第3期 全球数据安全合规资讯半月刊(5.1-5.15)
国
际
动
态
近期,欧盟委员会就建立“欧洲健康数据空间”公开征求意见,作为欧盟首个特定领域的通用欧洲数据空间,“欧洲健康数据空间”将解决电子健康数据访问和共享方面的健康特定挑战,也将成为建立欧洲健康联盟的重要组成部分;美国康涅狄格州州长签署《康涅狄格州数据隐私法案》,康涅狄格州将成为继加利福尼亚州、弗吉尼亚州、科罗拉多州和犹他州之后,美国第五个通过综合性消费者隐私法的州;英国公布新的《数据改革法案》,用于改革现有的GDPR和《数据保护法案》,并旨在创建一个世界级的数据权利制度。
行业层面,Facebook通过应用内提示和电子邮件通知用户,将在5月31日之后停用附近好友、后台位置等功能,并停止收集运行这些功能所需要的数据,包括位置历史记录、后台位置信息等。
一 · 新规速递
1. 以色列隐私保护局就收集和使用个人信息的通知义务展开公众咨询
5月3日,以色列隐私保护局(The Privacy Protection Authority,PPA)宣布,就收集和使用个人信息时的通知义务的解释草案展开公众咨询。
解释草案提出了PPA对《隐私保护法》(“PPL”)第 11 条的解释,重点是在同意过程框架内以及使用系统做出基于算法的决策或人工智能的框架内的咨询义务。具体而言,解释草案明确了PPL第11条规定的通知义务适用于基于此类申请收集有关某人的个人信息的情况,无论该信息是经当事人同意收集的,还是根据法律要求收集的。
此外,解释草案强调,在未向数据主体提供足够信息的情况下收集和使用个人信息可能构成违反PPL下知情同意的要求。另外,如果收集的信息特别敏感(例如生物特征信息),通知义务可能比PPL第11条所规定的范围更广泛。
来源:The Privacy Protection Authority
原文链接:https://www.gov.il/he/Departments/publications/Call_for_bids/duty_to_inform_draft
解释草案原文:
https://www.gov.il/BlobFolder/rfp/duty_to_inform_draft/he/inform_data_collaction_draft.pdf
2. 欧盟委员会就建立“欧洲健康数据空间”公开征求意见
5月3日,欧盟委员会就建立欧洲健康数据空间(the European Health Data Space,以下简称“EHDS”)公开征求意见,征询截止时间为今年7月26日。
欧洲数据战略提议建立特定领域的通用欧洲数据空间。EHDS是此类特定领域通用欧洲数据空间的第一个提议。它将解决电子健康数据访问和共享方面的健康特定挑战,是欧盟委员会在健康领域的优先事项之一,也将成为建立欧洲健康联盟的重要组成部分。
EHDS将创建一个自然人可以轻松控制其电子健康数据的公共空间。它还将使研究人员、创新者和政策制定者能够以一种保护隐私的受信任和安全的方式使用这些电子健康数据。
此次公开征求意见主要包括两个方面的内容:
一是为医疗保健、科研创新、政策和监管决策而访问和使用健康数据;
二是为健康数据服务和产品建立一个真正的单一市场。
来源:欧盟委员会
原文链接: https://ec.europa.eu/health/publications/proposal-regulation-european-health-data-space_en
3. 欧盟EDPS和EDPB就数据法案提案通过联合意见
5月5日,欧洲数据保护专员公署(EDPS)和欧洲数据保护委员会(EDPB)发布了关于拟议数据法案的联合意见。
EDPS指出,其与EDPB致力于确保《数据法案》不会影响当前的数据保护框架,同时,由于《数据法案》也将适用于高度敏感的个人数据,EDPS和EDPB敦促立法者确保数据主体的权利得到适当保护。数据主体以外的实体对个人数据的访问、使用和共享应完全符合所有数据保护原则和规则。此外,产品的设计方式应使数据主体能够获得可以匿名使用设备,或以尽可能少的隐私侵犯方式使用设备。
EDPS指出,其与EDPB一起建议共同立法者对数据主体以外的任何实体使用产品或服务所生成数据的使用进行限制,特别是在所涉数据可能允许就数据主体的私人生活得出准确的结论,或会对数据主体的权利和自由造成高风险时。EDPS和EDPB建议对将相关数据用于直接营销或广告、员工监控、计算、修改保险费和信用评分等目的引入明确的限制,以及限制数据的使用以保护易受攻击的数据主体,特别是未成年人。
来源:EDPS
原文链接: https://edps.europa.eu/press-publications/press-news/press-releases/2022/eus-data-act-data-protection-must-prevail-empower_en
意见原文:https://edps.europa.eu/system/files/2022-05/22-05-05_edps-edpb-jo-data-act_en.pdf
4. 美国康涅狄格州州长签署《康涅狄格州数据隐私法案》
5月10日,康涅狄格州州长签署了参议院第6号法案,即康涅狄格州数据隐私法案(Connecticut Data Privacy Act),该法案将于2023年7月1日生效。康涅狄格州也因此成为继加利福尼亚州、弗吉尼亚州、科罗拉多州和犹他州之后,美国第五个通过综合性消费者隐私法的州。
CTDPA适用于:
• 在康涅狄格州开展业务,或生产针对康涅狄格州居民的产品或服务;
• 在上一个日历年,无论是:
- 控制或处理至少100,000名消费者的个人数据,不包括仅为完成支付交易而控制或处理的个人数据;或
- 控制或处理至少25,000名消费者的个人数据,并且其总收入的25%以上来自个人数据的出售。
根据法案,康涅狄格州的消费者享有五项主要权利:
访问的权利。消费者有权“确认控制者是否正在处理消费者的个人数据,并访问此类个人数据”。
纠正的权利。消费者有权“在考虑到个人数据的性质和处理消费者个人数据的目的的情况下,纠正消费者个人数据中的不准确之处”。
删除的权利。消费者还有权“删除由消费者提供的或获得的关于消费者的个人数据”。
数据可移植性的权利。在行使其访问权时,消费者有权“以便携、在技术上可行的范围内、易于使用的格式,获取由控制者处理的消费者个人数据的副本。该格式使消费者能够不受阻碍地通过自动化方式将数据传输给另一个控制者,前提是不应要求该控制者透露任何商业秘密。”
选择退出的权利。消费者有权“出于以下目的,选择拒绝处理个人数据”:有针对性的广告;出售个人数据;或为促进出台有关消费者的法律或类似的重大影响,完全自动决定而进行的特征分析。
来源:DataGuidance
原文链接: https://www.dataguidance.com/news/connecticut-governor-signs-act-concerning-personal-data
法案原文:https://www.cga.ct.gov/2022/ACT/PA/PDF/2022PA-00015-R00SB-00006-PA.PDF
5. 英国公布《数据改革法案》:创建一个世界级的数据权利制度
5月10日,英国王储查尔斯王子在议会开幕仪式上代英女王发表演讲,提及了38项预计在未来一年内通过的法案,其中包括《数据改革法案》(Data Reform Bill)。
《数据改革法案》将用于改革英国现有的《通用数据保护条例》(GDPR)和《数据保护法案》(Data Protection Act),并旨在:1)利用英国脱欧的好处创建一个世界级的数据权利制度,该制度将允许创建一个新的有利于增长和值得信赖的英国数据保护框架,以减轻企业负担、促进经济发展、帮助科学家创新和改进英国人民的生活;2)使信息专员办公室现代化,确保其有能力和权力对违反数据规则的组织采取更有力的行动,同时要求其对议会和公众更加负责;3)增加行业对智能数据计划的参与,这将使公民和小型企业能够更好地控制他们的数据,并通过帮助改善在健康和社会护理环境中对数据的适当访问来帮助那些需要医疗保健治疗的人。
来源:DataGuidance
原文链接: https://www.dataguidance.com/news/uk-data-reform-bill-announced-2022-queens-speech
女王演讲和公告的简报原文:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1074113/Lobby_Pack_10_May_2022.pdf
6. 美国众议院通过《促进数字隐私技术法案》
5月11日,美众议院通过了关于促进数字隐私技术法案的第847号众议院决议(HR 847)。HR 847将隐私增强技术定义为通过增强可预测性、可管理性、可分离性和机密性来减轻个人隐私风险的任何软件或硬件解决方案、技术流程或其他技术手段。
具体来说,HR 847建议隐私增强技术可包括:
用于促进数据计算或分析同时降低隐私风险的加密技术;
公开共享数据的技术,无需对特定个人做出推断;
使个人能够控制其数据的传播、共享和使用的技术;
生成合成数据的技术;
降低重新识别风险的任何其他技术或方法,包括与其他信息结合使用时。
此外,HR 847指示美国国家科学基金会支持对隐私增强技术进行优秀审查和竞争性奖励的研究。网络和信息技术研究与开发计划(NITRD)必须与适当的机构协调,以加速隐私增强技术的开发、部署和采用。
下一步,HR 847 将在参议院进行审议。
来源:Congress.gov
原文链接: https://www.congress.gov/bill/117th-congress/house-bill/847/actions
7. G7通过行动计划,以信任促进数据自由流动
5月11日,G7数字部长通过了一项关于当前与数字转型和相关框架相关的问题的部长级宣言。
该宣言承诺在数字化和环境、数据、数字市场竞争和电子安全等多个主题上实现共同的政策目标。在数据政策方面,该宣言提出了“可信的数据自由流动”(Data Free Flow with Trust,DFFT)的概念,并概述了七国集团已通过了七国集团行动计划《促进可信数据自由流动计划》。
G7通过行动计划概述了以下行动:
加强DFFT的证据基础,其中包括努力更好地理解数据本地化、其影响和替代方案;
以共性为基础,以促进未来的互操作性,包括分析标准合同条款等常见做法和增强信任的技术;
继续监管合作,包括围绕隐私增强技术的监管方法、数据中介、网络跟踪、紧急风险、跨境沙箱以及促进数据保护框架的互操作性等进行讨论;
在数字贸易的背景下推广DFFT;
分享有关国际数据空间前景的知识,行动计划概述,这可能被视为组织和部门内可信和自愿数据共享的一种新兴方法。
来源:DataGuidance
原文链接: https://www.dataguidance.com/news/international-g7-adopts-action-plan-promoting-data-free
宣言原文:https://www.bundesregierung.de/resource/blob/998440/2038510/e8ce1d2f3b08477eeb2933bf2f14424a/2022-05-11-g7-ministerial-declaration-digital-ministers-meeting-en-data.pdf?download=1
8. 欧盟数据保护委员会发布 2021 年年度报告
5月12日,欧洲数据保护委员会(EDPB)发布了2021年年度报告,该年度报告介绍了EDPB在2021年开展的工作。
年度报告强调,在过去一年里,EDPB继续重点关注个人数据的国际传输,还通过了关于其他国际传输工具(如行为准则)的指导文件,并与欧洲数据保护专员公署(EDPS)一起就欧盟委员会发布的一套新的标准合同条款通过了联合意见。数字政策也是EDPB的重点工作之一,EDPB和EDPS就数据治理法案和AI法案草案通过了联合意见。
此外,年度报告强调2022年目标包括就合法利益作为法律依据和执法当局使用面部识别等各种主题的指导工作。最后,年度报告指出,EDPB还将继续努力优化合作和执法。
来源:EDPB
原文链接: https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf
二 · 监管动向
1. 美国SEC新规要求上市企业加强信息披露,银行协会提出最新建议
5月9日,针对美国证券交易委员会(the Securities Exchange Commission, SEC)提出的“关于网络安全风险管理、战略、治理和事件披露要求的拟议规则”,美国银行家协会、银行政策研究所、美国独立社区银行家协会和美国中型银行联盟提出联合意见。
2022年3月9日,SEC提出修改现有规则,规范和强化上市公司对网络安全风险管理、战略、治理和事件报告的披露流程。根据SEC提议中的措施,公司必须在当前的报告文件,包括8-K表格中详细说明何时遇到了风险,以及采取了什么策略来应对和管理风险。新规定还要求上市公司定期报告情况,尤其是在确定重大网络安全事件的四个工作日内进行信息披露,帮助投资者了解已披露的重大信息安全事件的更完整信息,并要求公司对于信息安全风险对其财务状况的可能影响进行分析。SEC表示,这将帮助投资者更高效地评估信息安全风险,并为此做好准备。
在这方面,各协会表示:
拟议规则没有充分考虑其他政策目标,包括确保注册人的网络安全、保护金融机构的安全和稳健,以及查明严重网络犯罪的肇事者并将其绳之以法;
拟议规则对表格8-K上重大网络安全事件的披露时间和内容提出了要求,而没有充分考虑此类披露在某些情况下可能造成的安全风险和危害,因此除其他外,建议:
——在最终规则中,应将表格8-K中要求披露网络安全事件的时间更改为注册人合理确定网络安全事件不再持续且公开披露该事件不会发生后的四个工作日严重危害注册人安全的:
——鉴于此类披露会给他们带来安全风险,不应要求注册人披露事件已得到补救的程度;
——拟议规则中概述的某些定义,包括“网络安全事件”和“信息系统”,范围过广,应予以澄清。
此外,各协会表示,他们不支持注册人披露董事会成员的网络安全专业知识的新要求。因为这一拟议的要求会暗示:如果董事会里没有掌握此类特定专业知识的董事,则其在某种程度上是有缺陷的。
来源:DataGuidance
原文链接: https://www.dataguidance.com/news/usa-banking-associations-submit-joint-comments-secs
2. 拜登政府起草行政命令,拟阻止中国等国家获取其公民个人数据
5月12日消息,拜登政府已经起草一项行政命令,将赋予美国司法部阻止中国等国家获取美国公民个人数据的权力,并指示卫生与公众服务部(HHS)阻止联邦资金支持将美国健康数据转移给美国认为的所谓“外国对手”。目前,该命令正在接受政府机构的审查。
事实上,在特朗普政府禁止美国人使用流行的社交媒体平台TikTok和微信失败后,该行政命令反映了当前拜登政府的新努力——应对可能获取美国个人数据的外国公司所构成的国家安全威胁(然而,中国及相关应用程序都已否认对美国数据的任何不当使用,但美国政府依旧坚持自己的观点)。
新的行政命令一旦实施,该命令将赋予司法部明确的权力,可以“监督并执行根据先前行政命令发布的任何禁令,许可证或缓解协议的遵守情况”,还要求美国商务部长确定哪些类别的交易是完全禁止的,哪些是豁免的。美国司法部长梅里克·加兰将被授权审查并可能阻止“涉及出售或访问数据、且被认为对国家安全有风险的商业交易”。
来源:路透社官网
原文链接:https://www.reuters.com/world/us/exclusive-biden-eyes-new-ways-bar-china-scooping-up-us-data-2022-05-11/
三 · 行业动态
1. Facebook将停用后台位置等功能,并承诺删除这些位置信息
5月9日消息,近期,Facebook通过应用内提示和电子邮件通知用户,将在5月31日之后停用附近好友、后台位置等功能,并停止收集运行这些功能所需要的数据,包括位置历史记录、后台位置信息等。
据了解,附近好友的功能允许用户与其他Facebook好友分享他们的当前位置。除此功能外,天气预警、历史位置记录、后台位置也被纳入了停用清单。
至于Facebook停用这些功能的原因,Facebook母公司Meta的发言人Emil Vazquez在一封电子邮件中表示,该公司“由于使用率低”而关闭了这些功能。值得注意的是,最近几年,Facebook在用户个人信息保护问题上争议不断,停用这些功能或许让Facebook“松了一口气”。
另外,Facebook通知还称,8月1日之后,现有的位置记录信息也将被自动删除。这将是Facebook自2021年11月决定关闭其面部识别系统并擦除其建立的数据库以来最大的批量数据删除。
来源:FastCompany
原文链接:https://www.fastcompany.com/90750241/facebook-will-soon-stop-tracking-your-location-and-delete-your-location-history
四 · 典型案例
1. 美国一医疗保健机构向OCR通报数据安全事件
5月4日,美国非营利性社区医疗保健系统机构Vail Health向美国卫生与公众服务部(HHS)民权办公室(OCR)通报了一起影响17,039人的数据安全事件。
Vail Health特别指出,未经授权的第三方已获得访问其计算机网络中包含COVID-19检测结果文件的受限位置的权限。更具体地,可能受影响的信息包括姓名、出生日期、联系信息、COVID-19检测结果以及跟踪个人与Vail Health互动的内部参考号码。
Vail Health强调,在得知该事件后,其已经进行了调查并进一步保护其系统,并为计算机网络中受影响位置的文件增加了额外的安全层。
来源:DataGuidance
原文链接:https://www.dataguidance.com/news/usa-vail-health-notifies-ocr-data-security-incident
国
内
动
态
近期,国家发改委印发《“十四五”生物经济发展规划》,武汉市人民政府印发《武汉市支持数字经济加快若干政策的通知》,北京市经济和信息化局发布《北京市数字经济促进条例(征求意见稿)》,相关规定旨在促进数据产业发展的同时,均强调相应的安全保障。
标准编制方面,继4月24日《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求(GB/T 41391-2022)》等十项网络安全国家标准正式发布后,工信部牵头编制的《APP收集使用个人信息最小必要评估规范》等4项标准报批公示,APP个人信息保护依旧是合规的重点领域。
司法层面,全国首例短视频平台网络“爬虫”案宣判,确认“网络爬虫作为一项技术手段本身并不违法,但采取避开或突破计算机信息系统的安全保护措施,未经许可进入被害单位的计算机系统,即属于非法获取计算机信息系统数据罪中的侵入行为”这一立场。同时,最高检指导下培育的数据合规典型案例—Z网络科技有限公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证,参与听证各方最终一致同意对涉案单位及人员作出不起诉决定。
一 · 新规速递
1. 工信部:《APP收集使用个人信息最小必要评估规范》等4项标准报批公示
5月7日,工业和信息化部科技司发布消息称,根据标准制修订计划,相关标准化技术组织已完成通信行业《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第1部分:总则》等4项行业标准的制定工作。在以上标准批准发布之前,为进一步听取社会各界意见,现予以公示,截止日期2022年6月7日。
标准编号、名称及主要内容如下:
2. 国家发改委印发《“十四五”生物经济发展规划》:促进健康数据共享和发展
5月10日,国家发展改革委印发《“十四五”生物经济发展规划》(以下简称《规划》)。
作为我国首部生物经济五年规划,《规划》指出,要促进数据共享。利用第五代移动通信(5G)、区块链、物联网等前沿技术,实现药品、疫苗从生产到使用全生命周期管理,构建药品追溯体系。整合健康可穿戴设备、互联网医疗、医疗保险等多源异构数据,实现健康态数据和主动健康产品数据互联互通。促进区域医疗健康数据安全有序汇聚与共享,支撑区域卫生健康大数据产业发展。
来源:国家发改委官网
3. 《江西省数据条例(征求意见稿)》公开征求意见
4月28日,江西省发展改革委发布《江西省数据条例(征求意见稿)》。征求意见稿共八章六十条,涉及公共数据、非公共数据、数据要素市场、数据开发利用、数据安全等内容。
征求意见稿规定,公共管理和服务机构采集公共数据应当遵循合法、正当和必要的原则,按照一项数据只有一个法定采集部门的要求,依照法定的权限、程序和标准规范采集,不得超出履行法定职责所必需的范围和限度。自然人向公共管理和服务机构申请办理各类事项需要核验身份信息时,公共管理和服务机构不得强制要求个人采用多种方式重复验证或者特定方式验证。已经通过有效身份证明文件验证身份的,不得强制通过收集指纹、虹膜、人脸等生物信息重复验证,法律、法规另有规定或者自然人同意的除外。
征求意见稿规定,公共管理和服务机构依法委托第三方服务机构开展平台建设以及运行维护的,应当按照国家和省有关规定对服务提供方进行安全审查;经安全审查符合条件的,签订服务外包协议时应当同时签订服务安全保护及保密协议,并监督服务提供方履行法律法规规定以及合同约定的数据安全保护义务,不得向受托方转移数据安全管理责任,数据归属关系。
来源:江西省人民政府网
4. 武汉市人民政府印发《武汉市支持数字经济加快若干政策的通知》
5月6日,武汉市人民政府印发《武汉市支持数字经济加快若干政策的通知》(以下称“通知”),涉及推进数字新型基础设施建设、推动数字产业化升级、促进产业数字化转型、提升数字化治理能力、强化数字经济要素支撑等五大方面,共计23条具体政策保障措施,为全面加快数字经济发展提供坚实支撑。
《通知》提出,要推进数据开放共享。深化城市大脑建设,建立数据共享责任清单机制,促进数据资源互通共享。依法依规推动信用、医疗、教育等重点领域数据资源开放共享。促进公共服务、互联网应用服务、重点行业和大型企业云计算数据中心高效利用,探索建立跨区域数据资源共享机制。要推进数据资源管理科学化。探索建立统一规范的数据管理制度,提高数据质量和规范性。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加大对政务数据、企业商业秘密和个人数据的保护力度。
来源:武汉市政府网
5. 北京市经济和信息化局发布《北京市数字经济促进条例(征求意见稿)》,鼓励市场主体入场交易数据
5月7日,北京市经济和信息化局发布《北京市数字经济促进条例(征求意见稿)》,面向社会公开征求意见。
《意见稿》共九章五十八条,分别从数字基础设施、数据资源、数字产业化、产业数字化、数字化治理、数字经济安全和保障措施等方面对本市的数字经济工作进行法规制度设计。
数字经济安全方面,《意见稿》明确任何单位和个人在本市从事数据处理活动,都要维护国家安全、公共利益和个人合法权益;强调重点保护关键信息基础设施,支持建立数据治理和合规运营制度,加强个人信息安全保护;建立健全互联网平台管理制度规则,督促平台企业规范运营;督促市、区人民政府及有关部门强化数字经济安全风险防范的职责,促进数字经济均衡、有序发展。
来源:北京市经济和信息化局
6. 陕西省人大常委会召开《陕西省大数据发展应用条例》立法座谈会
5月9日,陕西省人大常委会召开《陕西省大数据发展应用条例》立法座谈会,陕西省人大常委会党组副书记、副主任姜锋出席并讲话。
姜锋指出,制定大数据发展应用条例是陕西省人大常委会2021年的重要立法项目,是促进陕西省高质量发展的重要立法举措。他强调,要明确政府及其部门职责,牵住政务数据汇聚这个“牛鼻子”,规范数据资源汇聚整合,推动构建以基础数据库、主题数据库、专题数据库为核心,覆盖各级、各部门的全省政务数据资源体系,为跨层级、跨地域、跨部门、跨业务应用提供高质量的数据支撑。要发挥数据的基础资源作用和创新引擎作用,促进数字经济和实体经济深度融合,催生更多的新产业新业态新模式。要推动大数据在社会治理、服务保障民生中的应用,实现政府决策科学化、社会治理精准化、公共服务高效化。要强化数据资源安全监管,建立数据安全保障机制、数据安全监测预警体系,完善应急预案,有效平衡数据利用与数据保护,切实筑牢法治底线。
来源:陕西省人民政府网7. 香港个人资料私隐专员公署发布《跨境资料转移指引:建议合约条文范本》
5月12日,香港个人资料私隐专员公署(私隐公署)发布《跨境资料转移指引:建议合约条文范本》,分别提供两种不同的跨境资料转移的情况应用,即(i)由一名资料使用者转移予另一名资料使用者;(ii)由一名资料使用者转移予一名资料处理者。
此外,建议条文范本中列举的一般条款及细则,适用于由一香港机构转移个人资料至另一境外机构;或由一香港资料使用者所控制两个均属香港境外机构之间的个人资料转移。
个人资料私隐专员钟丽玲表示:即使个人资料被转移至香港境外,关键的是持份者仍须肩负起保障资料当事人个人资料私隐的责任。建议条文范本提供了实际的框架,便利由香港转移个人资料至境外地方,使机构能订立清晰的协议,在符合《个人资料(私隐)条例》规定及良好数据道德标准的前提下转移资料。
来源:香港个人资料私隐专员公署
二 · 监管动向
1. 公安部:三年来共侦办侵犯公民个人信息案件2.2万起
5月7日,公安部召开线上发布会,通报三年来全国公安机关坚持政治建警、改革强警、科技兴警、从严治警取得的成效等。
发布会指出,三年来,公安机关组织开展打击电信网络诈骗犯罪集群战役,推动落实综合治理措施,破获电信网络诈骗案件96.4万起。连续3年组织“净网”专项行动,聚焦网上突出违法犯罪和网络乱象,切实保障数字经济健康发展,保护人民群众合法权益,共侦办案件19.3万起,深入贯彻《数据安全法》《个人信息保护法》,共侦办侵犯公民个人信息案件2.2万起;集中打击整治跨境赌博违法犯罪活动,2020年1月1日至2022年3月31日,全国各地公安机关共侦办跨境赌博及相关犯罪案件4.2万起,打掉网络赌博平台6066个,打掉非法支付平台和地下钱庄4698个、非法技术服务团队2497个、赌博推广平台3627个。
2. 国家网信办等四部门发布《关于规范网络直播打赏的意见 加强未成年人保护的意见》
5月7日,中央文明办、文化和旅游部、国家广播电视总局、国家互联网信息办公室四部门发布《关于规范网络直播打赏 加强未成年人保护的意见》(以下称“意见”)。
《意见》提出,禁止未成年人参与直播打赏。网站平台应当坚持最有利于未成年人的原则,健全完善未成年人保护机制,严格落实实名制要求,禁止为未成年人提供现金充值、“礼物”购买、在线支付等各类打赏服务。网站平台不得研发上线吸引未成年人打赏的功能应用,不得开发诱导未成年人参与的各类“礼物”。发现网站平台违反上述要求,从严从重采取暂停打赏功能、关停直播业务等措施。
同时,相关部门将指导网站平台切实履行主体责任,认真落实相关政策法规,健全账号注册、资质审核、日常管理、违规处置等制度要求。
来源:中国网信网
3. 美副国务卿舍曼访问非洲时污蔑华为,赵立坚回应称无稽之谈
5月9日,在外交部发言人赵立坚主持的记者会上,有记者提问说:我们注意到,近日美国常务副国务卿舍曼在访问非洲期间称,当一些国家选择中国华为公司作为通信商时,就意味着放弃主权,这是在把本国数据移交给另一国,让自己接受监视而又毫无察觉。请问发言人对此有何评论?
赵立坚回应称:美方有关官员对中方的污蔑抹黑言论完全是无稽之谈。她的表态只能再次暴露出她反华遏华、蓄意挑拨中非合作的图谋。包括华为在内的中国企业同非洲国家以及世界上其他很多国家都开展了良好的互利合作,有力促进了当地通讯基础设施改善和发展,为当地民众提供了先进、优质、安全、廉价的服务,受到普遍欢迎。在合作过程中,也没有发生过一起网络安全事故或监听监视行为。
来源:环球时报
4. 江西开展为期四个月的App侵害用户权益治理专项行动
5月11日,江西省通信管理局发布《关于开展江西省App侵害用户权益治理专项行动的通知》,将开展为期四个月的App侵害用户权益治理专项行动。
本次整治聚焦人民群众反映强烈和社会高度关注的App侵犯用户合法权益行为,重点对APP、SDK违规处理用户个人信息,设置障碍、频繁骚扰用户,欺骗误导用户以及应用分发平台责任落实不到位四个方面开展规范整治。
通知要求提高思想认识。各企业要深刻认识App侵害用户权益治理工作的重要性和紧迫性,高度重视本次专项行动,精心组织,周密部署,严格按照进度安排,有序推进清单梳理、自查自纠、问题整改等各项任务。压实主体责任。各企业要配备与业务规模相适应的APP个人信息保护机构和专门人员,建立以个人信息为中心的数据安全保障体系,做好覆盖个人信息处理活动全场景的数据安全防护工作,提升App个人信息保护能力,防范数据滥用安全风险。强化问题整改。各企业要落实企业主体责任,对监管部门检测发现的问题及时整改反馈,同时不断总结经验,分析原因,找准问题症结,举一反三,推动APP应用规范化,杜绝类似问题再次发生,确保专项行动取得实效。
来源:江西省通信管理局
5. 中央网信办举报中心发布主要商业网站平台2022年4月份网络侵权举报受理处置情况
5月11日,中央网信办举报中心发布主要商业网站平台2022年4月份网络侵权举报受理处置情况。
2022年4月,微博、抖音、百度、腾讯、知乎、哔哩哔哩、小红书、快手、豆瓣、网易、新浪、搜狐等主要商业网站平台重点受理泄露他人隐私、侮辱谩骂、造谣诽谤等网络侵权举报达43.96万件。其中,微博受理相关举报375927件,抖音受理相关举报17432件,百度受理相关举报17166件,腾讯受理相关举报11638件,知乎受理相关举报8609件,哔哩哔哩受理相关举报4843件,小红书受理相关举报1742件,快手受理相关举报942件,网易受理相关举报454件,新浪受理相关举报321件,豆瓣受理相关举报314件,搜狐受理相关举报198件。
目前,中央网信办举报中心已组织国内主要商业网站平台定期向社会公布网络侵权举报处置情况。广大网民可主动依法举报维权,自觉净化网络环境,共同守护清朗网络空间。
来源:中国网信网
6. 国家计算机病毒应急处理中心监测发现十八款违法移动应用
新华社5月12日消息,国家计算机病毒应急处理中心近期通过互联网监测发现18款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。
1)未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及13款App如下:
《微微小号》(版本1.1.3,360手机助手)、《护牙者》(版本1.8.2,360手机助手)、《商标宝》(版本1.7.0,360手机助手)、《悠久之树》(版本1.0.601,哔哩哔哩)、《路行天下》(版本2.2.5,华为应用市场)、《金戈多》(版本5.2.0,华为应用市场)、《单车信息》(版本3.2.4,豌豆荚)、《美潮直聘》(版本4.0.3,豌豆荚)、《贝壳找房》(版本2.78.1,小米应用商店)、《网路出行》(版本2.4.2,应用宝)、《HiGo出租》(版本2.5.3,应用宝)、《凹凸世界》(版本1.3.6,应用宝)、《新笑傲江湖》(版本1.0.153,应用宝)。
2)App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及5款App如下:
《保未来》(版本6.0.5,360手机助手)、《商标宝》(版本1.7.0,360手机助手)、《明日方舟》(版本1.8.01,哔哩哔哩)、《悠久之树》(版本1.0.601,哔哩哔哩)、《网路出行》(版本2.4.2,应用宝)。
3)未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及9款App如下:
《护牙者》(版本1.8.2,360手机助手)、《悠久之树》(版本1.0.601,哔哩哔哩)、《公主连结Re:Dive》(版本4.9.3,哔哩哔哩)、《命运-冠位指定》(版本2.36.1,哔哩哔哩)、《金戈多》(版本5.2.0,华为应用市场)、《美潮直聘》(版本4.0.3,豌豆荚)、《九阴真经3D》(版本1.4.4,小米应用商店)、《网路出行》(版本2.4.2,应用宝)、《新笑傲江湖》(版本1.0.153,应用宝)。
4)未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及3款App如下:
《保未来》(版本6.0.5,360手机助手)、《路行天下》(版本2.2.5,华为应用市场)、《单车信息》(版本3.2.4,豌豆荚)。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:新华网
三 · 行业动态
1. 微信:小程序开发者不得在非必要情况下强制用户授权手机号
5 月 2 日消息,据微信方面发布,部分小程序开发者不合理地要求用户授权提供手机号等个人信息,中断了正常的使用流程,影响了用户的使用体验,同时会带来个人隐私信息泄露的风险。这种行为违反了《微信小程序平台运营规范》第15.1.3款“除非相关法律要求,或经用户同意,否则不得要求用户输入个人信息(手机号、出生日期等)才可使用其功能,或收集用户密码或者用户个人信息(包括但不限于,手机号、身份证号、生日、住址等)”的规定。
为帮助开发者理解及避免违规,微信官方还展示了这类违规行为的常见示例及具体解析,并要求开发者不要在非必要情况下强制用户授权手机号;用户拒绝授权后,不得在用户每次重新打开小程序时频繁向用户询问、调用手机号授权接口。
来源:IT之家
2. 北京尚德教育机构视频监控员工居家办公
央广网5月11日消息,近日,有人在脉脉爆料尚德教育机构要求北京朝阳全区的员工实行居家办公,并要求员工连夜安装电脑监控软件,必须每5分钟自动截屏,每天截屏不够89次的算旷工。
尚德机构回应称,由于北京疫情形势严峻,响应政府关于员工居家办公的指示,为确保员工工作效率,公司采取了疫情期间居家办公的应急管理办法,并在员工知情同意的情况下,由员工自行安装软件进行办公。在工作时间内,软件会抽查员工的工作状态。该远程办公措施目前处于试运行阶段,对于员工就餐休息等个人时间,不属于工作时间,不做抽查。
来源:央广网
四 · 典型案例
1. 全国首例短视频平台网络“爬虫”案宣判
5月10日,经江苏省无锡市梁溪区人民检察院提起公诉,梁溪区人民法院以提供侵入计算机信息系统程序罪判处被告人丁某有期徒刑一年六个月,缓刑两年,并处罚金三万元。此案系全国首例短视频平台领域网络“爬虫”案件。
经查,丁某于2021年从丁某某(另案处理)处以9800元的价格购进汇易获客软件成为代理商,利用该软件可以入侵某些短视频平台的服务器,通过关键词搜索可以快速抓取平台信息,主要包括用户名、UID、签名及评论等,再通过软件把UID转换成二维码,来精准定位客户。丁某对该软件进行了重新包装,“改头换面”后对外销售,违法所得2.4万余元。
无锡市梁溪区检察院检察官林虹称:网络爬虫作为一项技术手段本身并不违法,但由于本案的软件采取了避开或突破计算机信息系统的安全保护措施,未经许可进入被害单位的计算机系统,即属于非法获取计算机信息系统数据罪中的侵入行为。
该案承办法官表示:本案中涉及的“爬虫”软件是利用技术手段突破短视频平台的反爬措施,非法获取后台服务器内指定的数据文件,互联网行业的从业人员,要高度重视信息系统安全,严格落实相关法律法规要求,合法合规开展自身业务。
来源:法治日报
2. 首例数据合规不起诉案件公开听证会顺利举行
5月14日消息,日前,上海市普陀区检察院邀请听证员、侦查人员、企业合规第三方考察员和被害单位等,以远程方式对Z网络科技有限公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证,四名全国人大代表受邀旁听。
该案系在最高检指导下培育的数据合规典型案例。该案中,2019年至2020年,Z网络科技有限公司在未经授权许可的情况下,为运营需要,由公司首席技术官陈某某指使多名技术人员,通过数据爬虫技术,非法获某外卖平台数据,造成某外卖平台直接经济损失4万余元。案发后,Z公司积极赔偿损失并取得谅解。根据Z公司申请,普陀区检察院向其制发合规检察建议,并启动范式合规审查。
普陀区检察院实地走访Z公司查看经营现状、会同监管部门研商Z公司运营情况后,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议,指导Z公司作出合规承诺。
针对检察建议的整改要求,Z公司围绕管理、技术、制度进行自查整改,并聘请法律顾问团队制定数据合规整改计划,严格按照合规承诺扎实推进。网信办、某知名互联网安全企业、产业促进社会组织等第三方组织的专家成员,通过询问谈话、走访调查、审查资料、召开培训会等形式,全程监督Z公司数据合规整改工作。考察期限届满,第三方组织评定Z公司合规整改合格。
最后,普陀区检察院对本案合规评估合格、社会危害性和是否可作不起诉处理进行公开审查听证。经评议,参与听证各方认为涉案单位数据合规整改到位一致同意对涉案单位及人员作出不起诉决定。
来源:上海普陀检察微信公众号
第九十二期网络安全政策法律动态半月刊(2022.5.1—2022.5.15)