竞天公诚网络安全与数据合规动态提报(2024年10月)
时间:2024-11-13

 

竞天公诚网络安全与数据合规团队

本期编辑团队:张燕、梁天翔、刘瑞华、孙永欣、丁煜、郭子航、付颖

 

资讯速递

 

境内资讯

 

1.中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》

 

▲向上滑动阅览

10月9日,中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》,这是中央层面首次对公共数据资源开发利用进行系统部署。《意见》提出了“2025年”和“2030年”的两个发展阶段目标,提出推动政务数据共享、公共数据开放,探索公共数据授权运营,建立公共数据资源登记制度、公共数据资源授权运营情况披露机制和价格形成机制,逐步形成权责清晰、条块协同的公共数据资源开发利用格局。

 

来源:中央人民政府

 

2.司法部、国家发改委公布《中华人民共和国民营经济促进法(草案征求意见稿)》

 

▲向上滑动阅览

10月10日,司法部、国家发展改革委公布《中华人民共和国民营经济促进法(草案征求意见稿)》,向社会公开征求意见。民营经济促进法是我国第一部专门关于民营经济发展的基础性法律,草案共9章77条,强调国家依法鼓励、支持、引导民营经济发展,保障民营经济组织公平参与市场竞争,优化民营经济投融资环境,支持民营经济组织参与科技创新,优化服务保障,加强民营经济组织及其经营者权益保护,强化不同违法主体法律责任。

 

来源:司法部

 

3.《广东省数据条例(草案)》公开征求意见

 

▲向上滑动阅览

10月8日,《广东省数据条例(草案)》公开征求意见。草案共8章67条,提出推行首席数据官制度,由本级政府、本部门相关负责人担任首席数据官;强调对个人信息人格权益,数据持有、使用、经营权益等数据权益保护;提出建立一体化的数据资源体系,加强公共数据资源供给,引导企业共享开放和开发利用自有数据,促进个人信息合理利用;推进公共数据共享、开放、授权运营,规范数据交易;支持探索数据资源社会化开发利用;实行数据安全责任制,保障数据全生命周期安全;明确公共管理和服务机构、市场主体的法律责任。

 

来源:广东省政务服务和数据管理局

 

4.创造更良好营商环境,8个城市将试点信用数据开发利用

 

▲向上滑动阅览

市场监管总局、国家数据局联合印发《关于开展向平台企业开放信用监管数据试点 推动平台经济规范健康发展的通知》,选取苏州、杭州、济南、武汉、长沙、深圳、成都和西安八个试点城市向符合条件的移动支付平台开放信用监管数据,方便其核查个体工商户信用风险,帮助有需要的个体工商户快速办理收款码升级,使其收款码支持信用卡支付,从而拓宽个体工商户的获客渠道,同时也为习惯使用信用卡消费的境外来华人员提供支付便利。

 

来源:国家市场监督管理总局

 

5.国家数据局就《公共数据资源授权运营实施规范(试行)》(公开征求意见稿)向社会公开征求意见

 

▲向上滑动阅览

《公共数据资源授权运营实施规范(试行)》(“《规范》”)共7章27条,其以“公平透明”“安全高效”为核心,规范在中国境内开展公共数据资源授权运营活动。根据《规范》,授权运营,是指将县级以上地方各级人民政府、国家行业主管部门(“授权主体”)持有的公共数据资源,按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动。《规范》对于公共数据资源授权运营实施方案编制、授权运营协议作了详细规定。

 

来源:国家数据局

 

6.国家数据局就《数据领域名词解释》公开征求意见

 

▲向上滑动阅览

10月21日,《数据领域名词解释》向社会公开征求意见。《数据领域名词解释》共涉及数据、原始数据、数据资源、数据要素、数据产品、数据资产、数据要素市场化配置、数据处理、数据处理者、受托数据处理者、数据流通、数据交易、数据交互、数据治理、数据安全、公共数据、数据产业化、产业数字化等41个名词,意在推动社会各界对数据领域术语形成统一认识。

 

来源:国家数据局

 

7.国家发展改革委就《公共数据资源登记管理暂行办法(公开征求意见稿)》向社会公开征求意见

 

▲向上滑动阅览

《暂行办法(征)》共6章27条,明确公共数据资源登记主体为“根据工作职责直接持有或管理公共数据资源,以及依法依规对授权范围的公共数据资源进行开发运营的法人或非法人组织”,明确登记程序按照“申请、受理、审查、公示、凭证发放”五步开展,明确“首次登记、变更登记、更正登记、注销登记”四种登记类型。

 

来源:国家发展改革委

 

8.工业互联网企业网络安全系列国家标准发布,2025年1月1日实施

 

▲向上滑动阅览

本次发布的3项国家标准,是我国工业互联网安全领域的首批国家标准,分别针对应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业,提出了初始级、基本级、增强级3个不同级别的安全要求。标准的发布实施,对全国范围规模化推广工业互联网安全分类分级管理工作、综合提升工业互联网企业安全防护能力、支撑制造业数字化转型和高质量发展具有重要意义。

 

来源:国家工业信息安全发展研究中心

 

9.国家数据局就《可信数据空间发展行动计划(2024-2028年)》公开征求意见

 

▲向上滑动阅览

可信数据空间,是基于共识规则,联接多方主体,实现数据资源共享共用的数据流通利用基础设施,是数据要素价值共创的应用生态,是支撑构建全国一体化数据市场的重要载体。可信数据空间须具备数据可信管控、资源交互、价值创造三类核心能力。《行动计划》围绕可信数据空间“能力建设”、“培育推广”、“筑基”三方面展开,提出到2028年,建成100个以上可信数据空间,初步形成与我国经济社会发展水平相适应的数据生态体系。

 

来源:国家数据局

 

10.农业农村部发布《全国智慧农业行动计划(2024-2028)》

 

▲向上滑动阅览

《行动计划》聚焦智慧农业发展的重点领域和关键环节,提出智慧农业3大行动8项重点任务,即(1)智慧农业公共服务能力提升行动:打造国家农业农村大数据平台、共建农业农村用地“一张图”、开发智慧农业基础模型;(2)智慧农业重点领域应用拓展行动:赋能主要作物大面积单产提升、培育一批智慧农(牧、渔)场、推动农业全产业链数字化改造;(3)智慧农业示范带动行动:推进智慧农业先行先试(浙江先行先试)、探索智慧农业未来方向(“伏羲农场”模式)。

 

来源:农业农村部

 

11.科技部回复政协提案:正有序推进人工智能立法工作

 

▲向上滑动阅览

10月21日,科技部答复农工界《关于促进国内生成式人工智能产业发展的提案》,表示,将持续加大对人工智能基础理论研究和重大原始创新的支持力度;推进数据发展与有序开放,强化人工智能科技创新的基础要素支撑;有序推进人工智能立法工作,《人工智能法草案》已被列入国务院立法工作计划;加强人工智能领域人才引进力度,推动全球人才技术交流。

 

来源:科学技术部

 

12.中国网络空间安全协会建议对英特尔启动网络安全审查

 

▲向上滑动阅览

10月16日,中国网络空间安全协会(“网安协会”)发文称,英特尔CPU存在安全漏洞问题频发、故障率高、可靠性差问题,且英特尔公司在产品质量、安全管理方面存在重大缺陷,漠视用户投诉。同时,英特尔还被指“假借远程管理之名,行监控用户之实”,以及在英特尔CPU中暗设后门,危害网络和信息安全,对包括中国在内世界各国关键信息基础设施构成极大安全威胁。因此,网安协会建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。

 

来源:中国网络空间安全协会

 

境内监管动态

 

1.中央网信办部署开展“清朗·整治违规开展互联网新闻信息服务”专项行动

 

▲向上滑动阅览

10月3日,中央网信办印发通知,部署开展为期3个月的“清朗·整治违规开展互联网新闻信息服务”专项行动。本次专项行动针对违法违规开展互联网新闻信息服务行为,集中整治五类突出问题:一是编发虚假不实新闻信息;二是借舆论监督名义,通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段;三是仿冒、假冒新闻网站、报刊社、广播电视机构、通讯社等新闻单位;四是未经许可或超越许可范围开展互联网新闻信息采编发布服务、转载服务、传播平台服务;五是伪造、倒卖、出租、出借、转让互联网新闻信息服务许可资质。

 

来源:网信中国

 

2.北京互联网法院审结一起涉及“搬运”录取名单的网络侵权责任纠纷案件

 

▲向上滑动阅览

本案中,原告发现,被告运营的微信公众号发布的一篇文章中,所包含的录用名单截图写明了原告的院校、专业与学历个人信息,关于姓名部分,被告进行了一定处理,但仍可通过图片辨别原告姓名,原告因此主张被告侵犯其隐私权与个人信息权益。

 

法院认为,涉案录用名单系招聘单位公示信息,不属于个人隐私的范畴,应适用个人信息保护相关规定。原告向被告明确其姓名信息在涉案文章中清晰可见,并表示被告行为构成侵权,属于明确拒绝被告处理其个人信息。被告未能对涉案文章内容进行修改或者删除处理,侵害了原告个人信息权益。本案对于公开个人信息的合理使用、个人信息主体的事后拒绝权行使具有启发意义。

 

来源:北京互联网法院

 

3.中央网信办通报“清朗·2024年暑期未成年人网络环境整治”专项行动典型处置案例

 

▲向上滑动阅览

10月9日,中央网信办通报“清朗·2024年暑期未成年人网络环境整治”专项行动典型处置案例。自7月中旬起,“专项行动”重点整治直播、短视频、社交、电商等平台,期间共清理拦截涉未成年人违法不良信息430万余条,处置账号13万余个,关闭下架网站平台2000余个。典型案例包括:严处“毒视频”、整治“开盒挂人”乱象、打击隔空猥亵等网上违法犯罪行为、整治网上涉未成年人违规售卖问题以及排查下架未成年人违规应用等。

 

来源:网信中国

 

4.国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》

 

▲向上滑动阅览

10月8日,国家发展改革委、国家数据局、中央网信办、工业和信息化部、财政部、国家标准委联合印发《国家数据标准体系建设指南》。《建设指南》以数据“供得出、流得动、用得好、保安全”为指引,构建数据标准体系。数据标准体系结构包括基础通用、数据基础设施、数据资源、数据技术、数据流通、融合应用、安全保障等7个部分,为数据领域相关标准的制修订和协调配套提供了重要指导。

 

来源:国家发展和改革委员会

 

5.国家安全部通报一起境外企业以汽车智驾为由非法测绘事件

 

▲向上滑动阅览

10月16日,国家安全部通报,国家安全机关工作发现某境外企业A公司通过与我国具有测绘资质的B公司合作,以开展汽车智能驾驶研究为掩护,在我国非法开展地理信息测绘活动。经鉴定,A公司采集的数据多项属于国家秘密。在此事件中,B公司开展测绘活动时忽视了测绘行业相关规定要求,任由境外企业把控数据流向,导致原始测绘数据失控外传。针对以上情况,国家安全机关会同有关部门开展了联合执法活动,对涉事企业和有关责任人员进行了法律追究。

 

来源:国家安全部

 

6.中国网络空间安全协会个人信息保护专业委员会在京成立

 

▲向上滑动阅览

10月22日,中国网络空间安全协会个人信息保护专业委员会在北京成立。专委会由中央网信办数据与技术保障中心等52家会员单位发起,旨在支撑主管部门和社会各界保障公民个人信息合法权益;建立健全个人信息保护公益诉讼和投诉举报机制;宣传中国个人信息保护理念和经验,推进国际交流合作。

 

来源:中国网络空间安全协会

 

7.上海市检察院通报2023年以来推动互联网法治建设情况

 

▲向上滑动阅览

会上通报2023年以来上海市全市检察机关全链条打击网络犯罪、持续开展网络综合治理、推动互联网法治建设情况。据介绍,2023年以来,上海全市检察机关受理审查逮捕网络犯罪案件4550件8099人,受理审查起诉网络犯罪案件9838件16146人(审查起诉案件数量前三名犯罪分别为帮信罪,诈骗罪(电信网络诈骗),掩饰、隐瞒犯罪所得、犯罪所得收益罪)。

 

随着“净网”等专项行动开展,诈骗罪,非法利用信息网络罪,破坏计算机信息系统、数据类犯罪,侵犯公民个人信息罪,销售假冒注册商标的商品罪等五类罪名审查起诉案件数增幅较大。

 

来源:上海市人民检察院

 

8.通过外网非法获取公民个人信息1亿余条,一科技公司员工获刑

 

▲向上滑动阅览

上海市杨浦区人民检察院通报,某科技公司吴某通过翻墙软件违规访问境外Telegram平台下载含有公民个人信息的文件,储存在其持有的移动硬盘中,同时将上述下载渠道提供给他人。经鉴定,被告人吴某非法获取的公民个人信息共计1亿余条,犯侵犯公民个人信息罪。经审查认为,侵犯公民个人信息罪中,对于“非法”的认定,可以将是否违反国家有关规定作为判断标准,吴某违反国家规定,违规访问国际互联网的行为属于“非法获取”。

 

来源:澎湃网

 

9.最高法法答网答问:侵犯公民个人信息罪案件中,在认定“违法所得”时一般不扣除成本

 

▲向上滑动阅览

最高人民法院研究室刑事处李振华在答复“侵犯公民个人信息罪案件中,在认定“违法所得”时应否扣除成本”这一问题时,认为一般不扣除成本。《检察机关办理侵犯公民个人信息案件指引》所规定的“对于违法所得,可直接以犯罪嫌疑人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本”也体现这一规则。但同时指出,对于个别采取交易形式侵犯公民个人信息构成犯罪的,在认定“违法所得”时如不扣除成本可能使得案件处理明显不符合罪责刑相适应原则要求的,应结合案件具体情况予以考虑。

 

来源:最高人民法院

 

10.上海市网信办全面整治地铁站内自动售货机人脸识别技术滥用问题

 

▲向上滑动阅览

上海市网信办经调研发现,上海部分地铁、公园、校园等场景下自动售货机普遍存在滥用人脸识别技术违规收集个人信息现象。人脸信息属于敏感个人生物信息,应当在取得消费者单独同意下审慎使用。对此,上海市网信办会同其他监管部门约谈申通地铁及三家涉事自动售货机运营企业,要求企业立整立改。目前,申通地铁已对其中存在问题的829台自动售货机暂停人脸支付功能,待整改完成后重新上线。下一步,上海市网信办将持续开展“亮剑浦江·2024”人脸专项整治行动。

 

来源:网信上海

 

11.上海市网信办发布新一批生成式人工智能服务登记信息公告

 

▲向上滑动阅览

上海市网信办对通过API或其他方式直接调用已备案模型能力,且面向境内公众提供具有舆论属性或者社会动员能力的生成式人工智能服务开展登记工作。截至10月8日,上海市新增8款已完成登记的生成式人工智能服务,累计已完成38款生成式人工智能服务登记。

 

来源:网信上海

 

12.上海网信办依法处罚未履行数据保护义务的某医疗科技公司

 

▲向上滑动阅览

10月14日,上海市网信办发布一起某医疗科技公司未履行数据保护义务案例。上海市网信办通过调查核实,涉事系统为该企业内部生产测试系统,部署于云服务平台,数。系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号(已采取加密措施)等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定,依法对该公司给予警告,并处以罚款的行政处罚。

 

来源:网信上海

 

13.北京市经济和信息化局、中共北京市委金融委员会办公室联合开展北京市网络安全保险产业图谱征集工作

 

▲向上滑动阅览

10月11日,北京市经济和信息化局、中共北京市委金融委员会组织开展北京市网络安全保险产业图谱征集工作,面向保险公司、再保险公司、网络安全企业、第三方机构等网络安全保险相关参与方征集网络安全保险方案,助力建设具有北京特色的网络安全保险产业集群。

 

来源:北京经济和信息化局

 

14.郑州市网信办依法处罚违反《数据安全法》的两家公司

 

▲向上滑动阅览

10月23日,郑州市网信办通报两起违反《数据安全法》的处罚案例。其中,一家公司在数据库中配置增加了远程登录空口令账户,导致黑客利用该空口令账户成功登录数据库,并窃取了数据库中的数据(包含敏感信息);另一家公司没有正确配置数据库,导致数据库存在未授权访问漏洞。攻击者通过漏洞登录数据库,查看、下载数据,导致敏感数据泄露。郑州市网信办依据《数据安全法》第二十七条、第四十五条,对两家公司分别作出责令改正、警告,并处以人民币5万元罚款的行政处罚。

 

来源:网信郑州

 

境外资讯

 

1.美国公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见

 

▲向上滑动阅览

10月21日,美国司法部发布拟议规则,意图建立新的计划来实施实施总统拜登2月28日签署的第 14117 号行政命令 (E.O.),以防止俄罗斯、伊朗、中国和其他受关注国家访问美国人的敏感个人数据。拟议规则将通过为某些数据交易建立分类规则来实施行政令,确定了禁止和限制交易、受关注国家和适用对象以及豁免交易的类别,提供了该部门对经济和其他监管影响的初步评估,建立了许可授权某些被禁止、限制交易的流程,并涵盖交易的记录保存、报告和其他尽职调查义务等内容。

 

来源:美国公共事务办公室

 

2.欧盟理事会通过有关数字产品安全的《网络弹性法案》

 

▲向上滑动阅览

新法律对硬件和软件产品的设计、开发、生产等引入了欧盟范围内的网络安全要求,以避免欧盟成员国的不同立法导致要求重叠。例如,软件和硬件商品将带有 CE 标志,以表明它们符合法规的要求。该法规将适用于直接或间接连接到其他设备或网络的所有产品,将允许消费者在选择和使用包含数字元素的产品时考虑网络安全,方便识别具有网络安全特征的硬件和软件产品。

 

来源:欧盟理事会

 

3.G7 数据保护和隐私机构 (DPA)公布《七国集团数据保护和隐私机构行动计划》

 

▲向上滑动阅览

《七国集团数据保护和隐私机构行动计划》涉及 2024 年公报中提出的三大支柱,即数据自由流动、新兴技术和执法合作。DPA承诺继续关注和支持为开发和实施数据自由流动,在可能的情况下促进传输工具的未来互操作性,鼓励推广政府对数据访问相关政策;加强知识交流和能力建设,确定并评估在关键技术领域就个人数据保护和隐私问题采取合作行动的机会。并且,加强 G7 数据保护官与更广泛的数据保护和隐私执法社区之间的执法对话,鼓励更广泛的数据保护和隐私社区参与全球和区域论坛。

 

来源:加拿大隐私专员办公室

 

4.英国国家网络安全中心(NCSC)发布《面向律师群体的网络安全防护指引》

 

▲向上滑动阅览

《指引》提示个体从业者和中小型律师事务所,通过采取创建和测试重要数据的备份、使软件保持最新状态并启用自动更新、开启加密、使用强密码和 2SV(两步验证)保护电子邮件帐户、控制对设备的访问、打开防火墙、限制 “管理员” 帐户的数量、开启防病毒软件等方式,降低成为网络攻击受害者的可能性。

 

来源:英国国家网络安全中心

 

5.法国国家信息自由委员会(CNIL)发布《关于访问某些允许访问色情内容的服务的年龄验证系统(框架草案)》的意见

 

▲向上滑动阅览

CNIL 支持“框架草案”关于通过独立的第三方验证机构来保护个人数据以及为互联网用户提供至少一种称为“双重匿名”的年龄验证的建议。与此同时,CNIL 向视听和数字通信监管局建议,框架草案应明确独立第三方在年龄验证文件方面的作用,并创建可重复使用的年龄证明,以促进“双重匿名”的部署。

 

来源:法国国家信息自由委员会

 

6.9国14家监管机构联合发布《运营技术网络安全原则》

 

▲向上滑动阅览

澳大利亚网络安全中心牵头撰写的《运营技术网络安全原则》,旨在帮助组织机构为设计、实施和管理运营技术环境做出决策,确保其安全、可靠,并为关键服务提供业务连续性。其提出六大原则,分别是安全至上、了解业务的重要性、运营技术数据高价值性和受保护需求、分离运营技术与所有其他网络、供应链安全保障以及人对运营技术网络安全的重要性。

 

来源:澳大利亚网络安全中心

 

7.欧洲数据保护委员会就依赖处理者、分包处理者所产生的某些义务给出意见

 

▲向上滑动阅览

10月7日,欧洲数据保护委员会通过了第22/2024号意见,涉及影响控制者-处理者-分包处理者关系的多个复杂领域。该意见就“控制者应当在何种详细程度上核实和记录”、“控制者在多大程度上评估并展示(子)处理者的文件从而证明个人数据的保护水平不会因转移而受到损害”等问题给出回复,对GDPR的相关适用细节予以明确。

 

来源:欧洲数据保护委员会

 

8.EDPB发布对欧洲刑警组织关于确定行政个人数据存储期限的规则的意见

 

▲向上滑动阅览

本监督意见涉及根据《欧洲刑警组织条例》第27a(3)条以及《欧盟条例》(EU)2022/991所规定的法律义务,制定“确定行政个人数据存储期限”的规则。根据这一法律要求,由欧洲刑警组织管理委员会通过的这些规则,以一般方式规定了最长期限,强调了实施存储限制和数据最小化原则,为欧洲刑警组织的工作人员和数据控制者提供指导。

 

来源:欧洲数据保护监督官

 

9.加拿大发布《联邦政府使用能够从移动设备和计算机中提取数据的技术工具》的声明

 

▲向上滑动阅览

10月10日,加拿大众议院信息获取、隐私与道德常设委员会向众议院提交了一份题为《联邦政府使用能够从移动设备和计算机中提取数据的技术工具》的报告。10月11日,加拿大隐私专员菲利普·杜弗雷讷就新报告发表声明,认为该报告证实了修订《隐私法》的重要性,表示支持联邦机构需要承担新的法律义务,强调了《隐私法》改革的必要性和紧迫性。

 

来源:加拿大众议院

 

10.新加坡分别与韩国和德国签署消费智能产品网络安全标签互认协议

 

▲向上滑动阅览

新加坡网络安全局在国际物联网安全圆桌会议上,分别与韩国互联网与安全局和德国联邦信息安全办公室签署了“消费智能产品网络安全标签互认协议”。根据互认协议,获得韩国互联网与安全局物联网网络安全认证和新加坡网络安全标签的智能消费产品将在这两个国家得到相互认可。韩国是亚太地区第一个与新加坡正式确认国家网络安全标签互认的国家。

 

来源:新加坡网络安全局官网

 

11.英美两国签达成历史性儿童网络安全协议

 

▲向上滑动阅览

10月10日,英国和美国正式签署了首个关于在线安全的联合声明,旨在通过紧密合作,提升儿童在数字世界中的安全保障。这项协议由英国科技大臣彼得·凯尔与美国商务部长吉娜·雷蒙多共同签署,被认为是“标志着两国在应对网络环境对青少年带来的风险方面迈出了重要一步。”

 

来源:英国政府网站

 

12.美国国防部发布了网络安全成熟度模型认证计划的最终规则

 

▲向上滑动阅览

10月11日,美国防部发布网络安全成熟度模型认证(CMMC)计划最终规则。该最终规则允许企业适时对其合规性进行自我评估。联邦合同信息(FCI)的基本保护将需要CMMC1级的自我评估。受控非机密信息(CUI)的一般保护将需要第三方评估或CMMC2级的自我评估。对于某些CUI,则需要更高级别的保护,以防范高级持续性威胁的风险,这种强化保护需要由国防工业基础网络安全评估中心牵头进行CMMC3级评估。

 

来源:美国国防部

 

13.欧盟委员会通过“连接欧洲设施”(CEF)项目数字部分的第二个工作计划

 

▲向上滑动阅览

10月9日,欧盟委员会通过了“连接欧洲设施”(CEF)项目数字部分的第二个工作计划。该计划定义了欧盟资助行动的范围和目标,以改善欧洲的数字连接基础设施。从2024年到2027年,这些行动将获得约8.65亿欧元的资金。新的CEF数字工作计划将支持以下领域的行动:①在欧洲部署5G基础设施;②骨干网的部署和重大升级,包括量子通信网络和海底电缆;③通过优化信息和通信技术(ICT)的能源使用并减少其环境影响,为交通或能源基础设施部署运营数字平台。

 

来源:欧盟委员会

 

境外监管动态

 

1.LinkedIn因违反GDPR被爱尔兰数据保护委员会罚款3.1亿欧元

 

▲向上滑动阅览

10月24日,爱尔兰数据保护委员会(DPC)宣布了对LinkedIn Ireland Unlimited Company的最终处罚决定。此次调查最初是由法国数据保护机构收到的投诉引发,随后由DPC作为LinkedIn的主要监督机构展开审查。调查主要关注LinkedIn在用户行为分析及定向广告中的个人数据处理是否合法、透明和公正。

 

根据DPC的调查结果,LinkedIn未能在多个方面遵守GDPR的相关规定,包括未能有效获取用户同意、未能证明其合法利益优先于用户的权利和自由等。最终,DPC对LinkedIn发出正式警告,要求其立即调整数据处理方式,以确保符合GDPR规定。与此同时,DPC对LinkedIn处以总计3.1亿欧元的行政罚款。

 

来源:爱尔兰数据保护委员会(DPC)

 

2.美国德克萨斯州总检察长肯·帕克斯顿 (Ken Paxton) 起诉 TikTok 共享未成年人个人数据,违反德克萨斯州《家长同意法》

 

▲向上滑动阅览

10月3日,德克萨斯州司法部长宣布对TikTok及其关联公司提起诉讼,指控其违反《通过家长授权保障儿童在线安全法案》(SCOPE Act),在平台运营中未能保护德州儿童的网络安全和隐私。根据该法案,数字服务提供商不得在未经家长或法定监护人同意的情况下,分享、披露或出售未成年人的个人识别信息,并且必须为家长提供管理子女账户隐私和设置的工具。

 

司法部长指出,TikTok未遵守这些要求,具体包括未核实家长身份或关系、非法向第三方共享未成年人的个人信息,并且未能为已验证的家长提供限制信息共享和管理广告投放的工具。司法部长请求法院判处每次违规行为最高10,000美元的民事罚款,并要求禁令以防止未来的违规行为。

 

来源:德克萨斯州司法部长办公室(Attorney General of Texas)

 

3.联邦贸易委员会宣布与万豪和喜达屋就数据泄露达成和解

 

▲向上滑动阅览

美国联邦贸易委员会(FTC)与万豪国际集团及其子公司喜达屋酒店及度假村国际有限公司达成和解协议。原因是万豪未能妥善保护消费者的个人数据,从而导致多次数据泄露事件。万豪在2015年收购了喜达屋,并且之后报告了一次持续时间长达14个月的数据泄露事件,该事件影响了超过40,000名消费者。FTC认定,万豪所采取的安全措施不足以防止此类泄露事故的发生,这导致了更多违规情况出现,并损害了数百万条个人记录。

 

根据和解协议,万豪需要建立一个全面的信息安全计划,并且必须向监管机构提交相关事件报告。同时,万豪还需为客户提供删除其个人数据的选项,并且只有在必要的情况下才能保留客户的个人信息。除此之外,万豪还将面临来自多个州的罚款,罚款总额超过5200万美元。

 

来源:美国联邦贸易委员会 (FTC)

 

4.美国加州地区法院驳回对Meta违反COPPA和其他针对儿童的有害做法的诉讼

 

▲向上滑动阅览

加利福尼亚北区美国地方法院驳回了Meta Platforms, Inc.提出的撤销由42位州检察长提起的诉讼的动议,该诉讼指控Meta从事有损青少年心理健康的不公平和欺骗性行为,违反州消费者保护法,并违反了《儿童在线隐私保护法》(COPPA)。诉讼声称Meta明知地针对青少年推出具有成瘾性的功能,并在未经父母同意的情况下收集13岁以下用户的数据,同时在公开场合降低这些风险。法院允许关于外观滤镜、时间限制干扰以及Instagram“多个账户”功能的指控继续进行,但驳回了关于无限滚动、自动播放、短暂内容、通知、点赞以及针对青少年的算法内容推送的指控。

 

来源:华盛顿总检察长办公室 (AG)

 

5.英国ICO因数据保护失败对北爱尔兰警察局处以75万英镑罚款

 

▲向上滑动阅览

2024年10月3日,英国信息专员办公室(ICO)宣布对北爱尔兰警察局(PSNI)处以75万英镑的罚款。该处罚源于PSNI在2023年8月3日错误披露其全体员工的敏感个人信息,包括姓名、职务和工作地点等,涉及9483名警员和工作人员。ICO的调查发现,PSNI未能实施足够的安全措施,违反了英国《通用数据保护条例》(UK GDPR)的相关规定。尽管最初罚款金额为560万英镑,考虑到公共部门的特殊情况,ICO最终将罚款降低至75万英镑。

 

来源:英国信息专员办公室 (ICO)

 

6.美国卫生与公众服务部民权办公室在 HIPAA 勒索软件网络安全调查中对普罗维登斯医学院处以 24 万美元民事罚款

 

▲向上滑动阅览

美国卫生与公共服务部(HHS)下属的民权办公室(OCR)宣布对南加州的Providence Medical Institute处以24万美元的民事罚款,原因是在一起勒索软件攻击导致的数据泄露事件后,OCR调查发现该机构涉嫌违反《1996年健康保险流通与责任法案》(HIPAA)安全规则。OCR主任表示,若未能全面实施HIPAA安全规则的所有要求,会使受保护实体和业务伙伴面临网络攻击的风险,损害患者健康信息的隐私和安全。

 

OCR调查发现,该机构系统遭到多次勒索软件攻击,影响了85,000名个体的电子健康信息。2024年3月,OCR决定对该机构处以24万美元的罚款,Providence Medical Institute并未对此提出异议。

 

来源:美国卫生与公众服务部民权办公室(OCR)

 

7.土耳其个人数据保护局宣布Kilis大学数据泄露

 

▲向上滑动阅览

10月9日,土耳其个人数据保护局(KVKK)在决议号2024/1722中公布了涉及基利斯7阿拉勒克大学(Kilis 7 Aralık Üniversitesi)的数据泄露事件。KVKK称,目前尚未确定泄露的来源及其发生方式,但由于未经授权的访问,数据的机密性受到了影响。此次泄露事件由国家网络事件响应中心于9月24日检测到,并于9月25日结束。此次事件影响了包括学生、客户及潜在客户在内的2,747人,涉及的个人数据包括身份证号、姓名、地址、电话等信息。

 

来源:土耳其个人数据保护局(KVKK)

 

8.We Repair UK Ltd因未经请求的直接营销而被ICO罚款 80,000英镑

 

▲向上滑动阅览

英国信息专员办公室(ICO)对We Repair UK Ltd (WRUK) 处以80,000英镑罚款,原因是其向电话偏好服务(TPS)上注册的个人主动拨打42,688通直接营销电话,违反了《2003年隐私与电子通信(欧共体指令)条例》(PECR)。ICO的调查涵盖2022年9月1日至2023年5月31日期间,并最终发布了罚款通知。WRUK已对ICO的决定提出上诉。

 

来源:英国信息专员办公室(ICO)

 

9.法国国家信息与自由委员会对COSMOSPACE和TELEMAQUE处以罚款

 

▲向上滑动阅览

法国国家信息与自由委员会(CNIL)在2021年对提供远程占卜服务的COSMOSPACE和TELEMAQUE进行检查后,发现两家公司存在多项违规行为,包括未经明确同意收集敏感数据、过度保留数据、向未给予同意的人发送商业信息,以及COSMOSPACE系统性地录制电话通话。因此,CNIL制裁委员会分别对COSMOSPACE处以25万欧元罚款,对TELEMAQUE处以15万欧元罚款。委员会强调,个人数据处理需遵守最小化原则,数据保留期限应与目的相符,并需取得处理特殊类别数据的明确同意,发送商业信息亦需获得事先许可。

 

来源:法国数据保护机构(CNIL)

 

10.澳大利亚联邦银行因发送未经请求的直接营销电子邮件而被通信和媒体管理局罚款750万澳元

 

▲向上滑动阅览

澳大利亚通信和媒体管理局 (ACMA)对澳大利亚联邦银行(CBA)处以750万澳元的罚款,原因是澳大利亚联邦银行 (CBA)在2022年11月期间向未经同意的客户发送了超过1.7亿封没有功能性取消订阅选项的营销电子邮件,并在未经客户同意的情况下向客户发送了3,480万封电子邮件,违反了《垃圾邮件法》。除了罚款之外,CBA还必须任命一名独立顾问来审查和改进其对垃圾邮件规则的遵守情况,并向ACMA报告。

 

来源:澳大利亚通信和媒体管理局(ACMA)

 

11.肯尼亚数据保护专员办公室责令米戈里县议会向无法律依据处理数据支付 90 万肯尼亚先令

 

▲向上滑动阅览

肯尼亚数据保护专员办公室(ODPC)裁定,米戈里县议会必须支付90万肯尼亚先令作为赔偿,原因是其非法处理了一名投诉者的简历。该简历未经同意就被发布在议会网站上,违反了《数据保护法》第25(a)和(c)节的规定,尽管议会提出了遵守法律要求主张。ODPC的调查发现,该简历本应只对议会议员公开,而不应面向公众,由此导致了赔偿令的发出,并指令在七日内删除所有已发布的简历。

 

来源:肯尼亚数据保护专员办公室(ODPC)

 

12.英国2家公司因直接营销违规被ICO处以罚款处罚

 

▲向上滑动阅览

英国信息专员办公室(ICO)对两家位于曼彻斯特的金融和债务管理公司处以共计15万英镑的罚款。这两家公司分别为Quick Tax Claims Limited(专注于PPI退税)和National Debt Advice Limited(提供债务咨询服务),因未经许可发送超过750万条垃圾短信而受到处罚。

 

ICO调查发现,Quick Tax Claims Limited在一个月内发送了7,863,547条非法短信,导致66,793起投诉,其中93%的投诉表示短信中没有“退订”选项,违反了PECR 第22条规定,被罚款12万英镑。与此同时,National Debt Advice Limited在四个月内发送了129,902条垃圾短信,导致4,033起投诉。由于未能进行适当的同意检查,并发送给贷款被拒的用户,该公司被罚款3万英镑。

 

来源:英国信息专员办公室(ICO)

 

13.比利时DPA因Cookie横幅不合规而对RTL比利时每天罚款40,000欧元

 

▲向上滑动阅览

10月11日,比利时数据保护局(Belgian DPA)发布了第131/2024号决定,针对RTL Belgium AS公司违反《通用数据保护条例》(GDPR)的行为,决定处以每日4万欧元的罚款。此次处罚源于非营利组织NOYB于2023年7月19日提出的投诉,指控RTL Belgium网站的Cookie横幅设计不符合GDPR的要求。

 

Belgian DPA调查发现,RTL Belgium的Cookie横幅仅在第一级显示“全部接受”按钮,而未提供等同的“全部拒绝”选项,违反了用户拒绝Cookies的便捷性要求。此外,Cookie横幅的颜色设计也被认为误导用户倾向于接受Cookies。基于这些违规行为,RTL Belgium被要求立即改正,并在每延迟一天整改的情况下支付4万欧元的罚款。

 

 

来源:比利时数据保护局(Belgian DPA)

 

14.意大利数据保护机构以非法备份前代理商电子邮件为由对Selectra 罚款 80,000 欧元

 

▲向上滑动阅览

意大利数据保护局(Garante)在10月的会议上对Selectra S.p.A.公司进行了调查。根据投诉,Selectra公司在终止合作关系后仍保留并访问了一位前代理商的企业电子邮箱内容。调查发现,公司未能提供完整的隐私通知,并且在数据存储和访问方面存在违规行为。意大利数据保护局最终裁定Selectra S.p.A.违反了多个GDPR条款,并处以8万欧元的罚款,同时禁止继续使用相关软件进行数据处理。

 

来源:意大利数据保护局(Garante)

 

15.Postel因未及时修复安全漏洞导致数据泄露,被处以90万欧元罚款

 

▲向上滑动阅览

意大利数据保护局(Garante)对Postel S.p.A.处以90万欧元的罚款,原因是该公司未能及时修复已知的安全漏洞,导致其在2023年8月遭遇了勒索软件攻击。此次攻击导致约2.5万人的个人数据被泄露或失去可用性,其中包括雇员、前雇员、企业高管等个人信息,部分数据后来被发布在暗网。尽管早在2022年9月软件供应商已提醒并提供了相关补丁,Postel未采取必要措施更新系统,违反了数据保护法规对技术和组织安全措施的要求。

 

此外,Postel在通报数据泄露时,未提供足够的细节信息,导致监管机构调查延误。为此,Garante要求公司进行全面的系统漏洞分析,并制定明确的检测和响应计划,以防止类似事件再次发生。

 

来源:意大利数据保护局(Garante)

 

16.罗马尼亚国家个人数据处理监管局因安全措施不足对沃达丰罚款 24,870 列伊

 

▲向上滑动阅览

10月28日,罗马尼亚国家个人数据处理监管局 (ANSPDCP) 宣布,因沃达丰罗马尼亚公司违反GDPR,对其处以 24,870 列伊(约合 5,410 美元)罚款。调查结果显示,沃达丰未能实施足够的技术和组织措施以确保处理中的个人数据的保密性,特别是未使用“密送”(BCC)功能来隐藏收件人的邮箱地址,导致未经授权的数据泄露。根据GDPR第58(2)(d)条,沃达丰还被要求采取纠正措施,重新评估其安全措施,确保处理风险得到适当级别的安全保障。

 

来源:罗马尼亚国家个人数据处理监管局(ANSPDCP) 

微信公众号 ×

使用“扫一扫”即可添加关注