1. 国务院办公厅丨发布《国务院办公厅转发商务部科技部关于进一步鼓励外商投资设立研发中心若干措施的通知》
1月11日,国务院办公厅转发商务部、科技部《关于进一步鼓励外商投资设立研发中心若干措施的通知》(以下简称“《通知》”)
《通知》共4条,包括支持开展科技创新、提高研发便利度、鼓励引进海外人才、提高知识产权保护水平。
链接:《国务院办公厅转发商务部科技部关于进一步鼓励外商投资设立研发中心若干措施的通知》
2. 人力资源社会保障部办公厅丨发布《人力资源社会保障部办公厅关于<机器人工程技术人员国家职业标准(征求意见稿)>等4个职业标准公开征求意见的通知》
2023年1月17日,人力资源社会保障部办公厅为适应数字经济发展需要,加强数字技术人才培养,促进数字经济和实体经济深度融合,就《关于<机器人工程技术人员国家职业标准(征求意见稿)>等四个职业标准公开征求意见的通知》(“以下简称《通知》”)向社会公开征求意见,意见反馈截至2023年2月2日。
链接:《人力资源社会保障部办公厅关于<机器人工程技术人员国家职业标准(征求意见稿)>等4个职业标准公开征求意见的通知》
3. 海南省10部门|联合发布《关于加强数字藏品风险监管工作的通知》
1月12日,海南省市场监督管理局发布《关于加强数字藏品风险监管工作的通知》(以下简称“《通知》”)。
《通知》共三条,包括高度重视,提高数字藏品监管的责任感和紧迫感、多措并举,全方位防范数字藏品的监管风险、加强合作,形成部门联动的协同监管机制。
二、行业动态
1. 中国网信网:2022年全国网络执法工作持续发力增效
关键词:网络安全 数据安全
2022年,全国网信系统持续加大网络执法力度、规范网络执法行为,坚决依法查处各类违法违规案件,依法严厉打击网上各类违法违规行为,坚决打击遏制网络安全、数据安全和个人信息等领域违法违规行为,大力推进网络执法监督检查工作,坚持处罚和教育相结合的原则,努力做到宽严相济、法理相融,让执法既有力度又有温度。
据统计,全国网信系统全年累计依法约谈网站平台8608家,警告6767家,罚款处罚512家,暂停功能或更新621家,下架移动应用程序420款,会同电信主管部门取消违法网站许可或备案、关闭违法网站25233家,移送相关案件线索11229件。
2. 全国首个获批数据出境安全评估案例落地北京
关键词:数据出境
自2022年9月1日《数据出境安全评估办法》实施以来,北京市互联网信息办公室率先开通全国首个地方申报受理咨询专线。
截至目前,已解答咨询电话700余通,服务数据出境需求主体270余家,组织指导北京市社交媒体、医疗、金融、汽车、民航等重点领域16家单位递交正式申报,10家单位申报材料通过完备性查验,2家单位通过数据出境安全评估。
其中首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例,该项目的审批通过,标志着国家数据出境安全评估制度在北京市率先落地,为强化医疗健康数据出境安全管理,促进国际医疗研究合作提供了实践指引。
近日,北京市申报的中国国际航空股份有限公司项目作为全国第二例也成功获批通过,为北京市进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径,对提升北京市数据安全合规管理水平、优化营商环境具有重要意义。
3. 海南17款“网络游戏类”移动应用程序违法违规被责令整改
关键词:数据安全 个人信息安全
1月18日,海南省互联网信息办公室通报称该办近日组织专门技术力量对民众投诉举报较为集中的网络游戏类App进行技术检测,结果显示17款网络游戏类App均不同程度存在强制索取用户权限、未列明索权目的及超范围收集个人隐私信息等行为。当前,该办集中向社会通报警示并责令相关运营单位限期整改。
2022年,海南省网信办共采集检测App、小程序等类型移动应用程序达500余款,通报整改87款,依法下架3款,覆盖视频直播、即时通信、教育卫生、房地产等10余个社会民生重点领域,专项整治取得良好效果。
海南省网信办副主任王英诚表示,受经济利益的驱动,网络游戏行业暴露出的经营行为不规范、技术手段控制不健全等问题日益突出,对社会造成严重危害。移动互联网应用程序运营者是履行数据安全和个人信息安全保护的第一责任主体,应当主动提高网络安全责任意识、完善制度机制和隐私保护措施,对现有应用、业务、技术进行评估自查,提升行业自律和规范化建设水平。
链接:海南17款“网络游戏类”移动应用程序违法违规被责令整改
4. 蜜蜂出行 阳光出行 AA出行司机 人民出行等因侵犯用户权益被通报
关键词:网络数据安全 APP隐私合规
1月30日,北京市通信管理局依据《网络安全法》《数据安全法》《个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。
蜜蜂出行、地铁通、阳光出行、人民出行等25款APP存在不同类型问题需整改。北京市通信管理局表示请相关APP运营企业立即整改,并于2月15日前提交整改报告。逾期不整改或整改不到位的,将依法依规予以处置。
此外,VOA英语听力、口语侠、小学英语同步辅导3款APP因之前问题整改不到位,北京市通信管理局拟通知应用商店予以下架处置。
三、案件聚焦
1. 案例丨 王某辉等侵犯公民信息案
【案情简介】
王某辉于2016年2月入侵某部委医疗服务信息系统,将该系统数据库内的部分公民个人信息导出,并进行贩卖。库某于2016年9月侵入某省扶贫网站,窃取了该系统内数个高级管理员的账号和密码,并下载系统内大量公民个人信息数据进行贩卖。
随后,库某将其中一个账号和密码转卖给陈某亮,其下载大量公民个人信息后,又将该数据以及账号和密码贩卖给了台湾等地的诈骗团伙。
经过数据比对认定,被告人王某辉、程某龙、廖某斌、杜某、王某泉、陈某亮、何某耀以搜索、交换、购买等方式获取公民个人信息,条数均达到5万条以上,情节特别严重;被告人陈某亮伙同他人通过欺骗等方式获得并非法持有他人的信用卡186张,数量巨大。
【审理查明】
综合各犯罪情节,法院以侵犯公民个人信息罪和妨碍信用卡管理罪一审判处陈某亮有期徒刑5年6个月,并处罚金3万元;以侵犯公民个人信息罪以王某辉、陈某龙、廖某斌、杜某和王某泉有期徒刑5年到3年4个月不等,并处罚金40万元到6万元不等;以同罪判处何某耀有期徒刑3年,缓刑4年,并处罚金5万元。
【法条速递】
《中华人民共和国刑法》第二百五十三条:邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的,处二年以下有期徒刑或者拘役。犯前款罪而窃取财物的,依照本法第二百六十四条的规定定罪从重处罚。国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2. 案例丨解某某等人非法出售个人信息案——严厉打击网络科技公司贩卖公民个人信息犯罪
【案情简介】
2015年7月,北京某信息咨询有限公司注册成立。解某某与股东辛某某经过商量,决定利用公司运营的微信公众号“试水”出售公民信息牟利。
2018年1月至2019年6月,解某某、辛某某雇用吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接,吸引有贷款需求的人填写姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况等信息。获取上述信息后,解某某、辛某某再指使员工将信息上传到公司开发的“点有钱”App。
二人指使员工通过在微信群搜集、在“点有钱”微信公众号发放广告等方式,获取银行、金融公司信贷员的姓名和手机号。通过与信贷员联系,吸引他们在APP注册充值。信贷员充值后,解某某、辛某某等人在未经信息权利人同意的情况下,将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息,解某某、辛某某等人违法所得共计450余万元。
【审理查明】
昌平区检察院以解某某、辛某某等13人涉嫌侵犯公民个人信息罪提起公诉。2020年12月11日,昌平区法院采纳检察机关指控意见和量刑建议,以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等,各并处罚金。
【典型意义】
(一)非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。个人征信信息属于公民个人信息,包括个人基本信息、个人信贷交易信息,以及反映个人信用状况的其他信息。具有非法获取、出售征信信息50条以上,或者违法所得5000元以上情形之一的,属于“情节严重”,依法应以侵犯公民个人信息罪定罪处罚。数量或者数额达到上述规定标准十倍以上的,属于“情节特别严重”,依法应处三年以上七年以下有期徒刑,并处罚金。
(二)对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。
(三)提高自我保护意识,防止个人信息泄露。征信信息全面反映个人信贷状况,与公民人身、财产安全直接相关,被泄露后容易成为电信网络诈骗、套路贷等违法犯罪活动的被害人。生活中,要注意选择正规的金融机构贷款,不随意点击不明贷款链接,不轻易透露个人财产状况,谨防信息泄露。
3. 案例丨卢某帮助信息网络犯罪、盗窃案
【案情简介】
2020年9月至10月,被告人卢某在明知他人可能利用其提供银行卡实施网络犯罪,仍将其在苏州市吴中区办理的中国工商银行卡、中国农业银行卡各一张通过郑某某(另案处理)等人提供给他人使用,为他人犯罪提供支付结算帮助,其中中国工商银行卡支付结算金额合计人民币429万余元,已核实诈骗金额合计人民币86万余元;中国农业银行卡支付结算金额合计人民币600余万元,已核实诈骗金额合计人民币54万余元。
2020年12月,被告人卢某又在郑某某等人指使下,在明知上述账户余额系他人所有的情况下,通过手机银行远程登陆上述农行账户,转出人民币16774.64元,被告人卢某将其中人民币6709.64元占为己有,将其中人民币10065元转账给郑某某。
【法院判决】
2021年12月15日,苏州市吴中区人民检察院以被告人卢某犯帮助信息网络犯罪活动罪、盗窃罪起诉至苏州市吴中区人民法院,并建议法院适用速裁程序审理。
2021年12月27日,苏州市吴中区人民法院适用速裁程序,当庭判决被告人卢某犯帮助信息网络犯罪活动罪,判处有期徒刑七个月,并处罚金人民币二千元;犯盗窃罪,判处有期徒刑八个月,并处罚金人民币五千元,决定执行有期徒刑十个月,并处罚金人民币七千元。
【典型意义】
(一)将他人使用的本人名下银行卡内他人钱款占为己有属于盗窃行为。
行为人将本人名下银行卡租售或出借给他人使用时,即已放弃对该银行卡的占有和支配。即使行为人后续可以利用其系银行卡名义持卡人的便利,通过挂失补卡或事先掌握的密码通过网银登录等方式控制银行卡,但因为不符合社会一般观念对占有的判断,亦不能认定行为人事实上占有支配该银行卡及卡内资金。
因此,行为人租售或出借银行卡给他人使用后,通过挂失补卡或事先掌握密码登录等方式将他人资金转出据为己有的行为,属于以非法占有为目的,秘密窃取他人财物的盗窃行为。
(二)提供银行卡供他人“洗黑钱”后“黑吃黑”行为构成盗窃,存在余罪自首空间。
行为人明知他人利用信息网络实施犯罪,将本人银行卡提供给他人转账使用,属于为他人犯罪提供支付结算帮助,该银行卡实际被用于电信诈骗、网络赌博等犯罪活动“洗黑钱”,情节严重的,构成帮助信息网络犯罪活动罪。
行为人提供银行卡供他人“洗黑钱”后,又通过秘密手段将银行卡内“黑钱”转出据为己有,数额较大的,构成盗窃罪。后一阶段的行为,侵害了他人对财物的占有,侵害了新的法益,应当数罪并罚。
两个阶段行为非同种罪行,亦非在法律、事实上密切关联的行为,因此,行为人因帮助信息网络犯罪活动罪到案后,主动交代公安机关尚未掌握的盗窃卡内资金的行为,属于“余罪自首”。
(三)辩护人发表无罪意见的被告人认罪认罚案件,应充分听取辩护人意见,释法说理,争取对符合条件的案件建议适用速裁程序审理。
被告人认罪认罚案件中,辩护人发表无罪辩护意见的,不影响认罪认罚从宽程序的适用。但根据最高法《关于适用<中华人民共和国刑事诉讼法>解释》第三百七十条的规定,辩护人作无罪辩护的不适用速裁程序。
因此,检察机关应充分发挥认罪认罚从宽制度推动案件繁简分流功能,充分听取被告人及辩护人意见,通过释法说理取得辩护人支持意见,对于符合条件的案件积极建议法院适用速裁程序审理,提高诉讼效率。
4. 案例丨李某诉某电子商务公司网络侵权责任纠纷案
【案情简介】
某网络科技公司开发运营了供消费者、商家开展交易的某电子商务平台App,该App的《隐私政策》在“用户信息的收集和使用”中列举了拟收集的用户信息,并未包括用户剪贴板信息,安装App后手机页面显示的权限内容也未包含剪贴板信息。
2020年1月,李某通过扫描某网络科技公司的官方网站下载该App,其在使用过程中发现该App存在未经用户许可监测、读取剪贴板信息的行为。李某认为剪贴板可以存储身份证号等个人敏感隐私信息,该网络科技公司的行为侵害其个人信息权益以及隐私权,遂诉至法院,要求某网络科技公司赔礼道歉、消除影响等。
【审理查明】
广州互联网法院审理后认为,案涉App在其《隐私政策》中对App拟收集的用户信息进行了列举,但用户剪贴板信息并未列举其中。
在成功安装App后,手机页面显示的App权限内容也未包含剪贴板信息,结合鉴定意见和某公司的答辩情况,可以确认某公司未经李某许可,对其剪贴板信息进行监测和读取。某公司作为该App实际运营者、网络服务提供者,未向李某主动告知上述情况,且未经李某许可,存在过错。
因此,案涉App未经许可监测、读取李某手机剪贴板信息的行为,侵害李某的隐私权。故判决某网络科技公司向李某赔礼道歉。
【典型意义】
公民个人信息被过度收集是各种侵犯公民个人信息案件频发的重要原因之一。合理与过度收集的界限划定,应结合收集个人信息的场景、目的等进行判断。
合理收集用途应具有正当性,收集范围应当限于实现处理目的的最小范围,不得未经用户同意擅自扩大收集信息的范围。收集的信息与提供的服务间应有必要联系,为消费者提供相关服务才可以合理收集相关的个人信息,但超出范围的就属于过度收集。
如打车软件要求获取地址信息可以理解,但在此基础上收集用户身份证号等就是过度收集,“跨出”了合理界限,可能会侵害用户的个人信息权益。
四、专业问答
自2022年9月1日《数据出境安全评估办法》实施以来,截至2023年1月31日,上海市互联网信息办公室已解答咨询电话1300余通,接收正式申报材料67件,其中通过完备性查验并报送国家网信办35件,正在进行完备性查验17件,主要涉及零售、汽车、金融、医药等领域。
为更好服务上海市数据处理者开展数据出境安全评估申报工作,根据《数据出境安全评估办法》(以下简称《办法》)和《数据出境安全评估申报指南(第一版)》(以下简称《申报指南(第一版)》),结合近期咨询情况及完备性查验常见问题发布实务问答:
1、数据处理者可以自行变更申报材料模板吗?
答:不能。数据处理者应严格参照《申报指南(第一版)》各材料模板填写,请勿自行增删修改模板。
2、申报材料的原件、影印件有哪些具体要求?
答:根据《申报指南(第一版)》附件1要求,经办人授权委托书、承诺书、数据出境安全评估申报表、数据出境风险自评估报告等都应提供原件。
统一社会信用代码、法定代表人身份证件、经办人身份证件、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等可提供影印件并加盖公章,影印件应确保清晰、无遮挡。
3、如何准备经办人授权委托书、承诺书?
答:应严格按照《申报指南(第一版)》模板拟写经办人授权委托书、承诺书,并在对应位置加盖公章、签字、注明日期,其中签字应确保手写笔迹。
4、法律文件的具体形式要求是什么?
答:法律文件形式无限制,数据处理者可结合实际提交合同、内部制度等法律文件。
需特别注意,法律文件中涉及数据出境安全评估申报表13项引用内容的,必须按要求作高亮、线框等显著标识。
通过数据出境安全评估后,数据处理者开展出境活动前实际签署的法律文件应与此前申报开展数据出境活动实际情形一致。
5、数据出境风险自评估报告撰写中有哪些注意事项?
答:应严格按照模板进行报告撰写,确保真实完整,不得变更自评估报告框架,同时建议增加目录并注明页码。
如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
6、数据处理者如何说明符合申报条件的具体情形?
答:数据处理者应依据《办法》第四条,明确所符合的申报情形,建议可在自评估报告中说明符合申报情形的支撑数据。
7、数据处理者如何确定拟出境数据情况?
答:根据《办法》第十四条要求,“通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算”。数据处理者申报的出境数据应为未来两年的拟出境数据,包括数据规模和涉及自然人数量,自然人数量应按人数计算,并标注是否去重。
8、数据出境安全评估申报表的填写原则是什么?
答:按照应填尽填、真实完整原则,同一表格项如存在并列内容均需填写。《申报指南(第一版)》填表说明提及的表格项应按说明要求进行填写,例如08项数据链路提及填写要素均需涵盖、13项需正确引用页码并对相关内容进行高亮标注等。
如数据出境安全评估申报表中涉及无法填写的内容,需要形成解释说明材料并加盖数据处理者公章。