出版研究 / Publication
>
定达期刊 | 网络安全和数据合规双月刊(12-1月刊)
2021-03-03       娄娉娉、荣埚、李曼华

目录

法律法规、政策动态

· 中国银行保险监督管理委员会发布《互联网保险业务监管办法》

· 中共中央发布《法治社会建设实施纲要(2020-2025)》

· 全国信息安全标准化技术委员会发布《网络安全标准实践指南-人工智能伦理安全风险防范指引》

· 工信部发布《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》

· 深圳证券交易所发布上市公司从事通信相关业务与网络安全相关业务的信息披露指引

· 两部门联合发布《关于规范商业银行通过互联网开展个人存款业务有关事项的通知》

· 国家互联网信息办公室发布《互联网用户公众账号信息服务管理规定》

· 最高人民检察院发布《人民检察院办理网络犯罪案件规定》

行政执法动态

· 工信部通报及下架多个存在侵害用户权益行为的APP

· 国家网信办推进移动应用程序信息内容乱象专项整治,首批清理处置105款违法违规移动应用“程序

· 国家计算机病毒应急处理中心检测发现17款违法移动应用

· 中国农业银行因网络安全问题被罚款420万

司法动态

·  “人脸识别第一案”二审在杭州公开审理

· 全国首例适用民法典的侵犯公民个人信息公益诉讼案宣判

· 张竣杰等非法控制计算机信息系统案——指导性案例145号

· 最高人民检察院发布11起充分发挥检察职能推进网络空间治理典型案例


行业动态

· 金融业网络安全态势感知与信息共享平台初步建成

· 全国首例适用民法典的侵犯公民个人信息公益诉讼案宣判

· Uber因拒绝向加州政府提供数据而被罚款5900万美元

· 央行发布第二张个人征信业务许可牌照

· 约会应用Grindr因数据问题被挪威数据保护局(Datatilsynet)罚款

· 智能坐垫“监视”员工惹争议

· 苹果公司与Facebook因广告数据获取问题产生利益冲突

· 虾米音乐关停时将对用户信息进行处理

法律法规、政策动态

图片

1.中国银行保险监督管理委员会发布《互联网保险业务监管办法》

2020年12月7日,中国银行保险监督管理委员会发布《互联网保险业务监管办法》,于2021年2月1日起实施。


《办法》重点规范内容包括:厘清互联网保险业务本质,明确制度适用和衔接政策;规定互联网保险业务经营要求;规范互联网保险营销宣传;全流程规范互联网保险售后服务;按经营主体分类监管;创新完善监管政策和制度措施,做好政策实施过渡安排。

图片

2.中共中央发布《法治社会建设实施纲要(2020-2025)》

2020年12月7日,中共中央发布2020-2025年法治社会建设实施纲要。


《纲要》专设“依法治理网络空间”章节,明确指出网络空间不是法外之地。该章节旨在推动社会治理从现实社会向网络空间覆盖,建立健全网络综合治理体系,加强依法管网、依法办网、依法上网,全面推进网络空间法治化,营造清朗的网络空间。

图片

3.全国信息安全标准化技术委员会发布《网络安全标准实践指南-人工智能伦理安全风险防范指引》

2021年1月5日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南-人工智能伦理安全风险防范指引》,其目的在于防范人工智能伦理安全风险,为组织或个人开展人工智能研究开发、设计制造、部署应用等相关活动提供指引。


根据《指引》,开展人工智能相关活动,应进行伦理安全风险分析,同时提出六项人工智能伦理安全风险防范的基本要求。此外,《指引》还对研究开发、设计制造、部署应用、用户使用等四方面人工智能伦理安全风险防范予以明确。

图片

4.工信部发布《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》

2021年1月5日,工信部初定在天津、吉林、上海、江苏、浙江等15个省(区、市)开展工业互联网企业网络安全分类分级管理试点。


《通知》旨在通过试点完善工业互联网企业网络安全分类分级规则标准、定级流程以及工业互联网安全系列防护规范的科学性、有效性和可操作性,加快构建工业互联网企业网络安全分类分级管理制度;落实试点企业网络安全主体责任,形成可复制可推广的工业互联网网络安全分类分级管理模式。

5.深圳证券交易所发布上市公司从事通信相关业务与网络安全相关业务的信息披露指引

2021年1月7日,深圳证券交易所发布《深圳证券交易所创业板行业信息披露指引第14号--上市公司从事通信相关业务》《深圳证券交易所创业板行业信息披露指引第15号--上市公司从事网络安全相关业务》。


14号指引所称的“通信相关业务”是指从事传输设备、交换设备、接入设备等通信系统设备及其零部件的制造,以及从事网络设计、网络优化、网络运行与维护、通信工程建设等配套服务。


15号指引所称的“网络安全相关业务”是指为客户提供的用于防范对客户所拥有、运营或使用网络的攻击、侵入、干扰、破坏、非法使用和意外事故,保障网络处于稳定、安全、可靠的运行状态,以及网络数据完整性、保密性和可用性的产品与服务。

图片

6.两部门联合发布《关于规范商业银行通过互联网开展个人存款业务有关事项的通知》

2021年1月13日,中国银保监会办公厅、中国人民银行办公厅发布《关于规范商业银行通过互联网开展个人存款业务有关事项的通知》,对商业银行依法合规通过互联网开展存款业务进行规范。


《通知》对规范业务经营、强化风险管理、加强消费者保护、严格监督管理进行了规范。其中,明确提出商业银行通过互联网开展存款业务应当强化销售管理和网络安全防护,切实保障金融消费者合法权益。

图片

7.国家互联网信息办公室发布《互联网用户公众账号信息服务管理规定》

2021年1月22日,国家互联网信息办公室发布《互联网用户公众账号信息服务管理规定》。


《规定》共23条,包括公众账号信息服务平台信息内容和公众账号管理主体责任、公众账号生产运营者信息内容生产和公众账号运营管理主体责任、真实身份信息认证、分级分类管理、行业自律、社会监督及行政管理等条款。

图片

8.最高人民检察院发布《人民检察院办理网络犯罪案件规定》

2021年1月25日,最高人民检察院发布《人民检察院办理网络犯罪案件规定》。


《规定》设专章列举了电子数据的常见形式,并对不同形式电子数据的审查要点进行细化规定。明确电子数据的收集、提取、审查的规范要求,注重办案与技术融合。

行政执法动态

图片

1.工信部通报2021年第1批(总第10批)侵害用户权益行为的APP

2021年1月22日,工业和信息化部信息通信管理局通报157款侵权应用,腾讯动漫、芒果TV、Metro大都会等应用上榜。


此外,在十批次检测中,腾讯应用宝、小米应用商店、豌豆荚、OPPO软件商店、华为应用市场发现问题分别占比22.3%,12.0%,10.3%,9.9%,8.8%,平台管理主体责任落实不到位。工信部已督促相关平台企业严格落实《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)要求,落实企业主体责任。

2.国家网信办推进移动应用程序信息内容乱象专项整治,首批清理处置105款违法违规移动应用程序

2020年12月8日,国家网信办依据《网络安全法》《网络信息内容生态治理规定》等法律法规和国家有关规定首批下架105款违法违规移动应用程序。自11月5日起,网信办组织开展移动应用程序信息内容乱象专项整治,此次首批清理下架程序包括单身交友聊吧、花姿直播、苏格等。同时,对未落实审核要求、上架违法违规应用程序的8家应用商店采取停止下载服务处置措施。

3.国家计算机病毒应急处理中心检测发现17款违法移动应用

2020年12月17日,国家计算机病毒应急处理中心发文称在“净网2020”专项行动中发现多款旅行类移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息,并对检测发现的17款违法移动应用采取应急处理。


违法移动应用包含五类:

1)在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,或以默认选择同意隐私政策等非明示方式征求用户同意;

2)未向用户明示申请的全部隐私权限;

3)未逐一列出收集使用个人信息的目的、方式、范围等;

4)未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件;

5)未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理。

图片

4. 中国农业银行因网络安全问题被罚款420万

2021年1月29日,中国银保监会开出2021年第一张罚单,中国农业银行因涉及发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,被罚420万人民币。


农业银行涉及的违法违规行为包括:

(一)发生重要信息系统突发事件未报告;

(二)制卡数据违规明文留存;

(三)生产网络、分行无线互联网络保护不当;

(四)数据安全管理较粗放,存在数据泄露风险;

(五)网络信息系统存在较多漏洞;

(六)互联网门户网站泄露敏感信息。

司法动态

图片

1.“人脸识别第一案”二审在杭州公开审理

2020年12月29日下午,杭州中院公开开庭审理了郭兵与杭州野生动物世界有限公司(以下简称“野生动物世界”)服务合同纠纷二审案件。


郭兵上诉认为野生动物世界的规定对消费者不公平不合理,应属无效;收集使用个人生物识别信息过程存在欺诈,应删除郭兵所涉全部个人信息。野生动物世界则认为其行为并无不当,无需对相关信息进行删除,该案将择日宣判。

图片

2.全国首例适用民法典的侵犯公民个人信息公益诉讼案宣判

2021年1月8日上午,民法典实施后全国首例个人信息民事公益诉讼案件开庭审理并当庭作出判决。


本案中,孙某先后8次将从网络购买、互换获得的4.5万余条公民个人信息,通过微信、QQ等方式,出售给他人用于虚假外汇业务推广,获利3.4万元。上述信息被多次非法倒卖,众多不特定人员的个人信息长期遭受侵害,致使社会公共利益受损。


孙某的行为虽然发生在民法典实施前,但民法典对个人信息保护有更为详尽的规定。案件适用民法典更能体现法律对不特定民事主体人格尊严和人格自由的保护和尊重。案件也不存在适用民法典会“减损当事人的合法权益、增加当事人的法定义务或者背离当事人的合理预期”的情形。据此,检察机关结合危害后果、法律责任与民法典相关法条精神对被告进行了深刻的法庭教育,被告孙某也充分认识到其行为给社会公众带来的不良影响,通过其代理律师表示真诚认错悔过,当庭表示服判认罚。

3.张竣杰等非法控制计算机信息系统案——指导性案例145号

2021年1月12日,最高人民法院刑事专业委员会讨论通过了第26批指导性案例。


在第145号指导性案例中,张竣杰等四人为赚取赌博网站广告费用,通过系列操作将添加了“赌博”关键字的网页上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。截至案发,张竣杰等人链接被植入木马程序的目标服务器共计113台,最终,法院审理认定四被告人均犯非法控制计算机信息系统罪。


该指导性案例明确,通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,应当认定为非法控制计算机信息系统罪。

4.最高人民检察院发布11起充分发挥检察职能推进网络空间治理典型案例

2021年1月25日,最高检发布11起充分发挥检察职能推进网络空间治理典型案例。


此次发布的典型案例中包含10 个刑事案例,均为近年来多发高发的网络犯罪案例,诸如针对网络信息的犯罪、利用信息网络实施的犯罪等。10个刑事案例涉及9个罪名,亦均为当前网络犯罪常见多发罪名,包括帮助信息网络犯罪活动罪、非法控制计算机信息系统罪、开设赌场罪等。

行业动态

图片

1.金融业网络安全态势感知与信息共享平台初步建成

2020年12月4日,中国人民银行消息称金融业网络安全态势感知与信息共享平台初步建成。


人民银行党委委员、副行长范一飞指出,金融机构要打造行业内外网络安全威胁信息和服务“双循环”生态,金融业网络安全态势感知与信息共享平台建设要久久为功。人民银行将加强统筹协调,提升金融业网络安全治理效能。

图片

2. 法国国家信息与自由委员会对谷歌和亚马逊开出天价罚单[1]

2020年12月10日,法国国家信息与自由委员会(CNIL)发布公告称,由于谷歌及亚马逊法国网站此前存在违规使用Cookie的情况,该机构常委会于7日决定分别向谷歌和亚马逊两家公司开出1亿欧元(约合8亿元人民币)和3500万欧元(约合2.8亿元人民币)的罚单。公告称,两家网站在近期升级之后均已停止在用户终端上自动存储Cookie的操作,但其首页提供的相关信息仍未让用户了解与Cookie相关的广告用途及拒绝存储Cookie的可能。因此,法国国家信息与自由委员会要求两家公司自公告发出之日的3个月内实施整改,逾期将处以每日10万欧元的罚款。

图片

3. Uber因拒绝向加州政府提供数据而被罚款5900万美元[2]

2020年12月14日,Uber因拒绝向加利福尼亚公共事业委员会(CPUC)提供有关性侵犯和性骚扰事件的数据而被判支付5900万美元。


CPUC的行政法法官在其裁决中表示,在上次于2019年12月和2020年1月做出裁定之后,Uber并未提供“有关性侵犯和性骚扰投诉的信息”和“有关Uber的美国安全报告的作者身份的信息”。

图片

4. 央行发布第二张个人征信业务许可牌照

2020年12月25日,中国人民银行在官网发布消息称,人民银行批准朴道征信有限公司个人征信业务许可。这是继百行征信有限公司之后,第二家拿到牌照的个人征信机构。

5. 约会应用Grindr因数据问题被挪威数据保护局(Datatilsynet)罚款[3]

2021年1月16日,挪威数据保护机构(Datatilsynet)宣布,它已通知其将对Grindr 公司处以1亿挪威克朗(约合1000万欧元)的罚款,原因是该公司未能遵守GDPR。


Datatilsynet发现Grindr未能获得用户对共享数据的自愿、明确和知情的同意,因而违反了GDPR第6(1)(a)条。Datatilsynet强调,Grindr未获得用户充分的同意便出于营销目的与第三方分析和共享数据(包括GPS和用户配置文件)。

6. 智能坐垫“监视”员工惹争议

一位昵称叫做“苹果橙子妹妹”的网友在网络上发帖表示,其所在的公司HR通过一个坐垫监测到了自己的工作情况。该帖子引发了广泛争议。


2020年12月23日,杭州荷博物联网科技有限公司对相关问题进行回应,表示该产品仍处于研发状态,所有收集到的信息会严格保密,所收集的数据也不会计入考核、考勤,也不会作为各项奖金发放的依据。

7. 苹果公司与Facebook因广告数据获取问题产生利益冲突

Facebook和苹果公司因iOS 14系统的隐私政策产生利益冲突。冲突缘起于苹果公司在iOS 14系统中为用户提供一个隐私选项,让其可以分享自己的广告 ID(即 “IDFA”),并在打开一个应用时将其放在显著位置上。这样一来,在用户使用 Facebook 等应用时,系统会要求用户首先启用跟踪功能,随后应用才能跟踪用户数据以投放靶向广告。Facebook 等公司担心,苹果公司发出这种通知会让用户不愿启用跟踪功能,从而限制它们投放靶向广告的能力,而广告是其业务的核心。

8. 虾米音乐关停时将对用户信息进行处理

2021年1月5日,虾米音乐发布公告称,由于业务发展上的调整,虾米音乐播放器业务将于2月5日0点停止服务。


在此期间,虾米音乐为用户开启了“个人资料与资产”处理通道,用户可将创建、收藏的歌单、专辑等通过Excel等方式进行保存。虾米还强调,保存期限到期后将删除或匿名化处理服务过程中收集的用户信息。

信息来源:

[1]https://www.theee.ai/2021/02/01/7687-why-the-cnil-sanctioned-google-and-amazon-about-cookies/

[2]https://www.thesfnews.com/uber-fined-59-million-by-cpuc/71612

[3]https://www.dataguidance.com/news/norway-datatilsynet-notifies-intention-fine-grindr-nok

免责声明

本文中的信息、意见等仅供读者参考之用,本文任何内容均不构成任何形式的法律意见或建议,在任何时候均不构成对任何人的个人推荐或建议,读者应对本文中的信息和意见进行独立评估,自主审慎做出决策并承担风险。定达律所及其关联人员均不承担任何责任。如果您需要就某项事情进行法律咨询,敬请联系下列律师:



12

娄娉娉 | 顾问图片

teresalou@dingdalegal.com

娄娉娉律师拥有在大型跨国公司和律所超过十余年的执业经验,执业领域主要包括医药大健康合规监管、商业贿赂调查、数据合规及隐私保护、政府调查应对、争议解决等。


12

荣埚 | 律师图片

rongguo@dingdalegal.com

荣埚律师具有7年的法律工作经验,分别工作于公司与律师事务所。荣律师目前主要专注于刑事案件辩护、各类民商事争议解决、网络安全和数据合规、跨境电子商务、物流仓储、房地产建筑工程等方面的法律事务。


12

李曼华 | 实习律师

limanhua@dingdalegal.com

毕业于同济大学上海国际知识产权学院,以优异成绩完成了世界知识产权组织和同济大学联合培养硕士项目(全英文授课),熟悉欧盟知识产权法。目前主要聚焦于知识产权、数据合规及隐私保护、争议解决。


实习生王雪菡对本文亦有贡献。


上海定达律所事务所是一家成立于上海的精品律所,从著名高校和国内一流律师事务所引入了业界知名合伙人,在金融犯罪、白领犯罪、不良资产处置、网络安全、区块链和数字货币、大数据合规、隐私保护、知识产权保护、反商业贿赂、企业危机管理、成长性企业投融资、建设工程和房地产、劳动争议、民商事争议解决等领域具有丰富的执业经验。