z(关键词2 · 行业动态

从ZOOM事件谈SDK合规

来源:开云手机版官方登录    发布时间:2023-12-19 19:25:34

  视频会议软件Zoom近期频爆隐私丑闻,起源于无需邀请即可加入会议投放恶搞视频的“zoom炸弹(zoomboom)”,由于会议录制视频文件的命名规则简单,上万份未经加密的线上录制文件遭泄露,涉及大量商业及个人隐私信息泄露。由于IOS版内嵌的Facebook SDK无论用户是否有Facebook账户,都会向Facebook传递用户的手机型号、时区、城市、运营商以及唯一广告标识符等信息,由于一系列安全漏洞事件影响,Zoom股价一度下跌16%。

  根据软件开发包(SDK)安全与合规白皮书显示,APP使用第三方SDK已成为普遍现象,APP开发者在使用第三方SDK进行软件开发及运营过程中,应当注意些什么信息安全合规义务呢?

  根据《信息安全技术 个人隐私信息安全规范》的定义,个人隐私信息控制者是为有能力决定个人隐私信息处理目的、方式等的组织或个人。APP开发者(包括APP运营者)在部署第三方插件时,与第三方SDK运营者可能构成共同个人隐私信息控制者。目前较为常见的第三方SDK接入服务有用户登录类、分享类与地图导航类等。应当注意的是,只要APP部署收集个人隐私信息的第三方插件(包括SDK),该第三方未直接获得信息主体的授权同意且其有能力决定个人隐私信息的处理目的、方式等,则APP开发者与SDK运营者为共同个人隐私信息控制者。共同个人隐私信息控制者情形中,APP开发者与SDK运营者应当遵循三重授权原则(用户授权+平台授权+用户授权),在APP隐私政策中列出所部署的第三方SDK收集使用个人隐私信息的目的、方式和范围等,事先征得个人隐私信息主体的授权同意。若第三方SDK超出前述授权范围使用个人隐私信息的,还应另行征得个人隐私信息主体的授权同意。

  APP开发者委托SDK运营者代为处理用户数据服务场景下,该委托不应超出已征得个人信息主体授权同意的范围或应遵守《个人信息安全规范》所列的征得授权同意的例外情形。

  当APP开发者与其APP内部署的SDK的运营者不属于共同个人信息控制者或个人信息处理者范畴时,APP开发者应向用户明确标识该等SDK所对应的产品或服务由第三方提供,要求SDK运营者应按照有关规定法律法规、标准的规定向个人信息主体征得收集个人信息的授权同意,并在必要时核验其实现的方式。

  1、当SDK运营者与APP开发者为共同个人信息控制者或SDK运营者为个人信息处理者时

  APP开发者在选择使用第三方SDK时,应当遵循最小必要等原则,如选择使用的SDK功能及信息收集范围超出了APP开发和运营的必要范围,应当对该SDK的其他功能进行裁剪或删除。

  在部署第三方SDK功能前,APP开发者应事先开展个人信息安全影响评估,如检查该SDK的安全等级保护测评及备案认证,并对SDK采集个人信息的权限、场景及功能进行安全评估,且应当保障APP接入SDK的信息安全。若APP开发者发现SDK运营者违反法律和法规、标准要求或双方约定处理个人隐私信息的,应立即要求SDK运营者停止相关行为,且采取或要求SDK运营者采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人隐私信息面临的安全风险。必要时APP开发者应终止与SDK运营者的业务关系,并要求受SDK运营者及时删除从APP开发者获得的个人隐私信息。

  当APP开发者与所部署的SDK的运营者之间不存在个人隐私信息共同控制或委托处理情形时,APP开发者应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;应要求其向个人隐私信息主体征得收集个人隐私信息的授权同意,必要时核验其实现的方式并监督该SDK运营者加强个人隐私信息安全管理;对该SDK开展技术检测确保其个人隐私信息收集、使用行为符合约定要求;对该SDK收集个人隐私信息的行为进行审计,发现超出约定的行为,及时切断接入。

  APP开发者应在第三方SDK签订的服务协议或安全责任书中明确后期的技术支持和服务承诺等内容、明确双方的安全责任及应实施的个人隐私信息安全措施,协议应包括信息安全风险处理要求,就信息安全要求达成一致,并形成文件。对于超出最小必要等原则或较强势第三方SDK供应商无法进行SDK裁剪或修改等情况下,可以通过承诺保证函等形式,对个人隐私信息安全责任进行区分和界定。

  4月6日,杭州互联网法院在其官方公众号上公布保障数字经济发展十大典型案例。涵盖多类富有争议的数字经济现象的法律认定,具有重要的审判与参考意义。

  【法院认为】网络服务提供者只能基于合法、正当、必要原则收集、使用个人数据,但对于其经大数据分析并脱敏处理后形成的具有商业价值的数据产品,享有相应的财产性权益,被告的行为构成了对原告的不正当竞争。

  遂判决被告停止涉案不正当竞争行为,并赔偿原告经济损失及合理费用共计200万元。

  【典型意义】“缺乏清楚的产权界定,便不存在有效的市场”。本案探索数据产权司法保护新路径,明确网络服务提供者对其合法控制的大数据经分析后形成的具有商业价值的数据产品,享有竞争性的财产权益,确立了数据产品确权、流通、交易的基本规则。本案入选“2018年度人民法院十大民事行政案件”。

  【基本案情】原告通过网络向被告购买比特币“挖矿机”。后原告认为中国人民银行已经联合多部委发文《关于防范代币发行融资风险的公告》,要求停止比特币等各类代币发行融资活动,故专门用来运算生成比特币的“挖矿机”已无价值,交易违法,主张合同无效要求退款。被告辩称,双方签订的买卖合同系双方真实意思表示,不违反法律规定,内容合法有效。

  【法院认为】比特币不具有法偿性与强制性等货币属性,不能作为货币在市场上流通使用,但其系合法劳动取得,具有可支配性、可交换性和排他性,具有虚拟商品属性,故交易专门用来运算生成比特币的“挖矿机”不违反法律和行政法规的强制性规定,买卖合同有效。

  【典型意义】买卖“专用于运算生成比特币的算力设施”(俗称挖矿机)合同是否有效案,本质问题是判断比特币等网络虚拟财产的法律地位,但法律对此并无明确规定。本案裁判是对《民法总则》第127条数据和网络虚拟财产法律保护原则性规定——“法律对数据、网络虚拟财产的保护有规定的,依照其规定”的具体应用,为“挖矿机”等算力设施产业留在国内提供了制度空间,体现了司法对待数字经济新业态的包容审慎态度。

  【基本案情】原告通过支付宝客户端开通“芝麻信用”服务,同时签订《芝麻信用服务协议》,原告授权被告可以向合法提供其用户信息的主体采集信息。后原告收到芝麻信用平台发出的执行案件信息,原告认为被告侵犯其隐私权,要求被告删除该信息,并赔偿其个人征信损失50000元。被告辩称,被告采集的被执行人信息来源为某高院,属于可公开内容,且被告提供的被执行人信息仅原告本人可以查阅,未侵犯原告隐私权。

  【法院认为】被告向原告提供“芝麻信用”服务基于双方协议,收集使用原告主体信息取得原告同意,采集原告系被执行人的信息来自其他已合法公开的个人隐私信息,并仅向原告本人提供了有关信息,属于对个人征信数据的合理化商业使用,不构成侵犯个人隐私权。

  【典型意义】数据只有流通利用起来才有价值,但必须保障数据安全和个人隐私信息权利。本案明确用户数据商业使用的规则和边界,认定收集于政府、法院等国家机关依法公开的个人征信数据,可以进行合理化的商业使用。既明确滥用个人征信数据的法律责任,也为信用经济的发展保驾护航。

  杭州某网络科技有限公司诉深圳市腾讯计算机系统有限公司等侵害作品信息网络传播权纠纷案

  【基本案情】长沙某网络科技有限公司通过其开发并经营的多个微信小程序提供案涉作品的服务。原告认为长沙某网络科技有限公司侵犯其就该作品享有的信息网络传播权,腾讯公司作为微信小程序的平台管理者具有审核义务,应当立即删除上述微信小程序,并赔偿原告经济损失。

  【法院认为】“通知-删除”规则应建立在网络服务提供者具有控制侵权内容并可以精确删除的基础上。由于微信经营者仅向小程序开发者提供网页架构与数据接入等基础性网络服务,对开发者提供的具体服务和数据没有管理权限,同时如对小程序内的特定侵权行为直接采取整体下架的方式,超出必要限度,故不适用“通知-删除”规则。

  【典型意义】本案系全国首例微信小程序服务平台责任案,明确微信小程序向开发者提供的是架构与接入的基础性网络服务,不适用法律规定的“通知-删除”规则,为微信小程序、云服务等互联网新业态的创新发展提供了法治保障。合理界定平台责任,保障数字化的经济的创新和活力。

  【基本案情】2018年11月11日,原告参与天猫“双十一活动”。零时2分23秒,原告合并提交7个订单并付款成功。后原告发现上述订单都未相应扣减“双十一购物津贴”。原告认为案涉订单被告未扣减“双十一购物津贴”,侵犯其合法权利,故诉至本院要求被告进行抵扣并赔偿违约金等。被告辩称,平台关于购物津贴的使用有明确的规则,本案涉及的情况在《购物津贴通用规则》第二部分使用规则作了规定,单个商品分摊计算购物津贴优惠后的金额不为负数。原告合并支付订单中的商品计算购物津贴之后出现了负数,故整个订单均无法使用购物津贴。

  【法院认为】平台制定的购物津贴优惠使用规则“合并支付订单中任何一个商品计算购物津贴优惠之后若出现零或负数,则整个订单均无法使用购物津贴”公平合理,只要尽到明显提示义务,对买家行为具有约束力。

  【典型意义】“双十一购物节”极大提振了民众的消费热情,是一个诞生杭州、影响全球的数字化的经济“品牌”。由于用户对此期间优惠项目的规则常有不同理解,相关纠纷也日益多发。本案明确平台制定的购物津贴规则公平合理且提示明显的,具有约束力,促进电子商务品牌经济持续健康发展。

  【基本案情】原告经著作权人授权依法享有涉案作品的作品信息网络传播权。被告四川某电器公司制造的某款电视机通过信息网络向公众提供服务,被告浙江某传媒网络公司为涉案互联网电视平台的运营商,被告北京某信息技术公司为涉案作品的内容提供者。2014年11月17日,该信息技术公司与原告签订涉案作品的《合作协议》,约定该信息技术公司可以在其公司及关联公司网络平台使用涉案作品的信息网络传播权。本案中该信息技术公司提供上述服务已超过授权期限。原告认为三被告的行为共同侵犯了其享有的独家信息网络传播权,要求三被告立即停止侵权并赔偿经济损失及合理费用50000元。

  【法院认为】北京某信息技术公司超过授权期限,将涉案作品存储于自身服务器并通过信息网络向公众传播作品和收取费用,直接侵害了原告的信息网络传播权,应承担相应赔偿责任。互联网电视机制造商四川某电器公司由于没有储存也无力控制互联网电视播放的内容,不构成侵权。互联网电视平台运营商浙江某传媒网络公司仅是提供观看通道、链接等网络服务,没有帮助、教唆侵权的故意和行为,不构成侵权。

  【典型意义】“三网融合”为文化消费提供了更加丰富的增值服务,同时衍生出错综复杂的版权问题。本案明确了在电信网络、广电网络、互联网相互渗透兼容整合背景下,互联网电视机制造商、内容提供商、平台运营商的责任边界,有效稳定市场预期,助推互联网文化产业繁荣发展。

  【基本案情】被告由国外A银行与B银行合并而成,承继原两家银行的权利义务。原告于2016年3月27日注册案涉两个域名,后A银行于2016年10月25日向世界知识产权组织(WIPO)仲裁与调解中心提起投诉,认为涉案域名应归其所有。WIPO仲裁与调解中心经审理后裁决将涉案域名转移给A银行。原告不服WIPO仲裁与调解中心裁决,向本院提起诉讼。被告辩称A银行一直使用“XYZ”作为商号经营,并注册了以“xyz”为主体的域名,且于2016年3月23日即在其官网公布了两公司合并的消息,原告具有明显的抢注恶意。

  【法院认为】原告注册的涉案域名侵入其他合法权利的保护范围,亦违反诚实信用原则和公平竞争秩序。原告请求确认其对涉案域名axyz.com和a-xyz.com享有合法权益,继续持有并使用的诉请,缺乏事实和法律依据。

  【典型意义】随着互联网的普及和电子商务的发展,域名的商业价值不断凸显。但也因其唯一性、稀缺性、国际性,不可避免地产生了恶意抢注、域名变造、反向域名侵夺等新类型侵权问题。本案通过司法裁判打击恶意抢注国际域名行为,构建国际域名司法保护规则,为国内外当事人提供平等保护。

  【基本案情】原、被告均为淘宝店铺经营者,原告在淘宝网注册经营一家名为“雷某体育”的五皇冠店铺,被告从事“安某”牌服装的销售,案外人安某公司系涉案注册商标“安某”的商标权人。被告先后两次假冒“安某”注册商标权人安某公司的名义,以原告经营的“雷某体育”销售侵犯“安某”商标权的假货为由,分别向阿里巴巴知识产权保护平台提出投诉与反申诉,致使案涉商品链接被删除,且“雷某体育”店铺遭受搜索降权处罚,投诉之后的10个月营业额下降累计已达3000余万元。

  【法院认为】被告作为同业竞争者,理应尊重他人的合法权益,诚信经营,但其明知自己不具有投诉资格且不能证明被投诉产品存在侵权的情形下,依然通过变造权利凭证对原告进行恶意投诉,使得原告商品被平台删除,丧失销售机会,该行为构成不正当竞争,应依法加倍承担赔责任。

  【典型意义】相较传统经济,数字经济不正当竞争行为更为复杂。本案认定利用电商平台投诉机制恶意投诉其他经营者商品的行为构成不正当竞争,并援引《电子商务法》第42条惩罚性赔偿条款——“因通知错误造成平台内经营者损害的,依法承担民事责任。恶意发出错误通知,造成平台内经营者损失的,加倍承担赔偿责任。”进行判决,从重制裁经营者通过恶意投诉谋取竞争优势的行为,维护公平竞争市场秩序。本案入选“2019年度人民法院十大民事行政案件”。

  【基本案情】被告系某电商平台用户,频繁买入价格相对低廉的商品后,立即以“七天无理由退货”或其他理由向卖家发起仅退款申请。2018年6月7日至2018年7月31日,被告发起624笔仅退款申请,退款成功612笔,退款总金额32697.07元。该电商平台显示大量商家反馈被告在退款过程中存在填报虚假物流信息、向卖家索要钱财等行为。

  【法院认为】行为人反复在电商平台向不特定商家大量购买价低商品后,又短时间内以各种理由发起大量的仅退款申请,利用商家“小事化了”心态或对“七天无理由退货”时效的疏忽,达到仅退款不退货目的的行为,不属于正当的消费行为,不仅损害了商家的利益,还损害平台运营秩序,依法向平台承担民事赔偿责任。

  【典型意义】随着电子商务发展,在该领域衍生出各种黑灰产业,但作为直接受害人的平台内经营者出于种种顾虑往往消极维权。本案认定该类“职业吃货”行为损害了平台运营秩序,依法应向平台承担民事赔偿责任。通过支持平台诉讼维权,弥补平台内经营者怠于维权带来的治理漏洞,全力挤压非法营利空间。本案对于构建诚信有序的互联网生态具备极其重大意义。

  【基本案情】郭某(据了解,在全国起诉有两百余件索赔案件)在某公司经营的网络店铺购买6部执法助手记录仪。郭某收到货后发现标示品牌与其实际交付的产品并非同一品牌,遂向某地市场监督管理局举报,要求查处该公司的违法行为。该局决定不予立案,郭某认为市场监督管理局不履行法定职责,故提起行政诉讼,请求法院撤销上述决定。

  【法院认为】郭某不是为生活消费需要购买执法助手记录仪,不享有普通消费者权利,故市场监管机关对涉嫌违法行为的查处,对公民的个体权益并未产生法律意义上的实际影响,郭某提起案涉履职之诉缺乏请求权基础,不具有原告诉讼主体资格。

  【典型意义】2019年11月30日,国家市场监督管理总局发布的《市场监督管理投诉举报处理暂行办法》中明确规定:市场监督管理部门不予受理“不是为生活消费需要购买、使用商品或者接受服务”而发起的投诉。本案于同年12月12日通过司法判决认定职业索赔者提起案涉履职之诉缺乏请求权基础,不具有原告诉讼主体资格,有效规制为牟利知假买假实施恶意投诉的“职业索赔”行为,净化市场环境。

  日前,深圳市南山区人民法院审结了腾讯科技(深圳)有限公司(以下简称腾讯科技公司)、深圳市腾讯计算机系统有限公司(以下简称腾讯计算机公司)诉深圳市某网络科技有限公司(以下简称某网络公司)著作权侵权及不正当竞争纠纷系列案。该系列案是全国首例认定开发、运营虚假微信截图生成软件构成著作权侵权和不正当竞争的案件。

  原告腾讯科技公司开发了微信软件,并授权原告腾讯计算机公司进行运营。被告某网络公司运营的“某截图”网站(以及“某截图”“某对线款手机应用软件可以让用户通过自行编辑生成包括微信首页、微信对话、微信红包、微信转账、微信钱包、好友申请等一系列与微信场景界面相同或实质性近似的虚假界面截图。

  被告在涉案网站和应用软件中宣称“微商都在用的营销神器”“聊天转账效果100%一致”,并发布制作虚假截图的教学视频或指南。

  两原告认为,被告的行为侵犯了其著作权并构成不正当竞争,遂起诉要求被告立马停止侵权、消除影响并赔偿损失。

  《著作权法实施条例》第二条指出,《著作权法》保护的作品是指文学、艺术和科学领域内具有独创性并能以某种有形形式复制的智力成果。根据《著作权法》,中国公民、法人或者其他组织的作品,不论是否发表,依法享有著作权。著作权包括发表权、署名权、修改权、保护作品完整权、复制权、信息网络传播权等。信息网络传播权是指以有线或者无线方式向公众提供作品,使公众可以在其个人选定的时间和地点获得作品的权利。

  南山法院经审理认为,涉案“微信表情、微信支付图标、微信红包详情页、微信红包气泡、微信图标”在颜色与线条的搭配、比例,图形与文字的排列组合等方面均体现出一定的个性化选择和独创性表达,具有审美意义,构成美术作品,受著作权法保护。

  被告未经许可,在其经营的“某截图”网站及涉案九款应用软件中均提供了与两原告享有权利的作品完全相同或仅有细微差别的图案,使前述软件用户可以在其选定的时间和地点获得与涉案美术作品相同或实质性近似的页面,侵害了原告依法享有的信息网络传播权,应当承担对应的民事责任。

  《反不正当竞争法》第二条规定,经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。

  南山法院经审理认为,被告作为软件的开发、运营者,利用了两原告享有的竞争优势和独创性的智力成果,向消费者提供了一款虚假截图的制作、生成工具,其行为违反了诚实信用原则和公认的商业道德,具有《反不正当竞争法》意义上的不正当性。对作为互联网平台提供者的两原告而言,真实、诚信的微信生态系统是其核心价值,巨大的用户数量是其盈利的基础。被诉网站和应用软件的出现,直接冲击了微信以熟人、真实社交为依托的运营基础,严重降低了广大用户对微信交互信息的信任,破坏了微信真实、诚信的互动生态系统,长此以往将改变微信软件的使用体验,降低微信软件的社会评价,导致微信用户的流失,严重损害两原告的竞争利益。同时,被告的行为亦损害了消费者的合法利益以及正常的市场竞争秩序。

  因此法院认为,被告利用两原告已经拥有的广大用户群体和已经建立的真实、诚信的互动生态系统,通过提供损害两原告、消费者以及社会公共利益的虚假截图生成工具而获利的行为,违背了诚信原则和商业道德,扰乱了市场秩序,构成不正当竞争行为。

  综上,法院判决被告深圳市某网络科技有限公司立马停止在涉案应用软件中侵害原告腾讯科技(深圳)有限公司、深圳市腾讯计算机系统有限公司信息网络传播权的行为,立马停止在涉案应用软件中的不正当竞争行为,并向原告腾讯科技(深圳)有限公司、深圳市腾讯计算机系统有限公司赔偿经济损失及合理开支共计75万元。

  市场监管总局公布2020年第一批虚假违法广告典型案件(2020.3. 31)

  市场监管总局等十一部门印发《整治虚假违法广告部际联席会议2020工作要点》)

Copyright © 1998-2018 开云手机版官方登录