植德数据合规热点速递|2023011
北 京| — 植 德 律 师 事 务 所 —
2023年1月刊植德<数据合规热点速递>(自2023 年1 月1 日至2023年1月31日)
植德数据合规热点速递|2023011
北 京| — 植 德 律 师 事 务 所 —
2023年1月刊植德<数据合规热点速递>(自2023 年1 月1 日至2023年1月31日)
植德数据合规热点速递|2023012
目录立法动向 ............................................................................................................................5行业动态 ............................................................................................................................9
植德数据合规热点速递|2023013
导读立法动向
1. 《上海市公共数据开放实施细则》发布
2. 《四川省数据条例》获表决通过
3. 中国广告协会、中国通信标准化协会发布《移动互联网应用程序广告行为规范》等 5 项团体标准
4. 全国信安标委发布《关于下达 7 项网络安全推荐性国家标准计划的通知》5. 《网络安全标准实践指南—车外画面局部轮廓化处理效果验证》公开征求意见6. 浙江省网信办发布《数据出境安全评估申报材料指引》7. 银保监会发布《银行保险监管统计管理办法》 加强数据安全保护行业动态
1. 全国首个获批数据出境安全评估案例落地北京
2. 北京市通管局通报 29 款存在隐私合规和网络数据安全问题的App
3. 江苏省通信管理局通报未完成整改的侵害用户权益行为的App
4. 湖北省通信管理局发布关于通信网络安全防护管理情况的通报(2023 年第1批)5. 工信部公布 2023 年十三个方面重点任务,涉及数字化转型、个人信息保护、网络与数据安全
6. 北京市目录链 2.0 上线,全国首个超大城市区块链基础设施再升级7. 最高检发布涉案企业合规典型案例(第四批)
植德数据合规热点速递|2023014
8. 某网约车 APP 经报网络安全审查办公室同意恢复新用户注册
植德数据合规热点速递|2023015
一、 立法动向
1. 《上海市公共数据开放实施细则》发布
为贯彻落实《上海市数据条例》《上海市公共数据开放暂行办法》,促进公共数据更深层次、更高水平开放,支撑上海城市数字化转型,上海市经济和信息化委员会与上海市互联网信息办公室于 2022 年 12 月 31 日印发了《上海市公共数据开放实施细则》。
【来源:上海经信委】
2. 《四川省数据条例》获表决通过
近日,四川省十三届人大常委会第三十八次会议表决通过《四川省数据条例》(以下简称条例)。条例共有八章七十条,包括总则、数据资源、数据流通、数据应用、数据安全、区域合作、法律责任和附则,自 2023 年1 月1 日起实施。数据是数字经济时代关键的生产要素,也是推动经济社会高质量发展的重要引擎。此法规的出台实施将有序推进四川数据资源利用,聚焦激活新要素、推进新治理、营造新生态,保障数据安全,加快建设网络强省、数字四川、智慧社会,保持四川在国家大数据战略实施中的先导性和主动性。【来源:网信四川】
3. 中国广告协会、中国通信标准化协会发布《移动互联网应用程序广告行为规范》等 5 项团体标准
2023 年 1 月 3 日,中国广告协会、中国通信标准化协会发布以下5 项团体标准,并将于 2023 年 1 月 6 日起实施:《移动互联网应用程序广告行为规范》《互联网广告 发布审核规程》《互联网广告 匿名化实施指南》《互联网广告受众测量技术要求》及《互联网广告场景下 IP 地址地理信息技术要求》。【来源:中国广告协会】
4. 全国信安标委发布《关于下达 7 项网络安全推荐性国家标准计划的通知》1 月 5 日,国家标准化管理委员会下达了 2022 年第三批推荐性国家标准计划、2022 年第四批推荐性国家标准计划;其中由全国信安标委归口的标准项目共计7 项。针对该 7 项标准,全国信安标委发布了《关于下达7 项网络安全推荐性国家标准计划的通知》(以下简称“《通知》”),并列举标准计划如下:
植德数据合规热点速递|2023016
《信息安全 网络安全和隐私保护 信息技术安全评估准则第1 部分:简介和一般模型》
《信息安全 网络安全和隐私保护 信息技术安全评估准则第2 部分:安全功能组件》
《信息安全 网络安全和隐私保护 信息技术安全评估准则第3 部分:安全保障组件》
《信息安全 网络安全和隐私保护 信息技术安全评估准则第4 部分:评估方法和活动的规范框架》
《信息安全 网络安全和隐私保护 信息技术安全评估准则第5 部分:预定义的安全要求包》
《IPv6 地址分配和编码规则 接口标识符》
《信息安全技术 网络安全服务能力要求》
【来源:全国信息安全标准化技术委员会】
5. 《网络安全标准实践指南—车外画面局部轮廓化处理效果验证》公开征求意见1 月 6 日,为指导汽车数据处理者规范开展车外画面数据收集,验证车外画面人脸、车牌局部轮廓化处理效果,信安标委秘书处组织编制了《网络安全标准实践指南—车外画面局部轮廓化处理效果验证(征求意见稿)》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南—车外画面局部轮廓化处理效果验证(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于2023 年 1 月 20 日前反馈至秘书处。
【来源:信安标委秘书处】
6. 浙江省网信办发布《数据出境安全评估申报材料指引》2023 年 1 月 6 日,浙江省网信办编制并发布《浙江省数据出境安全评估申报材料指引》(以下简称“《申报指引》”),指引数据处理者提高申报材料的完整性、准确性、一致性:
植德数据合规热点速递|2023017
完整性要求
1.材料齐全
根据《申报指南》要求的安全评估工作需要的其他材料包括以下内容:统一社会信用代码证件影印件(影印件加盖公章);法定代表人身份证件影印件(影印件加盖公章);经办人身份证件影印件(影印件加盖公章);经办人授权委托书(原件);数据出境安全评估申报书(原件);与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件(影印件加盖公章);数据出境风险自评估报告(原件);其他相关证明材料(影印件加盖公章)。2.内容完整
申报材料中的《数据出境安全评估申报书》和《数据出境风险自评估报告》严格按照《申报指南》要求,材料内容要求完整。
准确性要求
准确性要求包括 5 项:内容真实、填写准确、时间有效、译本准确,以及第三方机构要求。其中,时间有效自评估工作为申报之日前3 个月内完成,且至申报之日未发生重大变化;第三方机构要求主要指申报材料中自评估报告涉及第三方机构参与出具的,须在自评估报告中说明第三方机构的基本情况及参与评估工作的具体情况,并加盖第三方机构公章。
一致性要求
一致性要求包括在格式、内容、表述与顺序 4 个方面与《申报指南》中的对应模板中的内容严格保持一致。另外,表述一致要求申报材料的申报书、自评估报告、法律文件以及安全评估工作需要的其他材料等各个材料中关于数据处理者单位名称、境外接收方名称、数据出境业务名称、法律文件名称等各项表述要求严格保持一致。
《数据出境安全评估办法》于 2022 年 9 月 1 日正式实施,浙江省网信办随即于9 月 8 日正式开通数据出境安全评估咨询和申报通道。【来源:网信浙江】
7. 银保监会发布《银行保险监管统计管理办法》 加强数据安全保护近日,中国银保监会发布《银行保险监管统计管理办法》。《办法》指出,明确
植德数据合规热点速递|2023018
归口管理要求,明确数据质量责任,强调数据安全保护,对接数据治理要求,重视数据价值实现。该《办法》自 2023 年 2 月 1 日起施行。业内认为,《办法》在监管统计数量责任、归口管理部门和质量责任认定、相关概念界定、内容框架、职责要求、工作机制、处罚措施等方面都有了更明确的要求。对于提升银行保险监管统计质量、落实《中华人民共和国数据安全法》都有重要意义。
根据《中华人民共和国数据安全法》相关规定,《办法》在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容,明确提出监管统计工作有关保密要求。
《办法》要求,银保监会归口管理部门应组织开展监管统计数据安全保护相关工作,相关部门配合归口管理部门落实监管统计数据安全保护相关工作;银行保险法人机构应明确并授权归口管理部门落实监管统计数据安全保护等相关工作职责。
《办法》指出,银行保险机构应加强监管统计资料的存储管理,建立全面、严密的管理流程和归档机制,保证监管统计资料的完整性、连续性、安全性和可追溯性。银行保险机构向境外机构、组织或个人提供境内采集、存储的监管统计资料,应遵守国家有关法律法规及行业相关规定。此外,《办法》还将银行保险机构统计信息安全性情况纳入监督检查范围。
金融数据是关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据。有业内人士建议,金融机构可以建立监管数据责任体系,明确监管数据的业务主管方和协管方,实现监管数据质量责任的进一步细分认定。【来源:新华网】
植德数据合规热点速递|2023019
二、 行业动态
1. 全国首个获批数据出境安全评估案例落地北京
1 月 18 日消息,为贯彻落实国家数据出境安全评估制度,促进北京市数据跨境安全、自由流动,北京市互联网信息办公室在国家互联网信息办公室的指导下,积极开展数据出境安全评估申报受理工作,以开通咨询热线、组织政策解读、推动试点案例为抓手,指导本市企事业单位按照规范路径开展评估申报,取得数据合规出境重要突破。
自 2022 年 9 月 1 日《数据出境安全评估办法》实施以来,北京市互联网信息办公室率先开通全国首个地方申报受理咨询专线。截至目前,已解答咨询电话700 余通,服务数据出境需求主体 270 余家,组织指导我市社交媒体、医疗、金融、汽车、民航等重点领域 16 家单位递交正式申报,10 家单位申报材料通过完备性查验,2 家单位通过数据出境安全评估。其中首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例,该项目的审批通过,标志着国家数据出境安全评估制度在北京市率先落地,为强化医疗健康数据出境安全管理,促进国际医疗研究合作提供了实践指引。近日,北京市申报的中国国际航空股份有限公司项目作为全国第二例也成功获批通过,为本市进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径,对提升本市数据安全合规管理水平、优化营商环境具有重要意义。
后续,北京市互联网信息办公室将进一步加强数据出境安全评估的申报指导,积极推动属地企事业单位及时、规范、有序开展评估申报工作。同时,依据《数据出境安全评估办法》第二十条规定,提示本市已开展数据出境活动但尚不符合规定要求的数据处理者,应尽快组织整改,严格按照《数据出境安全评估申报指南(第一版)》模板规范要求(模板附后)准备评估申报材料,并及时向北京市互联网信息办公室报送。11 月 1 日,《个人信息保护法》施行一周年之际,广东省高级人民法院发布一批个人信息保护典型案例,其中包括2 个刑事、4 个民事案件,涵盖严厉打击侵犯公民个人信息犯罪、防止个人信息“过度收集”、保障行使个人信息查阅复制权、规范网络平台依法使用个人信息等内容,反映了广东法院充分发挥审判职能作用,全面依法保护个人信息权益、规范个人信息处理,维护网络空间良好生态、促进数字经济健康发展的司法实践。【来源:网信北京】
2. 北京市通管局通报 29 款存在隐私合规和网络数据安全问题的App
近日,北京市通信管理局在开展 App 隐私合规和网络数据安全专项整治过程中,对存在侵害用户权益和安全隐患等问题的 29 款 App 作出通报。
植德数据合规热点速递|20230110
其中,21 款 App 存在不同类型问题需整改。通报要求相关App 运营企业立即整改,并于 1 月 18 日前提交整改报告,逾期不整改或整改不到位的,将依法依规予以处置。8 款 App 因之前问题整改不到位,北京市通信管理局拟通知应用商店予以下架处置。
从通报名单来看, 21 款 App 存在未经用户同意收集使用个人信息、违规向他人提供个人信息、未对敏感用户数据进行加密、强制用户使用定向推送以及未明示收集使用个人信息的目的、方式和范围等不同类型问题而被通报整改;8款将被下架处置的 App 则涉及账号注销难、未经用户同意收集使用个人信息、违法必要原则等问题。
【来源:北京市通管局】
3. 江苏省通信管理局通报未完成整改的侵害用户权益行为的App
2023 年 1 月 10 日,江苏省通信管理局组织第三方检测机构对本省App 隐私合规和数据安全开展检查。经检测发现 19 款 App 存在侵害用户权益和安全隐患问题,江苏省通信管理局发出《关于通报 APP 安全问题的通知》责令App 运营者限期整改。截至目前,尚有 2 款 App 未完成整改,主要涉及违规收集个人信息,App 强制、频繁、过度索取权限的问题,现予以公开通报。被通报的App应在 1 月 20 日前完成整改及反馈工作;逾期未整改、未反馈结果,或整改不到位的,江苏省通信管理局将依法依规采取下架等处理措施。【来源:江苏省通管局】
4. 湖北省通信管理局发布关于通信网络安全防护管理情况的通报(2023 年第1批)根据《网络安全法》《通信网络安全防护管理办法》《公共互联网网络安全威胁监测与处置办法》等法律法规要求,湖北省通信管理局定期对本省增值电信企业的通信网络安全防护定级备案情况进行审查,组织专家团队对相关企业的通信网络单元进行评审并开展远程检测。
前期,湖北省通信管理局要求省内相关增值电信企业及时通过工信部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本企业网络单元的定级信息,并责令存在网络安全隐患的企业限期整改,现将未能通过定级备案审核、未及时整改网络安全隐患的企业予以通报。逾期不改正或导致危害网络安全等后果的,湖北省通信管理局将依法依规给予约谈或行政处罚。【来源:湖北省通管局】
植德数据合规热点速递|20230111
5. 工信部公布 2023 年十三个方面重点任务,涉及数字化转型、个人信息保护、网络与数据安全
2023 年 1 月 11 日,全国工业和信息化工作会议在北京召开。会议总结了2022年工作,强调 2023 年要抓好十三个方面重点任务,主要涉及:全力促进工业经济平稳增长;扎实推进“十四五”规划落地见效;提升重点产业链自主可控能力;深入推进产业基础再造;加快推进重大技术装备攻关;加快改造提升传统制造业;培育壮大新兴产业;加快信息通信业发展;促进中小企业发展;优化国防科技工业体系和布局,建设先进国防科技工业,巩固一体化的国家战略体系和能力;支持部属高校“双一流”建设;提升行业治理能力;以及,全力以赴做好重点医疗物资生产保供。
【来源:工信部】
6. 北京市目录链 2.0 上线,全国首个超大城市区块链基础设施再升级1 月 11 日,据北京市经信局介绍,北京市目录链 2.0 已于今年1 月1 日0 时正式上线。全市 80 余个部门、16 个区、经济技术开发区以及交通、金融等领域10 余家社会机构的数据目录全部上“链”,链上实时管理目录信息50 余万条、信息系统 2700 余个,支撑跨部门、跨层级、跨领域、跨主体的数据安全共享1万余类次、数百亿条。作为全国首个超大城市区块链基础设施,北京市目录链的本次升级是落实中央“数据二十条”的先行实践,实现从底层架构到核心算法的全面自主可控。本次升级依托国内首个自主可控的区块链软硬件技术体系“长安链”开展,具备高并发、低延时、大规模节点组网等能力,实现了目录链 2.0 在架构灵活性、共识机制、数据存储等方面的显著提升,区块链数据查询响应速度达毫秒级。在安全性方面,目录链 2.0 的框架体系、技术架构及核心组件全部自主研发,采用国密算法和密码机等多重安全防护技术,全面保障系统安全和数据安全。此次升级提升了政务和社会数据安全有序流通的可靠性,进一步筑牢了数字经济基础设施的支撑能力,打造了数据要素可信流通、治理体系高效协同的“北京模式”。
依托目录链,北京市逐步建立起“数据来源可信任、授权范围可界定、流通过程可追溯、场景用途可监管”的数据管控新格局。下一步北京市将依托目录链,结合数据专区等创新模式,进一步探索数据要素可信流通、治理体系高效协同的数据全流程管控与监管机制,健全数据要素评估评价体系,全面提升政企数据融合共用的服务能力,挖掘数据效能,释放数据价值。【来源:北京发布】
7. 最高检发布涉案企业合规典型案例(第四批)
植德数据合规热点速递|20230112
1 月 16 日,最高人民检察院发布第四批涉案企业合规典型案例。该批典型案例充分考虑大中小微以及中外合资、外资等不同企业类型合规特点,于近期办理完成的案例中选出。该批典型案例共 5 件,分别是:北京李某某等9 人保险诈骗案,山东潍坊 X 公司、张某某污染环境案,山西新绛南某某等人诈骗案,安徽 C 公司、蔡某某等人滥伐林木、非法占用农用地案,浙江杭州T 公司、陈某某等人帮助信息网络犯罪活动案。
该批典型案例涉及的合规类型有:汽车销售服务企业保险专项合规、中外合资企业环境保护专项合规、劳动密集型企业安全生产及财税管理专项合规、外资企业多罪名生态环保专项合规、互联网科创公司网络犯罪专项合规。其中,山东潍坊 X 公司、张某某污染环境案和安徽 C 公司、蔡某某等人滥伐林木、非法占用农用地案中的涉案企业涉及中外合资企业、外商独资企业,案件办理中,检察机关结合涉案的中外合资企业、外商独资企业各自特点,积极探索,努力帮助其建立符合我国国情的专项合规体系,助力涉外企业在中国的可持续发展。该批典型案例主要经验做法有:合规准备工作前移,坚持全流程、系统性推进合规改革试点工作;准确把握涉案企业合规的适用条件,积极稳妥探索对重罪案件适用合规考察程序;注重理念指引,积极探索对多罪名涉案企业开展合规考察;强化诉源治理,助力数字经济发展等。
【来源:最高人民检察院】
8. 某网约车 APP 经报网络安全审查办公室同意恢复新用户注册2023 年 1 月 16 日,某网约车 APP 官方微博发文称,即日起恢复该网约车APP的新用户注册。该网约车 APP 表示:一年多来,该司认真配合国家网络安全审查,严肃对待审查中发现的安全问题,进行了全面整改。经报网络安全审查办公室同意,即日起恢复该网约车 APP 的新用户注册。后续,公司将采取有效措施,切实保障平台设施安全和大数据安全,维护国家网络安全。此前,2021 年 7 月 2 日,网络安全审查办公室发布关于对该网约车APP 启动网络安全审查的公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对该网约车APP 实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间该网约车APP 停止新用户注册。
2021 年 7 月 4 日,国家互联网信息办公室发布《通报》。通报指出,根据举报,经检测核实,该网约车 APP 存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架该网约车 APP,要求滴滴出行科技有限公司严格按照法律要求,参照国家
植德数据合规热点速递|20230113
有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。历时近一年半,该网约车 APP 经监管部门同意恢复新用户注册,侧面反映了监管部门已经首肯了其整改成果,涉及的相关违法问题也得到相应消解,但在国家强监管的大趋势下,该网约车 APP 及同类网约车企业的数据合规建设之路仍任重道远。
【来源:中国经济网】
植德数据合规热点速递|20230114
特此声明
本刊物不代表本所正式法律意见,仅为研究、交流之用。非经北京植德律师事务所同意,本刊内容不应被用于研究、交流之外的其他目的。
如有任何建议、意见或具体问题,欢迎垂询。
编写合伙人
王艺、陈文昊、龙海涛、吴旸、李凯伦
(执行编辑:上海办公室 聂千旭)
www.meritsandtree.com
前 行 之路植德守护