引 言
在数字经济高速发展的今天,数据安全及合规是企业面临的首要问题。企业如果不能保证基本的数据安全性、数据处理活动的合规性,将会面临数据泄露、数据丢失等多发安全事件,数据资源的开发利用亦将因缺乏数据资产的合规审查而存在安全隐患。
在此趋势下,贵州惟胜道律师事务所将协助企业保障数据在运转周期的处理活动中得到安全有序、合法合规的开发利用,并将此作为工作的核心。
因此,本月刊将聚焦网络安全与数据保护,为您呈现前沿动态、新规速递、热点案例等内容,帮助读者掌握最新前沿动态,共同了解数字安全发展新趋势。希望对读者深入认知、理解和运用相关政策有所帮助。
一、立法动态
1.国家互联网信息办公室|发布《关于<移动互联网未成年人模式建设指南(征求意见稿)>公开征求意见的通知》
8月2日,国家互联网信息办公室就《移动互联网未成年人模式建设指南(征求意见稿)》(“《建设指南》”)公开征求意见,意见反馈截止日期2023年9月2日。
《建设指南》规定了各类移动智能终端、移动互联网应用程序(以下简称“应用程序”)、移动互联网应用程序分发服务平台(以下简称“应用程序分发平台”)的未成年人模式应满足的基本要求、功能要求和管理要求,适用于移动智能终端提供者、应用程序提供者以及应用程序分发平台提供者等相关主体开展未成年人模式的研发和应用。《建设指南》将全面升级“青少年模式”为“未成年人模式”,推动模式覆盖范围由APP扩大到移动智能终端、应用商店,实现软硬件三方联动,方便用户一键进入模式。
链接:国家互联网信息办公室关于《移动互联网未成年人模式建设指南(征求意见稿)》公开征求意见的通知
2.工业和信息化部、国家标准化管理委员会|公布《关于印发<国家车联网产业标准体系建设指南(智能网联汽车)(2023版)>的通知》
7月18日,工业和信息化部、国家标准化管理委员会公布《关于印发<国家车联网产业标准体系建设指南(智能网联汽车)(2023版)>的通知》。
《指南》明确,计划到2025年制修订100项以上智能网联汽车相关标准,涵盖组合驾驶辅助、自动驾驶关键系统、网联基础功能及操作系统、高性能计算芯片及数据应用等标准;2030年制修订140项以上智能网联汽车相关标准,全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系。
链接:工业和信息化部、国家标准化管理委员会:公布《关于印发<国家车联网产业标准体系建设指南(智能网联汽车)(2023版)>的通知》
3.国家互联网信息办公室|发布《关于<人脸识别技术应用安全管理规定(试行)(征求意见稿>公开征求意见的通知》
8月8日,国家互联网信息办公室就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(“《规定》”)公开征求意见,意见反馈截止时间为9月7日。《规定》明确只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。
链接:《关于<人脸识别技术应用安全管理规定(试行)(征求意见稿>公开征求意见的通知》
4.工业和信息化部、国家金融监督管理总局|发布《关于促进网络安全保险规范健康发展的意见》
7月2日,工业和信息化部、国家金融监督管理总局发布《关于促进网络安全保险规范健康发展的意见》(“《意见》”)。
《意见》明确要建立健全网络安全保险政策标准体系;加强网络安全保险产品服务创新;强化网络安全技术赋能保险发展;促进网络安全产业需求释放;促进网络安全产业需求释放。
5.长沙市数据资源管理局|公布《关于向社会征求<长沙市政务数据运营暂行管理办法(征求意见稿)>意见的公告》
7月15日,长沙市数据资源管理局就《长沙市政务数据运营暂行管理办法(征求意见稿)》(“《办法》”)公开征求意见,意见反馈截止时间为8月13日。
《办法》共五章二十七条,适用于长沙市行政区域内、或使用长沙市政务数据开展与运营相关的数据汇聚、处理、授权、获取、经营、安全、监管等活动。《办法》明确其所称政务数据运营,是指长沙市数据资源管理局在长沙市人民政府的授权下,将各级政务部门、公共服务企事业单位在依法履行职责、提供服务过程中采集、产生和获取的各类数据资源,按照法定程序授权相关主体基于特定的场景需求加工、处理并面向数据使用方提供服务、获取收益的过程。
链接:关于向社会征求《长沙市政务数据运营暂行管理办法(征求意见稿)》意见的公告
二、行业动态
1.工业和信息化部:发布《155项行业标准及3项推荐性国家标准报批公示》
关键词:智能网联汽车
7月26日,工业和信息化部发布《155项行业标准及3项推荐性国家标准报批公示》(“《公示》”),公示截止日期2023年8月26日。
根据《公示》,相关标准化技术组织根据行业标准制修订计划已完成《再生五氯化锑催化剂》等32项化工行业标准、《水封式烧结环冷机》等22项黑色冶金行业标准、《铝灰渣》等13项有色金属行业标准、《含氯金物料中金量的测定》1项黄金行业标准、《石材行业绿色工厂评价导则》等10项建材行业标准、《绿色设计产品评价技术规范 稀土抛光粉》等14项稀土行业标准、《压铸用模温机 能耗分等》等45项机械行业标准、《船舶企业能源审计实施导则》等2项船舶行业标准、《制盐工业绿色矿山技术规范》等10项轻工行业标准、《纺织染整企业水系统集成优化实施指南》等6项纺织行业标准及《智能网联汽车 自动驾驶功能道路试验方法及要求》等3项汽车行业推荐性国家标准的制修订工作。
2.上海市消保委:发布《上海市商场停车场扫码缴费服务合规指引》
关键词:App 个人信息
近日,上海市消保委发布《上海市商场停车场扫码缴费服务合规指引》(“《指引》”)。
《指引》明确了商场停车场、运营企业、扫码缴费和小程序的概念,并规定了商场停车场运营企业开展扫码缴费经营活动的基本原则,包括遵守法律法规和商业道德,方便使用、合理收费,不得收集消费者任何个人信息,向会员收集、使用个人信息应遵循合法、正当、必要、诚信的原则,保障消费者个人信息合法权益等。
3.上海消保委、上海餐饮协会:发布《上海市网络点餐服务消费者个人信息保护合规指引》
关键词:App 个人信息
7月18日,上海消保委、上海餐饮协会共同发布《上海市网络点餐服务消费者个人信息保护合规指引》(“《指引》”)。
《指引》明确,餐饮经营者在进行网络点餐服务时,需在消费者首次使用时以弹窗或其他显著方式向消费者提示隐私政策,并征得消费者明确同意。同时,餐饮经营者也需严格按照其申明规则收集、使用消费者个人信息,收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。
4. 浙江经信厅:公布《浙江省企业首席数据官制度建设指南(试行)》
关键词:数据治理 数据驱动 数据增值
近日,浙江经信厅公布《浙江省企业首席数据官制度建设指南(试行)》(“《指南》”)。
《指南》指出,企业CDO是有效管理和运用企业数据资产、充分挖掘数据价值、驱动业务创新和业务转型变革的企业负责人。企业CDO制度是包括以CDO为首的数据人才队伍的岗位设置、职能职责体系、能力素质要求、选用育留机制等在内的整套制度体系。鼓励国有企业、基础电信企业、大型制造业企业、重点互联网企业率先探索设立CDO,鼓励数字化基础较好、拥有较大规模数据资源、数据产品和服务能力较突出的各类企业设立CDO,按照企业主导、政府引导、价值优先、多方协同、合规发展的原则,参考《指南》组织实施。
5.广州市公安局:对广州某科技有限公司虚假撤销等保备案的违法行为给予警告的行政处罚
关键词:行政处罚
7月18日,广州市公安局新闻办公室召开新闻通报会,通报今年上半年广州警方全力推进“净网2023”专项行动的相关情况,并公布某科技公司信息系统虚假撤销等级保护测评备案被处罚的案例。该案是全国首起对虚假撤销等级保护测评备案作出处罚的行政案件。
网警支队在检查中发现,广州某科技有限公司运营软件的系统于2020年7月定级为三级等级保护系统并取得备案证明,却在依然正常投入使用的情况下撤销等级保护测评备案,在2021年度、2022年度均未依法开展三级系统的等级保护测评,未履行网络安全等级保护测评的法定职责。
为打击逃避履行等级保护测评而虚假撤销备案的行为,督促相关单位依法落实网络安全管理制度和保护技术措施。广州警方对该虚假撤销备案的违法行为给予警告的行政处罚,并责令限期改正。
链接:广州市公安局:对广州某科技有限公司虚假撤销等保备案的违法行为给予警告的行政处罚
6.中央网信办秘书局、成都大运会执委会:发布关于开展“清朗·成都大运会网络环境整治”专项行动的通知
关键词:网络环境 网络安全
7月18日,中央网信办秘书局、成都大运会执委会发布通知,为做好成都大运会保障工作,决定自7月18日起开展为期20天的“清朗·成都大运会网络环境整治”专项行动。专项行动将围绕大运会举办,集中整治6类突出问题,具体包括:
一是散布涉大运会及相关地区公共政策、社会民生领域虚假信息,捏造可能引起恐慌的灾难事故、违法犯罪、食品产品质量问题等谣言;二是片面、歪曲传播突发事件信息,假冒当事人或相关人员身份发声,关联翻炒旧闻旧事;恶意炒作涉大学生负面话题等;三是发布有关民族、地域歧视的文字、图片、音视频,煽动群体对立;以记录生活、帮扶救助等为名,虚构摆拍当地“贫困”生活,恶意卖惨引流等;四是未经许可擅自开展互联网新闻信息服务活动,或者在名称、头像、背景、简介、直播间或短视频背景等环节假冒仿冒官方机构、新闻媒体等;五是涉大运会吉祥物“蓉宝”、会徽等形象标志的侵权盗版信息;未经授权在网上传播大运会赛事节目、提供盗播链接的信息;六是组织“人肉搜索”,故意泄露运动员、裁判员、教练员等个人隐私信息,诱导实施网络暴力;对相关人员集中发布侮辱诽谤、谩骂攻击等违法信息和其他不良信息,危害他人身心健康。
链接:中央网信办秘书局、成都大运会执委会:发布关于开展“清朗·成都大运会网络环境整治”专项行动的通知
7.上海人大常委会办公厅:发布《上海市促进浦东新区数据流通交易若干规定(草案)》
关键词:数据流通 数据市场
7月26日,上海人大常委会办公厅就《上海市促进浦东新区数据流通交易若干规定(草案)》(“《规定》”)公开征求意见,意见反馈截止时间为8月9日。
《规定》的主要内容是:一是界定各方责任,明确促进数据流通交易的总体要求。二是结合落实《数据二十条》,探索细化数据产权分置机制。三是建立数据流通交易的系列规则,进一步培育壮大场内交易,并对场外交易作出适度规范引导。四是进一步培育数据市场生态,营造良好发展环境。
三、案件聚焦
1.案例丨某科技公司未履行数据安全保护义务导致存在数据泄露风险隐患被处罚
【案情简介】
2022年3月,广州警方工作发现,广州某科技公司向各地驾校提供的某驾培平台储存处理了驾校培训学员的姓名、证件号、手机号、个人照片等公民个人信息数据被挂在外网售卖。经查,该公司没有建立数据安全管理制度和操作规程,对采集到的个人信息未采取去标识化和加密措施,且系统存在未授权访问漏洞,未落实网络安全等级保护制度,存在数据泄露的重大风险隐患,违反《数据安全法》第二十七条之规定。
广州警方依据《数据安全法》第四十五条第一款规定,对该公司作出警告并处罚款人民币5万元,该案是广东省首宗适用《数据安全法》进行执法的行政案件。
【典型意义】
数据作为第五大生产要素,其安全已经成为事关国家安全与经济社会发展的重大问题。根据《数据安全法》相关规定,各单位开展数据处理活动必须在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全,依法做到数据采集合规、数据留存保护、数据使用合法。对于不履行数据安全保护义务的违法行为,公安机关将依法坚决打击,切实保障数字经济健康发展。
2.案例丨某公司信息系统仅备案未按规定开展等级保护测评被处罚
【案情简介】
2022年7月,广州警方在工作中发现,广州某教育科技有限公司运营使用的“某在线1对1系统”确定为第二级信息系统,且在2021年7月到公安机关进行了网络安全等级保护备案。但该系统上线运行前及运行之后,广州某教育科技有限公司一直未按规定对系统的安全等级状况开展等级保护测评,未充分落实网络安全等级保护制度,未履行网络安全保护义务,违反了《广东省计算机信息系统安全保护条例》第十二条之规定。
根据《广东省计算机信息系统安全保护条例》第四十条第一款第(二)项之规定,广州警方对该公司作出行政处罚,并责令其限期改正。
【典型意义】
网络安全等级保护制度是《网络安全法》规定网络运营者必须落实的一项法定义务,也是新时期保障网络安全的一项基本国策和基本制度。第二级及以上信息系统建设完成后,除依法应当到公安机关进行等级保护备案外,还应当依据国家规定的技术标准,对信息系统的安全等级状况开展等级保护测评,且测评合格后方可投入运行使用。
3.案例丨某医院第三级等保系统未落实“每年至少进行一次等级保护测评”法定义务而被处罚
【案情简介】
2022年9月,广州警方在工作中发现,广州某医院建设运营的“电子病历EMR系统”确定为三级网络,并于2020年6月按规定到公安机关进行了网络安全等级保护备案。但该系统自投入运行以来,医院一直未按规定对其安全等级状况开展等级保护测评,经公安机关督促整改后仍未进行改正,且医院的相关负责人员对该信息系统的安全情况完全不了解、不清楚,更没有对系统安全风险及时进行排查整改,未落实网络安全等级保护制度,未履行网络安全保护义务,违反了《信息安全等级保护管理办法》第十四条之规定。
根据《信息安全等级保护管理办法》第四十条第一款第(四)项之规定,广州警方对该医院作出行政处罚,并责令其限期改正。
【典型意义】
医疗卫生、教育行业等领域信息系统众多,且承载了大量的个人敏感信息和重要数据,是网络安全保护的重要行业,也是网络安全等级保护工作的重点对象。根据《信息安全等级保护管理办法》的规定,信息系统建设完成后,运营、使用单位应当依据国家相关技术标准,定期对信息系统安全等级状况开展等级保护测评,且第三级信息系统应当每年至少进行一次等级保护测评。各网络运营者均要严格遵守相关法律法规规定,严格落实网络安全等级保护定级、备案、测评等法定要求,建立健全内部安全管理制度和操作规程,落实网络安全保护责任,采取相关技术措施,保障信息系统安全稳定运行。
4.案例丨某犯罪团伙破坏计算机信息系统非法篡改打车数据被处罚。
【案情简介】
2022 年5 月,广州警方工作中发现,有人使用代理服务器代叫“网约车”。经深入侦查发现,犯罪嫌疑人通过非法破坏计算机信息系统篡改网络数据包,修改打车目的地坐标和订单号,从而绕过打车平台关于长途网约车的预支款机制,通过下游中介进行“代打车”,修改打车金额为起步价,绕开打车平台因距离远、价钱高需提前支付预付款的限制,进而实施“代叫车”;打车结束后,以正常打车价的3 到5 折向乘客收取费用,并弃用打车账号(即逃单),以此非法获利。
广州警方开展统一收网行动,成功打掉了该涉嫌破坏计算机信息系统罪和诈骗罪的作案团伙,抓获犯罪嫌疑人共20 人,扣押涉案服务器、电脑、手机、银行卡、POS 机、微信账号、服务端和手机客户端程序等涉案物品一批,经查,该团伙非法获利达28万余元。
【典型意义】
技术本身没有好坏,但利用技术危害网络安全、牟取不当利益的,必将受到法律严惩。
5.案例丨某犯罪团伙非法售卖快递物流面单个人信息被处罚
【案情简介】
2022年4月,广州警方工作中发现一个通过售卖快递物流面单为电信诈骗等上游犯罪提供公民信息的犯罪团伙,该团伙通过买通物流公司人员收买快递面单,向上家售卖牟利,严重侵犯公民个人信息。广州警方开展统一收网行动,抓获该团伙犯罪嫌疑人21名,起获作案手机、作案电脑100余台,收缴非法获取的公民个人信息高达500万条。
【典型意义】
快递物流等掌握大量公民个人信息的行业要加强从业人员管理,严格遵守各项法律法规,告诫员工切莫以身试法。广大群众要提高防范意识,如遇信息泄露,可向公安机关、互联网管理部门、市场监管部门、消协、行业主管部门和相关机构进行投诉举报。
6.案例丨某企业未及时修复网站漏洞被依法处罚
【案情简介】
2022年3月,广州警方在工作中发现,广州某企业所运营的网站存在高危漏洞,存在网络安全隐患,遂对该企业发出网络安全整改通知书,要求其限期修复漏洞。但该企业管理人员网络安全意识淡薄,未引起足够重视,导致漏洞逾期未修复。该行为违反了《网络安全法》第二十五条之规定,广州警方依法对其作出行政处罚,详细解释其行为可能造成的危害后果,并责令其限期改正。
【典型意义】
网络漏洞属于常见的网络安全隐患,但若不及时处置,容易引发黑客攻击或数据泄露风险,导致企业或公民个人信息、财产的泄漏和损失。《网络安全法》规定网络运营者应承担相应的网络安全责任和义务,在收到公安机关出具的《网络安全整改通知书》后,应立即按照要求修复漏洞消除隐患,确保系统网络和数据安全。若对网络漏洞逾期不改或拒不整改而造成网络安全危害后果的,公安机关将依法追究其法律责任。
7.案例丨某互联网公司未履行个人信息保护义务且存在超范围收集公民个人信息被处罚
【案情简介】
2022年6月,广州警方在工作中发现,广州某互联网公司开发运营的某教育类APP在未经用户同意就违规收集个人信息,甚至在用户关闭APP进程后,仍不间断收集个人信息。并且,该公司未向用户明示全部收集个人信息的目的、方式和范围,向第三方明文传输用户敏感信息,存在数据安全风险隐患,违反了《网络安全法》第四十一条规定。警方在复核过程中,发现该公司逾期仍未落实相关整改措施,导致上述违法违规行为仍然存在。根据《网络安全法》有关规定,广州警方依法作出对该公司处罚款2万元、对该APP主要负责人处罚款1万元的处罚,并责令限期改正。
【典型意义】
随着互联网信息技术发展,互联网公司等网络运营者收集掌握着越来越多的公民个人信息,根据《网络安全法》和《数据安全法》要求,网络运营者要严格履行个人信息保护义务,收集、使用个人信息应当遵循合法、正当、必要和诚信原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得收集与提供服务无关的个人信息,不得将个人信息用作与提供服务无关的用途。近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,各类网络运营者要严格落实网络和数据安全主体责任,认真履行网络安全保护义务,合法合规收集、使用个人信息,切勿以身试法,触碰法律红线。广大市民群众也要提升自身个人信息保护意识,通过正规应用商店下载APP,并仔细阅读APP隐私政策,拒绝接受不合理的权限申请。
四、专业问答
为促进互联网行业规范健康发展,进一步做好移动互联网信息服务管理,工业和信息化部近日印发《关于开展移动互联网应用程序备案工作的通知》,组织开展移动互联网应用程序(以下简称APP)备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者,应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续,未履行备案手续的,不得从事APP互联网信息服务。2023年9月至2024年3月底,《通知》发布前开展业务的APP向其住所所在地省级通信管理局履行备案手续。2024年4月至2024年6月底,电信主管部门将组织对APP备案情况开展监督检查,对仍未履行备案手续的APP依法进行处置。现就《通知》有关内容解读如下:
1.《通知》出台的背景是什么?
答:为贯彻落实习近平总书记关于网络强国的重要思想、习近平总书记关于打击治理电信网络诈骗犯罪工作的重要指示批示精神,落实《中华人民共和国反电信网络诈骗法》第二十三条“设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续”有关要求,制定印发《通知》。
工业和信息化部全面调研我国移动互联网应用程序(以下简称APP)有关情况,在广泛征集APP主办者等互联网信息服务提供者、网络接入服务提供者、应用分发平台、智能终端生产企业等各方意见的基础上,组织开展APP备案工作,着力提升对APP监管效能,促进互联网行业高质量发展,助力网络强国和数字中国建设。
2.APP备案是指什么?
答:自2000年起,依据《互联网信息服务管理办法》(国务院令第292号)规定,电信主管部门对从事互联网信息服务的网站开展备案核准工作(即ICP备案)。经过20多年的持续优化完善,已形成“电信主管部门—网络接入服务提供者—互联网信息服务提供者”三级架构的ICP备案核准管理体系,运行机制成熟稳定高效,对促进互联网行业规范健康发展发挥了积极作用。
随着移动互联网快速发展,APP已成为互联网信息服务的重要载体,APP与网站同属于提供互联网信息服务,应按照国家法律法规要求,向电信主管部门参照网站备案的方式履行备案手续,登记实名、网络资源和业务等信息。
3.怎样办理APP备案?
答:为方便APP主办者办理备案,APP主办者在填写有关备案材料并实名核验后,由其网络接入服务提供者或应用分发平台通过“国家互联网基础资源管理系统”(即ICP/IP地址/域名信息备案管理系统,以下简称备案系统),向APP主办者住所所在地通信管理局在线提交备案申请,APP主办者无需到通信管理局窗口排队办理。
同时,为降低主办者负担,减少信息填报量,APP备案信息沿用了原有网站备案信息,对于已履行网站备案手续的主办者,不需要重新填报主体身份信息,仅需补充APP有关信息即可。
4.如何获取备案结果?
答:省级通信管理局在收到APP主办者提交的备案材料后,材料齐全并准确的,在二十个工作日内予以备案,发放备案编号,并通过短信、邮件形式告知,主办者也可以通过备案系统网站http://beian.miit.gov.cn自行查询。材料不齐全或不准确的,省级通信管理局不予备案,并说明理由。
此外,APP主办者应在显著位置标注其备案编号,分发平台应在显著位置标注其分发的APP备案编号。
5.APP需何时完成备案?
答:综合考虑APP主办者、网络接入服务提供者、应用分发平台、智能终端生产企业实际业务情况,《通知》中预留了10个月时间作为APP备案工作的过渡期。
2023年9月至2024年3月底,《通知》发布前开展业务的APP向其住所所在地省级通信管理局履行备案手续。2024年4月至2024年6月底,电信主管部门将组织对APP备案情况开展监督检查,对仍未履行备案手续的APP依法进行处置。
《通知》发布后拟开展业务的APP,应先履行备案手续后再开展业务。
6.有关单位还需遵守的其他要求?
答:网络接入服务提供者、应用分发平台、智能终端生产企业不得为未履行备案手续的APP提供网络接入、分发、预置等服务。
APP主办者、网络接入服务提供者、应用分发平台、智能终端生产企业应当建立健全违法违规信息监测和处置机制,发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向电信主管部门报告,依据电信主管部门要求进行处置。