国内数据治理资讯(2024.1.20-2024.2.5)
近期,国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》。国务院国有资产监督管理委员会发布通知,强调健全完善数据资产等资产交易流转定价。证监会要求蜜雪冰城就赴港上市提供补充说明材料,涉数据安全与个人信息保护问题。
国内动态
1. 中共中央办公厅、国务院办公厅印发《浦东新区综合改革试点实施方案(2023-2027年)》
1月22日消息,中共中央办公厅、国务院办公厅印发《浦东新区综合改革试点实施方案(2023-2027年)》。
实施方案明确,到“十四五”期末,制度创新取得重要阶段性成效,高水平制度型开放取得突破,科技创新体系竞争力明显提升,全球资源配置能力明显增强,城市治理水平明显提高,一批标志性改革成果在面上推广。到2027年,基本完成试点任务,制度创新取得突破性进展,高标准市场体系和高水平开放型经济新体制建设取得显著成效,城市治理体系更加健全,为全面建设社会主义现代化国家作出重要示范引领。
实施方案明确五项主要任务,包括加大规则标准等开放力度,打造制度型开放示范窗口;完善科技创新体系,建设开放创新生态;深化人才发展体制机制改革,加快建设高水平人才高地;深化政府职能转变,激发各类经营主体活力;深化人民城市建设实践,探索超大城市治理新路。
实施方案提出,探索构建数字经济规则体系,实行分类分层的新型数据交易机制,依托数据交易所提升数据可信流通能力。探索数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。探索数据资产管理、数字身份国际认证等,推动数字贸易交付和结算便利化,建设数字贸易服务平台。支持中国(上海)自由贸易试验区临港新片区探索建立安全便利的数据流动机制,允许在符合法律法规要求、确保安全前提下提升数据跨境流动的便利性。研究高标准且与国际接轨的数据安全管理规则体系,创新数据监管机制,积极探索优化数据跨境流动管理措施。
信息来源:
https://www.gov.cn/zhengce/202401/content_6927503.htm
2. 国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》
2月1日,国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》,向社会公开征求意见,征求意见时间截至2024年3月2日。征求意见稿共三十二条,对经营和使用寄递服务涉及用户个人信息安全的活动以及邮政管理部门监督管理工作做出规定。
征求意见稿明确,除征得用户个人同意外,寄递企业保存用户个人信息的期限不得超过收集之日起三年,法律、行政法规另有规定的,从其规定。保存期限届满,寄递企业应当主动删除用户个人信息。删除个人信息从技术上难以实现的,寄递企业应当停止除存储和采取必要的安全保护措施之外的处理。
寄递企业应当对用户个人信息依法进行去标识化处理。快递电子运单的去标识化应当考虑正常寄递服务的需求。寄递企业授权电商使用本企业的快递单号资源时,应当要求电商对快递电子运单中的个人信息执行去标识化。寄递企业应当与电商等第三方签订协议,明确去标识化执行主体、数据传输以及数据转化等相关事项。
寄递企业处理用户个人信息达到国家网信部门规定数量时,应当指定用户个人信息保护负责人,负责对信息处理活动以及采取的保护措施等进行监督,并公开个人信息保护负责人的联系方式,将负责人的姓名、联系方式等向所在地邮政管理部门报送。负责人发生变更的,应在7个工作日内重新报送并公告。
信息来源:
https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml
3. 商务部探索建立以自由流动为基本原则、统筹安全和个人信息保护的数据跨境流动治理体系
1月19日消息,商务部部长王文涛就“加快建设贸易强国”相关问题答记者问,表示商务部将从升级货物贸易、创新服务贸易、发展数字贸易、深化国际合作以及维护贸易安全五个方面着手推动贸易强国建设。
数字贸易方面,商务部将出台数字贸易改革创新发展政策,明确我国数字贸易发展的制度和政策框架,进一步加强系统谋划、政策创新和跨部门跨领域统筹协调。做强做优国家数字服务出口基地,在数字服务市场准入、国际规则对接、跨境数据流动、数据规范化采集和分级分类监管等方面先行先试,培育科技、制度双创新的数字贸易集聚区。积极参与全球数字贸易治理,立足自身制度框架,对接国际高标准经贸规则,探索建立以自由流动为基本原则、统筹安全和个人信息保护的数据跨境流动治理体系。
信息来源:
http://ph.mofcom.gov.cn/article/zgyw/202401/20240103467600.shtml
4. 国家发展改革委办公厅、市场监管总局办公厅印发《关于进一步做好信用修复协同联动工作的通知》,强化信用数据共享
1月18日,国家发展改革委办公厅、市场监管总局办公厅印发《关于进一步做好信用修复协同联动工作的通知》,旨在进一步加强信用修复协同联动,构建高效便捷的信用修复制度,保障信用主体合法权益。
通知明确,各地区要充分认识做好信用修复协同联动工作的重要意义,加强沟通对接,坚决打破数据壁垒,切实解决“多头修复”问题。各省级社会信用体系建设牵头部门和市场监管部门应当每日共享各自系统产生的信用修复结果信息(含较低数额罚款的处罚到期撤销公示的信息),并向“信用中国”网站和国家企业信用信息公示系统报送相关信息,做到两个系统同步修复。各省级信用牵头部门和市场监管部门要建立和完善信用修复协同联动工作机制,做好各自系统内部、两个系统间的工作流程与技术适配,及时发现和解决问题,确保修复数据共享、修复结果互认。
信息来源:
https://www.ndrc.gov.cn/xwdt/tzgg/202401/t20240126_1363738.html
5. 国务院国有资产监督管理委员会发布通知,强调健全完善数据资产等资产交易流转定价
1月20日,国务院国有资产监督管理委员会发布《关于优化中央企业资产评估管理有关事项的通知》,旨在推动国有经济布局优化和结构调整,助力企业实现高质量发展,优化企业国有资产评估管理。
通知要求健全完善知识产权、科技成果、数据资产等资产交易流转定价。中央企业及其子企业发生知识产权、科技成果、数据资产等资产转让、作价出资、收购等经济行为时,应当依据评估或估值结果作为定价参考依据。经咨询3家及以上专业机构,确难通过评估或估值方式对标的价值进行评定估算的,依照相关法律和企业章程履行决策程序后,可以通过挂牌交易、拍卖、询价、协议等方式确定交易价格。许可使用知识产权、科技成果、数据资产,可以采用销售额或利润提成、许可入门费加销售额或利润提成等方式确定许可费用。
信息来源:
https://dsj.hainan.gov.cn/zcfg/zybs/202401/t20240126_3580930.html
6. 江苏省印发《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》
2023年12月1日,江苏省印发《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》。
实施意见明确主要目标是力争到2030年,健全数据分类分级管理制度,建立标准规范、统一协调的数据运营管理机制;建成运行高效、安全有序的数据要素市场,形成有效市场和有为政府相结合的数据要素治理模式;建强特色鲜明的数据产业集群,形成主体活跃、支撑有力的数据要素生态。
实施意见提出五项任务。一是率先落实数据产权制度。贯彻数据产权结构性分置制度,健全公共数据管理机制,加强企业数据权益保护,推进个人信息数据确权授权。二是促进数据要素流通交易。推动数据安全有序流动,健全数据交易流通机制,培育发展数据交易市场,开展数据流通跨区域合作。三是推进数据价值挖掘与收益分配。加强公共数据开发利用,加强产业数据开发利用,加强个人数据开发利用,完善数据要素收益分配。四是强化数据要素安全监管治理。完善政府数据治理机制,落实企业数据治理责任,建立多方协同治理体系。五是构建协同创新的多元生态体系。统筹数据要素基础设施建设,做大做强数据要素型企业,加快培育专业化服务机构,强化技术支撑和人才培养。
信息来源:
http://www.jiangsu.gov.cn/art/2024/1/18/art_87820_11128580.html?gqnahi=affiy2
7. 中共山东省委、山东省人民政府发布《关于加快数字经济高质量发展的意见》
1月9日,中共山东省委、山东省人民政府发布《关于加快数字经济高质量发展的意见》。
意见明确,到2025年,数字经济总量占全省生产总值比重超过50%,打造一批具有国际影响力的数字科技创新中心、一批具有国际辐射力的数字经济网络平台、一批具有国际竞争力的数字技术产业集群。意见提出七大主要任务,包括突破重点数字产业,壮大数字经济核心动能;深化产业数字赋能,拓展数字经济发展空间;加快数字技术创新,打造数字经济关键引擎;激活数据资源价值,释放数字经济要素红利;完善数字基础设施,筑牢数字经济发展底座;健全数字治理体系,完善数字经济制度支撑;优化数字发展环境,营造数字经济优良生态。
意见要求筑牢数据资源安全屏障。加强数据分级分类管理,健全数据安全防护管理和审计制度。强化数据安全态势感知和监测预警,构筑公共数据全生命周期安全防护体系。建好工业领域数据安全监测平台,提升区域性、规模性工业数据安全风险的信息获取、分析研判和预警处置能力。依托省工业大数据安全科研机构,开展数据安全政策咨询、风险评估等服务能力建设。
信息来源:
http://www.shandong.gov.cn/art/2024/1/9/art_107860_125876.html
8. 广东省人大常委会通过《南沙深化面向世界的粤港澳全面合作条例》
1月19日,广东省人大常委会通过《南沙深化面向世界的粤港澳全面合作条例》,旨在落实《广州南沙深化面向世界的粤港澳全面合作总体方案》,将南沙打造成为立足湾区、协同港澳、面向世界的重大战略性平台。条例共8章58条,对南沙管理体制机制、科技创新、产业发展、开放合作、城市发展、规则衔接等内容作了全面系统规定,将于今年3月1日起施行。
条例明确,广东省人民政府及有关部门应当主动对接、积极吸纳高标准国际经贸规则,支持南沙加强与港澳在投资和贸易、市场准入、政务服务、法律服务等方面的规则衔接和机制对接,促进各类要素跨境便捷流动和优化配置,提高对外开放水平。支持南沙依法开展粤港澳数据流动便利化和跨境应用。支持在南沙合作设立的教育机构、科研机构等平台按照国家数据和网络安全管理要求建设专用科研网络,实现科学研究数据依法跨境互联互通。鼓励在南沙设立符合国家规定的数据出境申报安全评估专业服务机构,在数据出境安全评估、个人信息出境标准合同备案等方面提供服务。
信息来源:
https://www.gdpc.gov.cn/gdrdw/zyfb/ggtz/content/post_195881.html
9. 浙江省金华市人民政府办公室印发《金华市公共数据授权运营实施细则(试行)》
1月12日,浙江省金华市人民政府办公室印发《金华市公共数据授权运营实施细则(试行)》,围绕职责分工、授权程序、授权运营行为规范、授权运营域、数据安全、监督管理六个主要方面作出规定。
数据安全方面,实施细则要求:(一)公共数据授权运营坚持统筹发展和安全的原则,按照“公共数据分类分级”要求,加强公共数据全生命周期安全和合法利用管理,确保数据来源可溯、去向可查、行为留痕、责任可究。(二)公共数据主管部门应根据《浙江省公共数据授权运营管理办法(试行)》相关要求,加强数据安全管理。应建立授权运营域安全管理制度,健全安全保障措施,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入、数据泄露等危害网络及数据安全的风险。定期组织授权运营单位开展安全培训、应急演练和攻防演练。(三)公共数据主管部门应会同网信、保密、密码管理、公安、国家安全等单位,按照“一授权一预案”要求,结合授权运营的应用场景制定应急预案,并组织应急演练。未制定应急预案的,不得开展授权运营工作。发生数据安全事件时,公共数据主管部门应按照应急预案启动应急响应,采取相应的应急处置措施,防止危害扩大,消除安全隐患。(四)公共数据授权运营安全坚持“谁运营谁负责、谁使用谁负责”的原则。授权运营单位主要负责人是运营公共数据安全的第一责任人。授权运营单位应建立健全高效的技术防护和运行管理体系,完善安全制度,确保公共数据安全,切实保护个人信息。(五)授权运营单位应制定授权运营安全应急处置预案并组织应急演练,加强防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设。
信息来源:
http://www.jinhua.gov.cn/art/2024/1/16/art_1229160383_1800896.html
10. 江苏省知识产权局等四部门联合印发《江苏省数据知识产权登记管理办法(试行)》
1月22日,江苏省知识产权局、江苏省高级人民法院、江苏省发展和改革委员会、江苏省司法厅联合印发《江苏省数据知识产权登记管理办法(试行)》,适用于对依法获取的,经过一定规则或算法加工处理,具有实用价值和智力成果属性的数据提供数据知识产权登记服务。办法自2024年2月21日起施行,试行期至2026年2月20日。
办法明确,江苏省知识产权局负责全省数据知识产权登记管理工作,负责建设全省统一的数据知识产权登记系统,制定相关政策,指导、协调和监督全省范围内数据知识产权登记、管理和运用等工作。江苏省知识产权保护中心承担数据知识产权登记工作。数据知识产权登记事项包括数据名称、数据申请人名称或姓名、数据来源、所属行业、应用场景、数据结构、更新频次、算法规则、存证情况、存储载体等方面内容。数据知识产权登记证书采用电子方式颁发。登记证书的证明期为三年,自登记公告之日起计算。
信息来源:
http://jsip.jiangsu.gov.cn/art/2024/1/22/art_85038_11131128.html
11. 临港新片区将打造更加开放的跨境数据流通高地
1月19日,临港新片区管委会专职副主任唐浩在国际数据经济产业创新大会上发布《临港新片区数据跨境流动分类分级管理办法(试行)》,并介绍数据跨境流动工作情况。
《临港新片区数据跨境流动分类分级管理办法(试行)》以企业共性需求最迫切的细分领域为切入口,对跨境数据进行分类管理,同时将跨境数据从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。
临港新片区管委会将探索建立合法安全便利的数据跨境流动机制,对依据办法开展的数据跨境流动进行日常监督管理,提供数据跨境流动合规服务,指导数据处理者开展数据出境风险自评估。充分依托前期开展数据跨境流动试点积累的经验,遵循“从企业到行业,从案例到清单,从正面到负面”的原则,以行业为维度,以企业数据跨境需求场景为切入口,有序推进一般数据清单和重要数据目录的编制工作。2024年,临港新片区将率先围绕智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域的具体场景,组织行业龙头企业和专家组成工作组,陆续发布一批一般数据清单和重要数据目录。
信息来源:
https://www.lingang.gov.cn/html/website/lg/index/news/list/1748250789340549122.html
12. 国家金融监管总局将加强网络安全和数据安全风险监管
1月25日,在国务院新闻办举行的金融服务经济社会高质量发展新闻发布会上,国家金融监督管理总局新闻发言人、统计与风险监测司负责人刘志清表示,国家金融监督管理总局将持续加强监管引领,引导金融机构提升服务质效,全面加强风险管理。
一是持续推动银行业保险业数字化转型。开展数字化转型评估工作并纳入到银行保险机构信息科技监管评级中,引导金融机构加强顶层设计和统筹规划,科学制定发展战略,加大资源要素投入,实现经营管理和服务变革。
二是增强数字赋能成效。充分调动金融机构积极性和主动性,不断优化数字金融产品和服务,做好科技创新、先进制造、绿色发展和中小微企业等重点领域的金融支持,有效降低企业融资成本;同时积极拓展互联网移动终端等服务渠道,通过数字手段触达传统金融服务难以覆盖的客群,持续提高金融服务的普惠性和可获得性。
三是提升行业风险防控能力。推动银行保险机构将数字化风控工具嵌入业务流程,充分运用数字化能力提高风险管理和内控合规水平。
四是加强网络安全和数据安全风险监管。推动银行保险机构提高网络安全风险的日常监测和应急处置能力,有效保护数据安全和客户信息,强化数字生态场景下的科技外包风险管理。
五是规范数字创新,守住风险底线。要求银行保险机构建立稳健的业务审批流程,对新产品、新业务、新模式带来的技术和业务逻辑变化进行评估,确保新技术投产运用的审慎性和合规性,牢牢守住数字化转型过程中的风险底线。
信息来源:
http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1149455&itemId=915
13. 证监会要求蜜雪冰城就赴港上市提供补充说明材料,涉数据安全与个人信息保护问题
1月19日,证监会发布《境外发行上市备案补充材料要求公示》,要求蜜雪冰城针对赴港上市事宜补充提供五方面说明材料。其中,就数据安全与个人信息保护问题,要求蜜雪冰城说明开发、运营的网站、APP、小程序等产品情况,收集和存储用户信息规模、数据收集使用情况,是否存在向第三方提供信息的情形,以及上市前后个人信息保护和数据安全的安排或措施。
信息来源:
http://www.csrc.gov.cn/csrc/c105983/c7458410/content.shtml
14. 北京互联网法院发布2023年度十大典型案件,含两起个人信息保护案例
1月21日、22日,北京互联网法院发布2023年度十大典型案件,包括两起个人信息保护案例。
案例一:死者个人信息案——郭某等诉上海某科技公司等个人信息保护纠纷案。
案中,李某为四原告的近亲属,生前从事某平台北京地区的相关业务。被告一北京某公司为该平台北京地区业务运营主体,被告二深圳某公司与被告三上海某科技公司分别为该平台员工端与用户端APP的运营主体,被告四上海某人力公司根据北京某公司提供的业务统计数据为李某结算薪资。
2021年李某意外去世。四原告为维护自身合法权益,尝试登录李某在员工端APP上的账号查阅李某的考勤记录等个人信息,但发现该账号已被深圳某公司停用,相关信息无法查阅。四原告认为,被告二深圳某公司停用李某账号的行为导致其无法查阅李某的个人信息,进而严重阻碍其维护自身合法权益,侵犯了其享有的个人信息权利请求权。另外,四原告认为四被告基于各自的业务需要,均曾处理李某的上述个人信息。因此,四原告将四被告起诉到法院,请求法院判令四被告提供其主张的李某相关个人信息,并承担相应的侵权责任。
被告二深圳某公司辩称,在李某去世后停用其账号属于正常管理活动,虽然深圳某公司停用了李某的账号,但在员工端APP的隐私政策中对于用户及近亲属调取个人信息有清晰指引,已经提供了供四原告调取李某个人信息的其他合理途径。另外,四被告共同辩称,其均未控制四原告主张的个人信息,四被告的行为不构成侵权,不应承担侵权责任,也无法向四原告提供其主张的个人信息。
法院认为,四原告有权对李某的相关个人信息主张权利,四原告直接登录李某账号行使权利不符合合法、正当、必要的原则,个人信息处理者未排除四原告通过其他合理途径行使权利,不构成侵权。据此,法院作出一审判决,驳回四原告的全部诉讼请求,双方均未提起上诉,目前该案判决已生效。
案例二:个人信息访问记录查阅复制案——夏某诉某北京某电子公司网络服务合同纠纷案。
原告曾接到自称为被告公司客服的来电,对方准确报出了原告完整的身份证号。原告主张其为被告用户,来电系由于被告违法泄露公民个人隐私信息导致,为排查账号安全、寻找个人信息泄露原因,原告向被告客服电子邮箱发送邮件,提起个人信息查阅请求,要求查阅、复制账号近期的登录信息、个人身份证号码的查阅记录。被告辩称其采取了符合业界标准的安全防护措施保护个人信息,原告可以依法向信息处理者查阅或者复制其个人信息。被告向原告提供了其登录信息,辩称查阅复制权的客体应当是个人信息,本案原告所主张查阅的“查阅、下载本人身份证号码的完整访问记录”,并不属于个人信息,原告无权要求查询。
法院认为,不论从识别还是关联角度,对个人信息的访问记录都难以被定义为个人信息。一方面,被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术,访问者难以识别该身份证号属于原告;另一方面,访问记录也不具备关联特征,不是本案原告在其活动中产生的信息。因此,该访问记录不属于原告的个人信息,仅为被告企业的内部管理信息,原告无权查询。据此,法院判决驳回原告的全部诉讼请求,双方均未提起上诉,目前该案判决已生效。
信息来源:
https://mp.weixin.qq.com/s/NcMpln1g5XGOzvwS2x6h_w
https://mp.weixin.qq.com/s/Lh9QL7gSCZpBxdC_esHGBw
15. 住房城乡建设部办公厅通报房地产中介行业侵犯公民个人信息违法违规典型案例
1月22日,住房城乡建设部办公厅通报5起房地产中介行业侵犯公民个人信息违法违规典型案例。
一、上海德佑房地产经纪有限公司员工非法对外出售公司内部业主信息案。上海德佑房地产经纪有限公司员工陈某、祝某某、马某合谋对外出售公司掌握的房屋业主信息来获利。三人通过马某的员工账号和权限访问公司大数据信息平台,查询并导出挂牌房屋的业主信息,将信息对外出售获取好处费。至案发,陈某从祝某某处获取好处费20万元,陈某给予马某好处费6万元。仅2021年4月,陈某对外发送信息共计12716条。2021年11月,司法机关以侵犯公民个人信息罪判处陈某有期徒刑三年六个月,并处罚金人民币十万元;判处祝某某有期徒刑三年,并处罚金人民币八万元;判处马某有期徒刑一年十个月,并处罚金人民币五万元。
二、房地产经纪从业人员沈某某采取购买、收受、交换等方式非法获取公民个人信息案。2017年至2019年,沈某某先后在无锡畅盛房地产经纪有限公司、无锡沪联房地产经纪有限公司、无锡链铺网络科技有限公司、无锡大玩家房地产营销策划有限公司等从事房产销售相关业务。期间,沈某某采用购买、收受、交换等方式,从周某某等人非法获取多个楼盘业主的公民个人信息,包括小区名称、门牌号、业主姓名、联系电话等,共计78100余条,并提供给他人共计8600余条。2020年12月,司法机关以侵犯公民个人信息罪判处沈某某有期徒刑三年,并处罚金人民币二万元。
三、中山市裕丰房地产咨询有限公司员工非法购买公民个人信息案。2019年9月,中山市裕丰房地产咨询有限公司西区翠景分公司员工黄某,为谋取利益,在添加谭某某微信号后,通过微信转账的方式向谭某某购买大量中山市相关楼盘小区住户的公民个人信息,包括公民姓名、住址、联系电话、房产面积等,共计53590条。2020年6月,司法机关以侵犯公民个人信息罪判处黄某有期徒刑三年,并处罚金人民币五千元。
四、柯某利用“房利帮”网站非法获取、出售业主房源信息案。2016年1月起,柯某开始运营“房利帮”网站并开发同名手机APP,以对外售卖二手房租售房源信息为主营业务。运营期间,柯某对网站会员上传真实业主房源信息进行现金激励,吸引掌握该类信息的房地产中介人员注册会员并向网站提供信息,有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息,共计30余万条,以会员套餐方式出售获利达人民币150余万元。2019年12月,司法机关以侵犯公民个人信息罪判处柯某有期徒刑三年,缓刑四年,并处罚金人民币160万元。
五、湖南省湘西自治州宜居房产经纪服务有限公司蔡某某私自留存业主信息开展业务案。湖南省湘西自治州宜居房产经纪服务有限公司负责人蔡某某在某售楼部从事房地产销售期间,利用职务之便,未经售楼部及业主同意,复印了1095条小区业主姓名、门牌号、房产面积、联系电话等资料。后蔡某某成立湘西自治州宜居房产经纪服务有限公司,利用这些业主信息资料开展房屋中介业务,用于在日常经营活动中给业主打电话,询问房屋是否需要出售、出租等。2022年3月,司法机关以侵犯公民个人信息罪判处蔡某某有期徒刑一年,缓刑一年,并处罚金人民币一千元。
信息来源:
https://www.mohurd.gov.cn/gongkai/zhengce/zhengcefilelib/202401/20240122_776311.html
16. 因未尽消费者个人信息保护义务,上海市网信办依法处罚一批单位
1月29日消息,“亮剑浦江”专项行动期间,上海市区两级网信、市场监管部门已累计检查企业6043家,依法对520余家企业进行约谈,查处各类个人信息保护案件50余件。部分企业虽然已被约谈要求整改或接受过普法培训,仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题。上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。部分典型案例如下:
在收集环节,强制要、过度取个人信息问题依然存在。如,某餐饮企业的外送微信小程序在收货地址填写环节,强制用户同意打开精准位置权限,否则无法添加收货地址,属于对消费者非必要个人信息强制索权。
在存储环节,大量个人信息未加密处于“裸奔”状态。如,某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息;某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息;某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息;某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息;某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息,均未按规定采取加密、去标识化等安全保护措施。
在使用传输环节,企业随意授权放权管理不到位。不少企业在个人信息的使用和传输环节内控制度不严格,存在诸多薄弱问题。如企业内部操作权限设置不合理,在没有授权审批流程的情况下,相关工作人员可以导出包括手机号码在内的用户个人信息,容易导致数据被滥用;有房产中介企业经纪人在查看后台客源信息时,可以看到跨区域的用户手机号码等个人信息。
在管理制度上企业关于个人信息保护措施明显缺失。被处罚的企业普遍存在个人信息保护制度不完善的问题,大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度,部分未按照法律规定确定个人信息保护责任人,建立数据资产管理、数据安全人员管理、数据合作方管理等制度。
在安全防护上网络信息系统存在安全漏洞。被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞,如一家房产中介企业的网络安全高危漏洞达到7个,还有中低危漏洞8个,易被不法分子利用,存在大量数据被泄漏或被窃取等安全风险。
信息来源:
https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA?version=2.5.50001.5476&platform=win
17. 因未履行个人信息保护义务,内蒙古赤峰市喀喇沁旗公安机关对14家机构做出处罚
1月30日消息,因未履行个人信息保护义务,内蒙古赤峰市喀喇沁旗公安机关对14家机构做出处罚。
近期,喀喇沁旗公安机关多次接到辖区居民被装修推销电话骚扰的警情。报警者反映,推销人员对其个人及住房情况非常了解,怀疑其个人信息已遭泄露,担心财产和人身安全。通过侦察,喀喇沁旗公安局捣毁张某为首的以“信息共享”为名侵犯公民个人信息的犯罪团伙,共抓获犯罪嫌疑人18名,查获公民个人信息100余万条,扣押涉案电脑、手机等物品68件。
经查,该犯罪团伙依托涉案的售楼企业、装修公司,通过“买卖、交换”等非法途径获取特定自然人信息,以“数据分筛、介绍客户、品牌融推”等所谓的“信息共享”方式传播扩散,并以此为目标客户进行“精准”业务推销,严重干扰居民正常生活秩序,对公民个人信息安全构成威胁。
经法院审判,犯罪团伙中张某因犯侵犯公民个人信息罪,被处有期徒刑六个月,并处罚金人民币六万元。未构成犯罪的温某、王某、马某等16人,根据《网络安全法》第四十四条、第六十四条第二款之规定,依各违法情节,分别处2千到一万元不等罚款。
公安机关同时开展一案双查,14家相关企业因未全面履行《个人信息保护法》规定的个人信息保护义务,依据该法第六十六条第一款之规定,喀喇沁旗公安网安部门依法责令相关企业进行改正并给予行政警告,对相关责任人员总计罚款6.8万元。
信息来源:
https://mp.weixin.qq.com/s/Rdhx_Npysz-cNYbgIXnDNw?version=2.5.50001.5476&platform=win
18. 因泄露公民个人信息,湖南省衡阳市网信办对某科技公司罚款10万元
1月30日消息,北京某科技公司对其在衡阳所开发应用的网站数据库存在未授权访问的漏洞,泄露公民个人信息,湖南省衡阳市网信办依据《数据安全法》对该科技公司予以行政处罚。
经调查核实,该科技公司于2023年1月开发了一家网站,存储了包含用户姓名、手机号、电子邮箱等在内的大量个人信息。该科技公司在开展数据处理活动时,未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的措施保障数据安全。同时,在开展数据处理活动时未加强风险监测,造成个人信息泄露等问题,该网站存在未履行数据安全保护义务的违法行为。针对以上违法情况,衡阳市网信办依据《数据安全法》第四十五条有关规定,对该科技公司作出责令改正,给予警告,并处人民币10万元罚款的行政处罚。
信息来源:
https://mp.weixin.qq.com/s/CyEh9zB4o9BFUViFGKVcjA?version=2.5.50001.5476&platform=win
19. 因违规收集个人信息,重庆市云阳县网信办对“小世界交友”App作出行政警告处罚
1月31日消息,因违规收集使用个人信息,重庆市云阳县网信办对“小世界交友”App依法作出行政警告处罚。
经查,“小世界交友”App未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式和范围等;违反必要原则,收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;未建立健全应急预案、用户信息保护等相关制度,违反了《网络安全法》《个人信息保护法》等互联网法律法规。云阳县网信办依法约谈该App负责人,责令限期整改,并给予行政警告处罚,严格督促该公司进一步加强App运营管理,落实好个人信息保护、网络数据安全等相关法律法规要求,健全完善相关管理制度,切实履行好网络平台主体责任。
信息来源:
https://mp.weixin.qq.com/s/bKlvW1G3mCQ5696HgOX18g?version=2.5.50001.5476&platform=win
20. 因误导消费者“入会”索要手机号,上海市网信办约谈餐饮连锁企业“半天妖烤鱼”
2月2日,上海市网信办依法约谈“半天妖烤鱼”运营企业上海半天妖餐饮管理有限公司负责人。
根据网民举报并经核实,“半天妖烤鱼”在消费者扫码点餐过程中,微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。上海市网信办要求企业立即整改,对照问题举一反三自查自纠,切实把个人信息保护置于企业运营的重要位置。企业负责人表示,将认真落实网信部门要求,开展全面自查整改,以实际行动维护消费者个人信息权益。
上海网信办表示,2023年“亮剑浦江”消费领域个人信息权益保护专项行动中,其会同市场监管部门围绕“扫码点餐”场景下企业过度收集消费者个人信息问题开展了集中整治。55000余家全国连锁餐饮门店已完成自查整改,但仍有个别企业置若罔闻、心存侥幸,怠于履行个人信息保护义务。
上海市网信办相关负责人指出,“扫码点餐”等小微消费场景不能成为个人信息保护死角,消费者在到店点餐非注册会员情况下无需提供任何个人消息。部分餐饮企业在点餐小程序中设置强制或诱导消费者关注公众号、注册会员,以及收集消费者非必要个人信息等行为,违反了《个人信息保护法》规定的“合法、正当、必要和诚信原则”,侵犯了消费者的知情权与自主选择权。上海市餐饮经营者要按照网信部门指导市消保委会同市餐饮烹饪行业协会制定发布的《上海市网络点餐服务消费者个人信息保护合规指引》要求,在收集、使用、保管消费者个人信息的各个环节提高合规意识和保护水平。全国连锁门店超过100家的大型餐饮企业尤其要做出行业表率。
信息来源:
https://mp.weixin.qq.com/s/ZnRT0E3Q2TB1yHqjOttO-w?version=2.5.50001.5476&platform=win
国内数据治理资讯(2023.12.23-2024.01.05)
国内数据治理资讯(2023.12.09-2023.12.22)
国内数据治理资讯(2023.11.25-2023.12.08)