汇编作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、国家网信办修订《互联网跟帖评论服务管理规定》发布施行
2、证监会《证券期货业数据安全管理与保护指引》发布
3、国家标准《信息安全技术 关键信息基础设施安全保护要求》发布,将于明年5月实施
4、《江西省数字经济领域反垄断合规指引》发布
5、深圳《公共安全数据要求》发布
6、《河北省政务数据共享应用管理办法》2023年1月1日起施行
二、执法动态
1、国家网信办集中查处一批侵犯个人信息权益的违法违规App
三、司法审判
1、周某某诉某电子商务公司个人信息保护纠纷案——依法保护个人信息查阅复制权
2、业主拒绝进门“人脸识别”,物业被判删除信息
四、新闻事件
1、乌镇峰会发布《反电信网络诈骗倡议》 强化数据安全和个人信息保护
2、工业互联网标识解析体系国家顶级节点全面建成
3、《数据产品交易标准化白皮书(2022)》发布
4、广东省政务服务数据管理局发布《广东省数据要素市场化配置改革白皮书》
五、域外观察
1、Meta因泄露5.33亿用户数据被罚2.65亿美元
2、澳大利亚《2022年隐私法修正案》通过:修改内容及企业的合规要点
3、欧盟《数字市场法》11月1日起正式生效
4、谷歌同意与美国40个州就位置追踪达成3.92亿美元的历史性和解协议
一、立法动态
1、国家网信办修订《互联网跟帖评论服务管理规定》发布施行
近日,国家互联网信息办公室发布新修订的《互联网跟帖评论服务管理规定》(以下简称新《规定》),自2022年12月15日起施行。新《规定》旨在加强对互联网跟帖评论服务的规范管理,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进互联网跟帖评论服务健康发展。《互联网跟帖评论服务管理规定》自2017年10月1日施行以来,对于规范跟帖评论环节信息秩序,维护良好网络环境发挥了积极作用。但随着互联网新技术新应用的快速发展,互联网跟帖评论服务也出现了许多新情况、新问题,需要适应形势发展变化进行修订完善。新《规定》共16条,重点明确了跟帖评论服务提供者跟帖评论管理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。新《规定》明确,跟帖评论服务提供者应当按照用户服务协议对跟帖评论服务使用者和公众账号生产运营者进行规范管理。新《规定》要求,公众账号生产运营者应当对账号跟帖评论信息内容加强审核管理,及时发现跟帖评论环节违法和不良信息内容并采取必要措施。新《规定》强调,公众账号生产运营者可按照用户服务协议向跟帖评论服务提供者申请跟帖评论区管理权限。跟帖评论服务提供者应当对公众账号生产运营者的跟帖评论管理情况进行信用评估后,合理设置管理权限,提供相关技术支持。(来源:央视网)
2、证监会《证券期货业数据安全管理与保护指引》发布
近日,证监会发布《证券期货业数据安全管理与保护指引》《证券期货业机构内部接口 证券交易》《证券业登记结算核心术语》《证券期货业信息技术服务连续性管理指南》《场外通用传输接口》《证券公司客户信息交换规范》《证券经营机构投资者适当性管理 投资者评估数据要求》7项金融行业标准,自公布之日起施行。其中,《证券期货业数据安全管理与保护指引》(以下简称“《指引》”)从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平,适用于证券期货业机构开展数据安全管理与保护工作的参考和指引。《指引》基于JR/T 0158—2018《证券期货业数据分类分级指引》,采用其中根据数据泄露或损坏造成的影响将数据分为不同级别的数据分级方法,提供了各级数据在数据采集、数据展现、数据传输、数据处理、数据存储(包含数据备份与恢复、删除、销毁环节)过程中的数据管理和技术指引,供证券期货业机构参考。其中,数据安全等级递进关系遵从分类分级指引中数据重要程度规定。(来源:证监会官网)
3、国家标准《信息安全技术 关键信息基础设施安全保护要求》发布,将于明年5月实施
11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术关键信息基础设施安全保护要求》(GB/T39204-2022)国家标准发布宣贯会。这是第一项关键信息基础设施安全保护的国家标准,将于2023年5月1日起实施。据介绍,关键信息基础设施作为直接关系国家安全、国计民生和公共利益的重要基础设施,其安全防护是国家网络安全工作的重中之重。标准是落实关键信息基础设施安全法律法规的重要抓手,是保障关键信息基础设施安全与发展的重要技术要素。关键信息基础设施保护是一个系统工程,要将网络安全等级保护制度、关键信息基础设施保护制度和数据安全保护制度3个制度在法律、政策、标准等方面形成有机衔接的体系,围绕关键信息基础设施安全保护要求,构建标准体系。《信息安全技术关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础。这项标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作提供了强有力的标准保障。(来源:中国质量报)
4、《江西省数字经济领域反垄断合规指引》发布
为精准助力推进江西省数字经济做优做强“一号发展工程”,建立健全数字经济公平竞争监管制度,引导数字经济领域经营者增强反垄断合规意识,提升反垄断合规管理水平,近日,江西省市场监管局制定发布了《数字经济领域反垄断合规指引》(以下简称《指引》)。《指引》分为五个部分:总则部分主要包括《指引》制定的目的和依据、适用范围、基本概念等内容;合规风险识别部分从垄断协议、滥用市场支配地位、经营者集中三个方面,结合数字经济特性和应用场景,分级描述了数字经济领域的违法行为以及具有数字经济特性的高风险行为;合规重点事项部分从承诺合规、配合调查、提出与撤回承诺、积极举证、豁免和适用除外、申请适用简易程序、投诉和举报等七个方面,梳理了数字经济领域的经营者合规重点事项;合规制度建设部分规定了倡导合规文化、引导行业合规、建立合规制度、开展合规培训、评估合规风险、寻求合规咨询与指导、处置合规风险和合规数字管理等相关内容;附则部分对《指引》的效力、解释和施行日期进行说明。《指引》具有三个鲜明特点:(1)对接新《反垄断法》,凸显数字经济特性,突出系统性;(2)深入合规场景解读,贴近合规管理应用,突出操作性;(3)强化经营合规意识,注重监管关口前移,突出指导性。(来源:江西省市场监督管理局)
5、深圳《公共安全数据要求》发布
为进一步激活公共数据的价值,推动高质量数据有序安全开放,深圳于近日发布了《公共数据安全要求》(以下简称《要求》),这也是深圳首个公共数据安全领域的地方标准。《要求》全文共九章,全面覆盖数据安全管理、技术及数据处理活动各环节,适用于公共管理和服务机构数据安全能力的建设、评估与监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。作为保障公共数据安全的标准,首先明确了公共数据的定义。《要求》指明,公共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。《要求》从公共数据安全的专业视角,为公共数据安全管理进行统一的指导,通过合理可行的标准落实数据相关法律法规。同时,《要求》从实际出发,提升标准执行力,将公共数据安全和网络安全等级保护体系的有效衔接,在不影响各公共管理和服务机构已有安全要求的基础上,进行公共数据安全层面的扩展。目前,深圳市数据开放总量已达13.56亿条,保障公共数据的安全成为促进数据开放应用的关键之举。《要求》确定了数据分级保护的方式和受侵害等级。其中,根据公共数据遭到破坏后的影响后果分为无损害、一般损害、严重损害、特别严重损害四类。在进行安全管理要求分解和细化的同时,《要求》提供相应的技术及数据处理活动安全能力要求,为标准落地提供参考和指导。此外,《要求》对机构管理提出应设立数据安全管理机构,设立数据安全责任人,明确数据管理员、数据安全管理员、数据安全审计员等岗位职责,保障数据安全管理与审计工作开展,落实数据安全保护责任。(来源:深圳市市场监督管理局)
6、《河北省政务数据共享应用管理办法》2023年1月1日起施行
日前,河北以省政府令的形式发布《河北省政务数据共享应用管理办法》(以下简称《管理办法》),推动政务数据安全有序共享,促进政务数据高效应用,提高政府治理体系和治理能力现代化水平。《管理办法》自2023年1月1日起施行。《管理办法》明确,省政务服务管理机构是省政务数据共享工作主管部门,负责规划、推进、指导、协调、规范、监督全省政务数据共享应用工作。省标准化行政主管部门会同省政务数据共享工作主管部门等相关部门加强政务数据标准体系的统筹建设和管理,推动政务数据共享应用工作标准化、规范化。在目录管理方面,《管理办法》提出,政务数据实行统一目录管理。政务数据目录应当明确数据内容、提供单位、共享属性、更新频率、安全等级、使用范围等基本信息。在共享应用方面,政务数据按照共享属性分为无条件共享类、有条件共享类、不予共享类三种类型。在平台支撑方面,省政务数据共享工作主管部门统筹规划建设省一体化政务大数据体系,为本省开展政务数据共享应用提供统一的基础支撑。省一体化政务大数据体系包括省政务大数据平台、市级政务大数据平台,以及相关管理机制、标准规范、安全保障制度。在安全保障方面,政务部门应当按照“谁管理、谁负责,谁提供、谁负责,谁流转、谁负责,谁使用、谁负责”的原则,落实政务数据采集、归集、共享、应用等环节的安全责任,并按照政务数据分类分级保护制度要求,加强监测、预警、控制和应急处置、容灾备份能力建设,开展政务数据合规性审查和安全评估,防止政务数据泄露和未经授权的访问。政务部门委托第三方参与政府信息化项目建设、维护,涉及政务数据处理的,应当经过严格的批准程序,明确工作规范和标准,建立事前审核、事中留痕、事后追溯机制,预防、发现、处置各类数据安全风险隐患。(来源:河北日报)
二、执法动态
1、国家网信办集中查处一批侵犯个人信息权益的违法违规App
近期,针对人民群众反映强烈的App以强制、诱导、欺诈等恶意方式违法违规处理个人信息行为,国家网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“超凡清理管家”等135款违法违规App。经查:“超凡清理管家”等55款App存在强制索要非必要权限、未经单独同意向第三方共享精确位置信息、无隐私政策、超范围收集上传通讯录等问题,违反《个人信息保护法》等法律法规规定,性质恶劣,依法予以下架处置;“东方头条”等80款App存在频繁索要非必要权限、首次启动未提示隐私政策、未告知相关个人信息处理规则、默认勾选隐私政策、无法或难以注销账号等问题,违反《个人信息保护法》等法律法规规定,依法责令限期1个月完成整改,逾期未完成整改的,依法予以下架处置。国家网信办相关负责人表示,将始终坚持依法管网、依法治网,持续强化个人信息保护领域日常监管,不断加大执法工作力度,坚决维护人民群众个人信息合法权益。(来源:网信中国微信公众号)
三、司法审判
1、周某某诉某电子商务公司个人信息保护纠纷案——依法保护个人信息查阅复制权
【基本案情】2021年3月1日,周某某因担心某电子商务公司运营的平台获取并记载的其本人信息有误或被泄露,致电该平台客服,希望平台披露收集到的其本人信息。该平台客服表示:“用户有填写的信息,可以在APP个人中心予以查看,且这些信息采取了加密的保护措施,不会泄露;对于用户没有填写的信息,平台无法展示。”同日,周某某向该平台隐私专职部门邮箱发送电子邮件,请求披露其个人信息,平台未予回复。周某某遂诉至法院,请求某电子商务公司向其披露收集的个人信息。
【裁判结果】广州市中级人民法院生效判决认为,周某某要求平台向其披露个人信息,实质是主张个人信息查阅复制权。个人信息查阅复制权是个人重要的法定权利,依法应予充分保障。周某某作为平台注册用户,有权要求平台披露收集的个人信息及相关处理情况。故根据案件具体情况,判决某电子商务公司提供其收集的周某某相关个人信息及其处理相关情况供周某某查阅、复制。
【典型意义】个人信息查阅复制权是重要的基础性权利,对于防止个人因他人非法收集、处理个人信息而遭受人身财产权益损害具有重要意义。本案在切实保障信息主体合法权益的同时,引导个人信息处理者合规经营,对加强个人信息保护进行了有益的探索。(来源:广东高院)
2、业主拒绝进门“人脸识别”,物业被判删除信息
“我进自家单元门,搞什么‘人脸识别’,隐私都没有了!”因认为小区物业安装“人脸识别”门禁存在个人信息保护的隐患,宁波一名业主将物业公司诉至法院,宁波镇海法院日前判令物业公司删除原告被采集的面部特征信息。
余某某系镇海某小区住户,小区年初在单元门安装“人脸识别”开门系统,物业采集了余某某的面部信息。7月,余某某将物业诉至法院,认为“人脸识别”技术存在个人信息保护方面的隐患,要求物业删除其人脸识别面部特征信息,保证单元安全出口畅通,并提供其他自由出入方式。
案件审理中,物业公司同意删除余某某的人脸识别信息,且提供证据证明小区还可以通过刷门禁卡出入。余某表示既不愿刷脸也不愿刷卡,单元门应敞开,自由出入。法官劝导:行使个人自由不能损害其他人的利益,单元门敞开会造成安全隐患,可能侵害其他住户权利,一定要解除单元门禁,须得到全体住户同意。遂判决物业公司删除余某某被采集的面部特征信息,驳回原告的其他诉讼请求。
据最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,物业服务企业或其他建筑物管理人以人脸识别作为业主或物业使用人出入的唯一验证方式,不同意的业主或物业使用人请求其提供其他合理验证方式的,法院依法予以支持。法官表示,小区物业在使用人脸识别门禁系统录入人脸信息时,应征得业主或物业使用人的同意,对不同意的应提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。(来源:澎湃新闻)
四、新闻事件
1、乌镇峰会发布《反电信网络诈骗倡议》 强化数据安全和个人信息保护
在11月10日举行的2022年世界互联网大会乌镇峰会网络法治论坛上,《反电信网络诈骗倡议》(以下简称“倡议”)发布,为建设清朗网络空间贡献力量。随着通讯网络技术的快速发展与应用,电信网络诈骗活动呈高发频发势头,严重侵犯人民群众财产安全,严重侵蚀社会诚信根基,严重破坏社会和谐稳定。为此,倡议提出五点建议:积极参与,构建共建共治新格局;自律自觉,筑牢网络安全新基准;惩防并举,实现网络诚信新高度;提升素养,推进网络伦理新建设;加大宣传,培育全民反诈新意识。其中,倡议指出,要履行主体责任,加强自我约束,促进行业自律,加快数字法治体系建设,强化数据安全和个人信息保护,共筑网络安全防线。倡议强调,要加强网络诚信体系建设,筑牢社会诚信根基,严厉打击电信网络诈骗活动,多管齐下铲除电信网络诈骗犯罪的生存土壤。在大力弘扬社会主义核心价值观方面,倡议提出,要践行家庭伦理、职业伦理、社会伦理和数字伦理,切实发挥个人道德和社会伦理建设对于遏制电信网络诈骗的基础性作用。(来源:中国新闻网)
2、工业互联网标识解析体系国家顶级节点全面建成
11月20日,在2022中国5G+工业互联网大会上,工业和信息化部举行工业互联网标识解析体系国家顶级节点全面建成发布仪式,标志着工业互联网标识解析体系——“5+2”国家顶级节点全面建成。工业和信息化部信息通信管理局一级巡视员王鹏在发布仪式上介绍,经过四年多的探索实践,我国工业互联网标识解析体系从无到有、从小到大,取得了阶段性成效。“武汉、广州、重庆、上海、北京”5个国家顶级节点和“南京、成都”2个灾备节点先后建成上线,“5+2”国家顶级节点全面建成,集中打造了自主可控、开放融通、安全可靠的标识解析体系,开启了工业互联网全要素、全产业链、全价值链全面连接的新篇章。据了解,工业互联网以标识解析体系为纽带,标识解析体系以国家顶级节点为中枢,上联国际根节点,下联二级节点及企业节点。四年多来,累计标识注册量突破2000亿个,日解析量1.2亿次,服务企业超20万家,覆盖29个省、自治区、直辖市和38个重点行业,已成为推动数字经济创新发展、产业优化升级、生产力整体跃升的重要力量。王鹏表示,下一步,工信部将加快标识与5G、区块链、人工智能等新技术的融合创新,培育一批有影响力的标识解析创新产品和解决方案,深化工业互联网标识规模应用水平。(来源:新华网)
3、《数据产品交易标准化白皮书(2022)》发布
近日,《数据产品交易标准化白皮书》在第四届数字经济标准创新论坛正式发布。《白皮书》由之江实验室牵头,联合浙江大学、浙江大数据交易中心、深圳数据交易有限公司、贵阳大数据交易所、温州市大数据发展管理局、普华永道等单位共同编制完成。在国家政策激励引导和市场主体的不断探索下,我国数据要素市场进入了快速发展期。截至目前,全国各地成立的数据交易机构已有40余家,数据交易场所进入新一轮建设期,大批商业机构陆续入场,数据交易相关服务进入发快车道。本报告基于我国数据交易机构的探索实践,充分研究吸纳相关单位在数据产品交易市场建设中的基础理论、政策机制、市场模式、监管治理等探索成果,深入分析了数据产品交易现状、面临问题和发展趋势,广泛调研了国内外数据产品交易标准化现状和需求,从数据产品、交易服务、交易保障、监管与治理等层面系统构建了数据产品交易标准体系。(来源:数据保护官微信公众号)
4、广东省政务服务数据管理局发布《广东省数据要素市场化配置改革白皮书》
日前,广东省政务服务数据管理局发布《广东省数据要素市场化配置改革白皮书》。《白皮书》从四个方面详细阐释了广东的实践做法,为全国深化要素市场化改革,建设高标准市场体系提供广东样本。构建完善的数据要素市场治理体系,需要加快推动数据要素市场治理能力建设。《白皮书》指出,广东不断提升对数据要素市场的统筹协调、风险防控、市场监管、综合保障能力水平,有效发挥数据要素市场功能。《白皮书》提出广东打造全国数据要素市场化配置改革先行区的愿景和展望。(来源:广东省政务数据服务管理局)
五、域外观察
1、Meta因泄露5.33亿用户数据被罚2.65亿美元
近日,Meta被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元,原因是2021年Facebook遭遇爬虫攻击发生大规模数据泄露,暴露了全球数亿用户的个人信息。2021年4月14日,5.33亿Facebook用户的数据被发布在一个著名的黑客论坛,暴露的数据包括个人信息,例如手机号码、Facebook ID、姓名、性别、位置、关系状态、职业、出生日期和电子邮件地址。DPC随即对Meta启动了GDPR违规调查。据Facebook透露,黑客通过利用其“Contact Importer”工具中的一个漏洞将用户电话号码与Facebook ID相关联,然后抓取其余信息来为用户建立个人资料。Facebook表示已在2019年修复了该漏洞,数据泄露是漏洞修复之前发生的。DPC的调查认定,Meta(当时的Facebook)违反了GDPR第25(1)和25(2)条,总结如下:25(1)-数据控制者应采取适当的技术和组织措施,例如假名化,并将必要的保障措施纳入处理过程,以满足本条例的要求并保护数据主体的权利。25(2)-控制者应采取适当的技术和组织措施,以确保默认情况下仅处理每个处理目的所需的个人数据。特别是,此类措施应确保在默认情况下,个人数据不会在没有个人干预的情况下被无限数量的自然人访问。(来源:GoUpSec)
2、澳大利亚《2022年隐私法修正案》通过:修改内容及企业的合规要点
2022年11月28日,澳大利亚针对《隐私法(PrivacyAct,1988)》的《2022年隐私法修订案(执行和其它措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022)(以下简称《修订案》)通过了参议两院的表决,目前正待总督签署后正式生效。《修订案》大幅提高了最高处罚金额标准、加大监管执法力度、扩大域外适用范围等。主要变动包括:(1)提高处罚金额至最高5000万澳元;(2)澳大利亚信息专员办公室(OAIC)的执法权扩张,包括加强数据泄露申报计划、展开调查的决定权、与接收机构信息共享的权利、适当披露部分信息的权利;(3)域外效力条款简化。
(来源:数据法盟微信公众号)
3、欧盟《数字市场法》11月1日起正式生效
11月1日,一项可能会永远改变互联网的法案即将生效,亚马逊、谷歌和Meta等互联网巨头将颇受打击:欧盟今年3月制定的旨在规范大型互联网平台公司运营的《数字市场法》将于今天起生效。该法将迫使大型互联网公司从2023年开始为各自平台提供更多的开放性和互操作性,可能给电子产品和应用程序的使用方式带来重大变化。《数字市场法》要求平台允许其他竞争对手进入,例如Meta的WhatsApp将允许从Signal或Telegram等竞争对手的应用程序接收消息,亚马逊、苹果和谷歌将不允许优先使用自己的应用程序和服务。《数字市场法》适用于市值超过650亿欧元(约合4712亿元人民币)的公司,将首次针对大型互联网平台在欧洲市场的竞争模式做出详细规定。违法的互联网平台企业将被最高处以其全球年销售额6%的罚款,金额可能超数十亿美元。如果企业系统性违反规定,可能会被施加额外惩罚措施,包括行为和结构性惩罚措施,例如剥离(部分)业务。虽然《数字市场法》将于本周生效,但科技公司不必立即遵守。该法生效后进入为期6个月的关键执行期,到明年5月2日,所有自认为应被归为“看门人”公司 (欧盟将先决定哪些公司规模大、地位稳固,足以被归类为互联网“看门人”) 的大型互联网企业要主动向欧盟委员会申报。欧盟委员会在45个工作日内会确认这些公司是否符合“看门人”公司的标准。一经确认,这些公司有6个月的过渡期,在此期间,公司须确保其遵守《数字市场法》的各项规定。(来源:数据保护官微信公众号)
4、谷歌同意与美国40个州就位置追踪达成3.92亿美元的历史性和解协议
据《纽约时报》报道,谷歌与40个州的检察长达成了3.915亿美元的和解,指控其位置追踪误导了用户。各州检察长表示,经过四年的调查后达成的和解,是美国各州涉及互联网隐私的最大和解。根据和解协议,谷歌同意在2023年澄清其位置跟踪信息披露。关于此案,俄勒冈州总检察长埃伦-罗森布伦说:“消费者认为他们已经关闭了谷歌的位置跟踪功能,但该公司继续秘密记录他们的行动,并将这些信息出售给广告商。” 根据该协议,谷歌还必须向用户更清楚地说明其位置跟踪做法,州检察长说这是美国最大的互联网隐私解决方案。谷歌表示,它已经纠正了和解书中提到的一些做法。"该公司发言人何塞-卡斯塔涅达说:"与我们近年来做出的改进相一致,我们已经解决了这项调查,这项调查是基于我们多年前改变的过时的产品政策。(来源:数据保护官微信公众号/纽约时报)