数字安全合规法律专刊2022年9月刊
——惟胜道数字安全研究小组
引 言
在数字经济高速发展的今天,数据安全及合规是企业面临的首要问题。企业如果不能保证基本的数据安全性、数据处理活动的合规性,将会面临数据泄露、数据丢失等多发安全事件,数据资源的开发利用亦将因缺乏数据资产的合规审查而存在安全隐患。
在此趋势下,贵州惟胜道律师事务所将协助企业保障数据在运转周期的处理活动中得到安全有序、合法合规的开发利用,并将此作为工作的核心。
因此,本月刊将聚焦网络安全与数据保护,为您呈现前沿动态、新规速递、热点案例等内容,帮助读者掌握最新前沿动态,共同了解数字安全发展新趋势。希望对读者深入认知、理解和运用相关政策有所帮助。
一、立法动态
1.网信办丨就《网信部门行政执法程序规定》征求意见
国家互联网信息办公室9月8日发布关于《网信部门行政执法程序规定(征求意见稿)》(以下简称《征求意见稿》)公开征求意见的通知,《征求意见稿》提出,网信部门建立行政执法监督制度,上级网信部门对下级网信部门实施的行政执法进行监督。
据悉,为规范和保障网信部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,国家网信办对《互联网信息内容管理行政执法程序规定》进行修订,形成了《网信部门行政执法程序规定(征求意见稿)》,意见反馈截止日期为2022年10月8日。
2.市监总局丨修订印发《药品网络销售监督管理办法》
近日,市场监管总局发布第58号总局令,正式公布《药品网络销售监督管理办法》(以下简称《办法》),自2022年12月1日起施行。
药品安全责任重大,事关人民群众生命健康,党中央、国务院高度重视。为贯彻党中央、国务院关于药品监管“四个最严”要求及一系列决策部署,细化、具化药品管理法关于药品网络销售的规定,统筹群众购药便利性和药品安全监管,切实保障公众用药安全和合法权益,市场监管总局、国家药监局在深入研究、充分论证的基础上,制定了《办法》。
《办法》共6章42条,对药品网络销售管理、平台责任履行、监督检查措施及法律责任作出了规定,主要包括4方面的内容:
一是落实药品经营企业主体责任。二是压实药品网络销售平台责任。三是明确处方药网络销售管理。四是落实“四个最严”要求,强化各级监管部门的监管措施。
3.网信办|发布《数字乡村标准体系建设指南》
日前,中央网信办等四部门印发了《数字乡村标准体系建设指南》(以下简称《指南》),提出了数字乡村标准体系框架,明确了“十四五”时期数字乡村标准化建设目标、建设内容和建设路径,为标准化建设引领数字乡村高质量发展、助力乡村全面振兴提供了保障。
《指南》明确,到2025年,初步建成数字乡村标准体系。重点领域标准制修订工作步伐加快,基本满足数字乡村建设需求,国家标准、行业标准应用多点突破,地方标准、团体标准研究同步实施,打造一批标准应用试点,形成标准支撑和引领数字乡村发展的良好局面。
4.国家卫健委|发布《关于印发医疗卫生机构网络安全管理办法的通知》
突如其来的新冠疫情加速了医疗产业的数字化进程,信息化发挥着关键的支撑作用。在此过程中医疗信息系统承载的数据价值巨大,其不仅是重要的生产要素,更是国家基础性战略资源,因此,网络安全、数据安全的重要性日益凸显。
近日,国家卫健委规划发展与信息化司发布了《关于印发医疗卫生机构网络安全管理办法的通知》(国卫规划发〔2022〕29号)(以下简称《办法》)旨在进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展进程。
5.中国网安委丨《数据安全和个人信息保护社会责任指南》公开征求意见
9月8日,中国网络安全产业联盟CCIA数据安全委员会组织委员单位编制发布联盟技术文件《数据安全和个人信息保护社会责任指南》(征求意见稿),公开向社会征求意见。以“5大主题”和“24个议题”为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。
二、行业动态
1.工信部印发《5G全连接工厂建设指南》 将打造100个5G标杆工厂
关键词:5G全连接工厂
近日,工业和信息化部办公厅发布关于印发5G全连接工厂建设指南的通知。其中提出,“十四五”时期,主要面向包括建材行业、装备制造行业、采矿行业在内的重点行业领域,推动万家企业开展5G全连接工厂建设,建成1000个分类分级、特色鲜明的工厂,打造100个标杆工厂,推动5G融合应用纵深发展。
针对建材领域,指南提出, 要重点针对行业提高生产效率、实现无人化作业、提升安全管理水平、节能降碳、数字化转型等需求,促进生产单元模拟、生产现场监测、机器视觉质检、设备预测维护、生产能效管控等典型场景普及应用。
依托中国5G+工业互联网大会、工业互联网大会等重点产业活动,大力宣传5G全连接工厂典型成果。推动各地方召开现场会,加强5G全连接工厂建设经验交流和典型成果推广。基于已公示的5G全连接工厂标杆,分行业、多频次组织开展实地培训与经验交流,积极促进典型成果在各地区各行业的推广应用。
2.工信部:赋能中小企业数字化
关键词:中小企业 数字化
工业和信息化部于8月30日举行新闻发布会,介绍党的十八大以来,帮扶中小微企业等相关情况。工业和信息化部相关负责人在发布会上介绍,将构建中小企业数字化政策体系、支持体系、赋能体系,全面推进中小企业数字化转型加速、扩面、提质、增效。
工业和信息化部表示,将通过支持细分行业的数字化服务商,探索形成一批适合中小企业数字化转型的小型化、轻量化的解决方案,培育4000—6000家数字化转型的样板企业,构建中小企业数字化政策体系。
3.四川:加快新型数字基础设施建设 扩大升级信息消费
关键词:四川 数字基础设施
为深入落实国家和四川关于扎实稳住经济增长的系列部署,充分发挥新一代信息技术的创新引领作用,协同推进新型数字基建和新型信息消费,持续增强经济发展新的支撑力和新动能,四川省经济和信息化厅组织编制了《四川省关于加快新型数字基础设施建设扩大升级信息消费的若干政策措施(征求意见稿)》(下简称《征求意见稿》)并公开征求社会各界意见。
《征求意见稿》提出,四川拟将加快新型数字基础设施建设,进一步释放信息消费内需潜力,并深入推进产业数字化转型。
5G基站执行峰谷电价,优化新一代存算设施布局。在加快新型数字基础设施建设方面,《征求意见稿》提到要推进5G网络覆盖和规模化应用,持续开展千兆光网。其中提到,建设包括对符合条件的5G基站实施电力直接供电,制定执行5G基站峰谷电价政策,全面清理规范转供电环节加价行为,降低建设单位用电成本。
此外,四川拟优化新一代存算设施布局,加快建设全国一体化算力网络成渝国家枢纽节点,打造天府数据中心集群,并推动CPU、GPU等异构算力提升,逐步提高自主研发算力的部署比例,支持各企业灵活部署边缘数据中心,积极构建全省重点城市内的边缘算力供给体系。
同时,四川还拟将加强车联网基础设施建设,重点支持一批传感器、车载终端、操作系统、控制芯片等产品开发和应用,并推动智能充电桩设备规模化部署,开发并优化车联网服务平台及APP,积极创建四川(成都)国家级车联网先导区。
4.北京通州推动元宇宙创新成果落地副中心 注重知识产权保护
关键词:元宇宙
为系统推进元宇宙相关产业在城市副中心落地发展,打造数字特征鲜明的城市科技创新高地,通州区为抢抓数字经济和元宇宙发展新机遇,助力北京建设数字经济标杆城市,近日印发了《北京城市副中心元宇宙创新发展行动计划(2022-2024年)》(以下简称《行动计划》)。
《行动计划》以数字内容开发应用为重点目标,统筹北京国际科技创新中心建设和北京建设全球数字经济标杆城市建设在城市副中心落地的有关任务,聚焦“元宇宙+文旅”、“元宇宙+商业”、“元宇宙+城市服务”三个特色方向的融合应用创新,重点实施四项行动:技术资源导入为基础的强基赋能行动、数字内容集聚为重点的融合建链行动、应用场景示范为牵引的标杆牵引行动和产业生态打造为支撑的筑巢引凤行动。
《行动计划》指出,北京城市副中心将依托北京科创优势,集聚创新主体资源;对接国家和市级相关产业行动计划,鼓励龙头企业牵头产学研用,组织关键技术攻关;加大技术、软件工具资源引进,支持校企联合建立实验室,“云上”和“线下”相结合,搭建创新赋能平台;完善新型算力基础设施布局,建设高性能通信网络,深化区块链合作协同,夯实数字基础设施。
根据《行动计划》,副中心将聚焦培育元宇宙细分产业链,打造数字设计、数字人、混合现实、数字艺术4大产业链条;引入云上内容创作生产线企业,促进内容创作数实共生,打造数字内容创作生态圈;探索数字资产权益全生命周期管理,跟踪NFT(非同质化通证)技术前沿动态,大力发展数字资产交易服务;加快安全芯片、零信任网络、可信计算等技术的研发和产业化,持续强化区块链技术攻关与应用,打造数字信任的安全保障体系。
《行动计划》提出,未来三年,副中心将依托文化旅游区、张家湾设计小镇、台湖演艺小镇等重点区域,加强文化IP资源创造性转化和创新性开发,打造元宇宙主题乐园,建设“元宇宙+文旅”场景。开展全域高精度三维城市建模,适度超前布局数字原生智能基础设施,推动智慧办公在城市副中心应用,建设“元宇宙+城市”场景。此外,北京城市副中心将推广数字云MALL、云XR娱乐空间、商业大数据等5G特色应用,探索发展虚拟品牌代言和虚拟直播经济,开展首店、新品的虚拟发布活动,推动虚拟现实与艺术消费的融合发展,建设“元宇宙+消费”场景。支持元宇宙相关技术企业与教育机构深度合作,拓展智能化、交互式在线教育模式,推动“智能学校”等智慧教育试点示范建设,开展基于线上智能环境的课堂教学试点,建设“元宇宙+教育”场景。
5.北京首个数字人民币财政惠企资金支付成功
关键词:数字人民币
中国工商银行北京市分行日前成功通过数字人民币完成了北京市首笔数字人民币惠企资金支付,标志着北京首个线上数字人民币财政补贴代发业务场景顺利落地,数字人民币试点应用领域进一步扩大。
本次工商银行与北京石景山区合作的财政代发场景,聚焦石景山区“专精特新”企业支持政策,围绕石景山区经济和信息化局企业特专高新数字人民币补贴需求,打通财政零余额账户到企业数字人民币钱包业务路径,构建了财政一体化系统线上自动化发放对公补贴业务模式。在此模式中,财政部门通过线上财政预算一体化系统使用数字人民币向对公企业发放补贴时,资金通过零余额账户转至收款方,系统能够自动识别收款方是银行账户还是数字人民币钱包,进一步优化了财政代发模式,为预算单位的财政代发提供了便利性。
数字人民币业务试点以来,工商银行积极围绕政府间财政资金划拨、政府对企业及个人财政补贴等场景,利用数字人民币具有账户松耦合、可控匿名、可编程等特性,实现政府补贴阳光透明、资金到账全流程可跟踪、可追溯。目前工商银行数字人民币业务已陆续在代理财政支付、税收、非税、地方政务平台等G端应用场景落地,融合了数字人民币的政务系统在安全性、稳定性及易用性上得到有效提升,帮助政府创造更加便利、廉洁、高效的政务环境,构建金融有效支持实体经济的体制机制。下一阶段,工商银行北京市分行将进一步深化打造多元化数字人民币场景建设,以金融科技赋能数字化首都建设。
6.国务院:支持山东深化新旧动能转换 推动绿色低碳高质量发展
关键词:山东 制造业转型 绿色低碳
近日,国务院印发《关于支持山东深化新旧动能转换推动绿色低碳高质量发展的意见》(以下简称《意见》),支持山东在深化新旧动能转换基础上,着力探索转型发展之路,进一步增强区域发展活力动力,加快推动绿色低碳高质量发展。
《意见》明确,到2027年,山东深化新旧动能转换建设绿色低碳高质量发展先行区实现重大突破,形成一批可复制可推广的成功经验。产业数字化转型全面推进,新技术、新产业、新业态、新模式成为经济发展的主要驱动力。能源结构、产业结构显著优化,增量能源消费主要依靠非化石能源提供,重点行业和企业能效水平全国领先。水资源节约集约利用水平大幅提升,主要污染物排放总量持续下降,城乡人居环境和居民生活品质显著改善。重点领域改革取得重大突破,简政放权、放管结合、优化服务改革取得实质性进展,营商环境达到全国一流水平。到2035年,山东成功跨越转变经济发展方式、优化经济结构、转换增长动力的常规性长期性关口,努力建成现代化经济体系,碳排放达峰后稳中有降,发展动能持续转换升级和绿色低碳发展的体制机制基本成熟定型,建成新时代社会主义现代化强省。
7.生态环境部拟规范生态保护红线监管数据互联互通技术
关键词:生态保护红线 数据
日前,生态环境部发布《生态保护红线监管数据互联互通接口技术规范(征求意见稿)》(下称《征求意见稿》),现公开征求意见,征求截止于10月8日。
《征求意见稿》规定了生态保护红线监管数据互联互通的总体框架、接口调用流程、开发要求以及软硬件环境等。其适用于规范和指导国家和省级生态环境部门之间生态保护红线监管数据互联互通的应用程序接口设计、功能研发以及运行管理,市、县级可参照执行。《征求意见稿》在总体框架部分,明确了接口访问机制、接口功能、接口类型、数据格式要求等。其中,国家节点和地方节点互联互通数据内容以《生态保护红线监管指标体系(试行)》为基础,包括红线面积、红线性质、红线功能、红线管理以及其他数据。根据不同的数据类型和格式选择不同的接口方式。
三、案件聚焦
1.案例丨买卖微信账号侵犯公民个人信息 合同无效且违法
【案情简介】
程某是一名网红医美顾问,为了更好地发展粉丝,他以自己和他人的名义注册了多个微信账号,每个账号都吸纳了大量的微信好友。赵某恰巧经营的是医疗美容项目,正是需要客户资源的时候,于是他找到了程某,双方很快达成共识:程某将手头积累的众多粉丝好友的微信账号转让给赵某,赵某获得这些微信账号并进行实名变更后将伺机与这些潜在的客户进行商业推广或商业活动。
于是,双方便在2019年9月,签订《转让协议》一份,约定“程某将其拥有的微信号的使用权、所有权转让给赵某,赵某受让并支付相应的费用。转让价格为50万元。程某收到赵某全部转让款后现场配合赵某完成微信号的密码、绑定手机号信息变更和解除微信号实名认证工作,即视为完成微信号虚拟财产的交付。约定的付款方式为:协议当日付款30万元,2020年3月22日支付10万元,2020年9月22日支付10万元。自2019年9月22日起按未支付款项的年利率6%支付利息。微信号完成交付转让后使用权和所有权给赵某所有,后期微信号后续责任和义务与程某无任何关联。赵某承担受转让微信号后续经营的所有风险和义务。由于转让微信号为虚拟财产,完成转让交付后双方都不得以任何理由反悔交易。如出现已转让微信号内客户与程某有业务冲突,则冲突客户归赵某所有。所转让微信号程某不得找回,如出现问题程某需积极配合赵某。”
协议签订当日,赵某即支付程某30万元,程某将所约定的微信账号交付赵某,并完成微信账号的密码、绑定手机号信息的变更。
然而,2019年9月22日支付首期款项后,本该在2020年3月22日支付10万元的赵某却没有继续支付,程某多次催收没有结果,于是在2020年7月将赵某诉至法院,要求赵某支付20万元尾款及逾期付款利息。
【法院观点】
江阴法院经审理认为,微信账号是以电子数据方式记录能够单独或者与其他信息结合识别特定自然人个人身份的个人信息的有机载体,其承载了使用者个人特有的可识别信息和微信好友的大量个人信息,买卖微信账号构成了买卖他人个人信息。
我国民法典施行以后,在原有相关法律规定的基础上,进一步对有关个人信息保护作了更为系统、全面的规定。其中,民法典第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。第一千零三十八条第一款规定,未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
因此,本案适用民法典的规定更有利于保护民事主体合法权益,更有利于维护社会和经济秩序。据此,可以判定程某与赵某之间的微信账号买卖合同应属无效。而无效的民事法律行为自始就没有法律约束力,故程某请求赵某支付微信账号转让款并承担违约责任,是没有法律依据的,法院依法不予支持。最终,江阴法院判决驳回程某的全部诉讼请求,并将相关线索移送公安机关侦查。
2.案例丨“刷流量”遭判赔百万 法院保护快手平台数据利益
【案情简介】
近日,重庆两江新区人民法院一审依法审结一起不正当竞争纠纷案,判令重庆某公司立即停止经营针对快手App平台的某智能云控系统并赔偿经济损失100万元——北京快手科技有限公司经营的快手App系提供短视频记录、分享的社交平台。2021年,快手公司发现重庆某公司通过其某智能云控系统进行虚增作弊账号活跃度、为指定账号提供作弊刷量服务,并在提供转发视频作品服务时,对指定视频自动下载后重新发布时不再显示原发布者信息,并去掉所有水印的行为,涉嫌不正当竞争,遂诉至法院。
【审理查明】
法院审理后认为,快手公司依托于快手平台上的数据所获取的商业利益依法受到保护。重庆某公司通过其某智能云控系统实施的上述被诉行为违反了反不正当竞争法的规定,构成不正当竞争。虚假刷量、虚增作弊账号活跃度等不正当手段,损害了互联网平台公司的合法利益和平台其他用户的利益。为规制互联网领域利用技术手段进行的不正当竞争行为,2017年反不正当竞争法修订时在第十二条的互联网专条中规定了兜底条款。
司法实践中,适用上述兜底条款须满足三个条件:一是经营者利用技术手段实施不正当竞争行为。本案中,重庆某公司提供的养号功能及转发视频服务,均依托于其某智能云控系统的批量化、自动化操作技术,并利用技术手段去除视频的原作者信息。二是不正当竞争行为导致其他经营者合法提供的网络产品或服务无法正常运行。涉案某智能云控系统提供的养号功能,影响了其他快手用户的使用体验。同时,其去除水印的行为,影响了快手公司为用户提供的具有署名意义的水印自动化服务,妨碍了快手平台的正常运行。三是不正当竞争行为有悖诚实信用原则和商业道德。使用者通过涉案某智能云控系统,侵害了他人的视频作品权益和快手App平台经营者的利益,违反诚实信用原则和商业道德,且不存在有利于提升消费者利益或社会公共利益的正当理由。据此,法院依法作出上述判决。
3.案例 | 杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案
【案情简介】
公益诉讼起诉人在办理徐某某猥亵儿童刑事案件时发现,某科技公司运营的某短视频App存在侵害众多不特定儿童个人信息的侵权行为,具体包括:
1.未以显著、清晰的方式告知并征得儿童监护人有效明示同意的情况下,允许注册儿童账户,并收集、存储儿童网络账号、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息;
2.在未再次征得儿童监护人有效明示同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频;3.某短视频App未对儿童用户采取区分管理措施,默认用户点击“关注”后即可与儿童账户私信联系,并能获取其地理位置、面部特征等个人信息。公益诉讼起诉人认为,某科技公司前述行为侵害了社会公共利益,遂提起民事公益诉讼。
【法院判决】
杭州互联网法院于2021年3月11日作出(2020)浙0192民初10993号民事调解书:
1.被告某科技公司停止对儿童个人信息的侵权行为,按照《中华人民共和国民法典》、《中华人民共和国未成年人保护法》(2021年6月1日施行)、《中华人民共和国网络安全法》、《儿童个人信息网络保护规定》等法律法规对儿童个人信息保护的要求,对某短视频APP网络平台进行整改。针对案涉问题,被告某科技公司承诺,按双方确认的合规整改方案、时间推进表(具体内容以附件为准),落实、执行;
2.被告某科技公司完成整改后,应对整改完成情况及效果进行评估,并向公益诉讼起诉人、人民法院出具详细的整改完成情况报告书;
3.被告某科技公司应根据相关监管法规要求,将整改措施方案及整改完成情况报告书报送网信部门,自觉接受合规审查;
4.被告某科技公司就涉案侵权行为,在《法治日报》及某短视频App官方帐号首页显著位置公开赔礼道歉;
5.被告某公司承诺在今后的运营过程中严格遵守儿童个人信息保护的法律、法规,并自觉接受网信等行政监管部门的监督检查;
6.被告某公司于调解协议生效后七个工作日内,赔偿因侵权行为造成的社会公共利益损失人民币150万元,款项交相关儿童公益保护组织,专门用于儿童个人信息安全保护等公益事项。
【裁判要旨】
1. 面向儿童用户提供网络服务的互联网平台(信息处理者)在缺乏单独《儿童个人信息/隐私保护政策》和《儿童个人用户协议》,未采取合理措施通知监护人并征得监护人有效明示同意的情况下,处理儿童用户地理定位、联系方式、面部、肢体、声音等个人信息的,应认定为违法处理用户个人信息。
2. 儿童个人信息属敏感个人信息,信息处理者未对儿童个人信息建立专门保护池,采取加密存储措施,应认定为违规存储儿童个人信息。
3. 信息处理者在未获得儿童监护人单独授权同意的情况下,基于算法的自动化决策将含有儿童用户个人信息的短视频向其他用户进行推送,应认定为违法处理儿童个人信息。
4. 信息处理者对儿童用户进行画像,未获监护人同意默认开启个性化推荐,运用算法进行内容推送,应认定为违法处理儿童个人信息。
5. 信息处理者在征得监护人同意前,对儿童用户未强制开启陌生人关注限制功能、未强制隐藏儿童用户位置、未强制开启儿童用户私信限制、未强制关闭儿童用户通讯录推荐、未强制关闭通过手机号搜索儿童用户功能、未强制关闭儿童“熟人圈”功能、未强制关闭儿童动态展示功能、未强制关闭推荐儿童给可能感兴趣的人、未强制开启儿童作品在同城不显示等功能,应认定为未履行对儿童用户的隐私安全保护义务。
6. 信息处理者侵害平台内不特定儿童用户个人信息权益,应认定为侵害社会不特定未成年人群体的社会公共利益。
4.案例丨王某诉某银行股份有限公司个人信息保护纠纷案
【案情简介】
2021年4月26日,原告王某发现其个人征信报告中有若干比由被告某银行的放款记录,其中2021年1月13日放款45万元。原告主张其对该放款不知情也未与该银行签订过借款合同。被告某银行单方面制作虚假电子借款合同、征信查询授权书等,并未经原告同意单方面查询原告征信,上传原告不良征信,私自收集原告人脸、声音信息等侵犯原告个人信息。被告某银行认为双方存在合法有效的金融借款合同关系。为了放款需要,被告在征得原告同意后查询了原告的征信,并根据规定向征信系统报送了原告贷款情况,不存在侵权行为。原告贷款逾期造成自身不良征信记录,应自行承担责任。
【审理查明】
杭州互联网法院经审理认为,原告通过在线系统与被告签订涉案金融借款合同。根据放贷前原告与客服的面谈双录视频显示,原告对涉案45万元借款的放款银行等信息系明知,原告主张未签订涉案合同的意见法院不予采信。在涉案合同签订过程中,被告银行根据放款审批需要,在原告自行签署授权书授权被告查询的情况下查询原告的个人征信情况,并通过在线双录视频的方式核实原告的行为能力、贷款意愿真实性等内容,符合合法、正当、必要原则,属于合理使用。原告逾期还款后,被告向中国人民银行个人信用信息基础数据库报送其逾期情况符合金融机构管理要求,亦有原告书面授权,并有相应规范依据,不存在侵权行为。遂判决驳回原告诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。
5.案例丨窃取游戏账号转卖牟利 上海警方侦破一起非法获取信息系统数据案
【案情简介】
2022年7月,上海某网络科技有限公司向上海市公安局闵行分局报案,称该公司运营的“幻想X”游戏中有大量玩家反映账号被盗。
闵行警方迅速展开调查,经大量数据分析发现,犯罪嫌疑人使用专业工具以“暴力破解”方式破解验证程序,进而篡改登录密码后将相关游戏账号盗取,被盗的游戏账号多达174个。经进一步调查,警方锁定许某某和叶某某有重大作案嫌疑。许某某和叶某某是通过这款游戏认识的网友,叶某某因在该游戏中发表违禁言论被封禁,怀恨在心产生报复情绪,利用游戏漏洞“暴力破解”,非法获取玩家账号密码,后通过许某某在网上公开销售,共非法获利2万余元。8月12日、17日,闵行警方分赴南京、重庆抓获犯罪嫌疑人许某某、叶某某。目前,两名犯罪嫌疑人因涉嫌非法获取信息系统数据罪被警方依法采取刑事强制措施。
【警方认定】
本案中,上海某网络科技有限公司未采取必要的安全技术保护措施导致“幻想X”游戏存在漏洞,被犯罪嫌疑人利用并盗取大量玩家账号。对此,闵行警方对该企业开展“一案双查”,对其不履行网络安全管理义务的行为开具整改通知书,责令限期整改,同时强化对该公司防范计算机病毒和网络攻击的指导和服务。
【典型意义】
网络游戏犯罪隐蔽性强、迷惑性高、危害性大,不法分子作案手法多、翻新快。从侦破的案件看,主要类型有:
一是侵犯知识产权。一些游戏公司内部员工通过盗取游戏代码,制作山寨游戏谋取暴利。
二是非法获取计算机信息系统数据。一些不法分子利用游戏漏洞盗取游戏玩家账号密码并贩卖牟利。
三是引流诈骗和引流赌博等。一些不法分子通过游戏平台投放违法广告,或引流至赌博平台,或引流至诈骗网站,还有的以低价售卖游戏装备为诱饵骗取钱财。
尤其针对一些网络游戏中存在违法有害信息,可能影响青少年身心健康发展的情况,上海警方集中开展了专项打击整治,坚决打击各种侵害未成年人权益、影响青少年身心健康的涉网络游戏类违法犯罪,累计破获案件17起,抓获犯罪嫌疑人138名。同时,全面排摸青少年使用频繁、容易滋生违法犯罪的网络游戏平台,累计排摸检查网络游戏平台890家次,对于含有违法有害信息的52款游戏责令限期整改。
针对部分具有“房卡模式”的棋牌类游戏容易被利用进行赌博等违法犯罪行为的情况,上海警方要求平台对玩家注册账号实行严格的实名认证要素核验和管理,累计排摸150款棋牌类网络游戏,重点约谈19家企业。其中,有6家企业共26款棋牌游戏主动取消“房卡模式”,有 11款棋牌游戏下架,其余全面落实实名制规定。
6.案例丨电子公交卡场景下的个人信息权益保护与利用——黄某某诉某信用管理有限公司个人信息保护纠纷案
【案情简介】
2021年3月15日,黄某某发现其某信用账户未经其允许被擅自开通,询问某信用管理有限公司(以下简称某信用公司)客服得知系其于2021年3月7日开通了重庆公共交通乘车码时自动开通某信用账户所致。
其中通过某应用开通重庆公共交通乘车码时需点击“同意协议并开通”,下方会有蓝色字体载明“查看《某应用重庆公共交通付款服务协议》与《某服务协议》《用户授权协议》,授权重庆公共交通乘车码获取你的姓名、手机号、身份证用于实名领卡”。
黄某某当即要求某信用公司客服关闭其某信用账户及删除账户内个人信息。2021年3月25日,黄某某在某应用开通清远电子公交卡时,需点击“同意协议并开通”,下方会有蓝色字体载明“查看《乘车码服务协议》《用户授权协议》,授权清远市民卡有限公司获取你的姓名、手机号、身份证用于实名领卡”。
黄某某未点击阅读前述协议即开通清远电子公交卡,后某信用公司将黄某某某信用账户被开通的信息通过某应用推送。
【法院审理】
《中华人民共和国民法典》第一千零三十五条规定,处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。具体到本案:首先,开通某信用服务的行为符合正当原则。黄某某如需使用上述两地电子公交卡,均需要查阅协议后,方可申领。在此过程中,相关协议均已在显著位置,通过有别于页面其他黑色字体的方式,提醒用户注意查阅。因此,黄某某以某信用公司存在误导其开通某信用服务,依据不足。其次,开通某信用服务的行为符合必要原则。
本案中,公交服务公司与某网络平台通过合作,在原有乘车码的基础上,提供先享后付功能,会极大地改善机器故障、网络信号迟缓、账户资金不足等诸多弊端。而先享后付功能的提供,需要一些必要的基础条件支撑,其中最主要的即需要考虑如何减轻第三方公司垫资的损失,即如何督促未支付车费的用户还款以及避免该部分用户因后续乘车可能带来的资损。
因此,公交服务公司与某网络平台通过与某信用公司三方合作,解决先享后付功能的弊端。某信用服务在先享后付功能中提供的主要作用有三:一是某信用公司以其运营的某信用服务评价体系向公交服务公司、某网络平台提供用户的信用和风险状况,二是公交服务公司、某网络平台向某信用公司同步推送用户乘车订单信息及付款状态,进一步积累订单信息,分析用户履约能力;三是公交服务公司、某网络平台通过某信用服务向未履约用户推送还款信息。某信用服务以最小的代价即对用户进行事先信誉评估的方式,弥补了先享后付功能的短板。故某信用服务在先享后付功能下具有充分必要性,为信息处理者履行合同所必需。再次,开通某信用服务的行为符合合法原则。
某信用服务系作为电子公交卡付款码服务和先享后付服务的基础条件,此点通过《清远电子公交卡服务协议》约定的,用户理解并接受,电子公交卡申领需要同时符合《某应用公交付款服务协议》《某服务协议》中的相关条件即可印证。无论是公交服务公司、某网络平台以及某信用公司均充分给予了用户相应的自主选择服务的权利。黄某某认为其不需要使用某信用服务,完全可以不使用该服务,但如果不符合《某服务协议》中的相关条件,则黄某某亦会被公交服务公司拒绝提供电子公交卡服务。故某信用公司征得黄某某同意开通某信用服务并无强迫之意,已充分保障用户的自主决定权,未违反相关法律规定。综上,法院判决驳回原告黄某某的全部诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。
【典型意义】
开通案涉信用服务已尽到提醒注意义务,并取得黄某某同意,符合正当原则。该信用服务以最小的代价即对用户进行事先信誉评估的方式,弥补了先享后付功能的短板,为信息处理者履行合同所必需,符合必要原则。案涉信用服务充分保障用户的自主决定权,未违反相关法律规定,符合合法原则。
四、专业问答
8月30日,最高人民法院、最高人民检察院、公安部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》(法发〔2022〕23号,以下简称《意见》)。为便于司法实践准确理解与适用,最高人民法院研究室、最高人民检察院第四检察厅、公安部十一局有关负责人接受了采访
1、司法实践中,对信息网络犯罪案件,常常会出现管辖争议。请问《意见》对信息网络犯罪案件的管辖有何规范?
信息网络犯罪具有匿名性、远程性、链条性、涉众性等特点,案件管辖问题较传统犯罪更为复杂。《意见》根据刑事诉讼法以及有关规定,立足当前信息网络犯罪的执法司法实践,进一步明确了管辖规则。
一是对信息网络犯罪案件的犯罪地作了明确。针对信息网络犯罪往往是远程匿名实施的特点,为方便被害人报案,《意见》依法确定多个管辖连接点,规定信息网络犯罪案件的犯罪地包括用于实施犯罪行为的网络服务使用的服务器所在地,网络服务提供者所在地,被侵害的信息网络系统及其管理者所在地,犯罪过程中犯罪嫌疑人、被害人或者其他涉案人员使用的信息网络系统所在地,被害人被侵害时所在地以及被害人财产遭受损失地等。涉及多个环节的信息网络犯罪案件,犯罪嫌疑人为信息网络犯罪提供帮助的,其犯罪地、居住地或者被帮助对象的犯罪地公安机关可以立案侦查。
二是对信息网络犯罪案件的并案规则作了明确。《意见》规定,具有下列情形之一的,公安机关、人民检察院、人民法院可以在其职责范围内并案处理:(1)一人犯数罪的;(2)共同犯罪的;(3)共同犯罪的犯罪嫌疑人、被告人还实施其他犯罪的;(4)多个犯罪嫌疑人、被告人实施的犯罪行为存在关联,并案处理有利于查明全部案件事实的。
三是对信息网络犯罪案件的分案规则作了明确。《意见》规定,并案侦查的共同犯罪或者关联犯罪案件,犯罪嫌疑人人数众多、案情复杂的,公安机关可以分案移送审查起诉。分案移送审查起诉的,应当对并案侦查的依据、分案移送审查起诉的理由作出说明。对于相关案件未作分案处理的,人民检察院可以分案提起公诉,人民法院可以分案审理。公检法机关在分案前有管辖权的,分案后对相关案件的管辖权不受影响。上述分案处理,应当以有利于保障诉讼质量和效率为前提,并不得影响当事人质证权等诉讼权利的行使。
2、信息网络犯罪往往跨地域实施,跨地域取证具有一定普遍性,而相关取证工作需要更多借助信息技术手段。请介绍一下《意见》对跨地域取证有何规定。
信息网络犯罪相关银行账户、网络数据往往遍布各地,采用传统取证方式,耗时费力。为此,《意见》立足实践情况,对信息网络犯罪案件的取证问题作了规定。具体而言:
一是明确跨地域调取电子数据的规则。办理信息网络犯罪案件,往往需要跨地域取证。针对异地调取电子数据成本高、安全性差的问题,公安部建成异地调证信息化系统,为兼顾异地调取电子数据的便利性和安全性创造了条件。基于此,《意见》明确跨地域调取电子数据的,可以通过公安机关信息化系统传输相关数据电文。同时,要求采用数据电文形式提供电子数据的,应当保证电子数据的完整性。
二是明确异地询(讯)问的规则。《意见》规定,询(讯)问异地证人、被害人以及与案件有关联的犯罪嫌疑人的,可以由办案地公安机关通过远程网络视频等方式进行并制作笔录。远程询(讯)问的,应当由协作地公安机关事先核实被询(讯)问人的身份。询(讯)问笔录经被询(讯)问人确认并逐页签名、捺指印后,由协作地公安机关协作人员签名或者盖章,并将原件提供给办案地公安机关。远程询(讯)问的,应当对询(讯)问过程同步录音录像,并随案移送。
3、针对信息网络犯罪案件海量证据的情况,《意见》新增按照一定比例或者数量取证的规定。请介绍一下相关规定和有关考虑。
不少信息网络犯罪涉及海量证据材料,涉案人员也特别众多,无法逐一取证。例如,在非法控制计算机信息系统犯罪案件中,黑客通过网站“挂马”等方式可以在短时间内控制数百万台计算机,此种情形下,既无必要,客观上也不可能逐一核实每一台涉案计算机,从而认定被控制的计算机信息系统数量。基于此,《意见》对海量证据材料按照一定比例或者数量取证的规则作了专门规定。
一是证据选取规则。办理信息网络犯罪案件,对于数量特别众多且具有同类性质、特征或者功能的物证、书证、证人证言、被害人陈述、视听资料、电子数据等证据材料,确因客观条件限制无法逐一收集的,应当按照一定比例或者数量选取证据,并对选取情况作出说明和论证。同时,为规范涉案财物处置,保护被害人利益,《意见》还规定,涉案财物需要返还被害人的,应当尽可能查明被害人损失情况。
二是证据审查规则。人民检察院、人民法院应当重点审查取证方法、过程是否科学。经审查认为取证不科学的,应当由原取证机关作出补充说明或者重新取证。
三是证据采信规则。人民检察院、人民法院应当结合其他证据材料,以及犯罪嫌疑人、被告人及其辩护人所提辩解、辩护意见,审查认定取得的证据。经审查,对相关事实不能排除合理怀疑的,应当作出有利于犯罪嫌疑人、被告人的认定。
4、《意见》发布后,“两高一部”对贯彻实施工作有何考虑?
《意见》对于依法惩治信息网络犯罪,有效维护清朗网络空间,必将发挥重要作用。下一步,最高人民法院、最高人民检察院、公安部将指导地方各级人民法院、人民检察院、公安机关充分发挥职能作用,严格规范案件办理程序,依法惩治信息网络犯罪,不断加大对信息网络空间的刑事司法保护力度。
一是严格依法办案。采取有力措施,指导地方办案机关严格执行刑法、刑事诉讼法和《意见》的有关规定,准确把握案件办理程序要求,切实加大惩治力度,依法办理电信网络诈骗、网络赌博、侵犯公民个人信息等相关案件,突出惩治重点,彰显严惩立场,回应社会关切。
二是强化工作衔接。信息网络犯罪的手段翻新,要求刑事治理措施不断优化升级。就完善此类案件的办理程序而言,公安、检察、审判机关要在严格落实刑事诉讼法规定的前提下,畅通执法、司法衔接,强化工作合力,更好地适应依法惩治信息网络犯罪的实践需要,进一步规范案件管辖和证据收集、使用,确保案件办理取得良好效果。
三是加强普法宣传。认真落实“谁执法谁普法”责任制,结合相关信息网络犯罪案件办理,引导广大群众自觉抵制信息网络犯罪,增强防范信息网络犯罪风险意识能力,共同维护清朗网络空间和自身合法权益。