前台客服
13907398107
扫一扫

扫一扫加我

返回顶部

竞天公诚网络安全与数据合规新规提报(2023-8)

资讯速递

一、新规发布

1、中央网信办印发《网站平台受理处置涉企网络侵权信息举报工作规范》

2、工信部发布《关于开展移动互联网应用程序备案工作的通知》

3、财政部推动强化企业数据资源会计信息披露——数据资源“入表”,明年起实施

4、国家金融监管总局等五部门发布货币经纪公司数据服务“规范十二条”

5、国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》

6、国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》

7、国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》

8、国标《信息安全技术 敏感个人信息处理安全要求》公开征求意见

9、国标《信息安全技术 数据交易服务安全要求(征求意见稿)》发布

10、国标《信息安全技术 重要数据处理安全要求》征求意见

11、国标《信息安全技术 基于个人信息的自动化决策安全要求(征求意见稿)》发布

12、国标《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》征求意见

13、国标《信息安全技术 数据安全风险评估方法》征求意见

14、全国信安标委发布《信息安全技术 网络攻击和网络攻击事件判定准则》征求意见稿

15、国标《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南》征求意见

16、《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布

17、信安标委发布《网络安全标准实践指南——网络安全产品互联互通 告警信息格式(征求意见稿)》

18、《互联网金融 个人网络消费信贷信息披露》等国家标准近日发布

19、中国互联网协会发布关于《数据确权风险控制通则》(征求意见稿)公开征求意见的通知

20、中国互联网协会发布团体标准《跨境数据流通技术要求》(征求意见稿)

21、中国支付清算协会公布《个人支付信息保护指引》

22、山东通管局、省工信厅联合出台工信领域数据安全管理实施细则

23、上海市消保委发布商场停车扫码缴费合规指引

24、上海发布关于《上海市网络零售平台合规指引(征求意见稿)》《上海市网络餐饮服务平台合规指引(征求意见稿)》《上海市网络直播营销活动合规指引(修订征求意见稿)》公开征求意见的公告

25、上海市网信办组织少儿培训机构开展个人信息保护专项培训,下发《少儿培训场景下常见个人信息保护问题自查清单》

26、贵州印发《贵州省数据要素市场化配置改革实施方案》

27、贵州省大数据发展管理局发布《贵州省数据流通交易促进条例(草案)》(征求意见稿)

 

二、监管动态

1、国家安全部:数据安全已成为事关国家安全与经济社会发展的重大问题

2、国家网信办发布2023年上半年执法情况总结,累计约谈5518家网站

3、工信部:鼓励互联网企业等开放数据资源

4、公安部发布打击侵犯公民个人信息犯罪十大典型案例

5、中消协围绕交通运输部等五部门 关于规范管理网约车聚合平台有关通知开展社会监督

6、新疆公安厅发布打击侵犯公民个人信息违法犯罪八起典型案例

7、北京高院召开侵犯公民个人信息犯罪案件审判情况新闻通报会

8、“大模型数据被盗第一案”和解

9、广州市场监管局发布金融广告活动合规指引 监管对象包括支付机构

10、浙江农商联合银行11宗违规被罚380万,涉数据安全管理缺失等

11、上海市通管局开展2023年电信和互联网行业数据安全评审工作

12、上海市网信办指导多家网络金融理财服务类App运营企业加强个人信息保护合规工作

13、中行嘉兴分行涉“违规泄露客户信息”等6项违法违规,被原银保监会嘉兴监管分局罚210万

14、华夏银行南昌分行因“未严格落实消费者金融信息使用授权审批程序”等被罚198.5万

15、“未公开收集使用消费者金融信息的规则”、“误导金融消费者认为金融管理部门已对相关金融产品提供保证”等10项违规,商丘农商行被罚近100万

16、江苏某幼儿园因WPS内学生信息未单独加密及专用账户等被公安机关警告

 

三、海外资讯

1、印度总统批准通过《2023年数字个人数据保护法案》

2、韩国:政府宣布国家 “我的数据”创新促进战略

3、约旦:议会下院批准了拟议的《数据保护法》

4、美国证监会发布上司公司网络安全事件信息披露新规

5、ChatGPT漏洞致用户支付信息泄露,被韩国监管处罚

6、欧洲数据保护委员会解决TikTok处理儿童数据争议

7、欧盟委员会就《数字市场法案》规定下的用户画像技术报告模板征求意见

8、日本个人信息保护委员会审查特定个人信息保护评估报告与指南(国家税务相关(评估和征收)管理)的一致性和有效性

9、纽约州州长公布纽约州网络安全战略

10、沙特阿拉伯国家网络安全局启动物联网网络安全指南的公众咨询

11、新加坡:个人数据保护委员会对E-Commerce Enablers处以74,400新元罚款

 

重点法规解读

一、国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》

2023年8月3日,为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”),并向社会公开征求意见。《办法》在之前立法的基础上,规定了审计对象、审计流程、专业机构的要求,同时发布了《个人信息保护合规审计参考要点》(以下简称“《要点》”),对个人信息处理者提出了许多全新的实质性义务规定。

 

根据《办法》,“个人信息保护合规审计”是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。个人信息处理者有义务定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计;履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《办法》的主要内容包含了审计对象、审计流程、专业机构的要求和《要点》的发布,我们建议企业根据《办法》和《要点》的要求,深度结合自身所处行业的经营特征、监管要求和审计经验,建立起具体的内部个人信息合规审计制度,及时整改合规风险、充分保障个人信息权益。

 

二、国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》

近年来国家出台多部法律保护未成年人的上网安全,将未成年人网络保护落到实处。例如2021年6月1日新修订并施行的《未成年人保护法》新增加了“网络保护”专章,以及2022年3月14日网信办发布的《未成年人网络保护条例(征求意见稿)》。

 

2023年8月2日,国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》(以下简称“《指南》”),将全面升级“青少年模式”为“未成年人模式”,推动模式覆盖范围由APP扩大到移动智能终端、移动互联网应用程序、移动互联网应用程序分发服务平台,实现软硬件三方联动,方便用户一键进入模式,为未成年人营造安全健康的网络环境。

 

《指南》由九章内容组成,分别是目的依据、适用范围、通用规范、移动智能终端未成年人模式要求、移动互联网应用程序未成年人模式要求、移动互联网应用程序分发服务平台未成年人模式要求、家长管理、管理要求、附录。在第三部分,《指南》提出了“三方联动”“便捷使用”“分龄原则”三条通用规范,要求从技术上提升进入未成年人模式的可操作性,并建立“移动智能终端、应用程序、应用程序分发平台”的三方联动机制。同时,企业应当为不同年龄段未成年人提供差异化的服务模式,积极开展内容池建设。在家长管理方面,《指南》规定,企业应当从技术上为家长提供管理权限,保障家长能够对指定的未成年人用户进行日常和应急状态管理。最后,企业应当建立重点检查和长期跟踪检查相结合的检查制度。

 

三、国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》

为规范人脸识别技术应用,2023年8月8日,国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“《规定》”),面向社会公开征求意见。

 

《规定》共二十五条,对人脸识别技术的使用提出了合法原则、最小必要原则和单独同意原则的要求,并分别从适用范围、具体场景下使用人脸识别技术的要求、使用人脸识别技术的限制、个人信息保护影响评估和备案要求、设备安全与风险评估要求、主管部门、法律责任等方面,规定了应用人脸识别技术的安全管理要求,并鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。值得注意的是,根据《规定》第2条,不仅在我国境内利用人脸识别技术处理人脸信息受到该规定的约束,即便是未处理人脸信息,但面向境内提供人脸识别技术产品或者服务,也应当受到该规定约束。因此,作为人脸识别技术服务提供商的企业也应当关注本次《规定》的出台。

 

通览《规定》全文,可以看出其与《个人信息保护法》全面适配以及与国标《信息安全技术 人脸识别数据安全要求》的衔接——核心监管要求和义务承接了当前法律规定和司法实践的要求。企业可密切关注后续相关的规则及监管动态,并按照《规定》提前进行合规自查,确保满足相应合规要求,重点对照完成相关合规工作。需要特别指出的是,由于人脸信息属于敏感个人信息,因此应当注意同步落实敏感个人信息处理的相关要求,包括告知同意原则、安全保护要求、安全管理要求等。

 

四、国标《信息安全技术 敏感个人信息处理安全要求》公开征求意见

2023年8月9日,全国信息安全标准化技术委员会编制的国家标准《信息安全技术 敏感个人信息处理安全要求》(以下简称“《标准》”)征求意见稿面向社会广泛征求意见。

 

《标准》中对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定,明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求

 

《标准》实际上是对《个人信息保护法》第二节有关敏感个人信息的处理规则的进一步落实,因此应用范围非常广泛,对网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等各类场景下的敏感个人信息处理者的价值尤为重要。正如编制组在编制说明中指出的,该《标准》适用于规范个人信息处理者的个人信息处理活动,也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。因此,尽管《标准》尚处于征求意见稿阶段,但可以预见的是,相应的合规基本要求是一脉相承的,个人信息处理者需重视其中相关合规工作,以满足《标准》正式发布后的数据合规要求。

 

五、《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布

2023年8月25日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——生成式人工智能服务内容标识方法》,围绕文本、图片、音频、视频四类生成内容,给出了采用显式水印标识或隐式水印标识进行标识的实践指引,为生成式人工智能服务的提供者提供了更具可操作性的合规指南。

 

人工智能服务提供者的强制性标识义务是《生成式人工智能服务管理暂行办法》(以下简称“《暂行办法》”)确定的重要内容之一。《标识方法》的出台即是支撑《暂行办法》等生成式人工智能服务领域相关监管文件的有效落地,可用于指导生成式人工智能提供者提高内容标识水平。

 

需要指出的是,标识仅起到提示以及追溯的作用,并非类似于著作权法项下“作者”的标注。考虑到《暂行办法》及《互联网信息服务深度合成管理规定》所规定的标识方法并不明确,《标识方法》或将成为开展监管行动的参考。因此,生成式人工智能服务的提供者应当及时对自身产品进行调整,依照《标识方法》进行标识或提供标识功能。

 

六、国标《信息安全技术 数据交易服务安全要求(征求意见稿)》发布

为贯彻《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》二十条政策举措,落实《数据安全法》第19条国家建立健全数据交易管理制度,推动数据流通与数据交易,激活数据要素潜能,促进数字经济发展,根据《中华人民共和国网络安全法》等政策法规要求,由国家标准化管理委员会立项,中国电子技术标准化研究院牵头组织标准修订了《信息安全技术 数据交易服务安全要求》(以下简称“《要求》”)于2023年8月25日,由信安标委秘书处面向社会广泛征求意见。

 

《要求》拟代替2020年3月实施的《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019),与GB/T 37932-2019相比,除编辑性的改动外,《要求》的主要技术变化集中于数据交易活动参考模型、数据交易标的安全要求,并增加了数据交易安全原则、数据交易参与方安全要求、数据交易过程安全要求的部分内容及禁止交易数据示例。

 

修订《要求》一方面适应了引导数据交易服务产业安全健康发展,推动数据在组织间合理的交换、共享和流转的需要。另一方面也贯彻和衔接了《数据安全法》《个人信息保护法》等上位法,结合了现实中数据交易模式多样化对规范数据交易服务网络运营者行为的新要求。

 

作为组织和管理数据交易活动的组织机构,数据交易场所不仅需要构建严谨的制度框架,还要在运营中监督数据交易行为的合规性,保护数据供需双方以及新加入数据交易服务的数据商、第三方专业服务机构的利益,其运行与构建仍有较大的发展空间。此外,数据独特的无形性、非排他性、可复制性、时效性为其定价与交易增加了难度,如何保障数据产权,防止数据被非法篡改、窃取或泄露,仍然是一个在交易服务中需要回答的问题。

 

七、国标《信息安全技术 重要数据处理安全要求》征求意见

为配合《数据安全法》《网络数据安全管理条例(征求意见稿)》等数据安全监管法律法规的落地实施,《信息安全技术 重要数据处理安全要求》(以下简称“《要求》”)于2023年8月25日,由信安标委秘书处面向社会广泛征求意见。《要求》围绕重要数据的收集、存储、使用与加工、传输与提供、公开、删除的处理过程,规定了数据处理者处理重要数据的安全要求,为数据处理者合法、正当、安全地处理重要数据提供了技术支撑。

 

《要求》描述了处理重要数据的信息系统、云平台应满足的安全要求,全生命周期中各处理过程应满足的安全要求,以及包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理在内的运行与管理要求。适用于数据处理者的处理活动,以及监管部门和评估机构等组织的监管、评估活动。

 

重要数据分布在政务部门、医院高校等公共服务机构、权威专业机构、科研机构、互联网企业、实体经济企业等诸多领域,分布范围广,又十分敏感和重要,一旦被泄露、损毁、篡改、滥用,可能会带来危害国家安全与公共利益的严重后果。《要求》的出台对于数据保护具有重要意义,更是对《数据安全法》《网络安全法》等数据保护法规的完善。

 

但需要注意的是,《要求》目前只搭建了重要数据保护的框架,需要参照后续即将出台的数据分类分级规则以及行业主管部门出具的重要数据具体目录进行重要数据的识别和保护。在具体的制度构建问题上,还需要具体的数据标识技术以及更完善的法规出台,明确重要数据的特征,使其成为可识别、可登记、可监测、可上报的数据。

 

八、国标《信息安全技术 基于个人信息的自动化决策安全要求(征求意见稿)》发布

2023年8月18日,信安标委发布了国家标准《信息安全技术 基于个人信息的自动化决策安全要求(征求意见稿)》(以下简称“《要求》”)。《要求》在《个人信息保护法》和多项已发布的国家标准(如《信息安全技术 个人信息安全规范》《信息安全技术 网络数据处理安全规范》《信息安全技术 移动互联网应用(App)收集个人信息基本规范》)的基础上,以《个人信息保护法》的“自动化决策”定义为起点,澄清了多项自动化决策过程中的重要术语;以特征生成和决策两大环节为逻辑进路,对自动化决策的算法安全性要求、“特征生成”和“决策”两大环节的安全要求进行了全面的细化规定;专门强调了对个人权益有重大影响的自动化决策典型场景和其他典型自动化决策场景的特殊要求,以及风险管理要求。既建立了自动化决策安全的操作框架,又在实施细节上给个人信息处理者、监管部门和第三方评估机构提供了参考细则。

 

我们建议企业在从事个人信息收集处理的过程中,不仅应当遵循自动决策总体层面的算法安全要求,也需要在特征生成和决策两大环节履行信息收集的“最小必要性”原则、告知义务和个人权益保障义务等;此外,企业应当关注自身业务范围是否落入“对个人权益有重大影响的自动化决策典型场景”,采取相应自我约束机制和用户保护措施;最后,对自动决策机制进行常态化的风险管理,包括但不限于开展个人信息保护影响评估、自行或委托外部机构进行数据合规审计、完善个人用户行权机制和投诉响应机制等等。

 

九、国标《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》征求意见

2023年8月25日,全国信息安全标准化技术委员会发布关于国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》(以下简称“《要求》”)征求意见的通知。《要求》的发布意味着《个人信息保护法》第58条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”有了具体的标准细则。

 

《要求》由范围、规范性引用文件、术语和定义、个人信息保护监督机构的设立、个人信息保护监督机构成员、个人信息保护监督机构职责、个人信息保护监督机构工作机制七章内容组成,详细规定了大型互联网企业建立和运行个人信息保护监督机构的要求,包括个人信息保护监督机构的设置、职责、工作规则,以及个人信息保护监督机构的成员等要求。

 

独立监督机构是大型互联网企业公司治理的重要组成部分,主要通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。企业在组建个人信息保护监督机构时应当注意个人信息保护监督机构外部成员应具有专业知识,并且要接受专业培训。《要求》尤其强调了外部成员身份和履职的独立性。而在个人信息保护监督机构的职权方面,可以分为一般事项的监督和特别事项的监督,不仅涵盖了大型互联网企业个人信息保护的基本情况,还包括了对于数据跨境等情形的监督。

 

十、 国标《信息安全技术 数据安全风险评估方法》征求意见

2023年8月21日,全国信息安全标准化技术委员会官网发布,关于国家标准《信息安全技术 数据安全风险评估方法》(以下简称“《方法》”)征求意见的通知。提出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容,明确了数据安全风险评估各阶段的实施要点和工作方法。《方法》主要由范围、规范性引用文件、术语和定义、缩略语、通则、数据安全风险评估准备、信息调研、风险识别、风险分析与评价、评估总结、附录等内容组成。

 

数据安全风险评估的核心是围绕数据和数据处理活动展开,主要目标是通过评估,掌握数据安全的整体情况,发现潜在的数据安全隐患,并提出相关的管理和技术措施,以提升保护数据安全的能力。《方法》中主要是细化了风险要素关系、风险分析以及评估总结等内容,是对于《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《网络数据安全管理条例(征求意见稿)》等法律法规对于建立数据安全风险评估制度要求的落实。企业在评估工作中,应当注意数据安全风险评估的适用情形,按照要求准确量化评价数据风险,具体评估维度和评估项可参考此前发布的《网络安全标准实践指南——网络数据安全风险评估实施指引》。

 

十一、工信部发布《关于开展移动互联网应用程序备案工作的通知》

为落实《反电信网络诈骗法》《互联网信息服务管理办法》等法律法规要求,工信部于2023年8月4日正式发布《关于开展移动互联网应用程序备案工作的通知》(以下简称“《通知》”),明确要求在中国境内从事移动互联网信息服务的APP主办者(包括向中国境内用户提供APP的下载、访问、登录等服务使用行为)履行备案手续,未履行备案手续的,不得从事App互联网信息服务。

 

从《通知》内容来看,APP备案程序并不复杂。对于已履行网站备案手续的,仅需补充完善其APP有关信息,无需重复填报主办者真实身份信息。工信部同时也为存量APP预留了8个月的备案时间(截止至2024年3月),但在《通知》发布后拟开展业务的APP,应按照通知要求先履行备案手续后再开展业务。

 

根据《备案通知》官方解读[1],APP主办者在填写有关备案材料[2]并实名核验后,由其网络接入服务提供者或应用分发平台通过“国家互联网基础资源管理系统”(即ICP/IP地址/域名信息备案管理系统),向APP主办者住所所在地通信管理局在线提交备案申请,APP主办者无需到通信管理局窗口排队办理

 

此外《通知》还对APP主办者作出如下合规要求

 

(1) APP主办者应当在APP显著位置(如APP“设置”或“介绍”)标明其备案编号,并在备案编号下方按要求链接备案系统网址,供公众查询核对。分发平台应在显著位置标明其分发的APP备案编号信息,并向电信主管部门报送分发的APP有关信息。

 

(2) APP主办者、网络接入服务提供者、分发平台、智能终端生产企业应当建立健全违法违规信息监测和处置机制,发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向电信主管部门报告,依据电信主管部门要求进行处置。

 

 注释 

[1]链接:

https://www.miit.gov.cn/zwgk/zcjd/art/2023/art_39b4f1acc36745b98478e0ec3e07128d.html。

[2]企业侧备案系统将在8月底完成建立,根据《微信小程序备案操作指引》其所需信息包括主办单位证件、主体负责人证件、APP负责人证件、前置审批(移动金融客户端应用软件备案)、补充材料(根据规则提供包括但不限于授权书、党建证明、居住证、情况说明、承诺书等)、APP负责人核验现场拍摄照片电子件、互联网信息服务承诺书、APP备案真实性核验单以及《备案登记表》(包括主办者真实身份信息、网站应用信息、APP 应用信息、网络接入信息等,该表可在此下载:

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_920db564162e4312916a01bed6540ad8.html)。

邵阳交通事故律师事务所(www.tieqiaolawyer.com/jiaotongfawu)提供邵阳市交通事故24小时在线免费咨询


标签:

部分文章来源于网络,无法查证出处,我们只做学习使用,如不同意收录请联系网站马上删除


上一篇:交通事故多久报警,交通事故处理流程时效

下一篇:无证酒驾摩托车出事故责任划分



相关文章

 车辆年检流程有哪些

 高新区忠厚交通事故律师(高新区元首交通事故律师事务所)

 标准:透明、公正、高效,为您的权益保驾护航

 情势变更制度在离婚财产协议中的参照适用

 《安徽省自建房屋安全管理办法》自2022年12月1日起施行

更多>>

文集