评论文章
网络安全与数据合规动态(2022.2)

作者:金茂律师事务所  万波 律师  金文玮 律师  徐冰清 律师  张弈 律师  王书玥 律师助理 

摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。

目录

一、立法动态 

1、《工业互联网安全标准体系》出台 

2、工信部等8部门联合修订发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》 

3、工信部发布《关于进一步规范移动智能终端应用软件预置行为的通告》征求意见稿 

4、工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见 

5、国家网信办就《互联网信息服务深度合成管理规定》征求意见 

6、国标《App生命周期安全管理指南》征求意见 

7、《上海市未成年人保护条例》:网络游戏服务提供者应识别参与网游的未成年人身份 

8、上海首个“扫码点餐”规范指引:不得强制要求消费者对手机号、微信号等个人信息进行注册 

9、《广东省公共数据安全管理办法(征求意见稿)》发布 

10、山东省公共数据开放办法 4月1日施行 

11、青海省颁布涉企信息统一归集管理办法 

二、执法动态

1、国家计算机病毒应急处理中心监测发现十四款违法移动应用 

2、2022年1月全国受理网络违法和不良信息举报1473.7万件 

3、交通运输部:将督促主要网约车平台公开计价规则 合理设定抽成比例 

三、司法审判 

1、北京公司利用爬虫技术窃取2.1亿条简历数据 被判处7年有期徒刑 

2、企业收集员工病假信息颗粒度的法律边界——达科信息科技(北京)有限公司与谢涛劳动争议 

四、新闻事件 

1、国家卫健委正研究建立统一电子病历信息标准体系,加强个人信息数据保护 

2、工信部回应部分企业强制要求下载App:将深入研究 

五、域外观察 

1、谷歌将出台新隐私保护政策 限制应用开发商追踪用户数据 

2、美国:SEC提出网络安全风险管理规则 

3、澳大利亚联邦法院就剑桥分析公司的上诉对 Facebook 作出裁决 

4、美国:参议员提出《禁止国税局面部识别法案》 

5、法国数据隐私监管机构:谷歌分析违反了 GDPR 

6、美国拟出台《删除法》,赋予个人广泛的删除权,以对抗数据经纪人滥用个人信息 

7、Meta同意以9000万美元达成诉讼和解,涉嫌通过浏览器插件侵犯用户隐私 

8、欧洲互动广告局因违反GDPR被比利时DPA罚款 

9、联邦巡回法院认为算法可能是有效的商业秘密,尽管先前已经被公开 

10、美国参议院通过一项网络安全法案

一、立法动态

1、《工业互联网安全标准体系》出台

工信部负责人在2月23日的国务院政策例行吹风会上透露,要健全完善工业互联网的平台安全政策体系和保障体系,推动建立工业互联网企业网络安全分类分级管理制度。目前,工信部已指导出台《工业互联网安全标准体系》,正在推动《互联网平台企业网络安全防护规范》国家标准立项,加快研制平台安全防护、测试评估、能力评价等10多项行业标准。工业和信息化部总工程师、新闻发言人 田玉龙:推动建立工业互联网企业网络安全分类分级管理制度,我们在15个省市开展了分类分级管理试点,近百家平台企业完成了科学定级、风险评估和相关整改落实,强化了平台企业的安全能力建设。田玉龙表示,在试点基础上要进一步扩大推广应用,加快研制发布平台企业网络安全标准。同时对网络安全平台企业要加强监测预警,信息通报和应急处置,确保安全。目前工业互联网安全技术监测体系已累计监测覆盖了165个重点工业互联网平台。(来源:新华网)

2、工信部等8部门联合修订发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》

近日,交通运输部、工业和信息化部等8部门联合修订发布《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》(简称《通知》)。《通知》主要修订内容包括督促网约车平台公司不得接入未取得相应出租汽车许可的驾驶员和车辆等内容;对不依法纳税等8方面违法违规行为纳入联合监管等。《通知》主要修订内容包括:完善了全链条联合监管事项。将未取得网约车经营许可擅自从事经营活动;网约车平台公司向未取得相应出租汽车许可的驾驶员和车辆派单及未按规定向网约车监管信息交互平台传输有关数据信息;存在低价倾销、欺诈、对个人在交易条件上实行不合理差别待遇;危害网络安全、数据安全、侵害用户个人信息权益;非法经营资金支付结算;侵害网约车驾驶员劳动保障权益;不依法纳税;危害公众利益、扰乱社会秩序、影响社会安全稳定等8方面违法违规行为纳入联合监管工作事项。《通知》提出,要探索建立政府部门、企业、从业人员、乘客及行业协会共同参与的多方协同治理机制,加强网约车行业联合监管应急响应和处置,探索利用互联网思维创新监管方式,实现信息互通、资源共享,提升监管效能。(来源:中国新闻网)

3、工信部发布《关于进一步规范移动智能终端应用软件预置行为的通告》征求意见稿

16日,工信部公开征求对《关于进一步规范移动智能终端应用软件预置行为的通告》的意见。《通告》提出,生产企业应确保除基本功能软件外的预置应用软件均可卸载,并提供安全便捷的卸载方式供用户选择。《通告》要求:移动智能终端预置应用软件是指由移动智能终端生产企业(以下简称生产企业)预置,在移动智能终端主屏幕或辅助屏幕界面内存在用户交互入口,为满足用户不同的应用需求而提供的、可独立使用的软件程序。通过还指出,移动智能终端预置应用软件应遵循依法合规、用户至上、安全便捷、最小必要的原则,按谁预置、谁负责的要求落实企业主体责任,依法维护用户知情权、选择权,保障用户合法权益。(来源:新华社)

4、工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见

10日,工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见,意见提出,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。意见还提到,工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。意见同时提到,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)备案。备案内容包括但不限于数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。工业和信息化领域数据处理者应当在数据公开前分析研判可能对公共利益、国家安全产生的影响,存在重大影响的不得公开。(来源:中新网)

5、国家网信办就《互联网信息服务深度合成管理规定》征求意见

近日,国家网信办就《互联网信息服务深度合成管理规定(征求意见稿)》公开征求意见。所谓深度合成技术是指利用以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术。《征求意见稿》明确了在中华人民共和国境内应用深度合成技术提供互联网信息服务,以及为深度合成服务提供技术支持的活动,适用本规定。《征求意见稿》指出,深度合成服务提供者应当依法对深度合成服务使用者进行真实身份信息认证;深度合成服务提供者应当加强深度合成信息内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核;建立健全用于识别违法和不良深度合成信息内容的特征库,完善入库标准、规则和程序;对违法和不良信息依法采取相应处置措施,并对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。《征求意见稿》规定,深度合成服务提供者应当加强深度合成技术管理,定期审核、评估、验证算法机制机理;提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当自行开展安全评估,预防信息安全风险。《征求意见稿》明确国家网信部门、地方网信部门的统筹协调和监督管理职责以及深度合成服务提供者、使用者的基本要求。鼓励相关行业组织加强行业自律。强调不得利用深度合成服务从事法律法规禁止的活动,不得制作、复制、发布、传播含有法律法规禁止内容的信息。(来源:民主与法制网)

6、国标《App生命周期安全管理指南》征求意见

近日,国标《App生命周期安全管理指南》公布征求意见稿,该标准提供了移动互联网应用程序(App)生命周期安全管理的建议,适用于App开发者对App的开发、运营,也适用于移动应用分发平台厂商和移动智能终端厂商对App的管理,也可作为第三方机构对App进行安全检测时的参考。主要包含6章内容,分别为:范围、规范性引用文件、术语和定义、缩略语、概述、生命周期管理,给出了App生命周期安全需求、App生命周期安全保证框架、角色及安全建议。解决的主要问题包括:1)如何规避开发引入的恶意代码攻击、应用程序漏洞等风险;2)如何规避应用程序管理不当造成的个人隐私和敏感数据泄露等风险;3)及时发现侵害用户权益的行为,如私自收集个人信息、强制用户使用定向推送功能、过度索取权限、欺骗误导用户等;4)如何采取措施避免安全漏洞信息传播而产生危害的风险。(来源:数据保护官微信公众号)

7、《上海市未成年人保护条例》:网络游戏服务提供者应识别参与网游的未成年人身份

上海市十五届人大常委会第三十九次会议18日表决通过新修订的《上海市未成年人保护条例》,条例明确了网络保护职责,对相关主体共同参与预防与整治未成年人网络沉迷、网络暴力、非理性消费、网络不良行为等作出补充、细化规定。新修订的条例明确,网络产品和服务提供者应当针对未成年人使用其产品和服务设置相应的时间管理、权限管理、消费管理等功能;网络游戏服务提供者应当利用电子身份认证等技术,识别参与网络游戏的未成年人身份,不得以任何形式向未实名注册和登录的未成年人提供网络游戏服务。充实“社会保护”内容,也是条例的显著特点。例如,条例规定,任何组织或者个人不得披露未成年人的个人隐私。发布、转载、传播涉及未成年人的新闻报道等信息,应当客观、审慎和适度,不得虚构、夸大、歪曲有关内容,不得违法披露未成年人的姓名、住所、单位、照片、图像以及其他可能识别未成年人身份的信息。任何组织或者个人处理不满十四周岁未成年人个人信息的,应当依法取得未成年人的父母或者其他监护人的同意。条例将于2022年3月1日起施行。(来源:新华网)

8、上海首个“扫码点餐”规范指引:不得强制要求消费者对手机号、微信号等个人信息进行注册

2月22日,上海首个《餐饮行业“扫码点餐”规范指引》(以下简称《指引》)正式发布,引导经营者对相关行为进行规范。《指引》作为全市首个扫码点餐的规范指引,为该类餐饮行业发展的新模式、新情况提供了运行规范。《指引》明确指出,餐饮服务经营者收集消费者信息应当遵循合法、正当、必要的原则,在提供扫码点餐服务时,应当限于实现处理目的的最小范围,不得强制要求消费者对手机号、微信号等个人信息进行注册或授权,不得过度收集消费者信息。(来源:数据保护管微信公众号)

9、《广东省公共数据安全管理办法(征求意见稿)》发布

2022年2月7日,广东省政务服务数据管理局发布《广东省公共数据安全管理办法(征求意见稿)》 。该管理办法旨在加强广东省数字政府公共数据安全管理,规范公共数据处理活动,促进数据资源有序开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。(来源:数据保护官微信公众号)

10、山东省公共数据开放办法 4月1日施行

《山东省公共数据开放办法》(以下简称《办法》)将于4月1日起施行。《办法》共包括23条内容,明确了公共数据的适用范围,并在加强数据安全保护等方面作出新规定,公共数据开放有了“明白纸”。《办法》与其他地方现有公共数据开放立法相比,适用范围更全面。明确国家机关、法律法规授权的具有管理公共事务职能的组织、具有公共服务职能的企业事业单位、人民团体等在依法履行公共管理职责、提供公共服务过程中,收集和产生的各类数据均属于公共数据,应纳入公共数据开放办法管理。数据安全是大数据发展应用的基础和保障。《办法》规定,公共数据提供单位应当建立本单位公共数据安全保护制度,落实有关公共数据安全的法律、法规和国家标准以及网络安全等级保护制度,采取相应的技术措施和其他必要措施,保障公共数据安全。同时,对公民、法人和其他组织开发利用公共数据作出规定,明确要采取必要的防护措施,保障公共数据安全等要求。(来源:央广网)

11、青海省颁布涉企信息统一归集管理办法

为适应企业信用体系建设新形势、新任务需要,进一步规范涉企信息归集共享,加强企业信用风险分类管理,近日,青海省政府办公厅印发《青海省涉企信息统一归集管理办法》(以下简称《办法》),强化涉企信息归集、共享和应用法治保障,推进涉企信息归集应用提档升级。在努力推动《办法》出台的同时,青海省市场监管局也在同步持续推进涉企信息归集公示工作。截至2021年底,国家企业信用信息公示系统(青海)归集公示行政许可35.26万条,行政处罚信息0.84万条,归集公示1072项“双随机、一公开”抽查任务对应的抽查结果20.52万条,商标信息2.2万余条,专利信息1.1万余条,还有38类各部门的其他涉企信息31.43万条。下一步,青海省市场监管局将以新《办法》印发为契机,加大宣传解读力度,主动加强与省级各部门的联系协调,精准打通涉企信息归集渠道,及时、完整、准确、规范归集涉企信息,依法依规保护、开发、应用涉企信息,为企业信用体系建设、“双随机、一公开”监管等提供分类更加精准、应用更加丰富的信息支撑,更好的发挥企业信用的基础性作用。(来源:青海日报)

二、执法动态

1、国家计算机病毒应急处理中心监测发现十四款违法移动应用

国家计算机病毒应急处理中心近期通过互联网监测发现14款移动应用存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规定,涉嫌超范围采集个人隐私信息。1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,或以默认选择同意隐私政策等非明示方式征求用户同意,涉嫌隐私不合规。涉及1款App如下:《益阳行》(版本3.2.0,vivo应用商店)。  2、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及14款App如下:  《沃晟学苑》(版本3.9.8,360手机助手)、《益阳行》(版本3.2.0,vivo应用商店)、《MUJI passport》(版本2.10.0,安智市场)、《海纳医学》(版本5.0.1,华为应用市场)、《3个目标》(版本3.6.1,乐商店)、《知室》(版本7.3.0,乐商店)、《腾讯连连》(版本1.5.3,乐商店)、《钉题库》(版本1.4.5,豌豆荚)、《HelloTalk》(版本4.5.0,豌豆荚)、《奥克斯A+》(版本5.7.0(277),小米应用商店)、《易房大师》(版本41.14.99,小米应用商店)、《豌豆帮兼职》(版本2.5.2,小米应用商店)、《乐考学习助手》(版本3.1.2,小米应用商店)、《泡泡钢琴》(版本6.4.1,应用宝)。3、App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及4款App如下:《益阳行》(版本3.2.0,vivo应用商店)、《MUJI passport》(版本2.10.0,安智市场)、《海纳医学》(版本5.0.1,华为应用市场)、《3个目标》(版本3.6.1,乐商店)。4、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及3款App如下:《沃晟学苑》(版本3.9.8,360手机助手)、《益阳行》(版本3.2.0,vivo应用商店)、《海纳医学》(版本5.0.1,华为应用市场)。5、未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及2款App如下:《沃晟学苑》(版本3.9.8,360手机助手)、《知室》(版本7.3.0,乐商店)。

针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户:首先,谨慎下载使用以上违法、违规移动App;同时,要注意认真阅读App的用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。(来源:央广网)

2、2022年1月全国受理网络违法和不良信息举报1473.7万件

2022年1月,全国各级网络举报部门受理举报1473.7万件,环比增长16.9%、同比增长31.5%。其中,中央网信办(国家互联网信息办公室)违法和不良信息举报中心受理举报36.5万件,环比增长15.2%、同比增长107.0%;各地网信办举报部门受理举报98.1万件,环比下降9.9%、同比下降8.4%;全国主要网站受理举报1339.1万件,环比增长19.6%、同比增长34.5%。在全国主要网站受理的举报中,微博、百度、知乎、阿里巴巴、快手、腾讯、今日头条、豆瓣、新浪网等主要商业网站受理量占72.3%,达968.6万件。在各级网信部门指导下,目前全国各主要网站不断畅通举报渠道、受理处置网民举报。欢迎广大网民积极参与网络综合治理,共同维护清朗网络空间。(来源:中国网信网)

3、交通运输部:将督促主要网约车平台公开计价规则 合理设定抽成比例

2月24日,交通运输部办公厅副主任李洪斌在例行新闻发布会上介绍,2022年,交通运输部将实施12件交通运输更贴近民生实事,其中,实施交通运输新业态平台企业抽成“阳光行动”。督促主要网约车和道路货运新业态平台公司向社会公开计价规则,合理设定本平台抽成比例或会员费上限并向社会公开发布;在驾驶员端实时显示每单抽成比例。据交通运输部运输服务司副司长王绣春介绍,2021年,交通运输部按照党中央、国务院决策部署,会同多部门印发了《关于加强交通运输新业态从业人员权益保障工作的意见》和《关于加强货车司机权益保障工作的意见》,对完善平台和从业人员利益分配机制、规范平台企业经营行为等工作进行了部署安排。王绣春指出,平台抽成事关从业人员劳动报酬,与从业人员切身利益密切相关。按照这两个文件的规定,为进一步落实规范平台企业经营行为、切实保障从业人员合法权益的要求,交通运输部将“实施交通运输新业态平台企业抽成‘阳光行动’”作为2022年更贴近民生实事。“阳光行动”聚焦网约车、道路货运新业态两个领域。在网约车方面,将督促主要网约车平台公司向社会公开计价规则,合理设定本平台抽成比例上限并公开发布,同时在驾驶员端实时显示每单的抽成比例。在道路货运方面,将督促主要道路货运新业态平台公司向社会公开计价规则,合理设定本平台订单收费金额或抽成比例上限,或者会员费上限等,并向社会公开发布。王绣春表示,接下来,围绕民生实事确定的目标任务,交通运输部将进一步细化工作部署,重点开展以下几方面的工作:一是制定实施方案。细化目标任务,明确进度安排。前段时间,交通运输部与主要城市主管部门和主要平台企业进行了对接,就落实民生实事工作进行了部署。目前看,主要城市和主要平台企业积极响应,正按照要求细化制定各自的具体实施方案。二是组织有序推进。督促主要平台企业科学合理设定计价规则和抽成比例、会员费上限,加快完善软件功能,实现实时显示抽成比例的要求。三是加强跟踪督导。持续跟踪掌握目标任务进展情况,定期开展工作调度,确保完成各项目标任务,全力维护从业人员合法权益。(来源:央广网)

三、司法审判

1、北京公司利用爬虫技术窃取2.1亿条简历数据 被判处7年有期徒刑

近日,海淀区检察院起诉的某科技(北京)有限公司(以下简称某科技公司)、王某某等人涉嫌侵犯公民个人信息罪一案,经北京市第一中级人民法院裁定维持原判,案件一审判决生效。被告单位某科技公司被判处罚金人民币四千万元,被告人王某某被判处有期徒刑七年,罚金人民币一千万元,其他被告人均被判处相应刑罚。本案对被告单位判处的罚金数额、对被告人判处的刑期和罚金数额,均系近年来全国同类案件判罚最重案例。

某科技公司成立于2014年,主要经营招聘工具软件和大数据分析等业务。2015年至2019年间,该公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据。本案涉案人员多、涉案电子存储设备多、涉案数据量特别巨大、被告人作案手段呈现高技术化特征,针对这些问题海淀区检察院科技犯罪检察团队适时提前介入案件,并密切配合公安机关取证工作。案件审查过程中,针对海量涉案公民简历数据,检察官提出具体指导意见,从涉案数据中发现具有爬虫特征的2.1亿余条个人信息。经查,某科技公司获取上述数据后,对数据进行重整,并用于开发产品意图谋利。期间,某科技公司爬虫技术团队负责人欧某某,私自将公司窃取的简历数据对外出售,个人非法获利人民币30余万元。

检察官提示:2021年相继出台的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,体现出加强数据和个人信息保护的立法态度,司法机关也会更加严厉打击侵害公民个人信息、侵害数据权属的各类不法行为。建议相关行业主体更加重视数据安全和个人信息保护,不仅不越权获取个人信息和关键数据,更要注重数据和个人信息保护工作。(来源:海淀检察院)

2、企业收集员工病假信息颗粒度的法律边界——达科信息科技(北京)有限公司与谢涛劳动争议

案号:(2021)京03民终106号

北京市第三中级人民法院裁判摘要:

本案中,谢某提交的诊断证明书能够反映其存在抑郁状态且有建议休息的医嘱,即便谢某提交的就诊材料不如达科公司要求的齐全,也不能推翻谢某因病需要休息的事实;2018年12月10日前谢某的病假申请已经过达科公司OA批准,谢某罹患疾病的细节应属个人隐私,达科公司要求提供的病历、心理证明材料、费用凭据等应以必要为限,能够反映谢某患病就诊事实即可,但不应过分求全,以免侵犯个人隐私,侵害患者权益。结合达科公司在上诉意见中所称“谢某从未按照达科公司规章制度提交完整的证明其在客观上患有‘精神病’疾病的病假证明材料”,达科公司对于忧郁状态或忧郁症的认识存在偏差,“精神病”等特殊疾病的认定只涉及在24个月内不能痊愈需要延长医疗期的情形,故对达科公司的相应上诉主张,本院不予采信。

根据谢某的陈述及证据,其在2018年12月10日OA关闭后仍通过邮件等形式向公司发送了病假条和诊断证明,故达科公司认定谢某旷工并以此为由解除与谢某的劳动关系缺乏依据。(来源:裁判文书网)

四、新闻事件

1、国家卫健委正研究建立统一电子病历信息标准体系,加强个人信息数据保护

近日,国家卫生健康委公布了(以下简称国家卫健委)对十三届全国人大四次会议中《关于推进电子病历数据共享的建议》(以下简称《建议》)的答复。答复指出,国家卫健委正在研究建立全国统一的电子健康档案、电子病历、药品器械、公共卫生、医疗服务、医保等信息标准体系,逐步实现互联互通、信息共享和业务协同。同时,在保障信息安全方面,国家卫健委计划通过数字化手段,保障患者病历信息安全,防止个人病历信息外泄和盗用。近年来,网络个人数据泄露事件频出,保护患者个人病历数据具有重要意义。尤其是患者电子档案信息,亟需采取相应措施确保安全。《建议》提出,采用手机登录识别、人脸验证,以及病患本人凭身份证或医保卡获取病历信息,确保患者病历信息安全。对此,答复表示,计划通过数字化手段,保障患者病历信息安全,防止个人病历信息外泄和盗用。国家卫健委要求严格执行信息安全和健康医疗数据保密规定,加强关键信息基础设施、数据应用服务的信息防护,患者信息等敏感数据要求储存在境内,加强对医疗机构电子病历数据传输、共享应用的监督指导和安全监管,建立健全患者信息等敏感数据对外共享的安全评估制度,确保信息安全。下一步,国家卫健委将联合多个部门进一步研究相关支持政策,统筹推进全民健康信息平台等基础设施建设,提升基层医疗机构网络覆盖水平,增强网络承载能力,推进全国各医疗机构医疗信息共享;整合资源,促进多码融合应用服务,助力医疗信息化建设;同时,深化落实法律法规要求,加强数据安全管理、隐私保护,保障患者个人健康档案信息安全。(来源:21世纪经济报道)

2、工信部回应部分企业强制要求下载App:将深入研究

相信很多网友都遇到过这样的情况,在微信中打开好友发来的链接,或者是在手机浏览器中想看看资讯,看不了几行信息,就看到提示“更多内容,请在某某App中查看”,理由是这样做“体验更佳”。有些App比较人性化,虽然把内容折叠了,但还留有选项可以展开剩余内容。但有的App只有一个选项:必须下载才能看另一半。而且不少用户反映,经常是在“折叠线”那里稍微一碰,文章还没打开,App先下载了,不胜其烦。工业和信息化部近日对此作出回应,将进行深入研究。中国互联网协会法治工作委员会副秘书长胡钢认为,企业希望推广自己的App本无可厚非,但是信息收集的边界应该明晰,也要给用户“留在浏览器中继续看”的选择权。同理,所有App都应该让用户决定自己的隐私能否被利用。胡钢表示:“如果你提供App进行服务,提供强隐私的App服务,同时你应该同步提供弱隐私的web网页模式。如果能够达成这么一个现实,我们移动互联网环境隐私被滥用,应该就能得到一种系统性纠偏。”近日,工信部回复称,将深入研究此问题,根据下一步工作安排予以关注,维护用户合法权益。(来源:央广网)

五、域外观察

1、谷歌将出台新隐私保护政策 限制应用开发商追踪用户数据

在苹果公司去年推出最新隐私政策后,美国谷歌公司也于当地时间16号宣布,正在推出新的隐私限制措施,减少应用开发商追踪用户数据的能力。 目前,谷歌为每台安卓设备分配了特殊ID,并允许应用开发商通过ID获取用户数据,为用户投放个性化广告。在16号发布的公告中,谷歌表示正在开发以隐私保护为核心的替代方案,以限制应用开发商从谷歌平台追踪用户信息。(来源:第一财经)

2、美国:SEC提出网络安全风险管理规则

美国证券交易委员会(SEC)于2022年2月9日投票表决,提出一项在注册投资顾问、投资公司和业务发展公司时所应遵循的网络安全风险管理规则。拟议规则将:要求顾问和基金采用和实施合理设计的政策和程序,以应对网络安全风险;提供顾问和公司在应对网络安全风险时的一般要素,以减轻和防止未经授权访问或使用顾问或基金信息的风险,包括客户或投资者的个人信息;授权向美国证券交易委员会报告重大网络安全事件;向潜在的和现存的投资者披露最近两年发生的网络安全事件;要求顾问和基金保存其网络安全政策和程序的副本。(来源:数据保护官微信公众号)

3、澳大利亚联邦法院就剑桥分析公司的上诉对 Facebook 作出裁决

Facebook在澳大利亚联邦法院的上诉中败诉,法院裁定Facebook追踪澳大利亚用户时并未能保护数据,因此违反了隐私法。对于被控未能保护31万余名用户的数据,这家美国科技巨头表示,它的全球架构意味着它没有在澳大利亚开展业务,也没有持有澳大利亚的个人信息。但是法官表示,Facebook在澳大利亚用户的物理设备上安装 cookie 足以表明它在澳大利亚开展业务,此外法官认为Facebook的论点脱离现实,因此将其驳回。(来源:数据保护官微信公众号)

4、美国:参议员提出《禁止国税局面部识别法案》

美国参议员Jeff Merkley和Roy Blunt于2022年2月16日在美国参议院提出了(SB)3668法案,即《禁止国际税务局(IRS)面部识别法案》。SB 3668法案将禁止国税局使用或签约使用生物识别技术。此外,SB 3668法案要求国税局在法案颁布后60天内删除所有为税收管理目的收集的生物识别数据,并指示国税局发布一份报告,概述这些程序。SB 3668法案目前已经被提交给参议院财政委员会。(来源:数据保护官微信公众号)

5、法国数据隐私监管机构:谷歌分析违反了 GDPR

2022年2月 10日,法国隐私监管机构CNIL表示,通过谷歌分析(Google Analytics )向美国传输的数据违反了 GDPR 的规则,并且机构已下令法国网站管理员在某些情况下停止使用该服务。CNIL 表示,欧盟法院此前曾强调,如果传输没有得到适当监管,美国情报机构可能会访问从欧盟传输的个人数据,而这是有风险的。最终,CNIL给网站运营商一个月的时间来遵守相关规定。(来源:数据保护官微信公众号)

6、美国拟出台《删除法》,赋予个人广泛的删除权,以对抗数据经纪人滥用个人信息

参议员奥索夫正在努力控制经纪人未经授权的数据使用 用户将能够要求数百个数据经纪人一次删除他们的私人数据 华盛顿特区——美国参议员Jon Ossoff (D-GA) 正在努力让美国人重新掌控自己的数据。今天,参议员Ossoff和参议员Bill Cassidy, M.D. (R-LA) 提出了两党《数据删除和限制广泛跟踪和交换 (DELETE) 法案》,该法案将允许并授权美国人要求数据经纪人删除他们的个人数据。数据经纪人是在个人不知情的情况下收集、使用和出售个人数据的公司。《删除法案》将授权联邦贸易委员会 (FTC) 创建一个在线工具,美国人可以在其中向所有持有其个人数据的注册数据经纪人提交一次性数据删除请求。该法案还将创建一个“不跟踪列表”,以禁止公司在未来收集这些用户的数据。“数据经纪人在未经我们同意的情况下购买、收集和转售关于我们所有人的大量个人信息。这项两党法案是关于将我们个人数据的控制权归还给我们,即美国人民,”参议员奥索夫说。“人们希望隐私和他们的个人信息受到保护,”卡西迪博士说。“该法案为美国人提供了一个解决方案,以确保他们的个人数据不被数据经纪人跟踪、收集、购买或出售。”国会女议员 Lori Trahan (D-MA-03) 在美国众议院介绍了配套立法。“所有政治派别的美国人都同意,在线公司几乎完全控制了他们收集的数据,他们是对的,”众议员特拉汉说,“一旦我们的电话号码、网络历史甚至社会安全号码被添加到数据经纪人的名单中,就几乎不可能将其删除。我很自豪地引入两党删除法案,通过赋予我们每个人从这些列表中删除敏感个人信息的权利,将权力交还给消费者。”(来源:数据保护官微信公众号)

7、Meta同意以9000万美元达成诉讼和解,涉嫌通过浏览器插件侵犯用户隐私

Facebook的母公司Meta已同意支付 9000 万美元以了结10年前提起的诉讼,该诉讼指控该社交网络通过浏览器插件侵犯用户隐私,即使在用户注销其网站后仍可对其进行跟踪。Meta与原告之间的和解协议于周一提交给旧金山联邦法院,目前尚需获得法官的批准。作为和解协议的一部分,Facebook同意删除为跟踪用户在 2010 年至 2011年期间对第三方网站的访问而收集的所有数据。在诉讼中,用户声称Facebook使用网络浏览器上的专有插件在用户退出社交网络后仍继续跟踪他们。随着案件在联邦法院系统的审理,Facebook 在审判中三度胜诉。2020 年,该判决被上诉至美国第九巡回上诉法院,该法院认定 Facebook 通过收集用户数据并将其货币化造成了“经济损失”,即使原告手中的数据价值并未减少。一些下级联邦法院在 Facebook 的责任问题上存在分歧,具体来说,法官们就 Facebook 对数据的使用是否导致其价值下降存在疑问。最终,第九巡回法院裁定,Facebook 在收集用户个人数据之前需要征得用户同意。随后,Facebook向最高法院提出上诉,但最高法院拒绝审理此案,允许该判决成立。“我们感谢第九巡回法院的裁决,感谢 Facebook 真诚地谈判这项决议,”代表原告的律师大卫·斯特雷特 (David Straite) 在一份声明中说。“这项和解不仅修复了对Facebook用户造成的伤害,而且为未来处理此类问题开创了先例。”这笔 9000 万美元的赔偿是美国涉及数据隐私的十大集体诉讼和解之一。和解协议是在德克萨斯州起诉 Meta 数千亿美元的同一天宣布的,德克萨斯州声称这家社交巨头在未经同意的情况下使用面部识别技术侵犯了德克萨斯人的隐私。该诉讼称,Facebook 和 Instagram 使用人脸识别技术窥探了人们发布到他们账户上的照片和视频,并起诉要求赔偿数额惊人的损失。Meta 周一在给《华盛顿邮报》的一份声明中表示,该诉讼毫无根据。得克萨斯州还在与谷歌进行一场持续的法律斗争,因为它声称它对在线广告市场的垄断控制。(来源:New York Post/数据保护官微信公众号)

8、欧洲互动广告局因违反GDPR被比利时DPA罚款

比利时数据保护局(APD)最近发布了一项决定草案,对在实时广告竞标项目中运作的同意机制的供应商处以25万欧元(28.5万美元)的罚款。该广告竞价程序,即OpenRTB,允许广告商通过自动在线拍卖可用的广告空间来投放在线广告。成千上万的广告商可以通过涉及许多不同实体的相当复杂的过程实时竞标空间(ADP在第9页的决定中包含了该过程的示意图)。该案件首次出现在2019年,经过几次临时决定,ADP现在在这个决定草案中,除其他外,规定了IAB欧洲(Interactive Advertising Bureau of Europe)向ADP提交补救计划的两个月期限。该案件具有跨欧洲的影响,因此,ADP的决定已被发送给欧洲的同行,以获得反馈。(来源:数据保护官微信公众号)

9、联邦巡回法院认为算法可能是有效的商业秘密,尽管先前已经被公开

2022年1月24日,联邦巡回法院确认了一项初步禁令,该禁令以包含原告Masimo公司的商业秘密为由阻止了一项专利申请的公布,Masimo Corp.诉True Wearables, Inc., No.2021-2146, 2022 WL 205485 (Fed. Cir. Jan.24, 2022)。尽管有证据表明,一篇广泛流传和引用的统计学论文披露了一个同等的算法,但上诉法院还是这样做了,因为被告未能表明Masimo特定领域(或相关领域)的其他人知道该论文。2018年11月,Masimo Corp.及其分拆公司Cercacor Laboratories Inc. (合称 "Masimo")是一家专门从事病人监测技术的医疗设备公司,他们起诉了竞争对手True Wearables公司及其创始人Marcelo Lamego博士,提出了包括商业秘密盗用和专利侵权在内的各种索赔。(来源:数据保护官微信公众号)

10、美国参议院通过一项网络安全法案

美国参议院通过了由参议员加里-彼得斯提出的《加强美国网络安全法》。该法案旨在加强美国的网络安全,内容包括要求关键基础设施公司(如能源和医疗卫生)报告网络攻击和勒索软件事件,以及在72小时内报告漏洞。该法案已转移至美国众议院作进一步审议。(来源:数据保护官微信公众号)


PDF下载

商业保理与融资租赁动态(2月)

跨境金融监管动态(3月上)

合作伙伴