作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、国家互联网信息办公室公布《数据出境安全评估办法》
2、《关于开展网络安全服务认证工作的实施意见(征求意见稿)》公布
3、国家标准《信息技术 安全技术 公有云中个人信息保护实践指南》(GB/T 41574-2022)正式发布
4、注重个人信息保护 将网安人才纳入人才体系 《河南省网络安全条例(草案)》提请审议
5、《深圳经济特区智能网联汽车管理条例》发布,将于8月1日起生效
二、执法动态
1、国家网信办:滴滴违法处理个人信息647.09亿条 违法时间长达7年 罚款80.26亿元
2、“清朗·2022年暑期未成年人网络环境整治”专项行动启动
3、券商首单网络安全事件“双罚” 接连发生2起信息安全事件
三、司法审判
1、广东首例!一公司未履行数据安全保护义务被警方处罚
2、“出借”个人信息认证公司抖音账号,离职后拿不回来?
3、个人信息查阅复制权首案之唯品会案——(2022)粤01民终3937号
四、新闻事件
1、最高法:加快完善数据产权司法保护规则
2、抖音联合清华大学发布《全球数据要素治理研究报告》,用技术促进数据安全和隐私保护
3、阿里巴巴与蚂蚁终止《数据共享协议》
4、完善国家安全法治体系《网络数据安全管理条例》纳入年度立法计划
五、域外观察
1、德国大众因违反GDPR被罚756万元
2、美国和英国就数据访问达成协议
3、丹麦DPA因数据安全问题对律师事务所罚款50万欧元
4、欧盟成员国一致批准《数字市场法》
一、立法动态
1、国家互联网信息办公室公布《数据出境安全评估办法》
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据跨境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。《办法》明确,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。《办法》规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。(来源:中国网信网)
2、《关于开展网络安全服务认证工作的实施意见(征求意见稿)》公布
为贯彻落实网络安全法等法律法规要求,充分发挥质量认证工作在加强网络安全服务机构管理,提升网络安全服务质量等方面的重要支撑作用,国家市场监管总局对外发布由市场监管总局联合中央网信办、公安部研究起草的《关于开展网络安全服务认证工作的实施意见(征求意见稿)》(以下简称《征求意见稿》),现向社会公开征求意见,截止日期为8月21日。根据《征求意见稿》规定,网络安全服务认证目录由市场监管总局会同中央网信办、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。认证规则和认证标志由市场监管总局征求中央网信办、公安部意见后另行制定发布。市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理,依法查处认证违法行为。网信部门、公安部门负责对网络安全服务质量和认证结果采信应用情况进行监督管理。《征求意见稿》提出,从事网络安全服务认证活动的认证机构应当依法设立,符合认证认可条例、认证机构管理办法规定的基本条件,具备从事网络安全服务认证活动的专业能力,并经市场监管总局征求中央网信办、公安部意见后批准取得资质。网络安全服务认证机构应当根据认证委托人提出的认证委托,按照网络安全服务认证基本规范、认证规则开展认证工作,建立可追溯工作机制对认证全过程完整记录。网络安全服务认证机构应当公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态,并按照有关规定报送网络安全服务认证实施情况及认证证书信息。(来源:法治日报)
3、国家标准《信息技术 安全技术 公有云中个人信息保护实践指南》(GB/T 41574-2022)正式发布
7月11日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第8号),全国信息安全标准化技术委员会归口的国家标准GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》正式发布,实施日期为2023年2月1日。(来源:全国信安标委)
4、注重个人信息保护 将网安人才纳入人才体系 《河南省网络安全条例(草案)》提请审议
7月27日,《河南省网络安全条例(草案)》(以下简称《条例(草案)》)提请河南省十三届人大常委会第三十四次会议审议。互联网行业是典型的资金密集型和技术密集型行业,网络安全的建设离不开各级政府在资金、政策和人才上的支持。《条例(草案)》第十三条指出,县级以上人民政府应安排网络安全专项资金,扶持重点网络安全技术产业和项目;省人民政府设立的互联网产业发展基金,应按照一定比例支持网络安全建设运营。除了来自政府的资金扶持,《条例(草案)》还鼓励金融机构加大对网络安全技术创新和产业发展的支持力度,引导社会资金投资网络安全建设,并支持省实验室和省级以上工程研究中心、技术创新中心、重点实验室、公共技术支撑平台、网络安全体验中心等开展网络安全技术研究,鼓励支持高校、科研机构和企业参与网络安全技术创新项目。值得一提的是,为吸引和留住网络安全人才,《条例(草案)》规定,县级以上政府及有关部门应将引进的网络安全高层次、高技能及紧缺人才纳入人才体系,在住房、职称评定以及配偶就业、子女就学等方面提供支持。在移动互联网技术高速发展的当下,人们惊呼“大数据和算法比你更懂你自己”。对于方兴未艾的大数据和算法等新兴领域,《条例(草案)》也做出了规定,要求网络运营者应用算法推荐技术提供互联网信息服务应履行算法安全主体责任,不得利用算法推荐服务传播法律法规禁止的信息,不得设置违反法律、法规或者违背公序良俗、公平竞争的算法模型。(来源:河南省人大融媒体中心)
5、《深圳经济特区智能网联汽车管理条例》发布,将于8月1日起生效
国内首部关于智能网联汽车管理的法规——《深圳经济特区智能网联汽车管理条例》(以下简称《条例》)已经获得深圳市人大常委会会议表决通过,并将于8月1日起施行。该条例对智能网联汽车的准入登记、上路行驶等事项作出具体规定,依据条例,智能网联汽车可在划定区域路段行驶。智能网联汽车,是指可以由自动驾驶系统替代人的操作在道路上安全行驶的汽车。本次深圳市人大常委会对智能网联汽车管理从道路测试、准入登记,到使用管理、交通违法及事故处理等进行全链条立法,全力为智能网联汽车的发展扫除法律障碍。自动驾驶如果发生交通事故谁担责,是社会各界普遍关注的问题。《条例》对此作出明确规定:有驾驶人的智能网联汽车发生交通违法或者有责任的事故,由驾驶人承担违法和赔偿责任;完全自动驾驶的智能网联汽车在无驾驶人期间发生交通违法或者有责任的事故,原则上由车辆所有人、管理人承担违法和赔偿责任,但对违法行为人的处罚不适用驾驶人记分的有关规定;交通事故中,因智能网联汽车存在缺陷造成损害的,车辆驾驶人或者所有人、管理人依照上述规定赔偿后,可以依法向生产者、销售者请求赔偿。同时《条例》规定,智能网联汽车相关企业应当制定数据安全管理制度和隐私保护方案,并将存储数据的服务器设在中国境内。(来源:人民日报)
二、执法动态
1、国家网信办:滴滴违法处理个人信息647.09亿条 违法时间长达7年 罚款80.26亿元
7 月 21 日,国家网信办依据网络安全法、数据安全法、个人信息保护法、行政处罚法等法律法规,对滴滴全球股份有限公司处人民币 80.26 亿元罚款,对滴滴全球股份有限公司董事长兼 CEO 程维、总裁柳青各处人民币 100 万元罚款。此前,根据网络安全审查结论及发现的问题和线索,国家网信办依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反网络安全法、数据安全法、个人信息保护法的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。
7 月 21 日,国家网信办有关负责人就案件相关问题回答了记者提问。国家网信办相关负责人介绍,经查明,滴滴公司共存在 16 项违法事实,主要有 8 个方面。一是违法收集用户手机相册中的截图信息 1196.39 万条;二是过度收集用户剪切板信息、应用列表信息 83.23 亿条;三是过度收集乘客人脸识别信息 1.07 亿条、年龄段信息 5350.92 万条、职业信息 1633.56 万条、亲情关系信息 138.29 万条、" 家 " 和 " 公司 " 打车地址信息 1.53 亿条;四是过度收集乘客评价代驾服务时、App 后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息 1.67 亿条;五是过度收集司机学历信息 14.29 万条,以明文形式存储司机身份证号信息 5780.26 万条;六是在未明确告知乘客情况下分析乘客出行意图信息 539.76 亿条、常驻城市信息 15.38 亿条、异地商务 / 异地旅游信息 3.04 亿条;七是在乘客使用顺风车服务时频繁索取无关的 " 电话权限 ";八是未准确、清晰说明用户设备信息等 19 项个人信息处理目的。网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。
从违法行为的持续时间看,滴滴公司相关违法行为最早开始于 2015 年 6 月,持续至今,时间长达 7 年,持续违反 2017 年实施的网络安全法、2021 年实施的数据安全法和 2021 年实施的个人信息保护法。从违法行为的危害看,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。从违法处理个人信息的数量看,滴滴公司违法处理个人信息达 647.09 亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。
国家网信办有关负责人表示,下一步,网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为。同时,加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。(来源:中国青年报)
2、“清朗·2022年暑期未成年人网络环境整治”专项行动启动
7月19日,中央网信办、国务院未保办(民政部)、教育部、共青团中央、全国妇联联合举行“清朗·2022年暑期未成年人网络环境整治”专项行动启动仪式。中央网信办副主任、国家网信办副主任盛荣华出席启动仪式并作动员讲话。“清朗·2022年暑期未成年人网络环境整治”专项行动为期两个月,将聚焦未成年人使用频率高的短视频直播、社交、学习类App、网络游戏、电商、儿童智能设备等平台,集中解决人民群众反映强烈的涉未成年人问题乱象。专项行动主要包括10个方面整治重点:一是严格管控侵犯未成年人个人隐私问题,查处对未成年人人身攻击、侮辱谩骂等网络欺凌行为,清理对未成年人造成不良导向的污言秽语等内容;二是严肃查处利用“网红儿童”牟利以及让未成年人做出不雅姿势、性暗示动作吸引流量问题,整治诱导未成年人做危险动作等行为;三是督促网站平台不得为未满16周岁的未成年人提供网络主播服务,严厉查处诱导未成年人参与直播打赏的问题;四是集中清理以未成年人为形象创作的色情小说、漫画内容,查处引诱未成年人不良交友、煽动负面情绪等问题;五是严厉查处利用社交软件、群组、同城频道等,对未成年人进行性引诱、教唆未成年人拍摄裸露视频图片、实施网络猥亵等行为;六是集中查处散布虚假信息、虚构离奇故事和低俗剧情进行炒作引流、恶意营销等问题,进一步查处炫富拜金、奢靡享乐、扭曲审美等问题,防止对未成年人造成不良影响;七是持续查处向未成年人提供网络游戏账号租售服务的信息,清理以问答等形式教授破解防沉迷系统的信息内容;八是密切关注学习类App和版块,集中清理色情低俗及其他导向不良内容;九是深入排查电商平台商品信息,关注评论区、问答区等互动环节,严防展示涉未成年人低俗、血腥等内容;十是强化对专门供未成年人使用的智能手表、智能音箱、平板电脑、早教故事机等智能设备信息内容管理,深入排查语音、视频、文字、图片、游戏等场景,全面清理违法不良信息。(来源:中国青年报)
3、券商首单网络安全事件“双罚” 接连发生2起信息安全事件
7月12日,中国证监会发布关于对招商证券股份有限公司采取出具警示函措施的决定。公告称:经查,证监会发现招商证券在2022年5月16日的网络安全事件中,存在系统设计与升级变更未经充分论证和测试,升级回退方案不完备等问题,反映出公司内部管理存在漏洞、权责分配机制不完善。证监会表示,上述行为违反了《证券期货业信息安全保障管理办法》(证监会令第82号,以下简称《信息安全保障管理办法》)第二十二条、《证券基金经营机构信息技术管理办法》(证监会令第152号,以下简称《信息技术管理办法》)第六条、第二十二条第一款以及《证券公司内部控制指引》第一百一十四条、第一百一十五条的相关规定。依据《信息安全保障管理办法》第五十条、《信息技术管理办法》第五十七条,以及《证券期货业网络安全事件报告与调查处理办法》(证监会公告〔2021〕12号)第二十八条的规定,证监会决定对招商证券采取出具警示函的行政监管措施。招商证券应对相关问题进行全面整改,并对责任人员进行内部责任追究。同日,中国证监会披露对3名责任人的处罚决定:胡滔作为招商证券总裁助理、首席数字官,协管信息技术工作,邓曙光作为招商证券金融科技中心总监,陈卓作为招商证券金融科技中心核心交易开发部总经理,对相关问题负有责任。根据《信息技术管理办法》第五十七条以及《证券期货业网络安全事件报告与调查处理办法》(证监会公告〔2021〕12号)第二十八条的规定,中国证监会决定对上述3人采取出具警示函的行政监管措施。值得注意的是,在5月19日证监会机构部对行业下发的2022年第5期(总第97期)《机构监管情况通报》中,证监会明确表示,将按照“穿透式监管、全链条问责”的原则,持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度,对存在问题的机构和负有责任的人员实施“双罚”,并在分类评价中从严处理。而本次罚单,亦是对监管压实责任、从严处罚的直接体现。(来源:数据保护官微信公众号)
三、司法审判
1、广东首例!一公司未履行数据安全保护义务被警方处罚
7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。
【案情简介】据通报,从2021年10月下旬开始,广州市某公司陆续收到合作方驾校及当地运营部门投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员在不到场练车的情况下,逃避监管部门,完成练车学时累积。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以达到帮助学员快速完成培训和驾校快速盈利的目的。此行为严重危害道路交通安全,情节十分恶劣。今年5月12日,广州警方抓获包括技术开发和代理在内的3名犯罪嫌疑人,现场缴获一批用于实施破坏信息系统行为的计算机设备。经初步统计,该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。与此同时,广州警方对此案进行“一案双查”。对上述公司的网络系统全面开展网络安全和数据安全检查。广州警方发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。
【处罚结果】根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。(来源:广州市公安局)
2、“出借”个人信息认证公司抖音账号,离职后拿不回来?
【基本案情】2020年9月,卓某入职某儿童服装公司。为扩大销售路径,服装公司决定开设抖音账号用于售卖童装,并由卓某担任抖音客服一职。工作期间,卓某同意提供个人的姓名、身份证号码、人脸信息等个人信息用于公司抖音账号的实名认证。2021年1月,卓某离职后,欲新开自己的抖音账号,却发现自己的个人信息无法再实名认证用于绑定其他抖音账号。经了解抖音平台的账号注册规则,抖音账号实名信息一经认证成功即无法修改,除非注销原抖音账号。卓某便联系服装公司,表示自己已离职希望注销由自己实名认证的账号,但服装公司认为,公司运营该抖音账号已投入大量资金,该账号属于公司的合法财产,注销账号将对公司造成较大损失,遂拒绝了卓某的请求。双方各执一词,卓某遂将服装公司诉至瑞安法院,要求删除其抖音账号中有关其实名认证信息。
【法院审查】经法院审理调查,抖音公司证实实名认证信息属于用户注册抖音账号时的准入条件,且一经认证后不能修改。涉案抖音账号注册时,公司负责人告知员工卓某需要使用其人脸识别信息等,卓某同意将其个人信息用于公司抖音账号认证,而后由服装公司实际运营该账号,并陆续投入上万元用于短视频拍摄、抖音直播等,现账号有粉丝高达十余万人。
【法院认为】法院认为,根据《个人信息保护法》第十三条、第十五条、第四十四条规定,原告的姓名、身份证号码、人脸信息属于自然人的个人信息,原告作为其个人信息权利人,对其个人信息享有知情权、决定权,有权同意他人使用其个人信息,也有权撤回同意,被告作为个人信息使用者应当尊重原告意愿,抖音公司作为个人信息处理者应当提供便捷的撤回同意的方式。本案中,被告服装公司主观上愿意配合原告删除相应个人信息,但若直接注销账号将造成较大损失;而抖音公司表示可以根据相关法定事由或执行司法机关、行业主管机关依法作出的指令协助对确需修改实名认证信息予以修改。通过司法途径删除涉案抖音账号中原告认证的身份信息不会造成被告额外经济损失,原告也可以自主支配其个人信息用于注册新账号,双方遂在法院的主持下达成调解协议,由被告配合原告对其个人实名认证信息予以删除。考虑到涉案个人信息的后续处理,法院在制发调解书的同时,一并向抖音公司发出协助执行通知书,要求协助删除原告的个人实名认证信息。
【法官说法】《个人信息保护法》的实施强化了个人信息使用者、个人信息处理者的义务,保障了个人在个人信息处理活动中的各项权利,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。本案中,因抖音平台网络生态管理要求,造成双方无法直接处理个人信息被占用的困境,导致原告行使个人信息决定权受阻。(来源:温州晚报)
3、个人信息查阅复制权首案之唯品会案——(2022)粤01民终3937号
【基本案情】因担心个人信息泄露,原告周彦聪致电唯品会客服,要求披露唯品会收集的所有原告个人信息。客服表示:唯品会只能展示用户填写的信息,且这些信息只能在APP个人中心中查看;另原告账户没有实名认证,无法核实身份。同日,原告通过电子邮件向《隐私政策》中的行权邮箱发送邮件,请求披露所附清单(详见下表)中的个人信息,但唯品会未予回复。据此,原告以侵犯查阅、复制权为由,对唯品会提起诉讼,要求披露清单中的个人信息,并删除所有非必要信息。
【裁判结果】一审法院广州互联网法院支持了原告提出的部分个人信息披露请求(详见下表中蓝色及红色字体内容,限10日内提供);驳回了部分个人信息披露请求(详见下表中黑色及绿色字体内容);驳回了删除所有非必要信息的请求。唯品会上诉,二审法院广州中远驳回,但将一审法院要求的披露时间从10日延长至了30日。原告未上诉。
【判决摘要】关于案涉个人信息的披露方式。如前所述,周彦聪请求唯品会公司向其披露相关个人信息情况,实质上是在行使查阅复制权。唯品会公司上诉主张其已向周彦聪提供了便捷的个人信息查阅途径,但根据查明事实,唯品会公司提供的查阅途径仅能查阅部分周彦聪的个人信息,且对于复制权,一般应当理解为提供副本,仅提供查阅途径不能视为已满足周彦聪复制个人信息的请求。……唯品会公司应当以电子副本的方式提供相关的个人信息及处理情况供周彦聪查阅复制。
随着数字化时代的到来以及数字经济的蓬勃发展,强化个人信息保护已经成为应对数字化挑战、保护个人合法权益、维护网络空间良好生态、促进数字经济健康发展的重要举措。从个人角度,落实法律赋予其在个人信息处理活动中的权利,可以有效防范个人信息被随意收集、违法获取、过度使用、非法买卖等风险,防止不法分子利用个人信息侵扰其生活安宁,危害其生命健康和财产安全;从个人信息处理者的角度,充分保障用户的个人信息合法权益,可以有效提升其服务水平,增强其在数字经济时代的市场竞争力,虽然短期内可能会增加个人信息处理者的运营成本,但对其长远发展具有重要的积极作用。据此,个人信息处理者应当把个人信息保护的理念融入处理活动和业务实践的全流程,在个人信息收集、储存、使用、加工、传输等环节预先考虑个人信息权益保障的需求,为全面、高效履行个人信息权益保障法定职责奠定基础。
唯品会公司作为互联网企业,根据法律及监管部门的要求,适时对平台隐私政策及相关附件进行修改完善,不断提升用户个人信息权益的保障水平,对此应当予以肯定。但从本案的事实看,唯品会公司的个人信息查阅复制机制仍存在进一步完善的空间。建议唯品会公司对照《民法典》《个人信息保护法》及相关监管要求,充分发挥自身技术条件,运用信息化技术,建立常态化、便捷化的个人信息查阅复制响应机制,不断降低成本,提升效率,匹配平台用户需求,切实全面保障用户的个人信息查阅复制权。(来源:数据保护官微信公众号)
四、新闻事件
1、最高法:加快完善数据产权司法保护规则
7月25日,最高法发布《关于为加快建设全国统一大市场提供司法服务和保障的意见》(以下简称《意见》),其中强调助力打造统一的要素和资源市场,在资本市场方面,《意见》指出,依法严惩操纵市场、内幕交易、非法集资、贷款诈骗、洗钱等金融领域犯罪;加强数字货币、移动支付等法律问题研究,服务保障金融业创新发展。在数据要素市场方面,则要求:依法保护数据权利人对数据控制、处理、收益等合法权益,以及数据要素市场主体以合法收集和自身生成数据为基础开发的数据产品的财产性权益;加快完善数据产权司法保护规则。(来源:网信天津)
2、抖音联合清华大学发布《全球数据要素治理研究报告》,用技术促进数据安全和隐私保护
在7月15日召开的“构建规范互信数据环境的技术实践及法律适用”研讨会上,抖音集团数据与隐私法务团队联合清华大学数据治理研究中心共同发布了《全球数据要素治理研究报告》与《隐私计算法律适用规则报告》,希望通过对隐私保护计算与数据保护法律适配规则的阐释,来助力数字产业可信认证机制的建立与完善,实现技术为数据安全和隐私保护赋能。随着数据经济的发展,如何统筹数据领域“安全与发展”的关系,成为全世界共同面临的问题。两份报告总结了当前全球各主要国家和经济区在数据治理方面的法律法规要求,并结合隐私保护技术的最新发展,给出了具体的保护方案。清华大学创新发展研究院院长刘涛雄指出,在数据收集和交易两个环节,隐私保护计算技术都能发挥重要作用。即收集时尽可能少体现个人信息,避免暴露用户隐私;交易时增强技术安全性,避免数据信息的泄露。目前,比较成熟的隐私保护计算技术有多种方案。国家互联网应急中心高级工程师林星辰认为,根据不同的特定场景,可以构建特定的技术方案,来实现隐私保护前提下的数据流转。但他同时强调,目前还没有任何一种技术,可以满足通用场景的要求。正是针对这一问题,《隐私计算法律适用规则报告》提出要将隐私保护计算与数据安全影响评估有机结合,共同构建完整的“数据保护评估体系”。该报告指出,隐私保护计算对数据要素的流通提供了重要的技术支撑,但当数据要素涉及个人信息的处理时,还需要结合数据保护影响评估的合规工具,形成技术和法律的合力,实现对个人信息的更强保护,构建数据要素流通的个体信任基石。(来源:正义网)
3、阿里巴巴与蚂蚁终止《数据共享协议》
7月26日消,阿里发布2022财年年报,年报显示,阿里巴巴与蚂蚁集团进一步修订《股权和资产购买协议》及《支付宝商业协议》,若干修订将于2022年8月13日生效。据协议,7月25日,阿里与蚂蚁集团同意终止《数据共享协议》,并称其将与蚂蚁集团按双方向各自客户提供服务的必要限度,根据个案并依照适用法律及法规协商数据共享安排的条款。根据披露,《数据共享协议》自 2014 年 8 月起生效,协议期限至 2064年8月(到期后不存在续期安排),或者杭州阿里巴巴入股完成后阿里巴巴集团持有的蚂蚁集团股份降低至一定数量后。此次阿里巴巴与蚂蚁集团终止数据共享协议,被视为对监管方面的回应,表明阿里和蚂蚁正进一步切割。此外,年报还透露阿里巴巴合伙人目前共有29名成员,除此前宣布退休的部分成员外,来自蚂蚁集团管理层的相关成员包括井贤栋、倪行军、曾松柏、彭翼捷等也不再担任阿里巴巴合伙人。(来源:三言财经)
4、完善国家安全法治体系《网络数据安全管理条例》纳入年度立法计划
结束征求意见超过半年后,广受关注的《网络数据安全管理条例》(以下简称“《条例》”)迎来新进展。日前,国务院办公厅印发《国务院2022年度立法工作计划》(以下简称“《计划》”),《条例》被列入16件拟制定、修订的行政法规中。2021年11月,国家互联网信息办公室(以下简称“网信办”)发布了《条例》(征求意见稿),此次被列入国务院立法计划,意味着《条例》立法进程又进一步。由于内容涉及“数据处理者赴境外上市监管”“第三方产品损害平台用户利益时的赔偿责任”“互联互通”等敏感问题,互联网企业、科技公司等对《条例》高度关注,他们希望随着立法程序的推进,《条例》征求意见稿中一些模糊表述能够更加明确,以利于降低企业经营决策的不确定性。根据《计划》的工作安排,《条例》制定工作由网信办负责。《条例》征求意见稿第十三条与互联网和科技企业的切身利益密切相关。第十三条列出了须申报网络安全审查的四种情况。其中“处理一百万人以上个人信息的数据处理者赴国外上市”和“数据处理者赴香港上市,影响或者可能影响国家安全”两种情况,对企业直接影响较大。(来源:中国经营报)
五、域外观察
1、德国大众因违反GDPR被罚756万元
德国汽车巨头大众汽车已同意支付 110 万欧元(约合756万人民币),以解决因其中一辆测试车辆上的摄像头在他们不知情的情况下记录附近驾驶员而违反《通用数据保护条例》(GDPR)的指控。7月26日,下萨克森州数据保护专员宣布罚款,标志着大众汽车首次违反欧盟数据隐私立法。据下萨克森州当局称,该公司配合此案并接受了处罚。监管机构将所谓的违规行为描述为“严重程度不高”,并指出大众汽车立即纠正了这些缺陷。根据下萨克森州当局的说法,2019 年,奥地利警方在萨尔茨堡附近拦截了一辆测试驾驶员辅助系统功能以避免交通事故的大众汽车。在那里,警察注意到了车辆上的摄像头,这些摄像头正在记录附近的交通情况以进行错误分析等。由于事故,车辆缺少带有摄像头符号的磁性标志和其他受数据保护法影响的人的强制性信息,在这种情况下是其他道路使用者。根据 DS-GVO 第 13 条,除其他事项外,他们必须被告知谁在执行处理、用于什么目的以及数据将存储多长时间。进一步调查还显示,大众汽车尚未与进行这些旅行的公司签订订单处理合同。这本来是 GDPR 第 28 条所要求的。此外,没有根据 GDPR 第 35 条进行数据保护影响评估,因此必须在此类处理开始之前评估可能的风险及其遏制情况。根据下萨克森州当局的说法,问题在于车辆没有包含信息来通知其他司机他们正在被记录,谁将控制这些数据,以及这些数据将被存储在哪里以及存储多长时间。监管机构的调查进一步发现,与进行研究旅行的服务提供商签订的合同存在问题,并且缺乏数据保护影响评估,导致分别违反了 GDPR 第 28 条和第 35 条。(来源:艾科森环境技术)
2、美国和英国就数据访问达成协议
司法部于2022年7月21日宣布了美国政府和英国政府之间关于为打击严重犯罪而获取电子数据的协议(“《数据访问协议》”)。司法部详细说明,《数据访问协议》将使每个国家的调查人员能够更好地访问重要数据,以打击严重犯罪,保护他们的公民和维护国家安全。此外,司法部明确指出,《数据访问协议》规定,对严重犯罪的预防、侦查、调查或起诉可以比以前更快地进行,允许英国和美国的执法部门直接要求对方管辖范围内的电信供应商提供数据,其唯一目的是预防、侦查、调查和起诉严重犯罪。此外,司法部强调,《数据访问协议》将保持公民享有的强有力的监督和保护,不会损害或削弱两国珍视和共享的人权和自由。(来源:数据保护官微信公众号)
3、丹麦DPA因数据安全问题对律师事务所罚款50万欧元
丹麦数据保护机构建议对丹麦律师事务所SIRIUS 处以50万欧元的罚款,这与其数据安全措施不足有关。罚款起因是2020年3月的数据泄露事件,当时黑客进入并加密了该律师事务所的服务器。调查发现,黑客实施入侵时,SIRIUS正在对其服务器实施多因素认证。(来源:数据保护官微信公众号)
4、欧盟成员国一致批准《数字市场法》
当地时间18日,欧盟27个成员国一致批准《数字市场法》。这部法律对被归为“看门人公司”的互联网巨头企业提出一系列规范性要求,包括不得滥用市场支配地位打压或并购竞争对手、不得未经用户允许强行推送广告或安装软件,不得将采集的用户数据移作他用等等。违者将被处以相当于该企业年营业额10%的高额罚款。这部法律最初由欧盟委员会于2020年12月提出,去年11月欧盟各成员国经一年谈判就法律条文达成一致。今年3月,欧洲理事会与欧洲议会就这部法律达成协议。本月5日,欧洲议会投票以压倒性多数通过《数字市场法》和《数字服务法》。最终于今天得到欧盟成员国一致批准。下一步欧洲理事会主席和欧洲议会议长将分别签署这项法律,随后在欧盟公报颁布后6个月生效实施。《数字服务法》预计将在今年9月获欧盟成员国批准。(来源:第一财经)