数据合规热点速递1月刊

2023年1月刊 植德<数据合规热点速递> （自2023年1月1日至2023年1月31日） —植德律师事务所— 北京| 目录 立法动向5 行业动态9 导读 立法动向 1.《上海市公共数据开放实施细则》发布 2.《四川省数据条例》获表决通过 3.中国广告协会、中国通信标准化协会发布《移动互联网应用程序广告行为规范》等5项团体标准 4.全国信安标委发布《关于下达7项网络安全推荐性国家标准计划的通知》 5.《网络安全标准实践指南—车外画面局部轮廓化处理效果验证》公开征求意见 6.浙江省网信办发布《数据出境安全评估申报材料指引》 7.银保监会发布《银行保险监管统计管理办法》加强数据安全保护 行业动态 1.全国首个获批数据出境安全评估案例落地北京 2.北京市通管局通报29款存在隐私合规和网络数据安全问题的App 3.江苏省通信管理局通报未完成整改的侵害用户权益行为的App 4.湖北省通信管理局发布关于通信网络安全防护管理情况的通报（2023年第1批） 5.工信部公布2023年十三个方面重点任务，涉及数字化转型、个人信息保护、网络与数据安全 6.北京市目录链2.0上线，全国首个超大城市区块链基础设施再升级 7.最高检发布涉案企业合规典型案例（第四批） 8.某网约车APP经报网络安全审查办公室同意恢复新用户注册 一、立法动向 1.《上海市公共数据开放实施细则》发布 为贯彻落实《上海市数据条例》《上海市公共数据开放暂行办法》，促进公共数据更深层次、更高水平开放，支撑上海城市数字化转型，上海市经济和信息化委员会与上海市互联网信息办公室于2022年12月31日印发了《上海市公共数据开放实施细则》。 【来源：上海经信委】 2.《四川省数据条例》获表决通过 近日，四川省十三届人大常委会第三十八次会议表决通过《四川省数据条例》 （以下简称条例）。条例共有八章七十条，包括总则、数据资源、数据流通、数据应用、数据安全、区域合作、法律责任和附则，自2023年1月1日起实施。 数据是数字经济时代关键的生产要素，也是推动经济社会高质量发展的重要引擎。此法规的出台实施将有序推进四川数据资源利用，聚焦激活新要素、推进新治理、营造新生态，保障数据安全，加快建设网络强省、数字四川、智慧社会，保持四川在国家大数据战略实施中的先导性和主动性。 【来源：网信四川】 3.中国广告协会、中国通信标准化协会发布《移动互联网应用程序广告行为规范》等5项团体标准 2023年1月3日，中国广告协会、中国通信标准化协会发布以下5项团体标准， 并将于2023年1月6日起实施：《移动互联网应用程序广告行为规范》《互联网广告发布审核规程》《互联网广告匿名化实施指南》《互联网广告受众测量技术要求》及《互联网广告场景下IP地址地理信息技术要求》。 【来源：中国广告协会】 4.全国信安标委发布《关于下达7项网络安全推荐性国家标准计划的通知》 1月5日，国家标准化管理委员会下达了2022年第三批推荐性国家标准计划、 2022年第四批推荐性国家标准计划；其中由全国信安标委归口的标准项目共计 7项。针对该7项标准，全国信安标委发布了《关于下达7项网络安全推荐性国家标准计划的通知》（以下简称“《通知》”），并列举标准计划如下： 《信息安全网络安全和隐私保护信息技术安全评估准则第1部分：简介和一般模型》 《信息安全网络安全和隐私保护信息技术安全评估准则第2部分：安全功能组件》 《信息安全网络安全和隐私保护信息技术安全评估准则第3部分：安全保障组件》 《信息安全网络安全和隐私保护信息技术安全评估准则第4部分：评估方法和活动的规范框架》 《信息安全网络安全和隐私保护信息技术安全评估准则第5部分：预定义的安全要求包》 《IPv6地址分配和编码规则接口标识符》 《信息安全技术网络安全服务能力要求》 【来源：全国信息安全标准化技术委员会】 5.《网络安全标准实践指南—车外画面局部轮廓化处理效果验证》公开征求意见 1月6日，为指导汽车数据处理者规范开展车外画面数据收集，验证车外画面人脸、车牌局部轮廓化处理效果，信安标委秘书处组织编制了《网络安全标准实践指南—车外画面局部轮廓化处理效果验证（征求意见稿）》。 根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南—车外画面局部轮廓化处理效果验证（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2023年1月20日前反馈至秘书处。 【来源：信安标委秘书处】 6.浙江省网信办发布《数据出境安全评估申报材料指引》 2023年1月6日，浙江省网信办编制并发布《浙江省数据出境安全评估申报材料指引》（以下简称“《申报指引》”），指引数据处理者提高申报材料的完整性、准确性、一致性： 完整性要求 1.材料齐全 根据《申报指南》要求的安全评估工作需要的其他材料包括以下内容：统一社会信用代码证件影印件（影印件加盖公章）；法定代表人身份证件影印件（影印件加盖公章）；经办人身份证件影印件（影印件加盖公章）；经办人授权委托书 （原件）；数据出境安全评估申报书（原件）；与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件（影印件加盖公章）；数据出境风险自评估报告（原件）；其他相关证明材料（影印件加盖公章）。 2.内容完整 申报材料中的《数据出境安全评估申报书》和《数据出境风险自评估报告》严格按照《申报指南》要求，材料内容要求完整。 准确性要求 准确性要求包括5项：内容真实、填写准确、时间有效、译本准确，以及第三 方机构要求。其中，时间有效自评估工作为申报之日前3个月内完成，且至申报之日未发生重大变化；第三方机构要求主要指申报材料中自评估报告涉及第三方机构参与出具的，须在自评估报告中说明第三方机构的基本情况及参与评估工作的具体情况，并加盖第三方机构公章。 一致性要求 一致性要求包括在格式、内容、表述与顺序4个方面与《申报指南》中的对应模板中的内容严格保持一致。另外，表述一致要求申报材料的申报书、自评估报告、法律文件以及安全评估工作需要的其他材料等各个材料中关于数据处理者单位名称、境外接收方名称、数据出境业务名称、法律文件名称等各项表述要求严格保持一致。 《数据出境安全评估办法》于2022年9月1日正式实施，浙江省网信办随即于 9月8日正式开通数据出境安全评估咨询和申报通道。 【来源：网信浙江】 7.银保监会发布《银行保险监管统计管理办法》加强数据安全保护 近日，中国银保监会发布《银行保险监管统计管理办法》。《办法》指出，明确 归口管理要求，明确数据质量责任，强调数据安全保护，对接数据治理要求，重视数据价值实现。该《办法》自2023年2月1日起施行。 业内认为，《办法》在监管统计数量责任、归口管理部门和质量责任认定、相关概念界定、内容框架、职责要求、工作机制、处罚措施等方面都有了更明确的要求。对于提升银行保险监管统计质量、落实《中华人民共和国数据安全法》都有重要意义。 根据《中华人民共和国数据安全法》相关规定，《办法》在职责范围、统计资料管理制度、监督检查中增加了涉及数据安全保护的监管内容，明确提出监管统计工作有关保密要求。 《办法》要求，银保监会归口管理部门应组织开展监管统计数据安全保护相关工作，相关部门配合归口管理部门落实监管统计数据安全保护相关工作；银行保险法人机构应明确并授权归口管理部门落实监管统计数据安全保护等相关工作职责。 《办法》指出，银行保险机构应加强监管统计资料的存储管理，建立全面、严密的管理流程和归档机制，保证监管统计资料的完整性、连续性、安全性和可追溯性。银行保险机构向境外机构、组织或个人提供境内采集、存储的监管统计资料，应遵守国家有关法律法规及行业相关规定。此外，《办法》还将银行保险机构统计信息安全性情况纳入监督检查范围。 金融数据是关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据。有业内人士建议，金融机构可以建立监管数据责任体系，明确监管数据的业务主管方和协管方，实现监管数据质量责任的进一步细分认定。 【来源：新华网】 二、行业动态 1.全国首个获批数据出境安全评估案例落地北京 1月18日消息，为贯彻落实国家数据出境安全评估制度，促进北京市数据跨境安全、自由流动，北京市互联网信息办公室在国家互联网信息办公室的指导下，积极开展数据出境安全评估申报受理工作，以开通咨询热线、组织政策解读、推动试点案例为抓手，指导本市企事业单位按照规范路径开展评估申报，取得数据合规出境重要突破。 自2022年9月1日《数据出境安全评估办法》实施以来，北京市互联网信息办公室率先开通全国首个地方申报受理咨询专线。截至目前，已解答咨询电话700余通，服务数据出境需求主体270余家，组织指导我市社交媒体、医疗、金融、汽车、民航等重点领域16家单位递交正式申报，10家单位申报材料通过完备性查验，2家单位通过数据出境安全评估。其中首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例，该项目的审批通过，标志着国家数据出境安全评估制度在北京市率先落地，为强化医疗健康数据出境安全管理，促进国际医疗研究合作提供了实践指引。近日，北京市申报的中国国际航空股份有限公司项目作为全国第二例也成功获批通过，为本市进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径，对提升本市数据安全合规管理水平、优化营商环境具有重要意义。 后续，北京市互联网信息办公室将进一步加强数据出境安全评估的申报指导，积极推动属地企事业单位及时、规范、有序开展评估申报工作。同时，依据 《数据出境安全评估办法》第二十条规定，提示本市已开展数据出境活动但尚不符合规定要求的数据处理者，应尽快组织整改，严格按照《数据出境安全评估申报指南（第一版）》模板规范要求（模板附后）准备评估申报材料，并及时向北京市互联网信息办公室报送。11月1日，《个人信息保护法》施行一周年之际，广东省高级人民法院发布一批个人信息保护典型案例，其中包括2个刑事、4个民事案件，涵盖严厉打击侵犯公民个人信息犯罪、防止个人信息“过度收集”、保障行使个人信息查阅复制权、规范网络平台依法使用个人信息等内容，反映了广东法院充分发挥审判职能作用，全面依法保护个人信息权益、规范个人信息处理，维护网络空间良好生态、促进数字经济健康发展的司法实践。 【来源：网信北京】 2.北京市通管局通报29款存在隐私合规和网络数据安全问题的App 近日，北京市通信管理局在开展App隐私合规和网络数据安全专项整治过程中，对存在侵害用户权益和安全隐患等问题的29款App作出通报。 其中，21款App存在不同类型问题需整改。通报要求相关App运营企业立即整改，并于1月18日前提交整改报告，逾期不整改或整改不到位的，将依法依规予以处置。8款App因之前问题整改不到位，北京市通信管理局拟通知应用商店予以下架处置。 从通报名单来看，21款App存在未经用户同意收集使用个人信息、违规向他人提供个人信息、未对敏感用户数据进行加密、强制用户使用定向推送以及未明示收集使用个人信息的目的、方式和范围等不同类型问题而被通报整改；8款将被下架处置的App则涉及账号注销难、未经用户同意收集使用个人信息、违法必要原则等问题。 【来源：北京市通管局】 3.江苏省通信管理局通报未完成整改的侵害用户权益行为的App 2023年1月10日，江苏省通信管理局组织第三方检测机构对本省App隐私合规和数据安全开展检查。经检测发现19款App存在侵害用户权益和安全隐患问题，江苏省通信管理局发出《关于通报APP安全问题的通知》责令App运营者限期整改。截至目前，尚有2款App未完成整改，主要涉及违规收集个人信息，App强制、频繁、过度索取权限的问题，现予以公开通报。被通报的App应在1月20日前完成整改及反馈工作；逾期未整改、未反馈结果，或整改不到位的，江苏省通信管理局将依法依规采取下架等处理措施。