第4期 全球数据安全合规资讯半月刊(5.16-5.31)
国
际
动
态
近期,欧盟理事会通过《数据治理法案》,助推欧洲数据战略实现。多国监管机构持续关注个人信息尤其是儿童个人信息、生物特征信息以及敏感个人信息的安全问题,纷纷发布相关的指南或声明。如,欧盟数据保护委员会发布《执法领域人脸识别技术应用指南》、美国联邦贸易委员会发布一项有关教育科技公司儿童在线隐私保护的声明、加拿大隐私专员办公室发布《个人信息保护和电子文件法》下敏感信息的解释等。
监管及司法层面,互联网科技巨头谷歌因“隐身浏览”模式并非真正隐身被美国德克萨斯州总检察长起诉,因将数据传输给不合法的第三方并阻碍删除权被西班牙数据保护局处以1000万欧元罚款。推特也因擅自将收集到的电话号码和电子邮件地址用于定向广告投放被美国联邦贸易委员会处以1.5亿美元罚款。另外,Facebook 首席执行官马克·扎克伯格因“剑桥分析”丑闻被美国华盛顿特区总检察长起诉,传递“包括首席执行官在内的企业领导人将对其行为负责”的重要信号。
一 · 新规速递
1. 欧盟理事会通过《数据治理法案》
5月16日,欧盟理事会(European Council)继欧洲议会之后通过了《数据治理法案》(Data Governance Act,DGA)。
DGA作为欧洲数据战略的重要组成部分,旨在通过数据共享刺激社会数字经济发展,促进数据的可用性,增加对数据共享的信任并为研究和创新服务及产品建立可信的数据使用环境。
DGA将建立公共部门数据再利用机制、创建可供数据中介机构发展的法律框架、促进数据主体基于公共利益自愿提供数据、成立欧洲数据创新委员会,并为非个人数据的国际访问和传输提供法律保障。
下一步,法案经欧洲议会主席和理事会主席签署后,将在欧盟官方公报上予以发布,并在发布20天后生效,生效15个月后将正式实施。
来源:European Council
原文链接:https://www.consilium.europa.eu/en/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/
2. 欧盟数据保护委员会发布《执法领域人脸识别技术应用指南》
5月16日,欧盟数据保护委员会(European Data Protection Board, EDPB)通过了《执法领域人脸识别技术应用指南》(Guidelines on the Use of Facial Recognition Technology in the Area of Law Enforcement),为欧盟和成员国立法者以及执法当局提供实施和使用面部识别技术系统提供指导。
EDPB 强调,面部识别工具只能在严格遵守执法指令 (LED) 的情况下使用。此外,只有在必要和适当的情况下,才应按照《基本权利宪章》的规定使用此类工具。
在《指南》中,EDPB 再次呼吁在某些情况下禁止使用面部识别技术,具体包括:
在可公开访问的空间中对个人进行远程生物识别;
面部识别系统根据个人生物特征、种族、性别以及政治或性取向或其他歧视理由,将个人分类;
利用面部识别或类似技术来推断自然人的情绪;
在执法环境中处理个人数据时依赖于一个大规模和不加选择收集个人数据的数据库,例如通过“抓取”在线访问的照片和面部图片。
接下来,该指南将接受为期6周的公众咨询。
来源:EDPB
原文链接:https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-calculation-fines-guidelines-use-facial-recognition_en
3. 加拿大隐私专员办公室发布《个人信息保护和电子文件法》下敏感信息的解释
5月16日,加拿大隐私专员办公室(Office of the Privacy Commissioner of Canada,OPC)根据《个人信息保护和电子文件法》(Personal Information Protection and Electronic Documents Act,PIPEDA)发布了对敏感信息的解释。这些解释不是具有约束力的法律解释,而是旨在作为遵守 PIPEDA 的指南。
OPC指出,虽然根据PIPEDA,任何个人信息都可能是敏感信息,但某些类型的个人信息通常会被认为是敏感信息,因为收集、使用或披露这些类别的信息会给个人带来特定的风险。
通常被认为是敏感的、需要更高程度保护的信息包括健康和财务数据、民族和种族出身、政治观点、遗传和生物识别数据、个人的性生活或性取向,以及宗教或哲学信仰。
根据PIPEDA,个人信息是否被认为是“敏感”的,将根据每个案件的事实而有所不同。
来源:OPC
原文链接:https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda-compliance-help/pipeda-interpretation-bulletins/interpretations_10_sensible/
4. 新加坡个人数据保护委员会发布《在安全应用中负责任地使用生物特征数据的指南》
5月17日,新加坡个人数据保护委员会(Singapore's Personal Data Protection Commission,PDPC)发布《在安全应用中负责任地使用生物特征数据的指南》。
《指南》旨在帮助管理公司、建筑/场所所有者和安全服务公司等组织,确保负责任地使用安全摄像头和生物识别系统,以保护收集、使用或披露的个人生物识别数据。
该指南包括以下三个部分:1)指南中使用的关键术语的定义;2)负责地收集、使用和披露生物特征数据的最佳实践是什么;3)PDPA义务如何适用于生物识别数据。
来源:PDPC
原文链接:https://www.pdpc.gov.sg/help-and-resources/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications
5. 美国联邦贸易委员会发布一项有关教育科技公司儿童在线隐私保护的声明
5月19日,美国联邦贸易委员会(FTC)发布一项有关教育科技公司儿童在线隐私保护的声明。
FTC在声明中重申COPPA关于限制教育科技公司收集、使用、保留和儿童数据安全要求的条款,并表示其将对相关违法行为进行重点审查。
对此,美国总统乔·拜登发表声明表示:当孩子和家长访问在线教育产品时,他们不应该被迫接受跟踪和监视,FTC 明确此类行为违反COPPA,并且将打击那些坚持利用儿童赚钱的公司,是值得肯定的。
来源:FTC、whitehouse
原文链接:https://www.ftc.gov/business-guidance/blog/2022/05/ftc-ed-tech-protecting-kids-privacy-your-responsibility
6. 欧盟委员会发布问答文件,为标准合同条款SCC提供应用指导
5 月 25 日,欧盟委员会发布关于《欧盟通用数据保护条例》下数据传输标准合同条款的问答文件。
问答文件指出,2021 年 6 月 4 日,欧盟委员会通过了两套标准合同条款,一套供欧洲经济区(EEA)内的控制者和处理者之间使用,另一套用于将个人数据传输到EEA以外的国家/地区。此次发布问答文件的目的是提供有关使用 SCC 的实用指南,以协助利益相关者开展合规工作。欧盟委员会特别指出,问答文件仅供参考,不构成法律建议。
具体地,问答文件主要涵盖了一般性问题、修改和签字、SCC与其他合同条款的关系、控制者和处理者之间的标准合同条款、现代化的原因和主要创新、适用范围和传输场景、根据SCC传输个人数据时个人的权利、数据输出方和输入方的义务、当地法律和政府准入等方面的问题。
来源:European Commission
原文链接:https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
7. 爱尔兰数据保护委员会发布《儿童数据保护权利指南》
5月25日,爱尔兰数据保护委员会为儿童制作了三份关于数据保护及儿童在 GDPR 下的权利的简短指南。这些指南主要针对 13 岁及以上的儿童,因为这个年龄的儿童可以开始自己注册多种形式的社交媒体。
儿童个人数据保护是 DPC 的重要优先事项,也是DPC去年年底发布的 2022-2027 年监管战略的五个战略目标之一。
此次发布的三份指南如下:
《数据保护—是什么?》。该指南向儿童和青少年介绍了个人数据和数据保护的理念,以及为什么他们了解这些信息很重要。
《我的数据保护权利》。该指南向儿童介绍了不同的数据保护权利以及如何使用它。
《保持数据在线安全的重要提示》。该指南包含 15 条有用的提示,可帮助儿童(实际上是每个人)在上网时保护个人数据的安全。 来源:DPC
原文链接:https://www.dataprotection.ie/en/dpc-guidance/childrens-data-protection-rights
二 · 监管动向
1. 爱尔兰公民自由委员会发布《关于美国和欧洲实时竞价系统数据传播报告》, 披露其认定的一起最大规模数据泄露事件
5月16日,爱尔兰公民自由委员会(Irish Council for Civil Liberties,ICCL)公布了《关于美国和欧洲实时竞价系统数据传播报告》(Report on the Scale of Real-Time Bidding Data Broadcasts in the U.S. and Europe),对其认定的一起最大规模数据泄露事件进行了披露。
报告显示,谷歌、微软等公司会利用实时竞价系统(Real-Time Bidding)将用户的网络浏览记录和地理位置信息提供给广告商,以便广告商选择潜在用户浏览网页进行广告的精准投放。在美国,上述用户信息平均每天被分享2940亿次,平均每人被曝光747次;在欧洲平均每天分享1970亿次,平均每人被曝光376次,并且报告认为目前没有任何办法能够有效控制这些数据的处理。
来源:ICCL
原文链接:https://www.iccl.ie/digital-data/iccl-report-on-the-scale-of-real-time-bidding-data-broadcasts-in-the-u-s-and-europe/
2. 荷兰公共部门获准使用 Google Workspace
5月30日消息,在荷兰数据保护机构表示其公务员使用 Google Workspace 存在太多“法律障碍”一年后,重新制定的协议将允许公共部门启动生产力套件。
2020 年,荷兰中部政府启动了对 Google Workspace 的数据保护影响评估 (DPIA)。该报告指出,存在八个高风险问题,主要与数据收集有关。它还指出,根据 GDPR 中关于请求访问权的规定,谷歌没有提供其持有的所有个人数据。
谷歌表示:“荷兰中部政府、荷兰教育部门组织/机构和谷歌云达成了协议,并将继续就 DPIA 建议开展合作。”简而言之,荷兰公共部门组织将能够使用 Chat、Docs、Meet 和 Sheets 之类的工具。
来源:The Register
原文链接:
https://www.theregister.com/2022/05/30/google_workspace_dutch_government/
3. 法国CNIL发布Cookie墙有效性的初步标准
5 月 16 日,法国数据保护机构(CNIL)发布了 cookie 墙有效性的初步标准。
“Cookie 墙”用于要求互联网用户在访问网站内容时接受 cookie 或其他跟踪设备的网站。通常,还有一种替代选择,即订阅费(也称为“付费墙”)来补偿广告收入损失(此类收入与 cookie 技术相关)。
此前,CNIL曾发布关于“cookie 和其他跟踪器”的指南。在最初的版本中,这些指南禁止 cookie 墙,因为这会违反 cookie 的“自由同意”原则。法国国务委员会于2020年6月19日裁定,CNIL没有法律权力自行解释GDPR下关于禁止所有类型的cookie墙的自由同意要求。对cookie墙合法性的评估必须根据具体情况进行更细致的评估。
cookie和其他跟踪器的同意问题是一个长期拖延和激烈辩论的未来ePrivacy监管旨在澄清的问题。在我们等待即将出台的立法或欧盟法院的立场的同时,CNIL认为有必要发布标准来评估此类做法的合法性。
根据此次新发布的初步标准,在评估 cookie 墙的合法性时,必须特别考虑在追踪者拒绝的情况下是否存在真实且令人满意的替代方案。CNIL的标准侧重于最常见的做法:它们必须作为个案分析的一部分。
来源:Naitonal Law Review
原文链接:https://www.natlawreview.com/article/fresh-oven-cnil-s-criteria-allowing-cookie-walls-france
三 · 行业动态
1. 谷歌因“隐身浏览”模式并非真正隐身被美国德克萨斯州总检察长起诉
5月19日,德克萨斯州总检察长 Ken Paxton修改了今年1月对谷歌提起的侵犯隐私诉讼,将谷歌的隐身模式作为另一项违反德克萨斯州“欺骗性贸易行为法案”的指控包括在内。
该诉讼称,谷歌误导公众相信他们可以通过使用谷歌的隐身模式来限制个人数据的共享。然而,在现实中,即使用户使用了隐身模式,谷歌也会欺骗性地收集一系列个人数据,谷歌收集这些数据只是为了盈利。
对此,谷歌没有立即回应置评请求。而在今年1月,谷歌表示,Ken Paxton正在根据对于谷歌设置方式的不准确说明和过时断言提起诉讼,谷歌一直在产品中内置保护隐私的功能,并向用户提供地理位置信息的控制权。谷歌强烈反对这些指责,并将全力辩护,以澄清事实。
来源:insurance journal
原文链接:https://www.insurancejournal.com/news/southcentral/2022/05/20/668523.htm
2. 扎克伯格因“剑桥分析”丑闻被美国华盛顿特区总检察长起诉
5月23日,美国华盛顿特区总检察长卡尔·拉辛(Karl A. Racine)起诉 Facebook 首席执行官马克·扎克伯格(Mark Zuckerberg)直接参与了导致剑桥分析公司数据泄露事件的决策——美国历史上最大的消费者隐私丑闻——而 Facebook 则以数据保护和隐私声明误导用户。
在诉讼中,总检察长办公室 (OAG) 回顾了在一项全面调查中收集的证据,指控扎克伯格先生促成了 Facebook 对用户数据的疏忽监督和误导性隐私协议的实施。结果,它允许第三方,如政治咨询公司剑桥分析公司,从 8700 万美国人那里获取个人数据,其中包括超过一半的华盛顿特区居民,并利用这些数据来操纵 2016 年的选举。对此,AG Racine 表示:“这起诉讼不仅是正当的,而且是必要的,它发出的信息是,包括首席执行官在内的企业领导人将对其行为负责。”
来源:Office of the Attorney General for the District of Columbia
原文链接:https://oag.dc.gov/release/ag-racine-sues-mark-zuckerberg-failing-protect
四 · 典型案例
1. AEPD因谷歌严重违反GDPR对其处以1000万欧元罚款
5月18日,西班牙数据保护局(AEPD)对谷歌处以1000万欧元的罚款,原因是谷歌将数据传输给不合法的第三方并阻碍删除权。
AEPD指出,谷歌在没有有效法律依据的情况下向 Lumen(由哈佛大学启动的一项基于公民所请求删除的互联网内容的数据库)传输用户个人信息,包括个人身份、电子邮箱、个人请求删除的理由以及URL地址。
除罚款以外,AEPD还要求Google在与Lumen进行数据传输、允许用户行使删除权和向用户提供信息等方面要遵守GDPR的要求,另外Google必须删除所有已被告知Lumen的用户删除权请求所涉及的个人数据。
来源:AEPD 、Nairametrics
原文链接:https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-sanciona-google-llc-por-ceder-datos-terceros-sin
2. ICO 对面部识别数据库公司 Clearview AI Inc 处以超过 750 万英镑的罚款并下令删除英国数据
5月23日,英国信息专员办公室 (ICO) 因Clearview AI Inc使用从网络和社交媒体收集的英国和其他地方的人的图像来创建可用于面部识别的全球在线数据库向其处以 7,552,800 英镑的罚款。
除罚款外,ICO 还发布了执行通知,命令该公司停止获取和使用在互联网上公开的英国居民的个人数据,并从其系统中删除英国居民的数据。
具体地,ICO 认为, Clearview AI Inc 通过以下方式违反了英国数据保护法:
未能以公平和透明的方式使用英国人的信息,因为个人没有意识到或不会合理地期望以这种方式使用他们的个人数据;
无正当理由收集个人信息;
未能制定流程来阻止数据被无限期保留;
未能满足生物特征数据(根据 GDPR 和英国 GDPR 归类为“特殊类别数据”)要求的更高数据保护标准;
当公众询问其照片是否在他们的数据库中时,被要求提供额外个人信息,包括照片。这可能对希望反对收集和使用其数据的个人起到了阻碍作用。
来源:ICO
原文链接:https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/
3. FTC因Twitter欺骗性投放定向广告对其处以1.5亿美元巨额罚款
5月25日消息,美国联邦贸易委员会(FTC)对 Twitter 处以1.5 亿美元罚款,原因是 Twitter 将收集到的电话号码和电子邮件地址,用于定向广告投放。
根据法庭文件,Twitter 从 2013 年开始要求超过 1.4 亿用户提供这些信息以保护他们的帐户,但它没有通知他们这些数据也将用于允许广告商向他们投放广告。这直接违反了FTC法案和 2011 年委员会行政命令有关“禁止公司歪曲其安全和隐私实践并从欺骗性收集的数据中获利”的规定。
目前,推特已同意与FTC达成和解,支付1.5亿美元的民事罚款,并对使用用户信息进行广告盈利事件道歉。除此之外,在联邦法院批准和解后,推特也将实施新的合规措施以改善其数据隐私做法。
来源:FTC、Bleeping Computer
原文链接:https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2022/05/ftcs-twitter-case-enhancing-security-without-compromising-privacy
国
内
动
态
近期,中共中央办公厅、国务院办公厅印发《关于推进实施国家文化数字化战略的意见》,中国银保监会发布《银行保险监管统计管理办法(征求意见稿)》,河北省人大常委会发布《河北省数字经济促进条例》再次强调数据治理及数据安全问题。另外,全国首个数据资源法庭在浙江省温州市瓯海区人民法院设立,助力数字经济依法合规发展。
个人信息保护层面,工信部计划于今年内修订完成《电信和互联网用户个人信息保护规定》,上海市通过《关于进一步促进和保障城市运行“一网统管”建设的决定》,保障因防疫采集的个人信息的安全。消保委也积极发挥作用。如,江苏省消保委点名14家新能源车企个人信息收集使用不当等问题,广东省消保委通报YY直播平台拒不配合核查消费记录,侵犯消费者知情权等。
一 · 新规速递
1. 中共中央办公厅、国务院办公厅印发《关于推进实施国家文化数字化战略的意见》
5月22日新华社消息,近日,中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》。
《意见》提出了8项重点任务,其中包括构建文化数字化治理体系,完善文化市场综合执法体制,强化文化数据要素市场交易监管。
《意见》要求,在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准,强化中华文化数据库数据入库标准,构建完善的文化数据安全监管体系,完善文化资源数据和文化数字内容的产权保护措施。
来源:中国政府网2. 国家发改委正牵头制定数据要素基础制度文件,将着力建设数据产权、流通交易、要素收益分配及安全治理等制度
5月17日,全国政协在京召开“推动数字经济持续健康发展”专题协商会。对于全国政协委员在会议上的建议,国家发展改革委副主任林念修从四方面作了简要回应。
其中,在深度挖掘数字要素价值,拓展数字经济发展空间方面,林念修表示,按照中央部署,国家发改委正在牵头制定数据要素基础制度文件。下一步,将加快推动文件出台,着力建设四方面制度。一是建立保障权益激活价值的数据产权制度。二是建立合规高效、场内外结合的数据要素流通交易制度。三是建立体现效率、促进公平的数据要素收益分配制度。四是建立安全可控、弹性包容的数据要素安全治理制度。
来源:国家发改委官网
3. 工信部计划年内修订完成《电信和互联网用户个人信息保护规定》
5月17日,工信部公布2022年规章制定工作计划。其中,《电信和互联网用户个人信息保护规定(修订)》被列入十项年内完成研究起草任务的项目清单。
《电信和互联网用户个人信息保护规定》于2013年6月28日由中华人民共和国工业和信息化部第2次部务会议审议通过,自2013年9月1日起施行,距今已超过8年时间。
《电信和互联网用户个人信息保护规定》是为了保护电信和互联网用户的合法权益,维护网络信息安全而制定的法规,主要规定了电信和互联网用户个人信息的保护范围、用户个人信息收集和使用原则、用户个人信息收集和使用规则、代理商管理、安全保障制度、监督检查制度等。
来源:工信微报
4. 工信部网安局:将有序推进电信和互联网领域数据安全工作
5月18日,在2022年世界电信和信息社会日大会“数据安全与治理论坛”上,工业和信息化部网络安全管理局副局长杜广达表示,电信和互联网领域数据安全工作取得了良好的开局,但仍处于起步阶段,加强行业数据安全管理需要在已有基础上,有计划、有重点、分步骤推进工作。
一是完善政策标准。适时出台《工业和信息化领域数据安全管理办法(试行)》,并在风险信息报送与共享、应急预案、风险评估机构管理等方面加强配套制度研究储备。围绕重要数据识别、安全防护、风险评估等方向组织制定急需标准,引导企业开展贯标达标,用好、用活、用准各项政策标准,促进提升数据安全保护水平。
二是夯实监管基础。加大宣贯培训力度,着力提升行业数据安全意识,在系统内全面落实数据安全责任制。加快推进数据分类分级、重要数据识别和目录备案、风险评估等工作,建立完善监测预警、信息上报和应急处置等机制,筑牢行业管理基石。构建电信和互联网行业数据安全人才培养体系,打造高质量监督执法、检查评估等人才队伍。
三是强化能力建设。鼓励电信和互联网企业加大投入,建立以数据为中心的安全防护体系,增强数据安全风险监测、溯源、处置等能力。引导第三方服务机构,建设完善数据安全检测、评估、认证等技术与服务能力,为行业管理提供技术支撑保障。围绕数据安全供需对接、测试评价、政策标准等,积极打造公共服务能力。
四是加快产业发展。研究起草数据安全及相关产业发展的政策文件,明确产业发展方向、路径和重点任务。梳理数据安全技术和产品体系,支持重点技术产品攻关。推动国家数据安全产业园、创新应用示范区建设,强化产业集聚发展。培育数据安全骨干企业、专精特新“小巨人”企业,促进大中小企业融通发展和产业链上下游协同发展,健全产业生态。
来源:通信世界
5. 中国银保监会发布《银行保险监管统计管理办法(征求意见稿)》
5月19日,中国银保监会发布《银行保险监管统计管理办法(征求意见稿)》,面向社会公开征求意见。
《征求意见稿》包括总则、监管统计管理机构、监管统计调查管理、银行保险机构监管统计管理、监管统计监督管理和附则等6章,共33条,重点就以下内容予以规范:
一是明确归口管理要求。《征求意见稿》明确监管统计工作归口管理要求,对监管统计管理机构归口管理部门职责作出界定,对银行保险机构归口管理部门职责予以明确,同时列明各相关主体职责边界。
二是明确数据质量责任。为督促银行保险机构重视数据质量,《征求意见稿》明确提出银行保险机构法定代表人或者主要负责人对监管统计数据质量承担最终责任。
三是强调数据安全保护。根据2021年9月实施的《中华人民共和国数据安全法》相关规定,《征求意见稿》在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容,明确提出监管统计工作有关保密要求。
四是对接数据治理要求。充分吸收近年来中国银保监会对银行保险机构数据治理的监管要求,《征求意见稿》明确要求银行保险机构应将本单位监管统计工作纳入数据治理范畴。
五是重视数据价值实现。为引导银行保险机构不断提高数据分析能力,充分挖掘发挥监管统计资料价值,《征求意见稿》明确提出监管统计数据分析应用相关要求,引导银行保险机构充分运用数据分析手段,开展数据分析和挖掘应用,充分发挥监管统计资料价值。
来源:中国银保监会官网
6. 中国银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》,信息安全权受关注
5月19日,中国银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》,面向社会公开征求意见。
《征求意见稿》共8章56条,明确了银行保险机构消费者权益保护的工作机制与管理要求,要求银行保险机构保护包括知情权、自主选择权、公平交易权、财产安全权、依法求偿权、受教育权、受尊重权、信息安全权等在内的八项消费者权益。
在保障消费者信息安全权方面,《征求意见稿》要求银行保险机构处理消费者个人信息坚持“合法、正当、必要”原则,并对收集、格式条款、外部合作、互联网平台、系统控制、行为管理等方面作出要求。
在外部合作方面,《征求意见稿》要求银行保险机构应在消费者授权同意的基础上与合作方处理消费者信息,与合作机构的协议中应约定数据保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置条款。合作过程中,应通过加密传输线路、安全隔离、数据加密、权限管控、监测报警等方式,严格控制合作方行为与权限,开展数据分析等方面合作应使用脱敏后的数据,防范数据滥用或泄露风险。此外,在与互联网平台合作的过程中,未经消费者授权同意,不得在不同平台间传递消费者个人信息。不得利用痕迹数据对消费者开展未经授权的营销活动。
来源:中国银保监会官网
7. 上海市人大常委会通过《关于进一步促进和保障城市运行“一网统管”建设的决定》,要求保障因防疫采集的个人信息不得泄露
5月24日,上海市十五届人大常委会第四十次会议表决通过了《关于进一步促进和保障城市运行“一网统管”建设的决定》。
《决定》共23条,主要包括“一网统管”建设目标,“一网统管”运行体系,数据赋能基层治理,发挥治理数字化功能、规范推进疫情防控相关应用场景,加强“一网统管”建设保障等五方面内容。
《决定》明确,本市运用治理数字化功能,在疫情防控期间,实行个人疫情防控信息核验措施(即“场所码”或“数字哨兵”等核验措施),核验个人健康信息。信息核验中采集、处理个人疫情防控信息应当遵守个人信息保护相关法律、法规的规定,采集的个人信息仅用于疫情防控需要,任何单位和个人不得泄露。
来源:上海人大官网
8. 河北省人大常委会发布《河北省数字经济促进条例》
5月27日,河北省十三届人大常委会第三十次会议审议通过《河北省数字经济促进条例》,将于7月1日起正式施行。
《条例》共九章81条,主要围绕数字基础设施建设、数据资源开发利用、数字产业化、产业数字化、数字化治理、京津冀数字经济协同发展、保障和监督等方面作出规范。
《条例》指出,数据资源开发利用应当遵循依法规范、促进流通、合理使用、保障安全的原则,加强数据资源全生命周期管理,提高数据要素质量,培育发展数据要素市场,激发数据要素潜能。
来源:河北省人民政府网
9. 全国信息安全标准化技术委员会发布《信息安全技术互联网平台及产品服务隐私协议要求》(征求意见稿)
5月26日,全国信息安全标准化技术委员就国家标准《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)公开征求意见。
《征求意见稿》规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求。
《征求意见稿》适用于规范个人信息处理者制定、发布隐私协议的过程,也适用于主管监管部门、第三方评估机构等对隐私协议进行监督、管理和评估。
来源:全国信安标委官网
二 · 监管动向
1. 国家计算机病毒应急处理中心监测发现12款App存在隐私不合规行为
5月25日新华社消息,国家计算机病毒应急处理中心近期通过互联网监测发现12款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。
1)未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限,涉嫌隐私不合规。涉及6款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《咚动》(版本1.7.3,360手机助手)、《量子美食》(版本2.5.9,华为应用市场)、《外业精灵》(版本1.1.26,华为应用市场)、《亿森》(版本4.2.8,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
2)未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及10款App如下:
《咚动》(版本1.7.3,360手机助手)、《衣邦人》(版本7.2.1,百度手机助手)、《量子美食》(版本2.5.9,华为应用市场)、《华为智慧生活》(版本12.0.5.315,华为应用市场)、《外业精灵》(版本1.1.26,华为应用市场)、《医知学》(版本3.3.9,华为应用市场)、《鲸探》(版本1.4.1,华为应用市场)、《Fit健身》(版本6.6.0,小米应用商店)、《亿森》(版本4.2.8,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
3)未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及4款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《外业精灵》(版本1.1.26,华为应用市场)、《亿森》(版本4.2.8,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
4)未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及2款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《外业精灵》(版本1.1.26,华为应用市场)。
5)处理敏感个人信息未取得个人的单独同意,涉嫌隐私不合规。涉及7款App如下:
《康珂诺商城》(版本1.1.1,360手机助手)、《自如》(版本7.5.7,360手机助手)、《衣邦人》(版本7.2.1,百度手机助手)、《量子美食》(版本2.5.9,华为应用市场)、《华为智慧生活》(版本12.0.5.315,华为应用市场)、《鲸探》(版本1.4.1,华为应用市场)、《亿森》(版本4.2.8,小米应用商店)。
6)处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则,涉嫌隐私不合规。涉及5款App如下:
《咚动》(版本1.7.3,360手机助手)、《外业精灵》(版本1.1.26,华为应用市场)、《医知学》(版本3.3.9,华为应用市场)、《Fit健身》(版本6.6.0,小米应用商店)、《档案酷》(版本2.7.1,应用宝)。
来源:新华社
2. 北京市通信管理局开展2022年电信和互联网行业网络与数据安全检查
5月19日,北京市通信管理局发布《关于开展2022年电信和互联网行业网络与数据安全检查的通知》,决定开展2022年电信和互联网行业网络与数据安全检查工作。
检查对象包括:提供公共互联网网络信息服务的基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等(以下统称“网络运行单位”)。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
检查内容包括:(一)网络安全管理制度和保障体系建设落实情况;(二)通信网络安全防护工作落实情况;(三)数据安全保护落实情况;(四)个人信息保护工作情况;(五)工业互联网企业网络安全防护情况。
检查共分为自查自纠(通知印发之日起至6月15日),重点抽查(6月16日起至9月30日)以及整改问责三个阶段。
对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,北京市通信管理局将依法依规给予行政处罚并纳入不良名单和失信名单。
来源:北京市通信管理局官网
3. 浙江省通信管理局拟组织开展2022年电信和互联网行业数据安全检查
5月30日,浙江省通信管理局发布《关于开展2022年电信和互联网行业数据安全检查的通知》,决定组织开展2022年电信和互联网行业数据安全检查工作。
检查对象包括:省内基础电信企业、增值电信企业、域名注册机构、重点互联网企业、APP运营者、APP应用商店及具有分发功能的平台。
检查内容包括:(一)数据安全保护落实情况;(二)个人信息保护工作情况。
检查共分为自查自纠(通知印发之日起至6月30日),监督检查(7月1日起至9月30日)以及总结整改(10月1日-11月30日)三个阶段。
对于检查中发现的违规企业,浙江省通信管理局将采取通报、约谈、行政处罚等措施。
来源:浙江省通信管理局官网
4. 江苏省消保委点名14家新能源车企,涉及个人信息收集使用不当等问题
5月19日,江苏省消保委发布《新能源汽车行业不公平格式条款调查报告》。该报告系江苏省消保委选取市场上具有一定知名度和影响力的新能源汽车品牌作为样本进行调查,收集比亚迪、长安、长城、广汽埃安、极狐、极氪、吉利、理想、奇瑞、上汽通用五菱、特斯拉、蔚来、威马、小鹏等14家新能源汽车企业47份协议后梳理形成。
具体地,报告共梳理出10个方面共15项不公平格式条款问题。其中,涉及个人信息保护方面的不公平格式条款包括以下三个方面:1)收集个人信息不规范,消费者被要求必须概括同意;2)个人信息使用不当,消费者的个人信息保护缺位;3)约定响应时间过长,难以满足消费者实际需要。
来源:江苏省消保委官网
5. 广东省消保委通报YY直播平台拒不配合核查消费记录,侵犯消费者知情权
5月19日,广东省消委会通报YY直播平台拒不配合核查消费记录,侵犯消费者知情权。
该案中,消费者邹先生于2022年3月发现其支付平台账单有笔200元消费记录,显示用于充值YY直播平台(广州津虹网络传媒有限公司旗下)一YY账号,消费时间是2021年10月份。邹先生自称从未接受过该平台任何直播服务,也不清楚该账号的来源,于是要求YY直播平台退还200元,但遭到对方拒绝,遂向广东省消费者委员会投诉。
广东省消委会接诉后,电话联系YY直播平台并要求其帮助邹先生核实其个人账号的消费信息。YY直播平台客服在消委会介入后,始终以账号信息属个人隐私、公司只配合公安部门调查为由,拒绝履行法定义务,坚持让邹先生报警,由公安部门调查后再决定是否退款。最终,在广东省消委会的坚持下,平台只透露了邹先生充值的钱已全部用于打赏平台主播,其余的信息始终拒绝提供,案件调解被迫中止。
广东省消委会认为,根据《消费者权益保护法》《个人信息保护法》《电子商务法》等法律有关规定,消费者邹先生在YY平台的消费记录属于其个人信息,而YY平台作为处理消费者个人信息的平台经营者,应当尊重消费者的查阅权和复制权,不应设置门槛将消费者拒之门外。尤其是当消费者权益受损时,涉事的YY直播平台本应积极提供相关信息,为消费者维权提供便利,现在却以“只配合公检法部门调查”等理由,百般推脱,明显侵犯了消费者的知情权。
对于YY直播平台的行为,广东省消委会根据《消费者权益保护法》《消费者协会受理消费者投诉工作导则》《消费者协会消费投诉信息公示办法(试行)》《消费者协会投诉披露制度》等规定,予以曝光披露,希望YY直播平台确实履行经营者的法定义务,重视消费者的问题,认真妥善解决消费者的诉求,保护消费者的合法权益,做守法诚信、有责任感的经营者。
来源:广东省消保委官网
三 · 行业动态
1. 全国首个数据资源法庭在浙江省温州市瓯海区人民法院设立
5月18日,浙江省温州市瓯海区人民法院数据资源法庭正式揭牌设立,系全国设立的首个以受理数据资源案件为核心业务的专业法庭。
职能定位方面,数据资源法庭实行刑事、民事、行政‘三合一’归口审理模式,换言之,只要是涉及数据资源的案件,都可以在此审理。
具体案件管辖范围包括:严重侵害个人信息、商业秘密、保密商务信息等合法权益刑事案件以及数据监管职务犯罪相关案件;不当侵害包括个人信息、商业秘密、保密商务信息等在内的与数据资源权益相关的侵权责任纠纷和合同纠纷民事案件;网络不正当竞争和数据资源权属纠纷等知识产权案件;涉及数据资源行政许可、信息公开、行政处罚、行政监管等行政案件和非诉行政执行案件。
来源:温州市中级人民法院官网
四 · 典型案例
1. 香港个人资料私隐专员公署就首宗“未经同意披露个人资料”拘捕个案落案起诉
5月20日,个人资料私隐专员公署(私隐公署)落案起诉一名31岁中国籍男子(被告)违反《个人资料(私隐)条例》(《私隐条例》)第64(3A)条「在未获同意下披露个人资料」共4项罪行。这是首宗因违反《私隐条例》第64(3A)条「起底」罪行而作出拘捕行动的个案。
案中,被告涉嫌于2021 年 10 月在未经两名人士的同意下,于一个社交媒体平台(两个不同群组)上披露两人的个人资料,而事件源于金钱纠纷。披露的个人资料包括姓名、手提电话号码、职业、住址及僱主名称。私隐公署于2021年12月13日拘捕被告。
根据《私隐条例》第64(3A)条,如任何人在未获资料当事人的相关同意下,披露该当事人的个人资料,且披露者的意图,是导致该当事人或其任何家人蒙受任何指明伤害;或披露者罔顾是否会(或相当可能会)导致该当事人或其任何家人蒙受任何指明伤害,披露者即属犯罪。
香港私隐公署提醒,“起底”属于严重侵害人身权益的违法行为,任何人违反第64(3A)条所订罪行,一经定罪,可被处罚款10万港元及监禁2年。
来源:香港个人资料私隐专员公署官网