作者:金茂律师事务所 万波 律师 徐冰清 律师 王书玥 律师助理 吕卓然 实习生
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、《关键信息基础设施安全保护条例》正式施行!落实依法治网、助力网络强国
2、《中华人民共和国数据安全法》于9月1号生效
3、最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》
4、国家互联网信息办公室关于《互联网信息服务算法推荐管理规定(征求意见稿)》公开征求意见的通知
5、中央网信办秘书局关于进一步加强“饭圈”乱象治理的通知
6、国家网信办:企业无论在哪上市 必须确保国家网络安全
7、工信部:将推动建立数据产权制度、完善数据竞争规则
8、丹麦数据保护机构发布摄像头数据处理要求法令
9、意大利发布网络安全范围识别法令
10、香港立法会修改《私隐条例》信函
11、英国《适龄设计准则》(儿童准则)将于2021年9月2日生效
二、执法动态
1、违反信用信息采集等规定 交行、华夏、兴业被罚553万
2、国家网信办启动清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治
3、工信部通报下架67款侵害用户权益APP 因未按时限要求完成整改
4、国家计算机病毒应急处理中心监测发现15款违法移动应用
5、韩国PIPC因违反PIPA而对Facebook处以 64.4亿韩元罚款
6、美国参议员要求TikTok 提供有关收集消费者数据的更多信息
7、美国新墨西哥州/AG 宣布起诉 Rovio Entertainment 违反COPPA
三、司法审判
1、河南省固始县人民检察院督促保护公民个人信息行政公益诉讼案
四、新闻事件
1、美国约780万个T-Mobile后付费客户账户信息泄露
2、报告:中老年网民规模增速最快,超1/5网民曾遭遇信息泄露
3、美国科技集团承诺与政府采取一系列网络安全行动
4、工信部移动互联网APP产品安全漏洞库正式发布
5、 车联网身份认证和安全信任试点名单发布 多家知名网络安全企业入围
6、奇安信可信浏览器联合麒麟软件和统信软件共同发起“商用密码证书可信计划”
立法动态
1、《关键信息基础设施安全保护条例》正式施行!落实依法治网、助力网络强国
近年来,网络和信息技术迅猛发展,网络空间深度融入到经济社会发展、人民生活和社会治理各个方面,极大地影响和改变了社会生产活动方式,在促进经济发展、技术创新、文化繁荣和社会进步的同时,网络安全问题,尤其是关键信息基础设施网络安全问题日益严峻。关键信息基础设施的认定、保护越来越成为业界各方关注焦点、研究重点。经过多方共同研究、探讨和实践,《关键信息基础设施安全保护条例》终于正式发布,已于9月1日正式施行。
(来源:“新经报”微信公众号)
2、《中华人民共和国数据安全法》于9月1号生效
作为我国第一部有关数据安全的专门法律,《中华人民共和国数据安全法》将于9月1日起施行。该法的落地,意味着数字安全受到高度重视,为数字经济发展保驾护航。作为数字经济和信息社会的核心资源,数据被认为是继土地、劳动力、资本、技术之后的又一个重要生产要素,在企业数字化转型中发挥重要作用,并对国家治理能力、经济运行机制、社会生活方式等产生深刻影响。近年来,全球经济数字化发展趋势愈加明显,以大数据、人工智能等新技术为代表的数字经济规模持续扩大,成为经济发展新动能。与此同时,数据安全的重要性愈发凸显。依法采取严密的监管措施,保障数据安全无虞,有利于为数字经济发展夯实安全基础,为国家安全和公共利益保驾护航。
(来源:人大网)
3、最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》
2021年8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(“《通知》”)。《通知》明确根据个人信息保护法有关规定,各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护。
(来源:最高检)
4、国家互联网信息办公室关于《互联网信息服务算法推荐管理规定(征求意见稿)》公开征求意见的通知
为了规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展,国家互联网信息办公室起草了《互联网信息服务算法推荐管理规定(征求意见稿)》(“意见稿”),意见稿共三十条,现向社会公开征求意见。
意见稿指出,不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施自我优待、不正当竞争、影响网络舆论或者规避监管。算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。
(来源:“中国信息安全”微信公众号)
5、中央网信办秘书局关于进一步加强“饭圈”乱象治理的通知
中央网信办秘书局近日发布《关于进一步加强“饭圈”乱象治理的通知》(“《通知》”)。《通知》明确,取消明星艺人榜单;优化调整排行规则;严管明星经纪公司;规范粉丝群体账号;严禁呈现互撕信息;清理违规群组版块;不得诱导粉丝消费;强化节目设置管理;严控未成年人参与;规范应援集资行为。
(来源:“工信微报”微信公众号)
6、国家网信办:企业无论在哪上市 必须确保国家网络安全
国务院新闻办公室8月24日举行国务院政策例行吹风会,介绍《关键信息基础设施安全保护条例》(“《条例》”)有关情况,并回应了重要数据出境监管、《条例》对外贸以及境外上市计划的影响等问题。会议指出,无论是哪种类型的企业,无论在哪里上市,两条是必须符合的:一是必须符合国家的法律法规。二是必须确保国家的网络安全、关键信息基础设施的安全、个人信息保护的安全等。
(来源:网信办)
7、工信部:将推动建立数据产权制度、完善数据竞争规则
工信部发布《关于政协第十三届全国委员会第四次会议第3087号(政治法律类131号)提案答复的函》,其中透露了数据要素市场化建设相关法律制度和标准规范的相关情况。回复函指出,要推动建立数据资源产权、交易流通、数据监管等基础制度和标准规范;组织开展数据交易技术体系、监管体系、定价机制等研究,探索数据产权制度建设面临的主要问题。
(来源:“中国信息安全”微信公众号)
8、丹麦数据保护机构发布摄像头数据处理要求
丹麦数据保护机构("Datatilsynet")于2021年8月20日宣布,它已经发布了一份文件,说明数据控制者在使用摄像头时必须注意哪些义务和注意事项。Datatilsynet概述了处理与摄像头有关的个人数据的基本要求,特别是包括雇员在就业过程中使用摄像头的指示。此外,该规则还提供了一些关于提供信息和删除摄像头图像和声音记录的责任的进一步细节。
(来源:“出海数据”微信公众号)
9、意大利发布网络安全范围识别法令
2021年6月15日意大利部长会议主席关于确定拟在国家网络安全边界内使用的ICT产品、系统和服务类别的法令,以执行经2019年11月18日第133号法律修订的2019年9月21日第105号法令第1(6)(a)条。该法令确定了拟用于国家网络安全周边地区的ICT产品、系统和服务的类别,并且该法令对该类产品和服务进行了列举:
执行电信网络功能和服务的硬件和软件组件。
执行电信网络及其处理的数据安全功能的硬件和软件组件。
用于数据采集、监测、网络和系统监督控制的硬件和软件组件。
电信网络以及工业和基础设施系统的实施和自动化。
用于实施安全机制的软件应用。
(来源:“出海数据”微信公众号)
10、香港立法会修改《私隐条例》信函
香港立法会于2021年8月23日发表政制及内地事务局的函件,这是该局于2021年8月13日发出的函件的延续,此外还有一份补充文件,载述该局对拟议的《2021年个人资料(私隐)(修订)条例草案》的建议修订。信中特别强调,《个人资料条例修订草案》中建议的停止通知机制,旨在迅速删除被列为"doxxing"的违规信息,以减少对受害人及其家人的伤害。此外,补充文件还指出,该局提出了一些修改建议,旨在处理上一次立法会会议上提出的问题。
(来源:香港财报)
11、英国《适龄设计准则》(儿童准则)将于2021年9月2日生效。
英国信息专员办公室(“ICO”)于2021年8月25日发表了一篇博文,由ICO负责监管未来和创新的执行董事Stephen Bonner撰写,内容涉及《适龄设计准则》(“儿童准则”)在2021年9月2日的生效。ICO特别指出,Facebook、Google、Instagram和Tik Tok 等公司最近都对其儿童隐私和安全措施做出了重大改变。然而,ICO强调,一些最大的风险来自社交媒体平台、视频和音乐流媒体网站以及视频游戏平台,在这些平台上,儿童的个人数据被用来提供内容和个性化的服务功能,并被共享。此外,ICO指出,它将积极要求这些平台表明并解释其服务的设计符合《儿童守则》,如果情况需要,ICO应利用其权力调查或审计机构。
(来源:“出海数据”微信公众号)
执法动态
1. 违反信用信息采集等规定 交行、华夏、兴业被罚553万
近日,交通银行、华夏银行、兴业银行因违反信用信息采集、提供、查询及相关管理规定,被罚款合计553万元。同时,时任交通银行太平洋信用卡中心风险管理和控制部操作风险管理团队经理、资深综合管理顾问的沈奕栋,对交通银行“违反信用信息采集、提供、查询及相关管理规定”违法违规行为负有责任,被罚款7万元。
(来源:“经济犯罪治理”微信公众号)
2、国家网信办启动清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治
国家网信办决定自8月27日起开展清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治。重点打击8类违规问题:一是胡评妄议、歪曲解读我财经方针政策、宏观经济数据,恶意唱空我金融市场、唱衰中国经济等;二是毫无立场、不加判断地转载搬运境外歪曲解读我财经领域热点的报道评论等;三是散布“小道消息”,以所谓“揭秘”“重磅”“独家爆料”“知情人士称”为名进行渲染炒作,甚至造谣传谣;四是转载合规稿源财经新闻信息时,恶意篡改、断章取义、片面曲解等“标题党”行为;五是充当金融“黑嘴”,恶意唱空或哄抬个股价格,炒作区域楼市波动,扰乱正常市场秩序;六是炒作负面信息对相关利益主体进行威胁恐吓、敲诈勒索,谋取非法利益;七是炒作社会恶性事件、负面极端事件,煽动悲情、焦虑、恐慌等情绪,借以推销所谓“财商课”、各类保险产品等;八是未严格履行身份认证程序,冒用滥用财经主管部门工作人员或专家学者等名义开办财经专栏、账号等。
(来源:国家网信办)
3、工信部通报下架67款侵害用户权益APP 因未按时限要求完成整改
近期,工信部重点针对APP违规索取权限、开屏弹窗信息骚扰用户等问题进行了“回头看”,对仍存在问题的APP(2021年第6、7批)进行了公开通报。各通信管理局按照工信部统筹部署,积极开展APP技术检测。截至目前,尚有蜻蜓FM等67款APP未按时限要求完成整改。依据《网络安全法》等法律要求,组织对上述67款APP进行下架。
(来源:“数据法盟”微信公众号)
4、国家计算机病毒应急处理中心监测发现15款违法移动应用
国家计算机病毒应急处理中心近期通过互联网监测发现《乐抓娃娃》(版本6.0.1,360手机助手)、《小鱼网》(版本5.4.8,OPPO软件商店)、《搬运帮》(版本4.3.0,OPPO软件商店)等15款移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。
(来源:新华网)
5、韩国PIPC因违反PIPA而对Facebook处以 64.4亿韩元罚款
2021年8月25日,韩国个人信息保护委员会(“PIPC”)宣布对Facebook(Facebook爱尔兰和Facebook公司)处以64.4亿韩元(约合469.7万欧元)的罚款,原因是违反了《2011年个人信息保护法》(2020年修订)(“PIPA”)。特别是,PIPC澄清了最严重的违反PIPA的行为与Facebook在2018年4月至2019年9月期间未经用户同意通过用户的照片和视频创建和收集的面部识别表格有关,并指出对这一违法行为的罚款为64.4亿韩元。此外,PIPC还对另外五项违反PIPA的行为处以2600万韩元(约19000欧元)的罚款,这些行为涉及非法收集居民登记号码、未通知数据主体处理个人信息、未披露委托其他方处理的情况、未披露数据迁往海外的情况,以及未提交PIPC在调查期间要求的信息。
(来源:海外信息网)
6、美国参议员要求TikTok 提供有关收集消费者数据的更多信息
美国参议员于2021年8月9日宣布,他们已经要求提供关于Tik Tok公司收集消费者数据(包括面部和声音生物识别)的额外信息。特别是,该参议院对Tik Tok更新的隐私政策表示严重关切,该政策允许从其用户的视频内容中收集用户数据、生物识别数据以及某些物理和行为特征,但没有提供额外的信息,说明什么是作为所收集的生物识别数据的一部分的脸部或声纹。
此外,该参议院要求Tik Tok的首席执行官在2021年8月25日之前对以下问题提供答案。
界定什么是“脸谱”和“声谱”。
Tik Tok是否在收集18岁以下用户的数据。
提供关于Tik Tok推荐内容和广告的过程的描述。
Tik Tok是否根据脸谱和声谱对其用户进行任何推断。
Tik Tok是否使用机器学习来确定用户的年龄、性别、种族、族裔或从脸谱和声谱观察到的其他特征?如果是,Tik Tok采取了哪些措施来审核机器学习过程的准确性和偏见;
提供一份能够访问Tik Tok收集的数据的所有实体(包括上级组织)的清单。
(来源:海外信息网)
7、美国新墨西哥州/AG 宣布起诉 Rovio Entertainment 违反COPPA
美国新墨西哥州总检察长Hector Balderas于2021年8月25日宣布,已对Rovio娱乐公司提起联邦诉讼。特别是,Balderas声称,Rovio公司收集了玩《愤怒的小鸟》游戏的13岁以下儿童的个人信息,然后将这些信息发送给第三方营销公司,这些公司向儿童投放有针对性的广告,违反了《儿童在线隐私保护法》(COPPA)第6501条和《新墨西哥州不公平做法法》第57-12-1条。
此外,Balderas表示,该诉讼要求禁止Rovio的数据收集行为、民事处罚、赔偿和其他救济。
司法审判
河南省固始县人民检察院督促保护公民个人信息行政公益诉讼案
要旨:检察机关从刑事案件中发现房产买卖、租赁、装修行业非法泄露、出售公民个人信息公益诉讼线索,积极督促行政机关加强监管,推动行业系统治理,切实保护消费者个人信息安全,维护社会公共利益。
基本案情:2018年至2019年期间,信阳市固始县某装修公司员工舒某某、胡某某等多人将非法获取的当地10多个小区近10万余条业主个人信息非法出售、转让,造成消费者个人信息泄露,侵犯公民个人隐私,案件涉及固始县多家房地产公司、房产中介公司和装饰装修公司。2020年初,舒某某、胡某某等人因犯侵犯公民个人信息罪,被依法提起公诉,后被法院判处三年至一年有期徒刑。但是针对信息收集者即房产买卖、租赁、装修公司未依法履行消费者信息保护法定义务的情形,行政机关未依法全面履行监管职责,公益损害的源头性问题未得到根本解决。
调查和督促履职:河南省固始县人民检察院(以下简称固始县院)在办理舒某某、胡某某等人侵犯公民个人信息刑事案件中发现该问题线索,认为可能存在侵害社会公共利益情形,于2020年1月15日立案调查。在刑事案件证据的基础上,该院多方补充调查收集证据,形成完整证据链,经审查认为,消费者的个人信息属于个人隐私的范畴,《中华人民共和国消费者权益保护法》对于经营者收集、使用消费者个人信息作出了明确规定,经营者不得泄露、出售或者非法向他人提供,且应采取技术措施或者其他必要措施确保信息安全。涉案公司违反了上述法律规定,侵犯了众多消费者的合法权益。市场监管局作为行业监管部门,负有对相关企业的监管职责。
固始县院于2020年1月20日向县市场监督管理局发出检察建议,建议对涉案18家公司进行依法处理,切实履行保护消费者合法权益的职责,督促其开展行业规范整治,加强监管力度,建立有效长效的监管机制,防范类似违法行为发生。
市场监督管理局收到检察建议后高度重视,克服疫情期间的不利影响,积极进行调查核实,针对装修及房地产领域泄露公民个人信息情况,立即组织开展专项执法行动,并于2020年3月中旬,对检察建议书中涉及的公司违法行为进行立案调查,于2020年3月18日将开展专项活动及调查情况初步回复固始县院。经跟进监督核实,市场监督管理局考虑到企业复工复产等因素,对15家违法行为较轻的公司进行集体谈话责令改正或给予警告处罚,对3家情节较重的公司给予罚款3万至1万元的处罚。同时县市场监督管理局要求涉案企业建立个人信息监管软件,要求企业每月进行一次个人信息安全教育,每半年向监管部门报送个人信息监管情况,市场监督管理局也配套建立了定期检查、约谈和通报等监管制度。涉案企业已经按照市场监督管理局的要求,将收集的个人信息全部纳入企业日常监管范围,通过购买运用智能化办公软件等形式,将已收集的分散信息全部录入规范的办公软件,并将存储在员工个人网络设备中的公民信息彻底清除,公民个人信息收集纳入了科技化保护范围,企业内部个人信息的使用审批更加规范和严格,大幅降低了公民个人信息被批量售卖转发的风险,公民个人隐私得到了有效保护。
典型意义:日常生活中,各类市场主体收集的公民个人信息数量巨大,部分市场主体对消费者信息安全保护意识淡薄,未依法履行相关法定义务,导致公民个人信息泄露事件频发多发,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。针对该突出问题,检察机关能动司法,通过刑事检察、公益诉讼检察协同发力,实现对违法个体和行业(企业)主体的双重惩治,督促职能部门建立常态长效监管机制,及时回应和解决了群众关切。
(来源:广东省人民检察院官网)
新闻事件
1、美国约780万个T-Mobile后付费客户账户信息泄露。
T-Mobile美国公司于2021年8月17日宣布,该公司遭受了数据泄露,并指出,虽然他们的调查仍在进行中,但已证实T-Mobile的一部分数据被未经授权的个人访问,被盗数据包括个人信息。T-Mobile公司报告说,大约780万个当前T-Mobile后付费客户账户的信息被泄露,其中包括姓名、出生日期、社会保险号码和驾驶执照/身份证信息,而另外530万个当前后付费客户账户有一个或多个相关的客户姓名、地址、出生日期和电话号码等,被非法访问。此外,T-Mobile提供,他们有信心已经关闭了不良行为者在攻击中使用的访问和出口点,他们正在以各种方式支持受影响的客户,包括向任何认为自己可能受到影响的人提供两年的免费身份保护服务。
(来源:“隐私护卫队”微信公众号)
2、报告:中老年网民规模增速最快,超1/5网民曾遭遇信息泄露
8月27日,中国互联网络信息中心(CNNIC)发布《中国互联网络发展状况统计报告(第48次)》。报告显示,截至今年6月,我国网民规模超过10亿,其中使用手机上网的比例为99.6%;在网民年龄结构上,中老年网民规模增速最快,但仍有超过4亿人未触网;过半网民称过去半年未遭遇网络安全问题,22.8%的网民遭遇过个人信息泄露。
(来源:“数据法盟”公众号)
3、美国科技集团承诺与政府采取一系列网络安全行动
联邦政府和Alphabet、亚马逊、苹果、IBM、微软等几家主要科技公司周三宣布,他们正在采取一系列措施来加强国家的网络安全,特别是专注于增加网络劳动力并在该领域投资数十亿美元。这些公告是在白宫举行的网络安全会议之后发布的。发布者是拜登总统 以及他的政府在网络安全方面的主要成员,时间选择则是在几个月备受瞩目的网络攻击之后。
(来源:“数据法盟”公众号)
4、工信部移动互联网APP产品安全漏洞库正式发布
2021年8月26日,工业和信息化部移动互联网APP产品安全漏洞库发布会暨安全漏洞管理特设工作组成立仪式在京举办。
本次发布由中国电子信息产业发展研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)主办,中国计算机行业协会协办,旨在贯彻落实《规定》相关要求,充分发挥移动互联网领域相关企业的技术优势,联合业界知名科研机构、高校、安全企业、网络产品提供者、网络运营者等,全力做好移动互联网APP产品漏洞收集、认定、修补等工作,提高威胁应对与风险管理能力,保障国家网络安全。
(来源:“数据法盟”公众号)
5、 车联网身份认证和安全信任试点名单发布 多家知名网络安全企业入围
此前,为贯彻落实《新能源汽车产业发展规划(2021-2035年)》《智能汽车创新发展战略》和车联网产业发展专委会第四次全体会议工作任务要求,加快推进车联网网络安全保障能力建设,构建车联网身份认证和安全信任体系,推动商用密码应用,保障蜂窝车联网(C-V2X)通信安全,工信部发布了《关于开展车联网身份认证和安全信任试点工作的通知》)。
(来源:工信部)
6、奇安信可信浏览器联合麒麟软件和统信软件共同发起“商用密码证书可信计划”
8月26日,作为2021北京网络安全大会(BCS 2021)期间重要论坛活动之一,第五届网络安全产业担当与发展高峰论坛如期举办,本届高峰论坛以“共担产业使命 共创产业未来”为主题。在此高峰论坛上,奇安信可信浏览器联合统信软件和麒麟软件两大骨干信创企业共同发起“商用密码证书可信计划”,实现“一次审核、共同信任”的安全可信保障。
(来源:“数据法盟”公众号))