2022年度国内数据与个人信息保护领域十大执法案例
编者按
随着2021年《数据安全法》《个人信息保护法》的生效,数据与个人信息保护执法工作随之展开。2022年是数据与个人信息保护执法工作完整开展的第一年,众多大案、要案与重要执法行动引发了业内的关注与热议,案件与执法行动背后亦鲜明呈现了国内数据与个人信息保护执法工作日趋成熟化、常态化、严格化与体系化的监管趋势。
以重要度与影响力为标准,我们梳理了2022年度国内数据与个人信息保护领域十大执法案例/行动,供企业了解该领域监管现状,探析监管趋势,参照履行数据与个人信息保护相关合规义务。
TOP1/
国家网信办对滴滴作出网络安全审查行政处罚
关键词:网络安全审查;法律责任严格;双罚制
2022年7月21日,国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。经查明,滴滴公司共存在16项违法事实,以及严重影响国家安全的数据处理活动、拒不履行监管部门的明确要求、阳奉阴违、恶意逃避监管等其他违法违规问题。作为《数据安全法》《个人信息保护法》施行以来监管部门做出的最高额处罚,本案体现了监管部门治理网络安全、数据安全、个人信息保护等领域违法行为的决心,敲响了企业数据合规的警钟。
TOP2/
某电商平台VS周某某个人信息保护纠纷案
关键词:个人信息保护纠纷;个人信息主体行权
周某某系某电商平台用户,因担心个人信息泄露,要求该电商平台向其披露所收集到的其个人信息。该电商平台基于无法核验周某某身份等原因,未对其要求披露的信息清单进行回复。就此,周某某提起诉讼,主张该电商平台的前述不作为构成对其个人信息查阅、复制权的侵害,请求法院排除妨碍、消除危险。广州市中级人民法院判决认为,查阅复制权是《个保法》赋予个人信息主体的一项权利,其行使不以举证证明查阅动机为前提,也不以实名认证为前提,判决要求该电商平台向周某某提供自其注册平台APP之日起至判决发生法律效力之日止,已收集到的相关个人信息以及个人信息处理的相关情况,以供周某某查阅、复制。
本案聚焦个人信息主体行权问题,随着《个人信息保护法》的生效,因信息收集、自动化决策、人脸识别、委托处理、个人信息调取等过程中侵犯个人信息主体权益的行为所引发的纠纷更加多元,个人信息保护类纠纷司法裁判规则逐渐清晰。
案号:(2022)粤01民终3937号
TOP3/
上海Z公司、陈某某等人非法获取计算机信息系统数据案
关键词:首例数据合规不起诉案件;刑事风险;监督评估有效性
本案案发后,Z公司、陈某某等人均认罪认罚,Z公司积极赔偿被害单位经济损失并取得谅解。检察机关针对互联网科创企业的数据合规漏洞,深入开展社会调查,积极引导涉案企业开展数据合规。综合考虑涉案企业行业属性、技术行为合规规则,组建独立、专业的第三方组织,提升涉案企业数据合规监督评估有效性。2022年5月,普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定
点击红色字体,可查阅我们已发布的 :
“当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示(上)”;
“当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示(下)”。
TOP4/
江苏王某涛、董某婷侵犯公民个人信息案
关键词:“三责同追”;全面的法律责任
2021年5月至7月,被告人王某涛在某快递公司工作期间,利用担任快递客服的工作便利,单独或者伙同其妻子被告人董某婷,通过公司系统查询收集大量寄递用户的公民个人信息向他人出售,非法获利24万余元。在刑事和民事责任方面,如皋市检察院以被告人王某涛、董某婷涉嫌侵犯公民个人信息罪提起公诉,并提起刑事附带民事公益诉讼。在行政责任方面,当地邮政管理部门对快递公司负有监管责任,检察机关针对其履职不到位问题发出行政公益诉讼诉前检察建议,邮政管理局组织开展专项整治,后整改到位。本案中,检察机关对于侵犯公民个人信息的犯罪行为开展了“三责同追”工作,个人信息保护执法更为全面的法律责任追究趋势值得关注。
TOP5/
张某诉叮叮咚咚网络侵权纠纷案
关键词:算法误判;侵权责任
叮叮咚咚公司在其运营的企业信用信息查询平台上,将与张某无关的大量信息错误关联至其名下及红彤彤公司,张某及红彤彤公司认为,叮叮咚咚公司的上述行为侵害了其名誉权、个人信息权益,故提起诉讼。法院对于该算法误判行为的技术中立抗辩意见予以反驳,并结合透明度规则和外观主义规则,最终判决支持张某及红彤彤公司的诉讼请求。
本案是广州互联网法院发布的《个人信息保护法》施行一周年个人信息保护典型案例之一,涉及的核心问题为“算法误判”问题,与之关联的案件还包括北京互联网审理的算法误判“杀猪盘”案以及杭州互联网法院审理的平台算法自动化决策案((2020)浙0192民初3081号)等。
可以预见的是,随着算法监管的逐渐深入,算法应用过程中产生的算法误判等纠纷会逐渐增多,司法层面对于算法规制的裁判规则会愈发清晰,算法相关从业者应当予以重点关注。
来源:广州互联网法院
TOP6/
国家网信办对知网启动网络安全审查
关键词:网络安全审查;法律责任严格;双罚制
2022年6月24日,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,网络安全审查办公室对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及重大项目、重要科技成果及关键技术动态等敏感信息。目前,本案的审查结果暂未公布。本次网络安全审查也是继“滴滴事件”后又一值得关注的网络安全审查事件,2022年度网络安全审查类执法工作日趋常态化。
点击红色字体,可查阅我们已发布的 “网络安全审查的前世今生”。
TOP7/
CADENCE v. SYNTRONIC:美国法院对中国《个保法》的法律适用解释
关键词:不同法域的法律冲突;出海企业;《个保法》的长臂管辖
本案中,美国联邦地方法院于证据开示环节驳回了(中国)被告的一项重新考虑之动议,并在法院命令中认定中国《个人信息保护法》并未阻断被告履行美国《民事诉讼法》下的证据开示义务。被告应当按照法院命令继续将位于中国的24台电脑从中国运往美国用于检查。虽然本案中美国联邦地方法院就中国《个人信息保护法》的部分解释值得商榷,但该判决背后不同法域之间的法律冲突,以及出海企业应对域外诉讼及监管的不确定性问题,仍是我国数据与个人信息保护执法司法中未来有待明朗之处。
点击红色字体,可查阅我们已发布的 “案例采撷 | 美国法院解释中国《个保法》,引起法律适用争议”。
TOP8/
2022年度APP执法行动
关键词:APP执法;常态化;APP合规
2022年度,工信部共发布4批《关于侵害用户权益行为的APP通报》,涵盖了违规收集使用、超范围收集个人信息,强制用户使用定向推送功能、APP强制、频繁、过度索取权限、收集个人信息明示告知不到位、欺骗误导强制用户、应用分发平台上的APP信息明示不到位以及SDK违规收集个人信息等侵犯用户权益的行为。2022年工信部还发布了2批《关于APP侵害用户权益整治“回头看”发现问题的通报》,分别针对违规推送弹窗信息、APP过度索取权限等问题以及内存清理类、手机优化类APP进行重点监测,并对2021年发现问题的APP进行了抽测。
此外,国家网信办还在2022年公布了一批侵犯个人信息合法权益的违法违规App的查处情况,主要围绕APP以强制、诱导、欺诈等方式违法违规处理个人信息展开。除工信部以外,包括网信部门在内的监管部门亦开展了多样化的APP执法行动。
整体而言,我国APP执法已步入常态化阶段,APP合规管理重要性凸显。APP运营商应当对用户权益保护工作予以重视,定期组织合规审计,防范化解数据合规风险。
点击红色字体,可查阅我们已发布的 :
“强化监管,路径明确——简述工信部2022第一批侵害用户权益APP通报”;
“监管动态 | 工信部关于APP侵害用户权益的通报(2022年第6批)”。
TOP9/
银保监会办公厅开展银行保险机构侵害个人信息权益乱象专项整治工作
关键词:金融行业监管;重点整治
2022年8月3日,银保监会办公厅下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促银行保险机构建立健全消费者个人信息保护工作机制等。此次专项整治以银行保险机构自查为主,监管部门适时开展抽查和督导,整治的乱象包括个人信息的收集、存储、传输、查询、使用、提供、删除以及与第三方合作等方面,全面覆盖了与消费者个人信息处理相关的业务环节、员工行为和管理流程。
2022年度,多个行业领域开展数据与个人信息保护相关执法行动,其中以金融行业最具代表性,覆盖面更全,监管要求更细,对于金融行业的个人信息保护工作提出了更高的监管要求。
TOP10/
多地网信办发布2022年度汽车数据报送通知
关键词:汽车数据报送;常态化;精细化
2022年,以北京、天津、上海、广东、浙江等为代表的多地网信办均发布了2022年度汽车数据安全管理情况报送通知,并发布了统一的《报送模板》。与2021年度的汽车数据报送工作相比,本年度的报送要求更为精细化,对于汽车数据处理者的报送义务的履行提出了更多的挑战。可以预见的是,从2022年开始,作为地方网信部门年度监管事项的汽车数据报送工作将逐渐常态化,汽车数据处理者应当予以重视,依法配合开展报送工作,并重视本企业的汽车数据合规长远建设工作。
点击红色字体,可查阅我们已发布的 “解读与应对:北京地区2022年度汽车数据报送工作开启”。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注