存在于网络上。21.如果个人担心自己的数据可能被非法或不适当地爬取,可以联系 社交媒体或网站,如果对答复不满意,可以向相关数据保护机构投诉。他们还可以查看自己的隐私设置和在网上共享的信息,根据需要修改和删除个人信息。22.本联合声明中的期望列出了 社交媒体s和其他网站应关注的关键领域,以确保它们保护其网站上可访问的个人信息免遭数据爬取,特别是使它们符合世界各地的数据保护和隐私法。防止数据爬取还将有助于工作人员-管理层委员会和其他网站建立用户群的信任和信心。23.社交媒体和其他网站可以通过积极告知用户可以采取的保护个人信息的措施(如上文所述),进一步保护用户信息,增强用户信任。24.我们欢迎 社交媒体在本声明发布后一个月内提出反馈意见,说明他们是如何遵守本联合声明中概述的期望的。任何回复都将在签署方之间共享,并可能予以公布。本声明得到GPA 国际执法合作工作组("IEWG")以下成员的认可。
点击图片,立即购买GDPR高级班62讲