国内数据治理资讯(2023.11.1-2023.11.15)
近期,2023年世界互联网大会乌镇峰会召开,国家主席习近平开幕式视频致辞倡导加强数据安全和个人信息保护。财政部发布《会计师事务所数据安全管理暂行办法(征求意见稿)》,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。全国信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,推进粤港澳大湾区数据跨境流动。国家网信办批复企查查中国企业信用数据出境,成为企业信用信息查询领域全国首个数据合规出境案例。广东高院、北京互联网法院相继发布个人信息保护典型案例。
国内动态
1.国务院发布《中国(新疆)自由贸易试验区总体方案》,提出推动数字经济创新发展
10月31日,国务院发布《中国(新疆)自由贸易试验区总体方案》。《方案》要求,加快数字基础设施建设,构建综合数字服务平台,支持自贸试验区充分发挥新疆能源和气候优势建设数据中心,带动数据中心相关产业向新疆转移,推动新疆积极参与“东数西算”工程建设、融入国家算力网络体系。加快国际通信设施建设,助力数字丝绸之路建设。支持新疆面向中亚国家,加快布局软件及信息技术服务类企业。为中小企业数字化转型提供政策支持,加快企业数字化转型。支持乌鲁木齐片区与中亚国家依法有序开展数据信息交流合作,推动实现数据信息服务、互联网业务等领域互联互通。
信息来源:
https://www.gov.cn/zhengce/content/202310/content_6912936.htm
2. 财政部发布《会计师事务所数据安全管理暂行办法(征求意见稿)》
11月13日,财政部官网发布了《会计师事务所数据安全管理暂行办法(征求意见稿)》。《征求意见稿》由中国财政部、国家网信办研究起草,旨在加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。
《征求意见稿》共5章36条,适用范围是在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务,或者开展跨境审计的会计师事务所及其从业人员。
《征求意见稿》要求,会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理,并对数据传输、数据加密、数据备份等事项作出具体规定,对数据管理技术手段、数据存储方式、日志管理等提出具体要求。《征求意见稿》同时对跨境审计监管中涉及的数据出境事项作出规范。
《征求意见稿》明确,财政部门、网信部门开展会计师事务所数据安全检查及重点检查内容。对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所,将开展全覆盖监督检查,并持续加强日常监管。特定情况下,可以启动对会计师事务所的网络安全审查机制。
信息来源:
http://kjs.mof.gov.cn/gongzuotongzhi/202311/t20231113_3916037.htm
3. 全国信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》
11月1日,全国信息安全标准化技术委员会发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》。征求意见截至2023年11月15日。《征求意见稿》从范围、术语定义、基本原则、个人信息处理要求、个人信息权益保障要求、个人信息安全要求等方面规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则。
信息来源:
https://www.tc260.org.cn/front/postDetail.html?id=20231101123231
4. 国家网信办发布各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作联系方式
11月3日,国家网信办发布各地省级网信部门接收申报材料、备案材料的办公地址和联系电话,旨在指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。单位包括除港澳台外,31个省级地方政府以及新疆生产建设兵团的互联网信息办公室。
信息来源:
http://www.cac.gov.cn/2023-11/03/c_1700672263791309.htm
5. 国家网信办批复企查查中国企业信用数据出境
11月10日消息,企查查申报的“企业信用信息境外查询平台”通过国家互联网信息办公室的数据出境安全评估,成为企业信用信息查询领域全国首个数据合规出境案例。
信息来源:
https://finance.eastmoney.com/a/202311102900776560.html
6. 海南首家企业通过数据出境安全评估
11月15日消息,海南邓白氏数据科技有限公司通过国家网信办数据出境安全评估,成为海南省首个通过该项评估的企业。此次通过评估,将有助于该企业开展邓白氏编码商业信息服务业务,同时也为其他企业数据出境安全评估工作提供了参考经验。下一步,海南省委网信办将持续对数据出境安全评估和个人信息标准合同备案开展广泛调研和政策宣讲,收集企业数据出境需求,进一步帮助企业开展申报,促进海南自贸港数据安全有序流动。
信息来源:
https://www.hainan.gov.cn/hainan/5309/202311/f779a8bc608f4215bdd2c4ae088db61a.shtml
7. 广东高院发布个人信息保护典型案例
10月31日,广东高院发布7则个人信息保护典型案例,关涉互联网平台收集和处理个人信息的标准认定,算法运行错误导致个人信息不实的责任主体认定,未经同意发送商业短信侵害个人信息权益,个人信息认定标准“可识别性”的适用,未经同意采集人脸图像作为证据的效力认定,大规模个人信息侵权中不特定损害的判定,危害公共利益的个人信息侵权行为的司法认定等诸多问题。
其中,算法运行错误导致个人信息不实的,判决认为互联网平台可以利用算法技术在合理范围内处理已经合法公开的个人信息,但应保证个人信息准确。因算法运行错误导致个人信息不准确、不完整的,个人有权要求互联网平台承担相应侵权责任。未经同意采集人脸图像作为证据的,为非法证据,不得作为认定案件事实的根据。
信息来源:
https://www.gdcourts.gov.cn/gsxx/quanweifabu/anlihuicui/content/post_1388509.html
8. 北京互联网法院通报个人信息保护案件审理情况并发布个典型案例
11月1日,北京互联网法院举行个人信息保护案件审理情况新闻通报会。通报了此类案件的审理情况,并发布了涉个人信息保护典型案例。
自2018年9月至今,北京互联网法院共受理58件涉及个人信息保护案件,以互联网企业为主要被诉主体,涉诉个人信息类型和侵权形态较为多样。根据发布的典型案例裁判要点,涉及关联产品间共享用户数据应获有效同意,搜索引擎服务提供者处理公开个人信息的,适用“通知删除”等规则判定其是否承担侵权责任,APP登录界面收集用户画像信息未设置拒绝选项侵害用户个人信息权益,个人信息处理者可以依据其信息存储形式和能力选择合理的信息提供方式,死者近亲属对死者个人信息权益的行使应符合合法、正当、必要原则,利用已公开个人信息有误导致受众混淆构成侵权,当事人在诉讼中提交已合法收集个人信息作为证据属于履行法定义务的行为,信息处理者对其尽到告知同意义务负有相应的举证责任。
9. 上海市发布《上海市商超购物个人信息保护合规指引》
11月6日,上海市消费者权益保护委员会与上海连锁经营协会共同制定并印发《上海市商超购物个人信息保护合规指引》,旨在强化本市商超购物消费领域个人信息保护。
《合规指引》指出,商超经营者应当遵循“最小、必要”原则,不得以任何形式和理由强制、诱导消费者关注微信公众号、注册会员、索取非必要个人信息和权限,不得频繁弹窗索取权限或申请消费者同意,干扰消费者正常使用功能。
同时合规指引表示,未经消费者同意、请求,或消费者明确表示拒绝的,商超经营者不得将消费者个人信息共享至第三方使用或推送个性化商业营销信息。推送商业营销信息应当提供退订或拒绝选项,个性化推荐服务应当提供简易的关闭操作流程。
10. 北京市网信办对三家企业未履行数据安全保护义务作出行政处罚
11月1日消息,根据国家网信办移交的问题线索,北京市网信办依据《数据安全法》对属地三家企业涉嫌存在网络数据安全违法行为进行立案调查并作出行政处罚。
经查实,三家企业违反《数据安全法》第二十七条规定,未履行数据安全保护义务,部署的ElasticSearch数据库存在未授权访问漏洞,造成部分数据泄露。北京市网信办依据《中华人民共和国数据安全法》第四十五条第一款规定,对三家企业分别作出责令改正,给予警告,并处5万元罚款的行政处罚,对直接主管人员和其他责任人员处以1万元罚款处罚。
信息来源:
http://www.cac.gov.cn/2023-11/01/c_1700496816092707.htm
11. 甘肃网安重拳整治侵犯公民个人信息犯罪
11月3日消息,甘肃省公安机关网安部门针对公民个人信息保护问题部署开展专项打击整治行动,重点围绕电信网点、房产中介、教培机构、售楼中心、小区物业、快递门店等侵公类违法犯罪活动易发多发领域。行动期间,甘肃警方出动警力1736人次、检查企业单位1034家、破获刑事案件3起、查处行政案件272起。
其中,典型案例包括:(1)兰州公安机关网安部门对以兼职为由,采集并私自使用兰州某某学院30余名学生个人信息办理电话卡的安宁区某通讯店予以查处,依据《网络安全法》第四十一条、第六十四条罚款10000元;(2)白银公安机关网安部门对买卖、交换业主个人信息的3家家居装修公司,依据《数据安全法》第二十七条、第四十五条给予警告处罚,对装修公司员工雒某丛、侯某以侵犯公民个人信息罪刑事立案,对其他4名违法人员罚款共计19000元;(3)张掖公安机关网安部门联合住建部门对本地所有登记在册的物业公司开展集中检查,对问题较为严重的某物业公司依据《网络安全法》第四十四条、第六十四条罚款8000元;对问题轻微的9家物业公司依据《数据安全法》第二十七条、第四十五条给予行政警告处罚;(4)武威公安机关网安部门按照“一案双查”工作要求,对非法获取客户验证码等公民个人信息的中国移动天祝县分公司,依据《网络安全法》第四十二条、第六十四条罚款5000元。
信息来源:
https://baijiahao.baidu.com/s?id=1781434552915945039&wfr=spider&for=pc
12. 因未履行数据安全保护义务,温州某大药房被罚110万
11月10日消息,浙江温州公安网安部门发现暗网上有人售卖温州某大药房销售数据。经侦查发现,是该大药房数据分析师利用工作便利将大量交易数据导出并售卖。该大药房数据分析师因违反《刑法》第二百五十三条之一之规定,涉嫌侵犯公民个人信息罪被温州公安机关依法刑事拘留,现案件还在进一步办理中。
同时,温州网安在依法对该数据分析师采取刑事强制措施的同时,启动“一案双查”工作机制。经进一步侦查发现,该大药房因未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的技术措施和其他必要措施保障数据安全,最终导致大量敏感数据泄露。因此温州公安机关依据《数据安全法》第二十七条、第四十五条之规定,对该公司处罚款110万元,对该大药房直接负责的主管人员处罚款10万元。
信息来源:
https://hqtime.huanqiu.com/article/4FITmLEeori
13. 华美银行生产数据安全管控不足被罚60万元
11月13日消息,国家金融监管总局网站显示,华美银行(中国)有限公司因“生产环境安全管控不足”和“生产数据安全管控不足”被责令整改,并处罚款60万元人民币。
此外,罚单显示,与华美中国一同被处罚的还有时任华美中国信息科技部主管仲蔚,因“对华美中国生产环境安全管控不足及生产数据安全管控不足负直接管理责任”被处于警告。据国家金融管理总局官网查询结果显示,这是外资银行公开可查询的首张类似罚单,也是华美银行在华经营以来首张监管罚单。
信息来源:
http://www.legaldaily.com.cn/Company/content/2023-11/14/content_8927079.html
14. 2023年世界互联网大会乌镇峰会召开
11月8日至10日,2023年世界互联网大会乌镇峰会在浙江乌镇举行,主题为“建设包容、普惠、有韧性的数字世界——携手构建网络空间命运共同体”。
国家主席习近平向2023年世界互联网大会乌镇峰会开幕式发表视频致辞,提出了“发展优先”“安危与共”、“文明互鉴”三点倡导。关于“安危与共”,习近平强调要深化网络安全务实合作,有力打击网络违法犯罪行为,加强数据安全和个人信息保护。
11月9日,数据治理推动全球数字经济发展论坛举行。论坛以“深化数据跨境流动合作,赋能全球数字经济发展”为主题。论坛上,中外嘉宾围绕数据跨境流动管理与合作、数据安全治理与数字经济发展等话题,共商全球数据治理之策,共谋数据跨境流动合作之道,深化国际交流与合作,共同推动全球数字经济健康长远发展。
信息来源:
http://www.cac.gov.cn/2023-11/08/c_1701102614854979.htm
15. 媒体报道京东等出现大规模数据泄漏,超百亿条订单数据被出售
11月1日消息,暗网大批出售中国电商订单数据的截图流出。订单信息包括98亿条京东订单数据,以及81.5亿条淘宝订单数据,数据容量分别为2.8TB、1.8TB,售价分别为2.5万美元及4万美元。根据图片来看,订单数据中包含用户真实姓名、订单号、商品名称型号、订单网址、用户手机号、地址等详细隐私信息。
信息来源:
https://www.sohu.com/a/734419779_121721409
国内数据治理资讯(2023.10.16-2023.10.31)