数据合规热点速递8月刊（下）

2022年8月刊（下） 植德<数据合规热点速递> （自2022年8月16日至2022年8月30日） —植德律师事务所— 北京| 目录 立法动向5 行业动态8 导读 立法动向 1.《网络安全标准实践指南——健康码防伪技术指南（征求意见稿）》公开征求意见 2.国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》 3.上海市经济和信息化委员会发布《上海市信息基础设施管理办法（草案）》 4.《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》公开征求意见 5.上海市交通委员会发布《上海市智能网联汽车示范运营实施细则(试行)（征求意见稿）》 6.“两高一部”联合发布信息网络犯罪案件适用刑事诉讼程序意见行业动态 1.阿根廷地方司法机构遭勒索软件攻击：IT系统全部关闭，被迫纸笔办公 2.中央网信办：已有20余家拟赴国外上市企业申报网络安全审查 3.杭州互联网法院：个人信息保护十大典型案例 4.中国加入《数字经济伙伴关系协定》工作组正式成立 5.上海首例非法控制手机系统案：强行广告“霸屏”，有人已被刑拘 6.郑州数据交易中心揭牌运营 7.Twitter前安全主管指控：Twitter在隐私、安全和内容审查方面存在缺陷 8.D公司等11家网约车平台公司被约谈 9.工信部《APP用户权益保护测评规范》等55项行业标准报批稿公布 10.因涉嫌未经同意收集人脸信息，Snap以2.4亿元达成和解 11.《广东省企业首席数据官建设指南》发布：数据治理、数字增值、数据安全 12.上海召开数据分类分级、制定重要数据目录试点工作会议 13.工信部通报47款侵害用户权益APP和SDK 14.XXX接受三地消协整改建议，对确认违规APP永不上架 一、立法动向 1.《网络安全标准实践指南——健康码防伪技术指南（征求意见稿）》公开征求意见 为指导健康码技术提供方提升健康码技术防伪能力，全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——健康码防伪技术指南（征求意见稿）》。 本《实践指南》依据有关政策法规要求，支撑做好疫情防控工作，防止健康码伪造安全风险，对健康码防伪提供技术指南。当前，现场健康码伪造事件时有发生，特别是违法违规的伪造工具为动态清零工作带来困难，本《实践指南》绕现场扫码这一最常见场景，提出技术建议，为提升健康码技术防伪能力、提高整体安全水平提供参考。征求意见的截止日期为2022年8月30日。 【来源：全国信息安全标准化技术委员会】 2.国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》 为进一步规范医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展，加快推动卫生健康行业高质量发展进程，国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》。 《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求，体现了统筹安全与发展的总体平衡，与此前出台的一系列政策法规一脉相承，为医疗卫生机构指明了网络安全管理的总方向，主要体现在以下四个方面： （一）强调一个周期。《办法》全文贯穿了全生命周期管理的主导思想；（二）突出两个要点。《办法》强调医疗卫生机构安全管理应围绕顶层设计和制度保障两个要点着力推进；（三）融合三位一体。《办法》要求建立网络安全管理制度体系，加强网络安全防护，通过管理和技术手段保障数据安全和数据应用的有效平衡；（四）构建四个体系。《办法》指出要建立防护、监测、处置、保障四个体系协同的综合防控格局。 【来源：国家卫生健康委】 3.上海市经济和信息化委员会发布《上海市信息基础设施管理办法（草案）》 8月22日，上海市经济和信息化委员会发布了《上海市信息基础设施管理办法（草案）》。 《办法（草案）》共五章三十六条，包括总则、信息基础设施的发展、信息基础设施的管理、法律责任和附则。主要内容如下：（一）明确各方责任，共同提升信息基础 设施能级；（二）强调规划先行，促进信息基础设施协调发展；（三）立足融合发展，规范信息基础设施的管理。征求意见截止日期为2022年9月22日。 【来源：上海市经济和信息化委员会】 4.《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》公开征求意见 8月23日，为规范公路水路关键信息基础设施安全保护管理，落实关键信息基础设施安全保护工作责任，交通运输部发布了《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》。 《管理办法》共6章48条，第一章为总则；第二章为公路水路关键信息基础设施认定；第三章为运营者责任和义务；第四章为保障和监督管理；第五章为法律责任；第六章为附则。意见反馈截止时间为2022年9月26日。 【来源：交通运输部】 5.上海市交通委员会发布《上海市智能网联汽车示范运营实施细则(试行)（征求意见稿）》 为贯彻落实《上海市智能网联汽车测试与应用管理办法》（沪府令60号），加快上海城市数字化转型和智能交通创新发展，促进智能网联汽车技术迭代升级，规范上海市智能网联汽车示范运营活动，上海市交通委员会会同相关部门编制形成了《上海市智能网联汽车示范运营实施细则(试行)（征求意见稿）》。 《实施细则》共五章二十五条，包括总则、管理机构及职责、示范运营申请与确认、示范运营管理、附则等内容，充分衔接了现有智能网联汽车道路测试与示范应用管理体系，为企业开展示范运营活动提供了操作指引。《实施细则》适用于上海市行政区域政策允许范围内的各等级公路（包括高速公路）、城市道路（包括城市快速路）以及特定区域道路的示范主体开展高等级智能网联汽车载客、载货及特定场景作业活动。意见反馈截止时间为2022年8月31日。 【来源：上海市交通委员会】 6.“两高一部”联合发布信息网络犯罪案件适用刑事诉讼程序意见 8月30日，最高人民法院、最高人民检察院、公安部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》。 《意见》坚持以习近平新时代中国特色社会主义思想为指导，深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想，深化信息网络犯罪治理工作，进一步规 范信息网络犯罪案件的办理程序，为推进网络强国建设提供有力司法保障。《意见》主要内容如下：一是进一步规范信息网络犯罪案件的管辖；二是进一步规范信息网络犯罪案件的取证；三是进一步规范信息网络犯罪案件的证据审查；四是进一步规范信息网络犯罪案件涉案财物处理。 下一步，“两高一部”将指导地方各级人民法院、人民检察院、公安机关，准确执行刑法、刑事诉讼法和《意见》的有关规定，严格规范案件办理程序，依法惩治信息网络犯罪，有效维护清朗网络空间，切实保障人民群众合法权益。 【来源：最高人民法院】 二、行业动态 1.阿根廷地方司法机构遭勒索软件攻击：IT系统全部关闭，被迫纸笔办公 据安全内参8月16日消息，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。这次攻击发生在上周六（8月13日），迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。据阿根廷新闻媒体Cadena3发布的“网络攻击应急计划”显示，科尔多瓦司法机构证实曾遭受勒索软件攻击，并已经与微软、思科、趋势科技及当地专家共同开展事件调查。 阿根廷新闻媒体Clarín也提到，有消息人士称，此次攻击影响到司法机构的IT 系统及数据库，这是该国“历史上针对公共机构的最严重攻击活动”。 【来源：安全内参】 2.中央网信办：已有20余家拟赴国外上市企业申报网络安全审查 8月19日上午，中宣部举行“中国这十年”系列主题新闻发布会，介绍新时代网络强国建设成就。中央网信办网络安全协调局局长孙蔚敏表示，《网络安全审查办法》自今年2月15日修订施行以来，截至目前，已有20余家拟赴国外上市企业向国家网络安全审查办公室进行了申报。 孙蔚敏介绍，落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求，国家互联网信息办公室联合相关部门修订了《网络安全审查办法》。新修订的《网络安全审查办法》将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查，明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向审查办公室申报审查。 关于审查的重点，《网络安全审查办法》第十条明确规定，对网络平台运营者赴国外上市审查时，重点评估企业上市可能带来的核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险等因素。 【来源：央视新闻】 3.杭州互联网法院：个人信息保护十大典型案例 案例一：民法典实施后全国首例个人信息保护民事公益诉讼案——杭州市上城区人民检察院诉孙某非法买卖个人信息民事公益诉讼案（杭州互联网法院 （2020）浙0192民初10605号）； 案例二：儿童个人信息的司法保护——杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案（杭州互联网法院（2020）浙0192民初10993号）； 案例三：手机APP收集、使用用户个人信息的限度——杭州市余杭区人民检察院诉某网络科技有限公司个人信息民事公益诉讼案（杭州互联网法院（2020）浙0192民初4252号）； 案例四：银行处理个人征信信息是否侵害个人信息权益——王某诉某银行股份有限公司个人信息保护纠纷案（杭州互联网法院（2021）浙0192民初5426号）； 案例五：组织搭建平台买卖个人信息的赔偿标准认定——杭州市拱墅区人民检察院与邓某、肖某某未成年人保护、个人信息保护民事公益诉讼案（杭州互联网法院（2021）浙0192民初9214号）； 案例六：电子公交卡场景下的个人信息权益保护与利用——黄某某诉某信用管理有限公司个人信息保护纠纷案（杭州互联网法院（2021）浙0192民初8058号）； 案例七：网购平台向内嵌支付机构提供用户个人信息的合法性认定——吴某某诉上海某信息服务有限公司等违规提供用户个人信息保护纠纷案（一审：杭州互联网法院（2021）浙0192民初2929号；二审：杭州中院（2021）浙01民终12780号）； 案例八：购物类APP自动化推荐应用的合法性基础判定——郭某某诉某网络有限公司个人信息保护纠纷案（杭州互联网法院（2021）浙0192民初5626号）； 案例九：个人信息权利请求权诉权行使的前置条件——杜某诉某网络公司个人信息保护纠纷案（杭州互联网法院（2022）浙0192民初4330号）； 案例十：个人征信信息商业使用合法性的判定——徐某与被告某信用管理有限公司隐私权纠纷案（杭州互联网法院（2018）浙0192民初302号）。 【来源：杭州互联网法院】 4.中国加入《数字经济伙伴关系协定》工作组正式成立 2022年8月18日，根据《数字经济伙伴关系协定》（DEPA）联合委员会的决定，中国加入DEPA工作组正式成立，全面推进中国加入DEPA的谈判。 2021年10月30日，中国国家主席习近平在出席二十国集团领导人第十六次峰会时宣布，中国已经决定申请加入DEPA，随后两天，中国正式提出加入申请。在推进加入进程中，中国与DEPA成员国新西兰、新加坡、智利在各层级开展对话，举行了十余次部级层面的专门会谈、两次首席谈判代表会议、四次技术层非正式磋商，深入阐释中国数字领域法律法规和监管实践，全面展现中国在DEPA框架下与各方开展数字经济领域合作的前景。DEPA成员国欢迎中国提出加入申请，赞赏中国为加入DEPA所做努力，作出了成立中国加入DEPA工作组的决定。 下一步，中国将与成员国在中国加入DEPA工作组框架下深入开展加入谈判，努力推进中国加入进程，力争尽早正式加入DEPA，为与各成员加强数字经济领域合作、促进创新和可持续发展作出贡献。 DEPA由新西兰、新加坡、智利于2019年5月发起、2020年6月