汇编作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、中国银保监会发布《银行保险机构消费者权益保护管理办法》 保护消费者信息安全权
2、银保监会发布《银行保险监管统计管理办法》 强调数据安全保护
3、《上海市公共数据开放实施细则》发布
4、《数据安全和个人信息保护社会责任指南》发布
5、团体标准《数据安全合规评估方法》发布
二、执法动态
1、公安机关2022年侦办“网络水军”相关案件550余起
三、司法审判
1、罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案——指导性案例195号
四、新闻事件
1、国务院两部门:高效开展重要数据和个人信息出境安全评估
2、全国首个获批数据出境安全评估案例落地北京
3、中国信通院发布《数据要素流通视角下数据安全保障研究报告(2022年)》
五、域外观察
1、苹果推进隐私保护:推出线下课程,中国用户可开启高级数据保护功能
2、脸书母公司再遭3.9亿欧元罚款
3、字节跳动遭遇“内审数据门”
4、TikTok在法国被罚500万欧元,涉Cookies追踪缺陷
5、奥地利全国公民个人信息全部泄露,涉事黑客还曾贩卖中国公民数据
一、立法动态
1、中国银保监会发布《银行保险机构消费者权益保护管理办法》 保护消费者信息安全权
为维护公平公正的金融市场环境,切实保护银行业保险业消费者合法权益,促进行业高质量健康发展,中国银保监会制定并发布了《银行保险机构消费者权益保护管理办法》(以下简称《管理办法》),自2023年3月1日起施行。《管理办法》共8章,57条,第六章保护消费者信息安全权,对银行保险机构收集、使用、传输消费者个人信息,外部合作、系统和人员管理等方面作出规定,要求在消费者授权同意基础上开展各项个人信息处理活动,开展外部合作应当在合作协议中约定数据保护责任、保密义务等事项,并严格控制合作方行为和权限。《管理办法》遵循同类业务、同类主体统一标准原则,加大行政处罚力度,将未经消费者授权同意不得传递其个人信息的要求,扩展适用至互联网平台;加大对侵害消费者权益行为的追责处罚力度;对于银行保险机构严重侵害消费者合法权益,且造成恶劣影响等情形的行为,除有关责任人员外,还要追究相关董事及高管责任。《管理办法》规范银行保险机构个人信息处理行为,使行业在充分发挥数据价值的同时切实保护消费者个人信息安全。对银行保险机构建立健全个人信息保护机制,实施全流程分级分类管控提出了要求。同时,对实践中常见的典型问题,针对性设立个人信息处理行为规范,包括:不得采取变相强制、违规购买等不正当方式收集消费者个人信息;书面形式征求消费者个人信息处理同意时应当以醒目方式、清晰易懂的语言明示与消费者存在重大利害关系的内容;不得在线上渠道设置默认同意的选项获取消费者个人信息授权;遵循权责对应、最小必要原则设置个人信息处理相关系统权限;禁止从业人员违规查询、下载、复制、存储、篡改消费者个人信息等。(来源:银保监会网站)
2、银保监会发布《银行保险监管统计管理办法》 强调数据安全保护
1月9日消息,为加强银行业保险业监管统计管理,规范监管统计行为,提升监管统计质效,中国银保监会近日发布《银行保险监管统计管理办法》(以下简称《办法》)。《办法》要求,监管统计工作及资料管理应严格遵循保密、网络安全、数据安全、个人信息保护等有关法律法规、监管规章和标准规范。相关单位和个人应依法依规严格予以保密,保障监管统计数据安全。银保监会及其派出机构应建立健全监管统计资料管理机制和流程,规范资料的审核、整理、保存、查询、使用、共享和信息服务等事项,采取必要的管理手段和技术措施,强化监管统计资料安全管理。银行保险机构应加强监管统计资料的存储管理,建立全面、严密的管理流程和归档机制,保证监管统计资料的完整性、连续性、安全性和可追溯性。(来源:中国银保监会)
3、《上海市公共数据开放实施细则》发布
为贯彻落实《上海市数据条例》《上海市公共数据开放暂行办法》,促进公共数据更深层次、更高水平开放,支撑上海城市数字化转型,上海市经济和信息化委员会与上海市互联网信息办公室于2022年12月31日印发了《上海市公共数据开放实施细则》。《细则》总共七章三十九条,其中在第二章数据开放提到:市经济信息化部门应当结合本市经济社会发展的实际需要,制定公共数据开放年度计划,明确年度开放重点、重点项目建设、开放质量要求、产业生态培育等重点工作任务。在第五章数据利用中提到:本市鼓励对开放公共数据进行价值挖掘和开发利用,支持数据利用主体对开放数据进行实质性加工和创造性劳动后形成的数据产品依法进入流通交易市场,依法保护数据利用主体在数据开发中形成的相关财产权益。本市鼓励不同规模、不同行业和不同所有制企业参与公共数据开放利用,引育数据专精特新企业,发展技术先进、主体多元、创新活跃、生态完备的数据产业集群。本市探索开展公共数据授权运营,鼓励相关主体面向社会提供公共数据深度加工、模型训练、系统开发、数据交付、安全保障等市场化服务。公共数据授权运营具体按照本市有关规定执行。(来源:上海市经济和信息化委员会、上海市互联网信息办公室)
4、《数据安全和个人信息保护社会责任指南》发布
近日,CCIA数据安全委员会发布了《数据安全和个人信息保护社会责任指南》(编号为 T/CCIA 002-2022),自2023年2月1日起实施。《指南》提出,组织宜指定具体的高管担任实施数据安全和个人信息保护社会责任工作的负责人并明确其职责,如任命高管担任数据保护官(DPO)或首席隐私官(CPO)等职位。同时,组织宜为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算。(来源:CCIA数据安全工作委员会)
5、团体标准《数据安全合规评估方法》发布
1月20日,《数据安全合规评估方法》(以下简称《方法》)正式发布。 安全合规是数据开放共享的前提和基础,《方法》的实施,有利于规范数据安全合规评估工作,促进数据合规高效流通,推动数字经济赋能产业发展。《方法》在第七章数据出境安全合规相关内容提到:适用时,应对评估对象数据出境的情况进行评估,评估内容包括:a) 向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。b) 组织指定个人信息安全影响评估的责任部门或责任人员,自行开展或聘请外部独立第三方进行个人信息保护影响评估,个人信息保护影响评估报告和处理情况记录应当至少保存三年。c) 按照网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。合同中应当至少约定数据出境的目的及方式、境外数据保存情况、境外数据再转移、不可抗力以及其他违约或侵权事宜及其解决途径与方式。d) 评估对象的数据出境处理活动是否需向网信部门等管理机构申报数据出境安全评估,如需要申报,应开展数据出境风险自评估,并向网信部门申报数据出境安全评估。国家安全、公共利益等权益带来的风险,以及其他可能影响数据出境安全的事项。e) 未达到申报数据出境安全评估条件的,是否经专业认证机构进行个人信息保护认证。f) 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。g) 符合境外地区相关规定和要求的情况。h) 评估依据要求的禁止出境的情况。网信部门认定不得出境的数据,是否已停止数据出境,并采取有效措施对已出境数据的安全予以补救。i) 适用时,使用境外的服务供应商和第三方组件(SDK)可能引起的潜在数据传输链路的数据出境风险情况。j) 必要时,跨境传输相关的管理记录,包括传输发送方、接收方及所在区域、传输机制、信息类型、处理目的、合同条款、数据主体同意的相关记录(来源:数据安全与隐私计算微信公众号)
二、执法动态
1、公安机关2022年侦办“网络水军”相关案件550余起
据公安部网站消息,2022年,全国公安网安部门按照统一部署,紧紧依托“净网2022”专项行动,与有关主管部门密切协作配合,持续依法严厉打击整治“网络水军”违法犯罪活动,共侦办“网络水军”相关案件550余起,关闭“网络水军”账号530余万个,关停“网络水军”非法网站530余个,清理网上违法有害信息56.4万余条,取得明显阶段性成效,有效维护了网络空间秩序和群众合法权益。在公安机关依法严厉打击整治“网络水军”违法犯罪10起典型案例中,山东侦办某科技网站提供流量造假服务案。山东公安机关网安部门查明,某“网络水军”团伙开办专门网站,公开出售有偿代刷虚假点赞量、关注量、浏览量、粉丝量等服务。该团伙雇佣“刷手”并通过非法脚本程序,模拟真实用户进行批量操作,短时间内即可将短视频的“转评赞”数值推至数十万。目前,属地公安机关已摧毁该网站相关的流量造假产业链条,打掉相关“网络水军”团伙25个,捣毁作案窝点32个,查获制造虚假流量的网络平台68个,封停网络账号20余万个,扣押作案手机3000余部,涉案金额2000余万元,初步统计该团伙累计代刷虚假点赞量、关注量、浏览量、粉丝量等数百亿次。公安机关郑重提醒,“网络水军”活动涉嫌非法经营、寻衅滋事、敲诈勒索、强迫交易、诈骗等犯罪,雇佣、从事、参与“网络水军”违法犯罪活动的相关企业和人员,必将受到法律惩处。互联网平台要切实落实主体责任,电商、自媒体、文娱等领域要加强行业自律,共同抵制“网络水军”活动。受“网络水军”非法侵害的单位和个人要及时报案,公安机关将坚决依法查处。(来源:中国新闻网)
三、司法审判
1、罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案——指导性案例195号
【案号】(2021)湘0212刑初149号
【裁判要旨】服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。行为人将提供服务过程中获得的验证码及对应手机号码出售给他人,情节严重的,依照侵犯公民个人信息罪定罪处罚。
【基本案情】2019年12月,被告人罗文君了解到通过获取他人手机号和随机验证码用以注册新的淘宝、京东等APP账号(简称“拉新”)可以赚钱,其便与微信昵称“悠悠141319”(身份不明)、“A我已成年爱谁睡”(身份不明)、“捷京淘”(身份不明)、“胖娥”(身份不明)、“河北黑志伟80后的见证”(身份不明)等专门从事“拉新”的人联系。“悠悠141319”等人在知道罗文君手里有许多学员为电信员工,学员可以直接获取客户的手机号码和随机验证码等资源时,利用罗文君担任电信公司培训老师的便利,约定由罗文君建立、管理、维护微信群,并在群内公布“拉新”的规则、需求和具体价格;学员则根据要求,将非法获取的客户手机号码和随机验证码发送至群内;“悠悠141319”等人根据发送的手机号及验证码注册淘宝、京东APP等新账号。罗文君可对每条成功“拉新”的手机号码信息,获取0.2-2元/条报酬;而学员以每条1至13元不等的价格获取报酬,该报酬由罗文君分发或者直接由“悠悠141319”等人按照群内公布的价格发送给学员。2019年12月至2021年7月期间,被告人罗文君利用株洲联盛通信有限责任公司渌口手机店、中国移动营业厅销售员瞿小珍和谢青、黄英、贺长青(三人均已被行政处罚)等人的职务之便,非法获取并且贩卖被害人彭某某、谭某某等个人信息手机号码和随机验证码给“悠悠141319”等人。其中,被告人罗文君获利13000元,被告人瞿小珍获利9266.5元。
案发后,被告人瞿小珍已退缴违法所得9926.5元,罗文君已退缴违法所得13000元。被告人罗文君、瞿小珍均如实供述自己的犯罪事实并自愿认罪认罚。另查明,株洲市渌口区人民检察院于2021年7月22日公告了案件情况,公告期内未有法律规定机关和有关组织提起民事公益诉讼,即株洲市渌口区人民检察院系提起附带民事公益诉讼的适格主体
【裁判结果】湖南省株洲市渌口区人民法院于2021年11月30日以(2021)湘0212刑初149号刑事判决,认定被告人罗文君犯侵犯公民个人信息罪,判处有期徒刑八个月,并处罚金人民币二万元。被告人瞿小珍犯侵犯公民个人信息罪,判处有期徒刑六个月,并处罚金人民币一万五千元。作案工具OPPORENO手机1台、华为P30Pro手机1台,予以没收,依法处理。被告人罗文君的违法所得人民币13000元、瞿小珍违法所得人民币9266.5元,予以没收,上缴国库。
【裁判理由】法院生效裁判认为:被告人罗文君违反国家有关规定,设立出售、提供公民个人信息的通讯群组,情节严重,其行为同时构成非法利用信息网络罪和侵犯公民个人信息罪,依法应以侵犯公民个人信息罪定罪;被告人瞿小珍违反国家有关规定,在提供服务过程中将获得的公民个人信息出售给他人,情节严重,其行为已构成侵犯公民个人信息罪。公诉机关指控的犯罪事实和罪名成立,予以支持。
在共同犯罪中,被告人罗文君、瞿小珍所起作用相当,均应以主犯论。被告人瞿小珍在提供服务过程中将获得的公民个人信息出售给他人,应从重处罚;罗文君、瞿小珍到案后,如实交代全部犯罪事实,均系坦白,积极退缴全部赃款,且认罪认罚,可以从宽处理。公诉机关的量刑建议适当,予以采纳。罗文君辩护人提出手机号和验证码不属于个人信息,且“拉新”未造成具体损失的辩护意见。经查,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括电话号码等;验证码系专门发给特定手机号的独一无二的数字组合,且依规不能发送给他人,证明验证码系具有识别、验证个人身份的通信内容,即二者均为能识别自然人身份的个人信息;侵犯公民个人信息罪不以造成具体损失为构成要件,故该辩护意见不予采纳。罗文君辩护人提出罗文君没有自行提供手机号和验证码。经查,罗文君不仅纠集瞿小珍等人“拉新”,还专门设立了提供、出售公民个人信息违法犯罪的通讯群组,并因此获利,依法应当从重处罚,故该意见不予采纳。罗文君辩护人提出对罗文君适用缓刑的意见。经查,综合本案的犯罪情节、对于社会的危害程度及被告人的悔罪表现,对被告人罗文君不适用缓刑,故该意见不予采纳。但其提出罗文君其他可从轻处罚的辩护意见与事实相符,予以采纳。瞿小珍辩护人提出瞿小珍有立功情节。经查,瞿小珍提供了罗文君的住址及联系方式等基本信息,系其应当交代的、与本人犯罪事实有关联的事实,不构成立功,故该意见不予采纳。其提出的可从轻处罚的辩护意见与事实相符,予以采纳。被告人罗文君、瞿小珍侵犯公民个人信息,其在承担刑事责任的同时,还应承担相应的民事责任。鉴于二被告对侵权行为均无异议,且均表示愿意公开赔礼道歉,以及永久删除涉案个人信息,故对附带民事公益诉讼起诉人的诉请,予以支持。(来源:最高人民法院微信公众号)
四、新闻事件
1、国务院两部门:高效开展重要数据和个人信息出境安全评估
1月11日,国务院办公厅转发商务部、科技部《关于进一步鼓励外商投资设立研发中心的若干措施》。《若干措施》提出了支持开展科技创新、提高研发便利度、鼓励引进海外人才、提升知识产权保护水平4方面16条政策举措。《若干措施》在高效开展重要数据和个人信息出境安全评估方面提出以下内容:支持研发数据依法跨境流动。落实网络安全法、数据安全法、个人信息保护法等有关法律法规要求,加强数据跨境安全管理,保障国家安全和社会公众利益,保护个人信息权益。高效开展重要数据和个人信息出境安全评估,促进研发数据安全有序自由流动。(来源:中华人民共和国中央人民政府官方网站)
2、全国首个获批数据出境安全评估案例落地北京
自2022年9月1日《数据出境安全评估办法》实施以来,北京市互联网信息办公室率先开通全国首个地方申报受理咨询专线。截至目前,已解答咨询电话700余通,服务数据出境需求主体270余家,组织指导北京市社交媒体、医疗、金融、汽车、民航等重点领域16家单位递交正式申报,10家单位申报材料通过完备性查验,2家单位通过数据出境安全评估。其中首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例,该项目的审批通过,标志着国家数据出境安全评估制度在北京市率先落地,为强化医疗健康数据出境安全管理,促进国际医疗研究合作提供了实践指引。近日,北京市申报的中国国际航空股份有限公司项目作为全国第二例也成功获批通过,为北京市进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径,对提升北京市数据安全合规管理水平、优化营商环境具有重要意义。(来源:证券时报网)
3、中国信通院发布《数据要素流通视角下数据安全保障研究报告(2022年)》
2023年1月8日,“2023中国信通院ICT+深度观察报告会”数创未来成果发布会在线上举行。会上,中国信息通信研究院安全研究所发布《数据要素流通视角下数据安全保障研究报告(2022年)》。报告围绕数据要素流通视角下流通数据、流通活动、流通设施的安全需求,分析健全我国数据安全保障体系的推进思路,并从分类分级、流通环境、安全技术、协同共治等方面提出措施建议,为完善我国数据要素流通视角下数据安全保障提供有益参考与借鉴。(来源:中国信通院CAICT)
五、域外观察
1、苹果推进隐私保护:推出线下课程,中国用户可开启高级数据保护功能
1月28日是国际数据隐私日(也称“数据保护日”),苹果公司今日起开始在全球的官方零售门店推出“在iPhone上掌控你的隐私”课程。此外,在近日发布的iOS和iPad OS系统16.3正式版本更新上,去年底推出的“高级数据保护”功能扩展到了美国以外地区,中国用户也能使用了。据了解,“在iPhone上掌控你的隐私”课程将介绍邮件隐私保护、安全检查、定位服务、通行密钥和APP跟踪透明度等功能,课程内容在所有国家零售店都是一致的,时长约30分钟,用户可在官网注册和预约。该课程属于零售店“Today at Apple”线下课的一部分,Today at Apple一般有关于编程、摄影、音乐等相关内容,讲师会教授iPhone拍摄技巧、App如何使用等等。苹果在隐私方面进行的另一更新是,中国用户也可以开启高级数据保护功能了。这一功能于2022年12月推出,当时只有美国地区可用。开启高级数据保护后,用户iCloud云盘、照片、备忘录等苹果原生应用上的数据都将被端对端加密。端对端加密,指只有发送方和指定的接收方可以访问数据,连苹果的云服务器也无法访问。因此即使云端数据发生泄露,这些数据也无法被黑客看到。在默认状态下,用户的付款信息、“iCloud钥匙串”等14个数据类别就是端对端加密的,而高级数据保护开启后,端对端加密的数据类别将增加至23个。开启这项功能意味着用户要自行负责数据恢复。开启时,苹果会随机生成一段“恢复密钥”,用户需要将其记录下来(最好是手写的方式);或添加一位或以上的“恢复联系人”。在遗忘或丢失设备密码的时候,只有这两种方式能帮用户重设密码和恢复数据。打开方式上,用户可通过“设置—个人账户—iCloud—高级数据保护”中开启。需要注意的是,这需要用户所有的iCloud设备都更新至iOS 16.2、iPadOS 16.2和 macOS 13.1及以上。(来源:界面新闻)
2、脸书母公司再遭3.9亿欧元罚款
当地时间1月4日,爱尔兰数据隐私监管机构对社交媒体巨头、脸书的母公司元宇宙开出3.9亿欧元(约合人民币28.5亿元)的罚单,理由是该公司旗下的社交媒体软件在欧盟区域内违规向用户投放广告,元宇宙公司表示不同意这一裁决并计划提出上诉。爱尔兰数据保护委员会4日表示,元宇宙公司违规利用旗下社交媒体脸书以及其他产品的用户协议作为法律依据,从而根据用户的在线活动向用户投放行为定向广告。爱尔兰数据保护委员认为,元宇宙公司的这一做法违反了欧盟的用户隐私保护法,因此对该公司处以3.9亿欧元的罚款,并要求其在三个月内对用户数据的使用情况需符合欧盟相关的法律规定。据报道,元宇宙公司2018年曾对旗下社交媒体软件及服务的用户使用协议进行了更新,其中包括用户同意该公司通过用户数据进行广告投放的条款,元宇宙公司认为这些条款可以作为向用户投放广告的依据。元宇宙公司不认同爱尔兰数据保护委员会的这一处罚,并表示将提出上诉。这已不是元宇宙公司第一次遭到爱尔兰数据隐私监管机构的处罚。去年11月,由于旗下社交媒体脸书有超5亿用户数据遭到泄漏,元宇宙公司被爱尔兰数据保护委员会罚款2.65亿欧元。截至目前,爱尔兰数据保护委员会已累计对元宇宙公司开出了13亿欧元的罚单,同时还有针对该公司的其他11项调查正在进行中。(来源:央视新闻)
3、字节跳动遭遇“内审数据门”
据英国《金融时报》2022年12月23日报道,TikTok 承认跟踪《金融时报》记者调查泄密事件。其中国母公司字节跳动(ByteDance)表示,部分员工“不当”地通过访问 TikTok 用户数据来追踪记者,确定信息来源。路透社也于2022年12月23日报道,根据一封内部邮件显示,TikTok 承认他们曾使用自己的应用程序来监视记者,作为追踪记者消息来源的一部分。报道提到其中国母公司字节跳动表示,在美国和中国都有四名员工被解雇。
字节跳动的法律总顾问埃里希·安德森在发给员工的电子邮件中披露了由一家外部律师事务所进行的调查的结果。该公司表示,参与该计划的四名员工全部被解雇,更正了早些时候四人中有一人辞职的声明。其中两名员工在中国工作,两名在美国工作。字节跳动表示,已经重组了内部审计和风险团队,并取消了该部门获取美国数据的权限。字节跳动表示,被攻击的记者包括曾为BuzzFeed撰稿、现供职于《福布斯》的艾米丽·贝克-怀特,以及《金融时报》的克里斯蒂娜·克里德尔,不过该公司拒绝透露其他受影响的 TikTok 用户的身份。据《福布斯》报道,该杂志另外两名记者也成为了目标,他们也曾是BuzzFeed的记者。字节跳动表示,其调查并未得出上述记者受到影响的结论,但表示将重新检查原始数据,以确定这些指控是否属实。安德森和字节跳动首席执行官梁汝波分别在发给员工的电子邮件中披露了调查结果。目前,TikTok 在美国面临着前所未有的压力。(来源:数据保护官微信公众号)
4、TikTok在法国被罚500万欧元,涉Cookies追踪缺陷
当地时间2022年1月12日,法国国家信息自由委员会(CNIL,Commission Nationale Informatique & Libertés)宣布了一项针对TikTok的500万欧元(约合人民币3657万元)罚款,原因是TikTok在处理在线追踪的Cookies文件方面存在缺陷。据CNIL介绍,其于2020年5月至2022年6月间开展了一系列针对TikTok网站(tiktok.com)的调查,并认为Tik Tok(英国)与TikTok(爱尔兰)在Cookies追踪的用户同意设置方面违反了法国数据保护法令(French Data Protection Act)的第82条。具体来说,CNIL在一项于2021年六月开展的调查中发现,尽管TikTok提供了一键同意所有Cookies的选项,但并没有提供对等的拒绝方案,用户需要通过数次点击来拒绝所有的Cookies。The Restricted Committee(CNIL下设机构)认为,更复杂的拒绝机制使用户更倾向“接受所有Cookies”。直到2022年2月,TikTok开始提供“拒绝所有Cookies”选项,该问题才被解决。另外,无论在第一阶段的信息栏中还是后续的选择管理界面中,TikTok均未以清晰的方式告知用户各项Cookie的用处。由于相关问题已被纳入欧盟电子隐私条例(European Union’s ePrivacy Directive)框架,而非GDPR(General Data Protection Regulation,欧盟通用数据保护条例),且Cookies的使用在Tik TokSAS的活动框架下展开,CNIL作为法国监管机构有权核查与制裁TikTok(英国)与TikTok(爱尔兰)的数据侵权行为。目前,Tik Tok称已解决相关问题。相关发言人表示,cookies使用情况在去年已经改善,改善内容包括让用户更容易拒绝非必要的cookies,以及提供有关某些cookies用途的额外信息。(来源:数据保护官微信公众号)
5、奥地利全国公民个人信息全部泄露,涉事黑客还曾贩卖中国公民数据
2023年1月29日消息,2022年11月底,荷兰阿姆斯特丹警方逮捕了一名25岁男子,此人来自荷兰阿尔梅勒,涉嫌窃取或交易了全球数千万民众的个人数据。2020年5月,奥地利联邦刑事调查局发现,该男子在网络犯罪论坛上发布数据集,随后对其活动展开了调查。此人发布的数据集中,包含一个来自Geburen Info Service GmbH公司(简称GIS)的数百万条地址与个人信息数据集,总计近900万条数据,具体涉及用户的全名、性别、完整地址、出生日期等。奥地利总人口约910万。GIS是一家负责为奥地利国内电视、收音机等广电接收设备建立归档、记录民众收看收听费用的公司。奥地利联邦刑事调查局购买了该数据集,确认数据真实,随后调查了资金流向和用于宣传被盗数据的论坛。警方成功追踪到数据集卖家所使用的IP地址,并将此人与阿姆斯特丹的某处住宅地址关联了起来。2022年5月,阿姆斯特丹公共检察署要求当地检察署接管对嫌疑人的刑事起诉。阿姆斯特丹警方根据奥地利警方提供的数据自行展开调查,并确定嫌疑人曾长期交易个人及医疗数据。“2022年12月5日,阿姆斯特丹地区法院议事厅将审前拘留时间延长了90天。”新闻稿称,“目前,金融与数字方面的调查正在全力推进。”(来源:安全内参编译)