新闻中心

NEWS CENTER

动态速递 | 从境内外最新法规和执法实践看网络安全与数据合规领域发展


前言

 

从《网络安全法》《数据安全法》《个人信息保护法》三足鼎立的立法框架逐步成型,到2022年底《关于构建数据基础制度更好发挥数据要素作用的意见》对数据基础制度体系的系统布局,再到近期数据跨境传输制度的不断明确,网络安全与数据合规领域已迈入了全新的发展阶段。

 

近日,《数字中国建设整体布局规划》发布,数字经济建设形成了顶层设计,“建设数字中国”被提升至规划层面。网络安全与数据合规将成为涉网及涉数据企业经营合规中的重要组成部分,持续发挥保驾护航的作用。

 

该篇涵盖境内外监管机构在网络安全与数据合规领域的最新法规和执法实践,以期及时、高效、精准地与读者分享该领域的规则发展与执法动态。

 

资讯速览

 

(一)中国资讯

 

1.国家互联网信息办公室发布《个人信息出境标准合同办法》

2.浙江省数字经济发展领导小组办公室印发《关于支持信息服务业稳进提质的实施意见》

3.工业和信息化部发布《关于侵害用户权益行为的APP通报》

4.工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》

5.上海市人民政府公布《上海市信息基础设施管理办法》

6.西藏人大常委会发布《西藏自治区网络信息安全管理条例》

7.工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》

8.上海经信委与上海网信办联合发布《上海市公共数据开放实施细则》

 

(二)域外资讯

 

1.欧洲数据保护委员会发布三项准则

2.国际标准组织发布消费者隐私保护国际标准ISO 31700

3.芬兰数据保护监管机构对未经适当同意处理健康信息的公司处以行政罚款

4.欧洲数据保护委员会向公共部门提出关于使用云服务的隐私建议,并通过了Cookie横幅工作组的报告

5.美国联邦贸易委员会就在线售酒平台因安全故障导致250万个人数据泄露作出最终裁定

6.爱尔兰数据保护机构对Facebook和Instagram有关行为定向广告的合法性和透明度方面做出决定

 

正文

 

(一)中国资讯

 

01 国家互联网信息办公室发布《个人信息出境标准合同办法》

 

概述

 

2023年2月22日,国家互联网信息办公室发布《个人信息出境标准合同办法》(以下简称“《办法》”)及附件《个人信息出境标准合同》,自2023年6月1日起施行。《办法》共十三条,适用于个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息。《办法》规定了个人信息出境标准合同的适用情形、订立要求等,完善了《个人信息保护法》规定的个人信息出境机制。

 

链接直达

 

http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

 

02 浙江省数字经济发展领导小组办公室印发《关于支持信息服务业稳进提质的实施意见》

 

概述

 

2023年2月14日,浙江省数字经济发展领导小组办公室印发《关于支持信息服务业稳进提质的实施意见》(以下简称“《实施意见》”)。《实施意见》提出了到2027年全省信息服务业营业收入超1.6万亿元,产业规模位居全国前三,增加值占GDP比重达7%以上的目标;同时,《实施意见》围绕上述目标提出了五项重点任务和四项保障措施。《实施意见》将带动浙江省数字经济核心产业发展,为推进“两个先行”添砖加瓦。

 

链接直达

 

https://jxt.zj.gov.cn/art/2023/2/16/art_1582899_24482.html

 

03 工业和信息化部发布《关于侵害用户权益行为的APP通报》

 

概述

 

2023年2月8日,工业和信息化部信息通信管理局发布了2023年第1批《关于侵害用户权益行为的APP通报》(以下简称“《通报》”),《通报》中列出包括墨迹天气极速版、华为阅读等共计46款APP(SDK),主要涉及问题为APP强制、频繁、过度索取权限、欺骗误导强迫用户、违规或超范围收集个人信息等。《通报》中明确,其中涉及的APP及SDK应在2月15日前完成整改落实工作。逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。

 

链接直达

 

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_f3c61d42b107479abbc0fa115efffc10.html

 

04 工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》

 

概述

 

2023年2月6日,工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》(以下简称“《通知》”),《通知》在提升全流程服务感知及保护用户合法权益层面,提出了包括了规范安装卸载行为、优化服务体验、加强个人信息保护、响应用户诉求等四个方面,共计十二个措施,并在提升全链条管理能力及营造健康服务生态层面,提出了包括落实APP开发运营者主体责任、强化平台分发管理、规范SDK应用服务、筑牢终端安全防线、夯实接入企业责任等五个方面,共计十四个措施。

 

链接直达

 

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_73991cdf4bb2407c822d475250cd21e7.html

 

05 上海市人民政府公布《上海市信息基础设施管理办法》

 

概述

 

2023年1月19日,上海市人民政府公布《上海市信息基础设施管理办法》,自2023年3月1日起施行。该办法共三十条,适用于上海市内信息基础设施的规划、建设、维护、保护和监督等活动,明确将推进长江三角洲区域信息基础设施一体化建设,共同构建新一代信息基础设施,推动设施互联互通,加强设施保护的会商和信息共享,完善应急联动、执法协助等工作机制,推进信息基础设施共建共享与公共领域物联感知设施建设等。

 

链接直达

 

https://www.shanghai.gov.cn/nw12344/20230215/8f97743495084a9381f47f0291d61aa9.html

 

06 西藏人大常委会发布《西藏自治区网络信息安全管理条例》

 

概述

 

2023年1月18日,西藏自治区人民代表大会常务委员会发布《西藏自治区网络信息安全管理条例》(以下简称“《条例》”),自2023年2月1日起施行。《条例》把网络信息安全工作积累的许多有效经验和做法上升为法制规范,明确为有关主体的权利和义务,将有利于保障网络信息安全工作的系统性、规范性、协调性、稳定性,使维护网络信息安全成为全社会的思想和行为自觉。

 

链接直达

 

http://epaper.chinatibetnews.com/xzrb/202301/20/content_180395.html

 

07 工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》

 

概述

 

2023年1月13日,工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》(以下简称“《指导意见》”)。《指导意见》定位为数据安全产业顶层政策文件,提出了到2025年数据安全产业基础能力和综合实力明显增强、到2035年数据安全产业进入繁荣成熟期的两大阶段性发展目标,并围绕前述两个目标提出了七项重点任务及配套保障措施。《指导意见》将有力推动数据安全产业高质量发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础。

 

链接直达

 

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e92c30f708884a3db7a77e135682ea8b.html

 

08 上海经信委与上海网信办联合发布《上海市公共数据开放实施细则》

 

概述

 

2022年12月31日,上海市经济和信息化委员会与上海市互联网信息办公室联合发布《上海市公共数据开放实施细则》(以下简称“《实施细则》”),有效期至2027年12月30日。《实施细则》从扩大数据开放范围、细化数据获取流程、完善信息开放平台、创新数据利用方式等四个方面入手对上海市公共数据开放提供可行性指导及配套保障措施。《实施细则》将促进和规范上海市公共数据开放、获取、利用和安全管理,推动公共数据更广范围、更深层次、更高质量开放,深入赋能治理、经济、生活各领域城市数字化转型。

 

链接直达

 

https://sheitc.sh.gov.cn/sjxwxgwj/20230110/cc487968a94849618ee9374618e53673.html

 

(二)域外资讯

 

01 欧洲数据保护委员会发布三项准则

 

概述

 

2023年2月24日,欧洲数据保护委员会(以下简称“EDPB”)在经过公众咨询之后,最终发布了三套准则:关于第3条的适用与根据《通用数据保护条例》(以下简称“GDPR”)第五章规定的国际转让条款之间相互影响的准则;将认证作为转让工具的准则;关于社交媒体平台界面中“欺骗性设计模式”的准则。

 

链接直达

 

https://edpb.europa.eu/news/news/2023/edpb-publishes-three-guidelines-following-public-consultation_en

 

02 国际标准组织发布消费者隐私保护国际标准ISO 31700

 

概述

 

2023年1月31日,国际标准组织(以下简称“ISO”)发布了ISO 31700-1:2023《产品和服务设计中的消费者隐私保护 第1部分:高阶要求》和ISO/TR 31700-2:2023《产品和服务设计中的消费者隐私保护 第2部分:应用案例》,以期指导组织实现产品和服务全生命周期中的消费者隐私保护。本次标准的目标受众包括参与开发、实施或运营数字化产品及服务的工程师和从业人员。

 

ISO 31700-1对产品及服务的隐私设计提出了高标准要求,即组织需保障在产品及服务全生命周期中的消费者隐私,提出了在产品及服务设计以及开发过程中充分考虑消费者隐私保护的方法,覆盖产品及服务投放市场前、消费者购买和使用过程中,直至停止使用的全流程。

 

ISO 31700-2则补充提供了包括在线零售、健身公司和智能锁等领域的说明性示例及相关分析,以助于对ISO 31700-1的理解。ISO 31700-2指出隐私设计应以消费者为中心,即将消费者的隐私权和偏好置于产品开发和运营的核心位置。

 

链接直达

 

https://www.iso.org/obp/ui/#iso:std:iso:31700:-1:ed-1:v1:en

 

03 芬兰数据保护监管机构对未经适当同意处理健康信息的公司处以行政罚款

 

概述

 

2023年1月27日,EDPB官方网站发布了一则芬兰数据保护监管机构(以下简称“SA”)做出的行政处罚决定。SA根据2018-2019年的投诉对某公司的做法进行了调查,调查显示,该公司在处理身体质量指数和最大摄氧量数据时没有获得GDPR要求的同意。因此,SA对该公司处以12.2万欧元的行政罚款及训诫,并责令该公司纠正其征求同意的做法。但该裁决仍不是最终裁决,该公司仍可以向行政法院提出上诉。

 

链接直达

 

https://edpb.europa.eu/news/national-news/2023/finnish-sa-administrative-fine-company-processing-health-information_en

 

04 欧洲数据保护委员会向公共部门提出关于使用云服务的隐私建议,并通过了Cookie横幅工作组的报告

 

概述

 

2023年1月18日,EDPB通过了一份关于其第一次协调执法行动结果的报告,重点是公共部门使用云服务。EDPB强调,公共机构需要完全按照GDPR行事,并在使用云产品或云服务方面向公共部门组织提出建议。同时提供了数据保护机构(以下简称“DPA”)在云计算领域已经采取的行动清单。

 

此外,EDPB通过了一份关于Cookie横幅工作组工作的报告。该工作组成立于2021年9月,旨在协调对非政府组织NOYB向几个欧洲经济区DPA提交的有关cookie横幅的投诉的回应。工作组旨在促进政治部之间的合作、信息共享和最佳做法,这有助于确保整个欧洲经济区对cookie横幅采取一致的方法。在报告中,DPA在解释电子隐私指令和GDPR的适用条款时就拒绝按钮、预勾选框、横幅设计或撤回图标等问题商定了一个共同点。

 

链接直达

 

https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en

 

05 美国联邦贸易委员会就在线售酒平台因安全故障导致250万个人数据泄露作出最终裁定

 

概述

 

2023年1月10日,美国联邦贸易委员会(以下简称“FTC”)对酒类电商企业Drizly及其首席执行官发布了一项命令,内容关于该公司的安全故障。FTC表示,Drizly的安全故障导致了一个数据泄露事件,暴露了约250万消费者的个人信息。FTC要求的措施包括:要求Drizly销毁其非为消费者提供产品或服务所必需而收集到的个人数据、应当避免超出前述范围收集或存储个人信息、应在其网站上公开详细地说明其需要收集的信息及说明收集此类信息的必要性等。此外,FTC还要求Drizly的首席执行官Rellas在其未来担任主要股东、CEO或负有信息安全义务的高级管理人员的公司中,若该公司可以收集25,000人的个人信息,则其必须在该公司实施信息安全计划。

 

链接直达

 

https://www.ftc.gov/news-events/news/press-releases/2023/01/ftc-finalizes-order-online-alcohol-marketplace-security-failures-exposed-personal-data-25-million

 

06 爱尔兰数据保护机构对Facebook和Instagram有关行为定向广告的合法性和透明度方面做出决定

 

概述

 

2022年12月31日,爱尔兰数据保护机构(以下简称“IE DPA”)在基于投诉对Facebook和Instagram的活动进行调查后,通过了Facebook和Instagram在行为定向广告的合法性和透明度方面的决定。Meta平台爱尔兰有限公司(以下简称“Meta IE”)在对Facebook的决定中被IE DPA罚款2.1亿欧元,并在对Instagram的决定中被IE DPA罚款1.8亿欧元。此番决定是根据EDPB于12月5日发布的相关具有约束力的决定而出。EDPB裁定,Meta IE不恰当地依赖合同作为合法性基础处理个人信息,行为定向广告并非Facebook的《服务条款》和Instagram的《使用条款》所涉服务的核心要素。EDPB主席Andrea Jelinek认为,这类广告对于履行与Facebook和Instagram用户的合同没有必要,该等决定也可能对其他以行为定向广告为其商业模式核心的平台产生重要影响。

 

链接直达

 

https://edpb.europa.eu/news/news/2023/facebook-and-instagram-decisions-important-impact-use-personal-data-behavioural_en

 

文章部分内容来源于浩天法律评论

 

杭州中电安科现代科技有限公司

 

杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。

 

专注工控安全

 护航关基民生

www.zd-sec.com

 400-606-8226

渠道合作:李经理 18505541506

技术咨询:齐经理 15010390956

品牌合作:赵经理 15010923501

相关新闻