題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
本動(dòng)態(tài)涵蓋2019年10月下半月至11月網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)領(lǐng)域的規(guī)定、規(guī)則及重大新聞。第一部分為我們理解值得關(guān)注的該領(lǐng)域的最新政策規(guī)定及規(guī)則(部分政策規(guī)定或規(guī)則,可能包含我們對(duì)其值得關(guān)注的要點(diǎn)或問(wèn)題的簡(jiǎn)評(píng));第二部分為我們理解值得關(guān)注的該領(lǐng)域的重要事件或重大新聞(部分事件或新聞,可能包含我們對(duì)其值得關(guān)注的要點(diǎn)或問(wèn)題的簡(jiǎn)評(píng))。
本動(dòng)態(tài)僅作為本所對(duì)網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)相關(guān)的近期話題的一般性探討,不構(gòu)成本所正式法律咨詢意見(jiàn)。
一、監(jiān)管規(guī)則
(一)《最高人民法院、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問(wèn)題的解釋》(法釋〔2019〕15號(hào))(下稱“《信息網(wǎng)絡(luò)犯罪司法解釋》”)
發(fā)布時(shí)間: 2019年10月21日
發(fā)布單位: 最高人民法院和最高人民檢察院
數(shù)據(jù)合規(guī)看點(diǎn):
1、對(duì)“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”的細(xì)化規(guī)定
a.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪
《刑法》第二百八十六條之一規(guī)定,網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴(yán)重后果的;
(三)致使刑事案件證據(jù)滅失,情節(jié)嚴(yán)重的;
(四)有其他嚴(yán)重情節(jié)的。
單位犯前款罪的,對(duì)單位判處罰金,并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照前款的規(guī)定處罰。
有前兩款行為,同時(shí)構(gòu)成其他犯罪的,依照處罰較重的規(guī)定定罪處罰。
b.明確了“網(wǎng)絡(luò)服務(wù)提供者”的范圍
《信息網(wǎng)絡(luò)犯罪司法解釋》規(guī)定,“網(wǎng)絡(luò)服務(wù)提供者”指提供以下服務(wù)的單位和個(gè)人:網(wǎng)絡(luò)接入、域名注冊(cè)解析等信息網(wǎng)絡(luò)接入、計(jì)算、存儲(chǔ)、傳輸服務(wù);信息發(fā)布、搜索引擎、即時(shí)通訊、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)預(yù)約、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)直播、網(wǎng)站建設(shè)、安全防護(hù)、廣告推廣、應(yīng)用商店等信息網(wǎng)絡(luò)應(yīng)用服務(wù);利用信息網(wǎng)絡(luò)提供的電子政務(wù)、通信、能源、交通、水利、金融、教育、醫(yī)療等公共服務(wù)。
c.明確了“監(jiān)管部門責(zé)令采取改正措施”和“拒不改正”的具體含義和情境
《信息網(wǎng)絡(luò)犯罪司法解釋》規(guī)定,“監(jiān)管部門責(zé)令采取改正措施”,是指網(wǎng)信、電信、公安等依照法律、行政法規(guī)的規(guī)定承擔(dān)信息網(wǎng)絡(luò)安全監(jiān)管職責(zé)的部門,以責(zé)令整改通知書(shū)或者其他文書(shū)形式,責(zé)令網(wǎng)絡(luò)服務(wù)提供者采取改正措施。認(rèn)定“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”,應(yīng)當(dāng)綜合考慮監(jiān)管部門責(zé)令改正是否具有法律、行政法規(guī)依據(jù),改正措施及期限要求是否明確、合理,網(wǎng)絡(luò)服務(wù)提供者是否具有按照要求采取改正措施的能力等因素進(jìn)行判斷。
d.明確或量化了其他入刑要素
《信息網(wǎng)絡(luò)犯罪司法解釋》對(duì)“致使違法信息大量傳播”、“致使用戶信息泄露,造成嚴(yán)重后果”當(dāng)中的“造成嚴(yán)重后果”、“致使刑事案件證據(jù)滅失,情節(jié)嚴(yán)重的”的“情節(jié)嚴(yán)重”以及“有其他嚴(yán)重情節(jié)的”的具體含義進(jìn)行了詳細(xì)的規(guī)定。
2、對(duì)“非法利用信息網(wǎng)絡(luò)罪”的細(xì)化規(guī)定
a.非法利用信息網(wǎng)絡(luò)罪
《刑法》第二百八十七條之一規(guī)定,利用信息網(wǎng)絡(luò)實(shí)施下列行為之一,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金:
(一)設(shè)立用于實(shí)施詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動(dòng)的網(wǎng)站、通訊群組的;
(二)發(fā)布有關(guān)制作或者銷售毒品、槍支、淫穢物品等違禁物品、管制物品或者其他違法犯罪信息的;
(三)為實(shí)施詐騙等違法犯罪活動(dòng)發(fā)布信息的。
b.闡明“違法犯罪”的行為性質(zhì)
《信息網(wǎng)絡(luò)犯罪司法解釋》規(guī)定,為實(shí)施詐騙等違法犯罪活動(dòng)發(fā)布信息的,情節(jié)嚴(yán)重可認(rèn)定為本罪,此處“違法犯罪”包括犯罪行為和屬于刑法分則規(guī)定的行為類型但尚未構(gòu)成犯罪的違法行為。上述規(guī)定,從側(cè)面反映了,對(duì)于刑法未規(guī)定、僅在治安管理處罰法或者其他法律法規(guī)規(guī)定的行政違法行為不宜認(rèn)定為本罪名中的“違法犯罪”行為。
c.釋明了三類具體情節(jié)
《信息網(wǎng)絡(luò)犯罪司法解釋》釋明了“用于實(shí)施詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動(dòng)的網(wǎng)站、通訊群組”的一項(xiàng)具體情境;釋明了“為實(shí)施詐騙等違法犯罪活動(dòng)發(fā)布信息”當(dāng)中的“發(fā)布信息”的一項(xiàng)具體情境;詳細(xì)釋明了哪些情形可以構(gòu)成“情節(jié)嚴(yán)重”。
3、對(duì)“幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪”的細(xì)化規(guī)定
a.幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪
《刑法》第二百八十七條之二規(guī)定,明知他人利用信息網(wǎng)絡(luò)實(shí)施犯罪,為其犯罪提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)、通訊傳輸?shù)燃夹g(shù)支持,或者提供廣告推廣、支付結(jié)算等幫助,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。
單位犯前款罪的,對(duì)單位判處罰金,并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照第一款的規(guī)定處罰。
有前兩款行為,同時(shí)構(gòu)成其他犯罪的,依照處罰較重的規(guī)定定罪處罰。
b.明確了“明知他人利用信息網(wǎng)絡(luò)實(shí)施犯罪”的情形
《信息網(wǎng)絡(luò)犯罪司法解釋》規(guī)定了如下情形可以認(rèn)定為“明知他人利用信息網(wǎng)絡(luò)實(shí)施犯罪”:經(jīng)監(jiān)管部門告知后仍然實(shí)施有關(guān)行為的;接到舉報(bào)后不履行法定管理職責(zé)的;交易價(jià)格或者方式明顯異常的;提供專門用于違法犯罪的程序、工具或者其他技術(shù)支持、幫助的;頻繁采用隱蔽上網(wǎng)、加密通信、銷毀數(shù)據(jù)等措施或者使用虛假身份,逃避監(jiān)管或者規(guī)避調(diào)查的;為他人逃避監(jiān)管或者規(guī)避調(diào)查提供技術(shù)支持、幫助的;其他足以認(rèn)定行為人明知的情形。
c.明確了“情節(jié)嚴(yán)重”的情形
《信息網(wǎng)絡(luò)犯罪司法解釋》明確了一系列情形可認(rèn)定為幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪入刑要素中要求的“情節(jié)嚴(yán)重”。
4、職業(yè)禁止和禁止令規(guī)定
《信息網(wǎng)絡(luò)犯罪司法解釋》明確,對(duì)于實(shí)施拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪、非法利用信息網(wǎng)絡(luò)罪的犯罪被判處刑罰的,可以根據(jù)犯罪情況和預(yù)防再犯罪的需要,依法宣告職業(yè)禁止;被判處管制、宣告緩刑的,可以根據(jù)犯罪情況,依法宣告禁止令。
簡(jiǎn)評(píng):《信息網(wǎng)絡(luò)犯罪司法解釋》對(duì)《刑法修正案(九)》增設(shè)的三類網(wǎng)絡(luò)信息犯罪,即拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪和幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪的定罪量刑提供了具體的適用規(guī)范。就《信息網(wǎng)絡(luò)犯罪司法解釋》中為各項(xiàng)罪名劃定的入刑要素看來(lái),門檻的設(shè)置較低,同時(shí)適用的犯罪主體和犯罪行為也較為廣泛。
(二)《密碼法》
發(fā)布時(shí)間:2019年10月26日(2020年1月1日起施行)
發(fā)布單位:全國(guó)人民代表大會(huì)常務(wù)委員會(huì)
數(shù)據(jù)合規(guī)看點(diǎn):
1、密碼的分類管理制度:根據(jù)密碼保護(hù)信息的不同將密碼劃分為核心密碼、普通密碼和商用密碼并制定不同的管理規(guī)則,其中核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息;商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。
2、商用密碼領(lǐng)域外資準(zhǔn)入的國(guó)民待遇:商用密碼科研、生產(chǎn)、銷售、服務(wù)、進(jìn)出口業(yè)務(wù)并不屬于外商投資的負(fù)面清單中,即不屬于禁止或限制外商投資的業(yè)務(wù)。
3、商用密碼產(chǎn)品和服務(wù)的認(rèn)證要求:商用密碼產(chǎn)品涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后,方可銷售或者提供;商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對(duì)該商用密碼服務(wù)認(rèn)證合格。
4、關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼保護(hù):法律法規(guī)要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),并應(yīng)開(kāi)展商用密碼應(yīng)用安全性評(píng)估;關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定完成國(guó)家安全審查。
5、商用密碼的進(jìn)口許可和出口管制制度:涉及國(guó)家安全、社會(huì)公共利益且具有加密保護(hù)功能的商用密碼實(shí)施進(jìn)口許可,涉及國(guó)家安全、社會(huì)公共利益或者中國(guó)承擔(dān)國(guó)際義務(wù)的商用密碼實(shí)施出口管制;大眾消費(fèi)類產(chǎn)品所采用的商用密碼不實(shí)行進(jìn)口許可和出口管制制度。
簡(jiǎn)評(píng):《密碼法》是我國(guó)密碼管理領(lǐng)域的第一部綜合性法律,在其在頒布前,相關(guān)規(guī)范僅零散地分布于各項(xiàng)法規(guī)及其他規(guī)定當(dāng)中。《密碼法》中“密碼”不同于日常生活中個(gè)人使用的“密碼”,是特指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù),目前多應(yīng)用于電子商務(wù)領(lǐng)域的安全認(rèn)證以及金融交易的加密傳輸中,其未來(lái)預(yù)期也可能將對(duì)如區(qū)塊鏈服務(wù)等網(wǎng)絡(luò)信息領(lǐng)域的服務(wù)起到更深層次的規(guī)范作用。
(三)《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》(征求意見(jiàn)稿)
發(fā)布時(shí)間:2019年11月20日
發(fā)布單位:國(guó)家互聯(lián)網(wǎng)信息辦公室
數(shù)據(jù)合規(guī)看點(diǎn):
1、發(fā)布網(wǎng)絡(luò)安全威脅事件信息或報(bào)告前,應(yīng)履行事先報(bào)告義務(wù):
2、征求同意的義務(wù):發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況,應(yīng)事先征求運(yùn)營(yíng)者書(shū)面意見(jiàn),但已提前30日向主管部門舉報(bào)和相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除的兩種情形除外。發(fā)布的“具體網(wǎng)絡(luò)和信息系統(tǒng)”的情況指內(nèi)容包含名字、位置、域名、IP地址等信息,若不涉及具體信息,無(wú)法定位到具體網(wǎng)絡(luò)和信息系統(tǒng),則無(wú)需征求運(yùn)營(yíng)者同意。
3、平臺(tái)運(yùn)營(yíng)者、舉辦單位的監(jiān)督義務(wù):通過(guò)各個(gè)公共平臺(tái)發(fā)布信息的,平臺(tái)運(yùn)營(yíng)者、主辦單位發(fā)現(xiàn)有違反本辦法的行為和內(nèi)容,應(yīng)及時(shí)采取處置措施,并向地市級(jí)以上網(wǎng)信部門、公安機(jī)關(guān)報(bào)告。
簡(jiǎn)評(píng):本辦法對(duì)網(wǎng)絡(luò)安全威脅信息發(fā)布行為進(jìn)行了較為詳細(xì)的規(guī)范,特別有利于平衡和減輕信息發(fā)布行為對(duì)運(yùn)營(yíng)者的負(fù)面影響。在過(guò)往的許多事件中,不論是黑客對(duì)網(wǎng)絡(luò)安全威脅信息的惡意發(fā)布,還是“白帽子”對(duì)特定系統(tǒng)網(wǎng)絡(luò)安全漏洞進(jìn)行偵測(cè)后基于善意進(jìn)行的信息發(fā)布,都有可能因?yàn)榕恫划?dāng)而對(duì)披露信息指向的目標(biāo)系統(tǒng)的運(yùn)營(yíng)者造成負(fù)面影響。極端情況下,個(gè)別“白帽子”也曾因漏洞挖掘和披露行為受到處罰甚至刑事追訴。本辦法的發(fā)布,有利于提示、規(guī)范“白帽子”的信息發(fā)布和報(bào)告活動(dòng),對(duì)在法律允許的框架內(nèi)進(jìn)一步鼓勵(lì)“白帽子”的漏洞挖掘和合法報(bào)告/發(fā)布活動(dòng)提供有益的幫助。
(四)《網(wǎng)絡(luò)音視頻信息服務(wù)管理規(guī)定》
發(fā)布時(shí)間:2019年11月18日
發(fā)布單位:互聯(lián)網(wǎng)信息辦公室,文化和旅游部,廣播電視總局
數(shù)據(jù)合規(guī)看點(diǎn):
1、再次強(qiáng)調(diào)實(shí)名制認(rèn)證要求:網(wǎng)絡(luò)音視頻信息服務(wù)提供者應(yīng)當(dāng)對(duì)用戶進(jìn)行真實(shí)身份信息認(rèn)證;用戶不提供真實(shí)身份信息的,不得為其提供信息發(fā)布服務(wù)。
2、深度學(xué)習(xí)、虛擬現(xiàn)實(shí)等新技術(shù)新應(yīng)用的相關(guān)要求:
a.安全評(píng)估義務(wù):服務(wù)提供者基于該技術(shù)上線具有媒體屬性或者社會(huì)動(dòng)員功能的音視頻信息服務(wù)或調(diào)整增設(shè)相關(guān)功能的,應(yīng)當(dāng)開(kāi)展安全評(píng)估。
b.標(biāo)識(shí)義務(wù):服務(wù)提供者和使用者基于該技術(shù)制作、發(fā)布、傳播非真實(shí)音視頻信息的,應(yīng)當(dāng)以顯著方式予以標(biāo)識(shí)。對(duì)不符合顯著標(biāo)識(shí)要求的信息內(nèi)容,應(yīng)當(dāng)立即停止傳播,經(jīng)糾正后方可繼續(xù)傳輸。
c.不得用于生成、傳播虛假新聞:服務(wù)提供者和使用者不得利用該技術(shù)制作、發(fā)布、傳播虛假新聞信息。
d.辟謠及備案義務(wù):服務(wù)提供者應(yīng)當(dāng)建立健全辟謠機(jī)制,發(fā)現(xiàn)利用基于該技術(shù)的虛假圖像、音視頻生成技術(shù)制作、發(fā)布、傳播謠言的,應(yīng)當(dāng)及時(shí)采取辟謠措施,并向相關(guān)部門備案。
3、部署鑒別技術(shù)的義務(wù):網(wǎng)絡(luò)音視頻信息服務(wù)提供者應(yīng)當(dāng)部署應(yīng)用違法違規(guī)音視頻以及非真實(shí)音視頻鑒別技術(shù)。
簡(jiǎn)評(píng):除本規(guī)定對(duì)非真實(shí)音視頻信息的標(biāo)識(shí)義務(wù)進(jìn)行明確規(guī)定外,《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》也提出了類似的標(biāo)識(shí)要求。《網(wǎng)絡(luò)音視頻信息服務(wù)管理規(guī)定》回應(yīng)了新技術(shù)發(fā)展面臨的問(wèn)題,對(duì)服務(wù)提供者的安全責(zé)任意識(shí)、管理措施和技術(shù)保障能力提出新的要求,強(qiáng)調(diào)服務(wù)提供者的安全管理義務(wù)。
(五)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(最新版征求意見(jiàn)稿)
發(fā)布時(shí)間:2019年10月24日
發(fā)布單位:國(guó)家市場(chǎng)監(jiān)督管理總局,國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
數(shù)據(jù)合規(guī)看點(diǎn):
1、對(duì)描述進(jìn)行優(yōu)化:該規(guī)范補(bǔ)充并完善了部分定義,優(yōu)化部分專業(yè)詞匯和基本原則的描述。
2、對(duì)內(nèi)容進(jìn)行更新:該規(guī)范對(duì)個(gè)人信息收集事項(xiàng)中“不得強(qiáng)迫接受多項(xiàng)業(yè)務(wù)功能”、“征得授權(quán)同意”部分,個(gè)人信息使用事項(xiàng)中“個(gè)性化展示的使用”部分,以及“個(gè)人信息共同控制者的要求”等內(nèi)容進(jìn)行更新。
3、補(bǔ)充具體要求:該規(guī)范針對(duì)注銷難問(wèn)題,補(bǔ)充注銷機(jī)制要求。對(duì)委托處理、共享、轉(zhuǎn)讓等事項(xiàng)中受委托者和接收方的管理要求進(jìn)行補(bǔ)充。
(六)《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)收集個(gè)人信息基本規(guī)范》(草案)
發(fā)布時(shí)間:2019年10月24日
發(fā)布單位:國(guó)家市場(chǎng)監(jiān)督管理總局,國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
數(shù)據(jù)合規(guī)看點(diǎn):
1、明確最小必要信息的范圍:將“法律法規(guī)等規(guī)范性文件要求必須收集的個(gè)人信息”修改為“法律法規(guī)要求必須收集的個(gè)人信息”,明確了必須收集的個(gè)人信息的范圍情形之一僅限于“法律法規(guī)”,而非寬泛地指向其他規(guī)范性文件。
2、增加運(yùn)營(yíng)者的定義:在“移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的所有者、管理者”的基礎(chǔ)上,增加了一項(xiàng)“移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序服務(wù)的提供者”。此前,實(shí)踐中,一般理解移動(dòng)互聯(lián)網(wǎng)應(yīng)用的“運(yùn)營(yíng)者”可以是在應(yīng)用商店發(fā)布該應(yīng)用的發(fā)布者(publisher),或者可以是應(yīng)用軟件著作權(quán)的所有者(copyright owner)。但在一些應(yīng)用中,發(fā)布者并不必然是所有者;更重要的是,在發(fā)布者、所有者以外,應(yīng)用的全部或部分服務(wù)可能是其他實(shí)際提供服務(wù)的主體提供,因此在定義中加入“服務(wù)的提供者”有助于讓規(guī)定更符合實(shí)踐中的情形。
3、新增首次運(yùn)行有義務(wù)告知最小必要信息規(guī)則:最新稿新增要求APP首次運(yùn)行時(shí)應(yīng)通過(guò)彈窗等明顯方式告知收集最小必要信息規(guī)則。
4、細(xì)化APP運(yùn)營(yíng)者承擔(dān)第三方代碼、插件的責(zé)任范圍:最新稿中明確APP運(yùn)營(yíng)者應(yīng)確保第三方代碼或插件履行個(gè)人信息安全保護(hù)義務(wù),并防止第三方代碼或插件收集無(wú)關(guān)的個(gè)人信息。這一規(guī)定相比于舊稿的“App應(yīng)對(duì)其使用的第三方代碼、插件的個(gè)人信息收集行為負(fù)責(zé)”這一寬泛的規(guī)定,提出了更為明確的要求、劃分了更為清晰的責(zé)任承擔(dān)范圍。
5、完善部分服務(wù)類型所需最小必要信息的范圍和使用要求:
a.博客論壇:個(gè)人信息類型中新增僅對(duì)使用信息發(fā)布功能的該用戶收集,包括操作時(shí)間等。使用要求為《具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估規(guī)定》。
b.網(wǎng)絡(luò)支付:個(gè)人信息類型中新增身份基本信息,包括國(guó)籍、性別、職業(yè)、住址、聯(lián)系方式。使用要求為《支付機(jī)構(gòu)反洗錢和反恐怖融資管理辦法》。
c.網(wǎng)上購(gòu)物:功能定義新增“客服售后”,所需個(gè)人信息中收貨人信息的使用要求新增“完成客服與售后需要”。
d.餐飲外賣:所需客人信息中聯(lián)系人信息的使用要求,從“姓名可無(wú)需真實(shí)”變更為“姓名無(wú)需保證真實(shí)”。
e.金融借貸:個(gè)人信息類型中新增“償付能力、貸款用途”。所需個(gè)人信息中將“個(gè)人征信信息”改為“個(gè)人信用信息”。使用要求為《小額貸款公司網(wǎng)絡(luò)小額貸款業(yè)務(wù)風(fēng)險(xiǎn)專項(xiàng)整治實(shí)施方案》、《個(gè)人貸款管理暫行辦法》。
f.運(yùn)動(dòng)健身:個(gè)人信息類型中新增:基本健康資料,包括性別、年齡、身高、體重。使用要求為基本健康資料結(jié)合個(gè)人運(yùn)動(dòng)信息可以更好地給出運(yùn)動(dòng)或健康建議。
g.網(wǎng)頁(yè)瀏覽器:瀏覽器的功能定義變更為“為用戶提供通過(guò)輸入網(wǎng)址或站點(diǎn)導(dǎo)航瀏覽網(wǎng)上信息資源功能的服務(wù)”。
二、案例事件
(一)北京市通信管理局開(kāi)展APP網(wǎng)絡(luò)數(shù)據(jù)安全檢查
2019年12月4日,北京市通信管理局發(fā)布通告,針對(duì)APP違規(guī)收集用戶信息、強(qiáng)制授權(quán)、過(guò)度索權(quán)等社會(huì)熱點(diǎn)問(wèn)題,組織開(kāi)展了為期兩個(gè)月的移動(dòng)應(yīng)用APP網(wǎng)絡(luò)數(shù)據(jù)安全檢查。
本次檢查選取了具有影響力的50款A(yù)PP,覆蓋了社交、網(wǎng)租房和汽車服務(wù)、線上教育、金融、線上醫(yī)療、基礎(chǔ)電信企業(yè)等6個(gè)領(lǐng)域。主要發(fā)現(xiàn)問(wèn)題有:用戶拒絕授權(quán)時(shí),未明確告知服務(wù)使用受限的范圍;用戶拒絕授權(quán)時(shí),影響其他業(yè)務(wù)功能的使用;收集使用用戶個(gè)人敏感信息時(shí),未同步說(shuō)明目的等。就該次檢查,北京市通信管理局也在通告中要求嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(工信部令第24號(hào))。
(二)國(guó)家市場(chǎng)監(jiān)督管理總局召開(kāi)“守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專項(xiàng)執(zhí)法行動(dòng)專題新聞發(fā)布會(huì)
2019年11月18日,國(guó)家市場(chǎng)監(jiān)督管理總局(“市場(chǎng)監(jiān)管總局”)召開(kāi)“守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專項(xiàng)執(zhí)法行動(dòng)專題新聞發(fā)布會(huì)。
此前,市場(chǎng)監(jiān)管總局于2019年3月印發(fā)《關(guān)于開(kāi)展“守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專項(xiàng)執(zhí)法行動(dòng)的通知》,決定自4月1日至9月30日開(kāi)展為期6個(gè)月的“守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專項(xiàng)執(zhí)法行動(dòng)。通知表明,針對(duì)房產(chǎn)租售、小貸金融、教育培訓(xùn)、保險(xiǎn)經(jīng)紀(jì)、美容健身等多個(gè)侵害消費(fèi)者個(gè)人信息違法問(wèn)題突出的行業(yè)和領(lǐng)域開(kāi)展專項(xiàng)執(zhí)法行動(dòng),重點(diǎn)打擊以下違法行為:未經(jīng)消費(fèi)者同意,收集、使用消費(fèi)者個(gè)人信息;泄露、出售或者非法向他人提供所收集的消費(fèi)者個(gè)人信息;未經(jīng)消費(fèi)者同意或者請(qǐng)求,或者消費(fèi)者明確表示拒絕的,向其發(fā)送商業(yè)性信息等違法行為。
行動(dòng)期間,全國(guó)市場(chǎng)監(jiān)管部門共立案查辦各類侵害消費(fèi)者個(gè)人信息案件1474件,查獲涉案信息369.2萬(wàn)條,罰沒(méi)款1946.4萬(wàn)元,移送公安機(jī)關(guān)案件154件;組織執(zhí)法聯(lián)動(dòng)4225次;開(kāi)展行政約談3536次;開(kāi)展宣傳活動(dòng)10653次。從查辦案件的情況來(lái)看,當(dāng)前侵害消費(fèi)者個(gè)人信息違法行為,主要高發(fā)的行業(yè)領(lǐng)域和最突出的違法行為見(jiàn)下表:
(三)工信部開(kāi)展APP侵犯用戶權(quán)益專項(xiàng)整治行動(dòng)
2019年10月31日,工信部發(fā)布《關(guān)于開(kāi)展APP侵害用戶權(quán)益專項(xiàng)整治工作的通知》(工信部信管函[2019]337號(hào))。通知表明,依據(jù)《網(wǎng)絡(luò)安全法》、《電信條例》、《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》(工業(yè)和信息化部令第20號(hào))、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(工業(yè)和信息化部令第24號(hào))和《移動(dòng)智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》(工信部信管[2016]407號(hào))等法律法規(guī)和規(guī)范性文件要求,工信部開(kāi)展專項(xiàng)整治工作:
1、整治行為
2、整治對(duì)象
3、整治時(shí)間
(四)公安機(jī)關(guān)集中整治違法采集個(gè)人信息,100款A(yù)PP被下架
2019年11月,公安部組織開(kāi)展APP違法違規(guī)采集個(gè)人信息集中整治。此次集中整治,重點(diǎn)針對(duì)無(wú)隱私協(xié)議、收集使用個(gè)人信息范圍描述不清、超范圍采集個(gè)人信息和非必要采集個(gè)人信息等情形,責(zé)令限期整改27款,處以警告處罰63款,處以罰款處罰10款,另有2款被立為刑事案件,正在開(kāi)展偵查。公安部組織開(kāi)展“凈網(wǎng)2019”專項(xiàng)行動(dòng)以來(lái),已依法查處違法違規(guī)采集個(gè)人信息的APP共683款。
國(guó)家網(wǎng)絡(luò)安全通報(bào)中心就此次整改發(fā)布了四起典型案例:
后記:
海問(wèn)在網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)領(lǐng)域積累豐富的經(jīng)驗(yàn),亦持續(xù)關(guān)注不斷更新的法律法規(guī)及與數(shù)據(jù)合規(guī)有關(guān)的時(shí)事熱點(diǎn)。您可通過(guò)如下鏈接瀏覽此前發(fā)布的文章:
《海問(wèn)觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2019年9月上半月)
《海問(wèn)觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動(dòng)態(tài)》(2019年9月下半月-10月上半月)
實(shí)習(xí)生朱安琪對(duì)本文亦有貢獻(xiàn)。
京ICP備05019364號(hào)-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
