T上西北

GDPR (二)

前面的一边文章GDPR (一)主要描述了一些概念。其实最重要的是在GDPR下,组织应该做什么才是最关心的。查了一些资料,关键词是Consent,同意赞成的意思。

首先组织为什么要处理个人数据:

  • 提供服务和产品
  • 市场调查和分析
  • 公共安全
  • 作为build公共关系的一部分
  • 招聘
  • 其他

各式各样的原因吧。

一个组织必须要能有一个正当合理合法的说明来处理这些数据,例如合约,法律意义上的职责,或者data subject的Consent。

GDPR 关于什么可以为Consent是非常特定的:

  • Consent必须清楚的表达出来。
  • Consent是免费的提出,而不是强制性的。组织唯一能够要求个人提供个人数据或者consent,这是发布一个产品或提供一个服务需要做的。
  • Consent必须以清楚,精确的语言表达出来,而且很容易访问。
  • 必须区别于其他consent的条款项。
  • Silence可不是Consent。

所以,你必须熟悉你的组织关于Consent的流程。

 

Data Controller是有责任的,必须对什么样的数据进行收集和为什么要收集要特别清楚。而且做到数据最小化,也就是说仅收集那些业务需要的数据,而且一旦不需要了,他们必须销毁或者匿名化。同时,这些收集的数据怎么使用也需要限制,仅对这些业务需求。而且一般是基于客户允许的情况下才可以使用。

 

Data Subject的权利很重要。Data Controller有责任和义务尊重他们的权利。

Data Subject有权利让Controller修改,删除数据。

Data Controller有义务配合Data Subject的请求。同时对于一些请求,需要授权给Data Processor.

Data Processor必须遵守Data Controller的流程,授权等。

如果个人数据发生意外,例如授权给错误的第三方,或者意外删除数据等,须在72小时内上报给监管方。

 

关于个人数据的安全,数据库访问必须授权,不可以让未授权的人访问。这就需要公司关于此定义的Policy了。这点在我们已经有了相关流程了。

同时,数据的存储格式不要以直观的格式来存储数据,而是要加密,混淆(随机)来处理。

 

参考:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://www.eugdpr.org/

GDPR (一)

最近陆续收到一些公司的邮件说支持GDPR,例如Google,Facebook,Microsoft等,当然我现在所在的公司也不例外。

我还是愿意花一些时间去了解一下GDPR的,毕竟个人隐私数据现在管的越来越严。例如:

  • 前段时间轰轰烈烈的Facebook 个人数据泄露事件。
  • Google Play下架一些apps,主要是Privacy Policy原因。
  • App Store也有同样的原因。

GDPR, General Data Protection Regulation, 是欧盟(EU)在2016年为了保护用户隐私/数据颁布的规范。GDPR在2016/4/27通过,2018/5/25强制执行。

GDPR一门非常重要的法规,如果我们的产品用户面向EU的客户,必须去遵守,否则可能会面临巨大的法律风险或处罚。任何产品或服务必须合规才可以。所以对待GDPR必须加以重视。除非你的产品或服务不针对EU。

 

GDPR适用于哪些组织?

  • 在EU成立的组织。
  • 在EU提供一些产品或者服务给个人的组织。
  • 在EU监控个人行为的组织。

根据以上三种,很显然Google,Facebook,Microsoft肯定是符合的,这也意味着他们必须遵守。

所以为了支持GDPR,这些组织需要有对应的Policy来指导这些个人数据怎么处理。

 

那么个人数据是指什么呢? 在GDPR里,个人数据是指任何已识别的或者可以识别的中性个人信息。也就是说GDP R适用于关于个人的数据,而不是关于公司,政府或其他组织的数据。

个人数据一般包含:

  • 姓名
  • 位置信息例如家庭住址,或当前的GPS位置,或公司地址等。
  • 手机号码
  • 邮箱地址
  • 移动设备ID,例如mac address,手机ID
  • IP地址
  • 其他

当然有些不可识别为个人的数据例如

  • 浏览历史记录
  • 地理信息
  • 或者特定的信息,例如job title。

总之,个人数据可以是直接的,也可以是间接的。比如,我们在描述某位同事时,

直接信息可以是:销售部门的John Smith。John Smith就是直接信息。

间接信息可以是:  销售部门的男的个子175cm而且头发是黄色的。尽管没有说出是谁,但是根据这些信息基本上可以识别出是John Smith。

无论是直接的还是间接的,都是在GDPR的框架下的。

另外一些特殊的敏感信息也是在GDPR下的:

  • 种族
  • 政治倾向
  • 宗教信仰
  • 哲学信仰
  • 健康数据
  • 性取向
  • 遗传数据

 

处理这些个人数据的整个周期是指数据收集到数据销毁。几个关键动作:

  • 采集
  • 使用
  • 分析
  • 分享
  • 存储
  • 限制数据的使用
  • 销毁

在GDPR里,即便个人数据仅仅被存储,但是没有使用,这些数据其实也被处理了

 

GDPR里有个术语:

  • Data Subject,简单说就是那些数据被手机和使用的个人。
  • Data Controller,简单说就是手机个人信息的组织。
  • Data Processor,一般指处理数据的人或者组织。

举个例子,在京东里,客户的个人数据会被收集,然后京东请第三方客服公司(假说是A)处理一些订单之类的。这里,客户就是Data Subject。 京东就是Data Controller. Data Processor就是A。

本文还有后续:GDPR (二)

参考:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://www.eugdpr.org/ 

如何从E佳园保存视频?

这篇文章是因女儿幼儿园所用的app而写的。

关键字:E佳园,Fiddler,VLC,m3u8, Proxy, Traffic Capture

 

背景

老师经常在E佳园上传一些幼儿园里关于小朋友的视频,而且这些视频极为珍贵,所以很多家长都有保存这些视频的需求。遗憾的是E佳园App并未提供保存视频的功能。

本文将介绍如何保存E佳园的视频。

方法

基本上分成2个大步骤。

步骤1:获取视频的地址。

E佳园的视频应该是存在服务器上的,如果要下载必须了解视频的地址。为了拿到这个地址,需要了解App上如何和服务器交互的,这里需要借助一台电脑。下面会介绍详细步骤。

步骤2:根据视频的地址进行下载。

经了解,E佳园的视频并不是常见的视频格式,而是不常用的m3u8格式。

实际, m3u8格式可以直接在部分浏览器上播放,但不如MP4等格式易于传播。所以需要借助一些软件将m3u8转化为mp4等传统格式。

 

详细步骤

获取视频地址

1. 确保手机和电脑在同一Wi-Fi下,这样手机和电脑可以在一个局域网里。

2. 下面以Windows为例。下载并安装Fiddler软件(https://www.telerik.com/download/fiddler)。如下图:

3. 打开Fiddler软件,菜单Tools->Options->Connections, 如下图。这里端口号是8888,非常重要,因为该端口在手机上设置要用到的。Allow remote computers to connect需要勾选上,并重启Fiddler

4. 检查手机和电脑是不是在同一Wi-Fi下。

下面是手机的(Android)

我们看到电脑和手机连接的Wi-Fi都是ChinaNet-TT.

5. 获取电脑的IP地址。

打开命令行,输入ipconfig即可获取。

下面以Windows 10为例子。点击Search Windows

输入cmd,如下图

选择Command Prompt。输入ipconfig

我们可以看到IPv4 Address 那行的192.168.1.6,它就是本机IP地址。

6. 设置手机侧,以Android为例。iOS类似。

长按ChinaNet-TT,选择修改网络

接下来可以配置电脑IP和上面的端口8888了。如下面步骤。

这里192.168.1.6是Windows的IP地址。 8888是前面的端口号。

7. 打开E佳园App,进入到想看的视频。同时也打开Fiddler。

我们会发现Fiddler在不停的在滚动,这些就是App上网的记录

点个图片看看

因为抓包比较多,可以等到Fiddler滚动慢了,然后再点击想要看的视频,这样很容易定位到自己想看视频的信息

在Fiddler里,就是下图中选择的那条记录。

如何判断那条记录是我们需要找的?

  1. 记录第一列图标应该是,而且Content-Type列是application/json。
  2. URL是以/video/v/get开头
  3. 点击选择左边的记录,右边选择Inspectors,点击JSON就可以看到相应内容了。

根据以上方法,我们可以快速定位到该记录,而且右边Inspector的结果为。

{“videoUrl”:”http://ooutvideo.oss-cn-hangzhou.aliyuncs.com/classvideoout/254cab5182e24336ad9469bd70fdbe4b/act-m3u8-segment/1522510377790.m3u8?Expires=xxxxxxxxx”,”snapUrl”:”http://ooutvideo.oss-cn-hangzhou.aliyuncs.com/classvideoout/254cxxxxxxx.jpg?Expires=1522551104&OSSAccessKeyIdxxxxx”,”duration”:129.0788}

videoUrl就是视频的地址了

snapUrl是该视频的封面.

 

下载并转化视频

视频的URL找到了,接下来就要转成MP4.

1 推荐用VLC Media,https://www.videolan.org/vlc/ 下载并安装。

2 打开菜单Media->Open Network stream

输入视频URL

继续点击右下角的Play按钮的倒三角,出现如下菜单,选择Convert。出现如下对话框。

在Settings的profile选择MP4或其他格式。并在Destination file选择该视频的保存地址。最后点击Start按钮就开始下载并转化了

下图是转化的进度。

转化完后,用VLC播放一下刚才的vie.mp4.