评论文章
网络安全与数据合规动态(10.23-11.7)

作者:金茂律师事务所  万波 律师  金文玮 律师  徐冰清 律师  张弈 律师  王书玥 律师助理 

金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。

目录

一、立法动态 

1、《数据出境安全评估办法》公开征求意见 
2、《互联网用户账号名称信息管理规定(征求意见稿)》公开征求意见 
3、全国人大常委会组成人员分组审议反电信网络诈骗法草案 
4、中央网信委印发《提升全民数字素养与技能行动纲要》 
5、包含我国SM9密钥协商协议的ISO/IEC 11770-3:2021正式发布 
6、工业和信息化部发布《物联网基础安全标准体系建设指南(2021版)》 
7、中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》 
8、北京市地方金融监管局印发《北京市关于促进数字贸易高质量发展的若干措施》 

二、执法动态 

1、工信部通报38款违规App涉超范围索取权限、过度收集用户个人信息等 
2、最高法:依法严惩平台强制“二选一”“大数据杀熟”等行为 
3、工信部:推动企业建立已收集个人信息清单与第三方共享个人信息清单的个人信息保护“双清单” 
4、15款违法App涉嫌超范围采集个人隐私信息 

三、司法审判 

1、国家安全部公布三起危害重要数据安全案例 
2、适用《民法典》认定:二手车历史车况信息不属于个人信息或隐私 

四、新闻事件 

1、我国已组织制订网络安全国家标准332项 
2、腾讯发布《2021游戏安全白皮书》,为游戏行业网络安全提供参考 
3、腾讯安全为企业提供保障,构建全新业务安全 
4、台积电已向美提交芯片数据:表态会保护客户机密 
5、格力回应接受美国 9100 万美元罚款:涉及问题发生在8年前 不会影响本年度业绩 
6、我国正式提出申请加入《数字经济伙伴关系协定》(DEPA) 

五、域外观察 

1、美国拟制定《敏感个人数据保护法》 
2、美国CISA和NSA联合发布《5G云基础设施安全指南》 
3、研究人员建议美国会推出网络安全记分卡 
4、网络安全公司McAfee或将以超100亿美元出售给Advent International及Permira 
5、Cloudflare:第三季度全球 DDoS 攻击创纪录增长 44% 
6、Meta宣布关闭人脸识别系统,删除10亿用户人脸数据 

一、立法动态

1、《数据出境安全评估办法》公开征求意见

为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,国家互联网信息办公室于10月29日公布《数据出境安全评估办法(征求意见稿)》,并向社会公开征求意见。征求意见稿提出,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。根据征求意见稿,数据处理者开展数据出境风险自评估,重点评估出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损风险等。征求意见稿还要求,数据处理者向境外提供数据,符合关键信息基础设施的运营者收集和产生的个人信息和重要数据;出境数据中包含重要数据;处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息等情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(来源:新华网)

2、《互联网用户账号名称信息管理规定(征求意见稿)》公开征求意见

国家互联网信息办公室10月26日对外公布《互联网用户账号名称信息管理规定(征求意见稿)》(以下简称《征求意见稿》),要求互联网用户账号使用者在注册、使用账号名称信息中应当遵循以下原则:互联网个人用户的账号名称信息应当充分体现个人特征,不得模仿、类似党政军机关、新闻媒体、企事业单位等组织机构的名称、标识,或是国家行政区域的地理名称,避免误导公众;互联网机构用户的账号名称信息应当与机构自身的名称、标识等相符合,与机构性质、经营范围和所属行业类型相匹配。未成年人注册账号时,应当取得其监护人的同意并提供未成年人本人居民身份证号码用于真实身份信息核验。《征求意见稿》明确,互联网用户账号使用者注册、使用的账号名称信息,不得有下列情形:违反《网络信息内容生态治理规定》第六条、第七条规定的;假冒、仿冒、捏造党政军机关、企事业单位和人民团体等组织机构的名称、标识的;假冒、仿冒、捏造新闻媒体的名称、标识,或擅自使用新闻、报道、报刊等具有新闻属性的名称信息的;假冒、仿冒、关联国家行政区域、机构所在地,标志性建筑物等重要空间的地理名称、标识的;故意夹带二维码、网址、邮箱、联系方式等,或者使用同音、谐音、相近文字,拼音、数字、符号、字母和无意义文字等侵犯他人合法权益、谋取非法利益或者损害公共利益的;法律、行政法规禁止的其他行为。《征求意见稿》指出,互联网用户账号服务平台对申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,应当要求互联网用户账号使用者在注册时提供其专业背景,以及依照法律、行政法规获得的职业资格或者服务资质等相关材料,并进行必要核验。互联网用户账号服务平台对申请注册向社会公众提供互联网新闻信息服务的账号,应当要求互联网用户账号使用者在注册时提供互联网新闻信息服务许可,并进行必要核验。《征求意见稿》明确,互联网用户账号服务平台应当禁止被依法依约关闭的账号以相同或者相似的账号名称信息重新注册;对以相似名称注册、更名的,还应当对账号主体真实身份信息、账号信息内容、专业资质等进行必要核验。互联网用户账号服务平台应当采取必要手段,防止被依法依约关闭的账号跨平台重新注册。(来源:法制网)

3、全国人大常委会组成人员分组审议反电信网络诈骗法草案

十三届全国人大常委会第三十一次会议日前对反电信网络诈骗法草案进行分组审议。与会人员认为,草案为反电信网络诈骗工作提供法治保障,对于保护公民合法权益,维护社会稳定和国家安全具有重大意义。分组审议中,与会人员就涉诈财产处置问题和反电信网络诈骗宣传等工作提出了建议。罗保铭委员建议对涉诈财产处置问题进行明确规定。他说,当前很多诈骗分子的涉案金额巨大,但是量刑认定的金额并不多,达不到对诈骗犯罪“打财断血”的效果和威慑作用。建议对涉诈财产的处置作出进一步明确规定,使之有法可依、操作性强,突出打击效果。加强舆论宣传,普及法律知识,是防范电信网络诈骗的基础工作。殷方龙委员说:“对电信业务的经营者、金融机构、互联网服务的提供者,草案应赋予他们开展防范电信网络诈骗宣传的责任。在消费者办理业务、运用电信和网络等时机,及时提醒,加强宣传,提高公众鉴别能力和防范意识。”李锐委员建议,草案中应增加对老年人、未成年人等重点人群宣传教育内容,使其审慎投资,谨慎网络交友,保护好个人信息。(来源:新华网)

4、中央网信委印发《提升全民数字素养与技能行动纲要》

近日,中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》,对提升全民数字素养与技能作出安排部署。文中指出:要提高全民网络安全防护能力。引导全民积极参与国家网络安全宣传周、“网络安全进社区”等活动,普及网络安全知识,提升网络安全防范意识。通过举办网络安全专题讲座和培训班、制作印发宣传册、线上视频宣讲等方式,增强全民对网络谣言、电信诈骗、信息窃取等不法行为的辨别能力和安全防护技能;要强化个人信息和隐私保护。加大个人信息和隐私保护相关法律法规的普及宣传力度,提高全民个人信息和隐私保护意识。制定完善个人信息和隐私保护标准,健全个人信息和隐私保护监管机制,优化社会群众监督举报机制,压实行业组织、企业机构等保护个人信息安全主体责任,加大对侵犯个人信息和隐私等违法犯罪行为的打击力度。(来源:中国网信网)

5、包含我国SM9密钥协商协议的ISO/IEC 11770-3:2021正式发布

2021年10月,包含我国SM9密钥协商协议的国际标准ISO/IEC 11770-3:2021《信息安全 密钥管理 第3部分:使用非对称技术的机制》正式发布。我国于2018年4月正式提交关于SM9密钥协商协议纳入ISO/IEC 11770-3的国际标准提案,后立项为国际标准研究项目启动研究;2019年4月SM9密钥协商协议作为ISO/IEC 11770-3补篇立项研制;2021年4月该补篇纳入ISO/IEC 11770-3修订工作;2021年10月ISO/IEC 11770-3正式发布。我国2名专家担任项目编辑和联合编辑。SM9密钥协商协议是继SM9数字签名算法、SM9标识加密算法纳入国际标准后的第三项SM9算法。至此,SM9系列算法成为我国密码技术领域首个全体系纳入ISO/IEC国际标准的非对称密码算法。(来源:信安标委网站)

6、工业和信息化部发布《物联网基础安全标准体系建设指南(2021版)》

工业和信息化部近日发布《物联网基础安全标准体系建设指南(2021版)》。《指南》要求,到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上;到2025年,推动形成较为完善的物联网基础安全标准体系。(来源:工业和信息化部信息中心)

7、中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》

近日,中央网络安全和信息化委员会印发《提升全民数字素养与技能行动纲要》,对提升全民数字素养与技能作出安排部署,提出2035年基本建成数字人才强国,全民数字素养与技能等能力达到更高水平,高端数字人才引领作用凸显,数字创新创业繁荣活跃,为建成网络强国、数字中国、智慧社会提供有力支撑。行动纲要提出,到2025年,全民数字化适应力、胜任力、创造力显著提升,数字素养与技能提升发展环境显著优化,基本形成渠道丰富、开放共享、优质普惠的数字资源供给能力。初步建成全民终身数字学习体系,老年人、残疾人等特殊群体数字技能稳步提升,数字鸿沟加快弥合。行动纲要围绕7个方面部署了主要任务,一是丰富优质数字资源供给,二是提升高品质数字生活水平,三是提升高效率数字工作能力,四是构建终身数字学习体系,五是激发数字创新活力,六是提高数字安全保护能力,七是强化数字社会法治道德规范。围绕主要任务和薄弱环节,行动纲要还设立了数字社会无障碍和适老化改造提升工程等6个重点工程。(来源:新华网)

8、北京市地方金融监管局印发《北京市关于促进数字贸易高质量发展的若干措施》

近日,北京市地方金融监管局印发《北京市关于促进数字贸易高质量发展的若干措施》。文中指出:强化信息基础设施建设和安全保护。立足数字贸易试验区、各类数字贸易园区等特定区域,建设专用通道等通信基础设施,实现5G在特定区域覆盖;升级改造高耗能低效率的数据中心,积极布局物联网、工业互联网信息基础设施。推动数据跨境流动制度创新。在国家有关部门的指导下,分步骤研究制定智能网联汽车、信息技术等重点领域的数据分级分类标准和重要数据目录;争取建立国家和市相关部门协同参与的数据跨境流动安全评估机制,强化风险监管;逐步建立健全数据出境安全评估有关制度。(来源:央视网)

二、执法动态

1、工信部通报38款违规App涉超范围索取权限、过度收集用户个人信息等

工信部于11月3日在官网发布通报,近期针对用户反映强烈的App超范围、高频次索取权限,欺骗误导用户下载等违规行为进行了检查,共发现38款App存在问题。工信部要求这些App应在11月9日前完成整改,逾期不整改或整改不到位的,将依法依规进行处置并予以行政处罚。

(来源:新华社)

2、最高法:依法严惩平台强制“二选一”“大数据杀熟”等行为

10月29日,最高法召开新闻发布会。针对最高法如何加强反垄断和反不正当竞争司法,最高法知识产权法庭副庭长郃中林在发布会上介绍,最高法聚焦重点领域,着力规制反映强烈的突出问题。依法严惩平台强制“二选一”“大数据杀熟”等行为,提升人民群众获得感。针对技术秘密保护的薄弱环节,充分运用举证责任转移、加大惩罚性赔偿适用力度等手段,强化技术秘密司法保护,有效遏制侵害技术秘密行为。最高法聚焦重点领域,着力规制反映强烈的突出问题。加大对下级法院涉互联网平台垄断和不正当竞争案件的指导,从广大人民群众的根本利益和平台市场发展的长远利益出发,坚决及时作出裁判,依法严惩平台强制“二选一”“大数据杀熟”等行为,提升人民群众获得感。针对技术秘密保护的薄弱环节,充分运用举证责任转移、加大惩罚性赔偿适用力度等手段,强化技术秘密司法保护,有效遏制侵害技术秘密行为。(来源:中国新闻网)

3、工信部:推动企业建立已收集个人信息清单与第三方共享个人信息清单的个人信息保护“双清单”

工信部发布《关于开展信息通信服务感知提升行动的通知》。通知决定,自11月1日起开展信息通信服务感知提升行动。行动聚焦影响用户感知的信息通信服务,推动优化“资费套餐设置展示和双千兆服务宣传方式、隐私政策和权限调用展示、APP开屏弹窗信息展示以及网盘类服务提供方式”等服务举措;推动企业建立已收集个人信息清单与第三方共享个人信息清单的个人信息保护“双清单”;实现跨区域通办、携号转网服务、客服热线响应和APP关键责任链个人信息保护等四项服务能力提升。明确到2022年3月底,信息通信行业综合服务明显改善,用户获得感、幸福感和安全感进一步提升。通知还提到,相关企业应优化产品服务资费介绍,清晰明示存储空间、传输速率、功能权益及资费水平等内容,不得进行误导宣传。在同一网络条件下,向免费用户提供的上传和下载的最低速率应确保满足基本的下载需求。(来源:工信部官网)

4、15款违法App涉嫌超范围采集个人隐私信息

国家计算机病毒应急处理中心近期通过互联网监测发现15款移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。

1、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及13款App如下:《坚果云》(版本4.23.3,360手机助手)、《鱼耳语音》(版本5.23.5,360手机助手)、《停车百事通》(版本5.1.9,OPPO软件商店)、《秀动》(版本4.9.1,vivo应用商店)、《鲁班乐标》(版本6.9.4,vivo应用商店)、《马拉马拉》(版本4.7.16,vivo应用商店)、《最美天气》(版本7.1.1,vivo应用商店)、《足球财富》(版本4.3.2,华为应用市场)、《91体育》(版本3.8.5,华为应用市场)、《手心输入法》(版本3.5.0,华为应用市场)、《星途生活》(版本2.0.004,魅族应用商店)、《潮玩家》(版本3.3.6,应用宝)、《众托帮》(版本3.9.3,应用宝)。

2、App向第三方提供个人信息未做匿名化处理,涉嫌隐私不合规。涉及1款App如下:《一罐》(版本3.14.9,应用宝)。

3、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及4款App如下:《鱼耳语音》(版本5.23.5,360手机助手)、《手心输入法》(版本3.5.0,华为应用市场)、《星途生活》(版本2.0.004,魅族应用商店)、《大头娃娃》(版本2.7.0,应用宝)。

4、未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及1款App如下:《星途生活》(版本2.0.004,魅族应用商店)。

针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户要谨慎下载使用以上违法、违规移动App,同时要注意认真阅读App的用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。(来源:新华网)

三、司法审判

1、国家安全部公布三起危害重要数据安全案例

近年来,国家安全机关坚持以总体国家安全观为指导,统筹传统与非传统安全,陆续破获了一批非传统领域案件,消除了许多现实和潜在的危害。10月31日,在反间谍法颁布实施7周年即将到来之际,国家安全机关公布三起危害重要数据安全的案件,旨在进一步提高全社会对非传统安全的重视,共同维护国家安全。

案件一:某航空公司数据被境外间谍情报机关网络攻击窃取案

2020年1月,某航空公司向国家安全机关报告,该公司信息系统出现异常,怀疑遭到网络攻击。国家安全机关立即进行技术检查,确认相关信息系统遭到网络武器攻击,多台重要服务器和网络设备被植入特种木马程序,部分乘客出行记录等数据被窃取。

国家安全机关经过进一步排查发现,另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。经深入调查,确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施,攻击中利用了多个技术漏洞,并利用多个网络设备进行跳转,以隐匿踪迹。

针对这一情况,国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序,调整技术安全防范策略、强化防范措施,制止了危害的进一步扩大。

案件二:某境外咨询调查公司秘密搜集窃取航运数据案

2021年5月,国家安全机关工作发现,某境外咨询调查公司通过网络、电话等方式,频繁联系我大型航运企业、代理服务公司的管理人员,以高额报酬聘请行业咨询专家之名,与我境内数十名人员建立“合作”,指使其广泛搜集提供我航运基础数据、特定船只载物信息等。办案人员进一步调查掌握,相关境外咨询调查公司与所在国家间谍情报机关关系密切,承接了大量情报搜集和分析业务,通过我境内人员所获的航运数据,都提供给该国间谍情报机关。

为防范相关危害持续发生,国家安全机关及时对有关境内人员进行警示教育,并责令所在公司加强内部人员管理和数据安全保护措施。同时,依法对该境外咨询调查公司有关活动进行了查处。

案件三:李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案

2021年3月,国家安全机关工作发现,国家某重要军事基地周边建有一可疑气象观测设备,具备采集精确位置信息和多类型气象数据的功能,所采集数据直接传送至境外。

国家安全机关调查掌握,有关气象观测设备由李某网上购买并私自架设,类似设备已向全国多地售出100余套,部分被架设在我重要区域周边,有关设备所采集数据被传送到境外某气象观测组织的网站。该境外气象观测组织实际上由某国政府部门以科研之名发起成立,而该部门的一项重要任务就是搜集分析全球气象数据信息,为其军方提供服务。

国家安全机关会同有关部门联合开展执法,责令有关人员立即拆除设备,消除了风险隐患。

数据安全关乎国家安全和公共利益,是非传统安全的重要方面。国家安全机关提醒社会公众,如发现危害国家安全的可疑情况,请立即拨打国家安全机关举报受理电话12339,或登录国家安全机关举报受理平台进行举报。(来源:新华网)

2、适用《民法典》认定:二手车历史车况信息不属于个人信息或隐私

基本案情:北京酷车易美网络科技有限公司(以下简称酷车易美公司)开发、运营查博士APP,为不特定公众有偿提供二手车历史车况信息查询、车辆检测、汽车保修、二手车估价等服务。余某诉称,2020年12月,其在与车辆意向购买人磋商过程中,得知对方用其提供的机动车行驶证上所载的车架号,在查博士APP上付费查询了车辆的历史车况信息,并获得了详细记录车辆的行驶数据、维保数据等信息的《历史车况报告》。余某认为《历史车况报告》综合反映了其本人驾驶特征、维保行踪、消费能力、消费习惯等,可间接识别余某身份,属于余某的个人信息及个人隐私。酷车易美公司未经其同意,擅自有偿向他人提供上述信息,侵犯其个人信息及隐私。

争议焦点:1. 酷车易美公司提供历史车况信息的行为是否侵犯余某的个人信息权益?2. 酷车易美公司提供历史车况信息的行为是否侵犯余某的隐私权?

裁判结果:广州互联网法院判决:驳回原告余某的全部诉讼请求。判决现已生效。

裁判理由:1. 案涉历史车况信息是否为个人信息,关键在于该信息能否单独或者与其他信息结合识别特定自然人。从信息内容看,案涉历史车况信息的内容未出现身份信息、通信通讯联系方式等能直接识别特定自然人的信息。其中的行驶数据、维保数据也未显示车辆维修保养机构的位置信息和维修保养的具体年月日,不能以此识别出自然人的行踪轨迹。从信息特征看,案涉历史车况信息仅能反映所查车辆的使用情况,其内容既不涉及具体个人,也不用于评价具体个人的行为或状态,无法关联到车辆所有人等特定自然人。从信息来源看,根据日常车辆使用经验,产生车况信息的主体除车主外,亦可能为亲友、维修人员、保险人员等,无法通过车况信息精准识别到车辆的实际使用人是否为余某本人。从信息重新结合识别特定自然人的成本看,将车况信息与其他信息结合识别所需的技术门槛、经济成本、耗费时间等都较高。同时,各数据提供方将其所持有的数据采用脱敏化技术传输给酷车易美公司汇集整理并出具相关报告,在一定程度上降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。综上,案涉车况信息无法被认定为个人信息。

2. 案涉历史车况信息是否为隐私,关键在于判定该信息的公开是否会对余某的私人生活带来不当干扰以及该信息是否具有私密性。如前所述,案涉历史车况信息无法识别到特定自然人,故亦不会对余某的日常生活安宁、住宅安宁、通信安宁带来不当干扰。案涉历史车况信息中的行驶数据、维保数据等信息产生于公开汽修经营场所,并非处于隐秘状态。虽然在公共场所发生的事件也可以成为隐私权客体,但凡是自己不希望被他人知晓的信息都界定为隐私,将会给社会正常交往带来不必要的负担。在车辆交易场景下,直接将历史车况信息纳入隐私权保护范围,有可能增加二手车交易市场的信息不对称风险和交易安全隐患。

关于余某要求立即删除案涉历史车况信息并赔偿经济损失的诉讼请求,法院认为,案涉历史车况信息并非余某的个人信息,亦非其个人隐私。余某亦未向法院举证证明其主张的3000元损失已实际发生。故本院依法驳回余某全部诉讼请求。

法官说法:本案中,案涉历史车况信息未出现能直接识别特定自然人的信息,仅能反映所查车辆的日常损耗程度、未来使用寿命等情况。另外,车架号显示在汽车车身外观,车架号仅为识别特定车辆的编码,无法识别到特定自然人,一般公众尚无公开、合法渠道获得与车架号结合能识别个人身份的相关信息。就本案查明事实,数据使用过程中采用数据脱敏化传输,数据提供方的主体与协议细节均为商业秘密,且不对外披露,降低了一般公众将车况信息与其他第三方信息结合识别特定自然人的可能性。因此,案涉车况信息与其他信息结合进行关联识别难度较大,无法认定为个人信息。(来源:广州互联网法院)

四、新闻事件

1、我国已组织制订网络安全国家标准332项

第三届全国信息安全标准化技术委员会第一次全体会议日前在京召开。记者从会上了解到,成立于2002年的全国信息安全标准化技术委员会,已组织制订网络安全国家标准332项。中央宣传部副部长、中央网信办主任庄荣文表示,做好新时代网络安全标准化工作,是推进网络强国建设的重要支撑,是提升网络空间国际话语权和影响力的重要途径。庄荣文说,面对新形势新任务新要求,要坚持问题导向,积极推动标准化工作创新发展;践行为民宗旨,努力让人民群众有更多获得感、幸福感、安全感;强化依法治网,加快推动网信领域法律法规落地落实;拓展全球视野,积极参与网络空间国际标准规则制定。市场监管总局局长张工表示,要深刻认识加强网络安全标准化工作对统筹发展和安全、做强做优做大数字经济、构建网络空间命运共同体的重要战略意义,积极推动网络安全标准化工作开创新局面。据悉,会议宣读了第三届全国信息安全标准化技术委员会换届及委员组成方案,审议了第三届信安标委章程、标准制修订工作程序、技术文件制订工作程序等文件。(来源:新华网)

2、腾讯发布《2021游戏安全白皮书》,为游戏行业网络安全提供参考

最近腾讯发布的《2021游戏安全白皮书》中,整合了多年来腾讯在各种攻防实践中积累的数据和经验,为行业发展提供非常具有参考性的数据,尤其可以分析、梳理出最合理的解决方案。当游戏行业面临安全威胁的时候,能够为厂商提供最适合的安全防护体系。《白皮书》针对的是大家最关心的外挂问题、打金工作室,以及DDoS攻击,还有非常重要的信息安全等问题。有很多玩家表示,在玩游戏的时候遭到过其他玩家的辱骂和人身攻击,还有很多色情、诈骗的信息充斥其中,有许多玩家不光损失了金钱,甚至连隐私信息都被曝光,这也是广大玩家最关心的问题。仅仅在去年,腾讯游戏检测系统就检测到各种违规信息数百亿条,其中绝大多数都是一些辱骂信息,以及广告引流信息。这次腾讯发布《2021游戏安全白皮书》以及全新游戏安全品牌ACE,希望能够用自己二十年在游戏领域的经验,来和伙伴们携手打造更安全的游戏环境,推动游戏产业的健康成长。(来源:冰山电竞)

3、腾讯安全为企业提供保障,构建全新业务安全

2021腾讯数字生态大会如约而至,本次大会针对数字经济暴露的问题展开了激烈的讨论。而腾讯安全在本次大会中回忆了这二十年的发展过程,提出了“业务安全全景图”。本次的业务安全全景图主要是为了帮助企业实现数字化转型,减少在转型过程出现的不确定性。腾讯安全为了能够保护用户的隐私,特地打造了风险对应闭环。腾讯安全通过四大AI风控能力提高了风险感知能力,让企业能够在第一时间内发现风险。在发现风险之后,腾讯安全通过极强的处置能力将风险早日消灭。腾讯安全为金融领域打通了获客和风险环节。随着用户数据的流通,金融机构的获客和风控能力受到挑战。腾讯安全给金融机构制定了星云解决方案,不仅提高了他们的获客能力,还控制了相应的风险。很多金融机构都面临着坏账难以收回的情况,而腾讯安全从源头出发仔细审核借款人的信用资质与还债能力,让金融领域迎来更好的环境。腾讯安全根据不同行业制定了不同的成本标准。为了能够降低泛互联网的成本,腾讯安全增加了内容审核机制,在提高扩容能力的基础上提高了企业应对风险的能力。在这种情况下,不同行业也可以根据自己的预算选择相应的安全产品,避免无法负担昂贵的成本。(来源:新浪网)

4、台积电已向美提交芯片数据:表态会保护客户机密

芯片代工巨头台积电公司发言人周日表示,台积电已经回应了美国商务部关于提交供应链信息的要求,以协助解决全球芯片短缺问题,同时确保没有客户特定数据在此次提交中被披露。台积电发言人高孟华(Nina Kao)在一封邮件中表示,台积电仍致力于“一如既往地保护客户的机密”。另外,韩国财政部在周日稍早时候表示,该国科技公司将向美国提交部分半导体数据。韩媒已经报道称,韩国公司只会“部分遵守”美国商务部的索取信息要求。美国商务部在9月份要求半导体供应链的公司在11月8日之前填写调查问卷,以了解目前芯片短缺的相关信息。尽管这一要求是自愿的,但是美国商务部长吉娜·雷蒙多(Gina Raimondo)警告称,如果供应链公司不予回应,白宫可能会引用《国防安全法》或其它工具来强迫他们填写。(来源:品玩)

5、格力回应接受美国 9100 万美元罚款:涉及问题发生在8年前 不会影响本年度业绩

格力电器发布关于在美国涉诉案件的说明称,公司近期与美国司法部消费者保护处、美国加利福尼亚中区联邦检察官办公室(DOJ)达成协议,协议涉及的产品为公司 2005 年至 2012 年期间生产的出口北美除湿机。由于申报不及时,2016 年公司和 CPSC 达成民事和解,支付 1545 万美元。经过多轮谈判,近期公司和 DOJ 达成协议,支付 7575 万美元。以上协议涉及的问题均发生在 8 年前,协议涉及金额已全部计提,不会影响本年度业绩。(来源:36 氪)

6、我国正式提出申请加入《数字经济伙伴关系协定》(DEPA)

11月1日,中国商务部部长王文涛致信新西兰贸易与出口增长部长奥康纳,代表中方向《数字经济伙伴关系协定》(DEPA)保存方新西兰正式提出申请加入DEPA。申请加入DEPA,符合中国进一步深化国内改革和扩大高水平对外开放的方向,有助于中国在新发展格局下与各成员加强数字经济领域合作、促进创新和可持续发展。下一步,中方将按照DEPA有关程序,和各成员开展后续工作。(来源:央视新闻客户端)

五、域外观察

1、美国拟制定《敏感个人数据保护法》

2021年11月2日,美国参议员Marco Rubio和Raphael Warnock提出参议院第3130号敏感个人数据保护法案。美国财政部外国投资委员会("CFIUS")作为一个跨部门的监管机构,可强制美企的外国买家提交购买申请及接受审查,但美国参议员仍然认为CFIUS能够要求公司在完成交易之前进行强制性申报的内容有限。因此,敏感个人数据保护法案旨在扩大CFIUS对涉及美国人敏感个人数据的交易的监督权限,并且以所谓的“威胁国家安全”为由要求进一步限制“中国获取美国人的个人数据”。值得注意的是,由于认为外国投资可能会带来隐私和国家安全方面的风险,该法案要求外国投资者对处理敏感个人数据的美国公司进行投资时,必须进行强制性申报。其中包括:基因测试结果、健康状况、保险申请、财政困难数据、安全许可信息、地理定位数据、私人电子邮件、用于生成政府标识的数据、信用报告信息。(来源:环球网)

2、美国CISA和NSA联合发布《5G云基础设施安全指南》

2021年10月28日,美国网络安全与关键基础设施安全局(CISA)和国家安全局(NSA)联合发布了《5G云基础设施安全指南》的第一部分《防止和检测横向移动》,提供了减少已获得云基础设施初始访问权限的威胁行为者的横向移动尝试的建议。该指南共有四部分组成。《5G云基础设施安全指南》由关键基础设施合作伙伴咨询委员会(CIPAC)跨部门持久安全框架工作组创建,该工作组是一个公有及私营部门合作工作组,可提供网络安全指导,以解决对国家关键基础设施的高优先级网络威胁。(来源:三正科技)

3、研究人员建议美国会推出网络安全记分卡

根据最近的研究,美国国会应该采用记分卡来衡量机构实施最佳网络安全实践的进展情况,以此作为改善政府网络安全总体态势的一种方式。该白皮书由MITRE的研究人员撰写,白皮书为联邦政府提出了八项建议,以改善其网络安全状况和基础设施安全情况,防止恶意软件和勒索软件攻击。而且,研究人员还注意到,联邦政府网络安全实践的最后一次重大立法更新是2014年《联邦信息安全现代化法案》的通过。“需要更新联邦网络安全法律,使其与当前网络安全最佳实践保持一致,减少审计和报告方面的支出,并澄清许多相关联邦参与者的角色和责任,”该报写道。八项建议的其中一条建议是使用《联邦信息技术收购改革法案》作为国会网络安全监督和报告的指南。2014年通过的FITRA为政府机构如何购买计算技术提供了一个框架。“FITARA风格的网络安全记分卡可以成为国会监督听证会的主题,行政部门和机构领导人可以在听证会上展示他们的进展,以及需要改进的地方和国会额外支持的领域,”该报写道。“该报告的模式还可用于简化目前为国会、美国政府问责办公室(GAO)和IG社区制作的广泛报告机构。”该报告还呼吁对网络安全和基础设施安全局的防御系统进行具体的现代化。研究人员写道,网络安全与基础设施安全局(CISA)目前的网络防御系统设计的时代,大多数机构系统都是在有限的未加密外部流量下进行内部运行的。(来源:中国国防科技信息网)

4、网络安全公司McAfee或将以超100亿美元出售给Advent International及Permira

11月8日,消息人士称,网络安全软件公司McAfee Corp.正接近于达成一项交易,将以超过100亿美元价格出售给一个包括私人股权公司Advent International Corp.和Permira在内的集团,该项交易或将在周一宣布。(来源:华尔街日报)

5、Cloudflare:第三季度全球 DDoS 攻击创纪录增长 44%

据ZDNet报道,Cloudflare发布了第三季度全球DDoS攻击趋势报告,为一个创纪录水平的季度画上了句号,该季度发生了多起针对VoIP服务的破坏性攻击。该季度全球 DDoS 攻击数量达到了创纪录的水平,增长44%,期间出现过几次创纪录的 HTTP DDoS 攻击,达到 TB 级别,最高可达1720万 rps(每秒请求次数)。根据Cloudflare的研究,总体而言,世界各地的DDoS攻击增加了44%,而中东和非洲的攻击平均增加了80%,处于领先地位。Cloudflare 表示,摩洛哥在第三季度经历了全球最大规模的 DDoS 攻击,这期间每100个数据包中有3个属于 DDoS 攻击。虽然 SYN 和 RST 是攻击者使用的主要方式,但是该公司发现 DTLS 攻击数量激增,环比增长3549%。(来源:站长之家)

6、Meta宣布关闭人脸识别系统,删除10亿用户人脸数据

2021年11月2日,Meta(Facebook)公司宣布将关闭其人脸识别系统,并删除其超过10亿用户的人脸数据。据悉,有三分之一用户使用Meta的人脸识别功能,但往后他们将不再能使用到这一功能。2021年10月28日,Facebook刚刚宣布改名Meta,被认为重要目的之一是帮其摆脱一直以来的数据隐私侵犯丑闻。现在,Meta进一步采取具体措施以应对社会的负面影响。Meta人工智能副总裁Jerome Pesenti在一篇博客中表示,Meta正在做出改变,因为它需要权衡人脸识别的积极用例与日益严峻的社会问题。

自2011年以来,Meta就已经推出人脸识别功能,在首次亮相时,Meta自动为超过5亿人启用了该功能。人脸识别当时称为标签识别,可以自动识别出现在用户照片和视频中的人,并建议用户点击“标记”他们,将他们的账户与图像相关联。(来源:澎湃新闻)


PDF下载

以案说法|“双十一”特辑之促销行为合规

物业区域内公共设施/用房权属争议情形下的实务认定

合作伙伴