本文总结了中国网络安全和数据保护领域的前沿资讯,以使您了解最新的发展动向。我们聚焦于监管动态、执法动态和行业动态三个方面。

如果您需要订阅我们关于中国网络安全和数据保护的最新出版物并了解我们举行相关活动,请联系龚钰律师([email protected])。

热点聚焦

在金融监管部门加大对消费者权益保护的监管力度和中国数据保护制度快速发展的背景下,中国银行保险监督管理委员会(以下简称“银保监会”)发布了《银行保险机构消费者权益保护管理办法(征求意见稿)》(以下简称“《办法(征求意见稿)》”),面向公众征求意见。《办法(征求意见稿)》将《个保法》中的数据保护义务纳入其中,同时提出了一系列针对银行业和保险业的特别要求。考虑到《办法(征求意见稿)》即将定稿,银行保险机构应准备好落实《办法(征求意见稿)》中的要求。

中国报道了首个检察机关根据合规评估决定不起诉数据保护和网络安全犯罪的案例。涉嫌数据相关刑事犯罪的企业,符合企业不起诉制度相关要求的,可以向检察机关提出申请。更重要的是,公司应建立健全其数据合规体系,避免出现数据和网络安全漏洞,并在发生违规行为后,积极向相关机关证明其已采取了充分的合规措施。

请您阅读我们以下链接中的文章以了解更多信息。

我们的观点

中国公布首例数据保护和网络安全企业合规不起诉案件

银保监会将加强对消费者个人信息的保护

监管动态

1. 银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》和《银行保险监管统计管理办法(征求意见稿)》

5月19日,中国银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》(简称《消费者权益保护管理办法》)和《银行保险监管统计管理办法(征求意见稿)》(简称《监管统计管理办法》),面向社会公开征求意见。

《消费者权益保护管理办法》就保护消费者信息安全权在以下方面提出了要求:个人信息保护原则、个人信息保护机制、个人信息处理、自动营销、合作方管理、内部审计。《监管统计管理办法》就监管统计资料的管理提出了以下要求:建立监管统计数据质量全流程管理机制,建立满足工作需要的信息系统,加强监管统计资料的存储管理,充分运用数据分析手段。

2. 《信息安全技术 互联网平台及产品服务隐私协议要求》公开征求意见

5月26日,全国信息安全标准化技术委员会(以下简称“信安标委”)发布推荐性国家标准《信息安全技术 互联网平台及产品服务隐私协议要求(征求意见稿)》(简称《要求》),面向社会征求意见。《要求》规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式、修订流程以及相关争议纠纷的处理五方面内容。

3. 4项“APP收集使用个人信息最小必要评估规范”行业标准报批公示

5月7日,工信部发布《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》(简称《规范》)系列4项行业标准报批公示稿。《规范》系列行业标准适用于APP提供者规范用户个人信息的处理活动,其他终端也可参考使用。

4. 《智能手机预装应用程序分类指南》发布

5月11日,信安标委发布TC260-002《智能手机预装应用程序分类指南》(简称《指南》)。《指南》适用于智能手机生产企业的生产活动,也可为监督管理、测试评估提供参考。《指南》将智能手机预装应用程序分为不可卸载和可卸载两种,并明确不可卸载预装应用程序限于实现系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器和应用商店功能,且同一功能预装应用程序至多有一款不可卸载。

​5. 银保监会推动制定保险业数据相关行业标准

5月27日,中国银保监会发布《关于印发保险业标准化“十四五”规划的通知》(简称《通知》)。《通知》提出,在“十四五”期间,保险业将(1)推动业务数据、风险数据、信息披露等领域标准化;(2)推动制定商业保险与医疗、社保部门的数据共享和交换标准;(3)推动保险业风险监管的基础数据标准建设,完善保险业监管数据体系建设;(4)研究制定保险中介业务数据和信息交互标准;(5)制定保险数据分类分级标准,拓展保险业数据和信息交换技术标准。

6. 国家发改委促进健康大数据共享

5月10日,国家发改委印发《“十四五”生物经济发展规划》(简称《规划》)。《规划》提出将推动生物信息产业发展,整合多源异构数据,促进数据共享。《规划》还进一步提出要深化卫生健康大数据在医学科研、教育培训、临床诊疗、产品研发、行业治理、医保支付等方面的应用。

7. 国家发改委正制定数据要素基础制度文件

5月17日,全国政协在京召开“推动数字经济持续健康发展”专题协商会。会上,全国政协委员建议深度挖掘数字要素价值,拓展数字经济发展空间。国家发展改革委副主任表示,目前发改委正在牵头制定数据要素基础制度文件,并将加快推动文件出台。

8. 国家药监局提出加强网络安全综合保障能力

5月11日,国家药监局印发《药品监管网络安全与信息化建设“十四五”规划》(简称《规划》)。《规划》提出“夯实网络安全综合保障能力”等5方面重点任务,并提出了建设国家省两级数据中心、完善网络安全信任体系、完善安全管理运维中心等16个具体任务。

9. 《关于推进实施国家文化数字化战略的意见》提出加强文化产业数据安全

5月22日,中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》(简称《意见》)。《意见》提出了加快文化产业数字化布局等8项重点任务,并进一步要求在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准,构建完善的文化数据安全监管体系,完善文化资源数据和文化数字内容的产权保护措施。

10. 上海立法保障因防疫采集的个人信息不得泄露

5月24日,《上海市人民代表大会常务委员会关于进一步促进和保障城市运行“一网统管”建设的决定》(简称《决定》)发布。《决定》明确出入公共场所、居民小区等场所的人员应当按照规定主动接受个人疫情防控信息核验。信息核验中采集、处理个人疫情防控信息应当遵守个人信息保护相关法律、法规的规定,采集的个人信息仅用于疫情防控需要,任何单位和个人不得泄露。

执法动态

1. 工信部开展工业互联网安全深度行活动

5月13日,工信部印发《关于开展工业互联网安全深度行活动的通知》(简称《通知》),组织开展工业互联网安全深度行活动。根据《通知》,该行动旨在深入宣贯工业互联网安全相关政策标准,健全自主定级、定级核查、安全防护、风险评估等工作机制,推动在全国范围内深入实施工业互联网企业网络安全分类分级管理,指导督促企业落实网络安全主体责任,提升工业互联网安全保障能力。

2. 证监会下发《机构监管情况通报》,通报信息系统安全事件

5月25日消息,近日,证监会机构部下发《机构监管情况通报》(简称《通报》),重点通报了近期发生的多起信息系统安全事件案例。《通报》指出,频发的信息安全事件反映出企业存在(1)合规内控管理不到位;(2)主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系构;(3)运维人员操作规范性不足,未能建立有效的权限管理及复核机制;(4)移动APP开发管理存在短板;(5)安全管理存在漏洞这五方面的问题。

3. 首例“数据合规不起诉案”开展公开听证

5月10日,上海市普陀区人民检察院举行公开听证会,就其拟对某公司涉嫌非法获取计算机信息系统数据案作出的不起诉决定进行讨论。听证会认可该公司已采取了充分的合规措施,同意对涉案单位及人员作出不起诉决定。这是数据保护和网络安全犯罪领域,检察机关根据合规评估作出不起诉决定的首个报道案例。

4. 全国首例短视频平台领域网络“爬虫”案宣判

5月10日,江苏省无锡市梁溪区人民法院以提供侵入计算机信息系统程序罪判处被告人丁某有期徒刑一年六个月,缓刑两年,并处罚金三万元。此案系全国首例短视频平台领域网络“爬虫”案件。据报道,2021年中,丁某对一可爬取公司后台数据和直播间用户相关信息的软件进行重新包装后对外销售,违法获利2.4万余元。

5. 工信部:“双清单”扎牢数据保护篱笆

5月5日消息,近日,工信部相关负责人表示,要开展信息通信服务感知提升行动,督促主要互联网企业建立个人信息保护“双清单”(即个人信息清单和与第三方共享个人信息清单)。

6. 全国首家数据资源法庭正式成立

5月18日,温州市瓯海区人民法院数据资源法庭正式揭牌设立。该数据资源法庭是全国首个以受理数据资源案件为核心业务的专业法庭,实行刑事、民事、行政“三合一”归口审理模式,有助于进一步明确数据生产、储存、使用、交易等各环节的合法性边界。

7. 北京通管局启动2022年电信和互联网行业网络与数据安全检查

5月19日,北京市通信管理局发布通知,宣布启动2022年电信和互联网行业网络与数据安全检查。根据通知内容,本次检查重点聚焦关键信息基础设施和重要信息系统的网络安全、数据安全与个人信息保护工作落实情况。

8. 北京市教委等三部门发布《关于进一步做好教育移动互联网应用程序备案及管理工作的通知》

5月10日,北京市教育委员会等三部门发布《关于进一步做好教育移动互联网应用程序备案及管理工作的通知》(简称《通知》)。《通知》要求,针对教育系统开发且主要用户面向教职工和学生的教育移动应用,应及时在相关备案管理平台(https://app.eduyun.cn/)进行提供者备案,并落实不提供消极信息、不良信息、不得出现游戏链接和广告等要求。《通知》同时明确北京将不再受理学前线上培训教育移动应用备案申请,并撤销已备案的相关移动应用。

9. 国家计算机病毒应急处理中心5月共通报30款存在隐私不合规行为App

5月,国家计算机病毒应急处理中心通过互联网监测共发现30款移动App存在隐私不合规行为。上述移动App主要涉及的问题有:(1)未向用户明示申请的全部隐私权限;(2)App在征得用户同意前就开始收集个人信息;(3)未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件;(4)未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限等问题。

10. 海南省网信办通报4款交友类隐私不合规App

5月24日,海南省网信办通报4款交友类App存在以下问题:(1)用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意;(2)收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;(3)申请收集用户身份证号等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;(4)因用户不同意提供非必要个人信息或打开非必要权限,拒绝提供业务功能。

11. 绍兴银行未按规定保存客户资料等被罚550

5月20日,中国人民银行杭州中心支行公布了一则行政处罚信息。根据该处罚信息,因存在(1)未按规定履行客户身份识别义务;(2)未按规定保存客户身份资料和交易记录;(3)未按规定履行大额和可疑交易报告义务;(4)与身份不明的客户进行交易等4项违规行为,绍兴银行被处罚款550万元。同时,该银行7名相关责任人分别被处罚款1-7万元不等。 

12. 江苏省消保委点名14家新能源车企个人信息使用不当

5月19日,江苏省消费者权益保护委员会发布《新能源汽车行业不公平格式条款调查报告》(简称《报告》),点名14家新能源车企个人信息使用不当。《报告》指出新能源汽车企业协议中存在大量不规范处理个人信息的情形,包括:(1)违反默认不收集原则;(2)收集个人信息明显无必要,(3)不符合自愿授权、正当必要原则;(4)信息安全问题;(5)约定响应时间过长等问题。

13. 广东省消委会:消费记录属于消费者的个人信息,网络运营者应当保护消费者的查阅权和复制权

5月19日,广东省消费者委员会在官网曝光了一则某直播平台拒绝提供用户个人账号消费信息的案例。曝光信息指出,根据《消费者权益保护法》《个人信息保护法》《电子商务法》等法律有关规定,用户在该直播平台的消费记录属于其个人信息,而该直播平台作为处理消费者个人信息的平台经营者,应当尊重消费者的查阅权和复制权。

行业动态

1. 贵州大数据交易所发布全国首套数据交易规则体系

5月27日,贵阳大数据交易所数据交易规则发布会在贵阳举行,发布会发布了全国首套数据交易规则体系。此次发布的数据交易规则体系,涵盖数据要素流通交易规则、数据产品成本评估指引、数据产品交易价格评估指引、数据资产价值评估指引、数据交易合规性审查指南、数据交易安全评估指南、数据商准入及运行管理指南等一系列文件。 

2. 中国首个《个人数据中心白皮书》发布

5月26日消息,2022中国国际大数据产业博览会举办首届“个人数据中心”主题论坛。论坛期间,中国首个《个人数据中心白皮书》(简称《白皮书》)正式发布。《白皮书》涵盖了个人数据中心(PDC)的基本概念、技术构成及应用场景,为推动新业态的新发展提供了路径参考。