查看原文
其他

通力网络安全与数据合规动态(2021年2月)

通力律师 2023-09-22



2021年2月


一. 立法动态


1月5日, 中国银行保险监督管理委员会(银保监会)发布了《保险中介机构信息化工作监管办法》(“《办法》”), 于2021年2月1日起正式生效。《办法》对保险中介机构(包括保险代理人和保险经纪人)应当履行的网络安全责任进行了全面的规定, 包括制定整体的信息化工作制度、与关联机构进行必要的隔离(包括数据隔离和系统隔离)、对信息系统外包进行管理等。


网信办连同工信部、公安部联合起草了《互联网信息服务管理办法(修订草案征求意见稿)》(“《征求意见稿》”), 并于2021年1月8日公开向社会征求意见。作为互联网信息服务领域的最为重要的文件之一, 征求意见稿的更新理清了许多互联网信息服务的“灰色地带”, 对于当前的互联网行业的业务发展具有重要的参考价值。


通力法评

本次征求意见稿是《互联网信息服务办法》历经20年后的首次“大修”。作为互联网信息服务领域最为重要的法律文件之一, 《征求意见稿》实际上反映的是互联网行业在“狂奔发展”20余年后, 主管部门对监管要求的重新思考。首先, 《征求意见稿》首次规定了本法同样具有“域外效力”, 这很可能对通过境外网站向我国提供互联网信息服务产生影响; 其次, 《征求意见稿》将网信办、公安部、工信部和其他主管部门都作为“监管机构”以规制互联网信息服务, 并将分散在不同领域的监管要求融合到《征求意见稿》下, 为未来的互联网信息服务领域的“综合化执法”打下基础; 第三, 《征求意见稿》直接将互联网信息服务分为“经营性”和“非经营性”, 以要求申领ICP证或者获取ICP备案, 而不再强调 “有偿、无偿”这一略显过时的区分标准, 可能给将来ICP证和ICP备的区别管理带来更明确的指引。


1月12日, 为规范征信业务及其相关活动, 加强征信监督管理, 促进征信业健康发展, 中国人民银行(“人民银行”)草拟了《征信业务管理办法(征求意见稿)》, 并向社会公开征求意见。通力律师事务所对进行了详细的解析, 参见“解读《征信业务管理办法(征求意见稿)》背后的监管视角”。

二. 司法动态


1月21日, 天津一中院召开新闻发布会, 通报一起因买卖非法收集个人信息产品而引发的合同纠纷案件。该案中, 当事人双方签订了买卖“未经个人信息主体同意即可获取手机MAC地址”产品的合同。法院认为, 虽然手机MAC地址本身不能识别用户的身份, 但与其他信息相结合, 可以推出该手机用户的电话号码, 因此, 手机MAC地址属于法律规定的与其他信息结合识别自然人个人身份的个人信息。根据网络安全法规定, 收集自然人的个人信息应该经自然人同意, 而涉案产品的主要功能是不经用户同意即收集其个人信息, 属于非法获取公民个人信息的工具, 因此应认定涉案产品为违法产品。双方当事人买卖非法获取不特定人个人信息的产品, 违反了法律的强制性规定, 并构成对社会公共利益的损害, 遂判决确认涉案合同均无效。

三. 执法动态


1月23日, 依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规, 按照《关于开展纵深推进App侵害用户权益专项整治行动的通知》工作部署, 工信部近期组织第三方检测机构对手机应用软件进行检查, 督促存在问题的企业进行整改。截止至2021年1月23日, 尚有157款APP未完成整改, 上述APP应在1月29日前完成整改落实工作。

2020年12月21日, 工业和信息化部向社会通报了63家存在侵害用户权益行为APP企业的名单。2021年1月29日, 工信部经第三方检测机构核查复检, 尚有12款APP未按照工业和信息化部要求完成整改。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》)等法律和规范性文件要求, 工业和信息化部组织对上述12款APP进行下架。

四. 域外动态


德国洛尔萨克森的数据监管机构对当地的一家笔记本电脑经销商(notebooksbilliger.de AG, 以下简称NBB)处以高达1040万欧元的罚款, 处罚的原因是因为其没有任何合法理由在长达2年的过程中, 使其员工处于不间断的视频监控之中。本次处罚实际上是2018年的通用数据保护条例(GDPR)颁布之后金额最高的处罚之一(不仅仅在德国范围内, 也是在欧洲范围内)。


洛尔萨克森州的数据保护机构指出, 为发现刑事犯罪目的安装视频监控仅在对特定个人存有合理怀疑时才是合法的, 同时在该等情况下, 仅被允许在限定的时间段监测这些员工。然而, 监管机构进一步提到该公司的视频监控既不限于特定的时间, 也未限于特定的员工; 同时在很多情况下, 监控记录被保存至少60天, 明显长于必要的期限。NBB主张安装摄像头的目的是为了预防和调查刑事犯罪、监测仓库货物的流向。


调查机构发现NBB在没有任何法律依据的情况下对员工进行了侵入性的监控, 使用未经授权的摄像头监控了工作场所、销售室、仓库和其他员工进行活动的公共区域。非法监控的视频记录通常会被NBB保存至少60天, 远远超过数据保护机构官员发布规则中为任何目的所需保存视频的期限。


通力律师事务所网络安全与数据合规业务介绍


通力长期协助企业客户处理数据和网络安全相关的法律问题, 如离岸服务器, 网络日志存储和归档, 个人数据收集和使用, 数据完整性, 集中数据处理, 商业秘密和国家机密界限等诸多类型案件项目。自2010年起, 通力开始广泛协助国内外企业制定数字化营销环境下客户个人信息收集、使用、传输、交换及销毁全过程的合规解决方案。在处理这些案件项目的过程中, 通力具备了坚实的梳理立法逻辑链的能力, 这是厘清所有数据隐私保护法律法规的基础。基于这些实务经验, 我们可以为客户提供符合监管部门要求, 且务实经济的解决方案。


我们的部分律师曾在行政执法部门长期工作。他们的见解有助于我们更好了解实务中的着重及优先关注点, 这同时对我们为客户制定务实解决方案起到了重要作用。


我们与国内外学术研究机构保持长期紧密合作, 就网络安全立法及执法实践研究为行政主管部门建言献策。我们的团队已经就此领域发表了专题报告以及评析文章。例如, 2017年9月, 律商联讯(LexisNexis)出版了由通力合规团队撰写的《网络安全法新环境下企业合规之道》专刊, 内含涉及网络安全和数据隐私合规的六篇实务文章及指南; 2018年9月, 我们就网络安全与数据合规领域的实务问题撰写了《网络安全法30问》系列双语指引, 并独家授权威科先行(Wolters Kluwer)网络安全与数据合规模块在线发布。2019年9月, 根据法规及实务的变化, 我们对《网络安全法30问》进行全面更新, 并重新命名为《2019网络安全与数据保护合规蓝皮书(双语版)》。2020年11月, 结合实践案例与典型场景, 我们再次更新发布了《2020网络安全与数据保护合规蓝皮书(双语版)》; 2018年至2020年, 我们在Insights, The American Lawyer, China Business Law Journal 和《法制日报》等中外期刊发表《中国网安数据法的三大难题》《数据出境规制的中美博弈》等中英文专业文章。

作者:


潘永建 合伙人

+86 136 2172 0830

+86 21 3135 8701

david.pan@llinkslaw.com

点击长按识别左侧二维码查看作者介绍

孔焕志 合伙人

+86 185 1210 5880

+86 21 3135 8777

kenneth.kong@llinkslaw.com

点击长按识别左侧二维码查看作者介绍

杨迅

+86 152 2182 2373

+86 21 3135 8799

xun.yang@llinkslaw.com

点击长按识别左侧二维码查看作者介绍

辜鸿鹄 合伙人

+86 188 1746 8818

+86 21 3135 8722

patrick.gu@llinkslaw.com

点击长按识别左侧二维码查看作者介绍
朱晓阳 律师

杨坚琪 律师

邓梓珊


长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。


点击“阅读原文”,直达通力官网了解更多资讯!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存