出版研究 / Publication
>
定达期刊|网络安全和数据合规双月刊(10-11月)
2021-12-01       肖波、李曼华

12.1 上海.jpg

目录


立法、政策动态

· 国家市场监督管理总局、国家标准化管理委员会发布四项汽车领域信息安全国家标准

· 全国信息安全标准化技术委员会发布《汽车采集数据处理安全指南》

· 上海市人民政府办公厅印发《上海市全面推进城市数字化转型“十四五”规划》

· 工信部发布《关于开展信息通信服务感知提升行动的通知》

· 上海市发布《上海市数据条例》


行政监管动态

· “金山毒霸”错误使用英烈图片被北京市网信办依法约谈

· 浙江一银行行长因侵犯公民个人信息遭禁业五年

· 上海15部门联合出手整治违规收集个人信息等问题

· 国家安全部公布三起危害重要数据安全案例


司法案例

· 全国首例非法获取地理信息数据刑事案宣判

· 平台未经许可向内置支付软件提供用户信息被判侵权

· 银行上传不良征信信息被起诉后胜诉


行业动态

· 上海数据交易所成立



01

立法、政策动态


国家市场监督管理总局、国家标准化管理委员会发布四项汽车领域信息安全国家标准

10月11日,国家市场监督管理总局、国家标准化管理委员会发布了四项汽车领域信息安全国家标准,四项标准均将于2022年5月1日起实施。


《汽车信息安全通用技术要求》规定了汽车信息安全的保护对象和技术要求,适用于M类、N类汽车整车及其电子电气系统和组件。


《汽车网关信息安全技术要求及试验方法》规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法,适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。


《车载信息交互系统信息安全技术要求及试验方法》规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用系统、数据的信息安全技术要求与试验方法,适用于指导整车厂、零部件供应商、软件供应商等企业,开展车载信息交互系统信息安全技术的设计开发、验证与生产等工作。


《电动汽车远程服务与管理系统信息安全技术要求及试验方法》规定了电动汽车远程服务与管理系统的信息安全要求及试验方法,适用于纯电动汽车、插电式混合动力电动汽车和燃料电池电动汽车的车载终端、车辆企业平台和公共平台之间的数据通信。

全国信息安全标准化技术委员会发布《汽车采集数据处理安全指南》

10月8日,全国信息安全标准化技术委员会发布《汽车采集数据处理安全指南》。


《指南》规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求,适用于汽车制造商开展汽车的设计、生产、销售、使用、运维,也适用于主管监管部门、第三方评估机构等对汽车采集数据处理活动进行监督、管理和评估。

上海市人民政府办公厅印发《上海市全面推进城市数字化转型“十四五”规划》

10月24日,上海市人民政府办公厅发布《上海市全面推进城市数字化转型“十四五”规划》,指出了当前发展基础和面临形势、总体思路、重点工作、重点领域、重点工程及保障措施。


其中,《规划》提到,开展数字人民币试点,拓展线下和线上支付、交通出行、政务和民生等场景应用。深化普惠金融试点,实施大数据普惠金融应用2.0专项工程,普惠金融贷款投放超2000亿元,服务企业数量实现倍增。

工信部发布《关于开展信息通信服务感知提升行动的通知》

11月1日,工信部发布《关于开展信息通信服务感知提升行动的通知》。《通知》明确,自即日起到2022年3月底,开展信息通信服务感知提升行动。


《通知》提出,要优化网盘类服务提供方式。相关企业应优化产品服务资费介绍,清晰明示存储空间、传输速率、功能权益及资费水平等内容,不得进行误导宣传。在同一网络条件下,向免费用户提供的上传和下载的最低速率应确保满足基本的下载需求。

上海市发布《上海市数据条例》

11月25日,上海市第十五届人民代表大会常务委员会第三十七次会议审议通过了《上海市数据条例》,该条例自2022年1月1日起施行。


《条例》共十章九十一条,包括数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任等内容。其中,第五条明确规定了相关部门的职责:


市政府办公厅:负责统筹规划、综合协调全市数据发展和管理工作,促进数据综合治理和流通利用,推进、指导、监督全市公共数据工作。


市发展改革部门:负责统筹本市新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。


市经济信息化部门:负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。


市网信部门:负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。


市公安、国家安全机关:在各自职责范围内承担数据安全监管职责。


市财政、人力资源社会保障、市场监管、统计、物价等部门:在各自职责范围内履行相关职责。


市大数据中心:具体承担本市公共数据的集中统一管理,推动数据的融合应用。


02

行政监管动态


“金山毒霸”错误使用英烈图片被北京市网信办依法约谈

10月15日,在国家互联网信息办公室指导下,北京市网信办针对“金山毒霸”应用软件弹窗推送诋毁革命烈士邱少云内容问题,依法严肃约谈“金山毒霸”主办方北京猎豹网络科技有限公司负责人,责令立即停止违法行为,暂停弹窗信息推送功能30日,进行全面深入整改。


北京市网信办依据《中华人民共和国英雄烈士保护法》《中华人民共和国网络安全法》对“金山毒霸”应用软件违法行为进行行政立案处罚。

浙江一银行行长因侵犯公民个人信息遭禁业五年

10月22日,中国银行保险监督管理委员会官网公布的一则行政处罚决定书公告送达书透露,沈某某时任中国建设银行余姚城建支行行长,侵犯公民个人信息案件的作案当事人,对侵犯公民个人信息案件负有直接责任。 


根据《中华人民共和国银行业监督管理法》第四十八条第(三)项规定,宁波银保监局决定对沈某某予以禁止从事银行业工作五年的行政处罚。 


根据(2020)浙0281刑初62号刑事判决书,2017年3月17日,被告人沈某某应周某要求,将从鲁某某(已判刑)处非法获取的余姚市东城名苑业主的财产信息共计1111条通过QQ邮箱非法提供给周某用于招揽业务。同年4月20日,被告人沈某某在担任中国建设银行股份有限公司余姚城建支行行长期间,将该行受理的贷款客户财产信息共计127条提供给周某用于招揽业务。

上海15部门联合出手整治违规收集个人信息等问题

上海市市场监管局会同市委网信办、市通信管理局、市公安局等15部门联合开展上海市2021网络市场监管专项行动(网剑行动),集中整治破坏公平竞争秩序等突出问题,净化网络市场环境,保护消费者合法权益。


其中一个工作重点为严格规范互联网金融平台对个人征信信息的采集和使用,依法依规查处侵害个人征信信息权益的行为;依法查处快递企业侵害个人信息安全行为。

国家安全部公布三起危害重要数据安全案例

10月31日,在反间谍法颁布实施7周年即将到来之际,国家安全机关公布三起危害重要数据安全的案件。


案件一:某航空公司数据被境外间谍情报机关网络攻击窃取案

2020年1月,某航空公司向国家安全机关报告,该公司信息系统出现异常,怀疑遭到网络攻击。国家安全机关立即进行技术检查,确认相关信息系统遭到网络武器攻击,多台重要服务器和网络设备被植入特种木马程序,部分乘客出行记录等数据被窃取。


案件二:某境外咨询调查公司秘密搜集窃取航运数据案

2021年5月,国家安全机关工作发现,某境外咨询调查公司通过网络、电话等方式,频繁联系我国大型航运企业、代理服务公司的管理人员,以高额报酬聘请行业咨询专家之名,与我国境内数十名人员建立“合作”,指使其广泛搜集提供我航运基础数据、特定船只载物信息等。办案人员进一步调查掌握,相关境外咨询调查公司与所在国家间谍情报机关关系密切,承接了大量情报搜集和分析业务,通过我境内人员所获的航运数据,都提供给该国间谍情报机关。


案件三:李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案

2021年3月,国家安全机关工作发现,国家某重要军事基地周边建有一可疑气象观测设备,具备采集精确位置信息和多类型气象数据的功能,所采集数据直接传送至境外。


03

司法案例


全国首例非法获取地理信息数据刑事案宣判

10月22日,中国法院网发布关于全国首例非法获取地理信息数据刑事案宣判的消息。


Q公司是销售CORS(Continuously Operating Reference Stations,连续运行参考站)服务账号的地理信息产业公司。2019年9月至2020年8月,被告人张某、陈某未经Q公司允许,擅自使用陈某编写的XCORS.GwServer程序等技术手段,通过搭建中间平台的方式,获取Q公司等精确定位差分系统的数据用于转发,由被告人李某提供售后、维护服务,从而销售CORS服务账号,实现一个Q公司账号给多个终端用户服务,销售金额为52万余元。经鉴定,该XCORS.GwServer程序具有避开Q公司账号认证、位置识别、处置转发行为等安全技术措施的功能。


最终法院认为,张某获取只有Q公司合法用户才能获取的数据的这一行为方式,属于“采用其他技术手段”获取计算机信息系统内存储、处理、传输的数据。张某、陈某、李某采用其他技术手段,获取被害单位计算机信息系统中存储、处理或者传输的数据,情节特别严重,其行为均已构成非法获取计算机信息系统数据罪。

平台未经许可向内置支付软件提供用户信息被判侵权

10月29日上午,杭州互联网法院对某大型电商平台违法处理公民个人信息案作出判决。


被告A公司是某电商平台经营者,被告B公司是该电商平台内置支付软件的运营者。原告吴某是该电商平台的注册用户。原告登陆电商平台app后,按照界面要求输入姓名及身份证号,以开通支付功能。在相关界面中,原告误触了列表中的银行关联功能,得到“暂无银行卡可以绑定”的反馈。原告认为,上述反馈出现的原因在于被告向银行泄露原告信息。同时,原告在查阅用户协议后方才发现,电商平台与其内置支付软件的运营主体并不一致。原告打算注销该支付账号,却发现无法注销。


法院认为,A公司从未以任何形式明确或单独告知原告并取得其同意,仅在相关隐私政策中作出模糊说明,故A公司的信息处理行为不符合个人信息处理的知情同意原则。同时,A公司履行其与原告的网络服务协议,并无必要向B公司提供原告信息,也不存在应原告要求进行信息处理的情形,更不存在必须向B公司提供原告信息的法定义务。


B公司收集原告个人信息,不仅未以任何形式告知,更未取得原告同意。在B公司收集原告个人信息的时间点,双方之间还未签订任何协议,甚至在开通服务时令用户误认为收集信息的主体是A公司,不存在为履行合同必须进行信息处理的情形,亦有违诚信原则。


综上,法院认定两被告的信息处理行为侵害原告个人信息权益,责令立即删除原告个人信息,以书面道歉信方式向原告赔礼道歉,并赔偿原告合理维权损失2000元。

银行上传不良征信信息被起诉后胜诉

11月1日上午,杭州互联网法院公开开庭审理一起因银行上传不良征信信息引起的个人信息保护纠纷案,并当庭宣判,驳回原告诉讼请求。


因为经营需要,王某通过某app申请了45万元的信用贷款,贷款发放人为A银行。申请过程中,王某按照流程提供了个人信息,签署了若干份涉及信息收集、征信业务的授权书,并进行人脸核验、视频面谈等步骤。最终,双方顺利签订贷款合同。贷款发放后的第三个月,经多次催款,王某依然逾期还款。于是A银行将该逾期记录上传至征信系统。后来,王某在业务办理过程中发现了自己的不良征信记录,认为A银行侵犯了自己的个人信息权益,因此将其告上法庭。


法院认为,查询、上传征信信息包含不良信息的行为应纳入个人信息权益保护的范畴,但本案中被告收集、查询原告个人信息的行为合法,符合合法性、正当性、必要性原则,被告上传原告不良征信的行为合法,不承担民事责任。


04

行业动态


上海数据交易所成立

11月25日,上海数据交易所成立仪式暨2021上海全球数商大会在沪举行,上海市数据交易专家委员会同步成立。成立当日,数交所完成挂牌的数据产品20个,涉及金融、交通、通信等八大类。


根据规划,上海数据交易所是实现“汇天下数据而通之、聚天下数据而用之”的关键平台型基础设施,是推动数据从资源向要素转化的枢纽。上海数据交易所通过一系列创新安排,破解数据交易确权难、定价难、互信难、入场难、监管难的“五难”问题。




免责声明

本文中的信息、意见等仅供读者参考之用,本文任何内容均不构成任何形式的法律意见或建议,在任何时候均不构成对任何人的个人推荐或建议,读者应对本文中的信息和意见进行独立评估,自主审慎做出决策并承担风险。定达律所及其关联人员均不承担任何责任。如果您需要就某项事情进行法律咨询,敬请联系:


12.1 上海2.png