汇编作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、工信部印发《网络产品安全漏洞收集平台备案管理办法》
2、工业互联网网络领域首个国家标准GB/T 42021-2022《工业互联网 总体网络架构》发布
3、《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》发布
4、国家标准《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)发布
5、国家标准《网络音视频服务数据安全要求》(GB/T 42016-2022)发布
6、国标《快递物流服务数据安全要求》(GB/T 42013-2022)发布
7、浙江市监局《数据资产确认工作指南》公开征求意见
二、执法动态
1、中央网信办组织开展网络辟谣标签工作 对存量谣言全面梳理标记,最大限度挤压网络谣言生存空间
三、司法审判
1、杨某诉某互联网公司名誉权纠纷案——网贷平台向第三方提供其掌握的欠款人个人信息构成对公民个人信息的侵犯
2、江某、滨州神奇大药房有限公司滨城泰山名郡店个人信息保护纠纷案——对个保法“履行法定义务所必需”及“应对突发公共卫生事件为保护生命健康所必需”的理解
四、新闻事件
1、广州互联网法院探索网络虚拟财产司法保护新举措
2、《云南省互联网发展报告(2022)》发布
3、杭州试点推行首席数据官制度:着力提升数据资源统筹管理能力
五、域外观察
1、阿根廷: 关于个人数据保护法的草案
2、法国数据保护机构国家信息与自由委员会对Clearview AI 处以2000万欧元的罚款
4、欧盟和日本拟将“跨境数据流动规则”纳入经济伙伴关系协定
5、Europrivacy:欧盟首个获批的GDPR认证机制
一、立法动态
1、工信部印发《网络产品安全漏洞收集平台备案管理办法》
10月29日,为规范网络产品安全漏洞收集平台备案管理,工业和信息化部近日印发《网络产品安全漏洞收集平台备案管理办法》。办法规定,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。办法所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。办法明确,拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。办法自2023年1月1日起施行。(来源:新华网)
2、工业互联网网络领域首个国家标准GB/T 42021-2022《工业互联网 总体网络架构》发布
近日,国家标准化管理委员会发布2022年第13号中华人民共和国国家标准公告,批准发布国家标准GB/T 42021-2022《工业互联网 总体网络架构》,这是我国工业互联网网络领域发布的首个国家标准,标志着我国工业互联网体系建设迈出了坚实的一步。《工业互联网 总体网络架构》国家标准围绕工业互联网网络规划、设计、建设和升级改造,规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求,提出了工业互联网网络实施框架和安全要求,有助于加快构建高质量的工业互联网网络基础设施,有助于引导全行业全产业的数字化、网络化、智能化水平提升,对于加速产业数字化转型具有重要意义。该标准由全国通信标准化技术委员会(SAC/TC485)归口,中国信息通信研究院、中国科学院沈阳自动化研究所、华为技术有限公司等单位联合起草。下一步,工业和信息化部将联合国家标准化管理委员会做好标准的宣贯推广工作,统筹推进工业互联网关键技术国家标准和行业标准研制,加快推动工业互联网创新发展。(来源:中国新闻网)
3、《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》发布
10月9日,全国信息安全标准化委员会就国标《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》向社会公开征求意见。在该征求意见稿中,对安全技术要求(包括可卸载要求、安全功能及保障要求、个人信息安全要求)、安全管理要求(包括预装行为安全、第三方预装应用程序安全管理、预装应用程序安全信息公示、投诉举报)等进行了规定,以期解决智能手机预装应用程序卸载难、过度索取、隐蔽收集个人信息等问题。标准重点解决智能手机预装应用程序不可卸载数量多、卸载难;过度索权、默认授权、隐蔽收集个人信息;智能手机生产企业缺乏对第三方预装应用程序的数据安全、个人信息保护审核管理等问题。
(来源:全国信息安全标准化技术委员会)
4、国家标准《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)发布
10月12日,信安标委发布国家标准GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》。标准规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。标准适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门]和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。不适用于警车、消防车、救护车以及工程救险车等执行紧急任务时的汽车数据处理活动,不适用于装置有专用设备或器具的作业车辆在封闭场所内从事作业活动时的汽车数据处理活动,不适用于测试车辆在封闭场地开展科研以及定型试验等活动时的汽车数据处理活动。
(来源:全国信安标委)
5、国家标准《网络音视频服务数据安全要求》(GB/T 42016-2022)发布
为了贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求,强化平台企业数据安全责任、保障平台经济安全健康发展,国家标准《信息安全技术 网络音视频服务数据安全要求》(GB/T 42016-2022)于2022年10月14日正式发布,将于2023年5月1日正式实施。标准的实施对象为网络音视频服务,主要包括网络音频、网络视频和网络直播服务。涉及的主要相关方包括:1.网络音视频服务提供者:主要指网络音视频服务平台的所有者、管理者;2.网络音视频服务使用者:包括普通用户及网络音视频内容生产者;3.网络音视频服务第三方参与者:通常包括第三方技术支持商、内容分发渠道商等。标准规定了网络音视频服务收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求,给出了网络音视频服务典型业务场景数据安全保护要求。
(来源:全国信安标委)
6、国标《快递物流服务数据安全要求》(GB/T 42013-2022)发布
由顺丰牵头编写全国信息安全标准化技术委员会归口的快递物流数据安全标准:GB/T 42013-2022《信息安全技术 快递物流服务数据安全要求》正式发布。据悉,该标准是快递物流行业出台的首部数据安全国家标准,针对现今快递物流服务行业突出的数据安全问题,提出了快递物流服务提供者开展数据处理活动应遵循的数据安全要求。该标准将于2023年5月1日正式实施。在标准编制过程中,顺丰紧扣快递物流行业业务场景,梳理业务流各环节的数据安全重点问题,立足于行业数据安全合规发展趋势,将顺丰较为成熟的面单脱敏、呼叫保护、查询水印、数据存储加密等领先的数据安全实践经验转化为要求。标准规定了快递物流收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求,主要包括:快递物流服务数据分类分级;快递物流服务数据收集要求、申请系统权限、告知同意要求;快递物流服务数据存储及传输的相关安全要求等内容。
(来源:全国信安标委)
7、浙江市监局《数据资产确认工作指南》公开征求意见
10月11日,浙江省标准化研究院等单位研究起草了《数据资产确认工作指南(征求意见稿)》,向社会公开征求意见。该标准为首次针对数据资产确认制定的推荐性地方标准。该标准的制定及实施将促进数据资产化进程,为浙江省国有数据资产管理办法的出台提供标准配套服务,在数据资源开发、数据要素市场化和产业化进程中强化标准实施应用,推进以标准为依据开展宏观调控、产业推进、行业管理、市场准入和质量监管。有利于破解数据资产确认难题,促进数据资产管理活动的协调一致,挖掘和实现数据资产的价值,助推数据资产公共服务,促进数据资产交易流通,为加快数据资源开发提供标准化手段,为健全数据资产管理机制建设提供标准技术支持,为数据要素市场化配置改革提供标准技术支撑,有利于激活数据要素潜能。(来源:顺海大数据科普公益)
二、执法动态
1、中央网信办组织开展网络辟谣标签工作 对存量谣言全面梳理标记,最大限度挤压网络谣言生存空间
今年8月以来,按照“清朗·打击网络谣言和虚假信息”专项行动统一安排,中央网信办举报中心会同网络综合治理局以中国互联网联合辟谣平台为依托,组织12家网站平台开展网络辟谣标签工作,对存量谣言进行全面梳理标记,对被标记的典型网络谣言样本及时通报曝光,最大限度挤压网络谣言生存空间。专项工作期间,重点网站平台积极参与,对近年来平台数据进行深入摸排,全面梳理存量谣言样本3342个,涉及卫生健康、食品安全、教育就业、自然灾害等重点社会民生领域。经权威查证,中国互联网联合辟谣平台集中标记辟谣标签,予以公开曝光和警示。微博、抖音、百度、腾讯等网站平台依据权威发布开展全平台自查,对8万余条存量谣言标记辟谣标签。重点网站平台均开设辟谣专栏或专门辟谣账号,及时发布权威辟谣信息,对接触过谣言的用户,精准推送相关辟谣内容。中央网信办相关单位负责人介绍,标记辟谣标签是网络辟谣工作的积极探索,是深入整治网络谣言乱象的重要举措。中央网信办将持续开展网络辟谣标签工作,不断健全联动工作机制,组织重点网站平台加大对网络谣言的辟除、曝光力度。广大网民可通过中国互联网联合辟谣平台提供谣言线索、查证网络谣言。(来源:新华每日电讯)
三、司法审判
1、杨某诉某互联网公司名誉权纠纷案——网贷平台向第三方提供其掌握的欠款人个人信息构成对公民个人信息的侵犯
【基本案情】某互联网公司开发了某借贷平台APP,持有、保管贷款人提交的个人资料信息。杨某于2017年通过该APP借款4万余元。借款前,杨某按照APP要求注册登记个人信息,提供身份证正反面照片、授权通讯录联系人等。杨某逾期未还款,杨某本人及其亲属、同事、朋友频繁收到自称是该APP或陌生人的催收信息。催收人能够提供杨某在该APP的借款人信息、借款合同号、应还款金额及还款账户等信息,还制作了诋毁杨某的图文信息,并威胁杨某要群发该图文信息给杨某通讯录所有人。
【裁判结果】珠海市香洲区人民法院生效判决认为,催收人掌握杨某与该APP之间的借款详情、杨某提交给该APP的身份证等个人信息,且发送信息目的是催收欠款,足以表明是某互联网公司向第三方提供了杨某的相关个人信息。某互联网公司未依法保障杨某的个人信息安全,向第三方提供了杨某的个人信息,给杨某造成巨大精神压力,构成精神损害,故判决某互联网公司向杨某书面赔礼道歉,并赔偿精神损害抚慰金。
【典型意义】网贷公司平台将收集、保管的公民个人信息提供给第三方的行为侵害了公民的个人信息安全,本案有利于规范平台行为,平衡网络平台与公民之间的利益关系。
(来源:广东高院)
2、江某、滨州神奇大药房有限公司滨城泰山名郡店个人信息保护纠纷案——对个保法“履行法定义务所必需”及“应对突发公共卫生事件为保护生命健康所必需”的理解
【案号】(2022)鲁1602民初976号
【基本案情】2022年1月2日,原告江某前往被告滨州神奇大药房处购买药品,江某根据店员的要求扫描二维码录入个人信息之后才得以进店,但原告最终没有购买任何药品。因个人信息系江某隐私,而且江某并未在被告处购买任何药品,所以江某要求被告删除其留存的所有江某个人信息,但是被告拒绝删除。江某多次找被告协商并两次报警处理,但是被告始终拒绝删除,遂起诉至法院,要求被告方赔偿其经济、名誉损失。
【裁判要点】法院认为,原告江某某在“滨州疫情防控药品追溯系统”中输入并存储的购药人姓名、联系电话、药品名、数量、购药时间等,属于原告江某某的个人信息。本案争议的焦点为:被告是否存在侵权行为、是否应当承担侵权的损害赔偿责任,被告应否或能否在“滨州疫情防控药品追溯系统”中删除原告江某某的相关个人信息。根据《个保法》第十三条的规定,在新型冠状病毒感染的肺炎疫情防控期间,根据我国新冠疫情防控的现状,为应对突发公共卫生事件,被告按照政府市场监督管理部门的部署要求和启用“滨州疫情防控药品追溯系统”的紧急通知,在原告江某某购买涉疫情防控药品时,落实发热、咳嗽、腹泻药品实名登记的规定,并无不当,不属于侵权行为,故对原告江某某的该项主张,本院不予支持。根据《民法典》第一千零三十五条第二款及《个保法》第四条第二款的规定,在新冠疫情防控工作中,虽由药店落实发热、咳嗽、腹泻药品实名登记规定并负责对购药人登记的信息进行核实,但药店在系统使用中不能存储、修改和删除个人信息,且在系统中登录被告用户名后,药店销售记录已不再显示原告江某某的个人信息,故对原告江某某要求被告删除其个人信息的诉讼请求,本院不予支持。
【法官说法】本案系个人信息保护纠纷。原告在“滨州疫情防控药品追溯系统”中输入并存储的购药人姓名、联系电话、药品名等,属于原告的个人信息,处理个人信息应取得个人同意。但是《中华人民共和国个人信息保护法》规定,有以下几种规定情形的,不需取得个人同意:为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;等等。疫情防控期间,为应对突发公共卫生事件,被告按照市场监督管理部门的部署要求和《启用疫情防控药品追溯系统的紧急通知》,在原告购买涉疫情防控药品时,落实药品实名登记的规定,并无不当,不属于侵权行为。(来源:山东省滨州市中级人民法院)
四、新闻事件
1、广州互联网法院探索网络虚拟财产司法保护新举措
为推进网络虚拟财产司法保护,2021年9月26日,广州互联网法院成立全国首个涉数据纠纷专业合议庭,专司涉及个人、企业和公共数据收集、存储、使用、公开、删除等方面的案件审理工作,聚焦网络虚拟财产、数据财产权益、个人信息保护、互联网竞争秩序、人工智能技术等领域,为破解“数据孤岛”、数据交易失范及价值不明、数据安全存疑等问题提供司法新解。“广州互联网法院充分发挥互联网司法‘试验田’作用,积极应对不断涌现的新类型涉网纠纷,以公正裁判规范网络行为、护航数字经济健康发展,坚持以司法裁判定标尺、明边界、促治理,以规则之治创造更高水平数字正义,持续探索创新对网络虚拟财产的司法保护举措,输出了一系列具有示范性、引领性的涉网络虚拟财产典型案例。”广州互联网法院相关负责人说。
某网红经纪公司与旗下网红主播在短视频账号到底归谁所有的问题上争执不下,后主播向短视频平台提出账号申诉。因账号使用存在争议,短视频平台冻结了该账号的使用。该公司遂将主播诉诸法院,要求账号归公司所有,并要求主播赔偿经济损失近10万元。广州互联网法院审理认为,基于网络实名制监管的考量,网红主播在账号脱离控制的情况下,就账号向平台申诉,平台因账号使用存在争议,进而冻结账号的使用,主播行为不构成侵权,判决驳回网红经纪公司的全部诉讼请求。“该案的判决践行了民法典对网络虚拟财产的保护精神与国家对网络安全的监管要求,切实回应了账号权益转移相关问题的司法需求,为探索和发展网络虚拟财产法律保护规则贡献了司法智慧。”中国人民大学法学院教授、中国法学会网络与信息法学研究会副会长张新宝说。(来源:法治日报)
2、《云南省互联网发展报告(2022)》发布
近日《云南省互联网发展报告(2022)》发布。《报告》由云南省通信管理局指导,云南省互联网协会联合省通信学会编撰,分为摘要、云南省互联网发展环境和基础篇、云南省互联网用户篇、云南省互联网应用篇、云南省数字经济发展篇等8个部分,力求全面呈现全省互联网发展状况的概貌,为互联网管理部门、行业企业、研究机构及专家学者提供参考和借鉴。《报告》显示,2021年云南省互联网行业发展势头强劲,行政村100%通光纤宽带网络,移动通信基站数量达35.9万个,5G基站实现翻倍增长,100M及以上宽带用户占比93.1%,移动电话普及率达106.9部/百人,物联网终端用户同比增长59.1%,网民规模达3179.2万人,互联网普及率达67.8%,移动互联网用户接入流量在全国排名第9位。数字经济规模达6700亿元,数字经济核心产业实现营业收入1939.68亿元,政务服务事项网上可办率达95%,28个“5G+智慧医疗”项目入选工信部、国家卫健委试点示范目录,网络交易额3495.8亿元,网络零售额1323亿元,农产品网络零售额358.2亿元,省级工业互联网安全态势感知平台监测能力覆盖全省16个州(市)2970家联网工业企业。总体来看,云南省互联网新型基础设施建设成效显著,位于全国中上水平,部分指标名列前茅。通过协同推进偏远地区宽带网络建设和国际通信设施建设,国际网络信息基础设施服务能力显著提升,面向南亚东南亚区域性数字枢纽建设稳步推进,为经济社会数字化转型夯实底座。数字化融合应用加速落地,数字政府治理能力持续提升,“5G+”融合创新应用持续深入,工业互联网加速发展,区块链技术深入开展试点应用,“云品”搭乘电商“快车”快速出滇。同时,网络安全保障能力持续提升,省级工业互联网网络安全态势感知平台投入使用,网络治理体系建设取得丰硕成果,有效助力全省经济社会发展。(来源:云南日报)
3、杭州试点推行首席数据官制度:着力提升数据资源统筹管理能力
近日,国务院推进政府职能转变和“放管服”改革协调小组办公室下发政府职能转变和“放管服”改革简报(第240期),点赞杭州试点推行的首席数据官制度。浙江省杭州市积极适应数字化改革需要,试点推行首席数据官制度,在全市115家市直部门、市属国有企业设立首席数据官、数字专员,为数字政府建设整体推进提供了重要人才保障。(来源:杭州市数据资源开发协会微信公众号)
五、域外观察
1、阿根廷: 关于个人数据保护法的草案
8月,阿根廷的公共信息获取机构,即《阿根廷个人数据保护法》的数据保护机构,启动了旨在改革个人数据保护制度的进程。第25326号《个人数据保护法》于2000年通过,并由第1558/2001号监管法令和DPA发布的若干决议、规则和指南加以补充。在此期间,没有对《个人数据保护法》的文本进行实质性修正。同时,阿根廷加入了《关于在自动处理个人数据方面保护个人的第108号公约》和《关于在自动处理个人数据方面保护个人的公约》的修订议定书(第108+号公约)。阿根廷国会对《第108+号公约》的批准仍未完成。(来源:数据保护官微信公众号)
2、法国数据保护机构国家信息与自由委员会对Clearview AI 处以2000万欧元的罚款
法国数据保护机构国家信息与自由委员会(Commission national de l‘informatique et des libertés)因Clearview AI涉嫌违反《欧盟通用数据保护条例》(EU General data protection Regulation),向其处以2000万欧元罚款。CNIL于2021年5月开始调查有关Clearview面部识别数据库和数据处理实践的投诉。监管机构于2021年11月发布了一份正式通知,以纠正其涉嫌违规行为,Clearview对此没有回应。除了罚款,CNIL还命令Clearview停止相关数据处理活动并删除先前收集的违反GDPR相关规定的数据。(来源:数据保护官微信公众号)
3、英国法官认定门铃摄像头侵犯隐私
据英国广播公司新闻报道,一名牛津刑事法院法官维持了对一名英国居民的两项指控,该居民使用门铃摄像头侵犯了邻居的隐私。被告裁定,该邻居违反了英国隐私法,在原告家对面的一个棚子上安装了摄像头,录制了图像和音频,然后发送到被告的手机上。法官梅丽莎·克拉克(Melissa Clarke)表示,音频数据收集“比视频数据更具问题性和危害性”。被告将面临尚未确定的罚款。(来源:数据保护官微信公众号)
4、欧盟和日本拟将“跨境数据流动规则”纳入经济伙伴关系协定
10月24日,欧盟和日本将开始谈判,在其经济伙伴关系协定中纳入跨境数据流动规则。欧盟委员会在一份新闻稿中说,双方的企业都应该受益,并补充说:“我们的目标是通过禁止不合理的数据本地化要求确保跨境数据流动,同时保留欧盟在个人和非个人数据保护和网络安全领域的监管自主权”。双方已经同意将这种关系提升到新的水平,启动关于将数据流规则纳入我们的经济伙伴关系协定(EPA)的谈判。正式讨论将于2022年10月24日在布鲁塞尔启动。数字化转型是欧盟委员会的首要任务, 通过将现代数字贸易规则纳入我们与日本的协议,我们可以塑造全球规则体系,这符合我们的价值观以及消费者、企业的利益。“具体而言,我们将与日本谈判的关于跨境数据流动的条款应使双方的企业受益。我们的目标是通过禁止不合理的数据本地化要求来确保跨境数据流动,同时维护欧盟在个人和非个人数据保护以及网络安全领域的监管自主权。”(来源:数据保护官微信公众号)
5、Europrivacy:欧盟首个获批的GDPR认证机制
欧盟委员会推出了欧盟首个获批的欧盟通用数据保护条例认证系统--Europrivacy。该数据保护印章最近得到了欧洲数据保护委员会的批准,该委员会表示,其目的是 "提高(公司和服务)业务的价值和对其服务的信任"。该委员会补充说,Europrivacy "包括许多部门的广泛的数据处理业务",除了证明GDPR的合规性外,还可以用来评估跨境数据转移的充分性,并选择适格的数据处理者。Europrivacy是第一个证明符合《通用数据保护条例》(GDPR)的认证机制。它标志着在确保尊重欧盟开创性的隐私保护规则方面取得了飞跃性进展。通过GDPR,欧盟已经率先实现了数据隐私制度的现代化,并加强了用户保护其个人数据的权利和自由。Europrivacy认证标准正是基于GDPR中规定的数据保护要求。公司和服务可以利用该认证计划来提高其业务价值和对其服务的信任。他们可以利用Europrivacy来作以下事项:评估其数据处理活动的合规性;选择数据处理者;评估跨境数据传输的充分性;向用户和客户保证他们的个人数据得到了充分的保护;让用户可以放心,公司充分尊重他们作为数据主体的权利。(来源:数据保护官微信公众号)