作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、科技部就《人类遗传资源管理条例实施细则(征求意见稿)》公开征求意见
2、国家网信办就《未成年人网络保护条例(征求意见稿)》再次公开征求意见
3、国家网信办就《互联网弹窗信息推送服务管理规定(征求意见稿)》公开征求意见
4、4项网络安全国家标准获批发布
5、工业和信息化部印发 《车联网网络安全和数据安全标准体系建设指南》
6、国家工业信息安全发展研究中心公布《智能网联汽车数据安全评估指南》团体标准
7、河南省大数据局就《河南省数据条例(草案)》(征求意见稿)征求意见
二、执法动态
1、银保监会将就涉企违规收费、个人信息保护等开展专项治理行动
2、国家网信办发布2022年“清朗”系列专项行动重点任务 全面清理色丑怪假俗赌等直播和短视频
3、银保监会依法查处21家银行机构监管数据质量违法违规行为
4、网信部门工作督导组进驻豆瓣网
5、上海点名10家企业,涉及扫码点餐、人脸识别等非法收集个人信息
6、工信部通报14款存在超范围收集个人信息等问题的APP
三、司法审判
1、最高检141号指导案例:某知名短视频APP违规搜集儿童信息并精准推荐致3名儿童被伤害 检察机关提起公益诉讼
2、“剧本杀”游戏店家因玩家差评公开其包厢监控录像,法院认定构成侵权
四、新闻事件
1、中国信息通信研究院发布《隐私计算法律与合规白皮书》
2、央行:加强金融业网络安全体系建设 做好金融数据安全管理
五、域外观察
1、欧盟《网络安全条例》提案发布
2、英国ICO公布了隐私保护治理的章节草案
3、美国参议院通过一项网络安全法案
4、意大利对面部识别公司Clearview AI处以2000万欧元的罚款
5、美国《犹他州消费者隐私法》(UCPA)通过 成为第四部州级全面隐私立法
6、欧盟和美国就新的《跨大西洋数据隐私框架》达成原则性协议
7、英媒:澳大利亚将出台最严格网络安全法
8、英国数据跨境流动标准合同条款正式生效
一、立法动态
1、科技部就《人类遗传资源管理条例实施细则(征求意见稿)》公开征求意见
3月22日,科学技术部下发关于公开征求《人类遗传资源管理条例实施细则(征求意见稿)》(以下简称《实施细则》)意见的通知。《实施细则》拟规定,不得向境外提供我国人类遗传资源。根据《实施细则》,人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的人类基因、基因组数据等信息资料。《实施细则》拟规定,采集、保藏、利用、对外提供我国人类遗传资源应当尊重人类遗传资源提供者的隐私权,事先取得知情同意,确保提供者健康并保护其合法权益,并应当遵守科研活动的相关要求及技术规范,包括但不限于标准、规范、规程等。《实施细则》拟明确主体资格。在我国境内采集、保藏和对外提供我国人类遗传资源必须由我国科研机构、高等学校、医疗机构和企业开展。境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。(来源:中国新闻网)
2、国家网信办就《未成年人网络保护条例(征求意见稿)》再次公开征求意见
3月14日,国家互联网信息办公室发布关于《未成年人网络保护条例(征求意见稿)》再次公开征求意见的通知。征求意见稿规定,严禁以侵害未成年人身心健康的方式干预未成年人网络沉迷;加强学校、监护人对未成年人沉迷网络的预防和干预,提高教师对未成年人沉迷网络的早期识别和干预能力,加强监护人对未成年人安全合理使用网络的监督;明确平台责任义务,要求相关主体建立健全防沉迷制度,合理限制未成年人消费行为,采取措施防范和抵制流量至上等不良价值倾向。(来源:证券时报)
3、国家网信办就《互联网弹窗信息推送服务管理规定(征求意见稿)》公开征求意见
国家网信办于3月2日发布《互联网弹窗信息推送服务管理规定(征求意见稿)》,其中提出,不得扎堆推送、炒作社会热点敏感事件,渲染恶性案件、灾难事故等,引发社会恐慌。征求意见稿提到,互联网弹窗不得推送《网络信息内容生态治理规定》明确的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容;不得关联某一话题集中推送相关旧闻,恶意翻炒。同时,未取得互联网新闻信息服务许可,不得弹窗推送新闻信息;弹窗推送信息涉及其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可。弹窗推送新闻信息,应当严格依据国家互联网信息办公室发布的最新版《互联网新闻信息稿源单位名单》执行,不得超范围转载,不得歪曲、篡改标题原意和内容,保证新闻来源可追溯和新闻信息真实、客观、全面。确保弹窗信息推送必须经过人工审核。征求意见稿还提到,保障用户权益,不得恶意对普通用户和会员用户进行差别频次推送;不得以任何形式干扰或者影响用户关闭弹窗;确保每条弹窗信息明确显示弹窗信息推送服务提供者身份。另外,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得滥用个性化弹窗服务,利用算法屏蔽信息、过度推荐等;不得滥用算法,针对未成年用户进行画像,向未成年用户推送可能影响其身心健康的信息。在广告方面,征求意见稿提出,弹窗推送广告信息,必须进行内容合规审查,不得违反国家相关法律法规;应当具有可识别性,显著标明“广告”,明示用户;确保弹窗广告一键关闭。不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息;不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。(来源:中国新闻网)
4、4项网络安全国家标准获批发布
根据2022年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第2号),全国信息安全标准化技术委员会归口的4项国家标准正式发布。具体清单如下:
(来源:信安标委微信公众号)
5、工业和信息化部印发 《车联网网络安全和数据安全标准体系建设指南》
工业和信息化部近日印发《车联网网络安全和数据安全标准体系建设指南》,提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。(来源:数据保护官微信公众号)
6、国家工业信息安全发展研究中心公布《智能网联汽车数据安全评估指南》团体标准
3月9日,由国家工业信息安全发展研究中心牵头编制的《智能网联汽车数据安全评估指南》团体标准正式公开征求意见。智能网联汽车数据安全评估主要有数据安全风险评估、数据安全合规性评估和数据出境安全评估三种类型。本标准规定了智能网联汽车数据安全评估的技术要求,共分为八部分,包括范围、规范性引用文件、术语和定义、数据安全风险评估实施流程、数据安全合规性评估实施流程、数据安全评估结果、参考文献、附件等内容。(来源:数据保护官微信公众号)
7、河南省大数据局就《河南省数据条例(草案)》(征求意见稿)征求意见
近日,河南省大数据局就《河南省数据条例(草案)》(征求意见稿)公开征求意见。其中规定收集个人信息应当取得个人同意;收集不满十四周岁未成年人个人信息,应当取得未成年人的父母或者其他监护人的同意……为了保护自然人、法人和非法人组织与数据有关的权益,保障数据安全,促进数据依法开发利用,更好地服务经济社会发展,3月7日,省大数据局发布通告,就《河南省数据条例(草案)》(征求意见稿)公开征求社会意见。征求意见稿共七章,对公共数据、非公共数据、数据开发利用、数据安全等内容做了详细规定。关于公共数据,征求意见稿指出,任何机构和个人不得将公共数据视为本机构或者个人财产,不得擅自增设条件、障碍,影响公共数据的归集、共享、开放和利用;数据主管部门会同相关部门建立政务信息化项目管理机制,加强对政务信息化项目的统筹、整合和共享管理,避免重复建设;省级数据主管部门定期组织实施公共数据普查,及时掌握公共数据资源底数和动态更新情况,提升数据目录信息精准性、有效性,提高数据质量和共享效率。(来源:正观新闻)
二、执法动态
1、银保监会将就涉企违规收费、个人信息保护等开展专项治理行动
2022年《政府工作报告》指出,要开展涉企违规收费专项整治行动。3月15日,银保监会消费者权益保护局局长郭武平表示,银保监会将开展为期四至五个月的涉企违规收费专项治理行动,通过机构自查自纠、监管抽查检查等,严查收费政策落实不到位、以贷收费、强制收费等行为。除整治涉企违规收费外,郭武平透露,2022年,银保监会还将开展银行业保险业个人信息保护专项整治,推动银行业保险业切实落实《中华人民共和国个人信息保护法》,提升对个人信息使用的规范性,保护消费者信息安全权;出台《银行保险机构消费者权益保护管理办法》,规范金融消费者八项权益,并制定《银行保险机构消费者适当性管理办法》等;继续加强消费者宣传教育,提高金融素养,做到“卖者尽责”“买者自负”。(来源:央广网)
2、国家网信办发布2022年“清朗”系列专项行动重点任务 全面清理色丑怪假俗赌等直播和短视频
国务院新闻办公室于3月17日下午3时举行关于2022年“清朗”系列专项行动新闻发布会。国家互联网信息办公室副主任盛荣华介绍,2022年“清朗”系列专项行动聚焦影响面广、危害性大的问题开展整治,具体包括10个方面重点任务。 一是“清朗·打击网络直播、短视频领域乱象”专项行动,全面清理“色、丑、怪、假、俗、赌”等各类违法违规直播和短视频;从严整治激情打赏、高额打赏、诱导打赏、未成年人打赏等行为等。二是“清朗·MCN机构信息内容乱象整治”专项行动,集中整治MCN机构及其旗下账号炮制蹭炒舆论热点、引发群体对立、欺骗误导网民、发布三俗信息、利用未成年人谋利等违法违规行为。三是“清朗·打击网络谣言”专项行动,全面清理涉及政治经济、文化历史和民生科普等领域的谣言信息,打上标签、做出明示。四是“清朗·2022年暑期未成年人网络环境整治”专项行动,着力为未成年人营造健康安全干净的网络环境,重点清理影响青少年身心健康、妨碍青少年上网学习的不良信息,重点整治涉未成年人网络乱象。五是“清朗·整治应用程序信息服务乱象”专项行动,结合修订《移动互联网应用程序信息服务管理规定》,在清理各类违法和不良信息的同时,注重源头治理,督促指导应用程序严管快处各类账号,督促指导分发平台严管快处各类应用程序;紧盯重要流量入口,全面规范应用程序功能运行、活动设计、内容生产等重点环节,坚决遏制各类乱象;以应用程序内容审核和分发平台上架审核为切入点,压实双主体责任,强化日常监管,推动形成“平台管程序、程序管账号”的管理链条。六是“清朗·规范网络传播秩序”专项行动,面向网上新闻信息重点生产、传播平台,分阶段开展规范网络传播秩序专项整治。七是“清朗·2022年算法综合治理”专项行动,落实《互联网信息服务算法推荐管理规定》关于互联网企业平台的算法主体责任和系列管理要求,督促重点互联网企业平台整改算法不合理应用带来的“信息茧房”“算法歧视”等问题,积极利用算法弘扬社会主义核心价值观,营造风清气正的网络空间。八是“清朗·2022年春节网络环境整治”专项行动,聚焦春节期间人民群众使用频率较高的平台环节和服务类型,聚焦解决影响上网观感、群众反映强烈的网络生态问题,着力整治网络暴力、炫富拜金、封建迷信等乱象,营造文明健康、喜庆祥和的春节网上舆论氛围。九是“清朗·打击流量造假、黑公关、网络水军”专项行动,进一步聚焦重点平台、环节、版块和产品功能,严管水军招募和推广引流信息,加大违规账号群组查处力度等。 十是“清朗·互联网用户账号运营专项整治行动”,坚决处置假冒、仿冒、捏造党政军机关、企事业单位、新闻媒体等组织机构名称、标识等以假乱真、误导公众的账号等。(来源:央广网)
3、银保监会依法查处21家银行机构监管数据质量违法违规行为
近期,银保监会严肃查处一批监管标准化数据(EAST)数据质量领域违法违规案件,对政策性银行、国有大型银行、股份制银行等共21家银行机构依法作出行政处罚决定,处罚金额合计8760万元。近年来,银保监会组织开展了对21家全国性中资银行机构EAST数据质量专项检查。对检查发现的漏报错报EAST数据、部分数据交叉校核存在偏差等数据质量违规问题,银保监会依法严肃予以行政处罚。银行机构要切实承担数据质量的主体责任,对照监管数据标准化规范的相关要求,提升数据治理能力,强化数据质量管控,持续提高数据报送的准确性和全面性。下一步,银保监会将继续加大对监管数据质量违法违规问题的查处力度,严肃市场纪律,提高违规成本,引导并督促银行机构切实发挥监管标准化数据在防范金融风险、提升内控水平等方面的作用。(来源:数据保护官微信公众号)
4、网信部门工作督导组进驻豆瓣网
针对当前豆瓣网存在的严重网络乱象,3月15日,国家互联网信息办公室指导北京市互联网信息办公室派出工作督导组,进驻豆瓣网督促整改。值得注意的是,据国家网信办,2021年1月至11月,国家网信办指导北京市网信办,对豆瓣网实施20次处置处罚,多次予以顶格50万元罚款,共累计罚款900万元。(来源:数据保护官微信公众号)
5、上海点名10家企业,涉及扫码点餐、人脸识别等非法收集个人信息
3月13日,上海10家企业因侵害消费者合法权益被市场价监管局曝光,涉及网购、食品、餐饮、房产等与民生紧密相关的领域,包含强迫消费、虚假促销、非法收集个人信息、刷单炒信、小病大修等一批典型违法行为 。其中,非法收集个人信息案件为:一、上海九翊餐饮管理有限公司通过“扫码点餐”非法收集消费者个人信息案。办案部门在检查中发现,当事人利用“扫码点餐”小程序在点餐、支付时收集消费者手机号码等个人信息。经查,当事人收集手机号并非完成扫码点餐和支付的必要环节,且未向消费者明示收集、使用手机号码的目的、方式和范围。此外,当事人对所收集的手机号等个人信息未采取必要的安全管理措施,确保消费者个人信息安全。当事人的行为违反了《中华人民共和国消费者权益保护法》第二十九条的规定。普陀区市场监管局依据《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项的规定,对当事人作出警告和罚款5万元的行政处罚。二、上海悦筑房地产有限公司非法收集消费者人脸信息案。当事人的上述行为违反了《侵害消费者权益行为处罚办法》第十一条的规定,构成了侵害消费者个人信息权利的行为。松江区市场监管局依据《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项的规定,依法对当事人作出罚款25万元的行政处罚。(来源:数据保护官微信公众号)
6、工信部通报14款存在超范围收集个人信息等问题的APP
3月14日,工信部发布了《关于APP侵害用户权益整治“回头看”发现问题的通报(2022年第2批,总第22批)》工业和信息化部高度重视用户权益保护工作,持续开展APP侵害用户权益专项整治行动。“3·15”国际消费者权益日来临前夕,为巩固治理成效,营造共同维护消费者权益的良好环境,我部开展APP侵害用户权益整治“回头看”,组织第三方检测机构对前期用户反映问题较多的内存清理类、手机优化类APP进行重点检测,并对去年发现问题的APP进行抽测,共发现14款APP(详见附件)仍然存在问题。上述APP应在3月21日前完成整改,逾期不整改或整改不到位的,我部将依法依规严厉处置。
(来源:工信部官网)
三、司法审判
1、最高检141号指导案例:某知名短视频APP违规搜集儿童信息并精准推荐致3名儿童被伤害 检察机关提起公益诉讼
检察官办理一起猥亵儿童案时发现,某视频APP违法违规收集、使用儿童个人信息。据调查,该APP致使众多儿童个人信息权益被侵犯,相关信息面临被泄露、违法使用的风险,给儿童人身、财产安全造成威胁。3月7日,最高检举行“积极履行公益诉讼检察职责 依法保护未成年人合法权益”新闻发布会,发布了包含上述案例在内的第三十五批指导性案例。最高检指出,网络运营者未依法履行网络保护义务,相关行政机关监管不到位,侵犯儿童个人信息权益的,检察机关可以依法综合开展民事公益诉讼和行政公益诉讼。
基本案情:最高检通报的基本案情显示,某APP是北京某公司开发运营的一款知名短视频应用类软件。该APP在未以显著、清晰的方式告知并征得儿童监护人明示同意的情况下,允许儿童注册账号,并收集、存储儿童网络账户、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息。据最高检通报,2018年1月至2019年5月,徐某某收到该APP后台推送的含有儿童个人信息的短视频,通过其私信功能联系多名儿童,并对其中3名儿童实施猥亵犯罪。
检察机关履职过程:最高检介绍,2020年7月,浙江省杭州市余杭区人民检察院在办理徐某某猥亵儿童案时,发现北京某公司侵犯儿童个人信息民事公益诉讼案件线索,遂依托互联网技术开展初步调查。经调查并听取当地网信、公安、法院意见,组织互联网领域法律专家、技术专家进行论证,余杭区人民检察院认为,北京某公司运营的短视频APP在收集、存储、使用儿童个人信息过程中,未遵循正当必要、知情同意、目的明确、安全保障、依法利用原则,属于违法违规收集、使用儿童个人信息,侵犯儿童个人信息的行为。据该公司提供数据显示,2020年,平台14岁以下实名注册用户数量约为7.8万,14至18岁实名注册用户数量约为62万,而18岁以下未实名注册未成年人用户数量,以头像、简介、背景等基础维度模型测算,约为1000余万。该APP的行为致使众多儿童个人信息权益被侵犯,相关信息面临被泄露、违法使用的风险,给儿童人身、财产安全造成威胁,严重损害了社会公共利益。
最高检通报显示,该案为涉互联网案件,北京、浙江等地相关检察机关均具有管辖权。经浙江省检察机关层报最高人民检察院指定管辖,2020年9月,余杭区人民检察院对该线索以民事公益诉讼案件立案。9月15日,余杭区人民检察院发布诉前公告,公告期满,没有其他适格主体提起民事公益诉讼。同年12月2日,余杭区人民检察院向杭州互联网法院提起民事公益诉讼,请求判令:北京某公司立即停止实施利用APP侵犯儿童个人信息权益的行为,赔礼道歉、消除影响、赔偿损失。
检察机关发布诉前公告的同时,将公告送达北京某公司。该公司表达积极整改并希望调解结案的意愿。检察机关依据相关法律法规,推动公司完善管理,提出具体要求。该公司细化出34项整改措施,突出落实“监护人明示同意”等规则,重点制定单独的儿童个人信息保护规则、用户协议,建立专门儿童信息保护池、创建推送涉未成年人内容的独立算法等制度机制,并明确落实整改措施时间表。同时,该公司表示将结合整改,完善管理制度,自愿接受网信等部门审查,并愿意公开赔礼道歉、赔偿损失。
法院审理过程:2021年2月7日,杭州互联网法院公开开庭审理此案。北京某公司对公益诉讼诉求均予认可,对检察机关依法履行公益诉讼职责、促进企业完善管理表示感谢。在法庭组织下,双方在确认相关事实证据的基础上达成调解协议。具体包括:首先,被告停止对儿童个人信息权益的侵权行为,对涉案APP按照双方确认的整改方案、时间推进表执行整改;其次,被告完成整改后,对整改情况及效果进行评估,并向公益诉讼起诉人、人民法院出具报告书;再次,被告将整改方案及整改完成情况报送网信部门,接受审查;最后,被告在《法治日报》及涉案APP首页公开赔礼道歉。
经30日公告,同年3月11日,杭州互联网法院出具调解书结案。此外,鉴于该案同时反映出相关行政主管机关对北京某公司监管不到位的行政公益诉讼案件线索,经浙江省检察机关请示,2020年10月,最高人民检察院将该线索交北京市人民检察院办理。同年10月22日,北京市人民检察院对该案以行政公益诉讼立案,经调查向北京市互联网信息办公室提出依法履行监管职责,全面排查、发现和处置违法情形,推动完善儿童个人信息权益网络保护的特殊条款,落实监护人同意的法律规定等相关建议。(来源:红星新闻)
2、“剧本杀”游戏店家因玩家差评公开其包厢监控录像,法院认定构成侵权
案号:(2021)京03民终106号
基本案情:2021年4月,张某等六人因不满真好玩公司提供的“剧本杀”游戏服务,在大众点评网发布差评。真好玩公司遂在其微信公众账号中发表《澄清声明》,披露了与张某等人的微信群聊记录截图、游戏包厢监控视频录像片段、张某等人的微信个人账号信息,还称“可向公众提供全程监控录像”。张某等人认为真好玩公司上述行为侵害其隐私权、名誉权和个人信息权益,起诉要求真好玩公司停止侵权、赔礼道歉及赔偿精神损失等。真好玩公司抗辩认为,其发布《澄清声明》是为了交代服务过程,还原真相,以减少“差评”带来的不利影响,属于合理使用。监控录像用于记录店铺经营活动,且对张某露脸处打了马赛克;呈现的微信头像、微信昵称、微信号等信息无法识别张某等人,不属于个人信息范畴,未侵害张某等人的合法权益。此外,真好玩公司反诉认为张某等人发布“差评”是滥用消费者权利的侵权行为,要求张某等人承担侵害名誉权的责任。
争议焦点:一、真好玩公司发布案涉微信公众号文章,是否侵害张某等人的隐私权、个人信息权益;二、真好玩公司在大众点评网发布的案涉评论内容以及案涉公众号文章内容,是否侵害张某等人的名誉权;三、张某等人于大众点评网发布“差评”是否侵害真好玩公司的名誉权。
裁判结果:广州互联网法院判决:一、真好玩公司立即停止在微信公众号中公开含有张某等人画面的监控录像,删除“可提供全程监控录像”的表述以及张某等人的微信个人账号信息;二、真好玩公司通过微信公众号发布致歉声明,向张某等人赔礼道歉;三、真好玩公司向张某等人赔偿精神损害抚慰金各1000元;四、驳回张某等人的其他诉讼请求;五、驳回真好玩公司的全部反诉请求。上述判决已发生法律效力。
裁判理由:本案系一起由“剧本杀”游戏引发的网络侵权责任纠纷。张某等人与真好玩公司之间系消费者与经营者的法律关系,本案处理应根据《中华人民共和国消费者权益保护法》有关消费者权益保护的规定、《中华人民共和国民法典》有关隐私权、名誉权的规定和《中华人民共和国个人信息保护法》有关个人信息保护等规定加以评析。
1、《民法典》第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”公开监控录像是否构成侵害隐私权,应根据录像地点及内容、使用目的、是否取得权利人同意等方面综合判断。本案中,监控录像拍摄于包间内,虽属于真好玩公司的经营场所,但独立于公共区域,在游戏时段内为玩家专用,玩家对其在房间内的活动不为他人知晓具有合理预期,属于“私密活动”范围。真好玩公司在游戏开始前未告知玩家包厢内有监控,公开录像时亦未征得玩家同意,属于违法“公开他人私密活动”的行为。同时,案涉监控录像可随时向他人提供,张某等人的隐私面临随时可能公开的现实危险,客观上造成张某等人的精神困扰,也影响了张某等人的生活安宁,故构成侵害隐私权。因此,真好玩公司通过微信公众账号公开监控录像,并表示“可向公众提供全程监控录像”,构成对张某等人隐私权的侵害。
2、《消费者权益保护法》第十四条有关“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利”的规定。《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”对个人信息的保护,旨在通过规范个人信息处理活动,从而保护自然人对其个人信息的自主决定权。真好玩公司因提供剧本杀游戏服务的需要获取了张某等人的微信个人账号信息,经过线下游戏后,显然已经知晓上述微信由张某等人使用,那么无论其他人是否知晓该微信的实际使用者,于真好玩公司而言,其获取的微信个人账号信息均属于消费者的个人信息。如真好玩公司将这些信息公开,必须满足个人信息保护法对个人信息处理规则的要求,否则即属于违法处理个人信息。因此,真好玩公司未经张某等人同意,通过微信公众账号公布张某等人的微信个人账号信息,亦构成对张某等人个人信息权益的侵害。
3、消费者对商品质量和服务进行批评、评论,是消费者的法定权利。张某等人发布的“差评”系对剧本杀游戏服务体验的主观感受,涉及对游戏具体环节的陈述,不属于虚构事实。此外,网站评分高低不等同于社会评价的高低,经营者应理性看待网络排名。真好玩公司于大众点评网的店铺评分,仅体现大众点评网对其注册商家的推荐程度,店铺评分系根据大众点评网用户的评价分析作出,不能全面体现公众对真好玩公司经营能力、履约情况、商业信用等的社会评价。况且,店铺排名并非固定不变,即使真好玩公司的店铺排名因案涉差评导致降低,部分顾客就案涉事件向真好玩公司进行询问,也属正常经营风险,而非社会评价降低的损害后果。
法官说法:此类侵权案件中,经营者通常援引《中华人民共和国民法典》第九百九十九条的规定抗辩认为系对民事主体姓名、名称、肖像、个人信息的“合理使用”,但该条适用的前提是被诉行为属于“为公共利益实施新闻报道、舆论监督等行为”。就本案而言,真好玩公司出于“澄清恶意差评”的目的公布案涉监控录像,本质上系为了减少“差评”带来的不利影响,从而提升该公司的商业竞争力,以获取商业利益,故真好玩公司发布案涉文章的行为属于经营行为,而非为公共利益实施新闻报道或舆论监督的行为,因真好玩公司实施了侵害消费者人格权的行为,故依法判决真好玩公司承担停止侵害、赔礼道歉、赔偿损失等民事责任。(来源:广州互联网法院微信公众号)
四、新闻事件
1、中国信息通信研究院发布《隐私计算法律与合规白皮书》
近来,隐私计算因成为促进数据流通、达成数据交易的一种可行的技术方案而受到数据交易机构和潜在数据需求方的重视。在数据合规监管压力日趋收紧的当下,隐私计算以其“可用不可见”的技术特性受到了越来越多的关注。在隐私计算行业应用不断拓展深入的同时,隐私计算在安全合规方面的提升效果成为业界关心的核心问题之一。《白皮书》聚焦隐私计算技术的合规性分析和常见误区,对隐私计算的参与方及其相互之间的法律关系进行了定义和分析,针对参与方在隐私计算全流程中应关注的法律与合规要点进行了详细的刨析,并以五个主要应用场景为例集中展示了隐私计算在保护数据隐私、提升数据安全保障等方面的积极价值,最后对隐私计算产业的发展进行了展望,集中展示了产业对隐私计算数据合规的思考。(来源:数据保护官微信公众号)
2、央行:加强金融业网络安全体系建设 做好金融数据安全管理
2022年3月30日消息,人民银行召开2022年科技工作电视会议。会议要求,要坚持稳字当头,加强金融业网络安全体系建设,做好金融数据安全管理,守牢安全生产底线。坚持系统思维,深化人民银行科技体制机制改革,统筹推进技术管控与系统建设,健全信息基础设施,全面提升新技术应用能力。坚持科技向善,落实发展规划,深入实施金融科技赋能乡村振兴示范工程、金融数据综合应用试点,运用创新监管工具规范数字技术应用,持续推动金融数字化转型。坚持强基固本,健全新型金融标准体系,建立金融领域强制性标准实施监督机制,开展金融标准创新建设试点,更好发挥金融标准化支撑引领作用。(来源:信息新报)
五、域外观察
1、欧盟《网络安全条例》提案发布
2022年3月22日,欧盟委员会提出了新的规则《网络安全条例》提案,使得欧盟各机构、机关、办事处之间建立共同的网络安全和信息安全措施。该提案旨在加强欧盟对网络威胁和事件的复原力和响应能力,并确保在全球恶意网络活动不断上升的情况下,建立一个有弹性、安全的欧盟公共管理。在COVID-19疫情和日益增长的地缘政治挑战的背景下,对网络安全和信息安全采取联合行动是必须的。考虑到这一点,欧盟委员会提出了《网络安全条例》草案。通过制定共同的优先事项和框架,这些规则将进一步加强机构间合作,最大限度地减少风险暴露,并进一步加强欧盟的安全。拟议的《网络安全条例》正文共25条,旨在为网络安全领域的治理、风险管理和控制制定一个法律框架。它将致力于建立一个新的机构间网络安全委员会,提高网络安全能力,并促进定期成熟度评估和更好的网络清洁度。它还将扩大欧盟机构、机关、办事处的计算机应急小组(CERT-EU)的任务,作为威胁情报、信息交流和事件响应协调中心、中央咨询机构和服务提供商。《网络安全条例》主要内容如下:1、加强CERT-EU的任务,并提供其履行任务所需的资源。2要求欧盟所有的机构、机关、办事处:在网络安全领域有一个治理、风险管理和控制的法律框架;实施应对已识别风险的网络安全基准措施;定期进行成熟度评估;制定一个改善其网络安全的计划,并由管理层批准;与CERT-EU分享与事件相关的信息,不做无谓的拖延。3、设立一个新的机构间网络安全委员会,以推动和监督该条例的实施,并指导CERT-EU的工作。4、根据成员国和全球的发展,将CERT-EU的名称从“计算机应急小组”改为“网络安全中心”,但保留简称CERT-EU,以提高其知名度。(来源:欧盟委员会)
2、英国ICO公布了隐私保护治理的章节草案
英国信息专员办公室就其关于匿名化、假名化和隐私增强技术的最新指南草案征求意见的公众咨询将于9月16日结束。前四章探讨了个人数据匿名化时的治理方法,并对披露匿名数据时需要考虑的法律规定提供了指导。其他章节的草案将继续发布,ICO说反馈 “可以产生重大影响”,因为意见将被用于补充指南。(来源:数据保护官微信公众号)
3、美国参议院通过一项网络安全法案
美国参议院通过了由参议员加里-彼得斯提出的《加强美国网络安全法》。该法案旨在加强美国的网络安全,内容包括要求关键基础设施公司(如能源和医疗卫生)报告网络攻击和勒索软件事件,以及在72小时内报告漏洞。该法案已转移至美国众议院作进一步审议。(来源:数据保护官微信公众号)
4、意大利对面部识别公司Clearview AI处以2000万欧元的罚款
意大利数据隐私监督机构表示,将对备受争议的面部识别公司Clearview AI处以罚款,原因是其违反欧盟法律。据调查,该公司的100亿张人脸图像数据库中包含了意大利人的人脸图像,因此这家公司将被罚款2000万欧元,并必须删除其持有的意大利国民的任何面部生物特征的图片。尽管失去了整个国家的大量面部识别数据,但是Clearview AI仍计划在今年迅速扩张。据《华盛顿邮报》报道,该公司告诉投资者,一年内将有1000亿张人脸照片进入其数据库。该公司在其宣传平台上表示,希望从投资者那里获得额外的5000万美元,用于构建更多面部识别工具,并加大游说力度。来源:数据保护官微信公众号)
5、美国《犹他州消费者隐私法》(UCPA)通过 成为第四部州级全面隐私立法
3月24日,美国犹他州州长Spencer Cox签署了《犹他州消费者隐私法》(UCPA),使犹他州成为第四个颁布全面消费者隐私立法的州。该法于2023年12月31日生效。 UCPA与加利福尼亚州、弗吉尼亚州和科罗拉多州的消费者隐私法既相似又不同。也就是说,它在很大程度上借鉴了《弗吉尼亚州消费者数据保护法》(VCDPA),与《科罗拉多隐私法》(CPA)也有类似部分。乍一看,UCPA的某些方面又与《加州消费者隐私法》(CCPA)很相似。然而,在实践中,UCPA的实质内容对消费者隐私采取了比之前三部法律更为宽松、更有利于商业的方法。与VCDPA的范围非常相似,UCPA 适用于任何控制者或处理者:1、在本州开展业务,或生产针对本州居民的消费者的产品或服务。2、年收入达到或超过25,000,000美元;并且3、满足以下一个或多个门槛:(1)在一个日历年内,控制或处理10万或更多消费者的个人数据;(2)该实体50%以上的总收入来自个人数据的销售,并控制或处理25,000名或更多消费者的个人数据。但与VCDPA不同的是,VCDPA没有年收入门槛,只有年收入在2500万美元以上的实体,同时满足上述至少一个额外的门槛,才会受到UCPA的约束。通过包括多个门槛要求,UCPA的范围与其他州的现行隐私法相比更窄。年收入门槛要求意味着较小的实体,即使满足其他门槛要求,也将不受UCPA的约束。同样,满足年收入门槛的较大实体将不受该法律约束,除非它们还满足其他门槛。(来源:数据保护官微信公众号)
6、欧盟和美国就新的《跨大西洋数据隐私框架》达成原则性协议
欧盟委员会和美国宣布:欧美已就新的《跨大西洋数据隐私框架》达成原则性协议,该框架将促进跨大西洋数据流动,并解决欧盟法院在2020年7月的Schrems II裁决中提出的关切。新《跨大西洋数据隐私框架》标志着美国方面作出了前所未有的承诺:将实施改革,加强适用于美国通讯情报活动的隐私和公民自由保护。根据《跨大西洋数据隐私框架》,美国将制定新的保障措施,以确保通讯监视活动在追求确定的国家安全目标是必要的和相称的,建立一个具有指导补救措施的有约束力的两级独立机制,并加强对通讯情报活动的严格分层监督,以确保遵守对监视活动的限制。新《跨大西洋数据隐私框架》反映了美国和欧盟在商务部长吉娜-雷蒙多和司法专员迪迪埃-雷恩德领导下进行的一年多谈判的成果。它将为跨大西洋的数据流动提供一个持久的法律基础,这对于保护公民的权利和实现经济部门(包括中小型企业)的跨大西洋商业活动都至关重要。通过推进跨境数据流动,新框架将促进一个包容性的数字经济,让所有人都能参与其中,让欧美所有国家的各种规模的公司都能在其中蓬勃发展。联合声明再次表明了美国和欧盟关系的力量,即继续深化我们作为民主国家共同体的伙伴关系,以确保安全和对隐私的尊重,并为我们的公司和公民提供经济发展机会。新框架将促进美国和欧盟的进一步合作,包括通过贸易和技术委员会以及通过经济合作与发展组织等多边论坛进行数字政策的合作。美国政府和欧盟委员会的团队将继续合作,以期将这一安排转化为双方需要通过的法律性文件,以落实这一新的《跨大西洋数据隐私框架》。为此,美国的这些承诺将被纳入一项行政命令中,该行政命令将成为欧盟委员会在其未来对美国充分性决定中的评估基础。(来源:数据保护官微信公众号)
7、英媒:澳大利亚将出台最严格网络安全法
据英国《金融时报》网站3月30日报道,澳大利亚将出台世界上最严格的网络安全法之一,以加强对外国势力针对其关键基础设施发动袭击的防御体系。报道称,堪培拉方面正在准备出台更严格的法律,以保护国家基础设施资产免受网络攻击,范围涉及电信网络、电网、供水和排污企业等11个领域。金融服务、国防、研究、医疗和教育等领域的企业也将遵守该法。报道还称,去年年底在议会通过的立法允许澳大利亚政府在发生灾难性网络攻击时介入并接管网络。企业还必须告知政府它们是否遭到了袭击。报道指出,这些企业现在必须遵守更严格的规定和监督制度,缓解对所谓“外国干涉”的担忧。议会情报和安全联合委员会主席詹姆斯·帕特森称,澳大利亚的许多重要基础设施仍被对手视为“薄弱目标”。帕特森周三说:“数字领域是新的战场,我们都可以尽一份力,为现实构成的挑战做好准备。令人遗憾的是,行业就算做出最大的努力也不足以阻止供应链和服务的一连串崩溃,这种崩溃可能会造成经济的瘫痪。”澳大利亚网络安全中心称,去年在澳大利亚遭受的所有网络攻击中,有四分之一是针对关键基础设施的。帕特森还说:“不难想象,如果恶意人员关闭我们的系统,我们会遭受破坏性的、波及整个社会的后果。”周二,澳大利亚承诺将把其网络防御能力建设的投入扩大一倍,推出一个近100亿澳元(合75亿美元)的预算计划,名为“Redspice计划”(复原力、效果、防务、太空、情报、网络及其支持者计划)。堪培拉说,该计划是现在负责网络战和信息安全的澳大利亚通信管理局75年来最重大的投资。报道称,这笔资金分10年发放,用于招募1900名数据科学家和软件工程师,以及增强“澳英美联盟”等其他军事协议。伦敦、堪培拉和华盛顿去年签署的澳英美联盟协议旨在使澳大利亚能够获得核动力潜艇。(来源:参考消息网)
8、英国数据跨境流动标准合同条款正式生效
3月21日,英国版的数据跨境流动标准合同条款(UK-SCC)正式生效。根据英国《通用数据保护条例》(GDPR)和《2018年英国数据保护法》(统称"英国数据保护法"),公司在将个人数据从英国转移到没有足够数据保护水平的国家时,除其他事项外,必须实施有效的数据传输机制。标准合同条款(SCCs)是验证这些转移的常用机制。一旦英国脱欧过渡期在2020年12月31日结束,EU-GDPR不再适用于英国,其适用的是UK-GDPR。因此,当欧盟在2021年6月公布修订后的SCC时,它们并不自动适用于英国,而英国公司继续依靠旧的EU-SCC来验证数据传输。为了理清这种复杂性,英国信息专员办公室(ICO)最近以两个文件的形式发布了一个新的标准化条款工具包。第一份是《国际数据传输协议》(IDTA)。IDTA可以作为一个独立的协议来执行,以配合主要的商业合同,确保数据传输符合英国的数据保护法。第二个是欧盟2021年标准合同条款的附录(英国附录)。如上所述,许多在国际上经营的公司已经有了欧盟标准合同条款。欧盟标准合同条款的英国附录允许同时遵守英国数据保护法和欧盟-GDPR的公司确保国际数据转移,而不需要执行一个全新的、独立的机制,如IDTA。2022年3月21日,上述IDTA和欧盟2021年标准合同条款的附录(英国附录)正式生效。英国公司必须在2024年3月21日之前完全执行英国的SCC,并在此期限内用这些新条款更新现有合同。同时,对于现有的合同,公司有三种选择:(1)继续使用旧的欧盟合同条款 (2) 执行新的IDTA,或 (3) 在执行欧盟合同条款的同时执行新的英国附录。对于2022年3月21日至2022年9月21日之间执行的合同,也有这些选择。对于2022年9月21日或之后签订的合同,公司必须使用新的英国SCC:这意味着(1)完全执行IDTA,或(2)执行英国附录和欧盟SCC。(来源:数据治理与竞争法研究微信公众号)