数据合规热点速递2月刊

2023年2月刊 植德数据合规热点速递 （自2023年2月1日至2023年2月26日） —植德律师事务所— 北京| 目录 立法动向4 行业动态6 导读 立法动向 1.上海市互联网信息办公室发布《数据出境安全评估申报工作实务问答（二）》 2.《西藏自治区网络信息安全管理条例》施行 3.杭州就《公共数据授权运营实施方案（试行）》公开征求意见 4.深圳市发改委就《深圳市数据产权登记管理暂行办法》（征求意见稿）公开征求意见 5.国家互联网信息办公室公布《个人信息出境标准合同办法》 行业动态 1.中国网络空间安全协会对外发布《个人信息保护自律公约》全文 2.最高检发布大数据赋能未成年人检察监督典型案例 3.国家邮政局召开局长办公会，强调将依法严厉打击泄露、买卖寄递服务用户个人信息等行为 4.湖南XX消费金融股份有限公司被罚款75万元 5.公安机关依法严厉打击网络账号黑色产业链，公布“断网”行动典型案例 6.粤康码下线部分功能并承诺删除数据 7.上海市长宁区人民法院发布第三批《互联网空间行为规范指引》 8.上海数据出境安全评估政策系列宣讲会（金融站）召开 一、立法动向 1.上海市互联网信息办公室发布《数据出境安全评估申报工作实务问答（二）》 2月1日，为更好服务上海市数据处理者开展数据出境安全评估申报工作，根据《数据出境安全评估办法》和《数据出境安全评估申报指南（第一版）》，并结合近期咨询情况及完备性查验常见问题发布了《数据出境安全评估申报工作实务问答（二）》。 【来源：网信上海】 2.《西藏自治区网络信息安全管理条例》施行 2023年2月1日，《西藏自治区网络信息安全管理条例》施行。该条例立足西藏网络安全工作实际，聚焦网络信息安全并积极回应网络信息安全领域中存在的突出问题。 条例规定，发现网络重要信息安全隐患、线索或者发生网络信息安全事件，网信部门可以向有关单位发出预警通报。有关单位应当及时采取核查处置、执法监管、积极回应等措施，并将处置情况反馈网信部门；发现违法犯罪活动线索，应当同时报告公安机关。处置重大网络信息安全事件时，网信、通信、公安、国家安全和有关单位应当密切配合，遵循依法处置、舆论引导、社会面管控三同步原则，及时采取线上线下联动处置措施。任何公民、法人和其他组织不得擅自建立或者使用非法定信道进行国际联网。 【来源：西藏自治区网信办】 3.杭州就《公共数据授权运营实施方案（试行）》公开征求意见 为加快公共数据有序开发利用，培育数据要素市场，杭州市起草了《杭州市公共数据授权运营实施方案（试行）》（征求意见稿）。上述方案提出，2023年底前，初步建立公共数据授权运营工作机制，构建授权运营综合评价体系，发布首批授权的公共数据资源目录，完成公共数据授权运营平台搭建，初步形成运营管理、产品定价、收益分配、技术标准等运作模式，实质性开展授权运营工作。2025年底前，迭代升级公共数据授权运营平台，形成20个以上有价值、可推广的数据产品和服务，发布一批典型应用案例，培育一批公共数据授权运营生态企业，促进数据要素的市场化流通。 【来源：中国新闻网】 4.深圳市发改委就《深圳市数据产权登记管理暂行办法》（征求意见稿）公开征求意见 《办法》包括总则、登记主体、登记机构、登记行为、管理与监督、法律责任、附则共七章33条。从各类相关主体、适用范围、不同权益类型、监管机制等方面整体性构建了数据产权登记管理业务体系。 《办法》明确登记主体依照法律法规和合同约定享有相应的数据资源持有权、数据加工使用权和数据产品经营权；经登记机构审核后，获取数据资源或数据产品登记证书、数据资源许可凭证，作为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁的重要依据。深圳市发改委是本市数据产权登记工作的主管部门，负责统筹协调全市数据产权登记管理工作。登记机构应当运用区块链等相关技术，对登记信息进行上链保存，并妥善保存登记的原始凭证及有关文件和资料。其保存期限不得少于30年。 《办法》还对登记机构履行数据资源和数据产品登记管理、开展登记业务、运营和维护数据产权登记存证平台等职能方面提出了要求。其中在安全、保密方面，提出登记机构应当建立保护数据传输、存储和使用安全的基础设施，加强防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设，制定数据安全事件应急预案，对重要系统和数据库进行容灾备份，定期开展数据安全等级保护测试和渗透测试，关键设备应采用自主可控的产品和服务。登记机构和第三方服务机构应当实施保密措施，制定数据分级分类登记管理实施细则，根据数据的不同级别和类别采取不同的登记管理措施。 【来源：深圳新闻网】 5.国家互联网信息办公室公布《个人信息出境标准合同办法》 2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下 简称《办法》），自2023年6月1日起施行。 《办法》规定，个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息适用本办法。明确通过订立标准合同的方式开展个人信息出境活动，应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。个人信息处理者通过订立标准 合同的方式向境外提供个人信息应当同时符合下列情形：非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个 人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。要求个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 《办法》明确，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估并明确了重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。 《办法》附件为标准合同范本，主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济，以及合同解除、违约责任、争议解决等事项，并设计了个人信息出境说明、双方约定的其他条款等两个附录。 【网信中国】二、行业动态 1.中国网络空间安全协会对外发布《个人信息保护自律公约》全文 2023年2月1日，《个人信息保护自律公约》全文公布。该公约是进一步贯彻落实习近平总书记关于网络强国的重要思想，推动《个人信息保护法》落地实施的重要行业自律性规范。由中国网络空间安全协会2022年起草制定并于同 年7月面向会员单位及广大互联网从业者组织开展签署工作，以期提升全社会各方个人信息保护意识，推动个人信息保护综合治理工作开展。截至全文公布前，共有近200家单位签署该公约。 【来源：中国网络空间安全协会】 2.最高检发布大数据赋能未成年人检察监督典型案例 2月2日，最高人民检察院发布大数据赋能未成年人检察监督典型案例。本批案例聚焦未成年人保护工作中存在的堵点、难点问题，通过精准研判和整体治理，实现从个案办理到类案监督的转变，以大数据赋能驱动未检工作提质增效。 该批典型案例共5件，分别是：河北省沧县检察院督促履行校车安全监管职责大数据监督案、浙江省湖州市检察院督促强制报告制度落实大数据监督案、浙江省金华市婺城区检察院督促事实无人抚养儿童监护大数据监督案、北京市检察院督促整治校园周边违规设置不适宜未成年人活动场所大数据监督案、贵州省贵阳市南明区检察院督促整治校园周边噪声污染大数据监督案。 以上典型案例数据分析的关键点分别在于找出不同部门所掌握校车数据之间的“差异项”，找准监管盲区，通过行政公益诉讼，督促行政机关强化校车安全管理；根据强制报告制度执行的要求在诊疗系统中发现需要强制报告的案件，进一步优化强制报告制度落地的路径，推进社会综合治理；通过数据分析找出符合保障救助条件的事实无人抚养儿童，切实保障困境儿童基本生活和合法权益；通过比对位置信息，对校园周边是否存在违规设置的不适宜未成年人活动场所开展全覆盖、动态化监督；及时确定声音是否超标、噪声污染行为是否得到行政机关的有效治理，切实保护校园正常教学秩序和学生的健康成长。 最高检第九检察厅负责人表示，2023年检察机关将继续贯彻落实党中央关于数字中国建设的重要指示精神，增强大数据战略思维，以大数据之力推进未检一体化履职和融合履职、更加主动融入其他“五大保护”，强化诉源治理，实现新时代未成年人检察工作高质量发展。 【来源：中国青年网】 3.国家邮政局召开局长办公会，强调将依法严厉打击泄露、买卖寄递服务用户个人信息等行为，健全企业信息安全保护责任制 2月6日，国家邮政局召开局长办公会，审议并原则通过国家邮政局2023年重点 工作和2023年邮政快递业更贴近民生七件实事（送审稿）、《寄递服务用户个人信息安全管理规定（送审稿）》等。 会议强调，邮政快递领域用户个人信息保护事关国家安全、公共安全和人民群众生命财产安全。修订《寄递服务用户个人信息安全管理规定》，既是贯彻落实党中央、国务院有关决策部署的实际举措，也是应对当前邮政快递领域个人信息安 全面临严峻形势的必然要求。要会同有关部门依法严厉打击泄露、买卖寄递服务用户个人信息等行为，落实好邮政管理部门监管责任，督促寄递企业加强网络安全数据安全和个人信息保护工作。要认真组织抓好规定宣贯落实，健全完善企业信息安全保护责任制，积极推进有效技术手段应用，强化个人信息安全实时监测能力，严密防范和遏制重大安全风险、事件发生。 【来源：中国邮政快递报社】 4.湖南XX消费金融股份有限公司被罚款75万元 2月9日，央行长沙中心支行网站公布的行政处罚信息公示表（长银罚决字 〔2023〕9号、10号、11号、12号、13号）显示，湖南XX消费金融股份有限公司未经同意查询个人信息。中国人民银行长沙中心支行对其处75万元罚款。 同时，此次罚单实施了“双罚制”，对机构和相关负责人同时进行处罚，合计四人对上述违法违规行为负有责任，分别被国人民银行长沙中心支行罚款7万元、7万元、8万元、8万元。 【来源：中国经济网】 5.公安机关依法严厉打击网络账号黑色产业链，公布“断网”行动典型案例 近年来，电信网络诈骗、跨境网络赌博、网络水军等突出网络违法犯罪高发，滋生出由卡商、号商、“猫池”窝点、接码平台、养号平台等构成的网络账号黑色产业链，严重危害互联网管理秩序，损害人民群众合法权益。公安机关充分发挥职能作用，强化案件侦办，依法严厉打击网络账号黑色产业链。2022年以来，公安部部署全国公安机关深入推进“断号”行动，取得显著成效，共侦办案件1.1 万余起，关停接码平台130余个，捣毁“猫池”窝点800余个，缴获“猫池”、 GOIP等黑产设备1万余台，查扣手机黑卡240余万张，查获网络黑账号4200余 万个。公安部于今年2月15日公布了2022年“断号”行动十大典型案例。 【来源：中国日报】 6.粤康码下线部分功能并承诺删除数据 2月14日，广东省健康码“粤康码”发布公告称，其老幼助查、健康申报、防疫工 作台等服务入口将于今年2月16日11时起关闭，同时承诺其将按照有关法律法 规规定，彻底删除、销毁服务相关所有数据。不过，核酸检测和新冠疫苗信息查询等功能不受影响。 目前我国31个省（自治区、直辖市）（除港、澳、台）健康码均可正常使用，不过关于健康码数据的存储、删除等问题的规定存在较大差别，尽管粤康码尚未正式下线，但此次部分服务的停止，依旧打破了全国范围内在健康码去向问题中的沉默。 【来源：光明网、财经E法】 7.上海市长宁区人民法院发布第三批《互联网空间行为规范指引》 2023年2月15日，上海市长宁区人民法院发布第三批《互联网空间行为规范指引》，指引聚焦