谷歌被控向Facebook提供特殊权限和优惠条款。据华尔街日报中文网消息,美国州检察长在本月早些时候的一起诉讼中表示,两大数字广告巨头Facebook和Alphabet旗下谷歌于2018年达成的商业协议是一项非法的价格操纵交易。议员们眼下正呼吁进一步调查,而这两家公司则称该交易合法。 报道称,经阅览该诉讼草案最近未删节的部分内容,当中阐述了向得州联邦地区法院提交的经过删节的诉讼指控。 报道介绍,以得州检察长Ken Paxton为首的10名共和党籍检察长称,谷歌给予Facebook优惠条款和访问其广告服务器的权限,该广告服务器是一个在网络上分配广告空间的普遍工具。他们在最终诉讼中指称,谷歌上述和其他行为损害了竞争,剥夺了广告客户、出版商和消费者提高质量、增加透明度、提高产出和/或降低价格的能力。温馨提示:财经最新动态随时看,请关注金投网APP。
中国经济网北京12月21日讯据新华社天津消息,国家计算机病毒应急处理中心(简称“CVERC”)近期在“净网2020”专项行动中通过互联网监测发现,多款旅行类移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。 《穷游》(版本9.23)存在1类不合规事项,即未向用户明示申请的全部隐私权限,涉嫌隐私不合规。 经中国经济网记者查询,“穷游”app隶属于北京穷游天下科技发展有限公司,该公司成立于2007年11月6日,大股东、法定代表人为肖异,持股比例82.17%。穷游网为用户提供原创实用的出境游旅行指南和旅游攻略、旅行社区和问答交流平台,并提供签证、保险、机票、酒店预订、租车等。 据中国网科技报道,“穷游”app曾被曝出存在安全风险。2019年3月,上海市消保委发布部分手机App涉及个人信息权限评测结果的通报显示,穷游app向用户索取“读取联系人”的权限,但并没有提供相应的功能,存在一定的安全风险。
7月24日,工业和信息化部通报了2020年第三批侵害用户权益的App名单。工信部组织第三方检测机构对手机应用软件进行检查,截至目前,尚有58款App未完成整改。 通报中称,上述App应在7月30日前完成整改落实工作,逾期不整改的,将依法依规组织开展相关处置工作。 记者查询发现,在上述58款存在问题的应用软件中不乏巨头身影,包括搜狐旗下的狐友、科大讯飞旗下的讯飞有声、去哪儿网、快狗打车、房多多、更美、赶集网招聘等。 教育、出行、游戏和金融领域成重灾区 今年5月15日和7月3日,工信部曾两次对侵害用户权益行为的App进行通报。 第一批存在问题的应用软件名单中包括了1药网、知乎日报、当当等16款APP。第二批中则有TutorABC、作业盒子旗下的小盒学生等15款App。 算上2019年12月和2020年1月,工信部先后发布的两批“侵害用户权益行为的App”名单,合计56家。迄今为止,工信部累积通报了145家侵害用户权益的App。 在145家被通报的App名单中,涉及较多的行业分布在金融、教育、出行和游戏等。教育类App包括北京创意麦奇教育信息咨询有限公司的“TutorABC”、北京作业盒子科技有限公司的“小盒学生”、上海阅文信息技术有限公司的“QQ阅读”等。 被通报的App所涉问题主要有:账号注销难、私自或超范围搜集个人信息、私自共享给第三方、不给权限不让用等等。 此次被通报的App背后,涉及不少美股、港股、A股上市公司。 例如,“速聘58赶集网招聘”“快狗打车”均为正在准备从美股私有化的58同城旗下产品,其中“速聘58赶集网招聘”存在私自收集个人信息、私自共享给第三方、过度索取权限三大问题;“快狗打车”存在私自收集个人信息、私自共享给第三方、频繁申请权限、过度索取权限四大问题。 “房多多”为美股上市公司房多多旗下产品,存在私自收集个人信息、超范围收集个人信息、私自共享给第三方、强制用户使用定向推送功能、频繁申请权限五大问题。房多多于2019年11月登陆纳斯达克,被称作是国内第一家产业互联网SaaS(软件服务化)模式的房产中介公司。 7月26日,房多多内部人士对记者回复称:“原先App产品上有做对应的弹出提示,但当时规划的不够整体,对用户来说体验不好。这次我们会对权限系统做整体规划,已进入优化流程。房多多高度重视用户隐私信息保护,之后也会内部定期对产品进行全面检查,保障用户信息安全,遵守相关监管要求,提升用户体验。” 记者对于App侵害用户权益一事也采访了搜狐、更美等公司,但截至发稿,并未收到回复。 加大对面部等生物特征信息收集使用的整治 2019年12月30日,国家互联网信息办公室、工信部、公安部和国家市场监督管理总局四部门联合印发了《App违法违规收集使用个人信息行为认定方法》,明确了6大类31种行为属于App违法违规收集使用个人信息。以上《认定方法》对不少App“打擦边球”式的用户信息收集方式作出了详细规定。 比如说“隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等”,会被认定为“未公开收集使用规则”; “有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等”,会被认定为“未明示收集使用个人信息的目的、方式和范围”; “未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态”,会被认定为“未经用户同意收集使用个人信息”; 之前曾经困扰很多用户的某些平台账号无法注销的问题,也有了明确规定,如“未提供有效的更正、删除个人信息及注销用户账号功能”“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”等行为也是违规的。 四川致高律师事务所周正义律师表示:“科技的进步尤其是互联网的飞速发展给我们的生活带来极大便利的同时,也加大了我们个人信息泄露的风险。从日常的手机App使用体验来说,我们会发现如今手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限”。 “而且,一些App还出现了在自身功能使用非必要的情况下获取用户隐私权限的问题,这极大地增加了个人信息泄露的风险。而且部分商家违法获取用户的个人信息,包括用户的照片、财产信息、生物识别信息、工作信息、交易记录、上网浏览记录、教育信息、车辆信息、短信等,还会利用这些信息进行不法交易,给用户的利益带来严重的损害。因此,严格治理个人信息保护方面存在的乱象势在必行。”周正义律师表示。 7月22日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门召开会议,2020年将进一步加大整治力度,其中重点之一是针对面部特征等生物特征信息收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用等社会反映强烈的重点问题,开展专题研究和深度检测。
企业数字化转型正在从在线化、信息化时代,加速进入到数字化2.0时代。在数字化1.0时代,基于业务的点或者线的需求,进而研发相应的软件、系统,其目标是提升业务的效率,这个阶段数据只是信息系统的副产品;数字化2.0时代,从全局考虑数据资产,基于场景对业务流程不断进行切片细化,实现用数据模拟、优化、重构,真正的实现推动整个商业模式的变革。 企业权限管理面临的“三座大山” 细粒度的业务数字化需要细粒度的权限管理中台,以用户为中心,实现全景业务权限的集中化、自动化、标准化、可视化、智能化,从而安全、高效推动企业数字化2.0转型。数字化2.0时代对企业统一身份管理,特别是身份管理的最后一公里,权限管理提出了更高要求,没有权限中台企业将面临开通难、查询难、回收难和管理难等问题。 在数字化2.0时代,即细粒度业务数字化时代,这些难处将产生严重的效率低、体验差、风险大、成本高的痛点,甚至越数字化越危险,最后导致企业数字化灾难。经过众多权限管理的实战,我们发现企业权限管理难题面临三个重要挑战:人力资源、业务、信息安全本身。 HR 人力资源定义的行政组织和岗位,与业务上使用的业务组织和岗位存在矛盾,为权限管理带来天然的挑战。 业务 业务为了方便,希望权限最大化,与信息安全秉持的权限最小化原则产生矛盾,两者的割裂加大权限管理难度。 安全 各业务系统日积月累形成的授权孤岛,导致业务角色和岗位难以统一,权限管理面临巨大的挑战。 这三座“大山”导致绝大部分企业耗费大量的人力维护管理权限,并承受业务用户的抱怨、大量成本的浪费、相关数据泄露等安全问题的焦虑。 员工从入职、调岗、兼岗到离职的全生命周期,时刻都离不开权限场景。权限的申请、审批、授予、有效期提醒、续期、委托和复制等,全需操心动脑、用心记住。更麻烦的是,一个权限往往涉及很多人,这种低效的流程用户体验,与现在互联网时代以用户为中心的理念完全相悖。 美云智数身份云团队针对企业痛点,经过各行业龙头企业最佳业务实践检验,制定了安全、可靠的智能权限管理中台产品与解决方案,实现基于权限管理的数据中台、业务中台、AI中台,针对不同角色的用户提供个性化入口,全景加速企业数字权限管理、治理与智能运营的能力。 智能身份权限中台 身份权限关系管理模型(Identity Authorization Management),是由权限管理模型和授权管理模型两大版块构成,包含用户、群组、组织岗位、业务角色、系统角色、系统/数据权限等元素。 其中权限管理模型包含4项内容:业务角色管理、系统角色管理、系统权限管理和数据权限管理;授权管理模型则有5项内容:按群组授权、按组织授权、按岗位授权、按用户授权和按终端授权。而身份权限关系管理就是这两块模型里的内容两两交错配对,分别形成20种配对方式。 权限管理整体并非一蹴而就,从用户到群组、组织岗位、业务角色、系统角色、系统权限都环环相扣。基于此,美云智数身份云从权限数据出发,提供以下解决方案: 身份权限集中化 根据业务系统特征,分类、分级逐步收拢权限数据流,实现身份权限的集中统一。 身份权限自动化 根据组织、岗位、群组、业务角色、IT角色等,自动开户、分配基础权限包,根据身份权限流程实现业务权限,系统权限的自动化赋予与回收。 身份权限可视化 根据不同维度,不同业务管理要求进行统计、报表分析,实现身份权限可视化。 身份权限可治理 根据身份权限大数据,周期性对比、审视、建模,实现身份权限的可理可治。基于连续权限业务流水数据,构建企业自适应AI权限智能算法,实现权限智能治理。 强大的权限中台,需要丰富的权限模型适配能力、仿真能力以及组织能力。在众多权限模型中,结合多年实践总结,美云智数身份云选用了RBAC显式方式身份权限管理技术,一站式助力企业实现身份权限管理。 RBAC:最“硬核”的身份管理技术模型 RBAC显式方式(Resource-based Access Control)是基于什么是受保护的, 而不是谁可能有能力做什么。看似简单的区别,但后者对系统开发及部署有着深刻的影响: 更少的代码重构 我们是基于系统的功能(系统的资源及对资源的操作)来进行权限控制,而相应来说,系统的功能需求一旦确定下来后,一段时间内对它的改动相应还是比较少的。只是当系统的功能需求改变时,才会涉及到权限代码的改变。 更直观 保护资源对象、控制对资源对象的操作(对象及对象的行为),这样的权限控制方式更符合人们的思想习惯。正因为符合这种直观的思维方式,面向对象的编辑思想及REST通信模型变得非常成功。 更有弹性 代码中没有写死哪些用户、组或角色可对资源进行什么操作,可支持任何安全模型的设计。例如,可以将操作(权限)直接分配给用户 ,或者他们可以被分配到一个角色,然后再将角色与用户关联,或者将多个角色关联到组(group)上等,完全可以根据应用的特点定制权限模型。 外部安全策略管理 由于源代码只反映资源和行为,而不是用户、组和角色,这样资源/行为与用户、组、角色的关联,可通过外部模块、专用工具或管理控制台来完成。这意味着在权限需求变化时,开发人员不需花时间来修改代码,业务分析师甚至最终用户可通过相应的管理工具修改权限策略配置。 可在运行环境做修改 因为基于资源的权限控制代码并不依赖于行为的主体(如组、角色、用色),客户并没有将行为主体的字符名词写入代码,故客户可在程序运行时,通过修改主体等这些能对资源进行操作的这类方式,通过配置的方式即可应对权限变动需求,不需要像隐式的RBAC那样重构代码。 去年,美云智数身份云团队与美的、万科、OPPO、中航国际、天虹商场等相关权限管理负责人共同举办了“企业权限服务管理私享会”,形成并发布了企业权限服务管理模型1.0,包含业务模型、技术模型和方案模型。 经过半年来的深度研发和实践,如今企业权限服务管理模型2.0正式推出,身份大数据及机器学习等能力得到改善,企业落地权限服务管理中台的速度和质量大幅提升。