速览•大数据法律资讯|2023年2月(下)
本期目录
一、法规动态
1.证监会发布《证券公司场外业务资金服务接口》等4项金融行业标准
2.国家互联网信息办公室公布《个人信息出境标准合同办法》
3.《2022年北京人工智能产业发展白皮书》发布
4.上海制定《上海市信息基础设施管理办法》
5.深圳发改委发布《数据产权登记管理暂行办法》征求意见
二、行业动态
1.工信部编制《工业和信息化部行政执法事项清单(2022年版)》
2.2023中国互联网发展座谈会在京召开
3.跨境数据流动研讨会发布《企业跨境数据流动安全合规白皮书(2023)》
4.我国发布《全球安全倡议概念文件》,强调深化信息安全领域国际合作
5.国家网信办批准友谊医院、国航2个数据合规出境项目
三、司法案例
1.北京互联网法院|未经同意强制收集用户画像用于定推构成侵权
2.杭州互联网法院典型案例|公共数据商业化利用的合法性边界——浙江某金融服务公司、重庆某小微小额贷款公司与苏州某网络科技公司商业诋毁及不正当竞争纠纷案
四、法律实务
大型平台的个人信息“守门人”义务
★ 一、法规动态
1
证监会发布《证券公司场外业务资金服务接口》等4项金融行业标准
近日,证监会发布《证券公司场外业务资金服务接口》《证券期货业机构内部接口 账户管理》《证券期货业机构内部接口 资讯数据》《证券期货业信息系统渗透测试指南》4项金融行业标准,自公布之日起施行。下一步,证监会将继续推进资本市场信息化建设,着力做好基础标准制定工作,促进行业信息交换、信息安全等领域标准研制,不断夯实科技监管基础。
来源:证监会发布 发布时间:2023/2/10
2
国家互联网信息办公室公布《个人信息出境标准合同办法》
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。
《办法》规定了个人信息出境标准合同(以下简称“标准合同”)的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。
《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。
来源:中国网信网 发布时间:2023/2/24
3
《2022年北京人工智能产业发展白皮书》发布
2月13日,北京市经济和信息化局在北京人工智能产业创新发展大会上,正式发布《2022年北京人工智能产业发展白皮书》。
人工智能日益融入经济发展各个领域,成为推动科技跨越发展、产业优化升级、生产力整体跃升的重要驱动力量,为新旧动能转换和经济高质量发展提供了有力支撑。北京市以加快建设国家人工智能创新应用先导区为重点,积极探索人工智能产业发展的新模式、新路径,在科技创新、融合应用、生态环境建设、体制机制创新等方面取得了显著进展。
来源:北京市经济和信息化局 发布时间:2023/2/13
4
上海制定《上海市信息基础设施管理办法》
《上海市信息基础设施管理办法》(以下简称《办法》)已经2023年1月9日市政府第190次常务会议通过,2月15日向社会公布,自2023年3月1日起施行。
《办法》规定:一是要统一规划,明确由市经济信息化部门会同市通信管理、广播电视等部门组织编制信息基础设施发展规划和专项规划;二是要集约建设;三是资源共享。
针对实践中信息基础设施运营维护环节存在的问题,《办法》规定一是明晰维护责任,二是明确事先告知,三是设定协议拆除和及时拆除情形。
针对信息基础设施监督执法中出现的问题,《办法》规定一是加强安全保护,二是明确禁止行为,三是加强应急处置,四是强化监督检查。
来源:网信上海 发布时间:2023/2/21
5
深圳发改委发布《数据产权登记管理暂行办法》征求意见
2月20日,深圳市发展和改革委员会就《深圳市数据产权登记管理暂行办法》(征求意见稿)(以下简称“意见稿”)公开征求意见。意见稿明确,登记机构应当运用区块链等相关技术,对登记信息进行上链保存,并妥善保存登记的原始凭证及有关文件和资料。其保存期限不得少于三十年。登记机构及其工作人员依法对与数据产权登记业务有关的数据、文件和资料负有保密义务。《深圳市数据产权登记管理暂行办法》为规范数据产权登记行为,保护数据要素市场参与主体的合法权益,促进数据作为生产要素开放流动和开发利用。
来源:网络法实务圈 发布时间:2023/2/22
★ 二、行业动态
1
工信部编制《工业和信息化部行政执法事项清单(2022年版)》
根据《工业和信息化部全面推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度暂行实施方案》的相关要求,结合有关法律法规依据的制修订情况及行政执法工作实际,工业和信息化部编制了《工业和信息化部行政执法事项清单(2022年版)》。清单中,新增了数据安全相关工业和信息化部行政执法事项清单共计15条(第247-261条),具体包括对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,建立健全全流程数据安全管理制度的行政处罚;对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,采取相应的技术措施和其他必要措施,保障数据安全的行政处罚等。
来源:工业和信息化部
2
2023中国互联网发展座谈会在京召开
2月17日,工业和信息化部党组成员、副部长张云明出席2023中国互联网发展座谈会并讲话。会议强调,党的二十大作出加快数字经济发展、促进数字经济和实体经济深度融合的重要部署,为我国当前和今后一个时期互联网行业高质量发展提供了行动指南和根本遵循。全行业要全面贯彻落实党的二十大精神和中央经济工作会议部署,坚持稳中求进,重点做好加强基础设施建设、加强创新融合引领、加强安全规范保障、加强对外开放合作等四方面工作,促进数字经济和实体经济深度融合,共同谱写互联网行业高质量发展新篇章。
来源:工业和信息化部
3
跨境数据流动研讨会发布《企业跨境数据流动安全合规白皮书(2023)》
2月20日,中国移动研究院(以下简称“中移研究院”)联合中国移动国际有限公司(以下简称“中移国际”)、启明星辰信息技术集团股份有限公司(以下简称“启明星辰”)共同举办跨境数据流动研讨会,发布《企业跨境数据流动安全合规白皮书(2023)》(以下简称《白皮书》),并邀请产学研各界专家围绕构建安全合规有序的跨境数据流动体系进行分析探讨,助力我国企业构建安全、有序、高效的跨境数据流动体系。
跨境数据流动作为维系全球经济活动的重要纽带,在大力推动经济全球化发展的同时,也面临“规则异、识别难、风险高”等安全挑战,如何实现跨境数据流动安全与效益的平衡成为重要目标。《白皮书》的发布,充分展现了中国移动研究院、中移国际、启明星辰共同构建企业跨境数据流动合规保障体系的能力与决心,将为企业提供组织、制度、流程构建等方面的指引,助力跨境数据全流程管理优化,满足跨境数据流动市场需求,提升数据安全防护及业务价值赋能,激发数据应用潜能,实现“通过数据赋能提升企业业务效能”的目标。
来源:中国信息安全
4
我国发布《全球安全倡议概念文件》,强调深化信息安全领域国际合作
2月21日,中国外交部举办蓝厅论坛,发布《全球安全倡议概念文件》。制定发布《全球安全倡议概念文件》对帮助国际社会全面深入理解倡议、积极参与倡议合作,推动倡议早日落地见效具有重要意义。
《全球安全倡议概念文件》共有四个部分,背景、核心理念与原则、重点合作方向、合作平台和机制。安全问题事关各国人民的福祉,事关世界和平与发展的崇高事业,事关人类的前途命运。“六个坚持”彼此联系、相互呼应,是辩证统一的有机整体。其中,坚持共同、综合、合作、可持续的安全观是理念指引,坚持尊重各国主权、领土完整是基本前提,坚持遵守联合国宪章宗旨和原则是根本遵循,坚持重视各国合理安全关切是重要原则,坚持通过对话协商以和平方式解决国家间的分歧和争端是必由之路,坚持统筹维护传统领域和非传统领域安全是应有之义。
来源:中国驻悉尼总领馆
5
国家网信办批准友谊医院、国航2个数据合规出境项目
自2022年9月1日国家互联网信息办公室《数据出境安全评估办法》(以下简称《办法》)正式实施以来,北京市紧紧围绕“两区”建设、全球数字经济标杆城市建设、数字经济全产业链开放等战略规划,细化落实《办法》要求,加强数据出境安全管理,积极推动属地企事业单位依法依规开展数据出境活动。《办法》中设立了为期6个月的整改时限,北京友谊医院和中国国际航空股份有限公司获国家网信办批准,成为全国前两个数据合规出境项目。
成立专班服务指导提升申报水平。北京市互联网信息办公室组建数据出境安全评估工作专班,研究制定风险自评估要点,对各企事业单位提交的申报材料开展辅导审核,逐一反馈修改意见;对表达申报意愿的西门子、京东、苹果、工商银行等142家单位进行申报材料编写政策指导和答疑解惑。
来源:北京市互联网信息办公室
★ 三、司法案例
1
北京互联网法院|未经同意强制收集用户画像用于定推构成侵权
【基本案情】2021年1月15日,在未经原告明确授权同意的情况下,被告擅自收集原告尾号为8688和0038的手机号码,并为原告配置了“51Talk”产品的账号密码,发送至原告手机号码。此外,在未经原告明确授权同意的情况下,被告将其“51Talk”产品中的账号信息在其关联产品“多说英语”app和“哈沃在线外教班课”中超范围使用,也将其“51Talk”产品中的订单信息在其关联产品“多说英语”app中超范围展示和使用。原告认为,被告上述行为已经严重侵害了原告的个人信息权益和私人生活安宁权,违反了《中华人民共和国民法典》第六章“隐私权和个人信息保护”的相关规定,导致原告相关损失。故原告诉至法院。
【法院观点】从相关行业规范上看,《个人信息安全规范》明确规定,个性化决策推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为提供服务的前提。
从涉案软件功能设置本身上看,履行合同所必需的范围,应限定在软件运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能。被告抗辩其针对不同用户需求推送个性化信息,虽可视为增进用户体验之举,但不能据此认定此为基础功能或用户必选功能而作为履行合同所必需。
涉案软件在用户首次登陆界面要求用户提交画像信息,未设置“跳过”“拒绝”等不同意提交相关信息外的登陆方式,使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。
综上,被告收集用户画像信息的行为并非“履行合同所必需”,亦未征得用户有效同意,构成侵权。
同时,被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权,法院判决支持原告行使查询权和复制权。
【裁判结果】最终,法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。
来源:数据安全与隐私计算
2
杭州互联网法院典型案例|公共数据商业化利用的合法性边界——浙江某金融服务公司、重庆某小微小额贷款公司与苏州某网络科技公司商业诋毁及不正当竞争纠纷案
【裁判要旨】使用公开的公共数据无需征得原始数据主体的同意,但使用行为仍需遵守基本的注意义务,防止不当使用给数据原始主体带来不当损害。在公共数据开放和大数据商业模式下,公共数据使用行为仍应受到正当性判断。大数据产品或服务提供者,使用公共数据时,应遵循来源合法原则、注重信息时效原则、保障信息质量原则、敏感信息校验原则。对公共开放数据的不当使用,未能尽到必要的注意义务,导致法人或自然人等原始数据主体的合法利益受损,公共数据使用者应承担相应法律责任。
【基本案情】2019年5月5日、6日,苏州某网络科技公司运营的网络平台通过发布和向特定用户推送的方式,发布了针对重庆某小微小额贷款公司清算的企业信息,引发媒体广泛关注,均围绕重庆某小微小额贷款公司是否存在清算行为进行了报道,还涉及了浙江某金融服务公司及其旗下金融贷款产品。短时间内新闻搜索条数达千万条以上。该条清算信息系某网络平台抓取自全国企业信用公示系统的公共数据,但系重庆某小微小额贷款公司2014年企业年度报告出现的历史信息。经原告申请,杭州互联网法院于2019年6月21日作出诉前行为保全裁定,要求苏州某网络科技公司停止散布与重庆某小微小额贷款公司有关的清算信息,并对推送行为予以澄清。苏州某网络科技公司于2019年7月2日在其官方微信、微博上发表声明,回应了某网络平台审慎不足的相关质疑,认为某网络平台保证信息内容与信息源头一致,做到真正将信息精准且及时地提供给用户。对于针对重庆某小微小额贷款公司的清算信息的推送,相关人员的清算信息是公示系统曾记录在案的,绝非苏州某网络科技公司二次编辑把舆论锚点标在重庆某小微小额贷款公司经营不善之上。
【裁判内容】1.公共数据合法使用原则。对公共数据的利用应当合法、正当,不得损害国家利益、社会利益和其他主体合法权益,特别是不能损害数据原始主体的合法权益。本案中,苏州某网络科技公司通过国家企业信用信息公示系统抓取重庆某小微小额贷款公司的企业信息,虽然数据本身来源于公共数据,但是信息的发布和推送行为应当保持与重庆某小微小额贷款公司企业信息的一致性,即客观公正的反映企业信息,不应因数据来源的公共属性,而损害数据原始主体的商业利益。2.行为不正当性的评价。某网络平台提供的企业数据信息直接指向原始数据主体,某网络平台提供的企业信息查询功能与原始数据主体之间具有唯一的对应关系,将对重庆某小微小额贷款公司的市场竞争利益带来影响,并集中体现在重庆某小微小额贷款公司的商誉权上。苏州某网络科技公司针对重庆某小微小额贷款公司推送企业信息的行为,在数据存在偏差的情况下,将为重庆某小微小额贷款公司带来商誉上的损害,并且影响重庆某小微小额贷款公司的市场竞争优势。因此,苏州某网络科技公司的行为构成不正当竞争。3.从行业现状出发确定责任承担。由于互联网征信行业仍处于发展的起步阶段,相关行业规范尚未成熟,应当以鼓励数据共享流通、兼顾各方利益为原则,并正视海量数据处理的技术困境,合理确定注意义务。
综上,杭州铁路运输法院于2020年4月26日作出一审判决,判决苏州某网络科技公司赔偿浙江某金融服务公司、重庆某小微小额贷款公司经济损失及合理费用60万元,并为其消除影响。2020年12月2日杭州中院二审维持原判。
来源:杭州互联网法院
★ 四、法律实务
大型平台的个人信息“守门人”义务
【来源】法律科学期刊
【作者】姚志伟,广东财经大学教授
【摘要】
《个人信息保护法》第58条规定了大型平台的个人信息保护特别义务,即“守门人”义务,该条款也可以称为“守门人”条款。“守门人”条款在《个人信息保护法》的体系中具有显著的特殊性,《个人信息保护法》以规制个人信息处理者的个人信息处理行为为中心;但第58条规制对象是大型平台,大型平台在第58条语境下并非个人信息处理者,而是一种管理者的角色。第58条仅规制大型平台对平台内经营者的管理行为,而不规制其自身的个人信息处理行为。这种特殊性对第58条的解释产生了很大的影响,尤其体现在大型平台违反第58条的法律责任上。《个人信息保护法》的法律责任部分是针对个人信息处理行为进行设计的,大型平台违反第58条时,其法律责任的确定不能简单套用相关条文。
一、《个人信息保护法》第58条仅规制大型平台的管理行为
二、《个人信息保护法》中“守门人”义务主体的界定
三、《个人信息保护法》中停止提供服务义务的履行
四、对平台内经营者的救济
五、大型平台违反《个人信息保护法》第58条法律责任的特殊性
★
「大数据法律资讯」由青岛市大数据发展促进会
法律顾问山东文康律所陈洁律师团队供稿
本期内容编辑:葛静芳 庞安娜
如有法律问题咨询,请致电13325011949或
发送邮件至chenjie@wincon.cn
往期回顾
扫码关注我们
青岛市大数据发展促进会
地址:青岛市徐州路77号
电话:0532-58559857