国内数据治理资讯(2023.9.25-2023.10.15)
全文共计6400字,阅读约需22分钟
本期摘要近期,数据跨境传输、数据利用、数据安全保护等面临规则新动向。国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》,对当前数据出境规则做出诸多调整。科技部等十部门联合印发《科技伦理审查办法(试行)》,开展包括利用个人信息数据等在内的科技活动应当进行科技伦理审查。工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》,细化数据安全风险评估的相关要求。数据安全与个人信息保护执法持续推进,上海市网信办对属地46款App收集使用个人信息情况开展专项检查。个人信息保护不当,宁夏6家物业公司被公安机关处罚。
国内动态
1.国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》
9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,对当前数据出境规则做出诸多调整。
根据该《征求意见稿》,为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
此外,《征求意见稿》明确,自由贸易试验区可自行制定负面清单。负面清单外数据出境,可不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
信息来源:
http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm
2. 国家金融监管总局发布《保险销售行为管理办法》
9月28日,国家金融监管总局发布《保险销售行为管理办法》。《办法》对保险销售中的个人信息保护问题作出专门规定。
《办法》要求保险公司、保险中介机构应当按照合法、正当、必要、诚信的原则收集处理投保人、被保险人、受益人以及保险业务活动相关当事人的个人信息,并妥善保管,防止信息泄露;未经该个人同意,保险公司、保险中介机构、保险销售人员不得向他人提供该个人的信息,法律法规规章另有规定以及开展保险业务所必需的除外。
保险公司、保险中介机构应当加强对与其合作的其他机构收集处理投保人、被保险人、受益人以及保险业务活动相关当事人个人信息的行为管控,在双方合作协议中明确其他机构的信息收集处理行为要求,定期了解其他机构执行协议要求情况,发现其他机构存在违反协议要求情形时,应当及时采取措施予以制止和督促纠正,并依法追究该机构责任。《办法》自2024年3月1日起施行。
信息来源:
http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1129961&itemId=917&generaltype=0
3. 科技部等十部门联合印发《科技伦理审查办法(试行)》
10月8日,由科技部、教育部、工信部等十部门联合印发的《科技伦理审查办法(试行)》正式公布。《审查办法》明确规定开展包括利用人类生物样本、个人信息数据等在内的科技活动应当进行科技伦理审查。相关单位应设立科技伦理(审查)委员会。
关于审查重点,涉及数据和算法的科技活动,应当审查数据的收集、存储、加工、使用等处理活动以及研究开发数据新技术等是否符合国家数据安全和个人信息保护等有关规定,数据安全风险监测及应急处理方案是否得当;算法、模型和系统的设计、实现、应用等是否遵守公平、公正、透明、可靠、可控等原则,是否符合国家有关要求,伦理风险评估审核和应急处置方案是否合理,用户权益保护措施是否全面得当。
值得关注的是,《审查办法》还列出了需要开展伦理审查复核的科技活动清单。根据该清单,具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发以及面向存在安全、人身健康风险等场景的具有高度自主能力的自动化决策系统的研发均需开展伦理审查复核。
信息来源:
https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/fgzc/gfxwj/gfxwj2023/202310/t20231008_188309.html
4. 工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》
10月9日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。该《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,旨在落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》关于数据安全风险评估的相关要求。
《实施细则》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。《实施细则》明确评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素,并按照以上要素细化了具体评估内容。
信息来源:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e11152265eba4c9c9876a20c63715a1a.html
5. 国家网信办发布《第一批应用程序分发平台备案编号》
9月27日,国家互联网信息办公室发布《第一批应用程序分发平台备案编号》,包括小米应用商店、华为应用商店、微信小程序、百度小程序等26家应用程序分发平台。2022年8月1日《移动互联网应用程序信息服务管理规定》正式实施以来,国家互联网信息办公室依法依规组织开展应用程序分发平台备案管理工作。
公告强调,根据《移动互联网应用程序信息服务管理规定》有关要求,备案仅是对应用程序分发平台提供分发服务行为的确认,不代表对该平台服务能力和其在架应用程序的认可。
信息来源:
http://www.cac.gov.cn/2023-09/26/c_1697385564755915.htm
6. 工信部通报2023年第5批侵害用户权益行为APP
9月27日,工信部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,组织第三方检测机构对群众关注的公共服务、休闲娱乐、酒店餐饮等移动互联网应用程序(APP)、小程序、第三方软件开发工具包(SDK)进行检查。名单显示目前的主要问题包括:APP强制、频繁过度索取权限,违规收集个人信息,欺骗误导强迫用户,超范围收集个人信息,收集个人信息明示告知不到位等。名单提及的App及SDK应按有关规定进行整改,整改落实不到位的,工信部将依法依规组织开展相关处置工作。
信息来源:
https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_1947ff89d3d94503afb10c28e16b0c40.html
7. 工信部发布组织开展2023年数据安全典型案例遴选工作
9月28日,工信部发布《关于组织开展2023年工业和信息化领域数据安全典型案例遴选工作的通知》。申报主体须为数据安全典型案例的实际应用方,包括从事电信、互联网、工业等生产运营单位。
征集的案例划分为“工业领域”“电信和互联网领域”,每域遴选“四方向、十类型”数据安全典型案例。具体包括:1)数据安全基础共性方向,如数据分类分级类案例、数据脱敏类案例、数据加密类案例、数据攻击检测类案例以及数据防泄露类案例;2)数据安全监测分析方向,如数据安全监测感知类案例、数据溯源类案例;3)数据安全体系整体设计实施方向,如整体设计实施类案例;4)其他方向,如电信和互联网领域隐私计算类案例、汽车数据安全保护类案例。
信息来源:
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_2468617b1f704cac9dc4221dfef43f8b.html
8. 金融监管总局、中国人民银行、中国证监会发布金融消费者权益保护典型案例
10月10日,金融监管总局、中国人民银行、中国证监会发布金融消费者权益保护典型案例。此次发布金融消费者权益保护典型案例共28个,覆盖银行、证券、保险、支付等领域。
其中多起涉及个人信息安全。例如某消费金融公司利用格式合同强制授权,无差别地获取借款人关系人、通讯行为、通讯信息、互联网使用信息等个人信息。某商业银行员工通过虚构业务办理需求,查询公民个人征信报告,累计出售个人征信报告900余份,非法获利20余万元。某保险公司代理人利用客户姓名、身份证号违规查询大量客户理赔信息,涉及个人家庭住址、工作单位、手机号码等敏感信息。监管提示:《银行保险机构消费者权益保护管理办法》明确要求银行保险机构不得采取变相强制、违规购买等不正当方式收集消费者个人信息,禁止从业人员违规查询、下载、复制、存储、篡改消费者个人信息。去年以来,监管部门对违法违规处理消费者个人信息行为进行了专项整治并加大打击力度,指导和督促银行保险机构在充分发挥数据价值的同时切实保护消费者个人信息安全。
信息来源:
http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1130945&itemId=4099
9. 外交部部长王毅强调:要加快提升生物安全、网络安全、数据安全、人工智能安全等领域对话合作
9月26日,国新办就《携手构建人类命运共同体:中国的倡议与行动》白皮书举行发布会,中央政治局委员、外交部部长王毅在会上表示,当今世界正处于百年未有之大变局,地缘竞争日趋激烈,冷战思维沉渣泛起,强权霸凌行径危害日深,恐怖主义、网络攻击、跨国犯罪、生物安全等非传统安全挑战持续上升,人类社会又一次走到了何去何从的关键当口。建设一个什么样的世界,如何建设这个世界,是我们必须答对的考卷。两次热战、一次冷战殷鉴不远,阵营对抗、零和博弈没有前途。惟有构建人类命运共同体,才是世界各国人民希望所在。光明不会自动到来,未来需要携手开创。
王毅强调,我们要为普遍安全创造有利环境。关键是倡导共同、综合、合作、可持续的安全观,坚持通过对话协商解决国家间分歧和争端,重视彼此合理安全关切,反对肆意扩大军事同盟、挤压别国的安全空间。要更好统筹维护传统领域和非传统领域安全,加快提升生物安全、网络安全、数据安全、人工智能安全等领域对话合作,共同做好风险防范。
信息来源:
http://switzerlandemb.fmprc.gov.cn/wjbzhd/202309/t20230926_11150772.shtml
10. 中消协发布2023年第三季度消费维权舆情热点,“扫码”数据安全是五大热点之一
10月11日,中国消费者协会发布2023年第三季度消费维权舆情热点。消费者因预制菜销售不够透明产生侵权隐忧、消费者反馈不合理设置的共享按摩椅增添困扰、消费者呼吁商家保障“扫码”数据安全、消费者认为智能电视“套娃”收费存在欺诈陷阱、消费者认为现制饮品难选“去冰”不合理是2023年第三季度消费维权舆情五大热点。
信息来源:
https://www.sohu.com/a/727046124_362042
11. 深交所对中信证券及首席信息官出具警示函,信息系统设备可靠性管理存在缺漏
9月25日,深圳证券交易所向中信证券股份有限公司及其首席信息官方兴下发警示函。警示函显示,中信集团集中交易系统于2023年6月19日出现异常,导致部分客户交易受到影响。经调查,中信证券存在机房基础设施建设安全性不足,信息系统设备可靠性管理疏漏等问题,违反深交所《会员管理规则》第9.6条和《会员管理业务指引第1号——会员交易及相关系统管理》第五条的相关规定。方兴作为中信证券首席信息官,对相关问题负有责任。中信证券及相关人员应进一步加强重要信息系统基础设施建设,强化基础设施可靠性管理,确保信息系统安全平稳运行。
信息来源:
http://www.szse.cn/disclosure/supervision/participant/t20230925_603727.html
12. 上海市网信办与市场监管局对部分房产中介、汽车4S店开展个人信息保护工作联合检查
9月26日至27日,上海市网信办、市市场监管局执法人员对3家房产中介的线下门店,3家汽车品牌的4S门店开展个人信息保护工作现场检查,以切实维护消费者个人信息权益。现有房产中介主要存在便民服务功能频繁弹窗索要消费者精准位置信息权限、首次进入小程序未主动提示用户阅读隐私政策等普遍性问题;汽车4S店则存在频繁弹窗提示用户完善资料来收集个人信息、使用预约试驾功能时强制用户注册登录等问题。现场检查中,并未发现以上门店在消费者个人信息存储、使用环节存在相关问题。被检查企业相关负责人表示,由于对《个人信息保护法》、《消费者权益保护法》等法律规定理解不到位导致问题出现,下一步将按照检查要求,举一反三立即整改。
信息来源:
https://mp.weixin.qq.com/s/hssM-mOO78RXZP9P_OMt1w
13. 上海市网信办对属地46款App收集使用个人信息情况开展专项检查
9月28日消息,上海市网信办于2023年4月至9月,对属地下载量较大及投诉较多的46款App开展了收集使用个人信息专项检查,共发现160余项问题。其中常见的10种问题如下:(1)隐私政策关于个人信息收集使用的说明不完整或与实际情况不一致;(2)用户不同意隐私政策,App拒绝提供服务;(3)未提供用户主动勾选隐私政策、服务协议选项;(4)后台模式下超范围收集个人信息;(5)App收集敏感信息时未同步告知目的和必要性;(6)在用户同意隐私政策前,App已经收集个人信息;(7)App未提供账户注销功能或注销后信息未及时清除;(8)App在未涉及业务功能时提前申请可收集个人信息的权限;(9)频繁申请权限干扰用户使用;(10)无隐私政策。
信息来源:
https://mp.weixin.qq.com/s/IWXU8WCBvJV-6JU8ZEe63w
14. 因未履行数据安全义务,某企业被南昌市网信办处罚
10月8日消息,接上级网信部门通报,南昌某企业存在数据漏洞风险,疑似出现删库勒索事件。经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明:1.该企业运营的mongodb数据库存在未授权访问安全漏洞;2.该企业未采取相应的技术措施和其他必要措施保障数据安全,其运营的数据库被黑客删库并勒索;3.该企业未加强风险监测,发生删库勒索事件时未采取处置措施和履行主动报告义务。该企业的相关行为违反了《数据安全法》第二十七条、二十九条的规定。南昌市网信办依据《数据安全法》第四十五条的规定,对该企业作出警告并处罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。
信息来源:
https://mp.weixin.qq.com/s/BSXjQlmdKwBCusb04rrOrw
15. 数据泄漏后擅自删库,某科技公司被上海市网信办依法处罚
10月11日消息,上海市网信办工作中发现,某科技公司相关数据库存在未授权访问漏洞,部分数据被窃并传输到境外。上海市网信办将相关情况通报涉事企业并要求立即核查整改,但该科技公司无视数据安全保护责任,未进行及时有效整改且擅自将涉事数据库一删了之,意图逃避处罚。上海市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚。
信息来源:
https://baijiahao.baidu.com/s?id=1779456713910764547&wfr=spider&for=pc
16. 个人信息保护不当,宁夏6家物业公司被处罚
10月15日,公安部网安局微信公众号公布宁夏石嘴山市6家物业公司因存在信息泄露隐患,被当地公安机关依法予以行政处罚案例。7月15日以来,公安机关严肃整治物业公司信息泄露乱象,开展公民个人信息保护专项检查行动。检查中发现,多个物业公司办公电脑存储大量小区业主家庭住址、身份证号码、联系方式等个人信息。物业公司的存储数据未经加密处理,办公电脑未设开机密码,对个人信息未实行分类管理、未采取加密及去标识化等技术措施,业主个人信息被泄露的风险极大。
针对相关企业存储公民个人信息和不履行网络安全义务的违法行为,石嘴山市公安机关依据《中华人民共和国个人信息保护法》第五十一条、第六十六条之规定,对6家物业公司予以行政警告处罚并责令其限期整改。
信息来源:
https://mp.weixin.qq.com/s/eidJTxMy6J38njvR8fUfug
17. 北京市首个数据权益巡回审判庭挂牌成立,加强数据权益的司法保障
9月28日,北京互联网法院与经开区管委会签署合作共建协议,在经开区政务服务中心设立“经济技术开发区数据权益巡回审判庭”并举行揭牌仪式。合作共建协议围绕资源共享、活动共享、机制共建等几方面,建立常态化联络沟通机制,共同开展涉数据纠纷诉源治理、数据法律人才队伍建设、数据要素市场共建等合作。未来,北京互联网法院将推动数据权益巡回审判常态化开展,发挥专业和资源优势,提供多样化司法服务,积极推动北京数据基础制度先行区建设。
信息来源:
https://www.bjinternetcourt.gov.cn/cac/zw/1696907397955.html
“两高一部”联合印发《关于依法惩治网络暴力违法犯罪的指导意见》