本文总结了中国网络安全和数据保护领域的前沿资讯,以使您了解最新的发展动向。我们聚焦于监管动态、执法动态、行业动态和国际动态等四个方面。

监管动态

1. 国家网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》

11月20日,国家网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》。《办法》对发布涉及计算机病毒、网络攻击、网络侵入、网络安全事件等可能威胁网络正常运行活动的相关安全威胁信息,以及包括系统漏洞、网络风险等在内的可能暴露网络脆弱性的安全威胁信息,从发布内容、发布流程、发布方法等方面,对研究机构、网络安全厂商、个人研究者,以及信息发布平台运营单位做出了较为具体的规范。

2. 教育部发布《教育移动互联网应用程序备案管理办法》

11月11日,教育部印发《教育移动互联网应用程序备案管理办法》,要求各单位要在2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作。《办法》对教育移动应用做出了定义,并将备案分为了教育移动应用提供者备案和使用者备案:提供者备案应按照“全国统一标准、各省分头实施、单位属地备案”的原则实施,提供者应在完成互联网信息服务(ICP)备案和网络安全等级保护定级备案后,进行提供者备案;使用者备案则根据隶属关系向主管教育行政部门备案,自主开发、自主选用和上级部门要求使用的教育移动应用均应进行使用者备案。

3. 国家新闻出版署发布《关于防止未成年人��迷网络游戏的通知》

10 月25 日,国家新闻出版署发布《关于防止未成年人沉迷网络游戏的通知》,《通知》从六个角度提出了防止未成年人沉迷网络的对策:一是推行网络游戏账号实名注册制度,所有网络游戏用户均需使用有效身份信息方可进行游戏账号注册;二是严格控制未成年人使用网络游戏时段的时长;三是规范向未成年人提供付费服务,规定网络游戏企业不得为未满8周岁的用户提供游戏付费服务;四是切实加强行业监管,对未落实《通知》要求的网络游戏企业,各地出版管理部门应责令限期改正,情节严重的,依法依规予以处理,直至吊销相关许可;五是探索实施适龄提示制度;六是加强对未成年人的引导。

4. 国家网信办印发《网络音视频信息服务管理规定》

11月18日,国家互联网信息办公室、文化和旅游部、国家广播电视总局联合印发了《网络音视频信息服务管理规定》,自2020年1月1日其施行。《规定》对网络音视频服务作出了如下定义,即通过互联网站、应用程序等网络平台,向社会公众提供音视频信息制作、发布、传播的服务,同时还规定了网络音视频服务提供者应当履行的网络安全、内容安全义务。《规定》明确了以下内容:(1)网络音视频信息服务提供者应当依法取得相关资质,建立健全用户注册、信息发布审核、信息安全管理等制度;(2)任何组织和个人不得利用网络音视频信息服务以及相关信息技术从事法律法规禁止的活动,侵害他人合法权益;(3)网络音视频信息服务提供者上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应开展安全评估,利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识,应当部署应用违法违规音视频以及非真实音视频鉴别技术,建立健全辟谣机制。

5. 中国互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》

11月6日,中国互联网金融协会向会员单位发布了《关于增强个人信息保护意识依法开展业务的通知》(互金发[2019]42号),通知指出近期国家监管部门发现,社会上有一些互联网机构以“大数据”为名,通过“爬虫”业务涉嫌违法违规收集个人信息。对此,各会员机构应:(1)依法合规开展个人信息的收集、处理、使用和对外提供等活动,不断加强个人信息保护工作力度;(2)未经消费者授权同意,各会员机构不收集、处理、使用和对外提供消费者个人信息;(3)建立健全收集、处理、使用、对外提供等全生命周期的个人信息保护制度,采取有效技术措施保障个人信息安全,加强对员工的教育和培训,对个人信息的收集、使用等活动加强监督管理;(4)及时就个人信息保护工作开展自查,并对数据合作方进行排查,对于存在的问题应立即整改,并及时将有关情况报告协会;(5)应履行消费者教育义务,加强对消费者的风险提示。

6. 中国人民银行等四部门发布《信用评级业管理暂行办法》

11月26日,中国人民银行、国家发展和改革委员会、财政部、中国证券监督管理委员会四部门联合发布《信用评级业管理暂行办法》,将于2019年12月26日起施行。《办法》规定,信用评级机构应当建立信用评级业务信息保密制度。对于在开展信用评级业务、处理信用评级数据库系统过程中知悉的国家秘密、商业秘密和个人隐私,信用评级机构及其从业人员应当依法履行保密义务。信用评级机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。信用评级机构向境外组织或者个人提供信息,应当遵守法律法规以及信用评级行业主管部门和业务管理部门的有关规定。

7. 教育部发布《高等院校管理服务类教育移动互联网应用专项治理行动方案》

11月19日,教育部印发《高等院校管理服务类教育移动互联网应用专项治理行动方案》(下称《方案》)。治理行动的对象为高等院校服务于学校教育教学和广大师生工作生活的管理服务类教育移动应用,包括学校自主开发、自主选用和上级部门要求使用的教育移动应用。《方案》要求各高校严控app数量,采集人脸等个人生物识别信息的教育App应组织伦理性、安全性论证;超半年未更新的App将被整合关停。

执法动态

1. 公安部新闻发布会通报全国公安机关“净网2019”专项行动的典型案例

公安部于11月14日举行了新闻发布会,会上通报了自2019年1月起,由公安部组织部署全国公安机关开展的“净网2019”专项行动典型案例。其中,违法行为主要包括利用“暗网”售卖居民社保数据、实施犯罪的案件,“套路贷”,非法生产、销售、使用针孔摄像头,非法利用信息网络销售精神类麻醉类药品。

2. 国家市场监管总局通报10起企业侵害消费者个人信息案

国家市场监管总局11月18日召开新闻发布会通报了广西南宁房多多侵害消费者个人信息案等10起侵害消费者个人信息违法行为专项执法行动的典型案件。违法行为包括:房地产公司泄露、出售业主个人信息,未经消费者同意向其发送商业性信息,通过空白电话卡非法收集个人信息,培训中心非法收集学生家长信息等。

3. 国家计算机病毒应急处理中心监测发现十款违法移动应用

近期,国家计算机病毒应急处理中心开展电商平台整治行动,发现多款电商平台App存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。违法行为包括:(1)未经用户同意收集个人隐私信息,涉嫌隐私不合规;(2)未向用户明示申请的全部隐私权限,涉嫌隐私不合规。

4. 考拉征信被查非法提供身份证返照查询近亿次

11月20日,据央视网报道,江苏淮安警方依法打击了7 家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1 亿多条。其中,和拉卡拉支付存在股权关系的考拉征信涉嫌非法提供身份证返照查询9800 多万次,获利3800 万元。经查考拉征信从上游公司获取接口后,又违规将查询接口卖出,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民个人身份信息、身份证照片的大量泄露。警方已将考拉征信服务有限公司及北京黑格公司的法定代表人、董事长、销售、技术等20 余名涉案人员抓获。

5. 工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》

10月31日,工信部发布该《通知》,决定组织开展APP侵害用户权益专项整治行动工作,重点对以下四个方面8类问题开展规范整治工作:(1)违规收集用户个人信息方面,包括私自收集个人信息、超范围收集个人信息;(2)违规使用用户个人信息方面,包括私自共享给第三方,强制用户使用定向推送功能;(3)不合理索取用户权限方面,包括不给权限不让用,频繁申请权限,过度索取权限;(4)为用户账号注销设置障碍。整治对象:一是APP服务提供者,主要检查是否存在前述8类问题;二是APP分发服务提供者,主要检查是否落实《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等有关要求。 

行业动态

1. 最高人民法院发布《司法大数据专题报告:网络犯罪特点和趋势》

11月19日,最高人民法院召开网络犯罪大数据报告及电信网络诈骗犯罪典型案例新闻发布会,发布《司法大数据专题报告:网络犯罪特点和趋势》。报告以2016年至2018年发生的网络犯罪为分析对象,共分为两个部分:网络犯罪案件基本情况和特征分析、网络诈骗案件基本情况和特征分析。网络犯罪案件的案件量呈逐年上升趋势,共4.8万件,其中从事信息传输、计算机服务和软件业的被告人最多。网络诈骗案件在诈骗案件中的占比也呈逐年上升趋势,被告人主要利用的虚拟犯罪工具为微信、QQ、支付宝等,近20%的网络诈骗案件是在获取公民个人信息后进行的诈骗。

2. 国家标准《信息安全技术 数据安全能力成熟度模型》应用推广试点工作起动

2019年11月27日,全国信息安全标准化技术委员会(以下简称信安标委)在北京召开了GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》国家标准应用推广试点工作启动会。本次国家标准应用推广试点工作通过公开征集的方式,征集了一批数据量较大、数据应用场景典型、行业特点鲜明的单位参与,旨在对国家标准内容的可操作性和适用性进行验证,探索形成标准实施应用工作模式,提升我国网络运营者数据安全能力水平。

国际动态

1. 《国际仲裁网络安全协议》发布

11 月 21 日,国际商事仲裁委员会 (ICCA)发布了一份关于处理国际仲裁时采取网络安全措施的详细指南。该议定书主要目的有两个:一是为针对个别仲裁事项的信息安全措施提供了框架;二是为了提高人们对国际仲裁中信息安全的意识。根据《协议》,仲裁中应用的具体信息安全措施包括:(a) 资产管理;(b) 访问控制;(c) 加密;(d) 通信安全;(e) 物理和环境安全;(f) 操作安全;(g) 资讯安保事故管理。

2. 欧洲数据保护委员会发布《关于GDPR的地域适用范围指南(第三条)》

11 月12 日,欧洲数据保护委员会(European Data Protection Board,“EDPB”)发布针对《一般数据保护条例》(GDPR)域外适用效力的最终指南-《关于GDPR 的地域适用范围指南(第三条)》(“《指南》”)。GDPR 的地域适用范围主要根据第三条第一款规定的 “设立(establishment)”标准和第二款规定的“目标(targeting)”标准判断。根据《指南》,GDPR的适用效力取决于数据处理活动的性质,而非某一特定数据控制者或数据处理者。《指南》对上述两个标准的具体适用予以进一步的界定,为非欧盟实体的数据处理行为是否适用GDPR 提供具有可操作性的指引。

3. 《关于GDPR第25条设计和默认的数据保护指南》公开征求意见

2019年11月13日,欧洲数据保护委员会通过了《关于GDPR第25条涉及和默认的数据保护指南》草案并向公众征求意见。《指南》列举了设计和默认的数据保护需考虑的关键因素,并提供实践案例予以说明,对于企业开展设计和默认的数据保护提供可操作性的指引。