标签 GDPR 下的文章

收听电台导致马自达车载系统损坏

1 月 30 日,西雅图的部分车型的马自达车主在收听了一个电台之后发现 车载娱乐系统损坏 了。当将广播调到一个当地的 NPR 电台 KUOW 94.9 时,来自该电台的一个信号会导致系统崩溃、屏幕冻结、车载系统陷入无限重启当中。马自达称,故障原因是电台向它的高清播放流发送了一个没有扩展名的图片,系统无法解析,这导致了价值 1500 美元的 CMU 零件损坏。而且,现在这个零件还没货。

老王点评:这真是远程广播式攻击了!

法国政府要求公司停止使用谷歌分析

一家法国公司被命令 停止使用谷歌分析,因为法国 CNIL 说美国情报部门可能会访问这些数据。它援引欧盟的 GDPR,命令至少一家法国公司停止使用这项来自谷歌的网页访问分析服务。它指出由谷歌分析收集的“互联网用户的数据被转移到美国,这违反了 GDPR”。这一新举措基于欧盟法院最近的“Schrems II”判决,其影响到任何向欧盟以外的数据转移。谷歌在支持页面也承认,在默认情况下,谷歌分析不符合 GDPR 的要求。

老王点评:这和前两天的另外一个使用 谷歌字体的案例 一样,看来欧盟之外的互联网服务要遵守 GDPR 的要求,可能需要重新设计数据的存储和使用了。

因 Alexa 排名服务即将下线,TIOBE 指数发生变化

2022 年 2 月 的 TIOBE 编程社区指数已经出来了,表面上没有什么变化,但很多编程语言的份额和上个月相比都发生超过 1% 的变化。月与月之间的差异很少超过 1%,这种 变化的主要原因Alexa.com 即将下线,而 TIOBE 指数用它来选择排名最高的 25 个搜索引擎进行计算。2 月份的指数采用 Similarweb 替代了 Alexa,并同时导致了整个系统架构的变化。目前的搜索引擎名单主要包括各种本地化的谷歌产品、亚马逊、维基百科和中国门户网站 QQ,以前的来源搜狐、Ebay 等没有被考虑在 2 月份的名单中,因为它们必须首先被整合到新的程序中。

老王点评:其实编程语言是否流行,和你该不该学它、用它没什么关系,这种排行榜只适合做闲聊话题。

适用于 Linux 的微软反病毒软件 Microsoft Defender ATP 正式上线

微软今天宣布了适用于 Android 的 Microsoft Defender ATP 首个预览版,同时还宣布适用于 Linux 的 Microsoft Defender ATP 正式上线。微软还承诺,将在未来几个月内为它带来多项新功能。

来源:cnBeta.COM

拍一拍:不知道 ATP 能防范多少“Linux 病毒”?

Red Hat 报告了一个可导致拒绝服务的安全问题

根据描述,Red Hat 内核在“ 关联数据的身份验证加密 uthenticated Encryption with Associated Data ”(AEAD)中存在缺陷,这是一种加密技术。该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了,此次发现这一特定下游问题,应当是 LTP 测试未通过导致的。因此,邮件中提醒:“大多数 Linux 内核已经修复了这一错误,而没有在 LTP 中添加回归测试,这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”

来源:开源中国

拍一拍:内核发行版的碎片化问题也需要重视起来。

欧盟承认 GDPR 实施有难度

欧盟的一份官方报告透露,生效已有两年的数据保护法规 GDPR 正被证明难以实施,而且给中小企业和那些开发新技术的企业带来特别沉重的负担。

来源:solidot

拍一拍:法规跟不上技术发展。

苹果中国应用商店将下架数千未获版号的手游

中国要求付费或提供应用内购买的手游递交进行审查以获得出版发行的版号。中国主要 Android 应用商店从 2016 年起就执行了这一政策,但苹果平台上有大量此类未获版号的手游。

来源:solidot

拍一拍:不是所有没有取得版号的游戏都是坏游戏。

尽管有包括 GDPR 在内的法规,数据隐私对于几乎所有的人来说都是很重要的事情。

今天(LCTT 译注:本文发表于 2018/1/28)是 数据隐私日 Data Privacy Day ,(在欧洲叫“ 数据保护日 Data Protection Day ”),你可能会认为现在我们处于一个开源的世界中,所有的数据都应该是自由的,就像人们想的那样,但是现实并没那么简单。主要有两个原因:

  1. 我们中的大多数(不仅仅是在开源中)认为至少有些关于我们自己的数据是不愿意分享出去的(我在之前发表的一篇文章中列举了一些例子3
  2. 我们很多人虽然在开源中工作,但事实上是为了一些商业公司或者其他一些组织工作,也是在合法的要求范围内分享数据。

所以实际上,数据隐私对于每个人来说是很重要的。

事实证明,在美国和欧洲之间,人们和政府认为让组织使用哪些数据的出发点是有些不同的。前者通常为商业实体(特别是愤世嫉俗的人们会指出是大型的商业实体)利用他们所收集到的关于我们的数据提供了更多的自由度。在欧洲,完全是另一观念,一直以来持有的多是有更多约束限制的观念,而且在 5 月 25 日,欧洲的观点可以说取得了胜利。

通用数据保护条例(GDPR)的影响

那是一个相当全面的声明,其实事实上这是 2016 年欧盟通过的一项称之为 通用数据保护条例 General Data Protection Regulation (GDPR)的立法的日期。数据通用保护条例在私人数据怎样才能被保存,如何才能被使用,谁能使用,能被持有多长时间这些方面设置了严格的规则。它描述了什么数据属于私人数据——而且涉及的条目范围非常广泛,从你的姓名、家庭住址到你的医疗记录以及接通你电脑的 IP 地址。

通用数据保护条例的重要之处是它并不仅仅适用于欧洲的公司,如果你是阿根廷人、日本人、美国人或者是俄罗斯的公司而且你正在收集涉及到欧盟居民的数据,你就要受到这个条例的约束管辖。

“哼!” 你可能会这样说 注1 ,“我的业务不在欧洲:他们能对我有啥约束?” 答案很简单:如果你想继续在欧盟做任何生意,你最好遵守,因为一旦你违反了通用数据保护条例的规则,你将会受到你的全球总收入百分之四的惩罚。是的,你没听错,是全球总收入,而不是仅仅在欧盟某一国家的的收入,也不只是净利润,而是全球总收入。这将会让你去叮嘱告知你的法律团队,他们就会知会你的整个团队,同时也会立即去指引你的 IT 团队,确保你的行为在相当短的时间内合规。

看上去这和非欧盟公民没有什么相关性,但其实不然,对大多数公司来说,对所有的他们的顾客、合作伙伴以及员工实行同样的数据保护措施是件既简单又有效的事情,而不是仅针对欧盟公民实施,这将会是一件很有利的事情。 注2

然而,数据通用保护条例不久将在全球实施并不意味着一切都会变的很美好 注3 :事实并非如此,我们一直在丢弃关于我们自己的信息——而且允许公司去使用它。

有一句话是这么说的(尽管很争议):“如果你没有在付费,那么你就是产品。”这句话的意思就是如果你没有为某一项服务付费,那么其他的人就在付费使用你的数据。你有付费使用 Facebook、推特、谷歌邮箱?你觉得他们是如何赚钱的?大部分是通过广告,一些人会争论那是他们向你提供的一项服务而已,但事实上是他们在利用你的数据从广告商里获取收益。你不是一个真正的广告的顾客——只有当你从看了广告后买了他们的商品之后你才变成了他们的顾客,但直到这个发生之前,都是广告平台和广告商的关系。

有些服务是允许你通过付费来消除广告的(流媒体音乐平台声破天就是这样的),但从另一方面来讲,即使你认为付费的服务也可以启用广告(例如,亚马逊正在努力让 Alexa 发广告),除非我们想要开始为这些所有的免费服务付费,我们需要清楚我们所放弃的,而且在我们暴露的和不想暴露的之间做一些选择。

谁是顾客?

关于数据的另一个问题一直在困扰着我们,它是产生的数据量的直接结果。有许多组织一直在产生巨量的数据,包括公共的组织比如大学、医院或者是政府部门 注4 ——而且他们没有能力去储存这些数据。如果这些数据没有长久的价值也就没什么要紧的,但事实正好相反,随着处理大数据的工具正在开发中,而且这些组织也认识到他们现在以及在不久的将来将能够去挖掘这些数据。

然而他们面临的是,随着数据的增长和存储量无法跟上该怎么办。幸运的是——而且我是带有讽刺意味的使用了这个词 注5 ,大公司正在介入去帮助他们。“把你们的数据给我们,”他们说,“我们将免费保存。我们甚至让你随时能够使用你所收集到的数据!”这听起来很棒,是吗?这是大公司 注6 的一个极具代表性的例子,站在慈善的立场上帮助公共组织管理他们收集到的关于我们的数据。

不幸的是,慈善不是唯一的理由。他们是附有条件的:作为同意保存数据的交换条件,这些公司得到了将数据访问权限出售给第三方的权利。你认为公共组织,或者是被收集数据的人在数据被出售使用权使给第三方,以及在他们如何使用上能有发言权吗?我将把这个问题当做一个练习留给读者去思考。 注7

开放和积极

然而并不只有坏消息。政府中有一项在逐渐发展起来的“开放数据”运动鼓励各个部门免费开放大量他们的数据给公众或者其他组织。在某些情况下,这是专门立法的。许多志愿组织——尤其是那些接受公共资金的——正在开始这样做。甚至商业组织也有感兴趣的苗头。而且,有一些技术已经可行了,例如围绕不同的隐私和多方计算上,正在允许跨越多个数据集挖掘数据,而不用太多披露个人的信息——这个计算问题从未如现在比你想象的更容易。

这些对我们来说意味着什么呢?我之前在网站 Opensource.com 上写过关于开源的共享福利,而且我越来越相信我们需要把我们的视野从软件拓展到其他区域:硬件、组织,和这次讨论有关的,数据。让我们假设一下你是 A 公司要提向另一家公司客户 B 注8 提供一项服务 。在此有四种不同类型的数据:

  1. 数据完全开放:对 A 和 B 都是可得到的,世界上任何人都可以得到
  2. 数据是已知的、共享的,和机密的:A 和 B 可得到,但其他人不能得到
  3. 数据是公司级别上保密的:A 公司可以得到,但 B 顾客不能
  4. 数据是顾客级别保密的:B 顾客可以得到,但 A 公司不能

首先,也许我们对数据应该更开放些,将数据默认放到选项 1 中。如果那些数据对所有人开放——在无人驾驶、语音识别,矿藏以及人口数据统计会有相当大的作用的。 注9 如果我们能够找到方法将数据放到选项 2、3 和 4 中,不是很好吗?——或者至少它们中的一些——在选项 1 中是可以实现的,同时仍将细节保密?这就是研究这些新技术的希望。 然而有很长的路要走,所以不要太兴奋,同时,开始考虑将你的的一些数据默认开放。

一些具体的措施

我们如何处理数据的隐私和开放?下面是我想到的一些具体的措施:欢迎大家评论做出更多的贡献。

  • 检查你的组织是否正在认真严格的执行通用数据保护条例。如果没有,去推动实施它。
  • 要默认加密敏感数据(或者适当的时候用散列算法),当不再需要的时候及时删掉——除非数据正在被处理使用,否则没有任何借口让数据清晰可见。
  • 当你注册了一个服务的时候考虑一下你公开了什么信息,特别是社交媒体类的。
  • 和你的非技术朋友讨论这个话题。
  • 教育你的孩子、你朋友的孩子以及他们的朋友。然而最好是去他们的学校和他们的老师谈谈在他们的学校中展示。
  • 鼓励你所服务和志愿贡献的组织,或者和他们沟通一些推动数据的默认开放。不是去思考为什么我要使数据开放,而是从我为什么不让数据开放开始。
  • 尝试去访问一些开源数据。挖掘使用它、开发应用来使用它,进行数据分析,画漂亮的图, 注10 制作有趣的音乐,考虑使用它来做些事。告诉组织去使用它们,感谢它们,而且鼓励他们去做更多。

注:

  1. 我承认你可能尽管不会。
  2. 假设你坚信你的个人数据应该被保护。
  3. 如果你在思考“极好的”的寓意,在这点上你并不孤独。
  4. 事实上这些机构能够有多开放取决于你所居住的地方。
  5. 假设我是英国人,那是非常非常大的剂量。
  6. 他们可能是巨大的公司:没有其他人能够负担得起这么大的存储和基础架构来使数据保持可用。
  7. 不,答案是“不”。
  8. 尽管这个例子也同样适用于个人。看看:A 可能是 Alice,B 可能是 BOb……
  9. 并不是说我们应该暴露个人的数据或者是这样的数据应该被保密,当然——不是那类的数据。
  10. 我的一个朋友当她接孩子放学的时候总是下雨,所以为了避免确认失误,她在整个学年都访问天气信息并制作了图表分享到社交媒体上。

via: https://opensource.com/article/18/1/being-open-about-data-privacy

作者:Mike Bursell 译者:FelixYFZ 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

许多组织正在争先恐后地了解隐私法的变化如何影响他们的工作。

2018 年 5 月 25 日, 通用数据保护条例 General Data Protection Regulation, GDPR 开始生效。欧盟出台的该条例将在全球范围内对企业如何保护个人数据产生重大影响。影响也会波及到开源项目以及开源社区。

GDPR 概述

GDPR 于 2016 年 4 月 14 日在欧盟议会通过,从 2018 年 5 月 25 日起开始生效。GDPR 用于替代 95/46/EC 号 数据保护指令 Data Protection Directive ,该指令被设计用于“协调欧洲各国数据隐私法,保护和授权全体欧盟公民的数据隐私,改变欧洲范围内企业处理数据隐私的方式”。

GDPR 目标是在当前日益数据驱动的世界中保护欧盟公民的个人数据。

它对谁生效

GDPR 带来的最大改变之一是影响范围的扩大。不管企业本身是否位于欧盟,只要涉及欧盟公民个人数据的处理,GDPR 就会对其生效。

大部分提及 GDPR 的网上文章关注销售商品或服务的公司,但关注影响范围时,我们也不要忘记开源项目。有几种不同的类型,包括运营开源社区的(营利性)软件公司和非营利性组织(例如,开源软件项目及其社区)。对于面向全球的社区,几乎总是会有欧盟居民加入其中。

如果一个面向全球的社区有对应的在线平台,包括网站、论坛和问题跟踪系统等,那么很可能会涉及欧盟居民的个人数据处理,包括姓名、邮箱地址甚至更多。这些处理行为都需要遵循 GDPR。

GDPR 带来的改变及其影响

相比被替代的指令,GDPR 带来了很多改变,强化了对欧盟居民数据和隐私的保护。正如前文所说,一些改变给社区带来了直接的影响。我们来看看若干改变。

授权

我们假设社区为成员提供论坛,网站中包含若干个用于注册的表单。要遵循 GDPR,你不能再使用冗长、无法辨识的隐私策略和条件条款。无论是每种特殊用途,在论坛注册或使用网站表单注册,你都需要获取明确的授权。授权必须是无条件的、具体的、通知性的以及无歧义的。

以表单为例,你需要提供一个复选框,处于未选中状态并给出个人数据用途的明确说明,一般是当前使用的隐私策略和条件条款附录的超链接。

访问权

GDPR 赋予欧盟公民更多的权利。其中一项权利是向企业查询个人数据包括哪些,保存在哪里;如果 数据相关人 data subject (例如欧盟公民)提出获取相应数据副本的需求,企业还应免费提供数字形式的数据。

遗忘权

欧盟居民还从 GDPR 获得了“遗忘权”,即数据擦除。该权利是指,在一定限制条件下,企业必须删除个人数据,甚至可能停止其自身或第三方机构后续处理申请人的数据。

上述三种改变要求你的平台软件也要遵循 GDPR 的某些方面。需要提供特定的功能,例如获取并保存授权,提取数据并向数据相关人提供数字形式的副本,以及删除数据相关人对应的数据等。

泄露通知

在 GDPR 看来,不经数据相关人授权情况下使用或偷取个人数据都被视为 数据泄露 data breach 。一旦发现,你应该在 72 小时内通知社区成员,除非这些个人数据不太可能给 自然人 natural persons 的权利与自由带来风险。GDPR 强制要求执行泄露通知。

披露记录

企业负责提供一份记录,用于详细披露个人数据处理的过程和目的等。该记录用于证明企业遵从 GDPR 要求,维护了一份个人数据处理行为的记录;同时该记录也用于审计。

罚款

不遵循 GDPR 的企业最高可面临全球年收入总额 4% 或 2000 万欧元 (取两者较大值)的罚款。根据 GDPR,“最高处罚针对严重的侵权行为,包括未经用户充分授权的情况下处理数据,以及违反设计理念中核心隐私部分”。

补充说明

本文不应用于法律建议或 GDPR 合规的指导书。我提到了可能对开源社区有影响的条约部分,希望引起大家对 GDPR 及其影响的关注。当然,条约包含了更多你需要了解和可能需要遵循的条款。

你自己也可能认识到,当运营一个面向全球的社区时,需要行动起来使其遵循 GDPR。如果在社区中,你已经遵循包括 ISO 27001,NIST 和 PCI DSS 在内的健壮安全标准,你已经先人一步。

可以从如下网站/资源中获取更多关于 GDPR 的信息:

关于作者

Robin Muilwijk 是一名互联网和电子政务顾问,在 Red Hat 旗下在线发布平台 Opensource.com 担任社区版主,在 Open Organization 担任大使。此外,Robin 还是 eZ 社区董事会成员,eZ 系统 社区的管理员。Robin 活跃在社交媒体中,促进和支持商业和生活领域的开源项目。可以在 Twitter 上关注 Robin Muilwijk 以获取更多关于他的信息。更多关于我的信息


via: https://opensource.com/article/18/4/gdpr-impact

作者: Robin Muilwijk 选题者: lujun9972 译者: pinewall 校对: wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出