新闻动态
NEWS


网络安全及数据合规动态(20199月下半月-10月上半月)

 

作者:傅鹏、赵卿梦


本动态涵盖20199月下半月至10月上半月网络安全和数据合规领域的规定、规则及重大新闻。第一部分为我们理解值得关注的该领域的最新政策规定及规则(部分政策规定或规则,可能包含我们对其值得关注的要点或问题的简评);第二部分为我们理解值得关注的该领域的重要事件或重大新闻(部分事件或新闻,可能包含我们对其值得关注的要点或问题的简评)。


本动态仅作为本所对网络安全及数据合规相关的近期话题的一般性探讨,不构成本所正式法律咨询意见。


一、最新政策规定及规则


(一)《在线旅游经营服务管理暂行规定(征求意见稿)》

  • 发布时间:2019108

  • 发布单位:文化和旅游部

  • 数据合规看点:

  1. 平台经营者的内容审核义务在线旅游平台经营者应当对上传至平台,以文字、图片、音视频等形式展现的全部信息内容进行审核。发现法律、行政法规禁止发布或者传输的信息的,应当立即采取必要措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
  2. 在线旅游经营者的信息登记义务在线旅游经营者在与旅游者签订合同或确认提供服务时,应当依法要求旅游者提供身份信息、联系方式、紧急联络人等必须提供的信息。旅游者拒不提供真实身份信息或提供虚假信息的,在线旅游经营者不得为其提供服务。
  3. 反“大数据杀熟”规则在线旅游经营者不得利用大数据等技术手段,针对不同消费特征的旅游者,对同一产品或服务在相同条件下设置差异化的价格。

简评:利用具体用户的浏览习惯来对该用户进行针对性的产品推荐甚至定价一直以来是在线旅游经营者采取的做法。已经颁布的《中华人民共和国电子商务法》(“电子商务法”)规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”电子商务法以及《在线旅游经营服务管理暂行规定(征求意见稿)》的规定主旨均为禁止经营者利用信息不对称的优势进行“大数据杀熟”,从而保障消费者的知情权、选择权和公平交易权。法规政策的相继出台有助于推进线上旅游行业透明化、公开化和规范化,维护消费者的权益,促进旅游行业的可持续健康发展。


)《工业和信息化部随机抽查事项清单(2019年版)》

  • 发布时间:2019929

  • 发布单位:工业和信息化部 

  • 数据合规看点:

为深化“放管服”改革,在工业和信息化领域日常监管中全面推行“双随机一公开”监管方式,工业和信息化部(“工信部”)办公厅就2019年当前新一期的随机抽查事项,印发了《工业和信息化部随机抽查事项清单(2019年版)》。该清单对工信部就个人信息保护及网络安全领域的抽查事项列示了明确的要求。例如,清单第12项规定对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查;第20项规定对信息通信企业网络安全运行情况实施监督检查;第21项规定对应急通信保障工作进行检查;第25项规定对基础电信企业、互联网企业、域名服务机构、工业互联网平台企业开展网络安全防护工作的情况进行检查;第26项规定对有关网络运营者网络信息安全责任落实情况实施监督检查;第27项规定对有关网络运营者网络数据安全保护责任落实情况实施监督检查。

其中,第12项规定对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查的抽查内容明确包括了“电信业务经营者、互联网信息服务提供者用户个人信息保护、用户权益保护等情况”。第27项规定对有关网络运营者网络数据安全保护责任落实情况实施监督检查的抽查内容明确包括了“网络运营者数据安全保护情况,包括:数据安全保护机构设置、人员配备、管理制度制定和落实、技术保障措施建设、应急事件处置、投诉举报受理、数据内部审计等”。


简评:《工业和信息化部随机抽查事项清单(2019年版)》上述与网络安全及个人信息保护有关的抽查事项的选取反映了主管机关在该领域的监管关注点。特别地,第27项抽查事项提及的“数据安全保护机构设置”、“人员配备”、“管理制度制定和落实”、“数据内部审计”等抽查事项对网络运营者内部制度、机构和管理措施的制定及落实提出了明确的要求。除了硬件设备、技术措施外,企业有必要对内部制度和管理建设给予更高的重视,根据法律、法规及一系列推荐性国家标准的要求,建立或完善管理制度。


(三)《网络平台道路货物运输经营服务指南》

  • 发布时间:2019927 

  • 发布单位:交通运输部 

  • 数据合规看点:

  1. 指南出台背景:为落实《网络平台道路货物运输经营管理暂行办法》(交运规〔201912号)(自202011日起实施),交通运输部出台《网络平台道路货物运输经营服务指南》,规范从事网络平台道路货物运输经营行为,即经营者依托互联网平台整合配置运输资源,以承运人身份与托运人签订运输合同,委托实际承运人完成道路货物运输,承担承运人责任的道路货物运输经营活动。网络货运经营不包括仅为托运人和实际承运人提供信息中介和交易撮合等服务的行为。该指南对网络平台道路货物运输经营者的服务能力、网络平台的功能、服务流程及安全风险管控等方面均提出了具体要求。
  2. 强调平台运营者的信息安全管理和信息使用管理:运营者应当建立信息安全管理制度。网络货运经营者应按照《网络安全法》等有关法律法规的要求,采取有效措施防病毒、防攻击、防泄密,落实网络安全管理责任。运营者应当加强信息使用管理。网络货运经营者应按照合法、正当、必要的原则,采集与网络货运经营相关的数据信息,采集的信息未经被采集者同意,不得用于网络货运以外的其他用途,不得转让给第三方。
  3. 网络安全等级保护要求及保护商业秘密和个人隐私的义务:建议省级监测系统的安全保护等级不低于三级。省级交通运输主管部门应委托有关专业机构对省级监测系统进行安全测评,及时完善安全保护措施。省级监测系统在进行信息采集、处理及发布过程中,应保护企业商业秘密和个人隐私,维护社会公共利益和企业合法权益。

简评《网络平台道路货物运输经营服务指南》作为《网络平台道路货物运输经营管理暂行办法》的配套文件,对网络平台道路货物运输经营行为提出了许多细节上的指导和要求。其中,对网络平台道路货物运输经营者的服务能力、网络平台的功能、服务流程及安全风险管控等方面提出的要求的规则模式与《网络预约出租汽车经营服务管理暂行办法》及其配套文件和地方出台的相应规则的模式相似。此外,《网络平台道路货物运输经营服务指南》对运营者的信息安全、网安等保以及保护商业秘密和个人隐私提出了明确的要求,是中国的网络安全及个人信息保护要求在网络平台道路货物运输经营领域的进一步延伸。在数据合规监管日趋严格的今天,值得网络平台道路货物运输经营活动的相关参与方特别关注。


(四)《上海市公共数据开放暂行办法》(沪府令21号)

  • 发布时间:2019910

  • 发布单位:上海市人民政府

  • 数据合规看点:

  1. 强调数据安全保护市、区人民政府及各相关部门在公共数据开放过程中,应当落实数据安全管理要求,采取措施保护商业秘密和个人隐私,防止公共数据被非法获取或者不当利用。
  2. 提出公共数据的分级分类规则公共数据根据数据安全要求、个人信息保护要求和应用要求等因素被分为非开放类、有条件开放类和无条件开放类,适用不同的开放条件和监管措施。对涉及商业秘密、个人隐私,或者法律法规规定不得开放的公共数据,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。但是,非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放类或者有条件开放类。
  3. 确立数据开放清单制度和开放平台系统数据开放主体应当按照年度开放重点和公共数据分级分类规则,在上海市公共数据资源目录范围内,制定公共数据开放清单(以下简称开放清单),列明可以向社会开放的公共数据。通过共享等手段获取的公共数据,不纳入本单位的开放清单。开放清单应当标注数据领域、数据摘要、数据项和数据格式等信息,明确数据的开放类型、开放条件和更新频率等。上海市大数据中心依托上海市大数据资源平台建设开放平台。数据开放主体应当通过开放平台开放公共数据,原则上不再新建独立的开放渠道。已经建成的开放渠道,应当按照有关规定进行整合、归并,将其纳入开放平台。开放平台为数据开放主体提供数据预处理、安全加密、日志记录等数据管理功能。开放平台为获取、使用和传播公共数据的自然人、法人和非法人组织提供数据查询、预览和获取等功能。

简评公共数据的合法、适当开放是近年以来多地政府积极探索如何更有效利用公共数据的努力方向之一。2019年,除上海外,北京、浙江、吉林、海南以及吉林四平、浙江丽水、江苏连云港、福建福州等地陆续出台公共数据资源开放的地方性管理办法。相信在各地政府的努力与积极推动下,公共数据资源将会在安全有序的基础上逐步开放给社会公众与企业,创造大数据带来的新价值。


(五)《浙江省数字经济促进条例(征求意见稿)》

  • 发布时间:2019923

  • 发布单位:浙江省经济和信息化厅

  • 数据合规看点:

  1. 数据的收集和使用应当遵守数据安全管理相关的法律、法规公共管理和服务机构、企业、个人和其他社会组织在收集、使用涉及个人信息的数据时,应当遵循合法、正当、必要的原则,向个人信息主体公开收集、使用规则,明示收集、使用的目的、方式和范围,并经被收集者同意。在生活中向他人收集和使用数据的主体往往掌握技术,较之被收集者具有相对主动权,为保障被收集者的信息对称,在数据的收集和使用必须在公开透明的情况下进行。
  2. 明确数据及其衍生品的财产权益、探索建立数据资源交易市场依法获取后的各类数据在经过处理无法识别特定个人且不能复原的,不视为个人信息,可以交易、交换或者以其他方式开发利用。在依法获取的各类数据基础上开发的数据衍生产品等财产权益受法律保护,法律、法规另有规定的除外。县级以上人民政府相关部门应当积极探索建立数据资源确权、流通、交易、应用开发规则和流程,培育数据资源交易市场。
  3. 公共数据的共享原则公共数据应当以共享为原则,不共享为例外。没有法律、法规、规章依据,公共管理和服务机构不得拒绝其他机构提出的共享要求。但是,公共管理和服务机构通过共享获得的公共数据,应当用于本机构履行职责需要,不得用于其他任何目的。
  4. 共数据的开放与评估公共管理和服务机构应当制定本机构的公共数据开放清单,省大数据管理部门应当制定公共数据开放技术规范和开放标准;省人民政府应当对公共数据开放工作和利用成效定期评估,并根据评估结果及时改进、优化数据开放工作和政策。开放清单和开放标准的制定有利于各主体及时查询其所需数据的公开性,定期评估是一个循环优化的过程,有利于查漏补缺以及及时适应社会变化。
  5. 公共数据的多元利用鼓励企业、个人和其他社会组织开发利用公共数据,开发利用公共数据获得的合法收益,受法律保护。鼓励企业、个人和其他社会组织依法开放自有数据资源,促进数据融合应用。

简评:该条例倡导的方向之一是在合法的基础上促进数据的开放、流通与利用,有助于进一步促进数据驱动型企业的发展。该条例同时也强调了在《中华人民共和国网络安全法》、《个人信息安全规范》等文件中多次体现的“合法、正当、必要”的个人信息收集原则。 此外,该条例涵盖的地域范围为互联网经济发达、互联网及数据公司较为聚集的浙江省,有助于促进浙江省内的互联网公司及数据公司进一步在合法的基础上提高数据利用的水平和程度。


二、案例及事件


(一)《个人金融信息(数据)保护试行办法(初稿)》酝酿出台


1.事件:


20194月,央行发布《中国人民银行2019年规章制定工作计划》,其中,明确将《个人金融信息(数据)保护试行办法》的制定列入计划;20195月,央行办公厅下发《中国人民银行办公厅关于2018年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔201972号)》,通报中将金融消费者信息安全管理不规范。部分机构存在收集信息范围过大、未经消费者授权收集其个人金融信息的情形、业务系统存储不规范等情形”作为检查的重点问题。


根据相关报道[],《个人金融信息(数据)保护试行办法(初稿)》已经出炉,央行已经将初稿下发至各银行征求意见。根据报道,《个人金融信息(数据)保护试行办法(初稿)》中规定,(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息,金融机构不得以概括授权的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。该《办法》正式出台后,银行可能需要根据该办法的要求,对提供业务数据的第三方机构进行排查,对于不能保证数据来源合法的数据供应商,可能需要停止合作。根据相关报道,已经有银行开始停止了与部分第三方数据提供商的合作。[]


2.简评:


此前在《银行业金融机构数据治理指引》、《关于金融消费者权益保护实施办法》、《征信业管理条例》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》及《关于银行业金融机构做好个人金融信息保护工作的通知》等相关法规及规范性文件中已出现对个人金融信息保护的相关规定。本次《个人金融信息(数据)保护试行办法(初稿)》的出台可能在法律层面上进一步完善和加强对个人金融信息的保护,也可能成为第一部针对个人金融信息安全保护的系统的、具有强制性的规定。除上述报道提及的内容片段外,该初稿的全文可能包含一系列系统的、严格的个人金融信息保护要求,对金融行业企业(特别是数据驱动型的征信等金融行业相关企业)的合规管理和业务流程优化提出新的课题与挑战。


(二)“墨迹天气”首次公开发行申请被否,其被关注事项中包含数据合规及个人信息保护内容


1.事件:


20191011日,据中国证券监督管理委员会(“证监会”)发布的公告(“公告》”)[]显示,北京墨迹风云科技股份有限公司(“墨迹天气”)的首次公开发行申请未通过。证监会发行审核委员会(“发审委”)对墨迹天气提出了四大主要问题,用户信息收集及处理的合规性问题便是其中之一。


《公告》指出,“墨迹天气”通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现。另外,发审委提出“墨迹天气”于2019716日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》,APP专项治理工作组要求发行人就收集使用个人信息中存在的问题进行整改。[]发审委要求墨迹天气说明其在获取、使用、处理以及对用户数据及标签的商业化变现的各个环节中是否符合个人信息相关法律、法规的规定,是否存在法律风险或潜在风险以及是否发生过隐私泄露事件或纠纷,同时要求墨迹天气对APP专项治理组要求的整改情况和整改效果进行说明。


2.简评:


用户个人数据保护与网络安全日益成为主管机关关注的合规重点。本次发审委关注的要点及否决墨迹天气首发申请,再度显示了数据合规及个人信息保护在当前合规工作中的重要性。结合此前监管部门对教育类APP、网约车服务企业等各行业领域内个人数据保护法规政策的出台,以及近期对一系列APP违法违规收集个人数据行为的查处举措,可显示主管部门对用户个人数据保护与网络安全的治理趋势。各行业领域运营者均应提高对数据合规性审查的重视。


(三)2019年网络安全专题发布会召开,多款APP点名


1.事件:


2019915日,由公安部网络安全保卫局、公安部新闻宣传局、天津市委网信办指导,天津市公安局网安总队、广东省公安厅网警总队共同主办的“2019年网络安全专题发布会”在天津举行。[]


国家计算机病毒应急处理中心常务副主任陈建民介绍,根据国家计算机病毒应急处理中心对全国多款移动APP的安全检测发现:多款APP存在远程控制、恶意扣费等恶意行为、回传用户通讯录和短信的侵犯公民个人隐私行为、涉嫌超范围采集公民个人隐私行为以及高危漏洞;在SDK方面,多款SDK被检测出存在高危风险,容易被黑客利用。[]为构建APPSDK安全治理的长效机制,国家计算机病毒应急处理中心根据公安部的统一部署和要求,推出加强APPSDK治理的六项举措,即建立扁平化快速处置联动机制、加强法律法规的解读和宣贯、加强相关标准的制定工作、开展APPSDK的检验认证工作、开展APPSDK安全服务工作和提供移动互联网安全社会化服务。[]


中国计算机学会计算机安全专委会主任严明介绍, 2019年网民网络安全感满意度调查显示我国网民网络安全感满意度有较大提升,但是个人信息泄露、网络黑灰产蔓延等问题突出。


2.简评:


近年来不断受到关注的网络安全问题包括网络平台过度采集信息、个人信息泄露、人脸识别等人工智能技术在具体应用中存在的隐患等等。根据会议报道内容,各APP运营企业在运用用户个人数据提供便利的服务场景的同时,各类安全隐患也逐渐凸显。因此,除用户个人应不断增强隐私保护意识外,APP运营企业应特别关注法律法规、国家标准及监管部门的通报、处罚案例,准确理解监管要求;监管部门也应进一步完善的制度规范,明确相关标准和处罚事项、加大监测与执法力度,共同维护手机网络环境。


(四)多家大数据企业面临刑事调查高压


1.事件: 


根据搜狐网、新浪网等消息,近日多家大数据企业,如“公信宝”、“天翼征信”等陆续受到调查。


此外,上海市宝山公安分局警方破获一起非法售卖个人信息案件。20194月中旬,宝山公安分局网安支队接群众举报称,某论坛有人经常发布广告帖,宣称一名为信迈的网站可以通过充值会员购买第一手公民个人信息。警方侦查发现,该网站的公民信息涉及全国多个省份,涵盖房产、金融、保险、医疗、车辆、出入境、母婴等详细分类十余种。后警方于201986日赶赴广东等地开展集中抓捕行动,抓获犯罪嫌疑人韩某等11名,扣押作案电脑数十余台、作案手机数十部,查获公民个人信息达上亿条。目前,犯罪嫌疑人韩某等11人因涉嫌侵犯公民个人信息罪,已被检察机关批准逮捕,此案仍进一步审理中。


2.简评:


“公信宝”和“天翼征信”陆续被被调查掀开了对大数据企业,特别是从事数据爬取行业的企业乱象的整治序幕。涉及第三方违法数据抓取的爬虫公司与其他不合规的数据公司除违反《网络安全法》第41条中“不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”之外,亦可能触犯《刑法》第253[]规定的侵犯公民个人信息罪以及第285条规定的非法获取计算机信息系统数据、非法控制计算机信息系统罪[]。企业在使用爬虫抓取数据的过程中,需要格外关注合规要求,避免采取绕开目标网站“反爬”措施的手段进行抓取,避免进行可能严重影响目标网站运行的高频、密集抓取活动。


(五)广东省公安厅关停222个网站,下架5817款应用


1.事件:


2019922日至928日,广东省公安厅在全省范围内集中组织开展网络安全执法检查,期间全省公安机关重点对能源、交通、水利、金融、地铁、电网、自来水、燃气等重要行业和领域的核心业务系统,以及重点门户网站、互联网数据中心、云服务平台、APP发布平台开展远程检测和现场检查,共整改各类安全隐患1206处(其中高危安全隐患639处),关停问题突出网站222个,清理违法信息16344条,下架违法有害APP应用5817款,发出整改通知书422个,行政处罚单位和企业353家。[]


2.简评:


广东省公安厅曾于201995日“净网行动”中关停和下架过一批违规网站和APP,此次行动是基于此前的行动进行的进一步整治,广东省公安厅在监管网络安全与数据合规领域的方面力度一直较大并呈持续加码的趋势,显著改善了地区的网络环境,同时也为其他地区提供了良好的执法经验。


后记:


海问在网络安全、数据合规领域积累了丰富的经验,亦持续关注不断更新的法律法规及与数据合规有关的时事热点。您可通过如下链接浏览此前的《海问观察:网络安全及数据合规动态》(20199月上半月):


https://mp.weixin.qq.com/s/sgBWVe9MQ9cINMLkde2uRw



*实习生董琰祺对本文亦有贡献。



[②] 信息来源请见消金界微信公众号,链接:https://mp.weixin.qq.com/s/dxqrhPA2YOxg9AuU6b1EJA.

[③] 详情可见《第十八届发审委2019年第142次会议审核结果公告》,网址:http://www.csrc.gov.cn/zjhpublic/G00306202/201910/t20191011_364295.htm.

[④] 来源请见《第十八届发审委2019年第142次会议审核结果公告》,网址:http://www.csrc.gov.cn/zjhpublic/G00306202/201910/t20191011_364295.htm.

[⑤] 来源请见中共中央网络安全和信息化委员办公室官网,网址:http://www.cac.gov.cn/2019-09/16/c_1570160214761147.htm.

[⑥] 来源请见新京报报道,网址:http://www.bjnews.com.cn/feature/2019/09/15/626241.html.

[⑦] 来源请见中共中央网络安全和信息化委员办公室官网,网址:http://www.cac.gov.cn/2019-09/16/c_1570160214761147.htm.

[⑧] 《刑法》第253条规定,任何个人或单位,违反国家有关规定,向他人出售或者提供公民个人信息,以及窃取或者以其他方法非法获取公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

[⑨] 《刑法》第285条规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。

[⑩] 信息来源请见:广东省公安厅官网,网址:http://gdga.gd.gov.cn/xxgk/sjtj/content/post_2641751.html.