威胁类型:违规获取数据

  • 威胁编号:T6-1-1
  • 威胁分类:违规操作-违规获取
  • 威胁描述:软件中违反相关规定获取个人信息、系统配置、系统日志等数据,可能导致数据泄露或滥用。

威胁案例

SaaS服务

  • 2023年微软的Xbox Live服务违规收集儿童个人信息事件:2023年6月,FTC和司法部宣布与微软达成2000万美元和解,指控其Xbox Live服务违反COPPA,收集13岁以下儿童的个人信息,如姓名、出生日期、电子邮件地址和电话号码,未通知父母或获得父母同意。

解决方案

  1. 数据收集合规性审查

    • 明确软件所需的最小数据集
    • 实施数据收集的明确同意机制
    • 定期审查数据收集实践的合规性

  2. 透明度和用户控制

    • 提供清晰的隐私政策说明
    • 允许用户查看和控制数据收集范围
    • 提供数据删除和导出机制

参考链接

Copyright © 2025 OSCS Group