国际动态

一 · 新规速递

英国与韩国就跨境数据传输达成数据充分性原则协议

7月5日,英国和韩国就跨境数据传输达成了“原则上的充分协议”。这是英国脱欧后与其他国家签订的首份数据跨境充分性协议,该协议将促进英国与韩国在数据框架的未来方向和持续改进方面共同努力。

7月5日,英国与韩国个人信息保护委员会签署《关于加强个人数据保护立法监管合作的谅解备忘录》。

双方有意通过该备忘录深化双方现有关系并促进交流,以协助彼此执行保护个人信息的法律,并希望制定参与者之间合作的广泛原则以及管理相关信息和情报共享(不包括个人信息的共享)的框架。

欧洲议会通过《数字服务法》和《数字市场法》

7月5日,欧洲议会正式通过《数字服务法》(DSA)及《数字市场法》(DMA)。根据相关程序,两项法案还需经过欧盟理事会批准,在欧盟官方公报上公布,并在公布20天后生效。

DSA与DMA为欧洲公民日常生活中所依赖的在线平台制定了第一个全面的规则手册。这些新规则将适用于整个欧盟,并将在尊重基本权利的基础上创造一个更安全、更开放的数字空间。

两部立法均规定了高额罚款。其中,违反DMA的企业将面临高达其全球年营业额10%的巨额罚款,以及高达20%的再犯罚款;违反DSA的企业将面临全球营业额6%的罚款,屡次严重违法的,还可能会被禁止在欧盟单一市场内运营,将对科技巨头产生重要影响。

根据最新进展,欧盟理事会已于7月18日最终批准通过了DSA。

欧盟数据保护委员会及欧洲数据保护专员公署就《欧洲健康数据空间》提案发布联合意见

7月12日,欧盟数据保护委员会(EDPB)在官网上发布了其与欧洲数据保护专员公署(EDPS)关于《欧洲健康数据空间》(European Health Data Space,EDHS)提案的联合意见。

EDPB和EDPS对加强个人对其个人健康数据控制的想法表示欢迎。然而,他们也提请立法者注意一些首要问题,并敦促他们采取果断行动。特别是,EDPB 和 EDPS承认该提案的第四章旨在促进电子健康数据的二次使用,可能会为公共利益带来好处,但也认为这些进一步的处理活动可能会对个人的权利和自由带来风险。

7月12日,欧盟数据保护委员会(EDPB)发布《关于向俄罗斯联邦传输个人数据的声明》。

EDPB表示,在因乌克兰战争受到制裁后,俄罗斯“不再是欧盟法律框架和协议的缔约方。“缺乏欧盟认可或充分性决定意味着涉及俄罗斯公司的数据跨境传输只能“使用欧盟通用数据保护条例(GDPR)第五章规定的其他转移工具之一”进行。

新加坡与香港就加强个人资料保障方面的合作续签谅解备忘录

7月13日,新加坡个人资料保护委员会与香港个人资料私隐专员公署签订及更新了谅解备忘录,以保持两者现有的联系及就保障个人资料扩大合作范围和加强紧密的合作关系。

根据备忘录,两个资料保障机构的合作范围包括就资料保障政策和执法行动交流资讯和分享良好行事方式、在跨境个人资料事件的联合调查中协调及互相协助,以及在教育和培训方面进行合作。

二 · 监管动向

爱尔兰数据保护委员会提交命令草案,拟停止 Meta 向美国的数据传输

7月7日,爱尔兰数据保护委员会向欧盟数据保护当局提交了一份命令草案,建议停止 Facebook 母公司 Meta 将个人数据从欧盟传输到美国。如果得到欧盟其他数据保护机构的批准,Facebook和 Instagram 可能会在欧盟关闭。

早在2020年,欧洲最高法院裁定欧盟-美国数据传输协议无效,理由是其对数据传输的监控问题感到担心。这促使爱尔兰数据保护委员会发送初步命令,要求Facebook暂停将数据传输到美国。此后为解决欧美之间数据传输协议“隐私盾”(Privacy Shield)被判无效的问题,欧盟委员会和美国就跨大西洋数据隐私框架达成一致。而爱尔兰数据保护委员会也一直在同步进行调查,现提交了命令草案。

目前,该命令草案不会对 Meta 的服务产生直接影响。因为其触发了欧盟通用数据保护条例第60条规定的程序。欧盟其他数据保护机构将有4周的时间来对爱尔兰数据保护委员会所提交的命令草案发表意见。

7月11日,意大利数据保护机构Garante因TikTok涉嫌违反欧盟第2002/58《电子隐私指令》第 5(3)条以及转换该指令的意大利个人数据保护法第 122 条而对其发出警告。

该警告是在TikTok宣布将从7月13日起根据合法利益而非知情同意向18岁及以上用户投放广告之后发出的。在审查了TikTok更新的隐私声明和其提供的进一步信息后,Garante认为TikTok违反了欧盟的隐私规则,并下令其立即采取措施以实现合规。

对此,TikTok于7月13日暂停了针对定向广告的隐私政策的修改。

7月12日消息,美国联邦贸易委员会隐私和身份保护部代理副主任克里斯汀·科恩(Kristin Cohen)撰写了一篇博客文章,概述了FTC将强化位置、敏感健康数据滥用执法的承诺。

科恩分别描述了位置数据、敏感健康数据以及两种数据融合时(特别是在数据与女性生殖保健相关时)的市场。科恩表示,FTC如果发现非法行为,将大力执法,并指出过去为达成适当合规措施而采取的行动。

三 · 行业动态

谷歌宣布将自动删除访问敏感地点的用户数据

7月5日消息,谷歌宣布将自动删除访问敏感地点(如堕胎诊所)的用户数据。美国最高法院推翻罗伊诉韦德案后,多州已立法限制或禁止堕胎,引发了移动位置数据可能被用来起诉那些寻求生殖保健服务的女性的担忧,谷歌此举正是对以上担忧的回应。

除将自动删除访问敏感地点的用户数据外,在公司博客文章中,谷歌还宣布了其隐私工具的新功能,例如Fitbit设备将允许用户随时删除数据。

四 · 典型案例

万豪国际再次遭遇数据泄露,20GB数据被窃取

7月6日消息,万豪国际连锁酒店遭遇新的数据泄露事件,攻击者从该公司网络中窃取了约20GB的文件。

针对此次数据泄露,攻击者声称他们大约在一个月前就进入了万豪酒店的网络,而此次他们窃取的20GB数据中包括一些用户信用卡信息以及部分机密信息。对此,万豪酒店发言人表示,此次数据泄露事件只涉及旗下一家酒店,攻击者没有进入到万豪酒店的核心网络,且涉事酒店仅有一台设备遭到约六小时的攻击。同时,攻击者窃取的大部分数据是非敏感的内部业务文件,但万豪国际将按要求通知大约300-400名可能受害者和相关安全监管机构。

俄罗斯莫斯科塔甘斯基区法院因涉嫌违反数据存储对苹果和Zoom等处以罚款

7月12日消息,莫斯科塔甘斯基区法院裁定苹果公司未能本地化俄罗斯用户的数据,并对该公司处以200万卢布(34000美元)的罚款。美国视频会议平台Zoom和运营互联网性能工具Speedtest的Ookla也因未能本地化俄罗斯用户的数据分别被处以100万卢布(17115美元)的罚款。

国内动态

一 · 新规速递

国家互联网信息办公室发布《数据出境安全评估办法》

7月7日,国家互联网信息办公室发布《数据出境安全评估办法》,将于2022年9月1日起施行。

《办法》规定数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供具体指引。《办法》规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

7月7日,中国银保监会、中国人民银行发布《关于进一步促进信用卡业务规范健康发展的通知》。

《通知》强调,涉及个人敏感信息的,应当采取脱敏等方式进行个人信息保护;通过合作机构管理和控制的渠道进行账单金额或者应还款金额查询的,应当取得客户的单独同意,并采取必要措施保障客户的个人信息安全。银行业金融机构应当严格执行数据安全、个人信息保护等相关法律法规和征信管理有关规定,遵循“合法、正当、必要”原则,应当在合作合同中明确约定双方使用客户信息的目的、方式和范围,客户信息保密责任义务,以及防控客户信息泄露风险的有效措施。不得与违法违规进行数据处理的机构开展合作。

7月15日,中国银保监会发布《关于加强商业银行互联网贷款业务管理提升金融服务质效的通知》。

《通知》指出,商业银行应强化信息数据管理,严格执行民法典、个人信息保护法等法律法规和监管规定,遵循合法、正当、必要原则,完整准确获取身份验证、贷前调查、风险评估和贷后管理所需要的信息数据,并采取有效措施核实其真实性,在数据使用、加工、保管等方面加强对借款人信息的保护。商业银行与合作机构签订的书面协议,应当明确约定相关信息报送的具体要求。在与提供和处理个人信息的机构合作时,商业银行应当切实做好合作机构安全评估工作,评估内容包括但不限于个人信息保护合规制度体系、监督机制、处理信息规范、安全防护措施等。

7月14日,国务院办公厅发布关于印发《国务院2022年度立法工作计划》的通知。其中,由网信办组织起草的《网络数据安全管理条例》和《未成年人网络保护条例》被列入2022年立法计划。

7月15日,全国信息安全标准化技术委员会发布国家标准《信息技术 安全技术 公有云中个人信息保护实践指南》,实施日期为2023年2月1日。

7月5日,浙江省市场监督管理局批准发布了全国首个互联网平台企业竞争合规的省级地方标准《互联网平台企业竞争合规管理规范》。《规范》将于2022年8月5日起在浙江省全省实施,旨在压实企业的竞争合规主体责任,实现政府监管模式下的平台自治。

7月5日,广东省工业和信息化厅向各地级以上市人民政府、省直各单位印发了《广东省数字经济发展指引1.0》。

作为全国首个省级层面推动数字经济发展的指引性文件,《指引》提出了广东数字经济发展的“2221”总体框架,引导各方主攻“数字产业化”和“产业数字化”两大核心;激活“数据资源”和“数字技术”两大要素;筑牢“核心基础数字产品”和“数字基础设施”两大基石;持续完善数字政府改革及服务支撑体系。广东省各地市、各部门可参考《指引》的总体框架、经验措施、案例附录,因地制宜选择重点发展方向,推进数字经济加快发展。

7月7日,深圳市司法局发布《企业合规管理体系(征求意见稿)》,公开征求意见。

征求意见稿明确,经营者应采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,保障网络数据的完整性、保密性、可用性;要制定个人信息保护合规方案,建立和实施技术控制、实施控制、监控控制,保证个人信息的收集、存储、处理、报告中的数据安全及合规。

7月6日,上海市经济和信息化委员会发布《上海市数据交易场所管理实施办法(征求意见稿)》。

《办法》共五章29条,包括总则,设立、变更和终止,经营规范,监督管理,附则等内容。《办法》明确,数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。数据交易场所信息系统应当具备数据安全保护和数据备份措施,确保数据资料的安全,各种数据资料的保存期限不得少于20年,能够及时向市经济信息化委或其指定机构提供符合要求的数据信息。

7月12日,上海市人民政府办公厅印发《上海市数字经济发展“十四五规划”》的通知。

《规划》提出,上海将围绕数字新产业、数据新要素、数字新基建、智能新终端等重点领域,加强数据、技术、企业、空间载体等关键要素协同联动,加快进行数字经济发展布局。

7月11日,厦门市人大常委会办公厅发布《厦门经济特区数据条例(草案)》,公开征求意见。

《草案》共七章五十六条,涉及数据资源、数据要素市场、数据安全、应用与发展等内容。数据安全方面,《草案》规定,厦门市人民政府应组织建立数据安全风险评估、报告、监测预警、应急处置和分类分级保护制度,加强厦门市数据安全风险信息的获取、分析、研判、预警工作;建立健全数据安全工作协调机制,统筹有关部门按照国家规定编制本市重要数据目录,对列入目录的数据进行重点保护;统筹市工信、网信、公安、国家安全等部门加强数据安全监督检查协作,依法处理数据安全事件。

二 · 监管动向

国家计算机病毒应急处理中心监测发现15款违法移动应用

7月6日消息,国家计算机病毒应急处理中心近期通过互联网监测发现15款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。

7月7日,上海市通信管理局发布《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》,将开展2022年上海市电信和互联网行业网络和数据安全检查。

检查对象包括提供公共互联网网络信息服务的基础电信企业、互联网企业(含云平台服务提供商、APP和小程序运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等)、域名注册服务机构。检查内容涉及网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息和用户权益保护工作情况、车联网和工业互联网企业网络安全防护情况。

7月13日消息,近日,在上海市委网信委的统一领导下,市委网信办牵头,会同市经济信息化委、市公安局、市密码管理局、市保密局、市通信管理局等相关职能部门近日统筹组织开展了2022年度全市网络安全专项检查工作。

此次检查主要查清四方面情况:一是重要网站、平台、生产系统的数量、分布情况、网络安全组织管理和运维保障情况;二是重要网站、平台、生产系统的主要功能、服务范围、数据存储情况以及风险威胁情况;三是重要网站、平台、生产系统的运行环境、运维方式、网络安全管理和防护情况;四是个人信息和重要数据的安全保护及处理情况。检查重点包括党政机关门户网站和重点新闻网站,国有企业、大型互联网平台,特别是存储重要数据和个人信息数量超过100万的信息系统。

三 · 行业动态

WPS被曝删除用户本地文件,官方回应不会侵犯用户隐私

7月13日,近日网传的“WPS删除用户本地文件”“侵犯用户隐私”等言论,WPS发表相关声明。

声明称,WPS不会对用户的本地文件进行任何审核、锁定或删除等操作。在保护用户隐私方面,WPS也严格遵循《个人信息保护法》及《网络安全法》的相关规定。

四 · 典型案例

浙江省发布侵犯公民个人信息犯罪十大典型案例

7月4日,浙江高院从全省法院近年来审结的有关案件中选取发布侵犯公民个人信息犯罪十大典型案例,包括物业、房产公司员工非法出售业主信息,以非法侵入他人计算机信息系统的方式获取公民个人信息,购买含有“姓名、电话、住址、物业费、住房面积”等内容的信息,非法获取学生学籍等信息并出售,利用保险工作便利获取并贩卖个人信息,以“一买多卖”方式大规模贩卖公民个人信息,利用摄影工作室便利获取公民个人信息并转卖,手机店主将在提供服务中获得的公民个人信息出售给他人,通信公司员工利用营销之便出售他人手机号及验证码等,设立公司收集学生和家长信息并出售等犯罪情形。

广州市互联网法院首例人脸识别个人信息保护民事公益诉讼宣判

7月11日,广东省广州市越秀区检察院办理的该省首例向互联网法院提起的涉人脸识别公民个人信息保护民事公益诉讼案公开宣判。

法院判决被告郑某、任某、戴某、陈某立即停止对公民个人信息的侵害、支付公益损害赔偿金、公开赔礼道歉并以行为补偿弥补损害。此前,因通过即时通讯软件向社会发布可代查高清身份证照片、身份证号码等个人敏感信息的广告,并组建群组专门用于个人信息非法交易,郑某等人已被法院认定犯侵犯公民个人信息罪,被判处有期徒刑一年二个月至一年不等,各并处罚金。