本動態涵蓋2019年10月下半月至11月網絡安全和數據合規領域的規定���、規則及重大新聞。第一部分為我們理解值得關注的該領域的最新政策規定及規則(部分政策規定或規則,可能包含我們對其值得關注的要點或問題的簡評);第二部分為我們理解值得關注的該領域的重要事件或重大新聞(部分事件或新聞�,可能包含我們對其值得關注的要點或問題的簡評)��。
本動態僅作為本所對網絡安全及數據合規相關的近期話題的一般性探討,不構成本所正式法律咨詢意見。
一�����、監管規則
(一)《最高人民法院����、最高人民檢察院關于辦理非法利用信息網絡�、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(法釋〔2019〕15號)(下稱“《信息網絡犯罪司法解釋》”)
發布時間: 2019年10月21日
發布單位: 最高人民法院和最高人民檢察院
數據合規看點:
1、對“拒不履行信息網絡安全管理義務罪”的細化規定
a.拒不履行信息網絡安全管理義務罪
《刑法》第二百八十六條之一規定���,網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務�,經監管部門責令采取改正措施而拒不改正���,有下列情形之一的�,處三年以下有期徒刑�、拘役或者管制,并處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露�,造成嚴重后果的���;
(三)致使刑事案件證據滅失�,情節嚴重的�;
(四)有其他嚴重情節的。
單位犯前款罪的����,對單位判處罰金�����,并對其直接負責的主管人員和其他直接責任人員�����,依照前款的規定處罰。
有前兩款行為,同時構成其他犯罪的�,依照處罰較重的規定定罪處罰�。
b.明確了“網絡服務提供者”的范圍
《信息網絡犯罪司法解釋》規定���,“網絡服務提供者”指提供以下服務的單位和個人:網絡接入����、域名注冊解析等信息網絡接入�、計算、存儲�����、傳輸服務�;信息發布、搜索引擎��、即時通訊��、網絡支付����、網絡預約���、網絡購物�����、網絡游戲�、網絡直播�、網站建設、安全防護�����、廣告推廣��、應用商店等信息網絡應用服務���;利用信息網絡提供的電子政務����、通信�、能源�、交通、水利�、金融��、教育、醫療等公共服務���。
c.明確了“監管部門責令采取改正措施”和“拒不改正”的具體含義和情境
《信息網絡犯罪司法解釋》規定,“監管部門責令采取改正措施”���,是指網信、電信��、公安等依照法律�����、行政法規的規定承擔信息網絡安全監管職責的部門���,以責令整改通知書或者其他文書形式��,責令網絡服務提供者采取改正措施。認定“經監管部門責令采取改正措施而拒不改正”,應當綜合考慮監管部門責令改正是否具有法律���、行政法規依據���,改正措施及期限要求是否明確���、合理�,網絡服務提供者是否具有按照要求采取改正措施的能力等因素進行判斷��。
d.明確或量化了其他入刑要素
《信息網絡犯罪司法解釋》對“致使違法信息大量傳播”�、“致使用戶信息泄露����,造成嚴重后果”當中的“造成嚴重后果”�����、“致使刑事案件證據滅失�����,情節嚴重的”的“情節嚴重”以及“有其他嚴重情節的”的具體含義進行了詳細的規定。
2�����、對“非法利用信息網絡罪”的細化規定
a.非法利用信息網絡罪
《刑法》第二百八十七條之一規定�����,利用信息網絡實施下列行為之一���,情節嚴重的�����,處三年以下有期徒刑或者拘役,并處或者單處罰金:
(一)設立用于實施詐騙、傳授犯罪方法�、制作或者銷售違禁物品�、管制物品等違法犯罪活動的網站�、通訊群組的;
(二)發布有關制作或者銷售毒品、槍支、淫穢物品等違禁物品、管制物品或者其他違法犯罪信息的;
(三)為實施詐騙等違法犯罪活動發布信息的����。
b.闡明“違法犯罪”的行為性質
《信息網絡犯罪司法解釋》規定�,為實施詐騙等違法犯罪活動發布信息的�,情節嚴重可認定為本罪���,此處“違法犯罪”包括犯罪行為和屬于刑法分則規定的行為類型但尚未構成犯罪的違法行為���。上述規定����,從側面反映了,對于刑法未規定�、僅在治安管理處罰法或者其他法律法規規定的行政違法行為不宜認定為本罪名中的“違法犯罪”行為����。
c.釋明了三類具體情節
《信息網絡犯罪司法解釋》釋明了“用于實施詐騙����、傳授犯罪方法、制作或者銷售違禁物品���、管制物品等違法犯罪活動的網站、通訊群組”的一項具體情境�;釋明了“為實施詐騙等違法犯罪活動發布信息”當中的“發布信息”的一項具體情境����;詳細釋明了哪些情形可以構成“情節嚴重”��。
3��、對“幫助信息網絡犯罪活動罪”的細化規定
a.幫助信息網絡犯罪活動罪
《刑法》第二百八十七條之二規定,明知他人利用信息網絡實施犯罪,為其犯罪提供互聯網接入�����、服務器托管、網絡存儲、通訊傳輸等技術支持���,或者提供廣告推廣�����、支付結算等幫助�,情節嚴重的�,處三年以下有期徒刑或者拘役,并處或者單處罰金�����。
單位犯前款罪的��,對單位判處罰金����,并對其直接負責的主管人員和其他直接責任人員����,依照第一款的規定處罰。
有前兩款行為�����,同時構成其他犯罪的��,依照處罰較重的規定定罪處罰��。
b.明確了“明知他人利用信息網絡實施犯罪”的情形
《信息網絡犯罪司法解釋》規定了如下情形可以認定為“明知他人利用信息網絡實施犯罪”:經監管部門告知后仍然實施有關行為的;接到舉報后不履行法定管理職責的�����;交易價格或者方式明顯異常的��;提供專門用于違法犯罪的程序、工具或者其他技術支持��、幫助的��;頻繁采用隱蔽上網��、加密通信、銷毀數據等措施或者使用虛假身份����,逃避監管或者規避調查的����;為他人逃避監管或者規避調查提供技術支持�����、幫助的���;其他足以認定行為人明知的情形����。
c.明確了“情節嚴重”的情形
《信息網絡犯罪司法解釋》明確了一系列情形可認定為幫助信息網絡犯罪活動罪入刑要素中要求的“情節嚴重”����。
4、職業禁止和禁止令規定
《信息網絡犯罪司法解釋》明確�����,對于實施拒不履行信息網絡安全管理義務罪��、幫助信息網絡犯罪活動罪�����、非法利用信息網絡罪的犯罪被判處刑罰的�,可以根據犯罪情況和預防再犯罪的需要���,依法宣告職業禁止�;被判處管制��、宣告緩刑的��,可以根據犯罪情況,依法宣告禁止令。
簡評:《信息網絡犯罪司法解釋》對《刑法修正案(九)》增設的三類網絡信息犯罪��,即拒不履行信息網絡安全管理義務罪��、非法利用信息網絡罪和幫助信息網絡犯罪活動罪的定罪量刑提供了具體的適用規范��。就《信息網絡犯罪司法解釋》中為各項罪名劃定的入刑要素看來,門檻的設置較低,同時適用的犯罪主體和犯罪行為也較為廣泛。
(二)《密碼法》
發布時間:2019年10月26日(2020年1月1日起施行)
發布單位:全國人民代表大會常務委員會
數據合規看點:
1�����、密碼的分類管理制度:根據密碼保護信息的不同將密碼劃分為核心密碼���、普通密碼和商用密碼并制定不同的管理規則�����,其中核心密碼�����、普通密碼用于保護國家秘密信息;商用密碼用于保護不屬于國家秘密的信息。
2��、商用密碼領域外資準入的國民待遇:商用密碼科研���、生產�����、銷售、服務����、進出口業務并不屬于外商投資的負面清單中�����,即不屬于禁止或限制外商投資的業務。
3�����、商用密碼產品和服務的認證要求:商用密碼產品涉及國家安全��、國計民生����、社會公共利益的����,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后�����,方可銷售或者提供�;商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格�����。
4����、關鍵信息基礎設施的商用密碼保護:法律法規要求使用商用密碼進行保護的關鍵信息基礎設施���,其運營者應當使用商用密碼進行保護�,并應開展商用密碼應用安全性評估���;關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務����,可能影響國家安全的����,應當按照《中華人民共和國網絡安全法》的規定完成國家安全審查。
5��、商用密碼的進口許可和出口管制制度:涉及國家安全��、社會公共利益且具有加密保護功能的商用密碼實施進口許可�����,涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制����;大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度����。
簡評:《密碼法》是我國密碼管理領域的第一部綜合性法律�,在其在頒布前����,相關規范僅零散地分布于各項法規及其他規定當中。《密碼法》中“密碼”不同于日常生活中個人使用的“密碼”,是特指采用特定變換的方法對信息等進行加密保護����、安全認證的技術�、產品和服務���,目前多應用于電子商務領域的安全認證以及金融交易的加密傳輸中���,其未來預期也可能將對如區塊鏈服務等網絡信息領域的服務起到更深層次的規范作用����。
(三)《網絡安全威脅信息發布管理辦法》(征求意見稿)
發布時間:2019年11月20日
發布單位:國家互聯網信息辦公室
數據合規看點:
1、發布網絡安全威脅事件信息或報告前�,應履行事先報告義務:
2��、征求同意的義務:發布具體網絡和信息系統存在風險、脆弱性情況�����,應事先征求運營者書面意見�����,但已提前30日向主管部門舉報和相關風險�����、脆弱性已被消除的兩種情形除外。發布的“具體網絡和信息系統”的情況指內容包含名字、位置、域名�、IP地址等信息�,若不涉及具體信息�,無法定位到具體網絡和信息系統����,則無需征求運營者同意。
3��、平臺運營者���、舉辦單位的監督義務:通過各個公共平臺發布信息的�,平臺運營者、主辦單位發現有違反本辦法的行為和內容,應及時采取處置措施��,并向地市級以上網信部門���、公安機關報告��。
簡評:本辦法對網絡安全威脅信息發布行為進行了較為詳細的規范�����,特別有利于平衡和減輕信息發布行為對運營者的負面影響��。在過往的許多事件中,不論是黑客對網絡安全威脅信息的惡意發布,還是“白帽子”對特定系統網絡安全漏洞進行偵測后基于善意進行的信息發布,都有可能因為披露不當而對披露信息指向的目標系統的運營者造成負面影響����。極端情況下�,個別“白帽子”也曾因漏洞挖掘和披露行為受到處罰甚至刑事追訴。本辦法的發布,有利于提示����、規范“白帽子”的信息發布和報告活動���,對在法律允許的框架內進一步鼓勵“白帽子”的漏洞挖掘和合法報告/發布活動提供有益的幫助��。
(四)《網絡音視頻信息服務管理規定》
發布時間:2019年11月18日
發布單位:互聯網信息辦公室��,文化和旅游部�,廣播電視總局
數據合規看點:
1�、再次強調實名制認證要求:網絡音視頻信息服務提供者應當對用戶進行真實身份信息認證;用戶不提供真實身份信息的��,不得為其提供信息發布服務����。
2、深度學習���、虛擬現實等新技術新應用的相關要求:
a.安全評估義務:服務提供者基于該技術上線具有媒體屬性或者社會動員功能的音視頻信息服務或調整增設相關功能的,應當開展安全評估��。
b.標識義務:服務提供者和使用者基于該技術制作�����、發布���、傳播非真實音視頻信息的�,應當以顯著方式予以標識����。對不符合顯著標識要求的信息內容,應當立即停止傳播��,經糾正后方可繼續傳輸�����。
c.不得用于生成����、傳播虛假新聞:服務提供者和使用者不得利用該技術制作��、發布、傳播虛假新聞信息���。
d.辟謠及備案義務:服務提供者應當建立健全辟謠機制,發現利用基于該技術的虛假圖像�、音視頻生成技術制作�、發布��、傳播謠言的����,應當及時采取辟謠措施����,并向相關部門備案。
3����、部署鑒別技術的義務:網絡音視頻信息服務提供者應當部署應用違法違規音視頻以及非真實音視頻鑒別技術�����。
簡評:除本規定對非真實音視頻信息的標識義務進行明確規定外���,《數據安全管理辦法(征求意見稿)》也提出了類似的標識要求��。《網絡音視頻信息服務管理規定》回應了新技術發展面臨的問題���,對服務提供者的安全責任意識、管理措施和技術保障能力提出新的要求����,強調服務提供者的安全管理義務�。
(五)《信息安全技術 個人信息安全規范》(最新版征求意見稿)
發布時間:2019年10月24日
發布單位:國家市場監督管理總局�,國家標準化管理委員會
數據合規看點:
1�、對描述進行優化:該規范補充并完善了部分定義,優化部分專業詞匯和基本原則的描述�����。
2����、對內容進行更新:該規范對個人信息收集事項中“不得強迫接受多項業務功能”、“征得授權同意”部分,個人信息使用事項中“個性化展示的使用”部分�����,以及“個人信息共同控制者的要求”等內容進行更新���。
3�����、補充具體要求:該規范針對注銷難問題�,補充注銷機制要求�����。對委托處理��、共享、轉讓等事項中受委托者和接收方的管理要求進行補充��。
(六)《信息安全技術 移動互聯網應用程序(APP)收集個人信息基本規范》(草案)
發布時間:2019年10月24日
發布單位:國家市場監督管理總局���,國家標準化管理委員會
數據合規看點:
1����、明確最小必要信息的范圍:將“法律法規等規范性文件要求必須收集的個人信息”修改為“法律法規要求必須收集的個人信息”��,明確了必須收集的個人信息的范圍情形之一僅限于“法律法規”����,而非寬泛地指向其他規范性文件��。
2��、增加運營者的定義:在“移動互聯網應用程序的所有者、管理者”的基礎上���,增加了一項“移動互聯網應用程序服務的提供者”。此前����,實踐中�,一般理解移動互聯網應用的“運營者”可以是在應用商店發布該應用的發布者(publisher)����,或者可以是應用軟件著作權的所有者(copyright owner)。但在一些應用中�,發布者并不必然是所有者���;更重要的是�����,在發布者���、所有者以外����,應用的全部或部分服務可能是其他實際提供服務的主體提供�,因此在定義中加入“服務的提供者”有助于讓規定更符合實踐中的情形��。
3��、新增首次運行有義務告知最小必要信息規則:最新稿新增要求APP首次運行時應通過彈窗等明顯方式告知收集最小必要信息規則。
4�����、細化APP運營者承擔第三方代碼�、插件的責任范圍:最新稿中明確APP運營者應確保第三方代碼或插件履行個人信息安全保護義務,并防止第三方代碼或插件收集無關的個人信息����。這一規定相比于舊稿的“App應對其使用的第三方代碼���、插件的個人信息收集行為負責”這一寬泛的規定�����,提出了更為明確的要求、劃分了更為清晰的責任承擔范圍����。
5����、完善部分服務類型所需最小必要信息的范圍和使用要求:
a.博客論壇:個人信息類型中新增僅對使用信息發布功能的該用戶收集���,包括操作時間等���。使用要求為《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》�����。
b.網絡支付:個人信息類型中新增身份基本信息,包括國籍���、性別、職業、住址、聯系方式�����。使用要求為《支付機構反洗錢和反恐怖融資管理辦法》����。
c.網上購物:功能定義新增“客服售后”,所需個人信息中收貨人信息的使用要求新增“完成客服與售后需要”。
d.餐飲外賣:所需客人信息中聯系人信息的使用要求��,從“姓名可無需真實”變更為“姓名無需保證真實”�����。
e.金融借貸:個人信息類型中新增“償付能力���、貸款用途”�����。所需個人信息中將“個人征信信息”改為“個人信用信息”。使用要求為《小額貸款公司網絡小額貸款業務風險專項整治實施方案》����、《個人貸款管理暫行辦法》���。
f.運動健身:個人信息類型中新增:基本健康資料��,包括性別、年齡、身高、體重����。使用要求為基本健康資料結合個人運動信息可以更好地給出運動或健康建議��。
g.網頁瀏覽器:瀏覽器的功能定義變更為“為用戶提供通過輸入網址或站點導航瀏覽網上信息資源功能的服務”。
二、案例事件
(一)北京市通信管理局開展APP網絡數據安全檢查
2019年12月4日,北京市通信管理局發布通告���,針對APP違規收集用戶信息、強制授權、過度索權等社會熱點問題�,組織開展了為期兩個月的移動應用APP網絡數據安全檢查��。
本次檢查選取了具有影響力的50款APP,覆蓋了社交、網租房和汽車服務、線上教育�、金融��、線上醫療、基礎電信企業等6個領域。主要發現問題有:用戶拒絕授權時��,未明確告知服務使用受限的范圍����;用戶拒絕授權時,影響其他業務功能的使用�����;收集使用用戶個人敏感信息時��,未同步說明目的等�。就該次檢查�����,北京市通信管理局也在通告中要求嚴格落實《網絡安全法》�����、《電信和互聯網用戶個人信息保護規定》(工信部令第24號)����。
(二)國家市場監督管理總局召開“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動專題新聞發布會
2019年11月18日,國家市場監督管理總局(“市場監管總局”)召開“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動專題新聞發布會�。
此前��,市場監管總局于2019年3月印發《關于開展“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動的通知》,決定自4月1日至9月30日開展為期6個月的“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動���。通知表明,針對房產租售���、小貸金融、教育培訓�、保險經紀�����、美容健身等多個侵害消費者個人信息違法問題突出的行業和領域開展專項執法行動,重點打擊以下違法行為:未經消費者同意����,收集�、使用消費者個人信息����;泄露、出售或者非法向他人提供所收集的消費者個人信息�;未經消費者同意或者請求�,或者消費者明確表示拒絕的���,向其發送商業性信息等違法行為�����。
行動期間��,全國市場監管部門共立案查辦各類侵害消費者個人信息案件1474件�,查獲涉案信息369.2萬條,罰沒款1946.4萬元�����,移送公安機關案件154件;組織執法聯動4225次�����;開展行政約談3536次����;開展宣傳活動10653次。從查辦案件的情況來看��,當前侵害消費者個人信息違法行為�����,主要高發的行業領域和最突出的違法行為見下表:
(三)工信部開展APP侵犯用戶權益專項整治行動
2019年10月31日����,工信部發布《關于開展APP侵害用戶權益專項整治工作的通知》(工信部信管函[2019]337號)�。通知表明,依據《網絡安全法》��、《電信條例》�����、《規范互聯網信息服務市場秩序若干規定》(工業和信息化部令第20號)���、《電信和互聯網用戶個人信息保護規定》(工業和信息化部令第24號)和《移動智能終端應用軟件預置和分發管理暫行規定》(工信部信管[2016]407號)等法律法規和規范性文件要求��,工信部開展專項整治工作:
1�����、整治行為
2��、整治對象
3、整治時間
(四)公安機關集中整治違法采集個人信息��,100款APP被下架
2019年11月��,公安部組織開展APP違法違規采集個人信息集中整治���。此次集中整治����,重點針對無隱私協議����、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形,責令限期整改27款����,處以警告處罰63款�����,處以罰款處罰10款,另有2款被立為刑事案件,正在開展偵查。公安部組織開展“凈網2019”專項行動以來��,已依法查處違法違規采集個人信息的APP共683款�����。
國家網絡安全通報中心就此次整改發布了四起典型案例:
后記:
海問在網絡安全、數據合規領域積累豐富的經驗�,亦持續關注不斷更新的法律法規及與數據合規有關的時事熱點���。您可通過如下鏈接瀏覽此前發布的文章:
《海問觀察:網絡安全及數據合規動態》(2019年9月上半月)
《海問觀察:網絡安全及數據合規動態》(2019年9月下半月-10月上半月)
實習生朱安琪對本文亦有貢獻��。
