01《数据出境安全评估办法》自2022年9月1日起施行
《数据出境安全评估办法》(以下简称“《评估办法》”)自2022年9月1日起施行,《评估办法》为数据处理者开展数据出境安全评估工作提供了法律依据,进一步规范数据出境活动,保护个人信息权益,促进数据跨境安全、自由流动。
另外,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》(以下简称“《申报指南》”),对适用范围、申报的方式及流程、申报材料等要求作出了具体说明,并附有相关文件的模板供参考使用,详细指引数据处理者合法、规范地申报数据出境安全评估。
延伸阅读与提示
《评估办法》提出了数据出境安全评估两项原则:一是坚持事前评估和持续监督相结合原则;二是风险自评估与国家安全评估相结合原则。可见,数据出境安全评估工作需要数据处理者与相关监管部门共同完成。首先,数据处理者在申报数据安全评估前,应当先开展风险自评估,之后再通过所在地省级网信部门向国家网信部门申报数据出境安全评估。《评估办法》第四条明确了数据处理者应当申报数据出境安全评估的情形,特别需要注意的是,《申报指南》明确了数据出境行为相应的情形,为数据出境与否提供了判断依据。《评估办法》第五条规定了风险自评估的评估重点事项;第八条规定了申报的数据出境安全评估的重点评估事项。另外,《申报指南》详细说明了数据出境安全评估申报的方式及流程、申报材料,需要注意的是,申报材料包括数据处理者与境外接收方拟订立的法律文件,《评估办法》第九条规定了该法律文件应当明确约定数据保护责任义务,至少包括六大项内容。
总的来说,《评估办法》及《申报指南》对数据出境安全评估作出了详细的规定和指引,国家网信部门及相关监管部门将会严格参照执行。数据处理者不应心存侥幸心理,以为之前已经通过评估就不再理会,根据《评估办法》相关规定,国家网信部门发现已经通过评估的数据出境活动不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动,如果需要继续开展数据出境活动的,数据处理者应当自《评估办法》施行之日起6个月内完成整改。
参考链接:
http://www.cac.gov.cn/2022-07/07/c1658811536396503.htm
02《反电信网络诈骗法》12月1日起施行
2022年9月2日,十三届全国人大常委会第三十六次会议表决通过《中华人民共和国反电信网络诈骗法》,自2022年12月1日起施行。《反电信网络诈骗法》共七章50条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等。本法的亮点之一是第四章“互联网治理”,本章主要规定了互联网企业在反电信网络诈骗工作当中应当尽到的义务,此种将行政管理职责由国家转移至市场主体,通过专章规定市场主体第三方义务以控制犯罪的立法形式在我国尚属首次,第四章与其他章的个别规定相结合,共同构建了互联网企业在电信网络诈骗犯罪治理中的主体责任,《反电信网络诈骗法》作为由全国人大常委会制定的法律,这将对互联网企业产生较大的影响。
同时,《反电信网络诈骗法》从“小切口”出发,对过去的一些规定,从综合治理、源头治理和全链条治理上做了一个比较好的法律设计,在总结反诈工作经验基础上,着力加强预防性法律制度构建,加强协同联动工作机制建设,加大对违法犯罪人员的处罚,推动形成全链条反诈、全行业阻诈、全社会防诈的打防管控格局。
延伸阅读与提示
《反电信网络诈骗法》从“反电信网络诈骗”的切口入手,对源头的个人信息保护问题进行规范,起到防范网络诈骗的目的。《反电信网络诈骗法》也与《个人信息保护法》等相关立法相衔接,从“小切口”出发对个人信息进行专门保护。作为企业,应遵守《个人信息保护法》关于个人信息处理者义务的全部规定及遵守敏感个人信息处理规则, 企业对获取的公民信息应严格按照《个人信息保护法》《网络安全法》《数据安全法》等规定采取保护措施,否则可能涉嫌侵犯公民信息罪,因此遭受高额行政处罚,故企业在履行反电信网络诈骗相关义务的同时也要注重个人信息保护与数据合规工作,不可偏废,除满足基本数据合规立法的要求外,也应满足相关专门立法的数据合规要求。
参考链接:
http://www.npc.gov.cn/npc/c30834/202209/faadac81d2e94aa0bd7574efc9862cd0.shtml
03《元宇宙安全治理上海倡议》发布
当前,以元宇宙为代表的智能技术及其产业应用,正在激发虚拟世界与现实社会的共生蝶变,彻底改变人们的生活、社交和生产经营方式。为应对元宇宙带来的“双刃剑”效应,在上海推出《培育“元宇宙”新赛道行动方案》之后,《元宇宙安全治理上海倡议》(以下简称“《倡议》”)9月3日也在2022世界人工智能安全高端对话上首发。
《倡议》关注元宇宙安全治理,探索如何以安全、可靠、合规、可互操作和包容的方式开发元宇宙的技术和环境,提出“虚实共进、保障秩序、强韧发展、规范建制、尊重隐私、守护未来、理性务实、开放协作”八大目标原则及其基本要求。
在发展原则方面,《倡议》提出,元宇宙的发展应当以实为本,着力解决人类现实世界难题,以虚强实促进现实社会的经济发展和生产力升级,防止脱实向虚、以元宇宙替代真宇宙。
在元宇宙秩序方面,《倡议》提出,应当在遵守现行伦理道德标准的基础上,建立与元宇宙相适应的道德规范。
在基础设施方面,《倡议》提出,元宇宙需要稳固的数字底座作为支撑,为了保障元宇宙的安全和稳定,在发展技术的同时,应当关注弹性网络的建设,加强元宇宙的自动恢复能力和风险防护能力。
倡议还提倡数字产权保护、尊重用户隐私、兼顾创新和监管、关心未成年人福祉、防止数字成瘾,致力于保护人们在虚拟世界中的各项权利。
延伸阅读与提示
随着元宇宙从概念到规模化的应用,虚实结合的网络空间对于安全的依赖将越来越深。不断发展的虚拟世界也滋生出更加严峻的安全挑战,催生了包括利用元宇宙概念炒作、非法集资、侵害个人隐私、数字身份窃用和远程网络欺诈等在内的元宇宙安全风险。在发展元宇宙的过程中,一方面要聚焦元宇宙应用场景,为社会主体提供丰富的虚实融合、人机交互的应用服务;另一方面要重点关注元宇宙网络安全态势,加强元宇宙平台的风险预警、网络数据监测,完善针对元宇宙世界的网络攻击事件和安全威胁的应急响应处置。
从安全与发展的辩证视角来看,元宇宙发展过程中,中国的网络治理不容忽视。元宇宙等智能化技术正在引发一系列复杂和深远的安全和治理挑战,如何构筑面向未来的数字空间规则,促进元宇宙相关产业健康持续发展,是当前决策者和产业界共同关注的议题。
参考链接:
https://m.thepaper.cn/newsDetailforward19768514
04西工大遭网络攻击事件真相披露
9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)近年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。与此同时,美国NSA还利用其控制的网络攻击武器平台、“零日漏洞”(0day)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。经技术分析与溯源,技术团队现已澄清NSA攻击活动中使用的网络资源、专用武器装备及具体手法,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据。
延伸阅读与提示
没有网络安全就没有国家安全,没有网络安全就没有个人信息安全,国家注重维护网络安全,并重视利用多渠道多方面力量保障网络安全。本次西工大遭受美国国家安全局攻击事件中,国家综合考虑事件的特殊性及技术的复杂性,充分发挥不同主体的优势,分别由作为企业的360公司和事业单位国家计算机病毒应急处理中心作为技术团队共同参与了本次事件的技术分析工作,并就本次事件出具调查报告。数字化转型浪潮下,网络安全将成为国家和政府关注的重中之重,而这也需要不同主体的多方合作配合实现。同时,本次事件中不可忽视的是同样存在个人信息遭受到侵害的情形,国家也对个人信息保护领域予以了适当关注。企业在与科技融合发展的过程中,应切实遵守《网络安全法》《数据安全法》《个人信息保护法》等相关国家法律法规,在数字化时代下积极参与构筑网络信息安全屏障,合规处理个人信息。
参考链接:
https://www.cverc.org.cn/head/zhaiyao/news20220905-NPU.htm
052022年国家网络安全宣传周闭幕
9月5日至11日,2022年国家网络安全宣传周在全国范围内统一开展。本届网络安全宣传周以“网络安全为人民,网络安全靠人民”为主题,由中央宣传部、中央网信办、教育部、工信部等十部门举办。在宣传周开幕式上,合肥高新技术产业开发区、北京市海淀区、西安市雁塔区、长沙高新技术产业开发区、济南高新技术产业开发区等入选首批国家网络安全教育技术产业融合发展试验区;本届宣传周期间,各地通过线上、线下方式,开展网络安全教育云课堂、网络安全赛事、网络安全进基层等活动和校园日、电信日、个人信息保护日等六大系列主题日活动,做好网络安全宣传周公益广告的宣传推广,提高群众对网络安全宣传周及网络安全知识的了解程度,营造浓厚的线下宣传氛围。
延伸阅读与提示
据中国互联网络信息中心发布的第50次《中国互联网络发展状况统计报告》显示,截至2022年6月,我国网民规模为10.51亿,互联网普及率达74.4%,数字化发展是社会发展的必然趋势。近年来,移动应用程序超范围收集、滥用乃至泄露个人隐私数据的现象被屡屡曝光,大规模的数据泄露事件也时有发生,加强个人信息安全保障,强化数据安全管理,是维护公民在网络空间合法权益的重要措施;而维护网络安全也与每个社会成员息息相关,维护网络安全是全社会的共同责任,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障,因此每个公民在享受权益的同时也应承担起相应的法律责任和义务,共同营造绿色健康的网络环境。
参考链接:
http://www.cac.gov.cn/2022-09/08/c1664260357162135.htm
06《网络安全法》修改公开征求意见
9月14日,国家互联网信息办公室发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下称“《网安法(征求意见稿)》”),向社会公开征求意见。《网安法(征求意见稿)》主要做了以下修改:一是完善违反网络运行安全一般规定的法律责任制度,新增违反《网安法》第二十三条和第二十八条的法律责任,增设了“通报批评”、“从业禁止”的行政处罚种类和“情节特别严重”的加重情节,整体提高了处罚力度;二是修改关键信息基础设施安全保护的法律责任制度,针对CIIO违反国家安全审查规定采购网络产品或服务的行为,增设“处上一年度营业额百分之五以下罚款”的法律责任,与原有的“处采购金额一倍以上十倍以下”择一适用,同时将CIIO违反数据跨境安全管理义务的法律责任修改为转致性规定;三是调整网络信息安全法律责任制度,新增违反《网安法》第四十九条的法律责任,增设了“通报批评”、“从业禁止”的行政处罚种类和“情节特别严重”的加重情节,调整了行政处罚幅度,同时新增对法律、行政法规没有规定的有关违法行为的法律责任规定;四是修改个人信息保护法律责任制度,将原有关个人信息保护的法律责任修改为转致性规定。
延伸阅读与提示
《网安法(征求意见稿)》完善了与《行政处罚法》、《数据安全法》、《个人信息保护法》等法律之间的衔接协调,完善了我国的法律责任制度,是网络安全领域“依法治国”的重要体现。《网安法(征求意见稿)》调整了处罚幅度以及处罚种类,引入了“上一年度营业额百分之五以下罚款”作为经济处罚的标准之一,将违法后果可能产生的危害与应当通过行政处罚进行惩戒的幅度相协调;同时增设了对直接负责的主管人员和其他直接责任人员的从业禁止措施,发挥了《网安法》的指引作用。从《网安法》的修改内容,可见网络安全违法责任越来越严厉,企业违法成本大幅提高,因此企业在经营过程中应建立切实可行的数据安全防护体系,建立完善的网络安全管理制度,进一步落实网络安全保护义务。
参考链接:
http://www.cac.gov.cn/2022-09/14/c1664781649609823.htm
07谷歌和Meta未经授权收集个人信息,韩国开出千亿罚单
北京时间9月15日,因谷歌和Meta两家公司未经用户授权收集个人信息,并用于广告和其他目的,韩国个人信息保护委员会对上述两家公司分别作出692亿韩元和308亿韩元的罚款决定,这是韩国有史以来,对违反个人信息保护而作出的最高罚款金额。
韩国个人信息保护委员会表示,其调查证实,谷歌和Meta在收集或分析这些数据估算用户个人兴趣并用于广告时,既没有明确告知用户,也没有事先得到用户的授权。
韩国个人信息保护委员会还下令,如果谷歌和Meta在自己平台外的网站或应用程序上收集或使用用户行为数据,必须提前明确、简单地通知用户,并征得用户的同意。
延伸阅读与提示
数据安全属于国家政治、领土和军事威胁之外的非传统安全,在国家安全战略体系中的地位十分关键。尤其个人信息,是可能影响国家经济命脉、社会稳定的重要数据,因此,对个人信息的数据保护,不仅仅是为了维护个人权益,更是维护国家安全、社会稳定的必然要求和重大举措。世界各国已经陆续颁布和施行关于个人信息保护的法律,以及成立了个人信息保护的专门机构,对违规主体不断地开出天价罚单。近年来,我国也陆续颁布及施行数据安全的相关法律法规,不断加强对网络安全、数据安全、个人信息的保护力度。随着《中华人民共和国个人信息保护法》的施行,个人信息得到了更加清晰、全面、有力的保护,进一步完善了个人信息保护制度。我国对于违反个人信息保护的违法行为亦是持以坚决严厉打击的态度,曾就某企业因违反《数据安全法》《个人信息保护法》,处以高达人民币80亿余元的罚单。可见,国家不断加大网络安全、数据安全、个人信息保护等领域的执法力度,教育引导互联网企业依法合规运营。对此建议,企业经营过程中,对于数据信息的处理需要建立完善的合规制度,严格按照相关法律法规、条例以及指引等相关文件执行。否则,一被查处,将会面临天价罚单。
参考链接:
https://baijiahao.baidu.com/s?id=1743947649602872142&wfr=spider&for=pc&searchword=
08广东布局数据要素流通交易规则体系,将在全国率先探索成立数据合规委员会
2022年9月22日,“广东省推进数据要素市场化配置改革”专题新闻发布会在广州举行,介绍广东在推动数据要素市场化配置改革一年以来取得的最新成果。广东省政务服务数据管理局局长杨鹏飞提到将在五个方面重点发力,构建数据流通交易全链条制度保障体系,谋篇布局数据要素流通交易规则体系。
据了解,广东将围绕数据开放、共享、交换、交易、应用、安全、监管等数据要素全周期,从省级层面统筹建设面向场景的数据要素流通交易规则体系,并以出台全省统一的数据流通交易管理规定为基础,围绕数据合规登记、交易场所、产业生态、监管安全等关键环节,构建数据流通交易全链条制度保障体系,从而解决数据供给难、确权难、监管难、安全难等问题。在推动数据流通交易中,将始终坚持“无场景不登记、不登记不交易、不合规不上架”的原则,保障数据产品和服务合规合法。同时,广东将在全国率先探索成立数据合规委员会,建立合规会审机制,进一步确保数据资产合规登记的权威性。广东在全国首创数据经纪人,通过数据经纪人释放数据流通交易价值,鼓励探索建设行业数据空间,探索更多数据流通新模式。
作为广东数据要素市场化体系的重要枢纽和省级数据类交易场所,广东省数据交易所已于2022年9月30日在广州南沙揭牌成立,交易所将采用“一所、多基地、多平台”架构运营,按照“省市共建、广佛协同”的思路,加快释放数据红利。
延伸阅读与提示
数据要素市场建设过程中,涉及多类主体、多元服务、多线流程、多种技术。针对数据流通交易中监管方不明、监管对象繁杂、监管方式“一刀切”、监管手段落后等问题,广东将实现覆盖数据流通交易全流程的监管,优化数据交易环境。通过建立政数、网信、公安等主管部门协同的监管机制,压实地方属地监管责任,同时将采用新型技术、信用规范、风险控制和社会监督等多元监管方式。企业可通过建立技术安全规范和引入多方安全计算、联邦学习等隐私计算先进技术,牢筑数据安全屏障,确保数据合规登记、流通交易和监督管理等全流程顺利开展。
参考链接:
http://gd.people.com.cn/n2/2022/0923/c123932-40135711.html
09工信部公布2022年大数据产业发展试点示范项目名单
近日,为深入实施国家大数据战略,落实《“十四五”大数据产业发展规划》,工信部按照《工业和信息化部办公厅关于组织开展2022年大数据产业发展试点示范项目申报工作的通知》(工信厅信发函〔2022〕71号)要求,经企业申报、单位推荐、专家评审、网上公示,确定并公布了2022年大数据产业发展试点示范项目名单,本次的示范项目名单中涵盖了数据要素市场、大数据重点产品和服务、行业大数据应用等大数据产业链的主要环节,囊括数据管理能力提升、数据交易流通、数据要素服务生态培育、大数据重点产品、大数据服务、农业大数据应用、工业大数据应用、服务业大数据应用等具体方向。该次示范期为两年,两年示范期满后,工信部将组织开展总结评估、经验交流等工作。
延伸阅读与提示
大数据产业作为推动数字经济的重要力量,政府关注大数据产业的高质量和可持续发展。当前数据已经成为重要的生产要素,大数据产业作为以数据生成、采集、存储、加工、分析、服务为主的战略新型产业,是激活数据要素潜能的关键支撑,是加快经济社会发展质量变革、效率变革、动力变革的重要引擎。工信部通过公布大数据产业发展试点示范项目,旨在进一步推动形成一批可复制、可推广、可借鉴的经验模式,推动大数据产业的高质量发展,为相关企业的发展指明前进方向。大数据相关企业可以根据此次工信部发布的示范项目名单,深入了解入围项目的有益经验,不断优化自身的大数据产业经营,推动自身大数据产业的高质量和可持续发展。
参考链接:
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/artaa9f6788f87944a59f2c2421669af94f.html
10医疗健康数据安全合规论坛在京举办
近日,2022中国互联网法治大会——医疗健康数据安全合规论坛在北京召开,论坛以“数字引领医疗,合规指路健康”为主题,来自医疗、通信、安全等领域的专家及行业代表受邀参加,为构建积极、健康、绿色的医疗健康网络环境共同献计献策,多位专家从医疗、信息化、安全等领域分享了医疗数据安全合规的工作要求、技术研究和经验做法,为行业合规提供了实践参考。会议期间还发布了《医疗健康网络数据安全能力第二批评估结果》,并对通过的相关单位颁发了评估证书。“医疗健康数据不仅是实现数字健康、医疗模式变革、效率变革、质量变革的关键纽带,也是数据安全保护工作的重点领域。”工业和信息化部网络安全管理局数据安全处处长雷楠表示,实现医疗健康数据安全,应从政策、联动、示范等三方面重点开展工作,加强核心技术产品攻关,共筑风险防范的化解能力,营造全社会参与的良好氛围。国家卫生健康委规划发展与信息化司司长毛群安在会上指出,各地要加快落实最近印发的《医疗卫生机构网络安全管理办法》,加强网络安全合规体系建设,建立常态化的网络安全、数据安全、监管考核机制。下一步,国家卫生健康委将研究制定医疗卫生机构网络安全情况的评估考核制度,与产业各方共同提升卫生健康行业网络安全和数据安全的管理水平和防护能力。
延伸阅读与提示
随着我国立法的不断完善,无论是去年的《个人信息保护法》《数据安全法》,最近出台的《数据出境安全评估办法》等等,均彰显了我国在数据合规方面越来越严,甚至起到一定的引领作用。目前数字医疗技术标准高,迭代升级快,要抓住数字化变革带来的机遇,医药企业应在工业和信息化部、国家卫生健康委等行业主管部门指导下,持续广泛交流、加强合作,建议从完善标准体系、开展合规培训、加强安全技能等方面,助力提升网络安全、数据安全、个人信息保护管理水平与能力,不断推进医疗健康网络数据安全合规发展。
参考链接:
https://news.cctv.com/2022/09/18/ARTIW4YbqK4WzDnobw6R3qGk220918.shtml
南方所数据信息行业9月法讯
作者:广东南方福瑞德律师事务所来源:广东南方福瑞德律师事务所

01《数据出境安全评估办法》自2022年9月1日起施行 《数据出境安全评估办法》(以下简称“《评估办法》”)自2022年9月1日起施行,《评估办法》为数据处理者开展数据出境安全评估工作提供了法律依据,