电话:0535-6589222
本期《网络安全与数据合规法律信息动态》由中伦文德律师事务所网络安全与数据合规专业委员会徐云飞律师团队摘录汇编,摘录、汇总了2021年5月份网络安全和数据合规领域的相关立法及实务动态,供各位参考。内容包括:
(四) 关于腾讯手机管家等84款App违法违规收集使用个人隐私信息情况的通报
(五) 美国宣布进入国家紧急状态,此前美最大燃油管道商受网络攻击暂停运营
(九) 开发“爬虫”搜集他人信息提供有偿查询 上海一家公司已有8人被法院定罪判刑
(十) 网信办就抖音等105款App违法违规收集使用个人隐私信息情况做通报
一是人脸数据滥采问题。由于人脸信息的采集难度低、采集设备易获取,导致个人隐私泄露风险持续增高。
二是人脸数据泄露或丢失问题。由于人脸数据敏感性等特征,针对人脸数据的攻击风险持续增高。
三是人脸信息过度存储、使用。人脸信息作为个人敏感信息,直接对应个人身份,具有唯一性和终身性。通过人脸信息进行身份鉴别具有快速、便捷的特点。
由国家互联网信息办公室、工业与信息化部、公安部、市场监管总局四部门联合印发的《常见类型移动互联网应用程序必要个人隐私信息范围规定》(以下简称《规定》),将于5月1日正式施行。近日,国家互联网信息办公室网络数据管理局有关负责人就《规定》有关问题答记者问。
《常见类型移动互联网应用程序必要个人隐私信息范围规定》(以下简称“《规定》”)已于2021年5月1日正式生效,《规定》在《网络安全法》第四十一条的基础上,对个人隐私信息收集的必要范围做出了细化规定,为企业在实务操作中,衡量个人隐私信息收集范围合法合理化作出了指引。
近期,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人隐私信息的现象,国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人隐私信息行为认定方法》等法律和有关法律法规,组织对输入法、地图导航等常见类型公众大量使用的部分App的个人隐私信息收集使用情况做了检测。
继工信部对相关侵害用户权益APP进行通报及下架相关监管整治活动后,网信办根据《网络安全法》及《App违法违规收集使用个人隐私信息行为认定方法》等有关法律,也对APP违法违规收集使用个人隐私信息相关行为进行了通报。且,随着5月1号《常见类型移动互联网应用程序必要个人隐私信息范围规定》的生效,能预见,后续围绕APP违法违规收集使用个人隐私信息的相关监管活动将会更加频繁。
(四) 关于腾讯手机管家等84款App违法违规收集使用个人隐私信息情况的通报
近期,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人隐私信息的现象,国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人隐私信息行为认定方法》《常见类型移动互联网应用程序必要个人隐私信息范围规定》等法律和有关法律法规,组织对安全管理、网络借贷等常见类型公众大量使用的部分App的个人隐私信息收集使用情况做了检测。
本次通报,是网信办在《常见类型移动互联网应用程序必要个人隐私信息范围规定》(以下简称“《规定》”)生效后,根据《规定》及其他相关法律对涉及违法违规收集个人隐私信息的APP进行的通报。本次涉及违法违规收集个人隐私信息的APP类别主要为以下两类:安全管理类App、网络借贷类App。根据《规定》对于上述两类APP可收集必要个人隐私信息范围的规定,安全管理类APP基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人隐私信息,就可以使用基本功能服务;网络借贷类APP基本功能服务为“利用互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人隐私信息包括:①注册用户移动手机号;②借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
本次通报APP主要存在的问题归纳如下:违反必要原则和《规定》,收集与其提供的服务无关的个人隐私信息、未经用户同意收集使用个人隐私信息、未按法律规定提供删除或更正个人隐私信息功能等。随着《规定》的生效及网信办监管活动趋严,我们提议相关APP运营者充分重视自身的数据合规风险,根据现有法律和法规、标准和规范性法律文件尽快整改,避免受到处罚。
(五) 美国宣布进入国家紧急状态,此前美最大燃油管道商受网络攻击暂停运营
当地时间5月9日,美国政府宣布进入国家紧急状态。据《金融时报》报道,此举解除了对公路运输燃油的各种限制,以减轻Colonial Pipeline输油管道持续关闭的影响。
此前,美国最大的成品油管道运营商Colonial Pipeline 7日受到勒索软件攻击,黑客通过非法软件控制其电脑系统或数据,Colonial Pipeline被迫关闭其美国东部沿海各州供油的关键燃油网络。
《金融时报》称,该管道每天从墨西哥湾沿岸的炼油厂向诸如亚特兰大、华盛顿和纽约等市场输送250万桶燃油。
据报道,美国交通部表示:“这份声明涉及紧急状况,创建立即运输汽油、柴油、喷气燃料和其他精细石化产品的需求,并提供必要救援。”
本次黑客攻击事件,将美国国家网络安全及关键基础设施有关问题,推到了风口浪尖。根据后续《》援引美国高级官员的话报道,美国国土安全部准备发布首个关于输油管道的强制性网络安全条例。该事件也从侧面对我国的网络安全及关键基础信息设施的相关防护做出了预警。
为加强个人隐私信息和重要数据保护,规范汽车数据处理活动,根据《中华人民共和国网络安全法》等法律和法规,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(、),进入首页主菜单的“立法意见征集”栏目提出意见。
《汽车数据安全管理若干规定(征求意见稿)》(以下简称“《征求意见稿》”)监管范围不限于汽车生产制造商,而是针对扩大为汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等,且明确了汽车行业相关重要数据范围;《征求意见稿》同时倡导处理个人隐私信息和重要数据过程中坚持车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则、默认不收集原则。
2021年4月23日,我部向社会通报了93家存在侵害用户权益行为APP企业的名单。截至目前,经第三方检验测试的机构核查复检,尚有39款APP未按照我部要求完成整改(详见附件1)。各通信管理局按我部APP整治行动部署,积极开展手机应用软件监督检查,此次内蒙古、安徽、广东、四川、浙江省(自治区)通信管理局检查发现共有46款APP仍未完成整改(详见附件2-6)。
此外,在近期检测中,我部发现天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在APP不同版本中反复出现同类问题(详见附件7),我部将依法暂停其违反相关规定的行为,予以直接下架处理。
依据《网络安全法》、《电信和互联网用户个人隐私信息保护规定》(工信部令第24号)、《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律和规范性文件要求,我部组织对上述90款APP进行下架。相关应用商店应在本通报发布后,立即组织对名单中应用软件进行下架处理,并加强举一反三,认真排查、系统排查反复出现一些明显的异常问题企业,严格落实企业主体责任,把好上架审核关。
工信部针对侵害用户权益APP的整治仍在进行中,本次工信部就4月通报的93家存在侵害用户权益行为的APP进行了复检,其中仍有39款APP未根据相关要求完成整改,本次内蒙古、安徽、广东、四川、浙江省(自治区)通信管理局检查发现共有46款APP仍未完成整改,工信部对上述产品做了下架处理。此外,发现天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在APP不同版本中反复出现同类问题将依法暂停其违反相关规定的行为,予以直接下架处理。我们提议相关APP运营者充分重视自身的数据合规风险,根据现有法律和法规、标准和规范性法律文件尽快整改,避免受到处罚。
《广东省社会信用条例》已由广东省第十三届人民代表大会常务委员会第三十次会议于2021年3月18日通过,现予公布,自2021年6月1日起施行。
将于6月1日正式生效的《广东省社会信用条例》(以下简称“《条例》”),对公用信用信息和市场信用信息的管理要求做出了区分。其中对于市场信用信息的收集又依据数据的敏感程度做出了相对应的规定。
《条例》规定,市场信用服务机构、信用服务行业组织以及有市场信用信息采集需求的其他企业和事业单位、社会组织,可以依法记录自身业务活动中产生的市场信用信息,或者根据服务和管理的需要依法记录其会员、入驻经营者等的市场信用信息;
采集禁止采集的个人隐私信息或者未经同意采集个人隐私信息的,对单位处五万元以上五十万元以下的罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下的罚款;有违法来得到的的,没收违法所得。
(九) 开发“爬虫”搜集他人信息提供有偿查询 上海一家公司已有8人被法院定罪判刑
近日,经上海市浦东新区检察院提起公诉,法院以侵犯公民个人隐私信息罪判处被告人刘某、黄某等8人有期徒刑三年,缓刑三年至有期徒刑一年,缓刑一年不等,各并处罚金3万元至1万元不等。该团伙中的戴某等其余4人还在审理中。刘某等12人都是上海某信息科技公司员工,该公司在没取得国家相关部门的批准下,开发了一个征信网站,有偿为客户企业来提供个人隐私信息查询服务。该公司的个人隐私信息数据从哪儿来呢?据刘某等人供述,来源主要有两种,一是从上游公司购买;二是利用公司开发的“爬虫”技术爬取各类网站、社保、公积金、手机App等网络上的个人数据信息,两种渠道获取的信息经过整合储存在公司租赁的服务器内,供客户根据有必要进行查询,每类信息一次查询费用0.5元至1.5元不等。
检察官提醒公众,随信息网络的发达,公民个人隐私信息的保护越发受到大家的重视,违反国家相关规定,向他人出售或者提供公民个人信息,情节严重的行为将会被判处刑罚。目前,经过中国人民银行审批通过,可从事个人征信业务的机构只有中国人民银行征信中心和百行征信有限公司,切莫为了私利触碰法律红线。
本案中,涉案公司在没有得到被查询人授权的情况下收集个人信息,并从上游公司购买信息,经数据整合后卖给下游公司从中获利,公司违反国家有关法律法规,向他人出售或者提供公民个人隐私信息,情节严重已经被认定为刑事犯罪。我们提示,相关企业一定要遵守相关法律规定,合法、正当、必要地收集及使用个人隐私信息。
(十) 网信办就抖音等105款App违法违规收集使用个人信息情况进行通报
近期,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象,国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关法律法规,组织对短视频、浏览器、求职招聘等常见类型公众大量使用的部分App的个人隐私信息收集使用情况进 行了检测。
网信办本月第三次通报违法违规收集个人隐私信息的APP,本次通报的对象主要为四大类APP:短视频类(包括抖音、快手等19款APP)、浏览器类(包括360、百度浏览器等34款APP)、求职招聘类(包括领英、智联招聘等51款APP)、实用工具类(百度APP)。
主要存在的问题归纳如下:违反必要原则和《规定》,收集与其提供的服务无关的个人隐私信息、未经用户同意收集使用个人隐私信息、未按法律规定提供删除或更正个人隐私信息功能等。随着《规定》的生效及网信办监管活动趋严,我们建议相关APP运营者充分重视自身的数据合规风险,根据现有法律和法规、标准和规范性法律文件尽快整改,避免受到处罚。
