全球数据安全合规资讯半月刊(4月上)
目录
国际动态
一、新规速递
1. 日本新修订《个人信息保护法》正式施行
2. 新加坡推出数据保护基本要素计划
3. 法国数据保护局发布《面向AI的GDPR合规指南》
4. 澳大利亚政府制定《国家数据安全行动计划》,旨在完善数据安全框架
5. 欧洲议会通过《数据治理法案》,促进欧盟内部数据共享新规则
6. EDPB通过关于新的跨大西洋数据隐私框架的声明
7. 新西兰隐私专员发布《<数据与统计条例>草案建议书》
8. 卢旺达国家网络安全机关发布《关键数据保护术语及含义》指南
二、监管动向
1. 美国SEC将爱奇艺、百度等五家中国公司列入“预退市名单”
2. 欧盟拟向大型在线平台收取年收入0.1%合规监管费
3. 美国务院成立网络空间和数字政策局
三、行业动态
1. 谷歌启动“隐私沙盒”全球测试,拟取代基于跟踪cookie的定向广告
2. 谷歌下架数十个使用隐藏数据收集软件的应用程序
四、典型案例
1. 欧洲刑警组织:欧美执法部门联合行动,捣毁买卖黑客数据的非法在线市场RaidForums
国内动态
一、新规速递
1. 中共中央 国务院关于加快建设全国统一大市场的意见:加快培育数据要素市场,建立健全数据安全基础制度
2. 证监会就修订《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》公开征求意见
3. 广州人大常委会发布《广州市数字经济促进条例》,2022年6月1日起施行
4. 信安标委发布《信息安全控制评估指南》和《大数据服务安全能力要求》征求意见稿
5. 香港个人资料私隐专员公署发布《社交媒体私隐设定大检阅》报告
二、监管动向
1. 网信办将开展“清朗·2022年算法综合治理”专项行动,重点检查大型网站、平台及产品
2. 工信部等五部门发文要求进一步加强新能源汽车企业安全体系建设,强化网络安全、数据安全、个人信息安全保障
3. 银保监会发布《关于2022年进一步强化金融支持小微企业发展工作的通知》,要求加强信用信息安全和保密管理
4. 交通运输部:加强道路客运电子客票信息安全管理 严防旅客个人信息等重要数据泄露
5. 工信部印发《工业互联网专项工作组2022年工作计划》,数据汇聚赋能、激发要素潜力位列任务清单
6. 工信部:加快出台《工信领域数据安全管理办法》《移动互联网应用程序个人信息保护管理规定》
三、行业动态
1. 工业和信息化部办公厅发布《2022年大数据产业发展试点示范项目申报和实施指南》
2. 北数所:国内首个可支持企业数据跨境流通的数据托管服务平台上线
四、典型案例
1. 最高人民法院发布民法典颁布后人格权司法保护典型民事案例
2. 国新办权威发布:打击治理电信网络诈骗犯罪工作进展情况
3. 国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件
4. 国家安全机关公布多起典型案例,含故意泄露国家安全机关工作秘密案
国
际
动
态
从近期国际动态来看,欧盟持续强化数据治理领域的规则引领。一方面,欧洲议会通过《数据治理法案》,落实《欧盟数据战略》,打造单一数据市场;另一方面,欧盟持续推进个人隐私严格保护,通过了一项关于宣布新的跨大西洋数据隐私框架的声明。同时,为持续强化监管,欧盟拟向大型在线平台收取年收入0.1%合规监管费。
行业层面,谷歌继续推进新一阶段的“隐私沙盒”测试,旨在实现更好保护用户隐私。该举或创立行业尤其是巨头企业从底层技术层面开展个人隐私保护探索的良好开端。
一 · 新规速递
1. 日本新修订《个人信息保护法》正式施行
4月1日,日本新修订的《个人信息保护法》正式施行。新修订《个人信息保护法》要点包括:
1)增强用户权利
依照2015年日本个人信息法规定(下称“旧法”),用户对其个人信息可要求数据处理者进行公开、更正、停止使用、说明理由等权利。其中,用户可在数据处理者违反法律规定将其个人信息提供给第三者时,要求数据处理者停止该数据提供行为。
此次新修订的个人信息保护法,除旧法规定的范围之外,新增第三十条第五款,规定“在数据处理者丧失使用保存中的个人信息的必要性的,可识别本人的保存中个人数据相关的第二十二条之二的第一款正文规定的事态发生的,或对可识别本人的保存中个人数据的使用可能损害本人的权利或正当利益的,用户均可要求数据处理者停止提供该等数据”。
2)加重数据处理者的义务
① 新增第三十条第六款,规定如用户依据上述第三十条第五款提出要求停止使用数据的,数据处理者应在一定条件下立即予以停止;
② 新增第十六条之二,规定数据处理者不得以有可能助长或诱发违法或不正当的行为使用个人信息;
③ 新增第二十二条之二,规定了在一定条件下,数据处理者在发生包括数据泄漏,灭失,毁损在内的其他个人信息保护委员会规则规定的涉及数据的安全保障的事态,很有可能对个人权利利益造成损害的,应按照个人信息保护委员会规则,将事态报告给个人信息保护委员会。同时规定了在一定条件下,信息处理者还应将发生的事态通知给本人。
3)新增假名化信息加工相关条款
旧法规定了匿名加工信息,并设专章规定了进行匿名加工信息的数据处理者的义务。此次新法在旧法基础上新设了假名化信息加工定义,并设置专章规定了假名加工数据处理者的义务。
① 新增第三十五条之二,规定了在假名加工阶段,假名加工的数据处理者应为删除信息等安全管理事项采取相应的措施;进行假名加工处理时不可超出目的范围;在丧失必要性后,应及时删除个人信息和删除信息;以及不得为识别本人而将该假名加工信息与其他信息相对照等;
② 新增第三十五条之三,规定了向第三方提供假名加工信息地限制。原则上,假名加工的数据处理者不可将假名加工信息提供给第三方。
4. 扩大域外适用范围。
依照旧法规定,日本国外的主体,对涉及向日本国内主体提供物品或服务的个人信息进行数据处理的,旧法规定个人信息保护委员会仅能对域外对象进行指导建议等不具有强制力的措施。
此次新法通过第七十五条规定,扩大了对域外主体可采取措施的范围,规定了个人信息保护委员会可向该等域外主体要求提供报告、命令、实地检查等强制权利。
来源:日本个人信息保护委员会
个人信息保护法链接:https://www.ppc.go.jp/en/legal/
2. 新加坡推出数据保护基本要素计划
4月4日,新加披个人数据保护委员会(PDPC)和信息通信媒体发展局(IMDA)推出数据保护要素(DPE)计划。该计划旨在帮助中小型企业(SME)获得基本水平的数据保护和安全实践,以保护其客户的个人数据和在数据泄露的情况下快速恢复。
根据DPE,中小企业需满足以下条件:
1)在新加坡注册和经营;
2)拥有至少30%的当地股权;
3)集团年销售额不超过每年1亿新元,或集团雇员人数不超过200人。
实施 DPE 将通过以下方式使中小企业受益:
1)新成立或收集和使用个人数据的中小企业可以采用加密和备份安全解决方案;
2)更密集地收集和使用个人数据的中小企业可以获得在IMDA注册的服务提供商提供的一站式专业服务,这将帮助中小企业建立基本的数据保护和安全能力。
- 实施这项服务,在IMDA的网站上列出并授予DPE标志,以彰显企业为实施基本数据保护和安全实践所做的努力。
- 如果发生PDPA规定的数据泄露事件,PDPC可能会将企业的DPE实施视为缓解因素。
来源:新加披PDPC官网
全文链接:https://www.pdpc.gov.sg/
3. 法国数据保护局发布《面向AI的GDPR合规指南》
4月5日,法国数据保护局发布《面向AI的GDPR合规指南》。指南要点包括:
1)定义使用目的。在项目设计中首先明确AI技术的适用目的,如明确基于机器学习的AI模型在学习阶段(即开发和训练AI模型阶段)与生产阶段独立的个人数据处理目的。
2)明确法律基础。在GDPR提供的6类处理个人数据的法律基础中明确所适用的法律基础。需特别注意,为“科学研究”处理个人数据并非法定的法律基础之一。
3)构建数据库。为涉及的个人数据创建数据库,数据库的构成包括a.专为数据库建立(以用于算法验证等)目的收集的数据;b.重复利用已经为其他目的所收集的数据。就后一种情形,需充分评估其合法性。
4)最小化数据。严格遵循GDPR第9条的要求,确保收集和使用的个人数据的最小化。建议采取的措施包括明确并清晰区分AI模型训练和运行所必须的数据类型、批判性地评估所需的数据类型与数量、应用数据假名化技术或数据过滤/混淆机制、建立并保留数据处理日志、评估数据处理风险、采用访问控制管理以确保数据安全等。
5)防范与AI模型相关的风险。避免基于非法收集的数据训练AI模型。同时,尽管根据个人数据训练的AI模型不必然包含个人数据,但仍需注意避免AI模型遭受攻击导致数据泄露。
来源:CNIL
原文链接:https://www.cnil.fr/fr/intelligence-artificielle/intelligence-artificielle-de-quoi-parle-t-on?version=2.5.50001.5476&platform=win
4. 澳大利亚政府制定《国家数据安全行动计划》,旨在完善数据安全框架
ZDNet4月6日消息,澳大利亚内政部已开始制定新的国家数据安全行动计划。
根据内政部长凯伦安德鲁斯的说法,该行动计划将着眼于保护公民的数据——收集、处理和存储在数字系统和网络上的信息——免受那些会破坏安全的人的侵害。
作为行动计划制定的一部分,内政部还在就联邦政府如何提高国家数据安全性征求州和领地政府、企业和澳大利亚公众的意见。公开咨询的项目包括联邦政府应如何与国际数据保护和安全框架保持一致;如何简化与数据安全相关的立法和政策措施,以使公司能够履行其在国际司法管辖区的义务;澳大利亚是否需要明确的数据本地化方法;如何更好地协调各级政府的数据安全政策;以及政府如何进一步支持企业了解数据的价值并提升其数据安全态势等。
来源:ZDNet
原文链接:https://www.homeaffairs.gov.au/reports-and-publications/submissions-and-discussion-papers/data-security
5. 欧洲议会通过《数据治理法案》,促进欧盟内部数据共享新规则
4月6日,欧洲议会以 501 票赞成,12票反对,40票弃权通过《数据治理法案》(TheData Governance Act,DGA),以增加初创公司和企业的数据可用性。
《数据治理法案》(DGA)于2021年11月与理事会达成一致,旨在促进对数据共享的信任,建立关于数据市场中立性的新欧盟规则,并促进公共部门持有数据的再利用。它将在健康、环境、能源、农业、流动性、金融、制造业、公共管理和技能等战略领域建立共同的欧洲数据空间。
根据欧委会的预估,从2018年到2025年,公共机构、企业和公民产生的数据量将增加五倍。新法案将促进这些数据的利用,有利于打造欧洲数据空间,并服务于社会、个人和企业。
下一步,该法案现必须由理事会正式通过,才能在官方公报上发布并生效。
来源:欧洲议会
原文链接:https://www.europarl.europa.eu/news/en/press-room/20220401IPR26534/data-governance-parliament-approves-new-rules-boosting-intra-eu-data-sharing
6. EDPB通过关于新的跨大西洋数据隐私框架的声明
3月25日,欧盟委员会主席冯德莱恩在与美国总统拜登一同出席记者会宣布,欧盟与美国就跨大西洋数据传输的新框架达成原则性协议。该框架将促进跨大西洋数据流动,并解决欧盟法院在2020年7月的Schrems II裁决中提出的关切。对此,欧盟委员会与白宫均在其官方网站上确认了这一原则性协议。
4月7日,EDPB 通过了一项关于宣布新的跨大西洋数据隐私框架的声明。声明表示,EDPB欢迎美国做出的承诺,即在欧洲经济区(EEA)的个人数据被转移到美国时采取“前所未有的”措施保护他们的隐私和个人数据。EDPB指出,该公告并不构成EEA数据出口商可以将数据传输到美国的法律框架。数据出口商必须继续采取必要行动以遵守欧盟法院的判例法(CJEU),尤其是2020年7月16日的 Schrems II决定。EDPB将特别关注如何将这一政治协议转化为具体的法律提案。
EDPB将在收到欧盟委员会的相关文件后,根据欧盟法律、CJEU判例法和委员会先前的建议,仔细评估新框架可能带来的改进。其中,EDPB将特别分析出于国家安全目的收集个人数据是否仅限于严格必要和相称的范围。此外,EDPB将审查宣布的独立补救机制如何尊重EEA个人获得有效补救和公平审判的权利。更具体地说,EDPB将调查该机制下的部分新的主管部门在执行其公务时是否可以访问相关信息,包括个人数据,以及它是否可以通过对情报服务具有约束力的决定。EDPB还将考虑是否引入对机构的决定或不作为的司法补救措施。
来源:EDPB
欧盟宣布达成原则性协议原文链接:https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087
白宫宣布达成原则性协议原文链接:https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/united-states-and-european-commission-joint-statement-on-trans-atlantic-data-privacy-framework/
声明原文链接:https://edpb.europa.eu/news/news/2022/edpb-adopts-statement-new-trans-atlantic-data-privacy-framework-letter-concerning_en
7. 新西兰隐私专员发布《<数据与统计条例>草案建议书》
4月6日,新西兰隐私专员发布《<数据与统计条例>草案建议书》。
《数据与统计条例》旨在使政府收集、持有、发布数据和官方统计数据的方式现代化。鉴于一些意见书和媒体对法案的某些方面提出的隐私问题,新西兰隐私专员通过《<数据与统计条例>草案建议书》概述了其对法案如何处理隐私的立场。隐私专员阐述了对法案中保护个人隐私的充分保障措施的广泛认可,同时还提出了一些额外的保障措施供委员会考虑。
来源:新西兰政府网
建议书原文链接:https://www.parliament.nz/resource/en-NZ/53SCGA_EVI_116197_GA21193/22492fd2088a4e53b36b35a6ee2714788c0b4899
《数据与统计条例》草案链接:https://www.legislation.govt.nz/bill/government/2021/0081/latest/LMS418574.html
8. 卢旺达国家网络安全机关发布《关键数据保护术语及含义》指南
4月8日,卢旺达国家网络安全机关发布《关键数据保护术语及含义》指南。指南阐明了个人数据、敏感个人数据、隐私、数据控制者、数据处理者、数据处理、数据主体、第三方等关键数据保护术语的含义。
来源:卢旺达国家网络安全局
指南原文链接:https://cyber.gov.rw/updates/article/key-data-protection-terms-and-their-meanings-1/
二 · 监管动向
1. 美国SEC将爱奇艺、百度等五家中国公司列入“预退市名单”
3月30日,美国证券交易委员会SEC依据《外国公司问责法案》(HFCAA)将爱奇艺、百度等五家中国公司列入预退市名单。
根据SEC官网显示,这五家公司需要于4月20日前向SEC提供证据进行抗辩。根据美国《外国公司问责法案》实施细则,被列入“确定退市名单”的公司需要在自披露第一份年报开始的三年内提交SEC需要的文件。如果“确定退市名单”中的公司没有提交或提交的文件不符合SEC要求,将会在披露2023年年报后(2024年初)面临立即退市。
报道来源:SEC
原文链接:https://www.sec.gov/hfcaa
2. 欧盟拟向大型在线平台收取年收入0.1%合规监管费
路透布鲁塞尔4月5日-欧盟的一份文件显示,依据拟议中的欧盟新规,主要的在线平台将需支付合规监管费用,可高达年净收入的0.1%。
欧盟国家和立法者有望在本月晚些时候就数字服务法案(DSA)规则达成一致。这将是欧盟执委会首次征收这样的费用。
文件称:“年度监管费的总金额应以执委会根据本法案承担的监督任务的估计成本为基础。该费用不得超过超大型在线平台(或超大型搜索引擎)提供商上一财年全球年净收入的0.1%”。
文件还表示,收费应与服务的规模成比例,而服务规模以它在欧盟的受众数量来衡量。欧盟执委会将受DSA约束的超大型在线平台定义为那些月活跃用户超过4500万的平台。
来源:路透社
原文链接:https://cn.reuters.com/article/eu-online-firms-fee-0406-idCNKCS2LY087
3. 美国务院成立网络空间和数字政策局
据the National Law Review 4月7日消息,美国国务院网络空间与数字政策局(CDP)于2022年4月4日成立。
根据公告,CDP由国际网络空间安全、国际信息和通信政策以及数字自由三个部门组成,将处理与网络空间、数字技术和数字政策有关的国家安全挑战、经济机会和对美国价值观的影响。
另外,CDP 还将领导和协调美国国务院在网络空间和数字外交方面的工作,以鼓励负责任的国家在网络空间的行为,并推动保护互联网基础设施的完整性和安全性的政策,为美国的利益服务,促进竞争力。
来源:the National Law Review
原文链接:https://www.natlawreview.com/article/state-department-establishes-bureau-cyberspace-digital-policy
三 · 行业动态
1. 谷歌启动“隐私沙盒”全球测试,拟取代基于跟踪cookie的定向广告
近期,谷歌刚刚宣布了其隐私沙盒建议的下一阶段试验,这个测试专注于广告的相关性和测量。谷歌沙盒指的是一个不断发展的广告定位技术栈,谷歌建议在2023年下半年用它取代Chrome浏览器中基于跟踪cookie的定向广告,它认为这将更好地保护用户的隐私,但仍然有效地产生广告收入。
Chrome浏览器隐私沙盒产品总监Vinay Goel博文中表示,开发者可以开始在全球范围内测试Chrome浏览器Canary版本中的话题、FLEDGE和归因报告API。一旦在Beta版中顺利进行,Google将在稳定版的Chrome中提供API测试,以扩大测试范围,让更多的Chrome用户参与进来。此外,谷歌现在还将开始测试更新的隐私沙盒设置和控制,这将允许用户看到并管理与他们相关的利益,或完全关闭试验。
Vinay Goel还在博文中给出了沙盒一些设置的样本图,它显示了一个多层次的菜单结构,在最高层有一个关闭(或打开)试验的主开关,往下看,有一个基于浏览器的广告个性化的菜单,用户可以删除基于话题的对其浏览活动的监控,编辑系统推断兴趣的网站列表。另外两个菜单一个与广告测量有关,另一个是减少垃圾邮件和欺诈。
事实上,Google的沙盒计划也引起了不少争议。欧洲的反垄断监管机构介入认为Google取消追踪cookies的计划将只是巩固其市场力量。但是,在获得Google关于如何开发沙盒的一些承诺后,英国CMA在上个月签署了让该项目继续进行的协议,为继续开发和现在进行的另一批沙盒试验铺平道路。
值得注意的是,欧盟(和其他一些地区市场)的Chrome浏览器用户不会被选择加入最新的沙盒试验,而只有当他们主动选择加入,将开关拨到开启位置时,才能够参与进来。这可能是由于该地区的法律保护人们的隐私,如欧盟的《一般数据保护条例》。
来源:cnbeta
原文链接:https://m.cnbeta.com/wap/view/1253413.htm
2. 谷歌下架数十个使用隐藏数据收集软件的应用程序
《华尔街日报》4月7日消息,谷歌已从其Google Play商店中下架了几十个应用程序,此前该公司认定这些应用程序内置一个秘密获取数据的软件代码。
编写该代码的巴拿马公司Measurement Systems通过公司记录和网络注册与弗吉尼亚州一家国防承包商有联系,该承包商为美国国家安全机构从事网络情报、网络防御和情报拦截工作。
两位研究人员称,该代码在数以百万计的安卓设备上运行,并在几个下载超过1000万次的穆斯林祈祷应用程序中被发现,还内置在一个高速公路超速陷阱检测应用程序、一个二维码识别应用程序和其他一些流行的消费者应用程序中,两位研究人员在搜索Android应用程序漏洞的审计工作中发现了该代码的行为。
来源:华尔街日报
原文链接:http://www.google.com.hk/
四 · 典型案例
1. 欧洲刑警组织:欧美执法部门联合行动,捣毁买卖黑客数据的非法在线市场RaidForums
2022年4月12日,欧洲刑警组织发布公告称,世界上最大的黑客论坛之一“RaidForums”已被捣毁。
RaidForums于2015年推出,被认为是世界上最大的黑客论坛之一,拥有超过50万用户的社区。这个市场通过出售属于不同行业的许多美国公司的备受瞩目的数据库泄漏访问权而声名鹊起。其中包含数百万张信用卡的信息、银行帐号和路由信息,以及访问在线账户所需的用户名和相关密码。这些数据集是从近年来进行的数据泄露和其他漏洞利用中获得的。
来源:欧洲刑警组织网
原文链接:https://www.europol.europa.eu/media-press/newsroom/news/one-of-world%E2%80%99s-biggest-hacker-forums-taken-down
国
内
动
态
从近期国内动态来看,充分释放数据这一国家基础性战略资源的价值仍是重点。近期,《中共中央 国务院关于加快建设全国统一大市场的意见》指出要加快培育统一的技术和数据市场;工信部拟围绕数据要素市场培育、大数据重点产品和服务、行业大数据应用3大领域8个方向,遴选一批大数据产业试点示范项目,推进大数据产业高质量发展;工信部工业互联网专项工作组也将数据汇聚赋能、激发要素潜列入2022年工作计划;广州市发布《促进元宇宙创新发展办法》促进数字经济发展。
同时,《数据安全法》《个人信息保护法》生效后,影响不断深化,各行业、各领域数据安全保护意识和需求不断提升。工信部、银保监、交通运输部、证监会在近期发布的相关文件中均强调数据安全、信息安全。对此,企业宜进一步提高站位,推进数字技术创新,自觉落实主体责任。大型平台、企业尤其应当保证算法等底层技术公平、可靠,主动承担数据安全治理责任。
一 · 新规速递
1. 中共中央 国务院关于加快建设全国统一大市场的意见:加快培育数据要素市场,建立健全数据安全基础制度
4月10日,《中共中央 国务院关于加快建设全国统一大市场的意见》发布。
《意见》提出,要加快培育统一的技术和数据市场。建立健全全国性技术交易市场,完善知识产权评估与交易机制,推动各地技术交易市场互联互通。完善科技资源共享服务体系,鼓励不同区域之间科技信息交流互动,推动重大科研基础设施和仪器设备开放共享,加大科技领域国际合作力度。加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。
来源:中央人民政府网
2. 证监会就修订《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》公开征求意见
4月2日,证监会就《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》公开征求意见。
本次修订拟主要对原规定作出以下调整:一是完善法律依据,增加《中华人民共和国会计法》《中华人民共和国注册会计师法》等有关法律法规作为上位法。二是调整适用范围,与《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》相衔接,明确适用于企业境外直接和间接上市。三是明确企业信息安全责任,为境内企业境外发行证券和上市活动中境内企业、有关证券公司、证券服务机构在保密和档案管理方面提供更清晰明确的指引。四是完善跨境监管合作安排,为安全高效开展跨境监管合作提供制度保障。
来源:证监会官网
3. 广州人大常委会发布《广州市数字经济促进条例》
2022年4月6日,广州市人大常委会发布《广州市数字经济促进条例》(以下简称“《条例》”),自2022年6月1日起施行。
《条例》共十一章八十九条,以推动数字产业化和产业数字化发展为核心,加强数字基础设施建设,推进数据资源价值化,努力提升城市治理数字化水平,致力构建数字经济全要素发展制度体系,为广州建设成为具有全球影响力的数字经济引领型城市提供法治保障。
《条例》探索推行首席数据官、数据经纪人等创新制度,明确规定“建立健全部门协同、市区联动、政企合作的数据治理体制机制,探索推行首席数据官等数据管理创新制度”,“探索建立数据交易平台、场所以及数据入场规范、数据经纪人管理等配套制度”。
来源:广州人大官网
4. 信安标委发布《信息安全控制评估指南》和《大数据服务安全能力要求》征求意见稿
4月7日,全国信息安全标准化技术委员会发布《信息安全技术 信息安全控制评估指南(征求意见稿)》和《信息安全技术 大数据服务安全能力要求(征求意见稿)》。
新发布的《信息安全技术 信息安全控制评估指南》旨在代替《信息技术 安全技术 信息安全控制措施审核员指南》,与旧版相比,主要技术变化如下:一是评审方法中增加了抽样的介绍;二是对旧版附录B增加了事件管理的内容,在新版中该附录次序调整为附录A;三是对旧版附录A“关于技术符合性检查实践指南”中关于控制的陈述和指南的结构保留,新版本中所列出的控制和GB/T 22081-2016保持一致,在新版中该附录次序调整为附录B“技术性安全评估实践指南”;四是新版增加的附录C提供了基于ISO/IEC 27017:2015的云服务技术性安全评估指南。
新发布的《信息安全技术 大数据服务安全能力要求》旨在代替GB/T 35274—2017《信息安全技术 大数据服务安全能力要求》,主要规定了大数据服务提供者在组织安全能力建设、支持组织数据生命周期管理的数据处理活动安全能力建设及大数据服务过程中的数据服务风险管理安全能力建设方面的安全要求。
来源:全国信息安全标准委员会官网
5. 香港个人资料私隐专员公署发布《社交媒体私隐设定大检阅》报告
4月12日,随着近年公众渐趋关注使用社交媒体的个人资料私隐风险,个人资料私隐专员公署检视香港十大最常使用的社交媒体,包括Facebook、Facebook Messenger、Instagram、LINE、LinkedIn、Skype、Twitter、WeChat、WhatsApp及YouTube,发布《社交媒体私隐设定大检阅》报告。
私隐公署已经将报告送交各社交媒体营运者,并提出以下建议:
1)社交媒体营运者应持续采取贯彻私隐的设计,优化其服务,并向用户提供更多私隐相关功能,增加用户的选择;
2)社交媒体应留意所收集的个人资料种类,避免收集超乎所提供的服务所需要的资料;
3)社交媒体的私隐政策应该清晰易明,用字不应含糊笼统。私隐公署认为采用分层式展示或以图片、表格或短片辅助说明有助增加私隐政策的易读性;
4)社交媒体不应将位置追踪功能预设为开启,应让用户因应其需要作出选择;
5)社交媒体应提供端对端加密及双重认证功能以加强保障用户的个人资料;及
6)社交媒体营运者亦应主动应对起底、数据撷取或其他非法行为,限制搜寻用户的方式。
来源:香港个人资料隐私专员公署
二 · 监管动向
1. 网信办将开展“清朗·2022年算法综合治理”专项行动,重点检查大型网站、平台及产品
4月8日,中央网信办发布《关于开展“清朗·2022年算法综合治理”专项行动的通知》。《通知》明确重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品,督促企业利用算法加大正能量传播、处置违法和不良信息、整治算法滥用乱象、积极开展算法备案,推动算法综合治理工作的常态化和规范化的工作目标。
根据《通知》,专项行动主要包括以下五个方面工作:
(一)组织自查自纠。指导互联网企业对照《管理规定》有关要求,全面梳理算法应用情况,深入开展算法安全能力评估,积极采取有效措施,整改算法应用问题,消除算法安全隐患,维护网民合法权益。
(二)开展现场检查。中央网信办牵头会同有关部门和各地网信部门组成联合检查组,对部分互联网企业开展现场检查,各地网信部门可结合当地实际自行对属地其他企业开展检查,重点检查企业算法合规情况和算法安全能力。
(三)督促算法备案。向企业宣传解读《管理规定》中互联网信息服务算法备案的总体原则、备案范围、填报要求和咨询途径等,督促企业尽快完成算法应用情况梳理,并及时开展算法备案信息填报工作。
(四)压实主体责任。督促企业配备与业务规模相适应的算法安全治理机构和专门人员,建立完善算法安全相关规章制度,积极利用算法服务正能量传播、处置违法和不良信息等工作,监测算法滥用乱象,防范算法安全风险。
(五)限期问题整改。对检查中发现的措施不健全、执行不到位、效果不理想等问题,向企业及时反馈并督促限期整改,对存在违法违规行为的企业,将依据《管理规定》严肃问责处罚、责令改正。
来源:中国网信网
4月8日,工信部等五部门发布《关于进一步加强新能源汽车企业安全体系建设的指导意见》。
《意见》要求加强网络安全防护。企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。对车辆网络安全状态进行监测,采取有效措施防范网络攻击、入侵等危害网络安全的行为。强化数据安全保护。企业要切实履行数据安全保护义务,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。企业要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。落实个人信息安全防护。企业要按照《个人信息保护法》以及相关法律法规的规定处理个人信息,制定内部管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。
来源:工信部官网
3. 银保监会发布《关于2022年进一步强化金融支持小微企业发展工作的通知》,要求加强信用信息安全和保密管理
4月8日,银保监会发布《关于2022年进一步强化金融支持小微企业发展工作的通知》。
《通知》就落实《政府工作报告》“推进涉企信用信息整合共享”任务专题进行部署,明确提出各级监管部门和各银行保险机构要主动参与推进信用信息共享机制和融资服务平台建设,推动有序扩大信息共享范围,提升信息数据可用性,完善平台功能。重点总结推广省市级融资信用服务平台建设的良好经验,提高区域性信息集成共享和应用效率。强化银行保险机构自身数据能力建设,扎实推进数字化转型,加快大数据金融产品开发应用。特别强调完善涉企信用信息的安全管理体系,严格规范与第三方机构合作中的数据安全和隐私保护。
来源:中国银保监会
4. 交通运输部:加强道路客运电子客票信息安全管理 严防旅客个人信息等重要数据泄露
4月11日,交通运输部办公厅印发《关于做好道路客运电子票客推广普及有关工作的通知》。
《通知》要求加强信息安全管理。各省级交通运输主管部门要督促指导道路客运电子客票系统运营单位按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律、行政法规要求,规范电子客票相关信息的采集、传输、存储、应用流程,强化道路客运电子客票服务网络安全、数据安全和个人信息保护,确保系统安全平稳运行,严防旅客个人信息等重要数据泄露。要加强风险防控和隐患排查,对发现的问题督促系统运营单位立行立改,压实企业主体责任,坚决筑牢信息安全屏障。
来源:交通运输部
5. 工信部印发《工业互联网专项工作组2022年工作计划》,数据汇聚赋能、激发要素潜力位列任务清单
4月13日,工信部印发《工业互联网专项工作组2022年工作计划》。
根据《工作计划》,工信部将从建设工业互联网大数据中心体系、培育高质量工业APP、推动平台间数据互联互通、持续深化“工业互联网+安全生产”四个方面开展数据汇聚赋能行动。同时,还将通过引导企业持续提升数据管理能力,推动行业加强数据分类分级管理,激发工业等领域的数据要素潜力。
来源:工业和信息化部
6. 工信部:加快出台《工信领域数据安全管理办法》《移动互联网应用程序个人信息保护管理规定》
4月14日,国务院新闻办公室举行打击治理电信网络诈骗犯罪工作进展情况发布会,工信部网络安全管理局局长隋静就工信部如何监管过度收集个人信息问题进行了回应。
隋静表示,工信部始终高度重视个人信息保护工作,加快推动《个人信息保护法》《数据安全法》在工业和信息化领域落地实施,全面推进数据安全和个人信息保护工作取得了积极成效。
一是健全政策标准体系。制定了《电信和互联网用户个人信息保护规定》,研究起草了《工业和信息化领域数据安全管理办法》等系列文件,建立行业数据安全标准体系,指导各单位规范从严推进各项工作。
二是组织推进专项治理。持续推进App个人信息保护专项整治,2021年全年组织对208万款App进行了技术检测,通报违规1549款,下架514款,有力整治违法违规行为。
三是督促企业责任落实。深入推进工信领域数据安全保护能力提升,指导督促500余家企业完成自评估,促进企业安全责任落实。组织电信企业、互联网企业、行业协会开展个人信息保护,以案释法、警示教育和行业自律工作,提高从业人员守法意识。
2022年,将重点做好以下几个方面工作:
一是持续完善管理制度。我们将加快出台《工信领域数据安全管理办法》《移动互联网应用程序个人信息保护管理规定》,研究制定APP收集使用个人信息、车联网、人工智能等重要领域数据安全标准,强化个人信息保护和数据安全监管。
二是继续开展专项治理。针对涉诈、涉赌、涉网络黑灰产以及疑似恶意程序等不良APP,组织开展APP安全专项治理。建立不良APP安全监测处置技术能力,形成“主动发现、风险预警、依法处置、监管追责”的全流程闭环治理体系。
三是保障用户权益。重点突出关键责任链监管,对应用商店、第三方软件开发工具包、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。
四是开展协同共治。将加强与网信、公安等部门协同配合,推动构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,进一步营造更安全、更清朗、更可靠的个人信息保护和数据安全工作局面。
来源:工信部官网
三 · 行业动态
1. 工业和信息化部办公厅发布《2022年大数据产业发展试点示范项目申报和实施指南》
4月6日,工业和信息化部办公厅发布《2022年大数据产业发展试点示范项目申报和实施指南》。本次申报围绕数据要素市场培育、大数据重点产品和服务、行业大数据应用3大领域8个方向,遴选一批大数据产业试点示范项目,通过树立一批各行业、各领域的排头兵,推进大数据产业高质量发展。
鼓励数据拥有方基于《数据管理能力成熟度评估模型》(GB/T 36073-2018,以下简称DCMM)等国家标准,探索提升数据管理能力;鼓励数据管理相关技术服务方开发提升企业数据管理能力的工具和平台。
鼓励数据拥有方在做好数据脱敏和隐私保护的前提下,将搜索、电商、社交、通信、金融等数据开放至数据交易机构,提升全国数据供给数量。鼓励数据服务商开展数据流通技术服务、数据合规认证、交易主体评级、数据资产评估、数据争议仲裁等探索。
支持大数据在社会治理、应急管理、环境保护等领域应用,促进政府管理精细化、服务水平现代化。鼓励大数据在医疗诊断、医药研发、医保服务等方面先行先试,助推医疗、医药、医保联动改革。支持网络招聘、个人征信、社会保险等领域的大数据综合应用,保障就业市场稳定。推动通信、物流、电力、金融、保险等行业大数据的应用场景创新。
来源:工信部官网
2. 北数所:国内首个可支持企业数据跨境流通的数据托管服务平台上线
北京日报4月12日消息,北京国际大数据交易所研发的北京数据托管服务平台近日正式投入使用,成为国内首个可支持企业数据跨境流通的数据托管服务平台。
北数所相关负责人介绍:“北京数据托管服务平台以标准统一化、管理高效化、服务定制化为特点,支持提供数据托管、脱敏输出、融合计算、建档备案等服务。”下一步,北数所将继续在有关部门的指导下,不断拓展数据跨境服务试点范围,面向国内外企业创新提供合规咨询、数据脱敏、托管治理、技术审计等数据跨境运营增值服务,积极探索规范的跨境数据流动路径,努力打造国际重要的数据跨境流动枢纽,为北京“两区”建设提供支撑。
来源:北京日报
四 · 典型案例
1. 最高人民法院发布民法典颁布后人格权司法保护典型民事案例
4月11日,最高人民法院发布民法典颁布后人格权司法保护典型民事案例。其中,“AI陪伴”软件侵害人格权案、人脸识别装置侵害邻居隐私案、非法买卖个人信息民事公益诉讼案被列入典型案例清单。
案例四:“AI陪伴”软件侵害人格权案,人工智能软件擅自使用自然人形象创设虚拟人物构成侵权。随着后疫情时代互联网产业模式的进一步创新,虚拟现实等新技术的不断发展,自然人人格要素被虚拟化呈现的应用日益增多。本案明确自然人的人格权及于其虚拟形象,同时对算法应用的评价标准进行了有益探索,对人工智能时代加强人格权保护具有重要意义。
案例八:人脸识别装置侵害邻居隐私案,近距离安装可视门铃可构成侵害邻里隐私权。本案就人工智能装置的使用与隐私权的享有发生冲突时的权利保护序位进行探索,强调了隐私权的优先保护,彰显了人文立场,对于正当、规范使用智能家居产品,避免侵害人格权益具有一定的借鉴和指导意义。
案例九:非法买卖个人信息民事公益诉讼案,大规模非法买卖个人信息侵害人格权和社会公共利益。本案是民法典实施后首例个人信息保护民事公益诉讼案件。本案准确把握民法典维护个人信息权益的立法精神,聚焦维护不特定社会主体的个人信息安全,明确大规模侵害个人信息行为构成对公共信息安全领域社会公共利益的侵害,彰显司法保障个人信息权益、社会公共利益的决心和力度。
来源:最高法官网
2. 国新办权威发布:打击治理电信网络诈骗犯罪工作进展情况
4月14日,国务院新闻办公室举行新闻发布会,介绍打击治理电信网络诈骗犯罪工作进展情况。
会上,公安部副部长杜航伟表示,一年来,各地区各部门坚决贯彻党中央决策部署,坚持以人民为中心,对人民群众深恶痛绝的电信网络诈骗犯罪出重拳、下狠手,全国共破获电信网络诈骗案件39.4万起,抓获犯罪嫌疑人63.4万名,同比分别上升28.5%和76.6%,打击战果创历史新高。
公安部刑事侦查局局长刘忠义表示,以电信网络诈骗为代表的新型网络犯罪已成为主流犯罪。一些人员受蛊惑蒙蔽,出租、出售银行卡、电话卡、支付账户给诈骗集团,成为诈骗分子的帮凶。同时,电信网络诈骗手法加速迭代变化,诈骗集团针对不同群体,根据非法获取的精准个人信息,量身定制诈骗剧本,实施精准诈骗。
最高人民检察院第四检察厅负责人程雷表示,2021年,全国检察机关积极探索在个人信息保护领域建立刑事检察和公益诉讼检察办案联动机制,全年共办理该领域公益诉讼案件2000余件,强化源头防范。
人民银行支付结算司司长温信祥表示,2021年,商业银行向公安机关提供到银行网点异常开户的卡贩线索8872个。组织商业银行、支付机构对公安机关认定的5.2万个非法买卖账户的单位和个人,实施五年不得新开户等惩戒。指导中国银联建立系统开展“一键查卡”试点,为个人提供跨行账户信息查询服务72万余次,便利了个人管理名下的银行卡。
工业和信息化部网络安全管理局局长隋静表示,工信部始终高度重视个人信息保护工作,坚决贯彻落实党中央、国务院有关工作部署,坚持以人民为中心的发展思想,立足主责主业,加快推动《个人信息保护法》《数据安全法》在工业和信息化领域落地实施,全面推进数据安全和个人信息保护工作取得了积极成效。
一是健全政策标准体系。制定了《电信和互联网用户个人信息保护规定》,研究起草了《工业和信息化领域数据安全管理办法》等系列文件,建立行业数据安全标准体系,指导各单位规范从严推进各项工作。
二是组织推进专项治理。持续推进APP个人信息保护专项整治,2021年全年组织对208万款APP进行了技术检测,通报违规1549款,下架514款,有力整治违法违规行为。
三是督促企业责任落实。深入推进工信领域数据安全保护能力提升,指导督促500余家企业完成自评估,促进企业安全责任落实。组织电信企业、互联网企业、行业协会开展个人信息保护,以案释法、警示教育和行业自律工作,提高从业人员守法意识。
2022年,工信部将重点做好以下几个方面工作:
一是持续完善管理制度。将加快出台《工信领域数据安全管理办法》《移动互联网应用程序个人信息保护管理规定》,研究制定APP收集使用个人信息、车联网、人工智能等重要领域数据安全标准,强化个人信息保护和数据安全监管。
二是继续开展专项治理。针对涉诈、涉赌、涉网络黑灰产以及疑似恶意程序等不良APP,组织开展APP安全专项治理。建立不良APP安全监测处置技术能力,形成“主动发现、风险预警、依法处置、监管追责”的全流程闭环治理体系。
三是保障用户权益。重点突出关键责任链监管,对应用商店、第三方软件开发工具包、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。
四是开展协同共治。将加强与网信、公安等部门协同配合,推动构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,进一步营造更安全、更清朗、更可靠的个人信息保护和数据安全工作局面。
来源:公安部官网
3. 国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件
央广网北京4月15日消息,不久前,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《中华人民共和国数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。
2020年年底,经朋友介绍,上海某信息科技公司一名员工被拉进一个微信群,群里一家西方境外公司表示自己有项目要委托中国公司开展。
上海市国家安全局干警介绍:“境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要提前对中国的铁路网络进行调研,但是受新冠疫情的影响,公司人员来华比较困难,所以委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GMS-R,也就是轨道使用的频谱等数据。”
这单生意操作十分简单,但利润却十分丰厚。上海某信息科技公司虽然知道存在风险,但还是应下了这个项目。
对接过程中,双方约定了两个阶段的合作:第一阶段由上海这家公司按照对方要求购买、安装设备,在固定地点采集数据。第二阶段则进行移动测试,由上海公司的工作人员背着设备到对方规定的北京、上海等16个城市及相应高铁线路上,进行移动测试和数据采集。
境内这家信息技术公司按照对方的要求购买了设备,并进行安装调试。就在调试的过程中,对方突然提出让境内公司为他们开通远程登录端口的要求。犯罪嫌疑人、某信息科技公司销售总监王某说:“在我拿到这个开启端口需求的时候,以我几年的IT从业经验来看,他是可以远程去控制这台电脑做相应的测试,也可以实时地去拿到对应的测试数据的,所以他可能以这种形式已经将数据转移到海外。”
对于境外公司的真实目的,这家信息技术公司心知肚明,但又选择与对方心照不宣。把远程端口的登录名和密码交给对方后,国内的公司只需要保证网络24小时连接再做些简单的工作就可以直接从对方那里拿钱了。
国家安全部干警介绍:“这家公司日常的项目利润也就15%到20%之间,但是做这个项目,投入的成本非常低,但利润高达80%到90%。”
在利益的驱使下,国内这家信息技术公司默许对方源源不断获取我国铁路信号数据。直到5个月后,合同快到期准备续签时。犯罪嫌疑人、某信息科技公司销售迟某说:“境外这家公司要求我们提供一些参数给它,但是我们向公司的相关部门去咨询这个参数的时候,相关部门给出的建议是说这个东西我们提供不了,我们不能做,所以公司就决定这个项目不做了。”
但销售王某和迟某不愿放弃如此高利润的项目,王某决定寻找下家接手的公司,自己和迟某则作为介绍人从中分成。
在王某的撮合下,第二家公司很快就与境外公司建立了合作关系,王某和迟某直接拿到了9万元的分成。但这样的好日子没过多久,国家安全机关就找上门来。国家安全部干警说:“通过勘验相关的电子设备,仅仅一个月采集的信号数据就已经达到了500个G,而这个项目已经实施了将近半年,可以想象它所采集和传递到境外的数据是非常庞大的。”
经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《中华人民共和国数据安全法》《中华人民共和国无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,相关人员的行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。
中国国家铁路集团有限公司工电部通信信号处主管姜永富说:“不法分子如果非法利用这些数据故意干扰或恶意攻击,严重时将会造成高铁通信中断,影响高铁运行秩序,对铁路的运营构成重大威胁;同时大量获取分析相关数据,也存在高铁内部信息被非法泄露甚至被非法利用的可能。”
经国家安全机关调查,这家境外公司长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。
在数据时代,境外一些机构、组织和个人,针对我国重要领域敏感数据的情报窃密活动十分突出。给国家安全和经济社会发展造成了重大风险隐患。
上海市国家安全局局长黄宝坤表示:“国家安全机关将依照《中华人民共和国数据安全法》《中华人民共和国反间谍法》履行好职责范围内监管数据安全的职责,依法打击危害国家安全的各类违法犯罪活动,积极预防和化解国家安全风险,坚决维护国家主权、安全和发展利益。”
来源:央广网
4. 国家安全机关公布多起典型案例,含故意泄露国家安全机关工作秘密案
新华社4月16日消息,近日,国家安全机关公布多起典型案件,呼吁全社会提高国家安全意识,共同筑牢维护国家安全的坚固防线。
故意泄露国家安全机关工作秘密。2021年3月,因工作需要,国家安全机关多次前往北京市西城区某餐厅开展工作,依法要求该餐厅副经理黄某某配合调查,同时告知其保守秘密的义务。不久后,国家安全机关工作发现,该餐厅配合调查的情况疑似被其他人员知悉掌握,给后续工作开展带来了严重不利影响。国家安全机关随即对这一情况进行了深入调查。通过进一步调查取证,证实了黄某某涉嫌泄露有关反间谍工作的国家秘密。
经鉴定,黄某某泄露内容系秘密级国家秘密。在确凿的证据面前,黄某某如实交代,其在明确被告知应保守国家秘密的前提下,先后两次故意对外泄露国家安全机关依法开展工作的情况。此外,在国家安全机关此前依法要求黄某某配合调查时,他还对办案人员故意隐瞒了其所知悉的情况。针对以上违法事实,根据《中华人民共和国反间谍法》第三十一条之规定,2021年6月17日,国家安全机关对黄某某处以行政拘留十五日的处罚。
国家安全机关提醒,维护国家安全没有“局外人”,每个人都应该参与其中,贡献一份力量。国家越安全,人民就越有安全感;人民越有安全意识,国家安全也就越有依靠。
来源:新华网
第八十九期网络安全政策法律动态半月刊(2022.4.1—2022.4.15)
4.19讲话六周年丨“第16期无名论坛暨全民国家安全教育日法治沙龙”主要观点
中共中央办公厅 国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》