竞天公诚网络安全与数据合规动态提报(2023-9)
作者:竞天公诚 时间:2023-10-16

 

资讯速递

 

一、境内新规

 

1、国家网信办就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见

 

9月28日,国家网信办发布了《规范和促进数据跨境流动规定(征求意见稿)》,向社会征求意见。该规定草案豁免了企业个人信息出境场景下的较多合规义务限缩了企业申报数据出境安全评估或标准合同备案的合规义务适用范围,体现了监管部门适度放宽数据出境限制、便利企业日常经营中数据出境活动、推动数据有序跨境流动的目的。要了解更详细的内容,请见下文分析。

 

2、上海市网信办召开部分商超企业个人信息保护合规工作座谈会

 

9月19日,上海市网信办会同市市场监督局、市国资委、市商务委召集本市部分商超企业,组织召开个人信息保护合规工作座谈会,要求企业在提供服务过程中,严格遵循个人信息收集的“最小、必要”和“告知、同意”原则,采取有效措施确保个人信息的收集、处理各环节做到合法合规。市网信办还同步发布了《商超购物场景下常见个人信息保护问题自查清单》,要求相关企业开展自查整改。

 

3、上海一中院发布《涉公民个人信息类刑事案件的审理思路和裁判要点》

 

9月18日,上海市第一中级人民法院发布了《涉公民个人信息类刑事案件的审理思路和裁判要点》,对涉公民个人信息类刑事案件的审理思路和裁判要点进行梳理、提炼和总结,其中包括信息类别判断、数量认定、获取个人信息的罪名选择、上下游关联犯罪等问题的分析。

 

4、北京市网信办发布《扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》

 

8月30日,北京市网信办发布了《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》,针对消费者在扫码消费过程中的消费者个人信息保护合规提出了工作指引。指引明确了6类违规问题,包括强制、诱导消费者关注公众号;未显著告知隐私政策;频繁提示注册登录,干扰使用;强制消费者提供无关个人信息;未合规向第三方提供消费者个人信息;未提供删除个人信息的功能选项。

 

5、三部门联合发文:加强车载音视频管理

 

9月14日,国家广电总局、工信部和市场监管总局近日联合印发《关于进一步加强车载音视频管理的通知》,规范车载无线广播接收终端管理。通知要求,汽车的车载终端设备应配置符合国家标准和相应行业标准的无线广播接收模块,并遵守无线广播使用频率。要了解更详细的内容,请见下文分析。

 

6、深圳市发布《深圳市企业数据合规指引》,首次将数据合规激励机制引入监管领域

 

9月11日,深圳市人民检察院、深圳市互联网信息办公室、深圳市司法局、深圳市发展和改革委员会、深圳数据交易所联合发布了《深圳市企业数据合规指引》,从数据安全合规管理组织体系、制度建设、数据全生命周期合规、数据出境合规等多个方面为企业提供了合规指引,该指引首次明确提出了对于涉案企业合规建设经评估符合有效性标准的,检察机关可以根据具体情况酌情向有关主管部门提出从轻或减轻的建议、意见,将数据合规的激励效果进一步延伸至行政监管领域。

 

7、国务院常务会议审议通过《未成年人网络保护条例(草案)》

 

9月20日,《未成年人网络保护条例(草案)》经国务院常务会议审议通过,将送至全国人大(常委会)进一步审议。草案从网络素养培育、网络信息内容规范、个人信息保护与网络沉迷防治等方面,对企业提出了一系列合规要求。

 

8、“两高一部”出台意见,对“组织‘水军’”“涉性”“深度合成”等网暴情形从重处罚

 

9月25日,最高人民法院、最高人民检察院、公安部联合发布《关于依法惩治网络暴力违法犯罪的指导意见》。意见对惩治各类形态网络暴力提出了指导性意见,对行为形态对应的犯罪类型、诉讼程序衔接等方面作出了明确规定。意见还发布了依法惩治网络暴力犯罪的典型案例要了解更详细的内容,请见下文分析。

 

9、《治安管理处罚法(修订草案)》公布:非法获取、出售或提供个人信息或被行政拘留

 

9月1日,中国人大网发布了《中华人民共和国治安管理处罚法(修订草案)》并向社会征求意见。修订草案在个人信息保护方面新增了相关条款,例如,非法获取、向他人出售、提供个人信息的,可能将被处以拘留的行政处罚。

 

10、十四届全国人大常委会立法规划公布:聚焦数据权属和网络治理

 

9月7日,十四届全国人大常委会发布了立法规划。本届立法规划包括拟提请审议数字经济促进法;继续研究论证数据权属网络治理方面立法项目。

 

11、中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》

 

中央网信办日前印发《关于进一步加强网络侵权信息举报工作的指导意见》,对网络侵权信息举报工作进行系统谋划和整体安排。指导意见明确了涉个人举报处置重点;要求建立网络暴力信息举报快速处置通道,从严处置首发、首转、多发、煽动传播网络暴力信息的账号;加强特殊群体网络合法权益保护,优先保护未成年人网络合法权益。要了解更详细的内容,请见下文分析。

 

12、央行发布《金融信息系统网络安全风险评估规范》,12月1日实施

 

8月6日,中国人民银行发布《金融信息系统网络安全风险评估规范》,这是我国首部针对金融行业网络安全风险评估的国家标准,将于2023年12月1日实施。规范中明确,其适用于“金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作”。要了解更详细的内容,请见下文分析。

 

13、科技部发布《人类遗传资源管理常见问题解答》

 

9月8日,国家科学技术部直属单位中国生物技术发展中心公布了《关于发布人类遗传资源管理常见问题解答的通知》,就《人类遗传资源管理条例实施细则》实施以来有关于申报人类遗传资源相关事项的常见问题作出了解答,并废止了2022年发布的两份问题解答。在本次解答中明确,人类遗传资源材料包括所有类型细胞、全血、组织/组织切片、精液、脑脊液、胸/腹腔积液、血/骨髓涂片、毛发(带毛囊)等,其他不含细胞的人体分泌物、体液、拭子等不属于人类遗传资源材料,尿液、粪便、血清、血浆等可能含有极少量脱落、残留或游离细胞或基因的生物样本不再纳入人类遗传资源材料管理范围。

 

14、交通运输部发布《关于推进公路数字化转型 加快智慧公路建设发展的意见》

 

9月20日,交通运输部印发《关于推进公路数字化转型 加快智慧公路建设发展的意见》,对公路设计施工、公路养护业务、路网管理服务、公路政务服务等方面的数字化提出了一系列意见与实施要求。

 

15、中国信通院发布《数据要素白皮书(2023年)》

 

9月26日,中国信息通信研究院发布了《数据要素白皮书(2023年)》,白皮书在《数据要素白皮书(2022年)》的基础上,进一步探讨数据要素理论认识,聚焦过去一年来数据要素探索过程中不断涌现的新模式、新业态、新热点,重点关注资源、主体、市场、技术四大方面的发展。

 

16、全国信安标委印发关于2023年第一批网络安全国家标准项目立项的通知

 

8月25日,全国信息安全标准化技术委员会发布了《2023年第一批网络安全国家标准项目立项清单》,其中包括网络安全产品互联互通、互联网信息服务深度合成、个人信息保护合规审计等主题标准。

 

17、《信息安全技术 网络安全服务能力要求》等4项网络安全国家标准获批发布

 

9月7日,国家标准化管理委员会发布《中华人民共和国国家标准公告2023年第9号》,批准583项推荐性国家标准和6项国家标准修改单,其中与网络安全相关的国家标准共4项,包括《信息安全技术 网络安全服务能力要求》《信息安全技术 信息安全控制评估指南》《信息安全技术 信息系统密码应用测评要求》与《信息安全技术 信息系统密码应用设计指南》。

 

18、全国信安标委发布征求国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见的通知

 

9月21日,全国信息安全标准化技术委员会发布了《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》的征求意见稿。依据《网络关键设备和网络安全专用产品目录》,控制器指令执行时间不高于0.08微秒的PLC设备属于网络关键设备

 

19、全国信安标委征求国家标准《信息安全技术 网络安全保险应用指南(征求意见稿)》意见

 

9月13日,全国信息安全标准化技术委员会发布了《信息安全技术 网络安全保险应用指南》(征求意见稿),描述了网络安全保险的概念和作用,并提出网络安全保险应用各阶段的流程和方法。要了解更详细的内容,请见下文分析。

 

20、中国支付清算协会发布支付机构合规自律指引

 

9月25日,中国支付清算协会发布了《非银行支付机构业务合规发展自律指引(2023修订版)》,《自律指引》共113条,从金融服务创新、消费者权益保护、信息科技、风险信息共享、反诈拒赌、反洗钱、自律监督等12个方面明确了合规发展自律要求。

 

21、中评协发布《数据资产评估指导意见》

 

9月8日,中国资产评估协会发布了《数据资产评估指导意见》,围绕着数据资产的评估对象、评估对象的基本属性和特征、影响价值的关键因素、数据资产评估特有的数据质量评价要求、评估方法和披露要求等的问题进行了指导,为数据资产的评估实务提供了指引。

 

22、福建版“数据20条”发布

 

9月20日,福建省数字福建建设领导小组办公室印发了《福建省加快推进数据要素市场化改革实施方案》,推动构建数据基础制度,激活数据要素潜能,加快推进数据要素市场化改革,助力做大做强做优数字经济。方案提到,到2025年,培育100家《数据管理能力成熟度评估模型》贯标单位,打造100个典型数据应用场景。

 

23、《北京市外商投资条例》(草案征求意见稿):建立数据跨境外企绿色通道与数据自由流动白名单

 

9月20日,北京市商务局发布了《北京市外商投资条例》(草案征求意见稿),旨在促进本市外商投资,规范外商投资管理,保护外商投资合法权益。条例草案第六章提出,市网信部门应当制定具体措施,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。要了解更详细的内容,请见下文分析。

 

24、天津市知产局发布《天津市数据知识产权登记办法(试行)(征求意见稿)》

 

9月12日,天津市知识产权局发布《天津市数据知识产权登记办法(试行)》征求意见稿。办法共七章二十七条,规定了登记申请、登记内容、登记程序、变更登记、证书效力等方面内容。办法明确申请登记的数据应当提前运用具有专业性和可信性的区块链等相关技术进行存证并进行保全公证,提升数据的可信赖、可追溯水平和价值可衡量性水平。

 

25、《贵州省数据要素登记管理办法(试行)》公开征求意见

 

8月31日,贵州省大数据发展管理局公开《贵州省数据要素登记管理办法(试行)》草案,向社会征求意见。在数据产权登记方面,相比于其他省份试点文件中的“数据”“数据集”“数据集合”,贵州草案强调范围更大的“数据要素”登记,包括数据资源,算法模型、算力资源以及所形成的产品和服务纳入登记对象,并对每类登记所需的材料进行了详细规定。

 

二、境内监管动态

 

1、国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚 

 

9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。要了解更详细的内容,请见下文分析。

 

2、市场监管总局开展个体工商户信用监管数据质量提升试点

 

9月5日,市场监管总局官网发布信息称,其印发文件,部署在江西省、广西壮族自治区、广东省中山市、陕西省汉中市、江苏省常熟市、辽宁省沈阳市铁西区等6个地区,开展个体工商户信用监管数据质量提升试点工作

 

3、国家互联网信息办公室关于发布第二批深度合成服务算法备案信息的公告

 

9月1日,国家互联网信息办公室发布了《关于第二批深度合成服务算法备案的信息公告》,公布了第二批110个算法备案信息,涉及360、百度、华为、金山办公等诸多互联网企业。该备案工作源自《互联网信息服务深度合成管理规定》第十九条规定:“具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案”。

 

4、中央网信办开展“清朗·生活服务类平台信息内容整治”专项行动

 

9月28日,中央网信办发布通知,决定自即日起在全国范围内启动为期2个月的“清朗·生活服务类平台信息内容整治”专项行动。专项行动覆盖团购评价、婚恋交友、搜索引擎、影视点评、天气日历、旅游出行、网络购物、地图导航、本地生活、运动健康、实用工具等各类生活服务平台,重点整治为线下违法活动引流、搜索环节呈现违法信息、发布违规营销信息、组织操纵刷分控评、重点环节推荐低俗不良信息、传播网络迷信信息、散布炫富拜金、暴饮暴食等不良导向信息等7类信息内容突出问题。

 

5、永定警方跨省全链条团灭1600余台非法侵入计算机系统终端

 

按照“净网2023”、公安部夏季治安打击整治行动以及张家界市“铁腕治旅”专项行动总体部署,近期,张家界市公安局永定分局网安大队在省厅网技总队、市局网技支队和市委网信办的大力支持下,成功破获1起利用黑客软件,绕过某直播平台安全机制,非法获取旅游推广直播间观众(含播主粉丝)信息,再低价倒卖给本地旅行社的团伙案件。查获软件开发运营、技术支持、代理推广等各环节犯罪嫌疑人21名。

 

6、浙江省通信管理局公布2023年电信和互联网行业网络安全检查名单和迎检要求

 

9月5日,浙江省通信管理局发布《关于公布2023年电信和互联网行业网络安全检查名单的通知》(“《通知》”)。根据《通知》,浙江省通信管理局将于2023年9-10月委托相关技术支撑单位对浙江省内增值电信企业开展网络安全检查,被检查单位应按照迎检要求提前准备迎检材料,积极配合检查工作。因故无法接受检查的,需出具相关证明材料。无故拒绝或拖延检查的,浙江省通信管理局将按照《中华人民共和国网络安全法》《通信网络安全防护管理办法》依法进行处理。

 

7、“清朗·杭州亚运会和亚残运会网络环境整治”专项行动开展

 

9月29日,中央网信办通报“清朗·杭州亚运会和亚残运会网络环境整治”专项行动成果。截止目前,微博、抖音等重点平台累计处置违法违规账号1万余个,清理相关信息7.4万余条,下架违规商品1.5万件,发布治理公告20期。

 

8、上海市网信办对属地46款App收集使用个人信息情况开展专项检查

 

为规范App个人信息处理活动,保护公民个人信息合法权益,根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,结合12345市民服务热线、市民来信举报等线索,2023年4月至9月,上海市网信办对属地下载量较大及投诉较多的46款App开展了收集使用个人信息专项检查,共发现160余项问题。经过通报和跟进指导,截至目前,各App运营单位均已完成问题整改。

 

9、上海市一政务信息系统技术服务公司因公民个人信息遭境外披露兜售被行政处罚

 

上海市某政府政务信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口。2022年7月,相关公民个人信息在境外黑客论坛被披露兜售。

 

经查,该公司租用1台私有云服务器用于对未交付政务系统的研发测试和演示验收工作,存储了大量公民信息和政务信息,涉及公民个人信息数据1.5万余条。日前,上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚

 

10、上海组织140余家金融理财服务类机构开展个人信息保护普法培训

 

9月5日,上海市网信办会同国家金融监督管理局上海监管局,以及市银行同业公会、市保险同业公会等部门组织开展“网络理财小贷场景下个人信息保护”普法培训和行政指导,交通银行、浦发银行、上海农商银行、人保财险上海分公司、太保产险上海分公司等140余家金融机构相关消保部门负责人参加本次培训班,涉及营业网点3848个。

 

三、境外新规

 

1、欧盟委员会公布首批6家《数字市场法案》“看门人”企业,涵盖苹果App Store等22项核心平台服务

 

欧盟委员会9月6日根据《数字市场法案》(DMA),首次指定六家企业Alphabet、亚马逊、苹果、字节跳动、Meta、微软为“看门人”,包含它们提供的22项核心平台服务,其中有苹果App Store、Facebook、Chrome、Windows PC OS等。上述企业将有6个月的时间来确保其指定的每项核心平台服务完全符合《数字市场法案》规定的义务。同时,欧盟委员会还启动了四项市场调查,以进一步评估微软Bing、Edge和微软广告以及苹果iMessage是否能获豁免。要了解更详细的内容,请见下文分析。

 

2、英美确认个人数据跨境传输“数据桥”,10月12日起正式生效

 

9月21日,英国正式确认“英美数据桥”(UK-US data bridge)已于10月12日生效,届时英国的组织将能够将个人数据传输到获得“欧盟-美国数据隐私框架的英国扩展”认证的美国组织,而无需进一步的保护措施,例如英国GDPR中规定的国际数据跨境传输协议或有约束力的公司规则。

 

3、东盟正式启动《东盟数字经济框架协议》谈判

 

9月3日,东盟启动了东盟《数字经济框架协定》(Digital Economy Framework Agreement,DEFA)谈判工作,以促进东盟成员国密切合作,创建可持续和包容性的数字生态系统。谈判重点关注数字贸易、跨境电商、网络安全、数字身份证、数字支付、数据跨境流通等新兴议题。谈判将由东盟DEFA谈判委员会全面负责,预期2025年完成。

 

4、ISO发布关于“同意记录”的技术规范

 

8月8日,国际标准化组织发布《隐私技术——同意记录信息结构》(Privacy technologies — Consent record information structure,ISO/IEC TS 27560:2023)的技术规范文件,就组织和个人对于从个人信息主体处获得的同意记录、个人信息主体跟进该等同意状态的方式相关的信息管理提出了若干要求与建议。

 

5、美国加州参众两院通过《删除法案》

 

9月14日,加利福尼亚州立法机关通过了参议院第362号法案,即《删除法案》(Delete Act),该法案旨在强化消费者删除权的行使,消费者将被赋予要求数据经纪人提供可访问的删除机制的权利。该法案将是美国第一个允许普遍删除数据的法案,它将一定程度阻碍对营销人员至关重要的数据生态系统。该法案预计将在州长签署后于2026年生效,其对以数据驱动的互联网广告营销产生重要影响。

 

6、英国ICO发布共享信息以保护儿童或青少年的10步指南

 

9月14日,英国信息专员办公室(Information Commissioner’s Office,ICO)发布了共享儿童或青少年信息的10步指南,以保护其免受身体、情感或精神伤害。该指南的制定是为了回应相关组织和一线工作人员的担忧,他们可能会因为担心违反数据保护法而不愿共享信息。

 

7、英国信息专员办公室发布关于发送包含敏感个人信息的电子邮件的指南

 

8月30日,英国信息专员办公室(ICO)发布了《电子邮件与安全指南》。在该指南中,ICO建议组织实施技术和组织措施,以降低通过电子邮件发送个人信息时涉及的风险。此外,该指南还提醒各组织在发送敏感个人信息时不要仅使用电子邮件密件抄送功能。

 

8、加州隐私保护局发布《网络安全审计条例》和《风险评估条例》草案

 

8月28日,加州隐私保护局(CPPA)发布《风险评估条例(草案)》(Draft Risk Assessment Regulations)和《网络安全审计条例(草案)》(Draft Cybersecurity Audit Regulations)。其中,《网络安全审计条例》中对“网络安全审计”等重要术语进行了定义,并对服务提供商和承包商因个人信息收集所产生的网络安全审计义务进行了详细的规定,例如配合企业完成第九条中的网络安全审计的充分性和独立性、网络安全审计的适用范围等等。《风险评估条例》给出了“人工智能”和“自动决策技术”的定义,以及对服务提供商和承包商的风险评估要求、对消费者依据CCPA提出的请求进行响应、协助企业向消费者提供有关其自动决策技术的有意义的信息等等。

 

9、瑞士新修订的《联邦数据保护法》及实施条例9月1日生效

 

9月1日,瑞士新修订的《联邦数据保护法》(Federal Act on Data Protection,FADP)及其实施条例生效,一同生效的还有《FADP实施条例》以及修订后的《数据保护认证条例》。修订后的FADP适用范围与GDPR一致,适用于自然人个人数据的处理,不再包含法人实体的数据。敏感数据定义已扩展至包括遗传和生物识别数据。

 

10、瑞士数据保护机构发布《数据保护影响评估情况说明》

 

8月31日,瑞士联邦数据保护机构发布《数据保护影响评估情况说明》(Merkblatt zur Datenschutz-Folgenabschätzung),为数据保护影响评估目的、保护对象、适用情形以及可能的结构提供指南。个人数据处理行为是否会对数据主体基本权利带来高风险,应当结合数据处理的性质、范围、目的、情况等因素确定。数据保护影响评估可能涵盖包括负责人、数据处理情况、潜在的高风险、风险降低措施、所采取措施对潜在的高总风险的影响、评估结果等内容。

 

四、境外监管动态

 

1、美国加利福尼亚州总检察长宣布与谷歌就其地理位置隐私实践达成9,300万美元的和解协议

 

美国加州总检察长Rob Bonta于2023年9月14日宣布,已与谷歌公司达成一项9,300万美元的和解协议,用于解决有关谷歌收集、使用和保留消费者地理位置信息违反《不公平竞争法》和《虚假广告法》的指控。

 

2、ChatGPT制造商OpenAI再次被指控存在系列违反GDPR数据保护行为

 

8月30日,波兰隐私研究人员Lukasz Olejnik向波兰数据保护机构提出详细投诉,指控ChatGPT制造商OpenAI在合法基础、透明度、公平性、数据访问权和隐私设计(PbD)等多个方面违反了欧盟的《通用数据保护条例》(GDPR)。该投诉认为OpenAI还忽视了GDPR中与监管机构进行事先协商的要求,在发现人们权利面临高风险的时候,没有采取相应的缓解措施,也没有与监管机构接触。如果OpenAI的行为最终被确认违反GDPR,可能会受到高达全球年营业额4%的处罚。

 

3、访问权限设置错误!微软AI团队38TB数据泄露,涉员工电脑备份和服务密码

 

9月18日,云安全公司Wiz Research发布公告称,在微软AI的GitHub存储库中发现了一起数据泄露事件:微软 AI 研究团队在GitHub上发布大量开源培训数据时,意外暴露了38TB的额外私人数据,其中还有两名员工工作站的磁盘备份,包括了机密信息、私钥、密码和超过30000条内部Microsoft Teams消息。这一切是由一个配置错误的SAS(共享访问签名)令牌引起。

 

4、德克萨斯州地方法院对非法自动呼叫行为处以超过一亿四千六百万美元的罚款

 

9月6日,阿肯色州总检察长(AG)Tim Griffin宣布,美国德克萨斯州南部地方法院休斯顿分部已于2023年8月15日针对一位个人和Health Advisors of America, Inc.和另一位个人颁发了两项永久禁令,分别涉及案件编号4:20-cv-02021 State of Texas, et. al., v. Rising Capital Group LLC., et.al,并对被告处以两项总计146,153,860美元的罚款,原因是被告进行非法自动呼叫,违反了《联邦电话消费者保护法》《联邦电话营销销售规则》和多个州的消费者保护法法律。此外,法院永久限制并禁止被告及其代理人向上述AG管辖的辖区进行自动呼叫

 

5、谷歌因违法收集用户数据被荷兰消费者协会告上法庭

 

9月,荷兰的两家非营利组织——保护隐私利益基金会(FPPI)以及荷兰消费者协会(Consumerntenbond)代表成千上万的用户将谷歌告上法庭。谷歌被指控在未获得许可的情况下,在提供服务的过程中大规模收集用户的网络行为、位置数据等,涉嫌严重侵犯用户隐私。原告要求谷歌停止跟踪和共享数据,并向每位用户支付750欧元的赔偿。面对这一指控,目前谷歌发言人拒绝置评。

 

6、爱尔兰数据保护委员会对TikTok侵犯儿童隐私罚款3.45亿欧元

 

9月15日,爱尔兰数据保护委员会(DPC)宣布,对TikTok的调查已达成最终决定,宣布对其处以3.45亿欧元的罚款,以解决其因处理儿童用户的个人数据不当(儿童用户的个人资料默认设为公开;“家庭配对”设置允许非儿童账户与儿童账户配对,但TikTok无法验证非儿童用户否是儿童的父母或监护人;TikTok没有向儿童用户提供足够的透明度信息;TikTok在隐私设置上采用了“黑暗模式”,即在注册和发布视频时引导用户选择更加公开隐私的选项)而涉嫌违反欧盟《通用数据保护条例》(GDPR)的问题,同时还命令TikTok在三个月内改正其违规数据处理行为。

 

重点法规解读

 

一、国家网信办就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见

 

2023年9月28日,国家互联网信息办公室起草的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境新规》”)面向社会公开征求意见。

 

《数据跨境新规》共11条,其中第11条明确,“《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行”。其内容有效回应了当前企业数据出境合规过程中的部分困惑,并通过正面列明豁免清单的形式,降低了部分企业数据出境过程中的合规成本,也为自贸区内数据出境负面清单制度的先行先试留下了政策空间。

 

根据《数据跨境新规》,国际贸易、学术合作、跨国生产制造和市场营销等活动中不包含个人信息或者重要数据的数据出境;境外数据入境再出境;为订立、履行个人作为一方当事人的合同所必需而向境外提供个人信息的,以及按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理必须向境外提供内部员工个人信息等情形下,均不再需要申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。此外,预计一年内向境外提供不满1万人个人信息的情形也受到上述豁免。但应注意,《数据跨境新规》并未豁免出境中的个人同意。

 

《数据跨境新规》也具体确定了采用何种数据出境机制的判断逻辑,其中删除了对个人敏感信息的格外关注,也不再将数据出境主体所掌握的个人信息数量作为考量因素,而是直接从出境的数据数量上进行规制。实际上提高了触发数据安全评估等数据出境机制的门槛,豁免了较小规模个人信息出境活动履行数据出境机制的义务,减轻了企业负担。

 

当然,《数据跨境新规》在对一般的企业和机构涉及的数据出境活动“松绑”的同时,仍然强调了对事关国家安全的数据出境活动的强监管立场,在涉及国家安全的数据出境上仍应严格按照适用法律法规和部门规章的要求履行数据出境安全评估和其他义务。

 

整体来看,《数据跨境新规》大大豁免了企业个人信息出境申报数据出境安全评估或个人信息出境标准合同备案的义务范围,体现了监管部门在遵守法律所确立的数据出境监管框架前提下,适度放宽数据出境限制、便利企业日常经营中数据出境活动、推动数据有序跨境流动的目的,对企业来说是重大利好。但需要注意的是,《数据跨境新规》在第九条重申“数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告”。总之,企业无论属于何种数据出境情形,均应继续现有法律法规要求的数据安全责任和义务,例如出境个人信息的应依照《个人信息保护法》的规定开展事前进行个人信息保护影响评估等。

 

二、央行发布《金融信息系统网络安全风险评估规范》,12月1日实施

 

2023年8月6日,中国人民银行发布《金融信息系统网络安全风险评估规范》(GB/T 42926-2023)(以下简称“《规范》”),这是我国首部针对金融行业网络安全风险评估的国家标准,将于2023年12月1日实施。《规范》中明确,其适用于“金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作”。在评估过程中,应遵循可控性、全面性、最小影响性和保密性的工作原则。风险评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险。风险评估围绕基本要素展开,并应当“充分考虑与基本要素相关的各类属性”。同时,《规范》将风险评估分为准备阶段、识别阶段、风险计算及处理阶段,并在附录中给出了网络安全制度防护脆弱性评估参考样例。

 

企业在进行金融信息系统的网络安全风险评估时应注意以下几点。第一,《规范》中引入了“业务”这一关键风险要素,增加了资产支撑业务、风险影响业务、安全措施保障业务这三项新的要素关系,并强调了业务要素在金融信息系统风险评估工作中的前置作用,因此企业应当先对资产和业务的关联分析,将风险要素充分结合业务要求,明确业务要素与资产、脆弱性、威胁和风险等要素的关系,进而明确资产在业务开展中的作用。第二,《规范》在风险评估的各环节都提出了进一步的方法指导,包括在资产赋值方面根据资产的保密性、完整性和可用性上的赋值与业务重要性做出方法指导,在威胁赋值方面主要考虑信息系统可能面临的威胁能力、以往安全事件报告中出现过的威胁频率的统计、实际环境中通过检测工具以及各种日志发现的威胁频率的统计、近一两年来CNVD、CNNVD、CVE等国内外权威机构发布的威胁情报信息等4个方面进行评估。而在脆弱性赋值中,《规范》提出应先评估资产脆弱性的严重程度再评估资产脆弱性被威胁所利用的可能性的方式进行脆弱性定级,企业在资产脆弱性的严重程度方面可以参考附录A,其中针对11种脆弱性识别对象,分别给出了具有指导性的脆弱性细则评分表以及汇总计算公式。最后,《规范》准确地给出了金融信息系统风险状况,提出了量化的风险计算公式和风险等级区间。

 

三、“两高一部”联合发布《关于依法惩治网络暴力违法犯罪的指导意见》暨典型案例

 

2023年9月20日,为依法惩治网络暴力违法犯罪活动,有效维护公民人格权益和网络秩序,根据刑法、刑事诉讼法、民法典、民事诉讼法、个人信息保护法、治安管理处罚法及《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》等法律、司法解释规定,结合执法司法实践,最高人民法院、最高人民检察院、公安部印发了《关于依法惩治网络暴力违法犯罪的指导意见》。(以下简称“《意见》”)

 

《意见》要求夯实网络信息服务提供者的主体责任:(1)网络服务提供者基于蹭炒热度、推广引流等目的,利用互联网用户公众账号等推送、传播有关网络暴力违法犯罪的信息,符合刑法第二百八十七条之一规定的,以非法利用信息网络罪定罪处罚;(2)对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播或者有其他严重情节,符合刑法第二百八十六条之一规定的,以拒不履行信息网络安全管理义务罪定罪处罚;(3)依照刑法和司法解释规定,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。实施网络侮辱、诽谤等网络暴力行为,尚不构成犯罪,符合治安管理处罚法等规定的,依法予以行政处罚

 

近年来,有关部门不断依法加大整治力度。例如中央网信办开展“清朗·网络暴力专项治理行动”,通过建立完善监测识别、实时保护、干预处置、溯源追责、宣传曝光等措施,进行全链条治理。2022年11月,《关于切实加强网络暴力治理的通知》印发,要求各重点网站建立健全网络暴力防治机制,拦截清理涉网络暴力信息;2023年7月7日,《网络暴力信息治理规定(征求意见稿)》正式发布,强效力的监管规定即将出台。上述各项文件均强调问责处罚失职失责的网站平台。对于网暴信息扎堆、防范机制不健全、举报受理处置不及时以及造成恶劣后果的网站平台,依法依规采取通报批评、限期整改、罚款、暂停信息更新、关闭网站等处置处罚措施,从严处理相关责任人

 

为规避法律风险,履行网站平台主体责任,我们建议网络平台企业切实加大网暴治理力度,参照《关于切实加强网络暴力治理的通知》《网络暴力信息治理规定(征求意见稿)》的要求履行相应合规义务。

 

四、《信息安全技术 网络安全保险应用指南》公开征求意见

 

2023年9月13日,全国信息安全标准化技术委员会发布了《信息安全技术 网络安全保险应用指南》(征求意见稿)(以下简称“《应用指南》”),描述了网络安全保险的概念和作用,并提出网络安全保险应用各阶段的流程和方法。

 

网络安全保险是一种财产保险,其承保因发生网络安全事件所造成的经济损失(通常被称为“第一方损失”)以及需承担的法定赔偿责任(通常被称为“第三者责任”)。《应用指南》介绍了相关概念定义,例如“网络安全事件”与“网络安全保险”,并提出了网络安全保险应用的流程包括(1)投保前风险评估;(2)保险期间风险控制;及(3)出险后事件评估三个阶段。

 

2023年7月,工业和信息化部和国家金融监管总局发布《关于促进网络安全保险规范健康发展的意见》,提出“建立覆盖网络安全保险服务全生命周期的标准体系,明确承保、核保、理赔等主要环节基本流程和通用要求。”在前述政策背景下,《应用指南》提出并明确了网络安全保险业务中的相关概念、流程和方法,解决了投保企业对网络安全保险产品缺乏统一理解、对保障范围认知差异大的问题,明确了网络安全保险应用流程,为今后网络安全保险行业的发展奠定了基础。我们建议企业关注自身网络安全风险,在必要时通过购买网络安全保险的方式转移网络、数据安全风险,减轻网络安全事件给企业业务运营带来的不利影响。

 

五、三部门联合发文:加强车载音视频管理

 

国家广电总局、工信部和市场监管总局于9月14日联合印发《关于进一步加强车载音视频管理的通知》。通知指出,将规范车载无线广播接收终端管理,积极引导推动在国内市场生产、销售的所有国产汽车和进口汽车的车载终端设备配置无线广播接收模块,规范车载网络音视频服务管理,强化公共服务节目供给,规范车载音视频运营管理,制定和完善相关国家标准等方面促进车载音视频相关产业链健康有序发展,营造良好的车载音视频传播空间。值得注意的是,通知对规范车载网络音视频服务管理提出一系列具体意见:

 

 • 从事车载网络音视频服务应取得相应许可。车载网络音视频服务机构应向广播电视主管部门申领《信息网络传播视听节目许可证》,取得车载网络音视频服务资质,向工业和信息化主管部门履行移动互联网应用程序(APP)备案手续;

 

 • 通过普及无线广播接收模块或预装车载网络音视频APP等方式形成主流声音在车辆空间传播保障机制,建立中央主流媒体直达传输通道;

 

 • 将中央广播电视总台“中国之声”广播节目、“新闻频道CCTV-13”电视节目作为公共服务节目源优先向公众免费提供,车载网络音视频APP应在显著位置提供接入通道,以便公众清晰获取、快速接入;

 

• 持续打击治理“黑广播”、擅自冠名“电台”等名称的违法、违规活动;

 

 • 要求广播电视主管部门加强对车载音视频服务机构的准入管理和日常监督,并建立车载音视频内容监听监看机制,确保车载音视频系统传输内容健康有益。

 

六、中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》

 

2023年9月15日,中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》(以下简称“《指导意见》”),对网络侵权信息举报工作进行系统谋划和整体安排。《指导意见》明确网络侵权信息举报工作两大任务。一是切实保护公民个人网络合法权益。要求各地网信部门把握举报受理重点内容和重点领域;建立网络暴力信息举报快速处置通道,从严处置首发、首转、多发、煽动传播网络暴力信息的账号;加强特殊群体网络合法权益保护,优先保护未成年人网络合法权益。二是切实维护企业网络合法权益。要求开设线上涉企举报专区,健全举报查证机制,强化举报政策指导,重点受理处置侵害企业及企业家名誉的虚假不实信息、违法网站和账号,优化网上营商环境,支持各类企业做大做优做强。

 

为实现以上重点任务,《指导意见》要求压紧压实网站平台主体责任。我们认为各级网信部门可能于近期开展相应监管行动,因此企业应及时对照《指导意见》要求开展平台内网络侵权信息自查与处置工作,并采取“限时加私”“争议标签”等措施,切实保障个人、组织合法权益

 

七、国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚

 

9月6日,国家互联网信息办公室官网发布消息,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

 

9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。

 

八、《北京市外商投资条例》:建立数据跨境外企绿色通道与数据自由流动白名单

 

9月20日,北京市商务局牵头起草并发布了《北京市外商投资条例》(草案征求意见稿,以下简称“《条例》”),旨在促进本市外商投资,规范外商投资管理,保护外商投资合法权益,推动首都开放型经济高质量发展。现就上述文件向社会公开征求意见,并就文件内容是否具有排除、限制竞争效果(公平竞争审查)征求社会公众意见。

 

《条例》草案共设总则、投资准入、投资促进、投资保护、投资管理、投资便利、投资服务、法律责任、附则等9章,44条。其中,《条例》第六章“投资便利”明确了数据跨境等方面相关便利措施,明确依法实施外商投资企业数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度。市网信部门应当会同有关部门,按照国家部署,制定具体措施,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。

 

九、欧盟委员会公布首批6家《数字市场法案》“看门人”企业,涵盖苹果App Store等22项核心平台服务

 

欧盟委员会9月6日根据《数字市场法案》(DMA),首次指定六家企业Alphabet、亚马逊、苹果、字节跳动、Meta、微软为“看门人”,包含它们提供的22项核心平台服务,其中有苹果App Store、Facebook、Chrome、Windows PC OS等。上述企业将有6个月的时间来确保其指定的每项核心平台服务完全符合《数字市场法案》规定的义务。同时,欧盟委员会还启动了四项市场调查,以进一步评估微软Bing、Edge和微软广告以及苹果iMessage是否能获豁免。

 

根据法案,“看门人”企业指提供社交网络、搜索引擎等核心平台服务的大企业,其市值至少为750亿欧元或年营业额75亿欧元,还需在欧盟每月至少有4500万终端用户,每年有1万名商业用户。法案确保这些企业不会滥用自己的地位。《数字市场法案》规定了大型在线平台的义务,这些公司必须允许商业用户访问他们在平台上生成的数据,允许他们推广自己的产品。

 

此外,欧盟委员会还将在12个月内完成对苹果iPadOS的市场调查。该委员会还认为,尽管Gmail、Outlook.com和三星互联网浏览器达到了法案规定的“看门人”资格门槛,但Alphabet、微软和三星提供了充分合理的论据,表明这些服务不符合“看门人”的资格。因此,欧盟委员会决定不将Gmail、Outlook.com和三星互联网浏览器指定为核心平台服务。三星并未被指定为任何核心平台服务的“看门人”。

微信公众号 ×

使用“扫一扫”即可添加关注