本文总结了中国网络安全和数据保护领域的前沿资讯,以使您了解最新的发展动向。我们聚焦于监管动态、执法动态、行业动态和国际动态等四个方面。

热点聚焦

经过一年密集的执法活动,国家网信办及其他三部门联合下发了关于认定App是否违法违规收集个人信息的规定。 该规定将帮助公司评估其App是否违法数据保护法规并了解有关有部门评估App及做出认定的依据。

国家网信办还发布了首部旨在治理网络有害内容的法规。该法规禁止网络信息内容的生产者、服务平台和服务使用者制作、传播,复制和发布有害信息。

国家密码管理局发布了旨在澄清《密码法》(点击此处 阅读我们有关该部法律的文章)生效后密码管理问题的两则公告:(一)现有的完全基于许可的商用密码进出口管理制度将继续有效直到新的商用密码进口许可和出口控制清单发布为止;且(二)自2020年1月1日起原有强制性的《商用密码产品型号证书》将被基于自愿的认证制度所取代,认证将由第三方检测和认证机构进行。

1. 网信办等四部门联合发布《App违法违规收集使用个人信息行为认定方法》

11月28日,针对移动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息的违法违规现象,网信办等四部门联合印发《App违法违规收集使用个人信息行为认定方法》(以下简称“《方法》”)。《方法》把法律法规的一般要求细化为更具可操作性的规范,对以下六种主要违法情形做出了具体规定:(1)未公开收集使用规则;(2)未明示收集使用个人信息的目的、方式和范围;(3)未经用户同意收集使用个人信息;(4)违反必要原则,收集与其提供的服务无关的个人信息;(5)未经同意向他人提供个人信息;(6)未按法律规定提供删除或更正个人信息功能,或未公布投诉、举报方式等信息。《方法》的出台既填补了操作规则上的空白,又为App运营者自查自纠提供指引,为监督执法提供参考。

2. 网信办发布《网络信息内容生态治理规定》

12月15日,网信办发布《网络信息内容生态治理规定》(以下简称“《规定》”),自2020年3月1日生效。《规定》主要包括以下亮点:(1)注重从源头改善信息内容生态结构,首次以网络生态治理理念来统领互联网信息内容治理的各个层次、环节,进一步细化了网络安全法中对互联网内容的一些概括性要求,如对于生产者规定了鼓励、禁止和防范的信息内容类型;(2)分别对网络信息内容生产者、服务平台及服务使用者的义务和责任作出相应规定,如要求服务平台建立网络信息内容生态治理机制,强调以上主体不得开展网络暴力、人肉搜索、深度伪造、流量造假、操纵账号等违法活动;(3)强调各机关之间的合作,要求各级网信部门会同有关主管部门建立健全信息共享、联合执法等工作机制,建立网络信息内容服务平台违法违规行为台账管理制度,建立政府、企业、社会、网民等主体共同参与的监督评价机制。

3. 国家密码管理局等三部门发布第38号公告

12月30日,国家密码管理局、商务部及海关总署联合发布了第38号公告,目的是在《密码法》生效之后,至商用密码进口许可清单及出口管制清单(以下简称“清单”)公布实施之前,为商用密码进出口管理工作提供过渡与衔接。具体内容为:(1)清单公布前,商用密码进出口暂按目前公布的许可条件和程序依法实施进出口许可管理;(2)清单公布后,将由商务部、国家密码管理局、海关总署另行发布公告,对商用密码实施进口许可和出口管制。

4. 国家密码管理局、市场监管总局发布《关于调整商用密码产品管理方式的公告》

12月30日,市场监管总局、国家密码管理局发布《关于调整商用密码产品管理方式的公告》(简称“第39号公告”)作为《密码法》的配套规定,取消了“商用密码产品品种和型号审批”,统一推行商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证。自2020年1月1日起,国家密码管理局不再受理商用密码产品品种和型号申请,停止发放《商用密码产品型号证书》。自2020年7月1日起,已发放的《商用密码产品型号证书》自动失效。

5. 央行发布《中国人民银行金融消费者权益保护实施办法(征求意见稿)》

12月27日,央行发布《中国人民银行金融消费者权益保护实施办法(征求意见稿)》(以下简称“《征求意见稿》”)。《征求意见稿》专章对消费者金融信息保护制度、信息收集使用的原则、金融消费者权利等做出了规定,主要内容包括:(1)金融机构收集、使用消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者明示同意;(2)金融机构不得以格式条款、通知、声明、告示等方式排除或限制金融消费者依法对其金融信息进行查询、删除、修改的权利;(3)金融机构应当建立以分级授权为核心的消费者金融信息使用管理制度;(4)收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择。

6. 《民法典(草案)》专章规定“隐私权及个人信息保护”

12月28日,民法典(草案)公开征求意见。此次人格权编草案完善了隐私的含义,草案三审稿规定:隐私是自然人不愿为他人知晓的私密空间、私密活动和私密信息等。

7. 工信部发布《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)

12月17日,工业和信息化部发布《工业互联网企业网络安全分类分级指南(试行)》征求意见稿(以下简称“《指南》”)。《指南》针对应用工业互联网的工业企业(简称“联网工业企业”)的网络安全分级进行规范,主要内容为:(1)确立了网络安全分级三原则:一是企业分级与行业网络安全影响程度相关联,二是行业指导与地方监管相结合;三是企业自评与属地核查相结合;(2)明确联网工业企业分级主要考虑的因素,如企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度等;(3)对于具有多种属性的企业,按其业务活动涉及的不同属性分别定级。

8. 央行发布《移动金融客户端应用软件安全管理规范》

12月4日,据WEMONEY报道,针对移动金融客户端应用软件管理,央行已印发《移动金融客户端应用软件安全管理规范》(以下简称《规范》)。在个人金融信息保护方面,《规范》提出四方面要求:(1)收集、使用个人金融信息时应遵循合法、正当、必要的原则,明示收集的目的、方式和范围,并经用户同意;(2)应采取数据加密、访问控制、安全传输、签名认证等措施;(3)信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息;(4)不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。另外,《规范》还强调各金融机构要建立健全客户端软件风险监测管理机制,完善客户端软件投诉处理机制,强化行业自律管理。

执法动态

1. 网信办约谈视觉中国网站、IC photo网站负责人,要求全面整改

12月10日,国家网信办指导各地方网信办分别约谈视觉中国、IC photo网站负责人,责令两家网站立即停止违法违规行为,全面彻底整改。网信办负责人指出,上述两家网站违反了国家互联网有关法律法规和管理要求,在未取得互联网新闻信息服务许可情况下从事互联网新闻信息服务,在未经安全评估情况下与境外企业开展涉及互联网新闻信息服务业务的合作,严重扰乱网络传播秩序。

2. 工信部通报第一批侵害用户权益行为APP

12月19日,工信部通报了第一批侵害用户权益行为的APP。截至通报发布日,尚有包括QQ、QQ阅读、新浪体育、搜狐新闻在内的41款APP存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题,未完成整改。所列APP应在12月31日前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。

3. 工信部就垃圾信息问题集体约谈18家移动转售企业

11月29日,工业和信息化部信息通信管理局针对部分移动转售企业垃圾信息严重扰民问题,集体约谈了包括小米科技在内的18家移动转售企业。通信管理局严肃指出,部分移动转售企业罔顾企业主体责任,漠视用户利益,治理垃圾信息不力,影响十分恶劣。

4. APP专项治理工作组:《关于61款APP存在收集使用个人信息问题的通告》

12月20日,APP专项治理工作组在其微信公众号上发布《关于61款APP存在收集使用个人信息问题的通告》,通告显示,链家、招商银行掌上生活等57款APP存在收集使用个人信息问题,另有4款APP尚未完成整改。存在的问题主要包括:(1)既未经用户同意,也未做匿名化处理,通过客户端嵌入的SDK向第三方提供用户设备IMEI号、地理位置等个人信息;(2)申请打开电话、存储、位置等可收集个人信息的权限时,未同步告知用户其目的;(3)用户明确表示不同意打开位置权限后,仍频繁征求用户同意,干扰用户正常使用。 

行业动态

1. 交通运输部印发《推进综合交通运输大数据发展行动纲要(2020—2025年)》

12月9日,交通运输部发布了《推进综合交通运输大数据发展行动纲要(2020—2025年)》(以下简称“《纲要》”),为推动大数据与综合交通运输深度融合,提出了五项主要目标:夯实大数据发展基础、推进大数据共享开放、推动大数据创新应用、加强大数据安全保障、完善大数据管理体系。针对大数据安全保障,具体提出以下两方面要求:(1)完善数据安全保障措施。推进交通运输领域数据分类分级管理,加强重要数据和个人信息安全保护,制定数据分级安全管理、数据脱敏等制度规范;(2)保障国家关键数据安全。全面识别梳理交通运输领域国家关键数据资源,将重要数据保护纳入交通运输关键信息基础设施安全规划。

2. 公安部发布《2019年网络犯罪防范治理研究报告》

12月13日,公安部第三研究所网络安全法律研究中心与百度联合发布《2019年网络犯罪防范治理研究报告》,报告分为四部分:一是网络黑产的规模和分布,2018年每分钟因网络犯罪导致的经济损失高达290万美元;二是传统网络犯罪类型及特征,包括电信诈骗、恶意程序、流量劫持、DDoS攻击、侵犯公民个人信息等;三是新技术、新业态下的网络犯罪类型及特征,包括AI类、直播类、短视频类黑灰产;四是网络黑产的治理建议。

3. 全国人大常委会法工委:2020年将制定个人信息保护法、数据安全法

12月20日,全国人大常委会法工委发言人岳仲明在记者会上称,中国明年将制定个人信息保护法、数据安全法等,2020年的立法工作计划已经在全国人大常委会第四十四次委员长会议原则通过,其中包括备受关注的《个人信息保护法》和《数据安全法》。

4. 信通院发布《中国-东盟网络安全产业发展现状研究报告》

12月26日,中国信通院发布《中国-东盟网络安全产业发展现状研究报告》,作为首部主要关注国际合作的安全领域的白皮书,主要包括中国-东盟安全产业发展态势、中国网络安全产业现状、东盟网络安全产业现状、中国-东盟合作面临的问题与机遇、启示与建议等五方面内容。从市场合作、技术交流、人才发展等方面整理概括了目前中国与东盟国家网络安全合作发展态势,并在在技术提升,机制搭建、优化生态等方面均提出了务实合作建议,为深入推动与东盟网络安全产业合作发展提供了参考。

国际动态

1. 澳门《网络安全法》正式实施

12月22日,澳门特别行政区起正式实施《网络安全法》,主要内容包括网络安全管理活动的参与主体、网络安全体系的组织框架、网络安全义务及行政处罚制度等,该法成为构建澳门网络安全防范性管理体系的法律基础。此外,澳门网络安全事故预警及应急中心,也于同日开始投入运作。

2. 印度《个人数据保护法案》进入议会审议程序

12月4日,印度联邦内阁批准了《个人数据保护法案》,将提交冬季议会会期审议。该法案涉及个人数据的收集、存储及处理,强调用户同意原则,并对违法行为的有关罚则作出了规定,为个人数据保护提供了框架性的指引。法案将数据分为三类:(1)关键数据,印政府将视情况确定哪些数据为关键数据,并仅能在���度进行存储处理;(2)敏感数据,与健康、宗教、政治信仰、性取向、金融信息等有关的数据(2019年法案删除了密码),仅能存储在印度,在境外处理需获得相关方明确同意;(3)普通数据,除以上两类以外的数据。法案还赋予数据主体被遗忘权以及删除、更正和移植数据的权利。违反法案的公司将受到最低5000万卢比或其全球收入的2%、最高1.5亿卢比或其全球收入4%的处罚,其负责人将面临最高3年的监禁。

3. 欧盟数据保护委员会发布《依据GDPR在搜索引擎案例中适用被遗忘权的标准》指南

12月11日,欧盟数据保护委员会发布了《依据GDPR在搜索引擎案例中适用被遗忘权的标准》(Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1),以下简称“《指南》”)的征求意见稿,意见征求的截止日为2020年2月5日。该《指南》旨在为以下两个问题提供指引:(1)被遗忘权的基础,即个体对包含其个人数据的网页链接提交被遗忘权请求的权利基础是什么;(2)被遗忘权的例外,即搜索引擎运营商可以依据何种例外情形而拒绝该类请求。

4. FTC正式裁定:剑桥分析以欺骗方式获取Facebook用户数据而影响大选投票

美国当地时间12月6日,美国联邦贸易委员会(FTC)在官网发布公告,正式裁定Facebook数据泄露事件中的剑桥分析公司(Cambridge Analytica)通过欺骗性的方式获取了数千万Facebook用户的个人信息,并用来影响他们在美国大选中的投票行为。此外,根据FTC发布的指令,剑桥分析公司必须删除其从Facebook用户那里收集的所有数据,并且今后不得对其收集数据的方式作出虚假陈述。