汇编作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、《中央企业合规管理办法》发布,央企将设首席合规官
2、《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》公布
3、国家标准《信息技术 大数据 数据资产价值评估(征求意见稿)》发布
4、国家标准《信息安全技术网络数据分类分级要求(征求意见稿)》发布
5、《陕西省大数据条例》发布
6、上海发布全国首个网络安全保险服务团体标准
7、《上海市公共数据开放实施细则》公开征询意见
二、执法动态
1、中央网信办组织开展网络辟谣标签工作 对存量谣言全面梳理标记,最大限度挤压网络谣言生存空间
2、河南警方发布“净网2022”专项行动典型案例
三、司法审判
1、欠费,删用户云数据、无法恢复:被告上法庭、索赔62万,判赔3万
四、新闻事件
1、国内首个自动驾驶数据分类分级白皮书发布
2、国内首家数字资产保险创新中心在西安成立
3、上海数据集团揭牌成立,未来会怎么干?业务模式如何?
五、域外观察
1、美英《数据访问协议》正式生效
2、欧盟理事会批准《数字服务法》:保护用户的在线权利
3、前Uber首席安全官因向黑客支付赎金被判妨碍司法罪
4、6.82亿美元被印度政府冻结!小米回应:这是合法向高通支付的专利费
一、立法动态
1、《中央企业合规管理办法》发布,央企将设首席合规官
日前,国务院国资委印发《中央企业合规管理办法》(点击阅读全文),推动中央企业加强合规管理,切实防控风险,有力保障深化改革与高质量发展。《办法》提出,中央企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。《办法》对中央企业合规管理的运行机制作出了规定,要求中央企业将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。依据《办法》,中央企业将建立违规问题整改机制,通过健全规章制度、优化业务流程等,堵塞管理漏洞,提升依法合规经营管理水平。(来源:国资委官网)
2、《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》公布
为了做好网络安全法与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下称“《意见稿》”)于9月14日公布,向社会公开征求意见。《意见稿》的说明介绍,为做好网络安全法与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全,拟对网络安全法作出如下修改:一是完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况,拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。二是修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。三是调整网络信息安全法律责任制度。适应网络信息安全工作实际,对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,新增对法律、行政法规没有规定的有关违法行为的法律责任规定。四是修改个人信息保护法律责任制度。鉴于个人信息保护法规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律责任修改为转致性规定。(来源:新华社)
3、国家标准《信息技术 大数据 数据资产价值评估(征求意见稿)》发布
数据资产评估是大数据标准框架中的重要规划领域。目前,国内外在这方面的研究仍然比较欠缺,主要研究成果集中数据资产质量评价、数据资产价值评估等方面。在数据资产评估过程中,评价与评估对象种类繁多,组织的评价与评估能力参差不齐,如何规范、系统开展数据资产的评价与评估是当前亟待解决的问题。数据资产价值评估是组织开展数据评价与价值评估活动的指导性文件。它有助于引导数据评价与价值评估实施工作的标准化、规范化,满足组织对数据评价与价值评估的需求,帮助组织确定与提升数据价值,推进数据评价与价值评估行业的发展;同时能够指导组织评估评价与评估现状及成效,逐步提升数据评价与价值评估水平。本标准给出了数据评价与价值评估的基本框架及各过程的基本要求,划分了数据资产质量评价与数据资产价值评估,提出了数据评价与价值评估方法。该标准形成了数据评价与价值评估实施总体框架,包括数据评价与价值评估。其中数据评价主要包括质量要素、成本要素与应用要素。价值评估主要包括收益法、成本法与市场法。(来源:搜狐网)
4、国家标准《信息安全技术网络数据分类分级要求(征求意见稿)》发布
9月14日,全国信息安全标准化技术委员会归口的国家标准《信息安全技术网络数据分类分级要求》征求意见稿发布。意见征集截止11月13日。《分类分级要求》给出了数据分类分级的原则和方法,包括数据分类分级基本原则、数据分类框架和方法、数据分级框架和方法等。适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。(来源:数据保护官微信公众号)
5、《陕西省大数据条例》发布
近日,陕西省十三届人大常委会第三十六次表决通过《陕西省大数据条例》,自2023年1月1日起施行。《条例》所称大数据,是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,以及对数据集合开发利用形成的新技术和新业态。《条例》包括总则、基础设施、数据资源、开发应用等八个章节,共81条。在资金支持方面,《条例》明确省人民政府应设立专项资金,用于支持大数据关键技术攻关、科技成果转化、重大创新平台和产业载体建设等。并鼓励金融机构、地方金融组织和社会资本加大融资、投资力度,支持大数据发展应用。在大数据的开发应用方面,《条例》明确了大数据在公共服务、智慧城市、数字乡村、智慧文旅等领域的应用方向。其中,《条例》提出应建立健全数字乡村相关信息系统共建和数据共享规则,构建面向农业农村的综合信息服务体系,引领数字乡村高质量发展。据悉,《条例》鼓励企业开放搜索、电商、社交等数据资源,发展第三方大数据服务产业,促进共享经济、平台经济健康发展。(来源:ZAKER数据观)
6、上海发布全国首个网络安全保险服务团体标准
9月28日,上海银保监局指导上海市保险同业公会发布了国内首个网络安全保险服务团体标准《网络安全保险服务规范》(下称《服务规范》),该团体标准将切实推动数字经济时代下网络安全保障体系建设,同时也是上海打造国际金融中心、建设网络安全产业创新高地的重要抓手。近年来,网络安全保险在网络安全产业生态链中的风险分散和安全托底功能已得到越来越广泛的认可。《服务规范》的实施,将帮助保险消费者以及社会各方对网络安全保险服务质量进行监督、评价,推动网络安全保险服务质量不断改善与提升,切实保障保险消费者合法权益,提升客户服务体验。从内容来看,《服务规范》对保险公司开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求,特别是针对承保前风险评估服务、承保中风险管控服务、事件发生后应急处置服务以及保险理赔服务明确了要求,体现了上海保险业在“保险+服务+科技”三位一体新生态下,让网络安全保险切实成为企业数字化基础能力的决心和行动。目前,网络安全保险的安全技术服务规范标准及服务能力评价标准也正在制定过程中,这两大配套标准将指导网络安全保险定点服务商开展相关安全服务支撑工作,并帮助相关方识别、评价各类网络安全保险服务供应商的能力,实现保险与科技双向赋能,最终引导网络安全产业健康有序发展,让客户获得优质、可靠、完善的网络安全服务。据悉,《服务规范》由人保财险上海分公司、太平洋财险上海分公司、平安财险上海分公司、众安保险、大地财险营业部、国寿财险上海分公司以及中财再保险上海分公司等7家保险公司共同起草并承诺执行。(来源:上海证券报)
7、《上海市公共数据开放实施细则》公开征询意见
9月13日,为贯彻落实《上海市数据条例》《上海市公共数据开放暂行办法》等有关法律法规,加快推进上海市公共数据更高水平开放,上海市经济和信息化委员会发布《上海市公共数据开放实施细则(征求意见稿)》。《实施细则》其中提到:在分级分类机制方面,本市公共数据采取分级分类开放机制。对公共数据根据个人、组织、客体等不同维度分为多个级别,并根据级别的组合划入三类开放:(一)对涉及个人隐私、个人信息、商业秘密和保密商务信息,或者法律法规规定不得开放的公共数据,列入非开放类。非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放类或者有条件开放类。……在数据交付方面,鼓励探索利用隐私计算、联邦学习、数据沙箱等新技术、新模式进行数据交付。(来源:开放隐私计算)
二、执法动态
1、中央网信办组织开展网络辟谣标签工作 对存量谣言全面梳理标记,最大限度挤压网络谣言生存空间
据悉,自今年8月以来,按照“清朗·打击网络谣言和虚假信息”专项行动统一安排,中央网信办举报中心会同网络综合治理局以中国互联网联合辟谣平台为依托,组织12家网站平台开展网络辟谣标签工作,对存量谣言进行全面梳理标记,对被标记的典型网络谣言样本及时通报曝光,最大限度挤压网络谣言生存空间。专项工作期间,重点网站平台积极参与,对近年来平台数据进行深入摸排,全面梳理存量谣言样本3342个,涉及卫生健康、食品安全、教育就业、自然灾害等重点社会民生领域。经权威查证,中国互联网联合辟谣平台集中标记辟谣标签,予以公开曝光和警示。微博、抖音、百度、腾讯等网站平台依据权威发布开展全平台自查,对8万余条存量谣言标记辟谣标签。重点网站平台均开设辟谣专栏或专门辟谣账号,及时发布权威辟谣信息,对接触过谣言的用户,精准推送相关辟谣内容。中央网信办相关单位负责人介绍,标记辟谣标签是网络辟谣工作的积极探索,是深入整治网络谣言乱象的重要举措。中央网信办将持续开展网络辟谣标签工作,不断健全联动工作机制,组织重点网站平台加大对网络谣言的辟除、曝光力度。广大网民可通过中国互联网联合辟谣平台提供谣言线索、查证网络谣言。(来源:新华每日电讯)
2、河南警方发布“净网2022”专项行动典型案例
9月8日,河南省公安厅对外发布了一批“净网2022”专项行动典型案例。部分案件情况如下:1、郑州侦破一起政府网站平台被攻击案。2022年4月,郑州警方接到报警称,某政府网站平台遭受多次DDoS攻击,导致平台访问量瞬间暴增多倍,造成数十家政府网站和政务新媒体账号无法正常访问。经查,犯罪嫌疑人张某某为某医院网络安全部技术维护人员,2022年4月2日,其个人网站被DDoS攻击,导致网站无法登陆。为减少攻击对其个人网站的影响,张某某私自将个人网站域名解析地址变更为某政府网站平台地址,“转嫁”攻击流量。目前,张某某因涉嫌破坏计算机信息系统犯罪被公安机关移送起诉,案件正在进一步侦办中。2、安阳打掉一“猫池”窝点。2022年7月初,安阳警方工作发现,嫌疑人贾某利用“猫池”设备和群控软件大批量注册网络平台账号,可能用于电信网络诈骗等违法犯罪活动。7月26日,安阳警方将贾某抓获,当场查获“猫池”设备35台、电脑2台、手机卡1万余张。现已查明,2022年以来,贾某利用自己在通信公司工作的便利,非法开卡7000余张,在网上购买大量“猫池”设备,用来收发验证码给上家解封、创建网上社交平台账号,非法获取公民个人信息达5万余条,非法获利7万余元。目前,案件正在进一步侦办中。(来源:光明网)
三、司法审判
1、欠费,删用户云数据、无法恢复:被告上法庭、索赔62万,判赔3万
【案号】(2022)京0101民初1380号
【案情简介】2018年3月15日,世融通联公司与北京移动公司签订了《云服务业务协议》。协议签订后,北京移动公司为世融通联公司开通了云业务服务,服务期限为无限期限。在2021年10月,世融通联公司因欠费导致系统服务中断,同时账号状态变更为已注销,随后发现存储在云服务器的数据丢失,无法恢复。因影响业务正常运行,世融通联公司向法院提出诉讼请求,要求北京移动公司赔偿云服务器重建等费用,合计620408.72元。北京移动公司辩称自双方开始履行至解除,北京移动公司向世融通联公司合计收取服务费总计为32354.37元,世融通联公司尚欠付费用为4011.09元(不包含滞纳金)。
【法院认为】本院认为,依法成立的合同受法律保护。本案中,原、被告签订的《移动云服务业务协议》系双方当事人真实意思表示,不违反法律法规的规定,合法有效,当事人应当全面履行自己的义务。被告在2021年10月29日因原告欠付费用停止向原告提供服务,故事实上合同已经于该日解除。……在本案中被告的证据不足以证明其向原告告知了明确的服务费用金额,而原告应知晓己方费用金额的大体数额以及预付款数额,且被告已经短信通知欠费,原告应当知晓自身已经欠付服务费数月,故双方对于原告未能按时交纳服务费导致合同解除,双方均存在过错。合同约定被告终止服务一月后,若原告未缴纳欠费或未按相关法律进行整改,被告有权释放原告订购的产品资源,由此造成的数据丢失等问题由原告负责。但被告并未履行该义务,应当承担违约责任。当事人一方不履行合同义务或者履行合同义务不符合约定,造成对方损失的,损失赔偿额不得超过违约一方订立合同时预见到或者应当预见到的因违约造成的损失,而在本案中没有证据证明原告主张的损失是被告应当预见的。故关于被告赔偿的金额,本院根据合同约定、双方合理预见之情形、双方之过错、原告提交关于损失的证据等予以酌定。
【裁判结果】一、确认原告北京世融通联科技发展有限公司与被告中国移动通信集团北京有限公司签订的《移动云服务业务协议》于2021年10月29日解除;二、被告中国移动通信集团北京有限公司于本判决生效后七日内赔偿原告北京世融通联科技发展有限公司经济损失3万元;三、驳回原告北京世融通联科技发展有限公司的其他诉讼请求。(来源:裁判文书网)
四、新闻事件
1、国内首个自动驾驶数据分类分级白皮书发布
9月18日,《北京市高级别自动驾驶测试示范区数据分类分级白皮书》于2022世界智能网联汽车大会网络与数据安全峰会正式发布,填补了国内自动驾驶示范区数据分级分类领域的空白,为行业数据安全管理提供“北京经验”。示范区自成立以来,已逐步构建了包含数据安全管理制度和数据治理技术手段的前瞻性数据安全体系,为智能网联汽车测试示范、商业化运营、数据应用等提供重要保障。本次通过制定数据分类分级方法,支撑示范区在可控成本范围内,探索自动驾驶数据安全治理主体责任边界、保障安全红线、合理制定安全管控范围和方法,主要包含以下核心亮点:一是制定了指导工作实践的整体工作流程。二是全面覆盖自动驾驶示范区数据关键要素。三是综合评估示范区数据重要性。四是配套制定数据安全等级保障要求。(来源:北京市高级别自动驾驶示范区微信公众号)
2、国内首家数字资产保险创新中心在西安成立
9月17日,由西安市碑林环大学创新产业带管委会、人保西安分公司、因问科技共同发起并成立的“数字资产保险创新中心”签约仪式在2022年全球硬科技创新大会成功举行。为贯彻落实陕西省“十四五”数字经济发展规划提出的“数字发展产业化、发展数字新业态、布局数字未来产业”奋斗目标,碑林区率先探索成立数字资产保险创新中心。数字资产保险创新中心通过隐私计算、人工智能和区块链技术等技术识别和保护企业的数字资产,促进数据资产的创造和流通,充分应用保险对科技发展的助推作用,搭建保险与科技创新之间的交流平台和融合机制。数字科技加保险科技双轮驱动,推动企业无形资产价值的全面释放,提升企业的市场竞争力,推动科技成果转化与流通,提升社会的创新能力。(来源:西安新闻网)
3、上海数据集团揭牌成立,未来会怎么干?业务模式如何?
9月29日上午,上海数据集团有限公司(以下简称“上海数据集团”)正式揭牌成立。上海数据集团成立的背景是什么?对于上海有什么意义和作用?业务模式和运营又有哪些特点?揭牌仪式结束后,上海数据集团有限公司总裁朱宗尧接受了媒体采访,对此做了详细解读。朱宗尧认为,成立上海数据集团的目的和意义,主要体现在三个方面:一是加快打造数据要素市场化配置核心载体的重要举措。二是加快推动公共数据和国企数据汇聚、流通、开发利用主要平台的重要举措。三是保障公共数据和国企数据市场化运营安全底线的重要安排。谈及上海数据集团的功能定位和主要作用,朱宗尧表示,上海数据集团是以数据为核心业务的具有功能保障属性的市场竞争类企业,是上海市一体化城市大数据资源基础治理的支撑主体,将围绕数字产业化、产业数字化以及完善生态等方面进行布局,致力于成为国内数据要素汇聚、供给、配置及市场化开发利用的领军企业。据朱宗尧介绍,上海数据集团将积极发展数据收集存储、加工处理、交易流通等数据核心产业,业务模式上初步考虑分为四大板块:一是数据基础设施建设与运营。二是数字资产供给及交易。三是基于大数据的增值服务。四是构建数据产业生态圈。(来源:澎湃新闻)
五、域外观察
1、美英《数据访问协议》正式生效
美国司法部宣布有关英国和美国之间刑事数据共享的数据访问协议于10月3日生效。两国将根据“对方国家发出的合规的、合法的电子数据命令共享数据,而不必担心触犯对跨境披露的限制”。美国司法部补充说,该协议带来了“通过使用所涵盖的命令,更及时和有效地获取快速发展的调查中所需要的电子数据”。该协议是根据美国国会2018年颁布的《澄清数据的合法海外使用法》(CLOUD法案)授权的,这是一项法律。根据《数据访问协议》,一个国家的服务提供商可以对另一个国家发出的合格、合法的电子数据命令作出回应,而不必担心触犯对跨境披露的限制。《数据访问协议》通过使用该协议所涵盖的命令,促进了对快速调查中所需要的电子数据更及时和有效的访问。这将大大增强美国和英国预防、侦查、调查和起诉严重犯罪的能力,包括恐怖主义、跨国有组织犯罪和剥削儿童等。《数据访问协议》规定了美国或英国当局在援引该协议时必须满足的许多要求。例如,美国当局提交的命令不得针对位于英国的人员,并且必须与严重犯罪有关。同样,英国当局提交的命令不得针对美国人或位于美国的人,并且必须与严重犯罪有关。美国和英国当局在获取和使用根据《数据访问协议》获得的数据时,也必须遵守商定的要求、限制和条件。美国和英国已经选定了负责执行各国数据访问协议的指定机构。美国的指定机构是司法部的国际事务办公室(OIA),而英国的指定机构是英国内政部的调查权力部门。在其作为美国指定机构的各种职能中,OIA创建了一个CLOUD团队,代表位于美国的联邦、州、地方和领土当局审查和认证符合该协议的命令,将认证的命令直接传送给英国的服务提供商,并安排将响应的数据返回给请求当局。(来源:数据保护官微信公众号)
2、欧盟理事会批准《数字服务法》:保护用户的在线权利
欧盟理事会主席国捷克宣布最终批准《数字服务法》。捷克工业和贸易部长Jozef Síkela称赞该法是“世界上其他监管机构的‘黄金标准’”,因为它为“更安全和更负责任的在线环境制定了新标准”。《数字服务法》将在欧盟官方公报上公布15个月后适用于各公司。欧盟理事会今天采取了一项重要措施,通过批准《数字服务法》(DSA)来确保一个更安全的网络环境。DSA保护数字空间免受非法内容的传播,并确保用户的基本权利得到保护。《数字服务法》是欧盟最具开创性的横向法律之一,我相信它有可能成为世界上其他监管机构的 "黄金标准"。通过为更安全、更负责任的网络环境制定新的标准,《数字服务法》标志着欧盟及其他地区的网络平台和用户与监管机构之间新关系的开始。《数字服务法》被认为是数字监管领域的世界首次尝试:在监管平台和在线监督方面,没有任何其他立法法案在保留内部市场的核心原则的同时具有这种程度的雄心。《数字服务法》为中介服务的提供者,如社交媒体、在线市场、超大型在线平台(VLOPs)和超大型在线搜索引擎(VLOSEs)规定了明确的责任和问责。这些规则的设计是不对称的,这意味着具有重大社会影响的大型中介服务(VLOPs和VLOSEs)要遵守更严格的规则。《数字服务法》引入了一个危机应对机制。这一机制将使我们有可能分析VLOPs和VLOSEs的活动对有关危机的影响,并迅速决定相称和有效的措施,以确保对基本权利的尊重。(来源:数据保护官微信公众号/欧盟理事会)
3、前Uber首席安全官因向黑客支付赎金被判妨碍司法罪
《华盛顿邮报》报道,美国联邦法院陪审团认定前优步首席安全官乔-沙利文在美国联邦贸易委员会调查该打车软件2016年数据泄露事件期间,因向黑客支付赎金而被认定犯妨碍司法罪。这项裁决标志着美国首例对数据泄露事件的首席安全官责任作出裁决。“沙利文先生的唯一关注点:在这次事件中以及在他整个杰出的职业生涯中确保了人们在互联网上的个人数据安全”,沙利文的律师David Angeli说。宣判日期尚未确定。乔-沙利文被认定犯有妨碍司法罪,因为他向当时正在调查优步隐私保护的联邦贸易委员会隐瞒了该漏洞,并积极隐瞒了一项重罪。这一判决结束了这一戏剧性的案件,沙利文是一位著名的安全专家,曾是旧金山美国检察官办公室侦查网络犯罪的早期检察官,曾担任Facebook、Uber和Cloudflare的最高安全主管。(来源:数据保护官微信公众号/华盛顿邮报)
4、6.82亿美元被印度政府冻结!小米回应:这是合法向高通支付的专利费
10月3日消息,据外媒报道,当地时间上周五,印度上诉机构确认了印度反洗钱执行局4月下达的扣押小米印度公司555.1亿卢比(约6.82亿美元)资产的命令。今年4月底,印度反洗钱执行局指控小米及其旗下印度子公司以假冒成支付特许权使用费(royalty payments)的方式非法汇款给国外实体,违反了印度1999年《外汇管理法》相关规定为由,扣押了其印度子公司银行账户555.13亿卢比的资金。随后,小米印度公司发表声明称:“小米印度所有运营活动都严格遵守当地的法律法规,所支付的这些版税均用于印度版本产品中所使用的授权技术和知识产权。小米印度支付此类版税是合法的商业行为,将与政府保持密切合作,以澄清任何误会。”同时,小米还小米在一家印度法院对印度反洗钱执行局的决定提出上诉,该法院将此事重新提交上诉机构审查。显然,经过几个月的调查,印度上诉机构依然认可了印度反洗钱执行局对于小米印度公司的指控。对此,小米集团在周日的一份声明中表示,对于印度上诉机构维持冻结其资产的决定感到失望,小米印度没有违反《印度外汇法》,将继续采取一切手段保护公司的声誉和利益。该声明还表示,执法局今年早些时候扣押的555.1亿印度卢比中,超过84%是支付给美国芯片公司高通集团的特许专利费用。小米印度是小米集团的子公司,与高通公司签订了法律协议,授权其生产智能手机的相关知识产权。在这份声明还表示,小米和高通均认为,小米印度向高通支付专利费是合法的商业程序。(来源:数据保护官微信公众号)