出版研究 / Publication
>
网络安全和数据合规月刊 201905 总第7期
2020-04-01       肖波、蔡军祥、荣埚、黄晴

第一部分


国内立法及政策动态

5月1日,国务院办公厅印发《国务院2019年立法工作计划》,立法计划中包括密码法(草案)、未成年人网络保护条例、公共安全视频图像信息系统管理条例、关键信息基础设施安全保护条例等与网络安全、数据信息保护相关的法律文件。

 

5月5日,App专项治理工作组就《App违法违规收集使用个人信息行为认定方法》(“征求意见稿”)公开征求意见,意见反馈截止日期为2019年5月26日。征求意见稿明确,App违法违规收集使用个人信息共分为7种情形,包括:没有公开收集使用规则;没有明示收集使用个人信息的目的、方式和范围;未经同意收集使用个人信息;违反必要性原则收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能;侵犯未成年人在网络空间合法权益。【简评:今年以来,在全球对通过互联网收集、使用个人信息的保护规则进一步拓展、完善、执法实践不断加深的背景下,我国在规范APP收集使用个人信息方面亦做出了不少尝试,在提高境内互联网企业合规意识的同时,为保障企业“走出去”、适应国际社会法律规则提供了坚实的基础。】


5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,发布了一批重要国家标准,包括等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等网络安全相关标准,前述标准2019年12月1日开始实施。此系列标准旨在全面提升网络运营者的网络安全防护能力,在1.0标准的基础上,更加注重全方位主动防御、安全可信、动态感知和全面审计。


5月16日电 近日,中共中央办公厅、国务院办公厅印发了《数字乡村发展战略纲要》,分析了数字乡村的发展现状与形势,提出了几点要求,指明了十项重点任务,并明确了保障措施,要求各地区各部门结合实际认真贯彻落实。


5月24日,国家互联网信息办公室发布了《网络安全审查办法(征求意见稿)》,面向社会公开征求意见。本次发布的《网络安全审查办法(征求意见稿)》中就办法的制定目的、审查对象、实施审查的原则和方法等方面做出了修改和完善,重点突出了对关键信息基础设施的保护。【简评:该征求意见稿拟取代2017年颁布的《网络产品和服务安全审查办法(试行)》,比之前法,该征求意见稿在适用范围、审查机制等方面规定更为细化和具有可操作性,体现了保护国家安全的决心和信心,也提高了对相关企业合规层面的要求。】


5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,在个人信息收集、爬虫抓取、广告精准推送、APP过度索取权限、账户注销难等经常涉及隐私的问题上均做出了明确规定。


5月31日,在“六一”国际儿童节到来前夕,国家互联网信息办公室发布《儿童个人信息网络保护规定(征求意见稿)》,对规范收集使用儿童信息等行为,以及儿童个人信息保护的规则和处罚措施做出规定,向社会公开征求意见。


第二部分

国内行政执法动态

5月14日,广东省公安厅召开扫黑除恶专项行动新闻发布会,通报某犯罪团伙通过互联网购买30万条公民个人信息、数据,冒充有资质的放贷公司,虚构放款专员、银行工作人员身份,与受害人签订“阴阳合同”。据统计,受害人涉及全国4个省份,近8万人。为追讨“套路贷”形成的巨额债务,这个团伙还通过“网络软暴力”追讨债务。


5月17日,工信部分别集中约谈了包括小米在内的20家呼叫中心企业和10家移动转售企业,对其针对用户的骚扰电话问题严厉整改要求。5月22日,工信部又就骚扰电话管控不力问题约谈了中国电信集团公司和广东、江苏、浙江、四川等问题突出的四省电信公司。各被约谈企业签订了《整改承诺书》,郑重承诺将严格贯彻落实工信部的整改要求,全面排查,立行立改,坚决整改到位。【简评:骚扰电话问题一直是我国消费者权益保护和个人信息保护领域的痛点,今年“3·15”晚会再次曝光相关问题后,国家对骚扰电话整治持续加强,有望扭转这一状况。】


5月22日电,工信部通报信息通信行业网络安全监管情况,今年一季度信息通信行业网络安全总体态势依旧严峻,网络安全监管成效持续巩固。其中,公共互联网安全保护形势依旧严峻,恶意程序、各类钓鱼和欺诈网站仍不断出现;工业互联网安全风险依然高发,但相较2018年第四季度,中高危漏洞占比下降近10个百分点;在电信网络诈骗治理方面,一季度,工信部联合公安部对重点地区开展专项督导检查,进一步加强对诈骗电话、诈骗短信等的预警分析和联动处置。


5月28日,国家网信办统筹指导西瓜视频、好看视频、全民小视频、哔哩哔哩、秒拍、波波视频、看了吗、微视、A站、美拍、小影、梨视频、第一视频、微博等14家短视频平台,以及腾讯视频、爱奇艺、优酷、PP视频等4家网络视频平台,在“六一”儿童节到来之前,统一上线“青少年防沉迷系统”。加上此前试点的抖音、快手、火山小视频平台,国内已有21家主要网络视频平台上线了“青少年防沉迷系统”。


第三部分

国内司法案件

● 武汉破获湖北省首例入侵物联网系统案,嫌疑人被刑拘

5月13日,湖北省成功破获湖北省首例入侵物联网破坏计算机信息系统的刑事案件,并抓获两名犯罪嫌疑人。据悉,两名“微锋”(化名)科技有限公司前员工离职时带走原公司的设计源代码,并建立自己的同业竞争公司。为了获取不正当竞争优势,两人破解了原公司的物联网服务器,利用技术手段,造成共100余台设备被恶意升级无法使用、10万台设备离线,造成了重大经济损失。网警接到报案后,通过对故障设备的源代码进行解密,对公司服务器日志进行取证分析,经溯源分析,锁定犯罪嫌疑人。目前,两人以涉嫌破坏计算机信息系统罪被刑拘。


● “花椒直播”发布危险性视频案一审败诉

5月21日,北京互联网法院对"花椒直播"发布危险性视频被诉网络侵权案一审宣判,本案中主播吴某直播攀爬高楼坠亡,法院一审认为“花椒直播”平台(北京密境和风科技有限公司旗下的视频直播平台)对于用户发布的高度危险性视频没有尽到合理的审查和监管义务,认定北京密境和风科技有限公司承担网络侵权责任,判决其赔偿原告各项损失3万元。【简评:直播平台、网络视频平台等提供信息服务存储和展示服务的网络服务提供者,对其存储和展示的信息内容本身应当承担什么责任以及责任的边界是近几年不断被提及和讨论的问题。本案中的几个可能影响判决的事实包括:平台与主播有打赏分成约定,具有盈利性;平台与主播有商业推广合作;平台对该危险内容视频未采取删除、屏蔽、断开链接措施。】


● 浙江检方首例公益诉讼,剑指侵犯公民个人信息犯罪行为

5月28日,浙江省诸暨市检察院官方微信“诸暨检察”披露了浙江首例在房地产开发及装修装饰领域侵犯公民个人信息问题上行政公益诉讼案件。据悉,消费者朱某在购买婚房后遭“内鬼”泄露信息,经调查,最终因犯侵犯公民个人信息罪,装饰公司设计师骆某、中介公司老板杨某及数据员陈某,均被判处有期徒刑三年,缓刑四年,并处罚金一万元。


第四部分

境内外重要行业新闻

5月2日,据报道,一个神秘数据库暴露了近8000万美国人的个人信息,影响了65%的美国家庭。安全研究人员Noam Rotem和RanLocar发现了在微软云服务器上托管的24 GB数据库。该数据库包含美国家庭的高度敏感信息,其中包括家庭成员的全名、婚姻状况、收入、年龄等。


5月2日,美国总统特朗普签署总统令,发展和强化美国的网络安全能力。美国政府宣称:将设立一系列新计划以支持一个健壮的网络安全劳动力市场,在面对21世纪威胁时保护美国并提升优质就业机会。


5月6日,在第二届数字中国建设峰会举办的数字经济重大项目集中签约仪式上,贵州与福建、广东、江苏共同签署了《跨省域大数据战略合作协议》,四省将共同推进政府部门间跨省域数据共享和业务协同,共同探索政务数据跨省异地灾备,建立保证合作有效开展的工作机制,共同助力“数字中国”建设。


5月6日,美国四大运营商遭遇集体诉讼,被控非法出售用户位置数据。诉讼的重点是,这些运营商是否都违反了《联邦通信法》(FCA)第222条。该条款规定,公司有义务保护其客户的CPI和CPNI(机密专有信息和客户专有网络信息),以及在相关期间,原告和团体成员的CPNI是否可供未经授权的第三方访问。


5月8日报道,币安称发现了一个大规模的系统性攻击,黑客能够获得大量用户API密钥,谷歌验证2FA码以及其他相关信息,7000比特币(总价值大约4100万美元)被盗;将使用“SAFU基金”全额承担本次攻击的全部损失。


5月10日,工业和信息化部信息通信发展司发布2018年度《全国数据中心应用发展指引》(以下简称《发展指引》)。根据《发展指引》,截至2017年底,我国在用数据中心的机架规模、大型、超大型数据中心的规模均实现大幅上涨,全国数据中心能效水平进一步提升。


5月14日,报道称黑客获得了超过46万优衣库和GU品牌电商网站用户的个人信息。经确认,目前被盗账户数量为461,091个,用户的姓名、地址、电话号码和信用卡信息可能已被泄露。

 

5月14日,美国旧金山市监事会通过了禁止政府购买以及使用面部识别技术的法案,这使得旧金山成为美国第一个禁止面部识别技术的城市。

 

5月16日将华为纳入贸易黑名单后,多家华为的关键供应商宣布中断和华为的合作关系,包括半导体厂商英特尔、高通、赛灵思、博通等公司。这些公司除非有新情况变更,否则将暂时中止和华为的贸易。另一方面,华为之后只能使用谷歌的开源版本安卓系统。

 

5月21日,报道称Instagram位于AWS(公共亚马逊网络服务)的大型数据库出现数据泄露,允许无访问权限的任意用户访问其中存储的数据,逾4900万Instagram名人账户信息被泄露,泄露数据包括个人经历、资料图片、粉丝数量、所在城市、电子邮件地址、电话号码等隐私信息。此外,该数据库还包含估算每个账户商业价值的具体字段。

 

5月23日电,美国司法部将对阿桑奇进行起诉,指控罪名达18项,其中一项为黑客攻击罪名,其余17项罪名均与反间谍法案有关每项间谍罪指控将使阿桑奇面临10年监禁,而黑客攻击罪名将达5年监禁。

 

至5月24日,欧盟《通用数据保护条例》(GDPR)正式实施已有一周年时间。欧盟EDPB发布的报道称,一年来,整个欧洲经济区的各个国家监管机构则一共上报了206326起案例,监管机构共解决了52%的案例,并判处约5600万欧元的行政罚款。


5月27日报道,来自罗德岛州和密歇根州的iTunes用户指控苹果在未经用户同意的情况下出售他们收听音乐的数据。这些用户表示,他们希望能代表“数十万”受到影响的本州居民。这起诉讼要求苹果向罗德岛州信息被披露的每个iTunes用户赔偿250美元,向每位受影响的密歇根州用户赔偿5000美元。这些赔偿数额都是根据每个州的隐私法计算出来的。


5月28日,比利时数据保护局发出当局首份针对自然人的GDPR处罚。处罚对象为比利时市市长的数据滥用行为,据悉有一位投诉人向比利时数据保护局提出了对比利时市市长的投诉,认为市长滥用投诉人的个人邮箱向投诉人发送了竞选选举(拉票)信息。比利时数据保护局认为,比利时市长的行为违反了欧盟《通用数据保护条例》的规定,而予以处罚。

 

5月31日报道,联邦快递(FedEx)近期将从日本寄往中国华为的两件包裹寄到了美国,并试图将另外两件从越南寄往华为亚洲其他地区办事处的包裹也转运到美国,这些行为都是未经授权的。华为提供了联邦快递追踪记录的图像。华为表示,这四个包裹只包含文件,“没有技术”相关信息。目前国家有关部门已对此事进行立案调查。


免责声明:以上各项信息均来自于境内外媒体和出版物的报导,我们没有对信息的具体内容进行核实,也不对其真实性、准确性和完整性负责。本刊物(包括其中的点评)不构成任何形式的法律意见或建议,如果您需要就某项事情进行法律咨询,敬请联系下列律师:

肖波 执行主任、律师

邮箱:xiaobo@dingdalegal.com

获得中国人民公安大学硕士和复旦大学刑诉法学博士学位,之前曾在上海市浦东新区法院工作13年多,审理过1000多件案件。后又作为合伙人加盟中伦律师事务所,积累了大量的刑事案件和危机处理经验。肖律师业务聚焦于金融、互联网及经济领域犯罪、白领犯罪的刑事辩护、反商业贿赂、企业危机处理、民商事争议解决等。在刑事犯罪领域发表了大量的专业论文。

荣埚 律师(实习期)

邮箱:rongguo@dingdalegal.com

获得中山大学法学硕士学位和南开大学法学学士学位,具有五年以上法律工作经验,曾在网易集团、合景泰富集团从事法务工作,主要专业领域在于互联网、电商物流、房地产行业法律服务及争议解决业务。

黄晴 律师(实习期)

邮箱:serenehuang@dingdalegal.com

毕业于香港中文大学和西南政法大学,分别获得法学硕士和法学学士学位,且在比利时根特大学有近半年交换学习经历。曾在招商银行担任两年法务,具有比较丰富的合规审查经验。


下载PDF