1 立法动态
公安部发布《互联网个人信息安全保护指南》
2019年4月10日,由公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会等相关专家共同研究制定的《互联网个人信息安全保护指南》正式发布。该指南的出台,旨在进一步贯彻落实《网络安全法》并有效指导我国个人信息持有者建立健全公民个人信息安全。互联网企业、联网单位在今后的个人信息保护工作中可以借鉴该指南以更有效地展开工作。
《民法典》人格权编二审,增加对未成年人信息保护规定
2019年4月20日上午,民法典人格权编草案提请十三届全国人大常委会第十次会议进行二次审议。草案二审稿首次对人体基因、人体胚胎等有关的医学和科学研究进行了规范,并围绕个人信息保护等问题增加规定。未经监护人同意,不得收集使用未成年人个人信息。民法典人格权编草案在初审时就针对个人信息保护作出了有关规定,有的法学教学研究机构和社会公众提出,应当加强对未成年人个人信息的保护。二审稿作出规定,对收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的,增加规定应当征得其监护人同意,但是法律、行政法规另有规定的除外。
2 司法执法
四部门抓紧推进整治App个人信息收集乱象
新华社北京4月18日电(记者张文娟 陈伶娜)中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组以来,组织开展的App收集使用个人信息评估工作取得阶段性进展。记者从工作组负责人处获悉,截至4月16日,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组已向其运营者发送了整改通知。据介绍,今年3月份,工作组开通了微信公众号“App个人信息举报”和举报专用邮箱(pip@tc260.org.cn),广大用户积极举报App违法违规收集使用个人信息行为。截至4月16日,举报信息超过3480条,其中实名举报1040余条,涉及1300余款App。被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。对于用户实名举报的信息,工作组逐一与举报人进行沟通,及时反馈举报信息受理情况。对于匿名举报也进行了认真核实,并组织专业机构对举报较为集中的App进行了评估。
国安公布三起境外网络攻击窃密案件
新华社北京4月18日电 随着我国综合国力和国际地位显著提升,境外间谍情报机关将我国作为主要目标,日益将网络攻击窃密作为其情报窃密的主要方式之一。国家安全机关工作中已发现多个国家和地区的间谍情报机关对我国实施网络攻击窃密活动,攻击目标涉及计算机、电子邮箱、移动智能终端、重要信息系统、关键信息基础设施等。国家安全机关正持续加大对境外间谍情报机关网络攻击窃密的打击力度,有效控制境外间谍情报机关对我国网络攻击窃密造成的危害。近日,国家安全机关发布三起破获的境外间谍情报机关对我国实施的网络攻击窃密案件,旨在进一步提高全社会网络安全意识,筑牢信息安全防线。三个按键分别为,案件一:N网络科技公司重要信息系统被境外间谍情报机关攻击窃密案;案件二:W市某机关人员计算机违规存储涉密资料网络窃密案;案件三:Z市某机关人员违规使用电子邮箱传递涉密文件资料网络窃密案。
农行、建行违规查询信息,被央行处罚
中国人民银行西安分行网站发布行政处罚信息显示:
① 农行榆林榆阳区支行因未经同意查询个人信息的信贷信息,被处8万元罚款,对2名相关责任人各处1万元罚款。
中国人民银行郑州中心支行网站发布行政处罚信息显示:
② 建行郑州自贸区分行因违规查询信息,被处10万元罚款,对相关责任人共处3万元罚款。
③ 平安银行郑州分行因违反违反安全管理要求,被处2万元罚款
国资委:网络安全列入央企负责人业绩考核指标
国外有一群黑客每时每刻都订着中国国企,政企,事件单位,网络安全事件频发,基于这样的情况国务院国有资产监督管理委员会新修订的《中央企业负责人经营业绩考核办法》(以下简称《办法》)于2019年4月1日施行。《办法》增加了一个全新的业绩考核指标——网络安全事件,以建立重大事项报告制度等为表现。这意味着央企从价值管理进入网络安全管理的新阶段,利润不再是央企考核的惟一标准。
云南将开展专项执法,严打多领域侵害消费者个人信息行为
根据云南日报报道,为更好地保护消费者合法权益,营造安全放心的消费环境,云南省市场监督管理局决定利用半年时间,在全省范围内,组织开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。本次专项执法行动主要针对房产租售、小贷金融、教育培训、保险经纪、美容健身、装饰装修、旅游住宿、快递、电话营销、网站或App运营等侵害消费者个人信息违法行为多发高发的行业和领域。聚焦广大消费者反映强烈的侵害个人信息违法行为,重点查处未经消费者同意,收集、使用消费者个人信息违法行为;泄露、出售或者非法向他人提供所收集的消费者个人信息违法行为;以及未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业性信息违法行为。
违法查询个人信息和企业信贷信息,交银国际信托遭行政处罚
近日,国家市场监督管理总局办公厅印发通知,决定于2019年4月1日至9月30日期间,在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,重点打击侵害消费者个人信息违法行为,营造安全放心消费环境。本次专项行动的全面开展,将有力打击侵害消费者个人信息违法行为,督促经营者切实履行相关法定义务,提高守法经营意识,树立尊重消费者个人信息依法得到保护权利的理念,为消费者营造安全放心的消费环境。
3 国内动态
2019西湖论剑·网络安全大会 安全赋能数字新时代
2019年4月20日-21日,以“安全:赋能数字新时代”为主题的2019西湖论剑•网络安全大会(以下简称“西湖论剑”)在杭州国际博览中心举行。大会期间,14个分论坛陆续举行,主题涵盖智慧城市安全、云安全、移动安全、大数据安全、工控安全、物联网安全等多个网络安全前沿领域和方向。近150位政府领导、行业专家学者,以及优秀企业代表作主题分享,共话安全赋能。4月20日主论坛,全天共开展了11个主题演讲。其中,有一大亮点环节特别值得关注:大会新增“院士圆桌”环节,倪光南、邬江兴、方滨兴、杨小牛等四位中国工程院院士,分别就网络安全技术的可控性安全性、网络攻击不确定性拟态防御、网络安全三维九空间和内生安全、网络安全世界观与人工智能等主题进行精辟阐述,并围绕“网络安全与自主可控”、“新技术带来的新安全问题”等话题进行高端对话,展开讨论
《2018年我国互联网网络安全态势综述》报告发布
据杭州市网络安全协会报道,4月16日,由国家互联网应急中心(CNCERT)主办的《2018年我国互联网网络安全态势综述》发布会在京举行。来自中央网信办、工业和信息化部、公安部等政府部门、重要信息系统单位、电信运营企业、域名注册管理和服务机构、互联网和安全企业等80多家单位的专家和代表出席会议。会上,CNCERT发布了2018年态势综述报告,并对该报告进行了详细阐述。报告坚持立足于CNCERT自有监测数据与工作实践,结合2018年典型网络安全事件、网络安全新趋势及日常网络安全事件应急处置实践成果编撰而成,为我国党政机关、行业企业及社会公众提供了有力参考。报告从网络安全法律法规、网络安全威胁治理、勒索软件威胁、APT攻击、云平台安全、拒绝服务攻击、工业控制系统安全、恶意移动应用和数据安全等共九个方面对2018年我国互联网网络安全状况进行了总结。报告还对网络安全趋势进行了四点预测,认为2019年带有特殊目的和针对性更强的网络攻击、国家关键信息基础设施安全、个人信息与数据安全、5G与IPv6等新技术安全值得关注。
信安标委2019年第一次工作组“会议周”全体会议在宁波召开
4月21日上午,全国信息安全标准化技术委员会(以下简称信安标委)2019年第一次工作组“会议周”全体会议在宁波召开。本次“会议周”活动为期四天,对68项2019年网络安全国家标准立项项目建议进行讨论,推进31项在研标准制修订项目、13项标准研究项目,以及持续完善各技术领域标准体系和路线图。同期还将举办国家标准基础知识培训活动,解读标准制修订程序要求及编写要点;以及国际标准化专题研讨会,对数据安全、密码算法、事件管理等中国国际标准提案有关工作进行研讨交流。
网络安全等级保护测评工作专题研讨会在南昌召开
2019年4月17日,公安部网络安全保卫局、中关村信息安全测评联盟在江西省南昌市组织召开了网络安全等级保护测评工作专题研讨会。北京、天津、陕西、江西、广东、浙江、江苏、内蒙古以及宁波、沈阳公安网安部门有关同志以及公安部信息安全等级保护评估中心、公安部第一研究所信息安全等级保护测评中心、信息产业信息安全测评中心、电力行业信息安全等级保护测评中心(第一实验室)、中国金融电子化公司测评中心、上海市信息安全测评认证中心、山东新潮信息技术有限公司、江西神舟信息安全评估中心有限公司、江苏金盾检测技术有限公司 、深圳市网安计算机安全检测技术有限公司等测评机构技术负责人参加了会议。会上,与会同志重点围绕《网络安全等级测评报告模板(2019版)》、《网络安全等级保护测评数据规范》以及《等级保护测评高风险判定指引》等相关规范文件进行专题研讨。
4 国际资讯
旧金山或成为美国「禁止人脸识别软件」的第一个城市
4月16日,旧金山通过了对《停止秘密监视》条例所作的一些修订,离成为美国第一个禁止使用人脸识别软件的城市更近了一步。监事兼规则委员会主席AaronPeskin表示,该条例将先征集公众意见,之后由县监事会投票表决。正如Peskin在今年1月提出的那样,条例写道:“人脸识别技术侵害公民权利和公民自由的可能性大大超过了其声称的好处;这项技术将加剧种族不公正,并且威胁到我们的生活不受政府持续监视的能力。”按照旧金山市的定义,监视技术包括车牌阅读装置、监视摄像头、用于预测犯罪活动的软件,以及虹膜扫描装置和人脸或步态识别软件等生物特征识别技术。就在旧金山认真考虑《停止秘密监视》条例之际,美国各地的立法者在考虑与隐私和AI有关的法规上周,伊利诺伊州立法机构差点通过了一项禁止录制设备未经同意擅自使用的法律。美国参议院目前正在考虑一项监管人脸识别软件商业使用的两党法案和一项监管算法偏见的法案。
史上最大数据泄露事件达成和解,雅虎将赔偿1.175亿美元
2019年4月10日据路透社报道,由于遭遇史上最大数据泄密事件,雅虎(Yahoo)接受了一项修改后的1.175亿美元和解协议,与本案的数百万受害者达成和解。这项本周二披露的集体诉讼和解是为了解决美国加州圣何塞地区法院法官高兰惠(Lucy Koh)之前的批评。她在2019年1月28日驳回了之前的和解协议,此次修改的和解协议仍然需要获得她的批准。高兰惠表示,最初的和解协议“不够公平、充分和合理”,因为没有列出整体金额,也没有说明每个受害者具体有望获得多少赔偿。这起案件在2013至2016年间导致大约30亿帐号受到影响,而雅虎则被控在披露此事的过程中反应过慢。雅虎目前已经成为Verizon电信旗下的一家公司。这份新的和解协议包含至少5500万美元支付给受害者的实付费用和其它成本,2400万美元的两年信用监控费用,和高达3000万美元的法律费用,另有最多850万美元的其他费用。本案涵盖1.94亿美国人和以色列人,大约涉及8.96亿帐号。本案原告律师在法庭文件中称,1.175亿美元是数据泄密案有史以来获得的最大赔偿。
欧盟发布人工智能道德准则,值得信赖的AI要满足这7大条件
北京时间4月9日,欧盟委员会发布了一份人工智能(AI)道德准则,提出了“值得信赖”的人工智能应当满足的7个条件。下一阶段,欧盟委员会将启动AI道德准则的试行,邀请工业界、研究机构和政府机构对该准则进行测试和补充。欧盟召集了52名专家组成的小组,提出了他们认为未来AI系统应该满足的七大条件:
1.受人类监管:AI不能侵犯人类的自主性。人类不应该被AI系统操纵或威胁,人类应该能够干预或监督AI的每一项决定。
2.技术的稳健性和安全性:AI应该是安全和准确的。它不应该轻易受外部攻击的影响,它应该非常可靠。
3.隐私和数据管理:AI收集的个人数据应该是安全的、私有的。它不应该让任何人接触,也不应该轻易被盗。
4.透明度:用于创建AI系统的数据和算法应该是可访问的,应确保AI决策的可追溯性。换句话说,运营商应该能够解释他们的AI系统是如何做出决策的。
5.多样性、非歧视性和公平性:人工智能提供的服务应面向所有人,无论年龄、性别、种族或其他特征。同样,系统不应该有任何偏向。
6.社会和环境福祉:人工智能系统应该是可持续的(即它们应该对生态负责)并“促进积极的社会变革”。
7.问责制:应建立机制,确保对AI系统及其成果负责和问责。
目前这些要求不具有法律约束力,但它们可能对欧盟未来起草的所有法律造成影响。
苹果发布隐私权广告,称其商业模式不靠卖数据
苹果一则新广告在本周悄悄上线,有别于酷炫科技新品的展示,这次苹果发布的“概念广告”向大众强调:如果你在乎隐私,你应该要考虑用什么手机记录你的生活?这则新广告于2019年4月8日在全球同步发布,在脸书、谷歌因贩卖用户数据颇受议论,甚至引发美国舆论轩然大波的情况下,苹果此时推出诙谐的广告视频,为自己画清界线。一位知情人士向环球网透露,对苹果而言,隐私权也是一个产品。苹果的商业模式不依靠贩卖数据,而是通过自家的产品实现盈利。由于不需要通过数据获得收入,苹果反倒将数据保护视为自身的优势,而非产生收益的摇钱树。苹果和其他公司很重要一个区别是,每一件产品在设计之初,都会把技术体现在隐私保护上。
Facebook修改服务条款,并澄清了其对消费者数据的使用
欧盟消费者保护合作条例(EU Consumer Protection Cooperation Regulation)将国家消费者当局与泛欧执法网络联系起来。在此基础上,一个欧盟国家的国家当局可以请求另一个欧盟国家的国家当局的协助,以制止跨境违反欧盟消费者法的行为。消费者保护合作网络在法国竞争政策总局(French Directorate General for Competition Policy)与消费者事务与反欺诈总局(DGCCRF)的协调下,对Facebook的服务条款进行了联合评估,并要求该公司以及Twitter和Google+改进一些合同条款。4月9日,欧盟委员会和消费者保护机构对Facebook更新的条款和服务表示了欢迎。Facebook清楚地解释了他们如何使用其用户的数据来开发分析活动,并将目标广告用于为其公司融资。新条款详细说明了Facebook向第三方销售的服务,这些服务基于用户数据的使用、消费者如何关闭账户以及基于什么原因可以禁用账户。这些发展是在交易所之后进行的,交易所的目的是以一种全面而简单的语言向用户全面披露Facebook的商业模式。
韩国出台首部国家网络安全战略
近年来,韩国的信息通信技术快速发展,由此也带来了一系列的网络安全问题。2019年4月2日,为应对网络安全风险,韩国国家安全办公室发布了首部《国家网络安全战略》,以加强国家网络安全体系建设。
全球2/3酒店无意中泄露客户个人信息
2019年4月11日据路透社报道,网络安全公司赛门铁克(Symantec)本周三发布的最新研究显示,三分之二的酒店网站在无意中将客人的预定信息和个人数据泄露给第三方网站,包括广告公司和分析公司。这份研究调查了54个国家的1500多个酒店网站,这些酒店从二星级到五星级不等。
新加坡成立公共部门数据安全审查委员会
3月31日,新加坡总理公署宣布成立公共部门数据安全检查委员会,以加强公共部门的数据安全。委员会的工作涵盖三个方面:一、梳理政府如何全面地保护公民数据,包括服务供应商及授权第三方应尽的职责;二、推荐技术措施、流程和能力,以改善政府对公民数据的保护和对事故的应对;三、制定立即步骤以及长远措施的行动计划,以落实委员会的建议。在梳理过程中,委员会将咨询国际专家和行业内专门人才。由公务员组成的跨机构工作小组也将以政府整体协作的方式,为委员会提供支持。
英国宣布将制定“最严厉”互联网法律
根据中国信息安全报道,英国文化大臣杰里米·赖特(Jeremy Wright)和内政大臣萨吉德·贾维德(Sajid Javid)8日表示,英国政府将制定新的法律保护网络安全,“英国将拥有世界上最严厉的互联网法律”。于当日发布的政府白皮书中显示,英国政府将设立新的独立监管机构、制定新的法律规定,加强对英国互联网企业的监管。覆盖范围涉及社交媒体、消息应用、搜索引擎、网络论坛以及网络媒体评论及社论等。赖特称,互联网“自我监管的时代已经结束”。
法律观察(2019.4.8——2019.4.21)
作者:数据法律观察来源:数据法律观察

1 立法动态 公安部发布《互联网个人信息安全保护指南》 2019年4月10日,由公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会等相关专家共同研究制定的《互联网个人信息安全保护指南》正式发布