竞天公诚网络安全与数据合规动态提报(2024年8月)
竞天公诚网络安全与数据合规团队
本期编辑团队:张燕、梁天翔、张宜轩、刘瑞华、金梦开、胡月奕、孙永欣、向镇、丁煜
1.《网络数据安全管理条例(草案)》经国务院审议通过
8月30日,国务院常务会议审议通过《网络数据安全管理条例(草案)》。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
8月30日,北京市互联网信息办公室、北京市商务局和北京市政务服务和数据管理局三部门共同发布了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》和《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(统称“负面清单”)。负面清单主要适用于在北京自贸试验区内登记注册并从事数据跨境活动的企业。这些企业在满足条件的情况下,可以通过遵循规定的负面清单制度来简化数据出境流程。负面清单明确了数据处理者的责任,详细规定了申请流程及审核期限,包括如何提交申请、所需材料、审核流程以及后续备案结果的通知,同时也列明了在特定情况下备案可能需要更新或终止的具体情形。
3.上海市临港新片区第二批数据跨境场景化操作指引(一般数据清单)新增再保险、航运、证券3个领域
2024年8月19日,临港新片区管委会数据管理部门的一位负责人表示,即将推出的第二批数据跨境场景化操作指引(一般数据清单)不仅涵盖了新增的再保险、航运和证券三个领域,还将对先前已经发布的智能网联汽车、公募基金和生物医药三个领域的清单进行迭代更新。今年5月17日,临港新片区首次发布了《数据跨境场景化一般数据清单》,适用于在上海自由贸易试验区及临港新片区内注册并从事数据跨境流动活动的相关企业,但不包括关键信息基础设施运营者。根据该清单,符合条件的数据处理者可以对其所涉及的一般数据向临港新片区管委会申请备案登记,在符合管理规定的前提下实现数据的自由流动。
4.全国网安标委就《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》公开征求意见
《指南》旨在规范互联网平台在停服时的数据处理行为,确保数据安全,保护个人和组织的合法权益,维护国家安全和公共利益。对于互联网平台停服时的数据处理,《指南》规定了基本的安全措施和义务,要求互联网平台运营者区分核心数据、重要数据和一般数据,并采取相应的安全措施。《指南》详细列出了个人信息处理的要求,包括发布个人信息处置公告、转移个人信息、继续保存个人信息、委托处理个人信息及个人信息删除等内容。对掌握重要数据、1000万人以上个人信息的互联网平台运营者,《指南》规定了遵守重要数据处置方案报告和重要数据删除等要求。
5.国家市场监督管理总局发布《互联网广告可识别性执法指南》
《指南》详细规定了广告标注的具体要求,明确了标注的责任主体及实施方法,从而清晰回答了“由谁标注”和“如何标注”的问题,增强了规则的透明性和可预见性。此外,《指南》引入了多元化的标注手段,例如语音提示和“打包”标注等方式,减轻了企业的合规负担。《指南》通过列举具体的实施情境,避免了僵化执法的问题,并在实际操作中展现了灵活性,从而减少了不必要的法律制裁。与此同时,《指南》还紧跟AI和深度合成技术的发展步伐,提倡广告发布者主动披露所使用的技术手段,促进了相关技术应用的规范化发展。
6.北京市市场监督管理局发布《北京市直播带货合规指引》
近日,北京市市场监督管理局发布了《北京市直播带货合规指引》(以下简称“《指引》”),旨在规范直播带货行业,确保所有参与方合规经营,并保障消费者的合法权益。《指引》明确了直播平台、直播间运营者及直播带货人员的合规要求,包括核实直播间运营者的身份、保证商品质量合格以及建立健全的投诉举报机制等内容。此外,要求平台经营者需加强对直播内容的监督,直播带货人员则必须确保宣传内容的真实性和合法性,并严格遵守广告法的相关规定。
7.全国旅游标准化技术委员会就旅游行业标准《旅游大数据安全与隐私保护要求》(征求意见稿)公开征求意见
《旅游大数据安全与隐私保护要求》(征求意见稿)(以下简称“《旅游大数据安全要求》”)从数据收集、传输、存储、使用、公开到退役的整个生命周期全面规范了旅游大数据的安全管理和隐私保护。《旅游大数据安全要求》特别强调了对游客个人敏感信息的保护,通过实施数据分级管理,根据数据的重要程度及对个人可能产生的影响,将旅游大数据划分为五个等级,并针对每一级别制定了相应的保护措施。此外,还要求旅游大数据管理机构建立健全的安全管理制度,执行严格的权限控制,确保数据在使用、传输、存储等过程中的机密性、完整性和可用性。针对旅游移动应用、信息收集设备以及二次数据利用等典型场景,提出了具体的安全措施,这些措施旨在防范数据泄露和不当使用,切实维护游客的隐私权益,为旅游业的数据安全构筑起坚实的屏障。
8.湖南省委网信办发布《关于发布政务信息系统网络安全评估报告模板的通知》
为规范省直单位政务信息系统网络安全评估工作,湖南省委网信办印发了《关于印发<政务信息系统网络安全评估实施指南(试行)>的通知》(湘网办发〔2024〕19号),要求政务信息系统(含新建、扩建和改造升级系统)项目建设单位应按照省直单位前置审查中网络安全联审意见及《实施指南》开展有关安全评估工作,并将评估报告提交省委网信办备案。为规范报告编制工作,省委网信办发布《重要数据安全风险评估报告模板 》《系统上线安全检测和安全措施有效性验证报告模板》《个人信息保护影响评估报告模板》《APP安全检测报告模板相关报告模板》,确保报告质量。
9.广州市政务服务和数据管理局就《广州市公共数据授权运营管理暂行办法(征求公众意见稿)》征求意见
2024年8月1日,广州市政务服务和数据管理局发布关于公开征求《广州市公共数据授权运营管理暂行办法(征求公众意见稿)》(以下简称“《办法》”)意见的公告。《办法》明确了公共数据授权运营的基本原则,首创“公共数据运营机构与数据商功能分离”模式。在数据安全和隐私保护方面,《办法》要求建立全流程可追溯的安全监管体系,确保数据来源可溯、去向可查,切实保护个人信息和商业秘密。
10.安徽省财政厅发布关于规范和加强行政事业单位数据资产管理的通知
《通知》提出:健全体制机制,推动数据资产管理协同共治;规范全程管理,有效促进数据资产赋能增值;严格安全监管,确保数据资产全过程安全合规;统筹推进实施,积极探索数据资产管理路径。要求以数据资产合规高效流通使用、赋能实体经济为主线,规范和加强行政事业单位数据资产全流程管理,依法依规推动用于公共治理、公益事业的数据资产有条件无偿使用,支持用于产业发展、行业发展的数据资产有条件有偿使用,为保障行政事业单位履职和事业发展、赋能数字经济高质量发展提供更加坚实的基础。
11.全国网安标委就《数据安全技术 数据接口安全风险监测方法(征求意见稿)》公开征求意见
8月2日,全国网安标委就《数据安全技术 数据接口安全风险监测方法》公开征求意见。文件给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点,适用于指导各类组织开展的数据接口安全风险监测活动。
12.《汽车整车信息安全技术要求》等三项国家强制性标准发布
8月23日,全国标准信息公共服务平台公布《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》、《智能网联汽车 自动驾驶数据记录系统》3项强制性国家标准,标准将于2026年1月1日实施。标准对智能网联汽车产品的网络安全能力提出强制性要求,也为车企开展网络安全及信息安全建设提供了有效指导。
1.上海市发布生成式人工智能服务登记信息公告(8月30日)
根据《生成式人工智能服务管理暂行办法》要求,上海市有序开展生成式人工智能服务备案工作。截至8月30日,上海市新增包括公济小壹A1就医助理、Healthcare-Agent、智能理财助理蚂小财、罗塞塔编程助手、万能小in、智工问答等已完成登记的生成式人工智能服务10款,累计已完成30款生成式人工智能服务登记。已上线的生成式人工智能应用或功能被要求在显著位置或产品详情页面标明所取得的上线编号。
2.国家网信办发布《第七批深度合成服务算法备案信息》
8月5日,国家互联网信息办公室发布第七批境内深度合成服务算法备案信息,备案清单显示,中国法研法律服务内容生成算法、嘉之亨内容生成算法、ChatGript图生图算法、大明白大语言模型算法、智己多模态AI视觉图像生成式算法等487款境内深度合成服务算法完成备案,取得备案编号。
广州互联网法院判决认为,某国际酒店向旗下所有商业合作伙伴及营销部门人员共享消费者个人信息的行为,超出履行合同必需,对个人权益具有潜在风险,应当承担民事侵权责任。该案的审理明确了个人信息跨境处理的“合同所必需”规则审查标准,推动提升个人信息出境活动规范化水平。
4.浦东新区检察院办理的全国首例人工智能领域侵犯商业秘密案审结
A公司是一家从事人工智能芯片研发及销售的企业,机房内存储了包含该公司芯片研发核心代码在内的大量保密数据。A公司调查发现,公司股东郭某将服务器中存储的包含芯片研发核心代码在内的大量保密数据复制传输至非公司所有电脑并上传到云端。经专业鉴定机构鉴定,涉案技术信息具有非公知性,郭某窃取的核心技术信息代码与A公司主张的代码具有同一性。经评估,涉案两项技术信息的合理许可使用费共计230余万元。今年2月,浦东新区检察院以涉嫌侵犯商业秘密罪对郭某提起公诉。日前,法院开庭审理了此案,以侵犯商业秘密罪依法判处被告人郭某有期徒刑二年,缓刑二年,并处罚金10万元。
5.中央网信办启动“清朗·网络直播领域虚假和低俗乱象整治”专项行动
为督促网络直播平台落实主体责任,强化网络主播行为管理,推动网络直播行业健康有序发展。中央网信办在全国范围内部署开展为期1个月的专项行动,围绕网络直播领域虚假和低俗乱象,重点整治五类突出问题:一是编造虚假场景人设,无底线带货营销;二是“伪科普”“伪知识”混淆视听;三是传播“软色情”信息;四是扰乱社会秩序,侵犯他人权益;五是欺骗消费者,销售假冒伪劣商品。要求各级网信部门通过开展专项行动,督促指导属地网站平台,加强网络主播规范管理,强化用户行为规范,优化推荐机制。
西部数据交易中心与华夏银行重庆分行合作,成功发放全国首笔“数据资产挂钩抵押贷款”,金额达130万元。该贷款模式允许企业以数据资产为抵押,降低银行风险,并将利率与数据价值挂钩,激励企业盘活数据资源,为小微企业融资提供了新途径。
近日,济宁市召开数据要素市场化配置改革会议,启动“数据资产入表保险”试点,并颁发全国首张相关保单。这一新险种旨在解决企业数据资产入表风险,保障企业数据价值实现,促进数据要素价值释放。
上海市公安局通报上海警方深入推进打击整治网络谣言专项行动的措施成效和典型案例。2024年是打击整治网络谣言专项行动年,行动以来,上海警方深入推进网络谣言专项行动,已查处谣言案件千余起,打掉“网络水军”团伙42个,清理谣言信息35万余条,关停违法账号3.5万个,行政处罚相关单位60家次,守护了网络空间的清朗有序。
9.上海市网信办就诱导“刷脸”支付、自动售货机违规收集个人信息约谈申通地铁等企业
上海市网信办联合多部门约谈申通地铁及三家自动售货机企业,就诱导刷脸支付、违规收集个人信息等问题提出整改要求,强调企业使用人脸识别技术应遵循合法、正当、必要和诚信原则,并获得消费者单独同意。下一步,有关部门将开展现场检查和“回头看”,督促企业真正筑牢个人信息保护安全“防线”。
10.湖北省知识产权局为4家企业颁发全省首批7张数据知识产权登记证书
湖北省知识产权局颁发的数据知识产权登记证书采用区块链技术验证真伪,通过扫描证书上的二维码即可获取该登记证书的应用场景、数据来源、格式规模、算法规则等详细信息,可作为企业合法持有相应数据并行使权益的初步证明,应用于数据交易流通、权益保护等场景。
11.中国民航信息集团有限公司出台新规收紧“民航数据”访问权限
近日,有业内人士收到中国航信群发短信:中国航信将于8月1日起,分批次对CRS(中央预订系统)系统个人使用工作号,开启登录短信验证功能。这一措施旨在强化登录环节的双因素认证,降低因工作号丢失而导致的旅客信息泄露风险。中国航信表示,实际上,双因素认证并非新措施。自2021年起,中国航信就已经开始对全系统工作号进行双因素认证,并通过监控,针对高风险用户采取每次登录短信验证。此次强化工作,提高了全部代理人用户的登录短信验证频率,达到每次登录都需要进行验证。
1.美国加州议会表决通过《前沿人工智能模型安全可靠创新法案》
《前沿人工智能模型安全创新法案》(SB 1047)旨在确保加州在人工智能领域的创新同时,避免可能的风险。该法案要求开发者在训练特定人工智能模型前遵守一系列安全和保障措施,包括实施紧急关闭能力、制定安全协议,并保留相关记录。法案还要求开发者每年进行第三方审计,并提交合规声明。此外,法案还涉及对使用计算集群的运营商的规定,以及对举报人的保护措施。法案计划建立一个名为“CalCompute”的公共云计算集群,以促进安全、道德、公平和可持续的人工智能发展。
2.美国联邦航空管理局(FAA)发布首版《人工智能安全保障路线图》
《路线图》提出了一系列原则,包括在航空生态系统内工作、专注于安全性保障和提升、避免人格化AI、区分学习型AI和已学习型AI、采取渐进方法、利用安全连续体和行业共识标准。FAA强调了AI在航空安全中的应用潜力,并提出了未来研究方向,包括AI在安全生命周期中的应用、航空安全研究、预期里程碑和时间表。
3.联合国网络犯罪问题特设委员会通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》
8月8日,联合国网络犯罪问题特设委员会一致投票通过首个网络犯罪条约——《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》,建立了全球层面的网络犯罪和数据访问法律框架。《联合国打击网络犯罪公约》强调加强国际合作,打击利用信息和通信技术系统实施的某些犯罪,并共享严重犯罪的电子形式证据。《联合国打击网络犯罪公约》除序言外,共九章,包括总则、刑事定罪、管辖权、程序措施和执法、国际合作、预防措施、技术援助和信息交流、实施机制。
4.新加坡网络安全局(CSA)发布加强人工智能安全的新指南并公开征求意见
7月31日,新加坡网络安全局(CSA)发布了《保护人工智能系统指南》(以下简称“《指南》”)和《保护人工智能系统配套指南》(以下简称“《配套指南》”)。《指南》倡导“安全设计”和“默认安全”(secure by design and secure by default),帮助系统所有者确保AI在整个生命周期的安全,免受潜在风险的影响,包括现有的网络安全风险(如供应链攻击)和新兴风险(如对抗性机器学习)。《配套指南》则用于补充《指南》,是非强制性的开放协作资源,旨在提供基于行业最佳实践、学术见解以及其他资源制定的有用措施和控制建议。
5.巴西数据保护机构发布数据跨境传输新规及标准合同文本
8月23日,巴西数据保护机构(ANPD)正式批准《国际数据传输规则》及标准合同条款(SCC)。《国际数据传输规则》中对于适用范围、具体规则、国际数据传输的有效机制进行了明确。其中,国际数据传输的有效机制包括:ANPD针对提供与《巴西通用数据保护法》(LGPD)规定的个人数据保护水平相当的国家或国际组织发布的充分性决定;法规中规定的SCC、具有约束力的公司规则(BCR)或特定合同条款;以及LGPD第33(III)-(IX)条规定的具体例外情况。
6.香港发布《身份证号码及其他身份代号实务守则:资料使用者指引》
8月22日,香港个人资料私隐专员公署(PCPD)发布新版《身份证号码及其他身份代号实务守则:资料使用者指引》,旨在协助机构遵从私隐专员公署所发布《身份证号码及其他身份代号实务守则》中有关收集及处理身份证号码、身份证副本及其他身份代号的要求,其中涉及相关个人资料的准确性、个人资料储存、个人资料使用及安全保障等方面的规定。此外,PCPD发布新版《身份证号码与你的私隐》,旨在说明不同情境下如何保障身份证号码及副本等个人资料的隐私。情境包括银行、保险公司或地产代理就法定要求收集身份证副本等。
7.香港金融管理局(HKMA)发布关于生成式人工智能应用时保护消费者的通函
8月19日,香港金融管理局(HKMA)发布了面向消费者的应用程序中使用生成人工智能的指导原则,系对2019年发布的《认可机构就应用大数据分析及人工智能(BDAI)的消费者保障》通告中指导原则的拓展与细化。新增内容包括:(1)认可机构董事局及高级管理层须对所有以GenAI推动的决定及程序负责,并通过适当的委员会,全面考虑GenAI应用程序对客户的潜在影响;(2)认可机构应确保GenAI模型能为客户提供客观、一致、秉持道德操守及公平的结果;(3)认可机构应透过向客户作出妥善、准确及易于理解的披露,就GenAI应用程式提供予客户适当的透明度;(4)认可机构应实施有效的客户资料保障措施,遵守《个人资料(私隐)条例》《开发及使用人工智能道德标准指引》及《人工智能(AI):个人资料保障模范框架》)。
1.新加坡个人数据保护委员会(PDPC)因数据泄露对新加坡消费者协会处以20,000新元的罚款
8月28日,新加坡个人数据保护委员会(PDPC)宣布对新加坡消费者协会(CASE)处以2万新加坡元(约合15,334美元)的罚款,原因是该协会违反了《新加坡个人数据保护法》(PDPA)。这一处罚源于2022年10月和2023年6月的两起数据泄露事件,黑客通过钓鱼邮件攻击获取了CASE员工的登录凭证,进而发送了大量钓鱼邮件,涉及数千名消费者的个人数据。调查发现,CASE在密码管理、安全措施和员工网络安全培训方面存在重大疏漏,未能充分保护个人数据。除罚款外,PDPC还要求CASE修正其数据保护政策,并修补相关安全漏洞。
2.欧盟普通法院裁定驳回清华同方威视申请暂停向欧委会提供中国境内邮箱数据的请求
8月12日,欧盟普通法院以“欧委会所捍卫的利益优于同方威视的利益”为由,驳回了中国安防公司清华同方威视(Nuctech)的暂停措施申请。此前,欧盟委员会在未作事先通知、未作立案通告的情况下,于4月23日直接突袭搜查同方威视在欧盟的两处场所(位于波兰和荷兰),就怀疑同方威视违反《外国补贴条例》接受扭曲性外国补贴的问题进行检查;同方威视于5月29日向欧盟普通法院提起诉讼并申请临时措施,请求欧盟普通法院责令欧委会暂停执行有争议的决定,包括暂停要求同方威视提供存储在中国境内的数据。欧盟普通法院指出,此次驳回的具体依据在于同方威视没有解释为什么信息存储在中国的服务器上这一事实会涉及中国法律条款的适用,并会阻止欧委会获得在欧盟成立并在欧盟境内开展活动的实体所获取的信息。
3.欧洲数字权利中心(NOYB)投诉希腊超市Alfa Vita违反GDPR隐私权,呼吁希腊数据保护局进行调查并处以重罚
8月13日,希腊超市连锁品牌Alfa Vita(AB)因未能遵守《通用数据保护条例》规定的基本权利,遭到欧洲数字权利中心(NOYB)投诉。NOYB要求希腊数据保护局(DPA)对其进行调查并建议对其处以最高4%的年营业额罚款。NOYB指出,尽管欧盟法院曾明确裁定公司需提供所有持有的个人数据及其接收者的名单,但在顾客请求行使其数据访问权时,AB却拒绝完整提供其所需个人信息;此外,AB将数据访问权作为会员专属功能,要求顾客升级会员以行使访问权。上述行为显然违反了GDPR。
4.英国信息专员办公室(ICO)因Advanced公司泄露8万多人个人信息拟对其处以609万英镑罚款
由于2022年的勒索软件攻击导致英国国家医疗服务系统(NHS)和社会医疗服务中断,英国信息专员办公室(ICO)8月7日发布公告,对软件供应商Advanced公司处以600万英镑的罚款。公告指出,尽管数据处理者(Data processors)根据其客户(即数据控制者,Data controller)的指示行事,但是Advanced这样的数据处理者公司仍有义务采取适当的技术和组织措施,包括采取步骤评估和降低风险,如定期检查漏洞、实施多因素身份验证和使用最新的安全补丁更新系统等,以确保个人信息的安全。
5.丹麦数据保护局(Datatilsynet)对Vejen市政府因未加密便携设备处以20万丹麦克朗罚款
8月14日,丹麦数据保护局(Datatilsynet)宣布由于Vejen市政府未能妥善保护个人数据安全,对其处以20万丹麦克朗(约合29,514美元)的罚款。据报告,Vejen市政府的五台未加密笔记本电脑被盗,导致个人数据面临风险。Datatilsynet调查发现,该市政府拥有多达300台未加密的电脑,这些设备同样存在被滥用的风险。Datatilsynet指出,加密是相对简单且成本低廉的基本安全措施,呼吁所有市政府尽快对便携设备进行加密。
6.意大利数据保护局(Garante)因Credit Agricole Autobank非法处理客户个人数据对其处以100万欧元罚款
8月9日,意大利数据保护局(Garante)公布了其于2024年6月6日作出的决定,对Credit Agricole Autobank SpA(CA Autobank)处以100万欧元的罚款。2021年3月25日,投诉人称一家汽车租赁公司因其被列入黑名单而拒绝为其提供长期租车融资,投诉人在行使权利请求中得知个人数据是通过CA Autobank数据库进行验证的。经调查,Garante确定CA Autobank违反了GDPR第12(3)条和第15条,非法处理了申请长期租车融资的客户的个人数据,并且没有获得经济财政部必要的授权以访问集中化的欺诈预防系统(Scipafi)数据库。因此,Garante决定对CA Autobank处以100万欧元的罚款。
7.意大利对东风汽车新建工厂提出网络安全与数据保护要求
中国东风汽车公司正在与意大利政府就在欧洲国家建立一家工厂以供应当地市场进行初步谈判。知情人士称,意大利要求东风汽车同意网络安全和数据保护措施,以此作为支持中国汽车制造商建设新工厂的条件,意大利还敦促东风汽车为每辆车在当地采购至少45%的零部件。但东风否认了这一传闻。
8.荷兰数据保护局因Uber违规将欧洲司机数据传输至美国对其处以2.9亿欧元罚款
8月26日,荷兰数据保护局(AP)对Uber公司因违反GDPR而处以2.9亿欧元的巨额罚款。AP发现,Uber将欧洲司机的个人数据未经充分保护传输至美国,此行为严重违反了GDPR规定。Uber传输的数据包括账户信息、驾驶执照、位置数据、照片、支付信息、身份信息,甚至部分司机的犯罪记录和医疗数据。AP表示,Uber在2021年8月之后未使用合规的标准合同,未能提供足够的个人数据保护。这是AP对Uber的第三次处罚,Uber表示将对该决定提出异议。
来源:荷兰数据保护局(AUTORITEIT PERSOONSGEGEVENS)
9.美国联邦贸易委员会(FTC)针对国外某短视频平台违反COPPA提起诉讼
8月2日,美国司法部代表美国联邦贸易委员会(FTC)对国外某知名短视频平台(“某平台”)及其母公司提起诉讼,指控其严重违反了《儿童在线隐私保护法》(COPPA)以及2019年某平台因违反COPPA而签署的同意令。FTC和司法部认为,某平台及其母公司无视COPPA规定,在未获得父母同意的情况下收集和使用了13岁以下儿童的个人信息,并且通过各种手段规避年龄限制机制,包括允许儿童通过第三方服务创建账户;截至2020年,某平台仍然保留着已知属于13岁以下儿童的账户,且在审查这些账户时只花费了极短的时间;此外,某平台还被指未能在家长要求删除儿童账户时妥善处理。投诉要求法院对某平台及其母公司处以民事罚款,并颁布永久禁令防止其未来进一步违反COPPA。根据FTC法案,民事罚款数额最高可达51,744美元/天。此案现已被提交至加州中区联邦地区法院审理。
10.Enzo因未能保护健康数据与纽约州总检察长达成450万美元和解
8月9日,纽约州总检察长Letitia James宣布,纽约、康涅狄格和新泽西州的总检察长与Enzo Biochem公司达成协议。Enzo Biochem公司因未能有效保护其患者的个人和健康信息,将支付450万美元罚款。Enzo Biochem是一家生物技术公司,提供诊断检测服务,其数据安全漏洞导致约240万名患者的信息被泄露,其中包括超过140万名纽约州居民。2023年,网络攻击者通过两名员工的登录凭证侵入Enzo的系统,窃取了包含姓名、地址、社会安全号码和医疗信息等敏感数据。调查发现,Enzo的数据安全实践存在重大漏洞,如多名员工共享登录凭证、未定期更改密码以及缺乏实时监控系统。根据协议,Enzo同意支付罚款,并采取一系列措施改善其网络安全,包括实施多因素认证、加密所有个人信息、制定事件响应计划等。
11.美国外国投资委员会(CFIUS)因数据违规通知不当对T-Mobile处以6000万美元罚款
8月15日,美国外国投资委员会(CFIUS)宣布对T-Mobile美国公司采取执法行动,决定因其未能及时报告数据违规事件以及未能采取适当措施保障敏感数据安全,对其处以6000万美元罚款。案件起源于T-Mobile与Sprint合并时,T-Mobile与CFIUS签署的《国家安全协议》(NSA)。CFIUS调查发现,T-Mobile在2020年8月至2021年6月期间未能防止未经授权访问敏感数据,并延迟报告相关事件,妨碍了CFIUS的调查与应对,给美国国家安全带来潜在风险。此罚款是在2023年发出初步通知后,CFIUS最终作出的裁决。
