《诉讼反哺合规:判例中的数据.pdf》由会员分享,可在线阅读,更多相关《诉讼反哺合规:判例中的数据.pdf(46页珍藏版)》请在三个皮匠报告上搜索。
1、浙江垦丁律师事务所 主任律师 张延来 诉讼反哺合规:判例中的数据数据数据活活在场景中。在场景中。通过案例,我们通过案例,我们可以看到数据合规魔鬼般的可以看到数据合规魔鬼般的细节细节cookiecookie1 1CookieCookie是网站服务器在用户本地浏览器客户端留下的一个小文件或者数据包,有两个方面作用,一是进行状态保持,保留住用户前一次登陆的状态;二是追踪用户行为轨迹,了解用户的使用习惯,根据这些数据与用户进行深入的互动。这个浏览器插件是1993年3月网景公司前雇员LouMontulli开发的。Cookie文件存放路径有效期限对于cookie有效期相关的法律文件,国内仅见于国家通信行业
2、标准YDT 2918-2015 YDT 2918-2015 超文本传输协议状态(超文本传输协议状态(CookieCookie)管理机制技术规范)管理机制技术规范,其中第8.4节“过期日期”提及:“尽管服务器可以把cookie的过期日期设为遥远的未来,但实际上大多数用户代理都不会把cookie保留几十年,与其无偿地使用长过期期限,服务器应通过为cookie选择合理的、与其目的相一致的过期期限来保护用户隐私。例如,服务器可以合理地将典型的会话标志设置成两周后过期“。protected void service(HttpServletReguest reque HttpServletResponse
3、 resp)throws Se /获取前台传媒来的unermame参数,在主页面进行展示 req.setCharacterEncoding(“UTF-8”):/保证前台传入的中文编码正确 String username=req.getParameter(“username”);/创建一个Cookie,用来保存储台请求传入的用户参数信息 Cookie cookie=new Cookie(name.“username”,username);Cookie.setMaxAge(30):/设置Cookie的存在时向为30s /把Cookie还给浏览器响应对象设置设置cookie的存在时间为的存在时间为“
4、现代Web应用中广泛使用Cookie保存信息,而信息安全中个人隐私保护的一个而信息安全中个人隐私保护的一个重要方向就是重要方向就是CookieCookie的保护的保护。一般认为,Cookie的写入与发送遵守Web文档的同源策略,但是对于Cookie的源的定义并不清晰,加之能触发HTTP请求的手段很多,Cookie的发送与写入规则即特定的Cookie在哪些Web文档中能用何种手段发送也不甚明了,这些模糊性增加了Cookie泄露的风险。”现代浏览器中Cookie同源策略测试框架的设计与实现选自通信技术2019年第十二期“同源策略同源策略”(same-origin policysame-origin
5、 policy)是浏览器安全的基石。)是浏览器安全的基石。含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页同源。所谓同源指的是三个相同:协议相同、域名相同、端口相同。举例来说,http:/ ,端口是80(默认端口可以省略)。它的同源情况如下。http:/ http:/ Cookie,会发生什么?假如一家银行用以运行转账操作的URL地址如下:http:/http:/ 2原告主张:妨碍、干扰产品正常运行,危害数据安全权益被告抗辩:用户自愿授权使用,有数据可携带权数据安全权益数据安全权益 VS VS 数据可携带权数据可携带权数据权益个人信息(可携带)数据作为生产要素数据安全权益附
6、条件全部用户知情同意(协议排除?)竞争性权益爬虫爬虫3 3“互联网上50%的流量都是爬虫创造的。”“怎么可能这么少?说90%都是轻的!某爬虫工程师 我们只是大数据的搬运工爬虫的基本流程搜索引擎:善意爬虫 按爬虫功能,可以分为网页爬虫和接口爬虫网页爬虫和接口爬虫,前者以搜索引擎爬虫为主,根据网页上的超链接进行遍历爬取,后者接口爬虫则是通过精准构造特定API接口的请求数据,而获得大量数据信息。按授权情况,可以分为合法爬虫和恶意爬虫合法爬虫和恶意爬虫,前者以符合Robots协议规范的行为爬取网页,或爬取网络公开接口、授权接口进行爬取;后者恶意爬虫则是通过分析并自行构造参数对非公开接口进行数据爬取或提
7、交,获取对方本不愿意被大 量获取的数据。爬虫分类26反爬客户端反爬服务端反爬需要账户免费账户不需要账户IP限制Cookie限制验证码代理池伪造Cookie不携带CookieJS签名逆向打码平台匿名邮箱注册接码平台注册深度学习OCR破解浏览器检测so签名无头浏览器伪装付款账户评估ROIhttps:/ Exclusion Protocol)。这里的“协议”对应的英文“Protocol”是计算机通信意义上的“协议”,而不是法律意义上的不是法律意义上的“协议协议agreementagreement”。robots协议是网站所有者通过位于置于网站根目录下的文本文网站根目录下的文本文件件robots.tx
8、trobots.txt,提示网络机器人哪些网页不应被抓取,哪些网页可以抓取。爬虫访问某站点的时候,理论上应当第一个读取的爬虫访问某站点的时候,理论上应当第一个读取的文件就是文件就是robots.txtrobots.txt文件文件,如果该文件不存在,爬虫将能够访问网站上所有没有被口令保护的页面,如果存在,应该按照文件中标明的指令来访问网站内容,当然,很多爬虫对此“不屑一顾”。爬虫抓取时会声明自己的身份:User-agent,就是http协议里的User-agentUser-agent:User-agent:*User-agent:User-agent:baiduspiderbaiduspider
9、Disallow:/Disallow:/User-agent:User-agent:GooglebotGooglebotDisallow:/Disallow:/Disallow:/Disallow:/无用目录名无用目录名/Disallow:/Disallow:/网页网页.html.html北京市第一中级人民法院在百度诉奇虎不正当竞争案件中指出:“在被告推出搜索引擎伊始,其网站亦刊载了Robots协议的内容和设置方法,说明包括被告在内的整个互联网行业对于Robots协议都是认可和遵守的。其应当被认定为行业内的通行规则,应当应当被认定为搜索引擎行业内公认的、被认定为搜索引擎行业内公认的、应当被遵守
10、的商业道德应当被遵守的商业道德”。Robots协议的属性中国互联网协会2012年11月1日发布的互联网搜索引擎服务自律公约第七条也直接规定:“遵循国际通行的行业惯例与商业规则,遵守机器人协议(遵循国际通行的行业惯例与商业规则,遵守机器人协议(robotsrobots协议)协议)”。公约发起单位:百度、即刻搜索、盘古搜索、奇虎360、盛大文学、搜狗、腾讯、网易、新浪、宜搜、易查无限、中搜。值得注意的是,互联网搜索引擎服务自律公约第八条同时规定:“互联网站所有者设置机器人协议应遵循公平、开放和促进信息自由流动的原则,限制搜索引擎抓取应有行业公认合理的正当理由,不利用机器人协议进行不正当竞争行为,积
11、极营造鼓励创新、公平公正的良性竞争环境”。也就是说公约并不是天然的认为所有的robots协议都必然应该得到遵守,robots协议也应该有正当理由,应该符合“公平、开放和促进信息自由流动的原则”,否则可能被用来从事不正当竞争。专用爬虫还要用robots协议吗无障碍与监听无障碍与监听4 4系统服务。系统服务是安卓系统提供的一系列基础性功能模块,帮助第三方开发者快速使用这些基础性的功能搭建出更贴合使用场景的安卓应用。比如窗口管理服务、电源管理服务、通知管理服务、振动管理服务、电池管理服务等等。这些服务提供了控制接口,App开发者通过这些接口可以方便的获得来自各个服务的信息,而不需要了解这些接口的具体
12、实现方式。说白了,“系统服务系统服务”可以理解为安卓提供的可以理解为安卓提供的“管家团队管家团队”,它们各司其职,它们各司其职,为安卓生态里的为安卓生态里的appapp应用提供各项基础服务应用提供各项基础服务。在这些管家中,有两位非常特殊,一位是负责收集和传递安卓系统中的各种信息的管家,其作为系统服务的名字叫做“NotificationListenerService”,你可以简单理解为它负责为它负责“情报情报”和和“监听监听”监听组件:NotificationListenerServiceNotificationListenerService主要目的是用于监听和获取安卓系统中的各种通知和消息信
13、息,主要包括:通知的新增和删除,获取当前通知数量,通知内容相关信息等。这些信息可以通过NotificationListenerService类提供的方法以及StatusBarNotification类对象来获取。另一位是负责系统中各种动作、事件的分发管理的管家,其作为系统服务的名字叫做名字叫做“AccessibilityService”,你可以简单理解为它负责你可以简单理解为它负责“执行任务执行任务”。无障碍组件:AccessibilityServiceAccessibilityService是安卓系统为开发者提供的一系列便于残障用户使用的功能选项。安卓官方对此的定义是https:/ 5中国信通院安全研究所与百度联合发布的人脸识别技术在app应用中的隐私安全研究报告(2020年):“从采集人脸到辨识人脸的整个流程上来看,人脸识别技术一般包括:人脸图像采集及检测、人脸特征提取(关键点提取)、人脸规整(图像处理)和人脸识别比对等”清华大学计算机系-中国工程科技知识中心发布的2018人脸识别研究报告:“人脸识别技术原理简单来讲主要是三大步骤:一是建立一个包含大批量人脸图像的数据库,而是通过各种方式来获得当前要进行识别的目标人脸图像,三是将目标人脸图像与数据库中既有的人脸图像进行对比和筛选”