出版研究 / Publication
>
定达期刊 | 网络安全和数据合规双月刊(10-11月刊)
2020-12-01       娄娉娉、荣埚、李曼华

目录

立法、政策、标准动态

中共中央办公厅 国务院办公厅印发《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020—2025年)》;

新《未成年人保护法》通过,新增网络保护专章;

《个人信息保护法(草案)》发布;

《区域全面经济伙伴关系协定》正式签署,“数据条款”成亮点;

《个人信息安全影响评估指南》发布;

《信息安全技术 网络预约汽车服务数据安全指南(征求意见稿)》公布;

全国信息安全标准化技术委员会发布关于APP使用SDK的实践指南。

行政执法动态

工信部网安管理局公布《关于做好2020年电信和互联网行业网络安全检查工作的通知;

人行处罚六家金融机构侵害消费者金融信息行为;

银保监会发布《关于招联消费金融有限公司侵害消费者权益问题的通报》;

工信部公布40家电信业务黑名单违规企业;

工信部通报侵害用户权益APP(第五批);

网信办对手机浏览器扰乱网络秩序突出问题开展集中整治;

工信部下架60款侵害用户权益APP;

APP违法违规收集使用个人信息治理工作组通报35款APP。

司法动态

“人脸识别第一案”宣判。

行业动态

摩根士丹利因2016年数据泄露被罚款6000万美元;

英国航空公司因个人信息泄露被处罚;

加州通过《2020年加州隐私权法》;

阿里旗下新加坡电商平台RedMart发生数据泄露;

圆通针对个人信息泄露一事发布公告;

11家互联网公司做出加强APP个人信息保护公开承诺;

133家企业签署《电信和互联网行业网络数据安全自律公约》。



一、立法、政策、标准动态


01 中共中央办公厅 国务院办公厅印发《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020—2025年)》

10月12日,中共中央办公厅、国务院办公厅印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020~2025年)》,其中,《方案》重点提及加快培育数据要素市场。要求率先完善数据产权制度,探索数据产权保护和利用新机制,建立数据隐私保护制度。


02 新《未成年人保护法》通过,新增网络保护专章

10月17日,全国人大常委会通过对《中华人民共和国未成年人保护法》的修订。修订后的新《中华人民共和国未成年人保护法》将于2021年6月1日起正式实施。为适应现代科技的发展,新《中华人民共和国未成年人保护法》新增“网络保护”专章以保护未成年人在网络虚拟空间的合法权益。


03 《个人信息保护法(草案)》发布

10月21日,人大网公布《个人信息保护法(草案)》,公开征求意见至2020年11月19日。《个人信息保护法(草案)》对个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、违反法律义务所产生的法律责任进行了规定。


04 《信息安全技术 网络预约汽车服务数据安全指南(征求意见稿)》公布

11月9日,全国信息安全标准化技术委员会秘书处公布《信息安全技术 网络预约汽车服务数据安全指南(征求意见稿)》,征求意见至2021年1月8日,指南提出如下重要规定:用户拒绝提供网络预约汽车服务最小必要个人信息以外的个人信息时,网络预约汽车服务运营者不应拒绝提供服务。网络预约汽车服务运营者不应滥用大数据分析等技术手段,基于用户消费记录、消费偏好等设置不公平的交易条件。行程录音录像的收集驾驶员App生成的行程录音文件应在上传完成后删除,不应在移动终端留存。


05 《区域全面经济伙伴关系协定》正式签署,“数据条款”成亮点

11月15日,《区域全面经济伙伴关系协定》(RCEP) 在东亚合作领导人系列会议期间由东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署。该协定标志着世界上参与人口最多、成员结构最多元、发展潜力最大的自贸区诞生,东亚经济一体化迎来重要里程碑。在第十二章 “电子商务”中,RCEP规定了跨境传输数据的规则,并限制成员国政府对数字贸易施加各种限制,包括数据本地化(存储)要求等。RCEP还对贸易相关文件材料数字化、使用电子签名、电子认证、垃圾邮件等领域进行了规范,旨在促进跨境贸易的同时,保护区域内消费者个人信息安全。


06 《个人信息安全影响评估指南》发布

根据2020年11月19日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第26号),GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》国家标准发布,并将于2021年6月1日正式实施。


07 全国信息安全标准化技术委员会发布关于APP使用SDK的实践指南

11月27日,全国信息安全标准化技术委员会发布《网络安全标准实践指南—移动互联网应用程序(APP)使用软件开发工具包(SDK)安全指引》。《安全指引》指出,APP提供者是APP个人信息控制者及保护用户个人信息安全的首要责任人,SDK提供者按照App使用SDK的不同方式承担相应的个人信息安全责任。《安全指引》还梳理了常见SDK类型和常见的安全问题(包括自身安全漏洞、恶意行为、收集使用个人信息问题),并提出了使用SDK的基本原则以及App提供者和SDK提供者采取的安全措施。


二、行政执法动态


01 工信部网安管理局公布《关于做好2020年电信和互联网行业网络安全检查工作的通知》

10月12日,工信部网安管理局公布《关于做好2020年电信和互联网行业网络安全检查工作的通知》。《通知》明确,检查对象的重点是依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统,重点是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统,包括不限于:5G网络基础设施、IP承载网等。同时,《通知》明确,检查的主要内容为:网络安全管理落实情况、网络安全防护技术措施、网络安全重大风险隐患。


02 人行处罚六家金融机构侵害消费者金融信息行为

10月21日,中国人民银行(人行)网站发布消息称,近日依法对部分金融机构侵害消费者金融信息安全行为立案调查,并依据有关规定,分别对农业银行吉林市江北支行等6家金融机构及相关责任人予以警告并处以罚款。人行表示在做出行政处罚同时还约谈相关金融机构,责令其立即整改。相关金融机构高度重视检查中发现问题的整改工作,聚焦具体问题,进一步规范个人信息管理机制,并对有关责任人员进行了严肃问责。人行表示高度重视消费者金融信息保护和反洗钱信息保密工作,坚持对侵害消费者金融信息安全行为“零容忍”,对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。


03 银保监会发布《关于招联消费金融有限公司侵害消费者权益问题的通报》

10月22日,银保监会发布《关于招联消费金融有限公司侵害消费者权益问题的通报》指出,招联消费金融存在营销宣传存在夸大、误导等问题。《通报》指出,招联消费金融公司营销宣传存在夸大、误导情况,未向客户提供实质性服务而不当收取费用,对合作第三方商户的管控制度不完善、机制不健全,管控不到位,催收管理不到位。银保监会要求要求,银行保险机构要引起警示,严格按照“融资收费新规”(银保监发〔2020〕18号),在营销宣传、收费管理、第三方管控、催收管理等方面开展对照检视,依法合规开展经营活动,切实保护消费者合法权益。


04 工信部公布40家电信业务黑名单违规企业

10月22日,工信部发布2020年三季度一批企业违规黑名单,其中38家企业因违规收集用户信息、违反电话和网络实名制规定等违法违规行为,受到电信管理机构行政处罚并被纳入电信业务经营不良名单;2家企业因逾期不履行行政处罚决定被纳入电信业务经营失信名单。


05 工信部通报侵害用户权益APP(第五批)

10月27日,工信部发布关于侵害用户权益行为的APP通报(2020年第五批),快狗打车、易车、永安行、脉脉、百果园、良品铺子等App在列。工信部表示,工信部近期组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有131款APP未完成整改,上述APP应在11月2日前完成整改落实工作。并同时通报131款未完成整改的APP名单。


06 网信办对手机浏览器扰乱网络秩序突出问题开展集中整治

10月27日,国家网信办表示即日起对手机浏览器进行专项集中整治,把影响力较大的8款手机浏览器纳入首批名单进行重点集中整治,即UC、QQ、华为、360、搜狗、小米、vivo、OPPO等。集中整治将多措并举、标本兼治,着力解决三大突出问题:一是发布“自媒体”违规采编的各类互联网新闻信息,如歪曲解读经济民生政策、散布“小道消息”、传播谣言信息、翻炒旧闻编造“新闻”等;二是发布“标题党”文章,如恶意浮夸、“唱衰”“卖惨”、冒名炒作等;三是发布违背社会主义核心价值观的不良信息,如传播低俗图文视频、炒作明星绯闻隐私和娱乐八卦等。


07 工信部下架60款侵害用户权益APP

11月10日,工信部通报,经第三方检测机构核查复检,有赞精选、红布林等60款APP存在侵害用户权益行为且未按照要求完成整改。依据有关法律和规范性文件要求,工信部组织对上述APP进行下架。后续,工信部还将对未严格落实管理主体责任的部分应用商店及移动应用分发平台,存在违规收集用户个人信息行为的SDK企业,依法严厉处置。


08 APP违法违规收集使用个人信息治理工作组通报35款APP

APP违法违规收集使用个人信息治理工作组通报称,近期发现35款APP存在个人信息收集使用问题。其中,新浪微博、航旅纵横等在列。APP违法违规收集使用个人信息治理工作组在通报中表示,建议相关APP运营者及时对存在的问题进行整改,并自即日起30日内向工作组反馈整改情况。30日后工作组将对整改情况进行核验,并向相关部门提交复核结果,对不能有效整改的建议依法予以处置。


三、司法动态


01 人脸识别第一案”宣判

11月20日,“人脸识别第一案”在浙江省杭州市富阳区人民法院一审宣判。

 

2019年4月,原告郭兵购买野生动物世界双人年卡,确定指纹识别入园方式,与其妻子录入了指纹。后野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别,并短信通知郭兵要激活人脸识别系统,否则将无法正常入园。此后,双方就入园方式、退卡等相关事宜协商未果,郭兵遂提起诉讼。最终,法院判决野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵提出的确认野生动物世界店堂告示、短信通知中相关内容无效等其他诉讼请求。


四、行业动态


01 摩根士丹利因2016年数据泄露被罚款6000万美元

10月11日,美国货币监理署对摩根士丹利银行和摩根士丹利私人银行处以6000万美元的民事罚款,原因是2016年美国两家财富管理业务数据中心发生数据泄露。摩根士丹利卷入了一场集体诉讼,这两起数据泄露分别涉及丢失设备,导致客户的个人身份信息(包括社保和账号)暴露给第三方。货币监理署还发现,摩根士丹利未能:有效评估或解决与硬件停用相关的风险;充分评估将停用工程分包出去的风险,包括在选择供应商和监测其业绩方面进行充分的尽职调查;适当存储在停用硬件设备上的客户数据。

信息来源:https://www.occ.gov/static/enforcement-actions/ea2020-058.pdf


02 英国航空公司因个人信息泄露被处罚

10月16日,英国历史上最大的数据违规处罚案尘埃落定。英国数据监管机构的信息专员办公室(ICO)宣布,将对英国航空公司罚款2000万英镑(2580万美元)。在这起事件中,英航遭受了两个月的网络攻击,因缺乏足够的安全措施来检测和防御,40多万客户的个人信息被泄露。

信息来源:https://ico.org.uk/action-weve-taken/enforcement/british-airways/


03 加州通过《2020年加州隐私权法》

11月3日,加州选民投票通过了第24号提案,也就是《2020年加州隐私权法》(CPRA),该提案修正并扩展了加州里程碑式的2018年加利福尼亚消费者隐私法》(CCPA)。CPRA为加州居民确立了新的数据隐私权,对企业和服务提供商施加了新的义务和责任,并将创建了一个独立的数据监管机构,授权其实施加州隐私法并起诉违规行为。CPRA将于2023年1月1日生效,除一些例外情况外,将适用于2022年1月1日之后由机构收集的加州居民个人信息。

信息来源:https://termageddon.com/california-privacy-rights-act/


04 阿里旗下新加坡电商平台RedMart发生数据泄露

据ZDNet报道,新加坡电商平台RedMart遭遇数据泄露,110万个账户的个人数据受到破坏,涉及邮寄地址、加密密码和部分信用卡号的个人信息。

信息来源:https://www.zdnet.com/article/lazada-confirms-1-1m-accounts-compromised-in-redmart-security-breach/


05 圆通针对个人信息泄露一事发布公告

11月17日,针对圆通40万条个人信息泄露一事,圆通速递有限公司官方微博回应,并说明了相关情况:今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。


06 11家互联网公司做出加强APP个人信息保护公开承诺

11月27日,全国APP个人信息保护监管会在京召开。苏宁、蚂蚁、爱奇艺、360、小米、新浪、快手、哔哩哔哩、滴滴、阿里、百度等11家互联网企业相关负责人参会,向社会做出公开郑重承诺,将严格落实APP侵犯用户权益各项整治工作,保障用户合法权益。


07 133家企业签署《电信和互联网行业网络数据安全自律公约》

11月30日,工业和信息化部网络安全管理局指导中国互联网协会充分发挥行业组织自律职能,制定发布了《电信和互联网行业网络数据安全自律公约》。在第六届中国互联网法治大会数据安全论坛上,中国互联网协会已累计组织中国电信、中国移动、中国联通、阿里、腾讯、百度、京东、360、爱奇艺等133家基础电信企业和重点互联网企业签署了该自律公约。

 

免责声明

 

本文中的信息、意见等仅供读者参考之用,本文任何内容均不构成任何形式的法律意见或建议,在任何时候均不构成对任何人的个人推荐或建议,读者应对本文中的信息和意见进行独立评估,自主审慎做出决策并承担风险。定达律所及其关联人员均不承担任何责任。如果您需要就某项事情进行法律咨询,敬请联系下列律师:




12

娄娉娉 | 顾问

teresalou@dingdalegal.com

娄娉娉律师拥有在大型跨国公司和律所超过十余年的执业经验,执业领域主要包括医药大健康合规监管、商业贿赂调查、数据合规及隐私保护、政府调查应对、争议解决等。


12

荣埚 | 律师

rongguo@dingdalegal.com

荣埚律师具有7年的法律工作经验,分别工作于公司与律师事务所。荣律师目前主要专注于刑事案件辩护、各类民商事争议解决、网络安全和数据合规、跨境电子商务、物流仓储、房地产建筑工程等方面的法律事务。


12

李曼华 | 实习律师

limanhua@changyanfirm.com

毕业于同济大学上海国际知识产权学院,以优异成绩完成了世界知识产权组织和同济大学联合培养硕士项目(全英文授课),熟悉欧盟知识产权法。目前主要聚焦于知识产权、数据合规及隐私保护、争议解决。