2019-10-18
海問觀察: 網絡安全及數據合規動態(2019年9月下半月-10月上半月)
作者:
傅鵬
本動態涵蓋2019年9月下半月至10月上半月網絡安全和數據合規領域的規定、規則及重大新聞。第一部分為我們理解值得關注的該領域的最新政策規定及規則(部分政策規定或規則,可能包含我們對其值得關注的要點或問題的簡評);第二部分為我們理解值得關注的該領域的重要事件或重大新聞(部分事件或新聞,可能包含我們對其值得關注的要點或問題的簡評)。
本動態僅作為本所對網絡安全及數據合規相關的近期話題的一般性探討,不構成本所正式法律咨詢意見。
一、最新政策規定及規則
(一)《在線旅游經營服務管理暫行規定(征求意見稿)》
發布時間:2019年10月8日
發布單位:文化和旅游部
數據合規看點:
1、平臺經營者的內容審核義務:在線旅游平臺經營者應當對上傳至平臺,以文字、圖片、音視頻等形式展現的全部信息內容進行審核。發現法律、行政法規禁止發布或者傳輸的信息的,應當立即采取必要措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
2、在線旅游經營者的信息登記義務:在線旅游經營者在與旅游者簽訂合同或確認提供服務時,應當依法要求旅游者提供身份信息、聯系方式、緊急聯絡人等必須提供的信息。旅游者拒不提供真實身份信息或提供虛假信息的,在線旅游經營者不得為其提供服務。
3、反“大數據殺熟”規則:在線旅游經營者不得利用大數據等技術手段,針對不同消費特征的旅游者,對同一產品或服務在相同條件下設置差異化的價格。
簡評:利用具體用戶的瀏覽習慣來對該用戶進行針對性的產品推薦甚至定價一直以來是在線旅游經營者采取的做法。已經頒布的《中華人民共和國電子商務法》(“電子商務法”)規定,電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果的,應當同時向該消費者提供不針對其個人特征的選項,尊重和平等保護消費者合法權益。”電子商務法以及《在線旅游經營服務管理暫行規定(征求意見稿)》的規定主旨均為禁止經營者利用信息不對稱的優勢進行“大數據殺熟”,從而保障消費者的知情權、選擇權和公平交易權。法規政策的相繼出臺有助于推進線上旅游行業透明化、公開化和規范化,維護消費者的權益,促進旅游行業的可持續健康發展。
(二)《工業和信息化部隨機抽查事項清單(2019年版)》
發布時間:2019年9月29日
發布單位:工業和信息化部
數據合規看點:
為深化“放管服”改革,在工業和信息化領域日常監管中全面推行“雙隨機一公開”監管方式,工業和信息化部(“工信部”)辦公廳就2019年當前新一期的隨機抽查事項,印發了《工業和信息化部隨機抽查事項清單(2019年版)》。該清單對工信部就個人信息保護及網絡安全領域的抽查事項列示了明確的要求。例如,清單第12項規定對電信業務經營者、互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查;第20項規定對信息通信企業網絡安全運行情況實施監督檢查;第21項規定對應急通信保障工作進行檢查;第25項規定對基礎電信企業、互聯網企業、域名服務機構、工業互聯網平臺企業開展網絡安全防護工作的情況進行檢查;第26項規定對有關網絡運營者網絡信息安全責任落實情況實施監督檢查;第27項規定對有關網絡運營者網絡數據安全保護責任落實情況實施監督檢查。
其中,第12項規定對電信業務經營者、互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查的抽查內容明確包括了“電信業務經營者、互聯網信息服務提供者用戶個人信息保護、用戶權益保護等情況”。第27項規定對有關網絡運營者網絡數據安全保護責任落實情況實施監督檢查的抽查內容明確包括了“網絡運營者數據安全保護情況,包括:數據安全保護機構設置、人員配備、管理制度制定和落實、技術保障措施建設、應急事件處置、投訴舉報受理、數據內部審計等”。
簡評:《工業和信息化部隨機抽查事項清單(2019年版)》上述與網絡安全及個人信息保護有關的抽查事項的選取反映了主管機關在該領域的監管關注點。特別地,第27項抽查事項提及的“數據安全保護機構設置”、“人員配備”、“管理制度制定和落實”、“數據內部審計”等抽查事項對網絡運營者內部制度、機構和管理措施的制定及落實提出了明確的要求。除了硬件設備、技術措施外,企業有必要對內部制度和管理建設給予更高的重視,根據法律、法規及一系列推薦性國家標準的要求,建立或完善管理制度。
(三)《網絡平臺道路貨物運輸經營服務指南》
發布時間:2019年9月27日
發布單位:交通運輸部
數據合規看點:
1、指南出臺背景:為落實《網絡平臺道路貨物運輸經營管理暫行辦法》(交運規〔2019〕12號)(自2020年1月1日起實施),交通運輸部出臺《網絡平臺道路貨物運輸經營服務指南》,規范從事網絡平臺道路貨物運輸經營行為,即經營者依托互聯網平臺整合配置運輸資源,以承運人身份與托運人簽訂運輸合同,委托實際承運人完成道路貨物運輸,承擔承運人責任的道路貨物運輸經營活動。網絡貨運經營不包括僅為托運人和實際承運人提供信息中介和交易撮合等服務的行為。該指南對網絡平臺道路貨物運輸經營者的服務能力、網絡平臺的功能、服務流程及安全風險管控等方面均提出了具體要求。
2、強調平臺運營者的信息安全管理和信息使用管理:運營者應當建立信息安全管理制度。網絡貨運經營者應按照《網絡安全法》等有關法律法規的要求,采取有效措施防病毒、防攻擊、防泄密,落實網絡安全管理責任。運營者應當加強信息使用管理。網絡貨運經營者應按照合法、正當、必要的原則,采集與網絡貨運經營相關的數據信息,采集的信息未經被采集者同意,不得用于網絡貨運以外的其他用途,不得轉讓給第三方。
3、網絡安全等級保護要求及保護商業秘密和個人隱私的義務:建議省級監測系統的安全保護等級不低于三級。省級交通運輸主管部門應委托有關專業機構對省級監測系統進行安全測評,及時完善安全保護措施。省級監測系統在進行信息采集、處理及發布過程中,應保護企業商業秘密和個人隱私,維護社會公共利益和企業合法權益。
簡評:《網絡平臺道路貨物運輸經營服務指南》作為《網絡平臺道路貨物運輸經營管理暫行辦法》的配套文件,網絡平臺道路貨物運輸經營行為提出了許多細節上的指導和要求。其中,對網絡平臺道路貨物運輸經營者的服務能力、網絡平臺的功能、服務流程及安全風險管控等方面提出的要求的規則模式與《網絡預約出租汽車經營服務管理暫行辦法》及其配套文件和地方出臺的相應規則的模式相似。此外,《網絡平臺道路貨物運輸經營服務指南》對運營者的信息安全、網安等保以及保護商業秘密和個人隱私提出了明確的要求,是中國的網絡安全及個人信息保護要求在網絡平臺道路貨物運輸經營領域的進一步延伸。在數據合規監管日趨嚴格的今天,值得網絡平臺道路貨物運輸經營活動的相關參與方特別關注。
(四)《上海市公共數據開放暫行辦法》(滬府令21號)
發布時間:2019年9月10日
發布單位:上海市人民政府
數據合規看點:
1、強調數據安全保護:市、區人民政府及各相關部門在公共數據開放過程中,應當落實數據安全管理要求,采取措施保護商業秘密和個人隱私,防止公共數據被非法獲取或者不當利用。
2、提出公共數據的分級分類規則: 公共數據根據數據安全要求、個人信息保護要求和應用要求等因素被分為非開放類、有條件開放類和無條件開放類,適用不同的開放條件和監管措施。對涉及商業秘密、個人隱私,或者法律法規規定不得開放的公共數據,列入非開放類;對數據安全和處理能力要求較高、時效性較強或者需要持續獲取的公共數據,列入有條件開放類;其他公共數據列入無條件開放類。但是,非開放類公共數據依法進行脫密、脫敏處理,或者相關權利人同意開放的,可以列入無條件開放類或者有條件開放類。
3、確立數據開放清單制度和開放平臺系統: 數據開放主體應當按照年度開放重點和公共數據分級分類規則,在上海市公共數據資源目錄范圍內,制定公共數據開放清單(以下簡稱開放清單),列明可以向社會開放的公共數據。通過共享等手段獲取的公共數據,不納入本單位的開放清單。開放清單應當標注數據領域、數據摘要、數據項和數據格式等信息,明確數據的開放類型、開放條件和更新頻率等。上海市大數據中心依托上海市大數據資源平臺建設開放平臺。數據開放主體應當通過開放平臺開放公共數據,原則上不再新建獨立的開放渠道。已經建成的開放渠道,應當按照有關規定進行整合、歸并,將其納入開放平臺。開放平臺為數據開放主體提供數據預處理、安全加密、日志記錄等數據管理功能。開放平臺為獲取、使用和傳播公共數據的自然人、法人和非法人組織提供數據查詢、預覽和獲取等功能。
簡評:公共數據的合法、適當開放是近年以來多地政府積極探索如何更有效利用公共數據的努力方向之一。2019年,除上海外,北京、浙江、吉林、海南以及吉林四平、浙江麗水、江蘇連云港、福建福州等地陸續出臺公共數據資源開放的地方性管理辦法。相信在各地政府的努力與積極推動下,公共數據資源將會在安全有序的基礎上逐步開放給社會公眾與企業,創造大數據帶來的新價值。
(五)《浙江省數字經濟促進條例(征求意見稿)》
發布時間:2019年9月23日
發布單位:浙江省經濟和信息化廳
數據合規看點:
1、數據的收集和使用應當遵守數據安全管理相關的法律、法規: 公共管理和服務機構、企業、個人和其他社會組織在收集、使用涉及個人信息的數據時,應當遵循合法、正當、必要的原則,向個人信息主體公開收集、使用規則,明示收集、使用的目的、方式和范圍,并經被收集者同意。在生活中向他人收集和使用數據的主體往往掌握技術,較之被收集者具有相對主動權,為保障被收集者的信息對稱,在數據的收集和使用必須在公開透明的情況下進行。
2、明確數據及其衍生品的財產權益、探索建立數據資源交易市場:依法獲取后的各類數據在經過處理無法識別特定個人且不能復原的,不視為個人信息,可以交易、交換或者以其他方式開發利用。在依法獲取的各類數據基礎上開發的數據衍生產品等財產權益受法律保護,法律、法規另有規定的除外。縣級以上人民政府相關部門應當積極探索建立數據資源確權、流通、交易、應用開發規則和流程,培育數據資源交易市場。
3、公共數據的共享原則:公共數據應當以共享為原則,不共享為例外。沒有法律、法規、規章依據,公共管理和服務機構不得拒絕其他機構提出的共享要求。但是,公共管理和服務機構通過共享獲得的公共數據,應當用于本機構履行職責需要,不得用于其他任何目的。
4、公共數據的開放與評估:公共管理和服務機構應當制定本機構的公共數據開放清單,省大數據管理部門應當制定公共數據開放技術規范和開放標準;省人民政府應當對公共數據開放工作和利用成效定期評估,并根據評估結果及時改進、優化數據開放工作和政策。開放清單和開放標準的制定有利于各主體及時查詢其所需數據的公開性,定期評估是一個循環優化的過程,有利于查漏補缺以及及時適應社會變化。
5、公共數據的多元利用:鼓勵企業、個人和其他社會組織開發利用公共數據,開發利用公共數據獲得的合法收益,受法律保護。鼓勵企業、個人和其他社會組織依法開放自有數據資源,促進數據融合應用。
簡評:該條例倡導的方向之一是在合法的基礎上促進數據的開放、流通與利用,有助于進一步促進數據驅動型企業的發展。該條例同時也強調了在《中華人民共和國網絡安全法》、《個人信息安全規范》等文件中多次體現的“合法、正當、必要”的個人信息收集原則。此外,該條例涵蓋的地域范圍為互聯網經濟發達、互聯網及數據公司較為聚集的浙江省,有助于促進浙江省內的互聯網公司及數據公司進一步在合法的基礎上提高數據利用的水平和程度。
二、案例及事件
(一)《個人金融信息(數據)保護試行辦法(初稿)》醞釀出臺
1、事件:
2019年4月,央行發布《中國人民銀行2019年規章制定工作計劃》,其中,明確將《個人金融信息(數據)保護試行辦法》的制定列入計劃;2019年5月,央行辦公廳下發《中國人民銀行辦公廳關于2018年支付服務領域金融消費權益保護監督檢查情況的通報(銀辦發〔2019〕72號)》,通報中將“金融消費者信息安全管理不規范。部分機構存在收集信息范圍過大、未經消費者授權收集其個人金融信息的情形、業務系統存儲不規范等情形”作為檢查的重點問題。
根據相關報道,《個人金融信息(數據)保護試行辦法(初稿)》已經出爐,央行已經將初稿下發至各銀行征求意見。根據報道,《個人金融信息(數據)保護試行辦法(初稿)》中規定,(金融機構)不得從非法從事個人征信業務活動的第三方獲取個人金融信息,金融機構不得以“概括授權”的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意。該《辦法》正式出臺后,銀行可能需要根據該辦法的要求,對提供業務數據的第三方機構進行排查,對于不能保證數據來源合法的數據供應商,可能需要停止合作。根據相關報道,已經有銀行開始停止了與部分第三方數據提供商的合作。
2、簡評:
此前在《銀行業金融機構數據治理指引》、《關于金融消費者權益保護實施辦法》、《征信業管理條例》、《關于金融機構進一步做好客戶個人金融信息保護工作的通知》及《關于銀行業金融機構做好個人金融信息保護工作的通知》等相關法規及規范性文件中已出現對個人金融信息保護的相關規定。本次《個人金融信息(數據)保護試行辦法(初稿)》的出臺可能在法律層面上進一步完善和加強對個人金融信息的保護,也可能成為第一部針對個人金融信息安全保護的系統的、具有強制性的規定。除上述報道提及的內容片段外,該初稿的全文可能包含一系列系統的、嚴格的個人金融信息保護要求,對金融行業企業(特別是數據驅動型的征信等金融行業相關企業)的合規管理和業務流程優化提出新的課題與挑戰。
(二)“墨跡天氣”首次公開發行申請被否,其被關注事項中包含數據合規及個人信息保護內容
1、事件:
2019年10月11日,據中國證券監督管理委員會(“證監會”)發布的公告(“《公告》”)顯示,北京墨跡風云科技股份有限公司(“墨跡天氣”)的首次公開發行申請未通過。證監會發行審核委員會(“發審委”)對墨跡天氣提出了四大主要問題,用戶信息收集及處理的合規性問題便是其中之一。
《公告》指出,“墨跡天氣”通過自主收集及第三方途徑獲取用戶數據及標簽,并利用數據進行商業化變現。另外,發審委提出“墨跡天氣”于2019年7月16日收到APP專項治理組發出的《關于APP收集使用個人信息相關問題的通知》,APP專項治理工作組要求發行人就收集使用個人信息中存在的問題進行整改。發審委要求墨跡天氣說明其在獲取、使用、處理以及對用戶數據及標簽的商業化變現的各個環節中是否符合個人信息相關法律、法規的規定,是否存在法律風險或潛在風險以及是否發生過隱私泄露事件或糾紛,同時要求墨跡天氣對APP專項治理組要求的整改情況和整改效果進行說明。
2、簡評:
用戶個人數據保護與網絡安全日益成為主管機關關注的合規重點。本次發審委關注的要點及否決墨跡天氣首發申請,再度顯示了數據合規及個人信息保護在當前合規工作中的重要性。結合此前監管部門對教育類APP、網約車服務企業等各行業領域內個人數據保護法規政策的出臺,以及近期對一系列APP違法違規收集個人數據行為的查處舉措,可顯示主管部門對用戶個人數據保護與網絡安全的治理趨勢。各行業領域運營者均應提高對數據合規性審查的重視。
(三)“2019年網絡安全專題發布會”召開,多款APP遭“點名”
1、事件:
2019年9月15日,由公安部網絡安全保衛局、公安部新聞宣傳局、天津市委網信辦指導,天津市公安局網安總隊、廣東省公安廳網警總隊共同主辦的“2019年網絡安全專題發布會”在天津舉行。
國家計算機病毒應急處理中心常務副主任陳建民介紹,根據國家計算機病毒應急處理中心對全國多款移動APP的安全檢測發現:多款APP存在遠程控制、惡意扣費等惡意行為、回傳用戶通訊錄和短信的侵犯公民個人隱私行為、涉嫌超范圍采集公民個人隱私行為以及高危漏洞;在SDK方面,多款SDK被檢測出存在高危風險,容易被黑客利用。為構建APP和SDK安全治理的長效機制,國家計算機病毒應急處理中心根據公安部的統一部署和要求,推出加強APP和SDK治理的六項舉措,即建立扁平化快速處置聯動機制、加強法律法規的解讀和宣貫、加強相關標準的制定工作、開展APP和SDK的檢驗認證工作、開展APP和SDK安全服務工作和提供移動互聯網安全社會化服務。
中國計算機學會計算機安全專委會主任嚴明介紹,2019年網民網絡安全感滿意度調查顯示我國網民網絡安全感滿意度有較大提升,但是個人信息泄露、網絡黑灰產蔓延等問題突出。
2、簡評:
近年來不斷受到關注的網絡安全問題包括網絡平臺過度采集信息、個人信息泄露、人臉識別等人工智能技術在具體應用中存在的隱患等等。根據會議報道內容,各APP運營企業在運用用戶個人數據提供便利的服務場景的同時,各類安全隱患也逐漸凸顯。因此,除用戶個人應不斷增強隱私保護意識外,APP運營企業應特別關注法律法規、國家標準及監管部門的通報、處罰案例,準確理解監管要求;監管部門也應進一步完善的制度規范,明確相關標準和處罰事項、加大監測與執法力度,共同維護手機網絡環境。
(四)多家大數據企業面臨刑事調查高壓
1、事件:
根據搜狐網、新浪網等消息,近日多家大數據企業,如 “公信寶”、“天翼征信”等陸續受到調查。
此外,上海市寶山公安分局警方破獲一起非法售賣個人信息案件。2019年4月中旬,寶山公安分局網安支隊接群眾舉報稱,某論壇有人經常發布廣告帖,宣稱一名為“信邁”的網站可以通過充值會員購買第一手公民個人信息。警方偵查發現,該網站的公民信息涉及全國多個省份,涵蓋房產、金融、保險、醫療、車輛、出入境、母嬰等詳細分類十余種。后警方于2019年8月6日趕赴廣東等地開展集中抓捕行動,抓獲犯罪嫌疑人韓某等11名,扣押作案電腦數十余臺、作案手機數十部,查獲公民個人信息達上億條。目前,犯罪嫌疑人韓某等11人因涉嫌侵犯公民個人信息罪,已被檢察機關批準逮捕,此案仍進一步審理中。
2、簡評:
“公信寶”和“天翼征信”陸續被被調查掀開了對大數據企業,特別是從事數據爬取行業的企業亂象的整治序幕。涉及第三方違法數據抓取的爬蟲公司與其他不合規的數據公司除違反《網絡安全法》第41條中“不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”之外,亦可能觸犯《刑法》第253條規定的侵犯公民個人信息罪以及第285條規定的非法獲取計算機信息系統數據、非法控制計算機信息系統罪。企業在使用爬蟲抓取數據的過程中,需要格外關注合規要求,避免采取繞開目標網站“反爬”措施的手段進行抓取,避免進行可能嚴重影響目標網站運行的高頻、密集抓取活動。
(五)廣東省公安廳關停222個網站,下架5817款應用
1、事件:
2019年9月22日至9月28日,廣東省公安廳在全省范圍內集中組織開展網絡安全執法檢查,期間全省公安機關重點對能源、交通、水利、金融、地鐵、電網、自來水、燃氣等重要行業和領域的核心業務系統,以及重點門戶網站、互聯網數據中心、云服務平臺、APP發布平臺開展遠程檢測和現場檢查,共整改各類安全隱患1206處(其中高危安全隱患639處),關停問題突出網站222個,清理違法信息16344條,下架違法有害APP應用5817款,發出整改通知書422個,行政處罰單位和企業353家。
2、簡評:
廣東省公安廳曾于2019年9月5日“凈網行動”中關停和下架過一批違規網站和APP,此次行動是基于此前的行動進行的進一步整治,廣東省公安廳在監管網絡安全與數據合規領域的方面力度一直較大并呈持續加碼的趨勢,顯著改善了地區的網絡環境,同時也為其他地區提供了良好的執法經驗。
后記:
海問在網絡安全、數據合規領域積累豐富的經驗,亦持續關注不斷更新的法律法規及與數據合規有關的時事熱點。您可通過如下鏈接瀏覽此前的《海問觀察:網絡安全及數據合規動態》:
海問觀察:網絡安全及數據合規動態(2019年9月上半月)
https://mp.weixin.qq.com/s/sgBWVe9MQ9cINMLkde2uRw
*實習生董琰祺對本文亦有貢獻。
京ICP備05019364號-1 
京公網安備110105011258
近日,北京市海問律師事務所(“本所”)發現,網絡上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進行不當關聯的大量不實信息,導致社會公眾產生混淆與誤解,也對本所的聲譽及正常執業活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關聯、合作、授權或品牌許可關系,亦從未授權任何主體以“海問”的名義提供法律咨詢服務,該公司的任何行為與本所無關。更多詳情,請點擊左下方按鈕查看。
