阅读量:7
文章导读
数字经济的飞速发展也伴随数据泄露、个人信息滥用、知识产权侵权和网络暴力等诸多问题,需要法律法规规制与相关机构监管促进整体经济形态向善向好发展。
海润天睿褚轶律师、徐婧媛律师、周永恒律师等精心整理汇总2024年2月领域内相关法规、案例与热点事件以飨读者,帮助相关领域企业及时追踪行业相关法律法规研制动态,促进业务合规发展。
文章关键词:数据安全、个人信息保护、数据合规、案例、热点事件
开始阅读
第一部分 法律法规
一、部门规章及规范性文件
寄递服务用户个人信息安全管理办法(征求意见稿)
2024年2月1日,国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》,向社会公开征求意见。
征求意见稿明确了寄递企业在提供寄递服务过程中收集、存储、使用、加工、传输、提供、公开、删除用户个人信息等活动的具体要求,并明确除征得用户个人同意外,寄递企业保存用户个人信息的期限不得超过收集之日起三年。
二、地方法规与规范性文件
(一)中国(天津)自由贸易试验区企业数据分类分级标准规范
2024年2月7日,天津市商务局、中国(天津)自由贸易试验区管委会联合发布《中国(天津)自由贸易试验区企业数据分类分级标准规范》,旨在为自贸试验区企业开展数据分类分级提供指导。
《标准规范》是全国首个自贸试验区数据分类分级标准规范,将企业数据分为13大类40子类,分为核心数据、重要数据、一般数据3个级别。同时,《标准规范》还明确了重要数据的统一识别规则。
(二)中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)
2024年2月8日,中国(上海)自由贸易试验区临港新片区管理委员会发布关于印发《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的通知。
通知明确,发布目的为进一步指导和帮助数据处理者高效合规地开展数据跨境流动。同时,本办法适用于在临港新片区进行登记注册的或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。
三、国家/行业标准
(一)《数据合规审计指南》团体标准发布
2024年2月18日,中国电子信息行业联合会发布《数据合规审计指南》团体标准(以下简称《指南》)及编制说明,并于当日起实施。
根据《指南》及其编制说明,数据合规审计是审计机构根据商定的法律法规要求,对被审计单位数据合规义务履行情况进行的审查和评价的监督活动,形成审计意见,并出具审计报告。《指南》的制订旨在加快构建数据合规与治理生态,改进传统审计方法论应对数字经济和新兴技术的不足,为应用数据合规审计的各类组织提供通用的工作导则,进一步推动《数据管理能力成熟度评估模型》(DCMM)国家标准贯标。
(二)《信息安全技术 云计算服务安全能力评估方法(征求意见稿)》
2024年2月4日,全国信息安全标准化技术委员会发布了《信息安全技术 云计算服务安全能力评估方法(征求意见稿)》,以代替GB/T 34942—2017《信息安全技术 云计算服务安全能力评估方法》。
与GB/T 34942—2017相比,该草案主要变化如下:
(1)修改标准适用范围,改为“适用于对党政机关和关键信息基础设施运营者使用的云计算服务进行安全管理,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务”。
(2)增加第5章,整体评估方法。
(3)修改第6章到第16章,按照修订的GB/T 31168—2023要求给出具体评估方法。
(4)增加附录A,给出常见的云计算服务脆弱性问题。
第二部分 案例执法
一、典型案例
(一)杨某利用非法程序破解IOS系统和APP组成的充值交易系统
案情简介:2020年3月起,被告人杨某在明知“犁牛”入库、出库程序系专门用于侵入计算机信息系统的程序的情况下,仍通过微信群等方式有偿向彭某、邱某(均另案处理)、“一如既往”、“少年”、“千寻”等人提供,违法所得人民币40余万元,彭某等人利用上述程序为他人手机内的“波克捕鱼”等APP代充值。经司法鉴定,犁牛的“入库”程序在未经授权的情况下拦截和获取APP收到的“凭证”数据、充值数据等,干扰了APP充值系统的正常运行。此外,2020年3月起,被告人杨某使用“犁牛”入库、出库程序,为他人手机内的“魔灵召唤”等APP代充值,违法所得人民币6万余元。上海市普陀区人民法院审理上海市普陀区人民检察院指控原审被告人杨某犯非法获取计算机信息系统数据罪,提供侵入计算机信息系统程序罪一案,于2023年5月17日作出(2022)沪0107刑初644号刑事判决。原审被告人杨某不服,提出上诉。2024年2月26日,上海市第二中级人民法院作出(2023)沪02刑终541号终审裁定,维持原判。
裁判要旨:
IOS系统和APP组成的充值交易系统,以及APP自身的充值交易系统均具有传输、加工等处理信息的功能,均属于计算机信息系统。明知非法程序系专门用于侵入计算机信息系统的程序向他人提供,构成非法入侵计算机系统罪。使用非法程序突破了APP与IOS系统之间充值验证的技术限制,未经授权的拦截和获取APP与IOS系统之间传输的“凭证”数据,构成非法获取计算机信息系统数据罪。
(二)黄某某利用网络非法买卖他人实名微信号1
案情简介:2021年1月至2022年8月间,黄某某为谋取非法利益,通过境内及境外聊天软件等网络途径,发布收购微信账号广告,以每个70元至400元不等的价格向社会不特定人群购买实名认证的微信号,并向卖家谎称已注销实名认证信息。后加价将上述含有公民个人信息的微信号批量出售给他人。经查,黄某某合计买卖微信号1300余个,违法所得30余万元,个人非法获利14万余元。
本案由浙江省嘉兴市公安局南湖区分局立案侦查。2023年1月13日,公安机关以黄某某涉嫌侵犯公民个人信息罪移送嘉兴市南湖区检察院审查起诉。检察机关针对黄某某自称从2022年2月才开始买卖微信号、实际卖出仅200多个、获利仅2万元等辩解,引导公安机关补充勘验作案手机和调取卖家证言,完整提取电子数据,夯实指控犯罪证据基础。经充分梳理分析聊天记录和账户资金交易明细,结合其供述及证人证言,进一步查明黄某某非法买卖微信号的时间、数量和获利金额等事实。同时,针对黄某某辩称部分微信号已解除实名绑定,检察机关引导侦查人员进行验证,确认其出售的微信号实名认证并未注销。后黄某某认罪认罚,并退缴违法所得20万元。
2023年6月30日,嘉兴市南湖区检察院以黄某某犯侵犯公民个人信息罪向南湖区法院提起公诉;7月12日,检察机关提起附带民事公益诉讼,按照其非法获利确定侵权赔偿数额,请求判令黄某某承担十四万元民事赔偿责任。
2024年1月23日,南湖区法院当庭作出判决,以侵犯公民个人信息罪判处黄某某有期徒刑三年,缓刑三年六个月,并处罚金三十万元;判处附带民事公益诉讼被告黄某某支付赔偿款十四万元。黄某某未上诉,判决已生效。
裁判要旨:微信账号等社交账号大多与特定自然人的身份信息、手机号码、银行账户等关联绑定,属于公民个人信息。
二、执法活动
(一)工信部无线电管理局公布2024年1月打击治理“黑广播”“伪基站”情况及典型案例2
2024年1月,各级无线电管理机构深化部门联动协同,优化技术支撑手段,不断加大打击治理“黑广播”“伪基站”违法犯罪行为的查处力度,始终保持严打高压态势,切实维护空中电波秩序,进一步保障民航铁路专用频率安全。
打击治理“黑广播”方面,2024年1月各级无线电管理机构共查处“黑广播”违法犯罪案件93起,缴获“黑广播”设备85台(套),实现“伪基站”违法犯罪案件动态清零,有力震慑了违法分子的嚣张气焰。
(二)湖北、广东、河北、内蒙古等省级通管局通报4月1日起未备案App将下架关停
湖北、广东、河北、内蒙古等多地省级通管局提示,4月1日前移动互联网应用程序(含APP、小程序、快应用等)需履行备案手续,逾期未备案的将被下架、关停、限制更新等。
根据2023年8月发布的《工业和信息化部关于开展移动互联网应用程序备案工作的通知》要求,今年4月1日前,存量移动互联网应用程序(包括App、小程序、快应用等)需完成备案手续,逾期未备案的应用将依法采取下架、关停、限制更新等处理措施,新开发的APP必须先履行备案手续后才能在应用商店上架。
按照备案相关要求,网络接入服务提供者、应用分发平台、智能终端生产企业不得为未履行备案手续的应用程序提供网络接入、分发、预置等服务。APP主办者应在显著位置标注其备案编号,分发平台应在显著位置标注其分发的APP等备案编号。
(三)误导消费者“入会”索要手机号餐饮连锁企业“半天妖烤鱼”被严肃约谈
2024年2月2日,上海市委网络安全和信息化委员会办公室依法约谈“半天妖烤鱼”运营企业上海半天妖餐饮管理有限公司负责人,要求企业立即整改,对照问题举一反三自查自纠,切实把个人信息保护置于企业运营的重要位置。
上海市网信办相关负责人指出,“扫码点餐”等小微消费场景不能成为个人信息保护死角,消费者在到店点餐非注册会员情况下无需提供任何个人消息。部分餐饮企业在点餐小程序中设置强制或诱导消费者关注公众号、注册会员,以及收集消费者非必要个人信息等行为,违反了《个人信息保护法》规定的“合法、正当、必要和诚信原则”,侵犯了消费者的知情权与自主选择权。
第三部分 热点事件
一、财政部关于加强行政事业单位数据资产管理的通知
2024年2月8日,财政部印发了《关于加强行政事业单位数据资产管理的通知》。
该通知明确,行政事业单位数据资产是各级行政事业单位在依法履职或提供公共服务过程中持有或控制的,预期能够产生管理服务潜力或带来经济利益流入的数据资源;
各部门应当根据工作需要和实际情况,建立健全行政事业单位数据资产管理办法,细化管理要求,明确操作规程;
规范管理行为,积极推动数据资产开放共享,促进数据资产使用价值充分利用,建立合理的数据资产收益分配机制,依法依规维护数据资产权益;
行政单位数据资产使用形成的收入,按照政府非税收入和国库集中收缴制度的有关规定管理,事业单位数据资产使用形成的收入,由本级财政部门规定具体管理办法。
二、国家数据局发布《关于开展全国数据资源调查的通知》
2024年2月19日,国家数据局发布《关于开展全国数据资源调查的通知》(以下简称《通知》)。《通知》旨在贯彻落实《数字中国建设整体布局规划》工作部署,摸清数据资源底数,加快数据资源开发利用,更好发挥数据要素价值,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况。《通知》所提及调研将由国家数据局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合开展。
三、国务院国资委召开中央企业人工智能专题推进会
2024年2月19日,国务院国资委召开“AI赋能 产业焕新”中央企业人工智能专题推进会。
会议认为,加快推动人工智能发展,是国资央企发挥功能使命,抢抓战略机遇,培育新质生产力,推进高质量发展的必然要求。中央企业要主动拥抱人工智能带来的深刻变革,把加快发展新一代人工智能摆在更加突出的位置,不断强化创新策略、应用示范和人才聚集,着力打造人工智能产业集群,发挥需求规模大、产业配套全、应用场景多的优势,带头抢抓人工智能赋能传统产业,加快构建数据驱动、人机协同、跨界融合、共创分享的智能经济形态。
四、北京CBD国际集团数据产品挂牌并联合上海数交所完成数据资产入表工作
2024年2月4日,北京国际商务中心区开发建设集团有限公司在上海数据交易所进行了数据产品授牌仪式。CBD国际集团全资子公司北京商务中心区信链科技有限公司在上海数交所完成“企业大数据风险管理平台”数据产品的挂牌,提供“机器学习+专家建模”的预付费行业企业风险评估预警模型,助力高效、快速评估企业风险程度。
此外,依托上海数交所构建的全链条数商生态和数据资产入表综合服务,信链科技完成了北京市朝阳区国企首单数据资产入表,并建立数据资产化的长效机制。这是上海数据交易所联合CBD国际集团打造的科技企业数据资产入表行业范例,将为国家探索数据资产入表路径和方法提供重要参考。
五、全国首单车联网领域数据资产入表在苏州相城区完成
2024年2月5日,苏州市相城区企业先导(苏州)数字产业投资有限公司成功完成超30亿条智慧交通路侧感知数据资源资产化并表工作,成为全国首单车联网数据资产入表案例。
先导产投联合苏州市大数据集团,借助苏州数据要素价值共创平台和苏州大数据交易所专业技术服务,将苏州高铁新城智能网联(三期)道路项目建设期间形成的部分路侧感知数据开展数据资产盘点、评价和入表准备工作。
六、海南印发《数据资产评估场景化案例手册》
2024年2月5日,海南省数据产品超市印发《数据资产评估场景化案例手册(第一期)》,该手册是全国首部基于真实数据要素典型应用场景进行数据资产评估操作的指导性手册,为企业在数据资产入表、数据产品交易定价等方面提供参考依据。
本次发布的《手册》选取了电力、旅游、海关、国际贸易、气象、制造6个数据要素典型应用场景,从行业现状概况、案例详情、评估目的、行业应用场景、评估价值类型、评估方法等几个方面提供了数据资产场景化评估的具体操作指引,为解决不同应用场景下的数据资产评估标准、评估方法难以适配的难点问题,提供了有效的解决思路和全面的解决方案。
七、中国信通院发布《数字政府一体化建设白皮书(2024年)》
2024年2月20日,中国信通院发布《数字政府一体化建设白皮书(2024年)》(以下简称《白皮书》)。
《白皮书》系统研判了数字政府一体化发展态势,明确提出了“数字政府一体化”的建设理念,构建了“1122”的总体框架,阐述了数字政府一体化建设的六大方面实施要点,立足省域、区域和国家三大空间视角提出了数字政府一体化建设的三大推进策略,以期为国家统筹推进数字政府一体化建设提供顶层架构建议,为地方政府组织实施各项工作提供方向与策略,为社会各界广泛参与数字政府建设指明途径。
注释:
1.
2.
作者介绍
褚轶
海润天睿合伙人
chuyi@myhrtr.com
褚轶律师,中国人民公安大学法学本科、研究生,美国福特汉姆法学院法学硕士,新加坡管理大学MBA,职场女性奖学金获得者。善于为初创和成长型科技企业提供法律服务。对刑事风险防控和伴随互联网平台经济、大数据发展出现的数据合规、数据交易等各种新型法律问题有丰富经验。
徐婧媛
海润天睿 合伙人
xujingyuan@myhrtr.com
徐婧媛律师,山东大学法学学士,武汉大学国际法硕士。中国优秀知识产权律师榜TOP50、北京市律师协会涉外人才库律师。专业领域为数据合规业务和商标疑难复杂案件处理。徐律师团队的数据合规业务,主要聚焦通信、政务、医疗、金融、电商直播、上市投融资等场景合规,为企业提供数据跨境传输风险评估、个人信息及隐私保护、App隐私政策合规整改等数据合规服务。
周永恒
海润天睿 顾问
zhouyongheng@myhrtr.com
周永恒律师,中国政法大学民商法专业硕士、北京大学物理硕士。专业领域为专利、商业秘密、商标、著作权、不正当竞争等各类知识产权诉讼,知识产权行政投诉及处理,专利申请,知识产权转让、许可交易及合规。对于数据交易与利用与知识产权的交叉领域,如开源软件使用的合规性、联邦建模的知识产权保护、数据爬取与利用的不正当竞争等具有丰富经验,服务客户包括大数据公司、软件公司等。
王新宇律师、刘佩韦律师助理、张喆姝律师助理对本文亦有贡献
往
期
推
荐
