鼠年说“数”之2019全球回顾与展望:数据合规的制度和实践(下) ——中国篇
观点
资讯
业绩
荣誉
律途
引 言
随着信息技术及应用的急速发展和推广,数据的重要性越来越为凸显。在党的十九届四中全会决议中数据已经被明确列为“生产要素”,成为国家的战略性资源。数据作为竞争性资产对企业的重要性自然也不言而喻,甚至已经有人提出“数据就是第一生产力”的商业口号。
数据的应用广泛,环节众多,其应用和保护涉及数据的全生命周期。企业涉及数据的活动既包括外部信息的收集和处理、与外部的沟通和信息交换、数据融合、以数据为基础的新型业务模式的开拓和运行,也包括内部管理、系统支持等,囊括企业经营和运营的各个应用场景。因此,不仅高科技、互联网和大数据等新兴产业的企业,包括传统制造业、服务业的企业活动也同样离不开对于数据的应用、处理和保护。
为了兼顾对于数据的有效利用和数据保护的两方面要求,我国一直致力于相关法律法规的建立与完善,特别是在2017年6月1日正式施行了《网络安全法》。《网络安全法》是我国网络安全领域的基础性法律,也是规范数据及其系统运行的核心法律。《网络安全法》在原有法律法规框架的基础上,以专门法律的形式明确了企业的责任和义务,即数据合规的基本原则和框架。2019年,为了进一步规范和落实网络安全和数据信息安全工作,同时也是为了应对实践中对于数据合规的实际需要,有关部门又陆续出台和施行了多项法律法规、规章、规范性法律文件和国家标准等。此外,2019年执法部门还开展了包括专项治理在内的积极执法行动。这些执法实践和实际案例同样为企业数据合规工作提供了有力的借鉴。本篇中,我们将梳理2019年国内有关数据合规主要制度的重点立法活动、执法活动和重要案例,供各企业参考。
立法 信息
数据合规的制度和实践(下)——
中国篇
数据 保护
★
4
一、立法活动
整体而言,我国主要从网络安全和数据信息安全两个方面展开立法,并制定其他相关法律法规、司法解释和国家标准等作为配套规定以保障网络和数据信息安全。
除下文所列内容外,各行业主管部门及各地政府也都相继出台有关规定,或对网络和信息安全制定专门规则,或在相关规定中纳入与此有关的内容。例如,工信部发布《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿),水利部出台《水利网络安全管理办法》,交通部等六部委联合修订《网络预约出租汽车经营服务管理暂行办法》,教育部印发《教育移动互联网应用程序备案管理办法》并与其他七部委联合发布《关于引导规范教育移动互联网应用有序健康发展的意见》,中国人民银行发布《金融消费者权益保护实施办法(征求意见稿)》,全国智能运输系统标准化技术委员会制定的《交通运输 信息安全规范》正式生效等。在地方,天津市颁布了《天津市数据安全管理办法(暂行)》,贵州省出台《贵州省大数据安全保障条例》,上海市制定了《上海市网络安全事件应急预案(2019年版)》。
受篇幅所限,无法逐一详述,故本文仅对2019年网络与数据信息安全领域跨行业适用、具有普遍意义或重大影响的主要立法活动进行列举说明。
(一)网络安全
01、网络等级保护制度
2019
04.01
《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018 )正式实施。该指南对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,为网络安全等级保护测评提供了技术规范参考。
2019
07.01
《信息安全技术 网络安全等级保护测评过程指南》正式实施。等级测评是落实网络安全等级保护制度的重要环节,该指南对网络安全等级保护测评的工作过程、测评活动及其工作任务进行了规范,为网络安全等级保护制度的落实奠定了基础。
2019
07.01
《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959-2018 )正式实施。本标准规定了网络安全等级保护测评机构的能力要求和评估规范,是网络安全等级保护制度的配套规范之一。
2019
07.01
《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)正式实施。网络安全等级保护安全管理中心是网络安全等级保护2.0(“等保2.0”)增加的控制点,等保2.0要求第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心。
2019
08.30
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019 )发布,将于2020年3月1日实施。该指南规定了等级保护对象实施网络安全等级保护工作的过程,进一步明确了等保2.0下等保工作的程序要求。
2019
12.01
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019 )、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019 )、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019 )正式实施,标志着等保2.0的时代正式到来。这些标准除了针对各网络安全等级保护对象的共性安全保护需求提出安全通用要求之外,同时针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下各等级保护对象的个性安全保护需求提出安全扩展要求。
02、网络产品和服务管理制度
2019
03.13
市场监管总局、中央网信办决定开展App安全认证工作,并公布《移动互联网应用程序(App)安全认证实施规则》。国家鼓励App运营者自愿通过App安全认证,通过实施规则明确了以《信息安全技术 个人信息安全规范》(GB/T 35273)(以下简称“《个人信息安全规范》”)及相关标准、规范作为安全认证依据,并对认证模式、认证程序、认证时限、认证证书和认证标识等有关问题进行了规定。
2019
05.21
《网络安全审查办法(征求意见稿)》发布,正式版尚未发布。该办法规定了关键信息基础设施运营者采购网络产品和服务时,应当预判安全风险,形成安全风险报告,并在法定条件下,向网络安全审查办公室申报网络安全审查。该办法还提出建立国家网络安全审查工作机制,但涉及关键信息基础设施及其运营者的识别和认定,仍然有待正式稿及配套规定进一步明确。
2019
06.25
《信息安全技术 个人信息安全工程指南(征求意见稿)》发布,正式版尚未发布。该标准适用于涉及个人信息的网络产品和服务,描述了个人信息安全工程目标,并就需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等系统工程各阶段的个人信息保护的实施给予指导。
2019
08.30
《信息安全技术 云计算服务运行监管框架》(GB/T 37972-2019)发布,将于2020年3月1日实施。该标准规定了云计算服务运行中安全控制措施监管、变更管理监管和应急响应监管的内容和监管活动
2019
08.30
《信息安全技术 数据库管理系统安全评估准则》(GB/T 20009-2019)发布,将于2020年3月1日实施。该评估准则规定了数据库管理系统安全评估总则、评估内容和评估方法,适用于数据库管理系统的测试和评估。
2019
09.01
《云计算服务安全评估办法》正式施行。该办法规定了云服务商在面向党政机关、关键信息基础设施提供云计算服务的云平台时,进行安全评估的申请材料、评估程序、评估内容、有效期限等相关事宜。该办法规定的目的在于提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。
2019
10.18
《信息安全技术 政府网站云计算服务安全指南》(GB/T 38249-2019 )发布,将于2020年5月1日实施。该安全指南确立了政府网站采用云计算服务过程中,在规划准备、部署迁移、运行管理、服务退出等阶段的安全技术措施和安全管理措施,明确了政府网站采用云计算服务特定场景下各参与方的安全职责,可适用于指导相关网站的安全保障建设。
03、网络安全事件管理制度等
2019
06.18
《网络安全漏洞管理规定(征求意见稿)》发布,正式版尚未发布。该规定系统规范了不同主体对于网络产品、服务、系统的网络安全漏洞验证、修补、防范、报告和信息发布等行为及责任,目的在于通过有效防范、及时处置和适时披露等制度的建立,降低由于安全漏洞及其不当处置公布带来的风险和不利影响。
2019
11.20
《网络安全威胁信息发布管理办法(征求意见稿)》发布,正式版尚未发布。该办法规定了发布网络安全威胁信息的原则、禁止内容、报告义务、程序等内容。
2019
12.15
《网络信息内容生态治理规定》正式公布,并将于2020年3月1日起施行。该规定以网络信息内容为主要治理对象,规定了网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者、网络行业组织各自的义务和责任,同时明确了监督管理责任和法律责任。
(二) 数据信息安全(重要数据和个人信息的保护)
2019
01.01
《电子商务法》正式施行。该法明确要求电子商务经营者应当履行网络安全和个人信息保护义务,规定了在收集、使用用户个人信息和制定平台服务协议及交易规则过程中有关个人信息保护的义务内容,同时与《网络安全法》相衔接,规定了违反个人信息保护义务的责任。
2019
02.01
《金融信息服务管理规定》正式施行。该规定规范了向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务过程中,服务提供者、使用者各自的义务以及监管部门和工作机制等有关内容。
2019
03.03
《App违法违规收集使用个人信息自评估指南》发布并实施。针对隐私政策文本、收集使用个人信息行为、App运营者对用户授权权利的保障等方面的各个评估事项列明了评估点和评估标准,不仅可以用于App运营者对其收集使用个人信息的情况进行自查自纠,同样,对于其他涉及个人信息收集使用的主体进行合规确认也有参考借鉴意义。
2019
04.01
《信息安全技术 金融信息服务安全规范》正式实施。该标准规定了金融信息服务提供商提供金融信息服务时的基本原则、服务过程要求、技术要求和管理要求,适用于中华人民共和国境内注册或登记的国内外金融信息服务提供商提供金融信息服务的活动。
2019
04.10
《互联网个人信息安全保护指南》实施,规定了个人信息安全保护的管理机制、安全技术措施和业务流程,包括个人信息整个生命周期的处理过程,并对安全事件管理的环节进行了具体落实。作为主管部门之一公安部出台的指引性文件,该指南整合了《网络安全法》和《个人信息安全规范》的有关内容。
2019
04.30
《网络交易监督管理办法(征求意见稿)》发布,正式版尚未发布。该征求意见稿与《网络安全法》《电子商务法》等相衔接,明确规定了网络交易经营者在经营活动中收集、使用消费者或者经营者信息过程中应当遵循的原则、义务和责任等内容。与2014年原国家工商总局颁布的《网络交易管理办法》相比,该征求意见稿对于个人信息的收集和使用提出了更高要求,例如,增加了逐次征求消费者同意的规定。
2019
05.18
《数据安全管理办法(征求意见稿)》发布,正式版尚未发布。本办法明确了坚持保障数据安全与发展并重等基本原则,对于个人信息和重要数据的收集、处理使用和安全监督管理等进行了规定。
2019
05.28
《中华人民共和国人类遗传资源管理条例》发布,并于7月1日起正式实施。人类遗传资源涉及公众健康、国家安全和社会公共利益,该条例就人类遗传资源的采集、保藏、利用、对外提供、服务监督以及法律责任等进行了规范。
2019
06.01
全国信息安全标准化技术委员会发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》。为了落实《网络安全法》第四十一条的要求,该规范在明确个人信息收集原则的基础上,针对地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的个人信息提供了参考。
2019
06.13
《个人信息出境安全评估办法(征求意见稿)》发布,正式版尚未发布。该办法延续了2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》将对象主体范围从关键信息基础设施运营者扩大到所有网络运营者的同时,将个人信息与重要数据分开监管,规定了网络运营者向境外提供在境内运营中收集个人信息时,进行安全评估并向网信部门进行申报的有关内容,进一步强化了安全评估机制的要求,但最终落地内容仍需观望。
2019
06.25
《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》发布,正式版尚未发布。该标准规定了对于指纹图像、语音、虹膜图像、面部图像等生物特征识别信息的安全保护要求,包括生物特征识别系统的威胁和对策、生物特征信息和身份主体之间绑定的安全要求、应用模型以及个人信息保护要求等内容。
2019
08.08
《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,正式版尚未发布。该草案明确了移动互联网应用收集个人信息时应满足的基本要求,特别是列出了地图导航、网络约车、网上购物等21种常用服务类型收集的最小必要信息,以及服务类型最小必要信息涉及的最小必要权限范围。[1]
2019
08.22
《儿童个人信息网络保护规定》发布,并于2019年10月1日生效。该规定突出了儿童个人信息保护的特殊监管要求,对个人信息全生命周期的合规保护进行了规定,强调了儿童监护人的监护职责,明确了违法责任和处罚方法。
2019
08.27
《民法典人格权编(草案三次审议稿)》在同年4月26日发布的草案二次审议稿基础上修改并发布。该审议稿将个人信息保护与隐私权并列并以专门章节进行了规定,明确了个人信息受法律保护,并就个人信息收集、处理的有关义务、责任进行了规定。
2019
08.30
《信息安全技术 大数据安全管理指南》(GB/T 37973-2019 )发布,将于2020年3月1日实施。该指南提出了大数据安全管理基本原则,规定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险等内容,为各类组织进行数据安全管理提供了参考。
2019
10.24
《个人信息安全规范》最新版征求意见稿发布。《个人信息安全规范》虽然是推荐性国家标准,但是该规范为企业建立健全内部个人信息保护制度以及规范实践操作规则提供了细致的指引,从2018年5月正式施行以来一直被广泛应用于各行各业的合规实践中。结合工作实践以及各方面的反馈意见,监管部门2019年频繁出台了该规范的替代草案和前后两次征求意见稿,本规范作为合规参考依据的重要性不言而喻。
2019
11.28
《App违法违规收集使用个人信息行为认定方法》发布并施行。该办法列明了App违法违规收集使用个人信息的具体行为,为监管部门认定相关行为提供参考,也为App运营者及涉及个人信息收集使用的网络运营者自查自纠提供了指引。
(二)其他网络安全保障相关法律规范
2019
05.01
《信息安全技术 公民网络电子身份标识格式规范》(GB/T 36632-2018)正式实施。该标准规定了在线识别网络空间公民真实身份的电子标识——公民网络电子身份标识的组成及密钥对的产生要求、格式要求和编码规则。
2019
08.30
《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)发布,将于2020年3月1日起实施。该标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施,在促进数据共享使用的同时,为保护个人信息安全提供了技术指南。
2019
10.21
最高人民法院、最高人民检察院发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,并于2019年11月1日起施行。对拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动等犯罪的认定和适用法律问题进行了解释。
2019
10.26
《中华人民共和国密码法》发布,2020年1月1日起正式施行。《密码法》是我国密码管理领域首部基础性法律,确立了对密码实施分类管理的规范内容。其中涉及网络安全领域的部分,与《网络安全法》《关键信息基础设施安全保护条例》等配套法律法规均有内容衔接,为网络安全的技术保障提供了法律依据和管制措施。
★
4
二、执法活动/案例
(一)主要行政执法活动
2019
01
中央网信办、工信部、公安部、市场监督总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理公告》,成立专项治理工作组,开展App收集个人信息的专项治理行动。App专项治理是一项贯穿2019年全年的执法行动,该行动中的重要事件和典型案例包括:
2019年7月,App专项治理工作组接收网民举报,对可能存在个人信息收集使用问题的App进行评估。经查,包括人人贷借款、富途牛牛、借花花贷款、悟空理财等金融理财类App,以及步道乐跑、智行火车票、亿通行、墨迹天气等生活类App在内,共40款App存在个人信息收集使用方面的问题,且未公开有效联系方式,被工作组纳入整改名单之内。工作组责令相关App在通知发布之日起30日内完成整改并向工作组提交整改报告。
2019年12月,链家、小米金融、360贷款导航、招商银行掌上生活、搜狗浏览器、有道云笔记、万达贷等61款App被App专项治理工作组点名批评(其中包括4款此前通知但未按期完成整改的App),建议相关App运营者对存在的问题进行整改,并自相关信息发布之日起30日内向工作组反馈整改情况。[2]
2019
01
公安部部署“净网2019”专项行动,继续依法严厉打击侵犯公民个人信息、黑客攻击破坏等突出网络违法犯罪,并在2019年6月、11月两次通报该专项行动工作情况及典型案例。该行动中涉及网络安全和数据信息安全的重要事件和典型案例包括:
苏州警方发现,苏州某软件公司对开办的论坛在上线运营过程中疏于管理,未采取有效技术防护措施,导致网站上出现大量网络招嫖等违法暗链。公安机关依据《网络安全法》第21条、第59条规定,对该公司予以罚款1万元,对直接负责的主管人员予以罚款5千元,并责令限期整改。
苏州警方接公安部通报线索发现,一款求医问药类App应用疑似存在侵害个人信息行为。经查,苏州某医疗科技公司运营的该款App应用,在安装过程和首次使用中未明示用户隐私协议。依据《网络安全法》第41条、第64条规定,公安机关对该公司予以警告,对直接负责的主管人员予以罚款1万元,并责令限期整改。
南通市某中学遭黑客入侵,被加挂违法信息暗链后擅自处置,未按照规定向有关主管部门报告。同时,该校存在网络安全意识淡薄、未落实网络安全等级保护制度、未采取有效技术防护措施等问题,安全隐患较多。南通警方依据《网络安全法》第21条、第25条、第59条规定,对该中学予以罚款3万元,对直接负责的主管人员予以罚款1万元,并责令限期整改。
公安部网络安全保卫局在江苏南京召开“净网2019”十大集群战役总结会。经过5个月的艰苦奋战,全国公安网安部门重点打击网络犯罪的关键环节,成功侦破集群战役案件690起,打掉各类黑色产业公司210余家,捣毁、关停买卖手机短信验证码、帮助网络账号恶意注册的网络接码平台40余个,抓获犯罪嫌疑人1.4万余名,查获手机黑卡1,300余万张,收缴猫池、卡池、针孔摄像头等黑设备114余万件,清理恶意注册网络账号4,250余万个,缴获公民个人信息12.63亿条。[3]
黑龙江公安机关网安部门侦破“7·30”网络“套路贷”专案,侦获一条集实施“套路贷”犯罪团伙、催收团伙以及帮助“套路贷”犯罪的技术服务商、数据支撑服务商、支付服务商完整犯罪链条。公安部网络安全保卫局从这些案件线索出发,组织全国展开集群战役,9月1日以来,各地网安会同刑侦部门收网打掉团伙147个,抓获嫌疑人1,531名,采取刑事强制措施798名,铲除了一批帮助犯罪的技术服务商、数据支撑服务商、支付服务商,实现了对“套路贷”犯罪规模打击、生态打击。[4]
2019
01
国家网信办启动网络生态治理专项行动,该行动自2019年1月起持续开展6个月,对各类网站、移动客户端、论坛贴吧、即时通信工具、直播平台等重点环节中的十二类负面有害信息进行整治,集中解决网络生态重点环节突出问题。[5] 在该执法行动的影响下,经北京市检察院提议、中国互联网协会召集,2019年12月6日下午在北京市检察院召集百度、新浪、腾讯、搜狐、阿里巴巴、小米、一点网聚等十五家在京互联网公司联合发起主题为“围绕首都文化中心建设,共促网络生态环境治理”倡议大会。 [6]
2019
04
市场监管总局办公厅印发通知,决定于2019年4月1日至9月30日期间,在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,重点打击侵害消费者个人信息违法行为。该行动中的重要事件和典型案例包括:
四川省宜宾市市场监督管理局接到群众举报,反映喻某等人非法收集消费者个人信息。经查,自2018年11月至2019年6月,喻某、罗某等人从某科技有限公司获得空白移动电话卡,通过分发蚊香、洗衣液等形式骗取老年人身份证信息,用随身携带的办卡pos机将空白移动电话卡实名登记,然后寄回某科技有限公司。实名登记电话卡共计18,990张,涉案总金额达286,179元。目前,该案已依法移交公安机关。
北京市通州区市场监管局接到群众举报,反映北京麦凯尼科教育科技有限公司涉嫌未经消费者同意,收集、使用消费者个人信息。经查,该公司未经消费者同意,擅自收集消费者个人信息480条,包含有“宝宝姓名”、“小名”、“出生日期”、“联系方式”等内容,用以通过电话营销方式推广公司相关业务。通州区市场监管局依据《消费者权益保护法》相关规定,对该公司予以行政处罚。
河南省洛阳市市场监管局接到群众举报,反映洛阳首茂房产经纪有限公司涉嫌未经消费者同意,擅自收集消费者个人信息。经查,该公司未经业主同意,擅自收集业主个人信息68,165条,包含有业主姓名、联系电话、小区名称、房间编号、房间面积等内容。目前,该案已依法移交公安机关。
2019
05
工信部发布《关于做好2019年电信和互联网行业网络安全行政检查工作的通知》,组织开展2019年电信和互联网行业网络安全行政检查工作,检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、互联网域名注册管理和服务机构建设与运营的网络和系统,重点是电信和互联网行业网络基础设施,通过公共互联网收集、存储与处理用户信息和网络数据的重要信息系统。检查内容是对上述检查对象落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,仍然存在的弱口令、漏洞和其他风险隐患等[7]。该行动中的重要事件和典型案例包括:
2019年6月,北京通信管理局对8家呼叫中心企业进行了行政约谈,督促基础电信企业加强线路资源管理,对近日被工信部约谈的企业短号码全部予以关停处理。并且,针对 “95”短号码骚扰电话举报投诉上升给通信用户造成困扰的问题,依法对不配合监督管理、拨打骚扰电话的点石卓越(北京)通信技术有限公司予以了行政处罚,同时将该公司列入了电信业务经营不良名单。
2019年11月,浙江省通信管理局发布2019年电信和互联网行业网络安全检查情况的通报,对省内基础电信企业27个网络和系统以及省内接入服务企业、域名注册服务机构和重点互联网企业213个网络和系统开展现场检查,远程检测省内增值电信企业5,997家,发现各类安全漏洞隐患3.6万余个。
2019
11
工信部发布《关于开展APP侵害用户权益专项整治工作的通知》。App侵害用户权益专项整治行动面向App服务提供者和App分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。该行动中的重要事件和典型案例包括:
2019年12月,工信部发布“关于侵害用户权益行为的App(第一批)”通报, QQ、小米金融、36氪、新浪体育、高铁管家12306火车票等41款APP因为存在“强制用户使用定向推送功能”、“不给权限不让用”、“账号注销难”、“私自共享给第三方”、“过度索取权限”等问题遭通报,并要求12月31日前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。
(二)年度其他重点案例
2019
03
腾讯向天津市滨海新区人民法院起诉抖音、多闪违反开放平台协议共享微信/QQ用户头像,涉嫌不正当竞争。就抖音同多闪之间的共享行为,天津市滨海新区人民法院已通过裁定要求抖音立即停止将微信/QQ开放平台授权登录服务提供给多闪使用的行为,同时多闪此前通过抖音擅自获得的微信/QQ用户头像、昵称也被勒令停用。该案实体部分目前尚在审理之中。
2019
06
用户刘某向北京市海淀区人民法院起诉“今日头条”侵犯其隐私权。刘某主张要求“今日头条”停止侵权行为,为注销账号和清除遗留个人信息提供有效途径;在产品显著位置向原告公开道歉;赔偿损失共计1元。该案目前尚在审理之中。
2019
09
工信部网络安全管理局就“ZAO”App网络数据安全问题,对北京陌陌科技有限公司相关负责人进行了问询约谈。要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。同时,要求企业进一步加强新技术新业务安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。
2019
09
公安部门先后对杭州魔蝎数据科技有限公司、新颜科技人工智能科技有限公司、杭州存信数据科技有限公司、天翼征信等大数据公司进行调查,相关公司多名高管被警方控制,要求协助调查。“数据爬虫”的合规问题成为焦点,调查风暴迅速席卷大数据风控行业。
2019
09
浙江省台州市中级人民法院对陈某华、陈某武等人侵犯个人信息罪做出二审终审判决,维持原判。中国电信股份有限公司全资子公司号百信息服务有限公司员工陈某华利用职务之便,从公司数据库获取区分不同行业、地区的手机号码信息(包括号码归属地、号码持有人商业需求等信息)提供给陈某武,后者将其在网络上销售,获利累计2,000余万元,涉及个人信息2亿余条。2019年6月,温岭市法院作出一审判决,陈某武、陈某华被判侵犯公民个人信息罪,分别被判处有期徒刑四年六个月、四年三个月,各并处罚金人民币100万元;二人犯罪所得人民币2,000万元,依法予以追缴,上缴国库。
2019
10
杭州市民郭某因不愿接受人脸信息的采集,要求办理杭州野生动物世界年卡退卡退费手续被拒,于是将杭州野生动物世界告上法庭。郭某在诉讼中质疑杭州野生动物世界采集人脸信息的合法性、安全性以及隐私有关问题。该案被称为“中国人脸识别第一案”,引发社会广泛关注。
2019
10
杭州警方突击调查了51信用卡办公地点,公司高管和数十名信用卡员工被带走协助调查。结合杭州警方通报,暴力催收是此次51信用卡被查的主因。有用户被51催收工作人员威胁,称若用户不在规定时间内还款将曝光其通讯录。而51信用卡在收集用户的通讯录信息时,并未向用户明确说明其收集使用该个人信息的目的。
2019
10
墨迹科技IPO上会被否,证监会发审委在公告中提出询问的主要问题包括通过自主收集及第三方途径获取用户数据是否合规,并要求公司说明使用用户数据是否合法合规,尤其是商业化变现的合规性等情况。
2019
11
考拉征信等数家公司被警方调查。据央视报道,江苏淮安警方依法打击了包括考拉征信在内的7家涉嫌侵犯公民个人信息犯罪的公司,涉及非法缓存公民个人信息1亿多条。其中,A股上市公司拉卡拉支付股份有限公司旗下的考拉征信服务有限公司自2015年3月以来,非法提供查询返照9,800余万次,获利3,800余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片等信息近1亿条。[8]
展望2020
相关立法有望最终出台,法律规范和标准有望进一步明晰。
《个人信息保护法》《数据安全法》已经列入十三届全国人大立法规划。此外,涉及数据安全管理、关键信息基础设施和重要数据的识别与认定、个人信息和重要数据出境安全评估以及网络安全等级保护等重点数据合规方面的规范性文件和标准已经广泛征集社会意见和积累实践经验,有望在2020年正式出台。
执法活动将持续活跃,行政执法规范有待进一步明确。
2020年1月包括相关部门对于App违法违规收集个人信息的专项整治行动在内,主管部门的执法活动依然活跃(详细情况请参阅《天达共和数据合规资讯月报(No.01)2020》)。随着社会公众对于数据使用、隐私保护等问题的日益关注,以及相关立法的最终出台,可以预见相关执法活动仍将持续,执法强度以及处罚力度有可能进一步加强。另一方面,多头共管、九龙治水、职权不明的现象仍然普遍存在,随着立法活动和执法实践活动的深入,期待执法机构、执法权责进一步加以明确。
数据合规重点领域以及行业监管有可能加强,企业经营可能面临更多数据合规相关问题。
随着立法的进程,数据跨境、等级保护等被普遍关注的问题有可能逐步明确,监管也可能强化。特别是涉及金融、医疗、电子商务等行业以及人工智能、人脸识别等技术的监管有可能进一步规范。这些监管规定为企业进行数据合规明确边界的同时,也使得越来越多的企业将不得不面临和认真考虑对应方法。
天达共和数据合规工作组将持续关注数据合规领域的动态变化,为企业的数据合规和数据有效利用提供专业支持。
注释
[1] 该规范意见稿于2020年1月20日更新。
[2] 来源:App专项治理工作组微信公众号“App个人信息举报”。
[3] 《“净网2019”十大集群战役打掉“黑产”公司二百余家 》:http://legal.people.com.cn/n1/2019/1231/c42510-31530054.html。
[4] 《公安部通报“净网2019”专项行动典型案例》:http://www.gov.cn/xinwen/2019-11/14/content_5452134.htm。
[5] 《国家网信办启动网络生态治理专项行动 剑指12类违法违规互联网信息》:http://www.cac.gov.cn/2019-01/03/c_1123942483.htm。
[6] 《围绕首都文化中心建设 共促网络生态环境治理 | 十五家在京互联网企业在北京市检察院联合发出倡议》:https://news.china.com/zw/news/13000776/20191206/37506694.html。
[7] 《关于做好2019年电信和互联网行业网络安全行政检查工作的通知》:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c6983820/content.html。
[8] 《非法缓存公民信息近1亿条 考拉征信“失信”为哪般?》:http://finance.sina.com.cn/jinrong/hj/2019-11-20/doc-iihnzhfz0578467.shtml。
天达共和数据合规工作组
天达共和数据合规工作组由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和一体化管理的综合力优势,加之具有与数据合规相关的民事、刑事、公司并购/重组、反垄断/反不正当竞争、知识产权等法律专业服务能力及项目经验,我们可以为客户提供的业务涵盖数据系统安全运营以及数据生命周期全过程和各个应用场景下数据应用处理的法律业务,涉及的业务内容包括数据合规审查综合项目、数据合规风控体系的建立与完善、数据合规专项服务、行政检查应对、争议解决、合规培训等。建立在对中国国内外,包括欧洲、美国、日本等重点国家和地区,数据领域法律法规深度研究和持续关注的基础上,并结合多年公司合规业务领域的经验,数据合规工作组为包括国家机关、大中型企事业单位、跨国企业集团、外资企业和民营企业的大量客户提供了各项数据合规相关的法律服务。数据已经成为战略性资源,企业的运营和发展离不开数据的有效利用和保护。天达共和数据合规工作组秉承“成功,始于助人成功”以及专业至精、尽心竭力的服务理念,力求助力客户,为客户提供高效、优质、专业的服务。
申晓雨
天达共和合伙人
李丽霞
天达共和合伙人
叶 鹏
天达共和合伙人
张 劢
天达共和律师
吴雅涵
天达共和实习律师
康雅斯
天达共和法务人员
数据合规工作组往期文章回顾: