第2期 全球数据安全合规资讯半月刊(4.16-4.30)
国
际
动
态
近期,美国商务部发布《全球跨境隐私规则声明》,旨在建立全球CBPR论坛,以促进互操作性,帮助弥合对数据保护和隐私的不同监管方法,这将进一步强化美国的话语权体系。
司法层面,欧盟法院确认消费者组织在无明确消费者授权的情形下提起GDPR诉讼有效,持续强化个人隐私保护的高压态势;美国第九巡回上诉法院就hiQ诉领英案做出具有里程碑式意义的裁定,即重申可合法抓取能够公开访问的网络数据。
行业层面,谷歌将Google搜索删除请求扩展为包括个人联系信息;更改其在欧洲的Google搜索和YouTube上的cookie弹出窗口,集成“全部拒绝”按钮,以阻止设置所有非必要的cookie和收集非必要的数据,持续探索个人隐私保护的技术机制。
一 · 新规速递
1. 欧洲数据保护专员公署发布《2021年度报告》
4月20日,欧洲数据保护专员公署(EDPS)发布了《2021年年度报告》(AnnualReport2021)。报告概述了有助于塑造欧洲数字未来的EDPS监管活动,尤其是EDPS在个人数据国际传输、新冠肆虐下的数据保护、对自由、安全和司法领域的持续监督、欧洲新数字治理体系的搭建、法律意见的激增发布、欧盟法院听证会的参与、TechSonar的发布等七个方面的工作情况。具体内容如下:
1)个人数据国际传输
在欧盟法院作出SchremsII判决后,EDPS开始推动SchremsII战略,旨在确保并监督欧盟机构遵守SchremsII判决中有关向欧盟和欧洲经济区之外的地区(特别是向美国)传输个人数据的要求;
2021年5月,作为EDPSSchremsII战略的一部分,因亚马逊和微软提供的云计算服务涉及向美国传输个人数据,EDPS启动针对亚马逊和微软的两项隐私调查,以帮助欧盟机构在与服务提供商的谈判中保证数据保护的合规性;
2021年,EDPS还发布了一系列关于向欧盟和欧洲经济区之外地区传输个人数据的决议。
2)新冠肆虐下的数据保护
持续监测新冠疫情对数据保护的影响;
通过提供咨询、指南等举措支持欧盟开展工作;
对欧盟机构在开展公共卫生工作及使用IT设备、社交媒体、远程工作工具等设备或服务时的数据保护情况予以调查及进行培训。
3)对自由、安全和司法领域的持续监督
持续监督自由、安全和司法领域,如:
要求欧州刑警组织(Europol)就使用机器学习工具建立内部治理制度,控制新技术应用对基本权利和自由的潜在风险,要求欧州刑警组织删除其收集的与犯罪活动无关的个人数据;
就欧洲检察官组织(Eurojust)与英国政府合作中的数据保护问题提供建议,对欧洲检察官组织的数据保护活动开展审计,重点关注个人数据处理、对外提供数据、数据安全、欧盟案例系统使用情况等内容;
为欧洲边境和海岸警卫队(Frontex)跨境传输移民个人数据提供建议。
4)欧洲新数字治理体系的搭建
持续协助搭建欧洲新数字治理体系,如:
建议《数字市场法》(DigitalMarketsAct)强化对内容审核、在线定向广告和个性化推荐的管理,更好地保护个人权益;
建议《数字服务法》(DigitalServicesAct)强化其在培育有竞争力的数字市场方面的作用;
呼吁全面禁止在公共场合使用人工智能应用自动识别个人生物特征。
5)法律意见的激增发布
相比2020年仅回应27次立法协商,2021年,EDPS回应了88次正式的立法协商,出具12项EDPS观点(EDPSOpinion)和76项EDPS官方意见(EDPSFormalComment),聚焦数字平台、金融服务、司法和民政事务,涉及人工智能、标准合同条款等事项。
6)欧盟法院听证会的参与
2021年,EDPS四次参加欧盟法院听证会,就数据保留,反洗钱,将乘客信息用于预防、侦查、起诉恐怖主义犯罪和严重犯罪等事项发表意见,以确保个人隐私和数据相关基本权益得到尊重。
7)TechSonar的发布
2021年9月,EDPS发布新的技术监测工具TechSonar。EDPS指出,TechSonar可帮助预测新技术发展趋势,以更好地了解新技术对数据保护和个人隐私的潜在影响。
来源:欧洲数据保护专员公署
原文链接:https://edps.europa.eu/data-protection/our-work/publications/annual-reports/annual-report-2021_en
2. 美国商务部发布《全球跨境隐私规则声明》
4月21日,美国商务部发布《全球跨境隐私规则声明》(Global Cross-Border Privacy Rules Declaration)。美国、加拿大、日本、大韩民国、菲律宾、新加坡、中国台湾正式对外宣告成立全球跨境隐私规则(Cross-Border Privacy Rules,以下简称“CBPR”)论坛,致力促进数据自由流通与有效的隐私保护。这一举动本质上是将亚太经合组织(the Asia-Pacific Economic Cooperation,以下简称“APEC”)框架下的CBPR体系转变成一个全球所有国家都可以加入的体系。
根据声明,全球CBPR论坛的目标是:
a. 在亚太经合组织跨境隐私规则(CBPR)和处理者隐私认可(PRP)系统的基础上建立一个国际认证系统。
b. 通过推广全球CBPR和PRP系统,支持数据的自由流动和有效的数据 保护和隐私。
c. 提供一个论坛,就全球CBPR和PRP系统的相关事宜进行信息交流和合作。
d. 定期审查成员的数据保护和隐私标准,以确保全球CBPR和PRP项目要求与最佳实践相一致;以及
e. 促进与其他数据保护和隐私框架的互操作性。
来源:美国商务部官网
原文链接:https://www.commerce.gov/global-cross-border-privacy-rules-declaration
3. 挪威DPA发布关于未成年人同意的指南
4月25日,挪威数据保护机构Datatilsynet更新发布了有关共享和处理儿童个人数据和同意的指南。指南指出,儿童可能不太了解与共享个人数据相关的风险和后果,故而处理儿童个人数据的规则与成人略有不同。
根据指南,儿童个人数据保护的主要规则是:儿童只有在年满18岁时才能单独同意共享和处理自己的个人数据。在此之前,父母或负有父母责任的人必须代表孩子同意。然而,儿童有权随着年龄的增长而增加自决和共同决定权,因此,父母在代表子女达成协议之前应与子女本人核实。
在某些情况下,18岁以下的儿童如果能够给予知情和自愿的同意,可以自己表示同意。除其他外,必须根据儿童的成熟程度以及所提供的信息是否适应儿童的年龄和理解其同意内容的能力来评估这一点。经验法则可能是,信息处理可能产生的隐私后果越大,儿童在没有父母的情况下自己同意的门槛就越高。
来源:Datatilsynet
原文链接:https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/samtykkje-fra-mindrearige/
4. 61国发布“互联网未来宣言”
4月28日,美国同其他60个国家签署了“互联网未来宣言”,其中概述了与维护互联网商务相关的各种数字承诺。
宣言中概述的承诺包括“促进信息自由流动的全球互联网”和促进“对全球数字生态系统的信任,包括通过保护隐私”。
在全球合作以实现这些原则的同时,参与者将继续“尊重彼此在我们自己管辖范围内的监管自主权”。
来源:IAPP
原文链接:https://iapp.org/news/a/nations-launch-declaration-for-the-future-of-the-internet/
5. 澳大利亚公平竞争和消费者委员会发布数字平台服务第四份报告
当地时间4月28日,澳大利亚公平竞争和消费者委员会(ACCC)发布了数字平台服务第四份报告。在报告中,ACCC重点强调了以下两点:
1)在线市场需要更加透明
ACCC表示,在线市场应该向消费者和卖家解释为什么他们的搜索结果会推送某些产品而不是其他产品。
报告称,与其他垂直整合的数字平台一样,混合市场面临利益冲突,并且可能会以有利于自己产品的方式行事,从而对第三方卖家和消费者产生潜在的不利影响。
报告还强调了其他问题,例如消费者数据的收集和使用、争议解决程序不足以及需要更多的消费者保护。
该报告称,在线市场收集和使用的大量消费者数据可能与许多消费者的隐私偏好或期望不一致。消费者应该获得更多关于在线市场如何收集和使用他们的数据的信息和控制权。
2)在线市场为消费者提供保护也很重要
ACCC与一些在线市场合作制定了一项名为“产品安全承诺”的自愿倡议,旨在通过几项关键承诺保护消费者免受不安全产品的侵害。
ACCC表示,一些平台已加入该计划,该计划为消费者提供额外的保护,包括签署方承诺在两个工作日内删除不安全产品列表,并鼓励更多平台加入。
ACCC在其第五份数字平台服务调查报告中表示,它正在考虑澳大利亚是否需要一个新的监管框架来更广泛地解决竞争和消费者对数字平台服务的担忧。
来源:澳洲公平竞争和消费者委员会
原文链接:https://www.accc.gov.au/publications/serial-publications/digital-platform-services-inquiry-2020-2025/digital-platform-services-inquiry-march-2022-interim-report
6. 英国竞争与市场管理局发布第二份《英国竞争状况报告》
4月29日,英国竞争与市场管理局(Competition and Markets Authority,以下简称CMA)发布第二份《英国竞争状况报告》。该报告着眼于英国的竞争状况,针对重要问题展开分析论证,旨在为后续政策的制定提供基础理论支撑,并为相关重要问题的广泛讨论作出贡献。
报告指出,数字市场在改善人们生活水平方面有着巨大的潜力,并在新冠后的经济复苏中发挥重要作用。但如果要实现这些作用,数字市场需要保持竞争力。一旦数字市场(如搜索引擎、移动生态系统和社交媒体)的竞争变得薄弱,就有可能压缩消费者的选择空间、削弱创新,并导致消费者放弃更多的个人数据。
来源:英国竞争与市场管理局
原文链接:https://www.gov.uk/government/publications/state-of-uk-competition-report-2022
二 · 监管动向
1. 富途控股、百度、爱奇艺等五家中概股公司进入“确定摘牌名单”
4月22日消息,据美国证券交易委员会(SEC),富途控股、Nocera、爱奇艺、百度和凯信远达医药五家中概股公司已从“预摘牌名单”进入“确定摘牌名单”。
据悉,这些公司是第三批被纳入名单的中概股。根据SEC的说法,五家公司需要于4月20日前向SEC提供证据,证明自己不具备被摘牌的条件。
而在当地时间4月21日,美国证劵交易委员会(SEC)再将理想汽车、百世集团和贝壳等公司加入“预摘牌”名单,这是自3月以来第五批被纳入名单的中概股公司。具体名单为:知乎、诺华家具、LOVARRA、万春医药、瑞幸咖啡、极光移动、Scientific Energy、中国食品、Value Exchange International、泽尔西西医疗集团、Entrepreneur Universe Bright Group、中比能源、中网载线、尚乘国际、百世集团、理想汽车和贝壳。SEC声称,上述17家公司提交申辩的截止时间为当地时间5月12日。
其中,贝壳方面表示,公司一直在积极寻求可能的解决方案, 以最大程度地保护股东的利益。公司将继续确保遵守中美相关法律法规,并在条件允许的情况下,保持在纽约证券交易所的上市公司地位。
来源:TechWeb
原文链接:http://www.techweb.com.cn/finance/2022-04-22/2888182.shtml
2. 美国家地理空间情报局公布优先任务事项,高度关注数据安全
4月25日消息,美国家地理空间情报局发布文件详述四个优先事项:
一是有保障的定位、导航、授时与瞄准。投资“大地测量基础设施”实现现代化转型,主要涉及在GPS拒止环境中协调和精确的行动;研发全球动态建模技术;提高精确的地理空间情报等。
二是减少向客户提供最高质量地理空间数据、信息和图像所需的时间,利用机器学习技术自动收集数据,并建立人工智能、软件、界面和数据库,以满足收集快速遥感和地理空间数据的需求与规划。
三是数据访问和数据完整性。投资“安全数据服务”“数据整合和优化”“跨域服务”,在被拒止或降级的环境中向用户提供可信的地理空间情报数据。
四是分析工作流程的现代化。通过自动化和建模,加速创建分析产品。
来源:美国防务新闻网
原文链接:https://www.defensenews.com/
3. 欧盟法院确认消费者组织可提起GDPR诉讼
4月28日,欧盟法院裁定,只要国家法律允许,消费者团体可以针对涉嫌违反数据保护规则的行为自主提起法律诉讼。
该裁定源于德国消费者组织联合会针对 Facebook 提起的诉讼。该社交网络被指控没有明确解释其如何在其游戏平台 App Centre 上处理个人数据,涉嫌违反数据保护规则对消费者群体造成了不公平的商业行为,违反了消费者保护法。德国协会作为代表诉讼自主提起了此案。
欧盟的数据保护立法,尤其是 GDPR 第 80 条,为国家立法留下了空间,即允许消费者团体在相关个人的授权下采取代表行动。但Facebook 认为,在没有人授权消费者协会的情况下,消费者协会无权提起诉讼。对此,德国法院求助于欧盟法院(CJEU),后者驳回了 Facebook 的论点。
来源:EURACTIV
原文链接:https://www.euractiv.com/section/data-protection/news/eu-top-court-consumer-groups-can-bring-class-actions-for-data-protection-infringements/
三 · 行业动态
1. Google搜索删除请求扩展为包括个人联系信息
4月28日消息,谷歌现在扩展了谷歌搜索删除请求,包括额外的个人身份联系信息,例如一个人的电话号码、电子邮件地址或实际地址。
到目前为止,人们已经能够请求从搜索中删除其他某些敏感信息,例如 doxxing content(即以恶意方式共享一个人的联系信息)或银行账户或信用卡号码等可用于财务欺诈的信息。
根据扩展的政策,用户还可以请求删除可能构成身份盗用风险的其他信息——例如机密登录凭据——当它出现在搜索结果中时。
然而,谷歌警告说,从谷歌搜索中删除内容并不会将其从互联网上删除,并建议人们直接与托管网站联系。在此之前,谷歌去年10月推出了一项新政策,允许未满18周岁的用户或其父母或监护人请求从谷歌搜索结果中移除其图片。
来源:ZDNet
原文链接:https://www.zdnet.com/article/google-search-removal-requests-expanded-to-include-personal-contact-information/
2. 谷歌正在欧洲推出带有“全部拒绝”选项的新cookie弹出窗口
据0xzx 4月22日消息,Google 正在更改其在欧洲的 Google 搜索和 YouTube 上的 cookie 弹出窗口。新的 cookie 横幅已经推出,它引入的主要变化是集成了“全部拒绝”按钮,以阻止设置所有非必要的 cookie 和收集非必要的数据。
谷歌在公告中指出,新的 cookie 横幅已在法国开始推广,谷歌计划很快将更新后的 cookie 横幅推广到欧洲经济区的所有成员国(谷歌没有提供具体细节)。
当用户选择全部拒绝或全部接受按钮时,cookie 覆盖提供有关 cookie 使用和数据收集的详细信息。
据此,无论用户选择如何,谷歌都将使用一组基本的 cookie 和数据。这些数据用于“提供和维护 Google 服务、跟踪中断并防止垃圾邮件、欺诈和滥用”,以及“衡量受众参与度和网站统计数据”。
仅当用户选择“全部接受”或打开自定义页面上的某些选项时,才使用可选的 cookie 和数据集。选择新的“全部拒绝”按钮的用户将不再收集这些:
- 开发和改进新的服务;
- 投放和衡量广告的有效性;
- 根据您的设置显示个性化内容;
- 根据您的设置显示个性化广告。
来源:0xzx
原文链接:https://0xzx.com/2022042214042249440.html/amp
四 · 典型案例
1. hiQ诉领英案新进展:美上诉法院裁定可合法抓取能够公开访问的网络数据
4月18日,美国第九巡回法院裁定hiQ从LinkedIn公开爬取数据的行为不违反美国《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,CFAA)。
据悉,该法案中规定了构成计算机黑客行为的相关行为。但新裁定为档案工作者、学者、研究人员和记者们使用特定工具,来大量收集或抓取互联网上可公开访问的信息提供了法理依据。
在案件一锤定音之前,某些长期运行的网站存档项目一度离线。即使能够使用可空开访问的数据而开展相关学术研究,此类项目也一直游走在法律的灰色地带。
另一方面,网络公开数据抓取也引发了不少人对于隐私和安全的顾虑。比如面部识别初创企业 Clearview AI 声称抓取了数十亿张社交媒体资料照片,并最终促成多家科技巨头提起诉讼。
即使多年来,包括 Facebook、Instagram、Parler、Venmo 和 Clubhouse 在内的多家大企业,也都有过类似的用户数据收集行为。
第九巡回法院最初审理的案件,是由 LinkedIn 向 hiQ Labs 发起的,后者是一家使用公共数据来分析员工流失的企业。
LinkedIn 声称 hiQ Labs 的大规模网络数据抓取操作违反了该平台的服务条款,并将之视作 CFAA 法案中规定的黑客行为。
法院初审裁定 CFAA 中并未禁止任何人抓取可公开访问的数据,但 LinkedIn 并未在 2019 年首战失利后立即服输。
去年 6 月,美国最高法院首次对已有数十年历史的 CFAA 法案进行了审查,以评估相关条款是否跟得上时代发展或过于严苛。
最终其决定以开关门作为解释,认定第三方可免授权公开访问相关计算机或网站数据,意味着‘未经授权’的概念并不适用于公共网站。
最后,尽管对法院的重申判决感到失望,LinkedIn 发言人 Greg Snapper 还是在一份声明中称,他们将继续努力维护自家会员在平台上控制其信息的能力。
为避免相关数据在未经许可的情况下被获取、并以用户未同意的方式使用,LinkedIn 才决定禁止了未经授权的数据抓取,以赢得用户的充分信任。
来源:cnBeta
原文链接:https://www.cnbeta.com/articles/tech/1259831.htm
2. 谷歌将在人脸识别的集体诉讼中支付1亿美元的和解金
4月25日,库克县巡回法院法官Anna M. Loftus发布命令,初步同意批准谷歌在人脸识别集体诉讼中所达成的和解协议。
诉讼指控谷歌的人脸分组工具,该工具按相似度对谷歌照片应用程序中的面部进行分类,违反了伊利诺伊州的生物识别隐私法。法律要求公司在使用此类产品时必须征得用户同意技术。
作为和解协议的一部分,谷歌并未承认有不当行为,该协议解决了五名原告提起的一系列诉讼。第一起诉讼于2016年3月在美国伊利诺伊州北区地方法院提起。两名原告于2019年在州法院提起诉讼,此前一名法官发现他们缺乏向联邦法院提起诉讼的资格,随后又有其他原告提起了诉讼。
如果最终获得批准,则在2015年5月1日至和解初步批准日期之间出现在Google Photos照片中的伊利诺伊州居民将有资格分得该和解金。根据协议,虽然付款金额将取决于有多少人提出索赔,但律师估计每位集体成员将获得200至400美元。
Loftus 下令在5月27日之前通过电子邮件或美国邮件将和解通知发送给集体成员。
谷歌发言人José Castañeda 4月26日在一份声明中表示:“我们很高兴解决与伊利诺伊州特定法律有关的问题,我们仍然致力于为我们的用户构建易于使用的控件。”
Castañeda表示,伊利诺伊州的谷歌照片用户将被提示在未来几周内提供选择同意面部分组。他说,这些变化也将在美国逐步推广。用户可以选择关闭面孔分组,在这种情况下,面孔分组将从他们的帐户中删除。
根据协议,本案五名原告中的每一个都有资格获得5,000美元的付款,律师将能够申请高达4,000万美元的费用以及成本和开支,从和解基金中支付。
截至4月26日晚,原告的律师没有立即发表评论。
2008年通过的《伊利诺伊州生物特征信息隐私法》是美国此类法律中最严格的法律之一。去年,Facebook在伊利诺伊州生物特征隐私案件中因其面部标签功能获得了一项具有里程碑意义的6.5亿美元集体诉讼和解协议,但支付的款项在两名反对者对该案的律师费裁决提出上诉后,被推迟了一年多。
3月,美国第九巡回上诉法院维持了2021年2月的集体诉讼和解和律师费裁决,免除了160万伊利诺伊州Facebook用户提出索赔的付款。那些这样做的人应该期望从下个月开始在邮件中看到近400美元的支票。
谷歌和解的最终批准听证会定于9月举行。
来源:techxplore
原文链接:https://techxplore.com/news/2022-04-google-million-class-action-settlement-illinois.html
国
内
动
态
近期,个人信息保护领域的监管态势持续增强。继不久前工信部表示加快出台《移动互联网应用程序个人信息保护管理规定》,交通运输部印发《关于做好道路客运电子票客推广普及有关工作的通知》,要求严防旅客个人信息等重要数据泄露后,中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》,严厉打击个人信息买卖。执法层面,国家邮政局、公安部、国家互联网信息办公室联合启动邮政快递领域个人信息安全治理专项行动,深圳市公安局福田分局依据《个保法》对深圳市辰瑞文化传播有限公司做出警告行政处罚。司法层面,两航空公司客服人员因售卖公民个人信息获刑并被“禁业”。
数据处理者合理权益保护方面,国家知识产权局明确我国数据产权保护将承认数据处理者合理收益,并表示后续将加大理论研究和实践探索,加快推动我国数据产权保护制度的建立和完善。
一 · 新规速递
1. 中办国办印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》,严打个人信息买卖
4月18日,中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》(以下简称《意见》),对加强打击治理电信网络诈骗违法犯罪工作作出安排部署。
《意见》明确提出,政法机关要依法严厉打击幕后组织者、出资人、策划者,为实施电信网络诈骗违法犯罪提供转账洗钱、技术平台、引流推广、人员招募、偷越国(边)境等服务的组织和人员,以及买卖银行卡、电话卡、公民个人信息、企业营业执照信息等关联违法犯罪。
来源:中央人民政府网
2. 中央深改委审议通过《关于加强数字政府建设的指导意见》,强调数据安全保障
4月19日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十五次会议,审议通过了《关于加强数字政府建设的指导意见》。
会议指出,加强数字政府建设是创新政府治理理念和方式的重要举措,对加快转变政府职能,建设法治政府、廉洁政府、服务型政府意义重大。要始终绷紧数据安全这根弦,加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。
来源:新华网
3. 国家知识产权局:我国数据产权保护将承认数据处理者合理收益
4月24日,国家知识产权局局长申长雨在国新办举行的2021年中国知识产权发展状况新闻发布会上介绍,国家知识产权局已成立工作专班,形成了充分尊重数据处理者创造性劳动和资本投入、承认和保护数据处理者的合理收益等原则性思路。
据介绍,目前,国家知识产权局已经在浙江、上海、深圳等地开展数据知识产权保护试点,力争在立法、存证登记等方面取得可复制可推广的经验做法,为后续制度设计提供实践基础。其中,浙江已经建立了数据知识产权公共存证平台,并开始面向市场主体提供存证服务。
申长雨介绍,下一步,国家知识产权局将继续加强与各方合作,加大理论研究和实践探索,加快推动我国数据产权保护制度的建立和完善。
来源:国家知识产权局官网
4. 市场监管总局公布2022年立法工作计划,涉及认证认可条例等69项立法项目
4月26日,国家市场监管总局印发2022年立法工作计划,共列入立法项目69部。其中,第一类立法项目36部,力争在年内提请总局局务会审议,第二类立法项目33部,抓紧启动并持续推进。具体为:
1)拟起草法律、行政法规送审稿14部(第一类立法项目5部,第二类立法项目9部):第一类立法项目包括反不正当竞争法、产品质量法、国务院关于经营者集中申报标准的规定、价格违法行为行政处罚规定、药品管理法实施条例;第二类立法项目包括价格法、地理标志法、商标法、个体工商户条例、制止牟取暴利的暂行规定、特种设备安全监察条例、认证认可条例、中药品种保护条例、商标法实施条例。
2)拟制修订部门规章55部(第一类立法项目31部,第二类立法项目24部):一是为健全反垄断法律规则体系,以公正监管保障公平竞争,修订禁止垄断协议暂行规定、禁止滥用市场支配地位行为暂行规定等规章。二是为加强食品全链条质量安全监管,强化药品安全风险防范,提高特种设备安全监管隐患排查治理能力,深入贯彻“四个最严”要求,制修订食品经营许可和备案管理办法、药品经营和使用质量监督管理办法、特种设备作业人员管理办法等规章。三是为规范市场秩序,加强知识产权保护,健全完善市场监管制度规则,制修订企业名称登记管理实施办法、合同行政监督管理办法、商标代理监督管理规定等规章。四是为持续推进质量强国战略实施,健全商品质量体系,制修订食品相关产品质量安全监督管理暂行办法、法定计量检定机构管理办法、国家标准管理办法等规章。
3)继续积极配合立法机关推进的立法项目:包括反垄断法、计量法、企业信息公示暂行条例、消费者权益保护法实施条例、专利法实施细则、市场监督管理所条例等法律、行政法规。
来源:市场监管总局官网
5. 证监会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见
4月29日,证监会就《证券期货业网络安全管理办法(征求意见稿)》(以下简称《办法》)向社会公开征求意见。
《办法》共八章六十六条,主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。
数据安全统筹管理。一是从制度机制、组织架构、行业数据标准、权限管理、质量评估、防范泄露损毁等方面,明确证券期货业的具体要求。二是配套上位要求,对数据分类分级、个人信息保护、规范信息发布等方面作进一步强调。三是为建立证券期货业战略备份数据中心预留制度空间,提升行业极限灾难应对能力。
来源:证监会官网
6. 《信息安全技术移动互联网应用程序(APP)收集个人信息基本要求(GB/T41391-2022)》等十项网络安全国家标准正式发布
4月24日,根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。其中包括《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求(GB/T 41391-2022)》。
7. 《网络安全标准实践指南—个人信息跨境处理活动认证技术规范》公开征求意见
4月29日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》(以下简称“《认证技术规范》”),面向社会公开征求意见。
该实践指南依据有关政策法规要求,为落实《个人信息保护法》第38条建立个人信息保护认证制度提供认证依据。指南从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
来源:全国信息安全标准化技术委员会官网
二 · 监管动向
1. 工信部:一季度共检测61万款APP通报134款违规APP
4月19日,国务院新闻办公室举行新闻发布会,请工业和信息化部新闻发言人、运行监测协调局局长罗俊杰,新闻发言人、信息通信管理局局长赵志国介绍2022年一季度工业和信息化发展情况,并答记者问。
会上,赵志国表示,工信部加强APP重点问题监管,一季度对强制下载APP等问题进行了有效整治,推动主要互联网企业基本解决了存在的相关问题,同时开展了2批次技术抽检,检测了61万款APP,通报了134款违规APP,进一步净化了APP生态。
来源:国务院新闻办公室
2. 工信部通报37款存在侵害用户权益行为APP
4月20日,工信部发布了《关于侵害用户权益行为的APP通报》(2022年第3批,总第23批)。
依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部组织第三方检测机构对移动互联网应用程序(APP)进行检查。截至目前,尚有37款APP未完成整改。
上述APP应在4月26日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。
来源:工信微报微信公众号
3. 为期半年,国家邮政局、公安部、国家互联网信息办公室联合部署邮政快递领域个人信息安全治理专项行动
4月21日,国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议,部署开展为期半年的邮政快递领域个人信息安全治理专项行动。专项行动小组组长、国家邮政局副局长廖进荣出席会议并讲话。公安部网络安全保卫局政委孙劲峰、刑事侦查局副局长姜国利,国家网信办网络数据管理局副局长方新平对相关工作进行部署。
会议指出,邮政快递业是网络安全和关键信息基础设施保护的重要行业领域,是国家网络安全工作的重要组成部分。各地区各部门各企业要充分认清开展此次专项行动的重要意义,主动担当作为,聚力攻坚克难,确保专项行动取得明确成效。一要聚焦解决突出问题,确保实现涉邮政快递领域侵犯公民个人信息违法犯罪得到明显遏制,社会公众对邮政快递面单信息保护直观感受明显改善,邮政快递领域信息安全管理短板弱项得到有效补强。二要摸清底数,各企业要全面开展排查,严格落实人防物防技防措施。三要坚持合成作战,提升打击效能,对侵害用户信息安全行为“零容忍”,严厉打击涉寄递电信诈骗、空包“刷单”等违法犯罪行为。四要严格依法监管执法,严肃查处追责,切实形成高压态势。五要加大整治力度,大力推广虚拟安全号码、隐私面单、网络身份认证等技术应用。六要夯实基础,加强关键信息基础设施安全保护,建立健全网络安全监测预警和网络安全事件应急预案。
会议要求,要加强组织领导,强化工作保障,从严从实从细抓好各项措施落实。要密切协作配合,充分发挥各自职能优势,切实形成整体合力。公安机关网安、刑侦等部门要将专项工作与“净网2022”、“护网2022”、打击电信诈骗等专项行动有机结合,抽调精干力量,组建工作专班,确保各项任务落实落地。网信部门要加强与邮政管理部门、公安机关的协同配合,不断健全完善邮政快递领域个人信息保护相关制度措施,切实提升邮政快递领域个人信息保护水平。各企业要落实主体责任,加强对全网专项行动的统筹调度、内部管理。
来源:国家邮政局官网
4. 中央网信办部署开展“清朗·网络暴力专项治理行动”,聚焦微博、抖音、百度贴吧、知乎等18家网站平台
4月24日消息,为有效防范和解决网络暴力问题,切实保障广大网民合法权益,近日,中央网信办就加强网络暴力治理进行专门部署,要求网站平台认真抓好集中整治,建立健全长效机制,确保治理工作取得扎实成效。
中央网信办有关负责人表示,这次“清朗·网络暴力专项治理行动”主要聚焦网络暴力易发多发、社会影响力大的18家网站平台,包括新浪微博、抖音、百度贴吧、知乎等,通过建立完善监测识别、实时保护、干预处置、溯源追责、宣传曝光等措施,进行全链条治理。
一是建立健全识别预警机制,进一步细化网络暴力信息分类标准,强化行为识别和舆情发现,及时预警网络暴力苗头性、倾向性问题。
二是建立健全网络暴力当事人实时保护机制,调整私信功能规则,及时过滤“网暴”内容,强化“一键防护”等应急保护措施,建立快速取证和举报通道,加大弹窗提醒警示力度,加强重点群体救助保护。
三是严防网络暴力信息传播扩散,以社交、直播、短视频、搜索引擎、新闻资讯和榜单、话题、群组、推荐、弹窗等环节为重点,及时清理处置涉及网络暴力的评论、弹幕等内容。
四是加大对违法违规账号、机构和网站平台处置处罚力度,针对首发、多发、煽动和跟风发布等不同情形,分类处置网络暴力相关账号,连带处置违规账号背后MCN机构,严肃问责处罚失职失责网站平台,会同有关部门依法追究相关人员法律责任。五是强化警示曝光和正向引导,及时公布典型案例处置情况,推动权威机构和专业人士友善评论、理性发声。
中央网信办有关负责人强调,重点网站平台要按照统一部署,结合平台特点进一步细化明确目标要求、工作措施和完成时限,抓好任务落实。中央网信办将组织督导检查,对于落实不力、问题突出的网站平台,采取严厉处置处罚措施。互联网不是法外之地,各网站平台要加强宣传,引导广大网民严格遵守法律法规,尊重社会公德和伦理道德,共同抵制网络暴力行为,坚决防止网民遭受网络暴力侵害。
来源:国家网信办官网
5. 国家计算机病毒应急处理中心检测发现17款App存在隐私不合规行为
新华社4月24日消息,国家计算机病毒应急处理中心近期通过互联网监测发现17款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。
1)向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及16款App如下:
《优顾炒股》(版本6.6.73,360手机助手)、《牛股王股票》(版本6.2.7,360手机助手)、《广发易淘金》(版本10.1.0.0,百度手机助手)、《西部证券》(版本4.0.3,华为应用市场)、《e海通财》(版本8.75,乐商店)、《国联证券尊宝》(版本6.01.031,乐商店)、《大智慧》(版本9.47,豌豆荚)、《中国银河证券》(版本6.0.5,豌豆荚)、《阿牛智投》(版本6.2.7,豌豆荚)、《万和手机证券软件》(版本9.00.26,豌豆荚)、《汇通启富》(版本6.6.4.0,豌豆荚)、《新时代证券》(版本6.0.1.0,小米应用商店)、《中邮证券》(版本7.1.2.0,小米应用商店)、《中山证券》(版本6.3.3,小米应用商店)、《东亚前海悦涨》(版本4.2.0,小米应用商店)、《国元智富》(版本8.89,小米应用商店)。
2)App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及1款App如下:
《财通证券》(版本9.9.3,豌豆荚)。
3)未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及9款App如下:
《广发易淘金》(版本10.1.0.0,百度手机助手)、《西部证券》(版本4.0.3,华为应用市场)、《e海通财》(版本8.75,乐商店)、《国联证券尊宝》(版本6.01.031,乐商店)、《万和手机证券软件》(版本9.00.26,豌豆荚)、《汇通启富》(版本6.6.4.0,豌豆荚)、《新时代证券》(版本6.0.1.0,小米应用商店)、《中邮证券》(版本7.1.2.0,小米应用商店)、《东亚前海悦涨》(版本4.2.0,小米应用商店)。
4)未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及1款App如下:
《中邮证券》(版本7.1.2.0,小米应用商店)。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:新华网
6. 北京市通信管理局开展2022年北京地区App综合治理专项行动
4月18日,北京市通信管理局发布通知,决定开展为期6个月的2022年北京地区App综合治理专项行动。
根据行动工作安排,相关App运营企业应自行根据《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》《网络产品安全漏洞管理规定》等相关标准为依据,开展自测自查,及时整改发现的问题。
4月起,北京市通信管理局将对辖区内应检App开展抽测,对检测结果不合规的App予以通报,企业需在10个工作日内完成整改并提交整改报告。对整改不到位的,北京市通信管理局将依法依规予以处置。
来源:北京市通信管理局官网
三 · 行业动态
1. 滴滴发布自美退市公告,证监会回应:特定个案与其他在美上市中概股无关
4月16日,滴滴官网发布公告称,将于5月23日举行临时股东大会,就公司从纽约证券交易所自愿退市进行投票。为更好地配合网络安全审查和整改措施,在退市完成前,公司将不会申请其股份在其他任何证券交易所上市。
对此,证监会有关部门负责人表示,这是企业根据市场和自身情况作出的自主决策。证监会一贯坚持企业境外上市活动应当遵守上市地和经营地的法律法规和监管规则,要求上市公司切实保护投资者,尤其是中小投资者的合法权益。滴滴自主退市这一特定个案,与其他在美上市中概股无关,与目前正在进行的中美审计监管合作磋商无关,不影响双方合作进程。
来源:证券日报
2. 知乎港股双重上市:未曾受到国内数据安全合规相关调查
美股上市一年后,知乎拟于4月22日在港股主板挂牌,4月21日披露其港股招股的认购结果。
值得注意的是,本次知乎港股IPO的招股说明书中,就互联网隐私、知识产权、不正当竞争与反垄断方面的法律法规要求进行了合规披露。其特别指出,知乎未被任何部门告知被列为关键信息基础设施运营者,公司过往并未受到任何关于网络安全或数据隐私的重大调查、询问或制裁,也没有受到网信办、中国证监会或任何政府相关机构的任何网络安全审查,亦未因违反任何有关法律法规而受到重大罚款或处罚。
来源:21世纪经济网
3. 各大平台密集上线IP属地功能
近日,各大平台上线显示用户IP属地功能。4月15日,知乎、抖音、快手、小红书、今日头条、百度六大互联网平台均宣布“公开账号IP属地”。其中抖音、今日头条、知乎、小红书方面表示,目前该功能尚在测试阶段。
4月28日,新浪微博社区管理官方微博发布IP属地功能升级公告,称为减少冒充热点事件当事人、恶意造谣、蹭流量等不良行为,确保传播内容的真实、透明,于今年3月上线展示用户“IP属地”功能,并在此前基础上于4月28日进行产品升级和新功能上线,包括全量开放评论展示发评IP属地小尾巴功能以及上线“个人主页一级页面展示IP属地”功能。公告显示,评论区IP属地显示无法由用户主动开启或关闭,站方只展示对应IP属地位置,并不获取其他信息,定位根据运营商IP信息解析。
4月29日晚,“微信珊瑚安全”公告显示,个别用户冒充热点事件当事人,编造、传播不实信息的情况,在网络空间造成了不良影响。为维护网络传播秩序,进一步打击仿冒搬运、造谣传谣等行为,微信公众平台将显示用户发布内容时的IP属地,境内帐号展示到省(自治区、直辖市),境外帐号展示到国家(地区),帐号IP属地以运营商提供信息为准,用户暂时无法主动开启或关闭相关展示。该功能将于近日进行测试,后续将根据测试情况陆续对用户开放。
来源:微信、微博等平台官方消息
四 · 典型案例
1. 《个保法》行政处罚案例:App首次运行未经用户同意隐私政策收集个人信息被罚
4月7日,深圳市辰瑞文化传播有限公司因旗下应用首次运行未经用户同意隐私政策收集个人信息被深圳市公安局福田分局给与警告行政处罚。
2022年3月28日,省厅网警总队线索通报,发现“深圳市辰瑞文化传播有限公司”旗下应用“花遇”,技术检测分析“花遇”应用存在以下违规行为:1.App 首次运行未经用户阅读同意隐私政策,就开始收集个人信息MAC地址、IMEI、AndroidID和应用列表信息。
深圳市公安局福田分局认为深圳市辰瑞文化传播有限公司的行为已构成非法获取、出售、向他人提供个人信息相关规定。根据《中华人民共和国网络安全法》第二十二条、第四十一条和第六十四条,《中华人民共和国个人信息保护法》第十三条、第六十六条之规定,深圳市公安局福田分局决定给予深圳市辰瑞文化传播有限公司警告的行政处罚。同时,根据《公安机关办理行政案件程序规定》第一百六十一条第一款之规定,二项行政处罚合并执行,决定给予警告的处罚。
来源:深圳信用网
2. 两航空公司客服人员因售卖公民个人信息获刑并被“禁业”
4月22日,北京市朝阳区人民法院对徐某、张某、秦某、李某买卖明星航班轨迹等个人信息案件作出一审判决。
该案中,徐某与张某,是热衷追星的“粉丝”,两人为了拉近与偶像的距离,找到了来自不同航空公司的客服人员秦某与李某。通过他们,两位“粉丝”多次购买明星的航班轨迹等信息。秦某与李某利用职务之便,将包含航班轨迹、公务舱舱单等在内的公民个人信息进行贩卖,获利六万余元。对此,检察机关指控,四名被告人非法获取、提供公民个人信息,应当以侵犯公民个人信息罪追究其刑事责任。考虑到出售公民信息的行为同时侵害了社会公共利益,检方对被告人秦某、李某同时提起附带民事公益诉讼。
北京市朝阳区人民法院审理认为,被告人秦某伙同李某,出售公务舱舱单以及其他公民个人信息数千条,情节特别严重。被告人徐某与张某为了满足自己追星的目的,非法获取公民个人信息,情节严重。被告人秦某、李某均构成侵犯公民个人信息罪,分别被判处有期徒刑三年,并处罚金人民币四万元。同时,秦某、李某三年内被禁止从事航空客服代表类职业。被告人张某被判处有期徒刑一年,缓刑一年,并罚金人民币一万元;被告人徐某被判处拘役五个月,缓刑五个月,并处罚金人民币五千元。
针对检察机关提起的民事公益诉讼,北京市朝阳区人民法院也作出了判决:责令被告秦某、李某共同支付公共利益损害赔偿款四万余元;责令被告秦某支付公共利益损害赔偿款六千两百余元,被告李某支付公共利益损害赔偿款一万八千余元;责令两人注销买卖公民个人信息使用的微信号,删除存储在其中的公民个人信息数据,并在国家级新闻媒体就侵犯公民个人信息行为向社会公众公开赔礼道歉。
来源:央视网
3. 海淀法院发布新类型网络不正当竞争纠纷典型案例,平台数据竞争纠纷明显增多
4月19日,海淀法院召开新闻发布会,发布《北京市海淀区人民法院知识产权审判白皮书(2022年度)》,对2021年海淀法院知识产权审判情况及近三年新类型网络不正当竞争案件审判情况进行通报,并发布新类型网络不正当竞争纠纷典型案例。
会上,海淀法院民事审判五庭(知识产权审判庭)负责人杨德嘉介绍了近三年新类型网络不正当竞争案件审判情况。他表示,近三年来,海淀法院受理的网络不正当竞争案件呈现数量增长迅猛、类型化案件集中、新类型案件频发的特点,特别是新类型网络不正当竞争案件呈现出诸多新特点、新趋势。其中平台数据竞争纠纷明显增多。近年来,数据竞争逐渐成为网络竞争的热点和焦点。在案件审理过程中,往往须要综合考量原告对涉案数据的投入、贡献,被告获取数据的技术手段、使用数据的方式是否具有违法性,兼顾是否会产生市场替代效果,以及对竞争秩序、社会整体福利、消费者长远利益等方面的影响,对被诉行为综合予以判定。
来源:海淀法院网
4. 最高检发布电信网络诈骗典型案例:公民个人信息已成为相关犯罪的“基本物料”
4月21日,最高人民检察院发布10件打击治理电信网络诈骗及关联犯罪典型案例,以及加强司法办案、依法打击犯罪,开展能动履职、协同推进网络治理的相关成效。
这10件典型案例分别是:魏某双等60人诈骗案,邱某儒等31人诈骗案,张某等3人诈骗案、戴某等3人掩饰、隐瞒犯罪所得案,刘某峰等37人诈骗案,吴某强、吴某祥等60人诈骗案,罗某杰诈骗案,徐某等6人侵犯公民个人信息案,施某凌等18人妨害信用卡管理案,唐某琪、方某帮助信息网络犯罪活动案,周某平、施某青帮助信息网络犯罪活动案。从案件类型看,有五件是电信网络诈骗犯罪,另外五件则是与之关联的网络黑产犯罪。10件典型案例较为全面反映了电信网络诈骗犯罪样态,深入揭示了此类犯罪的社会危害。
当前电信网络诈骗犯罪主要特点表现为领域广、手段新、危害深。在这批典型案例中,刘某峰等37人诈骗案的犯罪分子以组建网络游戏情侣为名引诱玩家高额充值骗取钱款,是一种新型的“游戏托”诈骗方式;魏某双等60人诈骗案的犯罪分子以投资虚拟货币为名,搭建虚假交易平台跨境实施电信网络诈骗,骗取700余名被害人1.2亿余元;徐某等6人侵犯公民个人信息案中,电信部门代理商和劳务公司内部人员相互勾结,利用工作便利,非法采集务工人员身份证、人脸识别信息激活手机卡,并被用于电信网络诈骗犯罪。
“公民个人信息已经成为电信网络诈骗犯罪的‘基本物料’,犯罪分子或是通过非法获取的公民个人信息注册手机卡、银行卡,以此作为诈骗犯罪的基础工具;或是利用这些信息对诈骗对象进行‘画像’实施精准诈骗。”最高检第四检察厅负责人表示,检察机关高度重视公民个人信息保护,下一步,检察机关将把惩治侵犯公民个人信息作为打击治理电信网络诈骗犯罪的重点工作,将行业“内鬼”和职业团伙作为重点从严惩治。有效防范电信网络诈骗犯罪,要从每个人做起,希望大家切莫贪图眼前蝇头小利,切莫追随不良网络文化,切莫轻信“前沿概念技术”,提升防范意识和能力,筑起防范诈骗的“防火墙”。
来源:最高检官网
5. 深圳中院发布涉数字经济知识产权司法保护创新案例
4月22日,深圳市中级人民法院发布十件涉数字经济知识产权司法保护创新案例,含腾讯科技(深圳)有限公司、深圳市腾讯计算机系统有限公司与深圳市云电互联网科技有限公司、厦门程硕网络科技有限公司、宋某、郭某不正当竞争纠纷案。
该案中,云电互联网科技公司开发的酷蜗智能营销宝群控软件针对微信软件研发了一系列自动化批量营销功能,通过hook微信进程调用微信方法的方式或者模拟点屏的方式进行功能实现。厦门程硕公司从云电互联网科技公司处购买酷蜗智能营销宝软件,之后以程硕聚合群控软件的名义对外进行市场推广和销售。宋某、郭某在对外销售涉案软件时提供了个人账户收款。腾讯公司认为被诉酷蜗智能营销宝群控系统和程硕聚合群控系统中的微信群控产品构成对微信软件服务正常运行的妨碍和破坏,诉请云电互联网科技公司等停止侵权、消除影响,赔偿5000万元。云电互联网科技公司等抗辩主张涉案软件是RPA(软件流程自动化)的效率工具,不应被禁止。
深圳市中级法院认为,涉案行为构成不正当竞争。首先,涉案微信群控产品使得腾讯公司丧失了本可吸引网络用户注意力而可能获得的广告收入等增值收益的机会和竞争优势,也会导致微信服务器的运营负担加大,从而给腾讯公司造成实际损失。其次,涉案微信群控产品使得微信用户处于群发信息轰炸中,对微信用户个人数据权利造成严重威胁,严重损害微信用户的自主选择权、知情权、隐私权等消费者权利。第三,被告云电互联网科技公司、厦门程硕公司运用群控技术强行改变微信功能,取代微信软件的正常功能,属于妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为,具有不正当性。第四,涉案微信群控产品破坏了免费平台与增值收益相结合的双边市场互联网竞争秩序,干扰社会对互联网流量经济的判断,严重扰乱公平有序的网络营商环境。法院综合考虑微信服务具有极高的市场知名度,被告云电互联网公司、厦门程硕公司利用网站、微博平台等渠道大规模推销被诉群控系统中的微信群控产品,产品价格较高,原告遭受较大的商誉、广告费等损失,被告为经营规模较大的公司实体以及涉案不正当竞争行为属生态型侵权的情形等因素,以被告因涉案不正当竞争行为所获得的利益2682.54万元作为被告赔偿数额。据此判决被告立即停止不正当竞争行为,并刊登致歉声明,消除影响,连带赔偿经济损失人民币2682.54万元及必要合理维权费用人民币767918元,宋某、郭某在100万元内承担连带赔偿责任。判决作出后,被告提出上诉,但于上诉期间与原告达成和解协议后撤回上诉,本案判决已经生效。
该案对群控“刷流量”等互联网市场上新出现的技术和商业模式是否构成不正当竞争以及如何进行司法规制给予明确指引,确立群控“刷流量”等新型互联网不正当竞争案件的司法裁判规则,具有创新意义。
来源:深圳中院微信公众号
第九十一期网络安全政策法律动态半月刊(2022.4.15—2022.4.30)
中共中央办公厅 国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》