本文总结了中国网络安全和数据保护领域的前沿资讯,以使您了解最新的发展动向。我们聚焦于监管动态、执法动态、行业动态和国际动态等四个方面。

热点聚焦 – 对于滴滴等被网络安全审查以及《网络安全审查办法》修订稿的看法

七月初,国家互联网信息办公室(“网信办”)对于滴滴、BOSS直聘和满帮等三家公司开展了网络安全调查,并且在审查期间为“防范风险扩大”停止三家公司继续注册新用户。此外,由于滴滴App存在“严重违法违规收集使用个人信息”的问题,网信办还要求应用商店下架其App。值得注意的是,这三家企业都在今年六月份在美国进行了IPO。

除了已经启动了审查之外,公众可以获得的关于网络安全审查的细节很少。网络安全审查是《网络安全法》(“网安法”)法下的安全保护措施之一旨在通过审查可能影响国家安全的网络产品和服务的采购来确保关键信息基础设施的供应链安全。之所以直到最近一直为采取安全审查措施,其原因之一是关键信息基础设施的范围尚未确定。尽管《网络安全法》要求国务院发布关于保护关键信息基础设施的法规,但目前网信办只在2017年7月发布了一份法规草案。法规草案中要求制定的关于���别关键信息基础设施的指南从未发布。在不知道信息设施是否被视为关键信息基础设施的情况下,几乎不可能将安全审查和所有其他关键信息基础设施相关的保护措施付诸实施。国务院似乎已经认识到了这一点,并将关键信息基础设施保护法规列入了2019、2020年和2021年的立法工作计划。我们希望这一法规能在今年最终发布。

在缺少关键信息基础设施识别指南的情况下,这里的第一个问题是滴滴是如何被识别为关键信息基础设施的运营商。尽管它可能符合网安法中关于关键信息基础设施一般定义所规定的标准,但我们认为至少应该遵循一定的识别程序从而证明这一决定的合理性,并且目前尚不清楚在网信办作出安全审查决定之前滴滴是否已经知道其被视为关键信息基础设施运营商。

另一个问题是滴滴采购的哪些网络产品或服务影响了国家安全。)网信办的公告中并没有指明,网信办如何解释和评估采购对于国家安全的影响仍有待观察。

此外,还有关于强制措施的问题。网络安全审查法规并未授权网信办在启动审查同时时采取任何强制措施。就处罚而言,如果关键信息基础设施运营者使用未经许可的产品或者服务,网安法仅允许有关主管部门责令关键信息基础设施运营者停止使用相关网络产品或者服务,对关键信息基础设施运营者处采购金额10倍以下罚款,对负责人员处100,000元以下罚款。。网安法规定有关机关可以在发生网络安全事件时要求网络运营者采取技术或者其他措施防止危害扩大。本案中,滴滴被责令停止注册新用户,网信办有可能依据这一点采取的强制措施,然而其通知中并未提及网络安全事件的发生。

由于《数据安全法》(“数安法”)尚未生效,因此,对于任何有关滴滴的数据(特别是重要数据)处理活动的指控,网信办都无法援引《数据安全法》的规定采取任何措施。数安法所设计的有关数据处理活动的国家安全审查制度还远未付诸实施。网信办也并没有其公开决定中说明其要求滴滴应用程序从应用商店下架所依据的法律法规。考虑到《个人信息保护法》尚未颁布,该决定很可能仍然是基于网安法以及有关App处理个人信息的一些规定。

如前所述,网信办所做出决定的事实基础仍不明确。值得一提的是,目前在网络安全和数据保护方面,有关主管部门采取执法行动实际上可以依据的生效法律和法规数量仍然非常有限。从执法角度看,《网络安全法》和《网络安全审查办法》是目前最方便使用的法规。

网信办似乎已经认识到当前法规的匮乏。2021年7月10日,网信办发布了修订之后的《网络安全审查》草案,并向社会征求意见。值得注意的是,该修订稿将网络安全审查的范围扩大到了数据处理者开展可能影响国家安全的数据处理活动。该范围的扩大显然是为了实施数安法下所提出的数据处理活动相关的国家安全审查。

该修订稿特别关注处理核心数据、重要数据和大量个人信息的公司在国外上市的情形。任何掌握超过100万用户个人信息的运营者都必须在国外上市前向网信办申请进行网络安全审查。网信办将评估关键信息基础设施、核心数据、重要数据或大量个人信息在运营者国外上市之后被外国政府”影响、控制或者恶意利用“的风险。修订稿还将中国证券监督管理委员会(“证监会”)增列为负责审查的部委之一。

该修订稿显然意图监管滴滴等已经或计划在国外上市并同时在中国国内处理大量个人信息、重要数据甚至是核心数据的公司。一个重要的问题是,如果一家公司的国外上市在网络安全审查之后被认为影响了国家安全,那么网信办和证监会将采取何种行动,比如该公司是否会被勒令退市。对于计划在国外上市的公司,网络安全审查将对于上市过程带来很大不确定性,并可能对于公司选择上市地的决定产生影响。

一个有趣的问题在于,香港上市是否属于网络安全审查的范围。该修订稿使用了“国外上市”的概念,而不是在证券法规项下经常使用的“境外上市”的概念(通常包括香港上市)。目前尚不清楚这一区别是否意味着香港上市将被排除在审查范围之外,网信办应当在最终版本中做出澄清。

数据处理和网络安全合规现在正受到政府更严格的审查。尽管围绕滴滴等的决定仍然存在很多的问题且新修订的《网络安全审查办法》仍处在草案阶段,但考虑到即将到来的《数据安全法》、《个人信息保护法》以及相关实施规定,毫无疑问公司(特别是科技公司)应该更多地关注数据和网络安全法的合规情况。处理重要数据和大量个人信息或者运营关键信息基础设施的公司更应当关注网信办的法规和行动。

我们的观点

如果您想更多地了解网络安全审查,请点击以下链接阅读我们2020年6月发布的关于《网络安全审查办法》的文章。

《网络安全审查办法》强化中国网络供应链安全

如果您想更多地了解最新颁布的《数据安全法》,请点击以下链接阅读我们的评论。

关于《数据安全法》你所需要理解的关键内容

监管动态

1.   《数据安全法》颁布,将于9月1日起生效

2021年6月10日,第十三届全国人大常委会三读通过《数据安全法》,该法将于2021年9月1日起施行。相比二审稿,该法最终版的重要修改包括:(1)提出了国家数据安全工作协调机制(“机制”),该机制将由中央国家安全领导机构建立,将协调有关部门制定重要数据目录、加强关于风险信息的获取、分析、研判、预警工作。(2)引入了国家“核心数据”的新概念,即与国家安全、国民经济命脉、重要民生和重大公共利益相关的数据。核心数据将受到更严格的保护。(3)个人信息处理活动不仅需符合个人信息保护法律法规的规定,还需遵守《数据安全法》。

2.   《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见

6月22日,工信部发布《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》,向社会公开征求意见。该《通知》内容包括加强车联网网络安全防护,加强平台安全防护,保障数据安全,强化安全漏洞管理四个方面,旨在指导基础电信企业、车联网运营企业、智能网联汽车生产企业加强车联网(智能网联汽车)网络安全管理工作,加快提升网络安全保障能力,促进车联网(智能网联汽车)产业规范健康发展。

3.   《关于加强车联网卡实名登记管理的通知(征求意见稿)》公开征求意见

6月11日,工信部发布《关于加强车联网卡实名登记管理的通知(征求意见稿)》,向社会公开征求意见。该《通知》提出,工信部负责全国车联网卡实名登记工作的组织管理和统筹推进,道路车辆企业按照行业主管部门有关要求负责本企业生产、销售车辆所载车联网卡的实名登记工作,建立严格的车联网卡采购、使用、实名登记等管理制度,建设车联网卡实名登记管理平台,健全用户信息保护制度。《通知》还指出,电信企业应加强车联网卡基础资源管理。

4.   《车联网(智能网联汽车)网络安全标准体系建设指南》公开征求意见

6月21日,工信部发布《车联网(智能网联汽车)网络安全标准体系建设指南》,向社会公开征求意见。《指南》指出,要着力构建车联网(智联网联汽车)网络安全标准体系,为保障车联网产业安全可持续发展提供标准支撑,到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系。《指南》具体阐述了车联网(智能网联汽车)网络安全标准体系建设思路、建设内容和组织实施方案。

5.   《互联网医疗健康信息安全管理规范(征求意见稿)》公开征求意见

6月4日,国家卫生健康委统计信息中心发布《互联网医疗健康信息安全管理规范(征求意见稿)》行业标准。它规定了互联网医疗健康信息安全管理总体框架、信息安全相关方管理、信息安全过程管理、信息安全数据管理、信息安全技术管理和信息安全组织管理的规范和安全要求,适用于组织、个人在中国境内开展互联网医疗健康活动所遵循信息安全管理。

6.   《广播电视网络安全等级保护基本要求》报批稿公示

6月21日,国家广播电视总局科技司将已通过全国广播电影电视标准化技术委员会审查的报批稿《广播电视网络安全等级保护基本要求》进行公示。《广播电视网络安全等级保护基本要求》由国家广播电视总局组织相关单位制定,规定了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

7.   两高一部发布关于办理电信网络诈骗等刑事案件适用法律若干问题的意见

6月17日,最高人民法院、最高人民检察院、公安部发布关于办理电信网络诈骗等刑事案件适用法律若干问题的意见。《意见》对电信网络诈骗犯罪地的认定、并案处理情形、非法持有他人信用卡、诈骗罪、侵犯公民个人信息罪、伪造身份证件罪的认定等进行了明确规定,有利于进一步明确法律标准、进一步依法严厉惩治电信网络诈骗犯罪。

执法动态

1.   网信办通报129款APP违法违规收集使用个人信息

6月11日,网信办通报Keep、悦跑圈、小米运动、今日头条、腾讯新闻、Nike、珍爱网等129款公众大量使用的APP,范围涵盖运动健身、新闻资讯、网络直播、应用商店、女性健康等。这些APP存在违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息、未经用户同意收集使用个人信息、未提供个人信息删除更正功能和投诉举报渠道等违规情况。

2.   工信部关于侵害用户权益行为的APP通报

6月8日,工信部发布关于侵害用户权益行为的APP通报(2021年第5批,总第14批)。此前,工信部组织第三方检测机构对手机应用软件进行检查,要求相关企业进行整改。截至6月8日,仍有291款APP未完成整改,存在违规收集个人信息等问题。上述APP应在6月16日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。

3.   北京市四部门联合开展2021年度App网络安全专项治理

6月12日,北京市委网信办、北京市公安局、北京市市场监管局、北京市通信管理局发布关于开展北京市2021年度App网络安全专项治理的通告,决定自发布本通告之日起至11月,在全市范围内组织开展App违法违规收集使用个人信息专项治理行动,要求pp运营者依法依规收集使用个人信息,对获取的个人信息安全负责,采取有效措施加强个人信息保护。本次专项行动重点依据《网络安全法》《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》《关于印发〈常见类型移动互联网应用程序必要个人信息范围规定〉的通知》等相关法律法规规定,深入治理App运营者违法违规收集使用个人信息的行为。

4.   浙江省四部门联合开展2021年度App违法违规收集使用个人信息专项治理

6月1日,浙江省互联网信息办公室、浙江省公安厅、浙江省市场监管局、浙江省通信管理局发布关于联合开展浙江省2021年度APP违法违规收集使用个人信息专项治理的公告,决定自 2021年6月至2021年12月,联合开展2021年度App违法违规收集使用个人信息专项治理工作。聚焦用户量大、与民众生活密切相关或网民举报集中的App。对存在违法违规收集使用个人信息、引起个人信息泄露等安全隐患的APP开展专项整治工作。

5.   工业和信息化部、公安部发布关于依法清理整治涉诈电话卡、物联网卡以及关联互联网账号的通告

6月2日,工业和信息化部、公安部发布关于依法清理整治涉诈电话卡、物联网卡以及关联互联网账号的通告,要求凡是实施非法办理、出租、出售、购买和囤积电话卡、物联网卡以及关联互联网账号的相关人员,自本通告发布之日起,应停止相关行为,并于2021年6月底前主动注销相关电话卡、物联网卡以及关联互联网账号,依法严厉打击非法办理、出租、出售、购买和囤积电话卡、物联网卡以及关联互联网账号的行为。

行业动态

1.   车联网身份认证和安全信任试点工作启动

6月8日, 工信部办公厅发布关于开展车联网身份认证和安全信任试点工作的通知。试点方向包括车与云安全通信、车与车安全通信、车与路安全通信、车与设备安全通信四个方面。基础电信企业、互联网企业、汽车生产企业、电子零部件企业等单位可以申报车联网身份认证和安全信任试点,工业和信息化部遴选符合要求的项目开展试点工作。试点单位要落实网络安全主体责任,健全完善企业网络安全管理制度,落实网络安全防护要求。

2.   电商平台企业承诺将严格落实垃圾信息治理相关要求

6月11日,工信部信息通信管理局召开行政指导会,警示电商平台企业规范营销短信发送行为,强化行业自律。阿里巴巴、京东、拼多多等主要电商平台企业郑重承诺将严格落实垃圾信息治理相关要求,全面自查自纠,并完善管理制度、优化用户服务,确保在短期内取得实效,不断提升广大用户的获得感、幸福感、安全感。

国际动态

1.   拜登签署《关于防范外国对立方侵犯美国人敏感数据的行政命令》

6月9日,拜登总统签署《关于防范外国对立方侵犯美国人敏感数据的行政命令》,决定撤销并取代3项以禁止与抖音(TikTok)、微信(WeChat)和其他8种通讯和金融技术软件应用程序进行交易为目标的行政命令。该决定主要包括以下三项内容:俾使美国采取有力措施保护美国的敏感数据;为识别可能造成不可接受之危险的软件应用程序制定标准;进一步制定有关方案,保护敏感个人数据,防范某些相连软件应用程序构成的潜在威胁。

2.   EDPB和EDPS对欧盟AI条例发布联合意见书

6月18日,EDPB和EDPS针对欧盟提出的《关于“欧洲议会和理事会条例:制定人工智能的统一规则(人工智能法案)并修订某些联盟立法”的提案》发布了联合意见书。在该联合意见书中,EDPB和EDPS提出:呼吁在任何情况下,均应全面禁止在公共场所使用人工智能自动识别人类特征——例如人脸,但也包括步态、指纹、DNA、声音等其他生物识别或行为信号。

3.   EDPB发布关于标准合同条款“补充措施”指南2.0版

6月18日,EDPB针对欧盟于6月4日公布的《关于向第三国转移个人数据的标准合同条款(2021年最终版)》更新了补充措施指南,这两份文件是作为欧盟法院 "Schrems II "裁决的后续行动而通过的。其为帮助发送方完成评估第三国的复杂任务,提供了一系列可遵循的步骤、潜在的信息来源以及一些可实施的补充措施的例子。

4.   欧盟认可英国数据保护规则

6月28日,欧盟承认英国的隐私规则与欧盟规则相称,这一关键举措将使欧盟和英国的数据流动在脱欧后继续进行。与此同时,欧盟加了了一项“日落条款”,为该决定设置了4年的有效期。如在此期间,英国在数据标准上与欧盟产生重大分歧,则欧盟委员会可能会进行干预。

5.   HiQ抓取领英用户资料一案被要求重审

6月14日,美国最高法院要求下级法院重审hiQ抓取领英用户资料一案。此前的裁决认为,领英不应禁止竞争对手hiQ Labs从领英用户公开的个人资料中收集用户信息。领英认为,运用“机器人”对用户资料进行大规模抓取会严重威胁用户隐私。而对手hiQ Labs则辩称,自己并未出售用户信息,领英的诉讼目的是垄断公共数据,会伤害互联网的开放和创新。尽管hiQ Labs未出售抓取的用户信息,但对领英来说,数据被各种爬虫工具抓取导致的“用户隐私风险”确实存在。今年4月,有媒体报道,从5亿份领英简历中抓取的数据存档在一个黑客论坛上被出售。

6.   谷歌计划于2023年底移除第三方Cookie

6月25日(美国当地时间周四)谷歌宣布,其Chrome互联网浏览器将在2023年底之前停止支持一种名为第三方cookies的用户追踪技术,这比其最初设定的2022年初时间框架晚了将近两年。在隐私监管机构和倡议人士的压力下,谷歌之前宣布将移除cookies,广告行业的许多公司都使用cookies来追踪个人和定向投放广告。谷歌表示,这一延后将让出版商、广告行业和监管机构有更多时间熟悉其正在开发和测试的新技术,以在cookies退场之后继续投放定向广告。