一、立法动态
1. 国家邮政局丨发布《关于<寄递用户个人信息安全管理规定>草案公开征求意见的通知》
10月25日,国家邮政局就《寄递用户个人信息安全管理规定》草案(以下简称“《管理规定》”)公开征求意见,意见反馈日期截至11月23日。
《管理规定》共20条,其中所称寄递用户个人信息,是指用户在使用寄递服务过程中记录的个人信息,包括寄(收)件人的姓名、身份证件号码、地址、电话号码、单位名称、个人生物识别信息以及寄递运单号、时间、物品明细等信息;在《个人信息保护法》的基础上,《管理规定》对于寄递企业保护寄递用户个人信息的义务进行了全面规定,包括健全内部管理制度、遵守“最小必要”原则、建立个人信息安全应急处置机制、指定用户个人信息保护负责人、快递面单去标识化处理、加强应用安全管理、强化实时安全监测能力等。
链接:
《寄递用户个人信息安全管理规定》草案
https://www.spb.gov.cn/gjyzj/c100025/c100029/202210/6cc8f86491ca49c5b70bcfd26f1b723e.shtml
2. 信安标委丨发布《关于国家标准<信息安全技术 智能手机预装应用程序基本安全要求>征求意见稿征求意见的通知》
10月9日,全国信息安全标准化技术委员会秘书处就《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》(以下简称“《标准》”)公开征求意见,意见反馈时间截至2022年12月8日。
《标准》给出了智能手机预装应用程序的基本安全要求,包括安全技术要求和安全管理要求。其中,安全技术要求包括可卸载要求、安全功能及保障要求、个人信息安全要求等;安全管理要求包括预装行为安全、第三方预装应用程序安全管理、预装应用程序安全信息公示、投诉举报等。
3. 上海市规划和自然资源局|发布《关于<上海市智能网联汽车高精度地图管理试点规定(草案)>公开征询社会公众意见与公平竞争审查征求意见的公告》
2022年10月21日,上海市规划和自然资源局就《上海市智能网联汽车高精度地图管理试点规定(草案)》(以下简称“《草案》”)公开征求意见,公告期限截至2022年10月30日,收集意见期截至2022年11月2日。
《草案》共7章20条,包括总则、数据采集和制作、地图审核、地图服务、数据安全监督检查及法律责任。
链接:
《上海市智能网联汽车高精度地图管理试点规定(草案)》
https://ghzyj.sh.gov.cn/dczj/20221021/0f1f31ecb0964299bd99e80cdb6f7809.html
4. 工业和信息化部|.发布《网络产品安全漏洞收集平台备案管理办法》
10月25日,工业和信息化部发布《网络产品安全漏洞收集平台备案管理办法》(以下简称“《办法》”),《办法》自2023年1月1日起施行。
《办法》共10条,其中所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外;同时,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。
链接:
《网络产品安全漏洞收集平台备案管理办法》
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_8c3a9f746c324ac8a6c033f896356a0d.html
5. 陕西省人大|公布《陕西省大数据条例》
9月30日,陕西省人大公布《陕西省大数据条例》(以下简称“《条例》”),《条例》自2023年1月1日起施行。
《条例》共八章八十一条,主要规定了基础设施、数据资源、开发应用、产业发展、安全保障、法律责任等内容。
6. 信安标委丨拟发布《个人信息跨境处理活动安全认证规范V2.0》
信安标委于11月8日晚间发布公告称,为指导个人信息处理者规范开展个人信息跨境处理活动,秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》。根据《全国信息安全标准化技术委员会管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》面向社会公开征求意见。
链接:
二、行业动态
1. 全国信息安全标准化技术委员会:发布14项网络安全国家标准
关键词:网络安全 信息安全
10月19日,全国信息安全标准化技术委员会发布14项网络安全国家标准,均于2023年5月1日起生效。
具体包括:《信息技术 安全技术 网络安全 第3部分:面向网络接入场景的威胁、设计技术和控制》、《信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护》、《信息安全技术 步态识别数据安全要求》、《信息安全技术 基因识别数据安全要求》、《信息安全技术 声纹识别数据安全要求》、《信息安全技术 个人信息安全工程指南》、《信息安全技术人脸识别数据安全要求》、《信息安全技术 汽车数据处理安全要求》、《信息安全技术 即时通信服务数据安全要求》、《信息安全技术 快递物流服务数据安全要求》、《信息安全技术 网上购物服务数据安全要求》、《信息安全技术 网络支付服务数据安全要求》、《信息安全技术 网络音视频服务数据安全要求》及《信息安全技术 网络预约汽车服务数据安全要求》。
链接:
https://www.tc260.org.cn/front/postDetail.html?id=20221017101959
《14项网络安全国家标准获批发布》为贯彻落实《反电信网络诈骗法》,深入推进夏季治安打击整治“百日行动”,加强对网络违法犯罪活动的源头打击力度,切实维护人民群众合法权益,公安部网络安全保卫局自即日起至12月底部署开展“断号”行动,集中打击整治网络账号黑色产业链。
在此次“断号”行动中,公安机关将进一步强化侦查打击,坚持打平台、追源头、断链条,依法严厉打击各类恶意注册网络账号违法犯罪行为;进一步强化行业整治,督促互联网企业落实主体责任;进一步加强普法宣传,教育引导广大群众、企事业单位共同维护网络安全秩序,推动形成打击整治网络账号黑色产业链共治格局。
2. 工业和信息化部信息通信管理局:发布《关于APP侵害用户权益整治“回头看”发现问题的通报(2022年第6批,总第26批)》
关键词:个人信息保护
10月13日,工业和信息化部信息通信管理局发布《关于APP侵害用户权益整治“回头看”发现问题的通报(2022年第6批,总第26批)》(以下简称“《通报》”)。
《通报》指出,为巩固治理成效,营造共同维护消费者权益的良好环境,近期开展APP侵害用户权益整治“回头看”,组织第三方检测机构对违规推送弹窗信息、APP过度索取权限等问题进行重点抽测,共发现38款APP存在问题,现予以通报。上述APP应在10月20日前完成整改,逾期不整改或整改不到位的,工业和信息化部将依法依规处置。
链接:
《关于APP侵害用户权益整治“回头看”发现问题的通报(2022年第6批,总第26批)》
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2022/art_62e7b9086fe749ad8538c7efb62d987a.html
3. 中央网信办:发布《“清朗·打击网络谣言和虚假信息”专项行动曝光第二批网络谣言溯源及处置典型案例》
关键词:网络谣言溯源
10月5日,中央网信办发布《“清朗·打击网络谣言和虚假信息”专项行动曝光第二批网络谣言溯源及处置典型案例》,截至目前,抖音、微博、腾讯、快手、百度、哔哩哔哩、小红书、知乎、豆瓣等重点网站平台共处置传播网络谣言账号2800余个,第一时间溯源并关闭首发账号,有力震慑造谣传谣行为;同时对首发谣言典型案例进行了通报,包括疫情防控类谣言、突发事件类谣言及社会民生类谣言。
4. 上海市:发布全国首个网络安全保险服务团体标准
关键词:网络安全 评估
9月28日,国内首个网络安全保险服务团体标准《网络安全保险服务规范》(以下称“《服务规范》”)在上海发布。
《服务规范》对保险公司开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求,特别是针对承保前风险评估服务、承保中风险管控服务、事件发生后应急处置服务以及保险理赔服务明确了要求,体现了上海保险业在“保险+服务+科技”三位一体新生态下,让网络安全保险切实成为企业数字化基础能力的决心和行动。
5. 汽车行业:泄露约30万用户信息,丰田公开道歉
关键词:数据安全 个人隐私
丰田汽车在近日的一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等,但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响。
据悉,可能受影响的主要是在2017年7月之后使用电子邮箱注册丰田汽车T-connect服务的客户。
对此,丰田中国相关负责人在接受《每日经济新闻》记者采访时表示,“这个情况是在日本发生的,跟中国没有关系,主要是使用T-connect服务的客户的邮箱地址和内部管理的号码有被窃取的可能,别的信息都不受影响。”
信息泄露不涉及中国市场
公开资料显示,T-connect是丰田汽车推出的远程车载信息通信服务,车主可通过网络连接车辆。
上述报道称,丰田汽车调查发现,客户信息之所以被泄露,是因为开发T-connect网站的承包商将部分源代码上传到GitHub账号上,并意外将权限设置成“公开”,时间为2017年12月至2022年9月15日。
6. 北京银行落地全国首笔数据资产融资贷款
关键词:北京市 双碳数字化
10月24日消息,近日,全国首笔数据资产融资贷款正式落地,让数据资产实现“变现”。
从北京银行获悉,北京银行城市副中心分行于10月12日成功落地首笔1000万元数据资产质押融资贷款,是北京银行积极探索数据资产金融业务模式,不断完善数据金融产品和服务的成功实践。此笔贷款采用罗克佳华科技集团股份有限公司的数据资产质押,将用于佳华科技双碳云图大数据底座的不断完善,持续丰富数据资源,打造双碳数字化建设基础设施。同时深挖数据服务价值,构建面向企业碳排放数据及资产管理、政府双碳目标管理及决策的一系列数据产品,让数据作为双碳管理的核心生产要素,充分发挥数据价值。
7. 新加坡个人数据保护委员会对QCP机构泄露个人数据的决定
关键词:个人数据
10月25日,新加坡个人数据保护委员会(“PDPC”)作出决定,QCP资本未违反保护义务。2021年8月30日,QCP Capital Pte Ltd(“机构”)涉及个人数据泄露事件,并向新加坡个人数据保护委员会(“PDPC”)进行通报。该事件是通过未经授权访问员工账户和渗出客户个人数据而发生的(“事件”)。由于该事件,675人的个人资料被渗出。受影响的个人数据包括姓名、NRIC号码、出生日期、地址、护照扫描件、护照号码以及其他信息。地址、护照扫描件、护照号码、照片、电子邮件地址、电话号码、电报和微信ID、白名单地址和交易记录。
调查显示,该组织已经提供并作出了合理的安全安排,以保护其拥有和/或控制的与该事件有关的个人数据。该组织还建立了一个内部监控系统,使该组织能够发现、提升异常交易,标记并暂停受影响的交易账户。
事件发生后,本组织迅速采取了广泛的补救措施,以减轻事件的影响。事件发生后,本组织迅速采取了广泛的补救措施,以减轻事件的影响,并提高其安全措施的整体稳健性。其安全措施的完整性。这包括通知受影响的个人。分层访问控制和引入强制性硬件密钥访问认证。
鉴于上述情况,保护个人数据的副专员认为,该组织遵守了其保护义务。信纳该机构已履行《個人資料(私隱)條例》第24条所規定的保障责任。威胁者未经授权的访问,不应承担任何责任。威胁者未经授权的访问不应承担责任。因此,不需要对该事件采取执法行动。
三、案件聚焦
1. 案例丨 某科技公司违反《数据安全法》被行政处罚
【案情简介】
近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。
【官方态度】
上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。
【法条速递】
《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
2. 案例丨蔡某某等人非法买卖个人信息案——严厉打击网络科技公司贩卖公民个人信息犯
【案情简介】
2018年5月,某网络科技公司的实际经营者蔡某某与尹某共谋,通过该公司向上游某软件公司购买含有电话号码、登录平台名称和次数等内容的公民个人信息,再以每条0.35元或0.5元的价格转卖给尹某。蔡某某指派员工刘某、李某具体负责信息买卖业务,至案发前累计出售公民个人信息741238条,获利约50万元。尹某将上述公民个人信息转售给刘某中、刘某翠等人(已判刑),获利66万多元。刘某中、刘某翠利用购得的公民个人信息组建“股民微信交流群”,后致被害人海某被骗。
【审理查明】
阳江市江城区人民法院一审认为,某网络科技公司、尹某无视国家法律,违反国家有关规定,向他人购买、出售公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。蔡某某、刘某、李某作为对某网络科技公司直接负责的主管人员和直接责任人员,应以侵犯公民个人信息罪追究其刑事责任。故以侵犯公民个人信息罪判处某网络科技公司罚金80万元;判处尹某有期徒刑三年六个月,并处罚金70万元;判处蔡某某有期徒刑三年八个月,并处罚金30万元;分别判处刘某、李某有期徒刑一年十个月,并处罚金3万元;追缴某网络科技公司违法所得50万元、尹某违法所得661209元。阳江市中级人民法院二审维持原判。
【典型意义】
侵犯公民个人信息罪的犯罪主体既包括个人,也包括单位。本案中,人民法院根据各被告人的犯罪性质、情节轻重等依法作出判决,同时对涉案单位处以刑罚,全方位严厉打击侵犯个人信息犯罪行为。
3. 案例丨周某某诉某电子商务公司个人信息保护纠纷案——依法保护个人信息查阅复制权
【案情简介】
2021年3月1日,周某某因担心某电子商务公司运营的平台获取并记载的其本人信息有误或被泄露,致电该平台客服,希望平台披露收集到的其本人信息。该平台客服表示:“用户有填写的信息,可以在APP个人中心予以查看,且这些信息采取了加密的保护措施,不会泄露;对于用户没有填写的信息,平台无法展示。”同日,周某某向该平台隐私专职部门邮箱发送电子邮件,请求披露其个人信息,平台未予回复。周某某遂诉至法院,请求某电子商务公司向其披露收集的个人信息。
【法院判决】
广州市中级人民法院生效判决认为,周某某要求平台向其披露个人信息,实质是主张个人信息查阅复制权。个人信息查阅复制权是个人重要的法定权利,依法应予充分保障。周某某作为平台注册用户,有权要求平台披露收集的个人信息及相关处理情况。故根据案件具体情况,判决某电子商务公司提供其收集的周某某相关个人信息及其处理相关情况供周某某查阅、复制。
【典型意义】
个人信息查阅复制权是重要的基础性权利,对于防止个人因他人非法收集、处理个人信息而遭受人身财产权益损害具有重要意义。本案在切实保障信息主体合法权益的同时,引导个人信息处理者合规经营,对加强个人信息保护进行了有益的探索。
4. 案例丨杨某诉某互联网公司名誉权纠纷案——网贷平台向第三方提供其掌握的欠款人个人信息构成对公民个人信息的侵犯
【案情简介】
某互联网公司开发了某借贷平台APP,持有、保管贷款人提交的个人资料信息。杨某于2017年通过该APP借款4万余元。借款前,杨某按照APP要求注册登记个人信息,提供身份证正反面照片、授权通讯录联系人等。杨某逾期未还款,杨某本人及其亲属、同事、朋友频繁收到自称是该APP或陌生人的催收信息。催收人能够提供杨某在该APP的借款人信息、借款合同号、应还款金额及还款账户等信息,还制作了诋毁杨某的图文信息,并威胁杨某要群发该图文信息给杨某通讯录所有人。
【审理查明】
珠海市香洲区人民法院生效判决认为,催收人掌握杨某与该APP之间的借款详情、杨某提交给该APP的身份证等个人信息,且发送信息目的是催收欠款,足以表明是某互联网公司向第三方提供了杨某的相关个人信息。某互联网公司未依法保障杨某的个人信息安全,向第三方提供了杨某的个人信息,给杨某造成巨大精神压力,构成精神损害,故判决某互联网公司向杨某书面赔礼道歉,并赔偿精神损害抚慰金。
【典型意义】
网贷公司平台将收集、保管的公民个人信息提供给第三方的行为侵害了公民的个人信息安全,本案有利于规范平台行为,平衡网络平台与公民之间的利益关系。
5. 案例丨督促整治违法采集消费者生物识别信息行政公益诉讼案
【案情简介】
赣州市中心城区部分房地产企业为便于计算销售人员业绩,在未张贴任何标识提示消费者会采集其个人信息,也未明示收集、使用信息的目的、方式和范围,更未征得消费者同意的情况下,在其商品房售楼部内安装和使用无感人脸抓拍系统,擅自采集、使用、储存众多消费者的人脸识别信息,并使之流入销售市场,严重侵害众多不特定消费者的个人信息安全。
2021年3月,赣州市人民检察院根据网民反映的问题线索,对赣州市部分卫浴专卖店、汽车4S店及商品房售楼部安装人脸识别摄像头侵犯公民个人信息问题开展核查。经调查,发现部分商家存在安装人脸识别摄像头收集消费者个人信息等情况,该院依法立案调查,走访排查了赣州市多家房地产售楼部,发现房地产行业普遍存在安装人脸识别摄像头收集消费者个人信息的情形。
【检察建议】
行政主管单位收到检察建议书后,高度重视,对检察建议逐项整改落实。一是对案涉商品房售楼部开展现场执法检查,查实相关问题后,依据《消费者权益保护法》等有关规定依法对案涉企业处罚共105万元。二是联合其他行政机关联合发布《关于开展打击房地产领域侵害消费者个人信息违法行为专项行动的通知》,在全市范围开展专项整治,深化消费者个人信息权益保护。三是上述部门联合对该市房地产开发企业进行约谈,通报房地产市场存在的乱象,督促房地产开发企业提高个人信息保护认识,强化责任,抓好整改,检察机关全程参与并监督。
四、专业问答
为更好服务上海市数据处理者开展数据出境安全评估申报工作,根据《数据出境安全评估办法》和《数据出境安全评估申报指南(第一版)》,结合近期咨询情况,上海市互联网信息办公室(以下简称上海市网信办)现就咨询受理中的常见问题进行解答,以下解答可为各地数据出境流程作为参考:
1、数据处理者如何申报数据出境安全评估?
答:目前数据出境安全评估工作落实属地申报原则,所在地为上海的数据处理者向上海市网信办提交申报材料。
2、数据处理者如何提交申报材料?
答:上海市网信办自2022年9月1日《数据出境安全评估办法》生效之日起正式接收申报材料,报送方式:邮寄报送或者现场报送,地址:上海市徐汇区宛平路315号,收件人:网络安全处,电话:64743030-2711(请注明“XX单位数据出境安全评估材料”)。报送请提前电话联系。
3、上海市网信办接受数据出境安全评估申报咨询方式?
答:2022年9月9日,上海市网信办已通过公众号“网信上海”公布咨询电话:64743030-2711(工作日上午9:00-11:00,下午14:00-17:00,来电咨询请明确告知申报主体基本信息)。书面材料与光盘刻录的电子版文件应保持完全一致,如有特殊情况请说明。
4、申报材料要求有哪些?
答:1.统一社会信用代码证件影印件;2.法定代表人身份证件影印件;3.经办人身份证件影印件;4.经办人授权委托书;5.数据出境安全评估申报书;6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件;7.数据出境风险自评估报告;8.其他相关证明材料。
具体提供材料及要求详见《数据出境安全评估申报指南(第一版)》,需提交书面材料以及通过光盘方式刻录的电子版文件。
5、经办人是否有要求?
经办人必须为数据处理者正式员工,并提供准确有效的联系方式。
6、是否有指定第三方机构可以协助数据处理者开展数据出境风险自评估的咨询、评估等相关工作?
答:目前,上海市网信办未指定任何第三方机构开展相关咨询、评估数据处理者数据出境风险自评估等工作。
7、省级网信部门的完备性查验需要多久?
答:上海市网信办自接收申报材料第二天起计算5个工作日,若材料被退回,再次提交重新计算5个工作日。
8、在完备性查验阶段,数据处理者是否会收到书面通知?
答:若申报材料齐全,则会报送国家网信部门,并书面通知数据处理者。若出现申报材料不齐全等情况,上海市网信办会向数据处理者出具书面通知,并一次性告知需要补充的材料。