竞天公诚网络安全与数据合规动态提报
AI智能总结
网络安全和数据合规动态提报 |提报期间:2023/11/01-11/30 |发件人:北京市竞天公诚律师事务所 |联系人:周杨zhou.yang@jingtian.com 主题:网络安全和数据合规动态提报 期间:2023年11月1日——11月30日 本期提示和分析回顾了2023年11月1日至11月30日期间可能影响企业业务的网络安全和数据合规领域重要新规和重要事件,具体如下所示: 目录 一、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见1 (一)主要内容1 (二)合规要点1 (三)简析和建议2 二、工信部就《工业和信息化领域数据安全行政处罚裁量指引(试行)》公开征求意见3 (一)主要内容3 (二)合规要点3 (三)简析和建议5 三、国家网信办开展“清朗·网络戾气整治”专项行动7 (一)主要内容7 (二)合规要点7 (三)简析和建议8 四、公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》征求意见10 (一)主要内容10 (二)合规要点10 (三)简析和建议11 五、市场监管总局就《网络交易执法协查暂行办法(征求意见稿)》公开征求意见12 (一)主要内容12 (二)合规要点13 (三)简析和建议14 六、财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法(征求意见稿)》15 (一)主要内容15 (二)合规要点15 (三)简析和建议16 七、国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》17 (一)主要内容17 (二)合规要点17 八、北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程(试行)》19 (一)主要内容19 (二)合规要点19 (三)简析和建议20 一、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见 (一)主要内容 2023年11月1日,为促进粤港澳大湾区个人信息跨境安全有序流动,全国信息安全标准化技术委员会秘书处编制了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》(以下简称“《指南》”),从范围、术语定义、基本原则、个人信息处理要求、个人信息权益保障要求、个人信息安全要求共六个方面,对粤港澳大湾区跨境个人信息保护提供了指引。 (二)合规要点1、范围 《指南》适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,以及香港特别行政区的个人信息处理者,并不包括澳门特别行政区。 2、基本原则 《指南》明确个人信息处理者在跨境处理个人信息时,应遵循合法、正当、诚信原则;最小必要原则;公开透明原则;质量保障原则;确保安全原则;责任明确原则。 3、处理要求 《指南》明确,个人信息处理者处理个人信息应符合属地法律法规要求。对于内地的个人信息处理者明确了个人同意、履行合同所必需、履行法定职责或法定义务所必需、为应对突发公共卫生事件或紧急情况下为保护自然人的生命健康和财产安全所必需等情况。对香港的个人信息处理者而言,则应符合包括保障资料原则在内的香港《个人资料(私隐)条例》相关规定。 个人信息处理者收集个人信息之时或之前,应向个人信息主体告知个人信息收集目的、方式、范围,以及是否可选收集、向哪些类型接收方提供个人信息,属地法律法规另有规定的除外;制定并公开个人信息处理规则,以显著方式、清晰易懂的语言真实、准确、完整明示个人信息处理者的相关信息,以及个人信息处理活动的目的、方式等内容;基于个人同意处理个人信息的,该同意应由个人信息主体在充分知情的前提下自愿、明确作出;个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应重新取得个人信息主体同意;对于未成年人信息的处理存在特别的要求;对于敏感个人信息的跨境处理要求特定的目的和充分的必要,以及严格的保护措施等。 个人信息处理者存储、使用、加工个人信息也有明确的要求,包括最短时间;期限届满后删除或匿名化处理;对使用个人信息进行商业营销、自动化的提出了特殊的要求;以及其他特殊情形下的规定等。 个人信息处理者委托处理、提供、公开个人信息,对于受托人有严格的限制;并且要求双方明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;委托合同不生效、无效、被撤销或者终止的,受托人应将个人信息返还个人信息处理者或者予以删除,不得保留;对于个人信息的转移、提供,需要保障个人的知情权及同意权等。 对于个人信息处理者跨境处理个人信息,需要制定安全管理制度和操作规程,进行日志记录并至少保存3年;形成个人信息跨境处理目录;建立最小授权的访问控制策略;承诺持续接受监督等。除上述通用规则外,《指南》还从跨境提供个人信息责任、跨境接受个人信息责任两个角度,提出了进一步要求。 4、个人信息权益保障要求 个人信息主体享有查阅、复制处理的个人信息;更正、补充个人信息;要求解释说明个人信息处理规则;撤回对个人信息处理的同意等权益。个人信息处理者应为个人信息主体行使权利提供便利条件,履行为个人信息主体提供查阅、更正、删除、撤回同意、拒绝处理个人信息的便捷渠道;建立便捷的个人行使权利的申请受理和处理机制等义务。 5、个人信息安全要求 个人信息处理者应当采取包括指定个人信息保护负责人、设立个人信息保护机构、采用加密等安全措施传输和存储敏感个人信息、制定个人信息安全事件应急预案、定期组织内部人员进行应急演练等措施,保护个人信息安全,防止跨境个人信息泄露、篡改、破坏、丢失。 (三)简析和建议 《指南》规定了粤港澳大湾区处理个人信息应遵循的基本原则和要求,为实施粤港澳大湾区个人信息保护认证提供了认证依据,也为大湾区个人信息处理者规范个人信息跨境处理活动提供了参考。总体来讲,主要是依据属地法律法规,尊重大湾区不同的法律体系,就内地而言主要依据《中华人民共和国网络安全法》 《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规;就香港特别行政区而言主要是《个人资料(私隐)条例》等法律法规。总体而言大湾区法律日渐靠拢,且与大陆固有的对跨境个人信息保护的法律体系并不冲突,对于个人信息处理者存储、使用、加工,乃至委托处理、提供、公开个人信息的时间、处理方式都有着较为一体化的规定。对于跨境处理个人信息,特别强调了接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方。 《指南》的发布,便利了大湾区个人信息保护的认证及必要的信息传输,推动了大湾区数据跨境共享,有利于减轻企业合规负担,推动大湾区数字经济发展。 二、工信部就《工业和信息化领域数据安全行政处罚裁量指引(试行)》公开征求意见 (一)主要内容 11月23日,工业和信息化部发布了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》(下称“《裁量指引(征)》”),向社会公开征求意见,截止日期为2023年12月23日。《裁量指引(征)》对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定,细化了《数据安全法》与《工业和信息化领域数据安全管理办法(试行)》监管框架下的相应合规要求,并明确列举了相应违法事由的处罚裁量基准和裁量尺度,为受监管企业与个人提供了工业和信息化领域数据安全合规指引,增加了工信部门执法活动的可预测性。 《裁量指引(征)》分为正文章节共五章及附件,在正文章节部分,《裁量指引(征)》对工业和信息化领域行政处罚机关的职责分工、工作原则、管辖安排与规定、一事不再罚、具体数据安全行政处罚情形、数据安全行政处罚裁量权适用规则等作出了明确规定;在附件《工业和信息化领域数据安全行政处罚裁量基准》部分,《裁量指引(征)》对已规定的数据安全行政处罚情形设定了细致的行政处罚种类和幅度裁量基准,并同时列明了相应的行政处罚法律渊源。 (二)合规要点 1、“合规免责”相关规定为企业合规工作赋予价值 承接《中华人民共和国行政处罚法》有关合规免责的法律规定,《裁量指引 (征)》在行政处罚裁量权适用规则中亦明确规定,工业和信息化领域数据处理者有证据足以证明没有主观过错的,依法不予行政处罚。自2017年企业刑事合规无罪抗辩第一案后,我们已观察到多例刑事合规不起诉(包括在数据合规领域)的案例,但是行政处罚领域的“合规免责”相关案例较少。此次《裁量指引(征)》在数据安全行政处罚领域进一步明确规定“合规免责”的相关条文,为企业开展的合规工作赋予了更大的价值。 2、“不履行数据安全保护义务”和“向境外非法提供数据”的情形细化 针对具体的工业和信息化领域数据安全行政处罚情形,《裁量指引(征)》对“不履行数据安全保护义务”及“向境外非法提供数据”所对应的违法事由作出了细化。 依据《裁量指引(征)》,“不履行数据安全保护义务”包括: (1)未定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位具体目录; (2)未建立数据全生命周期安全管理制度,未针对不同级别数据明确数据收集、存储、使用、加工、传输、提供、公开、销毁、转移、委托处理等环 节的具体分级防护要求和操作规程;未在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月; (3)未根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业(领域)监管部门开展工作; (4)未定期对从业人员开展数据安全教育和培训或未合理确定数据处理活动的操作权限,严格实施人员权限管理; (5)未根据应对数据安全事件的需要,制定应急预案,并开展应急演练; (6)数据安全事件发生后,未按照应急预案开展应急处置、未按照规定及时告知用户,并提供减轻危害措施或未按照规定向所在地行业监管部门报告; 依据《裁量指引(征)》,“向境外非法提供数据”指: (1)工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据未在境内存储,或者因业务需要,确需向境外提供的,未按照有关规定进行数据出境安全评估; (2)其他工业和信息化领域数据处理者,在中华人民共和国境内收集和产生的重要数据和核心数据,未按照法律、行政法规等要求在境内存储,或者确需向境外提供的,未依法依规进行数据出境安全评估; (3)非经工业和信息化部批准,向外国工业、电信、无线电执法机构(或司法机构,规定于附件中)提供存储于中华人民共和国境内的工业和信息化领域数据;及 (4)其他向境外非法提供数据的情形。 3、细化违法情节分类,增强执法活动可预期性 《裁量指引(征)》依据违法行为造成的后果严重程度,将处罚情节分为了后果较轻情节,后果较重情节以及后果严重情节。依据《裁量指引(征)》,执法机构可从如下考虑因素中确定情节严重程度: (1)数据安全事件所涉及的数据规模; (2)对公民、法人和组织合法权益、社会公共利益造成损害的程度; (3)事件影响范围;及 (4)对行业发展、社会稳定和国家安全造成的后果严重程度。具体对应关系可见下表: 考虑因素 后果较轻情节 后果较重情节 后果严重情节 数据规模 1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用; 超过1000万条一般数据被篡改、破坏、泄露或者非法获取、非法利用,或者 超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用,或 考虑因素 后果较轻情节 后果较重情节 后果严重情节 涉及重要数据、核心数据的; 者涉及2个以上数据处理者的重要数据、核心数据的; 公共利益损害时间、直接经济损失 对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短,或直接经济损失在1000万元以内; 对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过1000万元且在5000万元以内的; 对公民、法人和组织合法权益、社会公共利益造成损害的持续时间长,或直接经济损失超过5000万元
