前言
网络安全与数据合规年度回顾
2022年是值得铭记的一年, 而不知不觉中, 我们也将辞去壬寅, 迎来癸卯年。对于网络安全与合规领域, 2022年的重头大戏无疑是《数据出境安全评估办法》的公布与实施。但2022年的高光时刻远不止于此, 重要数据识别规则在今年几度更新; 《网络安全审查办法》进行了修订; 《网信部门行政执法程序规定》发布; 部分特定领域如医药医疗、网联汽车、金融征信、APP管理等也分别出台了网络安全与数据合规相关的特别规定。加之此前已经实施的法律法规, 纵观现有的网络安全与数据合规法律体系, 不可谓不纷繁复杂、千头万绪。
通力律师事务所大合规团队特撰此文, 回顾2022年网络安全及数据合规领域的立法及执法动态, 并为企业2023年的网安数据合规工作提出我们的思考和建议。网络安全与数据合规是一项长期、系统的工程, 需要持续、坚定的努力。如果我们的本篇回顾能够给企业带来些许启示和指引, 将是我们作为网络安全与数据合规领域律师的一大幸事。
1. 网安数据监管
截至2022年8月, 已有20余家拟赴国外上市企业向国家网络安全审查办公室进行了网络安全审查申报。[1]
2022年6月23日, 网络安全审查办公室宣布对同方知网(北京)技术有限公司启动网络安全审查。[2]
国家网信办组织开展云计算服务安全评估, 2022年共有24家云平台通过云计算服务安全评估。[3]
2. 网安数据违法违规治理
【国家】2022年4月-12月, 国家网信办牵头开展“清朗·2022年算法综合治理”专项行动, 深入排查整改互联网企业平台算法安全问题, 重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品, 督促企业利用算法加大正能量传播、处置违法和不良信息、整治算法滥用乱象。此次专项行动主要包括组织自查自纠、开展现场检查、督促算法备案、压实主体责任、限期问题整改五方面工作。[4]
【国家】 2022年, 国家网信办持续深入推进“清朗·打击网络谣言和虚假信息”专项行动, 针对疫情防控、突发案事件、社会民生等领域谣言问题, 督促指导网站平台加强监测查证, 全面排查整治。[5]
【国家】2022年7月-8月, 国家网信办牵头开展“清朗·2022年暑期未成年人网络环境整治”专项行动, 聚焦未成年人使用频率高的短视频、直播、社交、学习类APP、网络游戏、电商、儿童智能设备等平台, 此次专项行动包括严格管控侵犯未成年人个人隐私问题、严厉查处诱导未成年人参与直播打赏、向未成年人提供网络游戏账号租售服务信息等10个方面整治重点。[6]
【地方】2022年, 北京和广东等地通管局依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规, 按照工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等工作部署, 持续开展APP隐私合规和数据安全专项整治行动。[7]
【地方】2022年4月-9月, 北京市通管局开展北京地区2022年APP综合治理专项行动, 整治内容包括央视“3·15”晚会曝光的APP侵害用户权益的典型问题, 以及移动恶意程序治理、产品安全漏洞等网络与数据安全问题。[8]
【地方】2022年3月, 广东省通管局组织开展2022年广东省电信和互联网行业网络与数据安全检查, 检查内容包括网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息保护工作情况、工业互联网企业网络安全防护情况。[9]2022年5月、2022年7月, 北京市通信管理局、上海市通信管理局分别组织开展北京市、上海市2022年电信和互联网行业网络和数据安全检查工作。[10]
【地方】2022年, 广州市开展民生实事“个人信息超范围采集整治治理”专项工作, 加大对超范围采集公民信息应用的打击整治力度, 大力整治未经用户授权而强制收集个人信息、过度获取用户隐私采集个人信息等超范围收集个人信息的应用。[11]
【地方】2022年, 河南省深入推进“净网2022”专项行动, 聚焦群众反映强烈的侵犯公民个人信息、黑客攻击破坏、非法窃听窃照、“网络水军”、组织考试作弊等突出网络违法犯罪。[12]
3. 网信办、工信部门违法违规APP及网站的通报与下架处理
2022年上半年, 全国网信系统持续加大网络执法力度、规范网络执法行为, 累计依法约谈网站平台3491家, 警告3052家, 罚款处罚283家, 暂停功能或更新419家, 下架移动应用程序177款, 会同电信主管部门取消违法网站许可或备案、关闭违法网站12292家, 移送相关案件线索4246件。[13]相比较而言, 2021年全年, 全国网信系统依法查处各类违法违规案件, 共依法约谈网站平台5654家, 警告4445家, 罚款处罚401家, 暂停功能或更新3008家, 下架移动应用程序1007款, 会同电信主管部门取消网站许可或备案、关闭违法网站17456家, 移送相关案件线索4728件。[14]
2022年, 工信部持续强化信息通信服务质量监督和个人信息保护, 一季度共检测61万款APP, 通报134款[15]; 二季度共检测57万款APP, 责令整改358款, 公开通报121款[16]; 三季度共检测66.5万款APP, 责令整改222款, 公开通报47款[17]。相比较而言, 2021年全年, 工信部共检测208万款APP, 通报1549款, 下架514款。[18]
【国家网信办】2022-11-03国家网信办下架55款APP、通报80款APP: 集中查处侵犯个人信息合法权益的135款违法违规APP, 对其中55款APP予以下架、80款APP责令限期整改。[19]
【工信部】2022-10-13工信部通报38款APP(2022年第6批): 开展APP侵害用户权益整治“回头看”, 对违规推送弹窗信息、APP过度索取权限等问题进行重点抽测, 对存在问题的38款APP予以通报。[20]
【工信部】2022-08-26工信部通报47款APP(2022年第5批): 对酒店餐饮类、未成年人应用类等APP及SDK进行检查, 对发现存在侵害用户权益行为的227款APP(SDK)提出整改要求, 并对未按要求完成整改的47款APP(SDK)予以通报。[21]
【工信部】2022-06-01工信部通报84款APP(2022年第4批): 对生活服务类、日常工具类等APP进行检查, 对发现存在侵害用户权益行为的368款APP提出整改要求, 并对未按要求完成整改的84款APP(SDK)予以通报。[22]
【工信部】2022-04-20工信部通报37款APP(2022年第3批): 对APP进行检查, 并对未完成整改的37款APP予以通报。[23]
【工信部】2022-03-14工信部通报14款APP(2022年第2批): 开展APP侵害用户权益整治“回头看”, 对内存清理类、手机优化类APP进行重点检测, 并对去年发现问题的APP进行抽测, 对仍然存在问题的14款APP予以通报。[24]
【工信部】2022-02-18工信部通报107款APP和13款SDK(2022年第1批): 对APP进行检查, 对尚未完成整改的107款APP、存在违规收集用户设备信息行为的13款SDK予以通报。[25]
【地方网信办】2022-03-02浙江网信办下架“农天堂”等22款APP: 经多次通报整改并检测复核, “农天堂”等22款APP未按要求完成整改, 仍存在严重违法违规收集使用个人信息问题, 浙江网信办对其予以下架。[26]
【地方通管局】2022-11-24北京市通管局下架2款APP、通报20款APP: 检查出存在侵害用户权益和安全隐患等问题的22款APP, 对之前问题整改不到位的2款APP予以下架, 对存在不同类型问题需整改的20款APP予以通报。[27]
【地方通管局】2022-07-22 北京市通管局下架1款APP、通报6款APP: 检查出存在侵害用户权益和安全隐患等问题的7款APP, 对之前未在规定期限内整改且未提交整改报告的1款APP予以下架, 对之前整改不到位的6款APP予以通报。[28]
【地方通管局】2022-03-21北京市通管局下架16款APP: 检查出存在侵害用户权益问题的16款APP, 对之前未按照要求完成整改的16款APP予以下架。[29]
【地方通管局】2022-04-02浙江通管局下架1款APP: 针对央视“3.15”晚会曝光的杭州西芽网络科技有限公司的“雷达WiFi” APP, 因其过度收集用户个人信息、侵害用户个人信息权益, 对其予以下架处理、停止互联网接入服务并约谈其法定代表人。[30]
【地方通管局】2022-11-11内蒙古通管局下架11款APP: 开展APP侵害用户权益整改“回头看”专项行动后, 发现仍有11款问题APP未按要求完成整改, 对其予以下架。[31]
【地方通管局】2022-09-26内蒙古通管局下架16款APP: 复检发现仍有16款问题APP未按要求完成整改, 对其予以下架。[32]
【国家计算机病毒应急处理中心】截至2022年11月, 国家计算机病毒应急处理中心监测发现共191款App存在隐私不合规行为, 对其予以通报。[33]
4. 行政处罚
滴滴公司因数据违法行为被处以80.26亿元罚款
2022年7月, 国家网信办公布对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规, 对滴滴公司处人民币80.26亿元罚款, 对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。经查明, 滴滴公司共存在16项违法事实, 包括违法收集、过度收集、未经告知分析用户信息以及未准确说明个人信息处理目的; 滴滴公司存在严重影响国家安全的数据处理活动, 以及拒不履行监管部门的明确要求, 阳奉阴违、恶意逃避监管等其他违法违规问题。[34]
广东省公安机关首例适用《数据安全法》的案件
2022年7月, 广州市公安局通报广东省公安机关适用《数据安全法》的首例案件。广州某公司开发的“驾培平台”存储驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条, 但未建立数据安全管理制度和操作规程, 对于驾校学员个人信息未采取去标识化和加密措施, 系统存在未授权访问漏洞等严重数据安全隐患。广州警方对该公司未履行数据安全保护义务的违法行为, 处以警告并罚款人民币5万元的行政处罚。[35]
5. 个人信息民事案件
住户因“刷脸”门禁起诉物业公司胜诉
天津一住户顾某因小区物业公司强制要求住户“刷脸”门禁起诉该物业公司。物业公司辩称人脸识别信息采集是经过业主委员会、综合治理办公室、社区、街道办共同完成的工作, 同时在天津市公安局和平分局进行联网监控, 并符合疫情管控要求, 原告人脸信息只在门禁上使用。法院二审支持顾某主张, 要求物业公司删除人脸信息, 并提供其他通行验证方式。[36]
杭州互联网法院发布个人信息保护、数据和算法典型案例
2022年8月, 杭州互联网法院分别发布个人信息保护及数据和算法典型案例, 涉及平台向内嵌支付机构提供用户信息、APP自动化推荐应用、个人信息的赔偿标准认定、信息主体诉权行使的前置条件、数据产品的法律属性及权益保护、公共数据商业化利用的合法性边界、数据权益的权属判断与分类保护、微信社交数据的性质及数据爬取行为的认定、以“撞库”方式获取经销商数据库的行为等问题。[37]
6. 网安数据相关刑事、公益诉讼案例
侵犯个人信息罪:
2022年1月至9月, 全国检察机关以侵犯公民个人信息罪批捕1199人、起诉6223人, 较2018年同期分别下降47.2%、上升87.9%。[38]
个人信息保护领域公益诉讼案件:
2022年1月至9月, 全国检察机关共立案办理个人信息保护领域公益诉讼案件5188件。相比较而言, 2019年立案147件, 2020年立案750件, 2021年立案2276件。[39]
跨境数据传输涉嫌为境外刺探、非法提供情报案:
上海某信息科技公司法定代表人王某、销售总监和销售, 因涉嫌为境外刺探、非法提供情报罪被上海市国家安全局执行逮捕。据报道, 该公司受某境外公司委托, 在北京、上海等16个城市及相应高铁线路上进行移动测试, 并收集直接用于高铁列车运行控制和行车调度指挥的相关数据。该等数据被国家保密行政管理部门鉴定为情报, 相关人员的行为涉嫌《刑法》规定的为境外刺探、非法提供情报罪。[40]
首例数据合规不起诉案件:
2019年至2020年, Z网络科技有限公司在未经授权许可的情况下, 为运营需要, 通过数据爬虫技术非法获取某外卖平台数据, 造成某外卖平台直接经济损失4万余元。普陀区检察院对该案适用涉案企业合规整改制度, 通过第三方组织监督整改过程, 经听证会认可合规评估合格结论, 于2022年5月对涉案单位及人员做出不起诉决定。[41]
通力大合规团队在过去一年中, 为数量众多的客户提供了网络安全及数据合规法律服务,在众多细分领域中积累了大量的经验。随着《网络安全法》《数据安全法》和《个人信息保护法》的相继生效,汽车行业、泛金融行业、医药企业、零售企业的网络安全及数据合规需求尤为强烈。为此, 我们特别准备了汽车、金融、医药健康、零售领域的网安数据合规要求观察, 以供参考。(欲知悉其他行业网络安全及数据合规, 请与我们联系获取相关资讯)
1. 汽车
立法者继2021年对智能网联汽车数据作出一系列立法尝试后, 今年智能网联汽车数据的立法体现出精细化和实操性的特点, 包括专门对高精度地图数据进行规范、强化测绘地理信息安全、明确车联网网络安全和数据安全的具体标准、保障自动驾驶汽车运输安全等。由此可见, 当前保障汽车行驶安全和维护国家安全是智能网联汽车企业需要重点关注的两大问题, 基于此, 我们建议企业:
落实数据分级分类制度。识别受到特别规制的数据类型, 遵守相应的合规要求, 尤其是加强对大量车内和车外数据、重要和“敏感”区域的地理信息、车流、物流等反映经济运行情况的数据的跨境传输管理。
建立数据安全治理架构和体系。明确网络安全负责人和数据安全负责人, 建立和落实必要的安全管理制度, 例如数据访问控制制度、漏洞管理制度、安全审计标准及整改制度等。
对于大型车企和出行平台而言, 结合今年网信办对滴滴公司所作的巨额处罚, 我们建议企业牢牢把握“个人信息”和“重要数据”两条主线下的数据合规要求:
在个人信息方面, 除“未经同意收集个人信息”“未明示处理个人信息的目的、方式和范围”等以往执法行动中的重点监管内容外, 对“过度收集个人信息”“明文存储敏感个人信息”等情况也予以重视和及时整改。
在重要数据方面, 考量国家关键信息基础设施安全和数据安全风险, 尤其是计划赴境外上市的企业, 应做好网络安全审查的准备, 提早进行合规预防。
2. 金融
金融机构的传统业务涉及大量敏感个人信息, 作为与公民财产息息相关的行业, 金融机构一直是网络安全和数据治理的重点监管对象, 尤其是在金融机构的数字化转型背景下, 各类金融机构通过App、小程序和其他数字渠道开展各项新型业务, 处理的数据类型和数据量大大增加, 金融机构的网络安全和数据保障能力亟待提高。根据2022年的行业热点和执法趋势, 值得金融机构关注的合规要点如下:
鉴于金融业已明确被列为重点保护的七大重要行业之一, 部分大型银行、保险机构及掌握大量个人信息的金融企业业已被主管部门认定为CIIO, 建议其他金融机构在履行网络运营者的一般安全保护义务的基础上, 参照CIIO的特殊义务对重要信息系统予以加强保护。
2022年银保监会对各银行保险机构开展个人信息合规专项执法行为, 覆盖个人信息处理全流程, 延及业务运营、产品营销、内部访问控制与管理、供应商管理等环节, 建议相关机构对个人信息全生命周期进行合规审计, 特别关注数据处理合法性、个人信息处理规则告知、生物识别信息处理要求、过度收集和超范围使用等问题。
银行、支付平台、金融企业等通过数据汇聚融合实现精准营销、提供个性化产品和服务、决定贷款或消费限额等已是业内常态。对于此类用户画像和自动化决策行为, 除告知同意外, 金融机构还应注意结果的公平公正性和提供替代性措施。
3. 医药健康与生命科学
医药健康与生命科学领域存在较多受到特别规制的数据类型, 其中, 在人类遗传资源活动管理方面, 监管部门致力于厘清相对模糊的概念, 并简化相关审批流程。年初, 科技部两次针对人类遗传资源行政审批和备案相关事项的常见问题作出官方解答, 《人类遗传资源管理条例实施细则(供求意见稿)》的出台解决了企业对于利用人类遗传资源的部分困惑, 但就数据出境这一热点话题, 人类遗传资源相关审批是否能够豁免数据出境安全评估有待监管部门明确。
在疫情防控的背景下, 由于相关专项系统涉及大量敏感信息, 监管部门对该等系统的网络安全和数据安全越发重视, 为政府部门、医疗机构提供相关设备和服务的企业须确保技术措施和管理体系的完善和有效, 防范数据泄露风险。此外, 在协助企业盘点数据的过程中, 我们发现不少企业的数据处理活动存在合法性瑕疵。根据上述观察, 我们建议企业重点关注以下方面:
合法利用人类遗传资源。制定涉人类遗传资源利用的标准流程, 如是外方单位或与外方单位合作, 确认外方单位是否实质性参与研究, 并履行相应申报义务。
确认数据来源及合法性。如涉及个人信息, 应确保已取得相关个人同意, 且应区分个人信息保护法律下的知情同意与临床试验/研究中知情同意的区别; 如来源于医疗机构或其他第三方, 应确保已由第三方做出数据合规承诺。
厘清各方法律责任。按照数据处理活动中的角色和职能, 确定数据处理者、受委托方等主体的法律地位, 厘清各参与方的法律责任, 并将数据处理活动严格限定在约定事项和约定范围内。
4. 零售
零售业直接面向广大消费者, 尤其是在线支付使得企业收集、产生、留存了大量敏感个人信息, 确保消费者数据处理全生命周期的安全性和合规性是企业网安数据工作的基本要求。在私域化运营的趋势下, 如何保护企业的数据资产, 厘清企业、经销商、代运营商的数据处理权责也正在成为企业的关注焦点。
此外, 企业在数字化转型过程中纷纷试水数据仓库、联合会员运营等, 通过海量内外部不同来源的数据的汇聚分析形成更精准的消费者画像, 制定市场营销策略。但数据融合存在多方面的合规问题, 包括个人信息来源合法性、数据传输过程安全性、自动化决策等。基于零售业数据处理实践和潜在需求, 我们提出以下值得企业关注的要点:
梳理各渠道隐私政策部署情况, 核查隐私政策描述与数据处理实践情况是否相符。如摸排后发现涉及较多to C场景, 可制定详版隐私政策和简版隐私政策模板, 配套隐私政策管理标准流程落地, 加强告知同意环节的统一管理, 以提高业务效率。
完善与经销商、代运营商等第三方的合作协议, 明确数据处理的角色和地位、数据权属和数据安全保护的责任和义务。
审慎开展数据融合项目, 对数据融合的必要性和合法性评估, 明确数据融合参与方的法律关系、涉及的数据类型和性质, 宜采用隐私计算技术降低数据融合的安全风险。
Copyright © 2005-2021 网信安全世界版权所有