Aggregator

Attackers have exploited an XSS vulnerability (CVE-2024-37383) in the Roundcube Webmail client to target a governmental organization of a CIS country, Positive Technologies (PT) analysts have discovered. The vulnerability was patched in May 2024, in Roundcube Webmail versions 1.5.7 and 1.6.7. The email carrying the exploit was sent in June 2024. About CVE-2024-37383 Roundcube is an open-source, browser-based IMAP client with a user interface that makes it look like a standalone application. CVE-2024-37383 is a … More →

The post Roundcube XSS flaw exploited to steal credentials, email (CVE-2024-37383) appeared first on Help Net Security.

We’re excited to share ANY.RUN‘s latest malware trends analysis for Q3 2024. Our quarterly update provides insights into the most widely deployed malware families, types, and TTPs we saw during the last 3 months of the year. Summary In Q3 2024, ANY.RUN users ran 1,090,457 public interactive analysis sessions, which is a 23.7% increase from […]

The post Malware Trends Report: Q3, 2024 appeared first on ANY.RUN's Cybersecurity Blog.

Ivanti introduced Ivanti Neurons for App Control, which safeguards devices from unauthorized applications. In addition, Ivanti released new analytics in the Ivanti Neurons platform and new features for Ivanti Neurons for Patch Management to enhance security and ensure compliance. With Ivanti’s innovations and focus on exposure management, organizations can proactively safeguard themselves in today’s complex and evolving threat landscape. Organizations are witnessing a fast-growing ecosystem of IT assets on their networks — making attack surfaces … More →

The post Ivanti Neurons for App Control strengthens endpoint security appeared first on Help Net Security.

在这个信息化飞速发展的时代，数据已成为一种宝贵的资源。随着互联网技术的深入普及和智能设备的广泛使用，个人信息的保护问题日益凸显，成为社会各界关注的热点。企业如何处理用户的个人数据，不仅关系到用户的隐私权益，也是企业社会责任和法律遵循的体现。

隐私政策，作为规范企业数据处理行为和保障用户隐私权益、保护用户个人信息的重要文件，每个互联网产品或移动应用，都需要提供《隐私政策》，并主动引导用户阅读并同意，其重要性不言而喻。因此本文将阐述隐私政策的起源与基本框架，为用户和企业对隐私政策提供一个初步的理解基础。同时这也将为本文的下一部分《隐私政策精讲（下）》做好铺垫，届时我们将深入探讨每个关键要素的具体内容，指导企业如何构建一个既合法又合理的隐私保护机制。

一、隐私政策的实质与创建目的

1）隐私政策的实质

隐私政策是企业或组织对用户个人信息处理行为的正式声明。它详细说明了组织如何收集、使用、存储和保护用户的个人数据，以及用户对于自己数据拥有哪些权利。通俗来说是指公司就其如何收集和使用个人信息等问题制定的基础政策文件，用于向公司内外部各方（如内部员工、用户或消费者、供应商、监管机构等）传递及告知公司遵循的个人信息处理规则。隐私政策通常也是组织内部进一步制定个人信息保护合规相关流程、指引文件的政策依据和基础。

2）隐私政策的创建目的

隐私政策的创建目的主要包含以下几个方面：

①应对监管要求：随着个人信息保护法规的加强，隐私政策成为监管机构评估企业合规性的重要依据，企业需要通过隐私政策来展示其对监管要求的响应和遵守。

②确保合规性：隐私政策帮助企业确保其数据处理活动遵守适用的法律、法规和标准，如《中华人民共和国个人信息保护法》、《网络安全法》等，从而避免法律风险和潜在的处罚。

③保护用户隐私：通过明确声明企业如何收集、使用、存储和保护用户的个人数据，隐私政策旨在保护用户的隐私权利，增强用户对企业的信任。

④指导企业数据处理活动：隐私政策为企业提供数据处理的内部指导，确保企业内部员工在处理个人信息时遵循既定的规则和程序。

⑤提升企业声誉：一个清晰、全面的隐私政策可以提升企业的专业形象，展示企业对用户隐私的尊重和承诺，从而吸引更多的用户和客户。

二、隐私政策的发展历程

我国在21世纪初，通过参考国际惯例，主要的门户网站也都建立起了自己的隐私保护政策。然而，这一时期隐私政策的实施也暴露出一些问题，例如隐私保护措施的不成熟、缺乏统一的行业标准、以及企业在处理用户个人信息时存在的“黑匣子”问题。这些问题的出现，促使中国在个人信息保护法规上做出了更多的努力，立法步伐明显加快。下图就是近5年我国在隐私政策相关法规的重点发展线。

隐私政策发展的主要法规时间线与内容

从上图时间线可以归纳以下要点：

（1）这些法规中提到的文件名称”隐私政策“、”隐私声明“、”个人信息保护政策“、”个人信息处理规则“实质上的结构与内容都是一致的，只是不同监管单位或企业在编制法规或自身产品相关的个人信息保护政策时起的名称，本文全文都是以”隐私政策“来命名这份文件。

（2）从近几年的个人信息保护相关法规或规范性文件都提到了隐私政策内容，其内容的合规对于企业保障用户的个人信息合规越来越重要。

三、隐私政策的框架

1）基本的隐私政策框架

根据《中华人民共和国网络安全法》的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

隐私政策作为落实该规定的文件载体，需要依法公开前述内容。而对于隐私政策应当包含的具体内容和公示要求，《信息安全技术个人信息安全规范》（GB/T 35273-2020) 给出了更为详细的指引，对基本框架总结如下：

2）一些常见隐私政策框架结构种类

①比较规范完整的隐私政策框架（隐私政策摘要+完整内容）

隐私政策摘要：便于用户快速查阅得知平台如何处理用户的个人信息且是对用户影响较大的个人信息，一般有：

·从隐私政策目录中提炼出来的对用户影响比较大的个人信息的处理说明构成的摘要，点开目录可以清晰地看到平台对个人信息、相关权限的处理说明、联系方式、第三方清单等。（如下图1所示）

·通过对个人信息收集清单、第三方收集清单、提供服务所需收集使用个人信息、未成年隐私政策、权限等逐项简洁列举出来，让用户直观了解个人信息的处理。（如下图2所示）

隐私政策完整内容：大致是基本框架的内容，只是呈现形式与一些名词的说法不同。

实际案例：

图1. 哔哩哔哩平台隐私政策概要+隐私政策

图2. 微博平台隐私政策概要+隐私政策

②只满足最基本框架隐私政策

在一些用户规模较小的平台上，他们的隐私政策往往遵循一个基本的框架，但内容表述可能不够清晰，有时甚至会遗漏一些关键要素。有些平台的隐私政策虽然提供了目录，其结构相对清晰（如图3左侧所示），但仍有许多平台的隐私政策没有目录，内容显得杂乱无章（如图3右侧所示）。

实际案例：

图3. 隐私政策内容

3）总结

隐私政策虽然形式多样，但其核心目的始终是让用户清楚地了解其重要内容。目前，由于不同平台处理的用户个人信息数量不同，监管部门对这些平台的关注程度也有所差异，导致隐私政策在内容和形式上出现了两极分化的现象。为了缩小这种差距，未来需要监管部门和检测机构更加关注这一问题，共同努力确保用户个人信息的保护符合合规要求。

四、结语

隐私政策是企业与用户之间信任的桥梁，它不仅体现了企业对用户隐私的尊重，也是遵守法律法规的体现。本文概述了隐私政策的起源、框架及其发展，强调了其在保护用户隐私权益中的核心作用。随着法规的完善和技术的进步，隐私政策将继续演化，以更好地适应社会的需求。在下一篇《隐私政策精讲（下）》中，我们将继续深入分析隐私政策的具体内容，探讨如何构建一个既合法又合理的隐私保护机制，以促进企业与用户之间的信任，共同营造一个更加安全、尊重隐私的网络环境。

Fastly released Fastly DDoS Protection to provide automatic protection from Layer 7 and other application-level DDoS attacks. With a click of a button, organizations can enable Fastly DDoS Protection to automatically shield their applications and APIs against highly disruptive data and query floods. Fastly’s DDoS Protection leverages the powerful, proven techniques behind protecting Fastly’s global network from massive DDoS attacks to offer a tailored protection product directly to customers. Modern DDoS attacks can bring even … More →

The post Fastly DDoS Protection blocks malicious traffic appeared first on Help Net Security.