全球数据保护资讯：国家网信办等四部门发布《云计算服务安全评估办法》

01

国家网信办等四部门发布《云计算服务安全评估办法》

为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》（以下简称为“《评估办法》”），并于2019年7月2日发布。

根据《评估办法》以及同步发布的《<评估办法>》有关问题解答》，云计算服务安全评估是依据云服务商申请，对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。同一云服务商运营的不同云平台，需要分别申请安全评估。前期已经通过党政部门云计算服务网络安全审查的云平台，视同为已通过云计算服务安全评估，不需要再重新申请。

自2019年9月1日起云服务商可以正式提交云计算服务安全评估申请。需要提交的材料包括申报书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可迁移性分析报告等。有关申报材料模版将在中国网信网提供下载。

云计算服务安全评估主要参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》，其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

安全评估包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等主要环节。

评估结果将由国家互联网信息办公室网络安全协调局在中国网信网公布。评估结果有效期为3年。

来源：中国网信网

02

美征信巨头Equifax将与FTC达成和解，为大规模数据泄露支付7亿美元

北京时间2019年7月22日消息，据知情人士称，美国征信机构Equifax将支付约7亿美元，就2017年一起大规模数据泄露事件与美国联邦贸易委员会（FTC）达成和解。在这起事件中，大约1.43亿位消费者的社保号码和其它个人信息被泄露。

知情人士称，和解协议最早将于当地时间周一公布。Equifax拒绝置评。

据称，此次和解将了结FTC、美国消费者金融保护局和大部分州检察机构的调查，并将了结一起全国性的消费者集体诉讼。

发生在2017年的这起事件是美国历史上最大的个人信息泄露事件之一。总部位于亚特兰大的Equifax在超过六周时间里没有觉察到黑客攻击。泄露的数据包括社会保险号码、出生日期、地址、驾照号码和信用卡号码等。

来源：新浪财经

03

欧盟数据保护委员会认为美国CLOUD Act与GDPR存在冲突

欧洲数据保护委员会(EDPB)日前表示，美国和欧盟之间需要达成一项国际协议，以确保根据美国《澄清数据在海外合法使用法案》(CLOUD Act)提出的数据请求符合欧洲法律。

在2019年7月10日的一份影响评估报告中，EDPB和欧洲数据保护监管机构表示，美国的CLOUD Act在GDPR下没有充分的法律依据来证明向美国转移个人数据的正当性。CLOUD Act于2018年初由国会通过，允许美国法院有权向执法机构签发搜查令，以强制企业提交披露存储在美国境外的客户数据。

EDPB表示，该法案允许通过“一系列途径”(包括那些不需要法官干预的途径)提出数据请求，而该法的境外法律效力在许多方面仍存疑。“处理个人数据受GDPR或其他欧盟成员国法律管辖的服务提供商，也即数据控制者，将很容易受到美国法律与GDPR之间的法律冲突的影响。”

评估报告指出，CLOUD Act与GDPR第48条存在冲突。GDPR第48条规定，外国法院的判决只有在基于国际协议的情况下才能得到承认。“在缺乏此类框架或其他法律基础的情况下，服务提供商不能根据此类请求合法地向美国提交披露和转移个人数据。”

评估报告补充称，该法案不具备GDPR下的合法基础，欧美应通过谈判达成一项包含“强有力的程序性和实质性的基本权利保障”的国际协议，以充分保护欧盟的数据主体。

来源：Global Data Review

04

App治理工作组：40款App收集使用个人信息存在问题被点名

2019年7月16日， App专项治理工作组发布了《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》（以下简称为“《整改通知》”）。

《整改通知》表明，根据中央网信办等四部门《关于开展App违法违规收集使用个人信息专项治理的公告》，App专项治理工作组对网民举报存在个人信息收集使用问题的App进行评估。近期，经评估发现，有40款App在个人信息收集使用方面存在问题，且未公开有效联系方式。

App治理工作组要求被点名App运营者于通知发布之日起10日内联系工作组，领取整改通知，于30日内完成整改并向工作组提交整改报告，逾期未领取整改通知或未完成整改的，工作组将建议相关部门予以处置。

在40款被点名App中，共有17款互联网金融相关App，包括富途牛牛、有钱花、来分期等。

来源：“App个人信息举报”微信公众号

05

德国黑森州数据保护监管机构禁止学校使用微软Office 365

德国黑森州数据保护专员做出裁决，禁止学校使用微软的 Office 365。

这一裁决是过去几年关于学校或其它政府机构是否应该使用微软软件展开辩论得出的结果。用户在使用微软的 Office 365 平台，除了提供个人信息外，还会将遥测数据发回美国。遥测数据除了标准的软件诊断信息外还会包含用户内容，比如文档或邮件主题中的语句。这些做法违反了欧洲的数据保护规定 GDPR。

微软曾尝试解决德国对数据保护的担忧，因此一度将德国用户的数据储存在德国境内。但在 2018 年 8 月，微软关闭了德国的本地储存，因此遥测数据再次传回了美国。美国过去几年通过的法律赋予了政府更多权力，可以向科技公司索要数据。鉴于这些情况数据保护专员禁止学校使用微软的云服务。

来源：Solidot

06

Chrome和火狐插件让数以百万计用户隐私数据泄露

网易科技讯2019年7月21日消息，据国外媒体报道，流行浏览器诸如广告拦截等扩展功能，已经遭利用而让数以百万计使用Chrome和火狐（Firefox）的消费者个人数据泄露。遭遇泄露的这些个人数据，不仅涉及他们的浏览历史，而且还包括他们存放在相关网络公共服务上的纳税申报单、医疗记录、信用卡信息和其他敏感数据。

据独立的网络安全研究人员Sam Jadali称，这些数据已经泄露给了一家名为Nacho Analytics的收费公司，该公司提供无限制地访问任何网站的分析数据的服务。

上周晚些时候，媒体Ars Technica率先援引来自Jadali的消息来源对此事进行了报道。Jadali表示，这些数据可能只需10到50美元就能买到，其表示 “在过去7个月，这些敏感数据的不断流动，已导致托管在（家庭安全摄像头）Nest和其它安全监控服务上的家庭及商业监视视频的公开化。”

报道表示，“用户存放或托管在微软OneDrive、Intuit.com和其他在线服务上的纳税申报单、账单发票、商业文件和演示幻灯片”已经曝光。

通过浏览器的8个扩展功能泄露的数据，还包括车辆识别、最近购买的汽车数量以及购买者的姓名和地址等。病人的详细信息、旅行行程、Facebook Messenger附件和Facebook照片，甚至是私人照片，现在都可以在这些公共服务上获得。

涉及泄露用户隐私数据的这些扩展功能，是数百万人正在使用的应用程序，这些应用程序包括HoverZoom、SpeakIt!和FairShare Unlock。谷歌和火狐两家公司均表示，“在消费者的浏览器中，这些扩展已经被远程删除或被禁用，并且不再提供下载。”

不过，Jadali表示，没有下载安装这些扩展功能插件的消费者，也可能因为与安装了这样的扩展功能插件的人互动而存在数据泄露的可能。

来源：网易科技

07

安全研究人员发现中国网贷App漏洞泄露大量个人信息

来自SafetyDetective的研究人员Anurag Sen发现，在网上有一个达 889GB 的巨型数据库，内有超过460万使用网贷App的装置信息。

包括用户个人联络数据、财务信息（包括借贷记录、风险管理数据、交易详情）、装置数据报括联络人列表、短讯记录、IMEI 编号以及容量数据，甚至每次登入时的地理位置，而且在不断更新之中，因此如果有意对特定用户进行监控，甚至可以追踪实时位置。这个数据库位于阿里云，未经加密公开，而研究人员表示阿里云应该没有参与或造成这次个人资料泄漏。

Anurag Sen 表示，他相信问题是出于这些网贷 App 的营销团队出错，造成数据库公开。这个数据库中的个人资料非常详尽，足以盗取个人身份进行各种恶意行为。如果这个数据被不当使用，后果相当严重。目前仍然未知什么人负责管理这个数据库，而有关方面已经向阿里云作出查询。

来源：Unwire.hk

2019未成年人网络保护研讨会发布《儿童个人网络信息保护倡议书》

来源：

http://www.cac.gov.cn/2019-07/19/c_1124771925.htm 

券商经纪人侵入国家机关与企业计算机系统并盗取个人信息，获刑5年

来源：

https://finance.sina.com.cn/stock/quanshang/qsyj/2019-07-16/doc-ihytcitm2468908.shtml

上海一男子假冒“上海招考热线”网站骗取信息万余条被刑拘

来源：

http://finance.sina.com.cn/roll/2019-07-19/doc-ihytcerm4756045.shtml

访问文末左下角点击“阅读原文”获取更多相关内容

  或点击以下二维码1秒解锁更多独家法律知识问答。

享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部，依托于北京德和衡律师事务所，享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今，我们已为近百家公司提供了多样化服务。

享法围绕数据安全，电子商务，网络游戏，视频直播，互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规，融资并购以及新三板挂牌等法律服务，同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。

请关注我们的微博：享法互联网法律

上周回顾

全球数据保护资讯：50亿美元天价和解还不够，Facebook将继续面临国会听证会拷问

上海持续清退不合规网约车，交通部、发改委拟对网约车实行市场调节价

往期回顾

全球数据保护资讯：50亿美元天价和解还不够，Facebook将继续面临国会听证会拷问（7.15）

全球数据保护资讯：因客户网上数据遭窃，英国航空公司面临1.8亿英镑罚款（7.8）

全球数据保护资讯：G20“大阪数字经济宣言”，“数据跨境”是重要议题，中美强调自身立场（7.1）

全球数据保护资讯：FTC启动对Youtube调查 或违反儿童数据收集规定（6.24）

让我们为您保驾护航

微信：享法互联网JoyLegal

微博：享法互联网法律

电话：010-81050766

邮箱：info@joy-legal.com

24小时内答复咨询

关注和分享，总有一个在路上~