数据合规时事速递
AI智能总结
数据合规时事速递 NEWSLETTERS 2022年12月17日 2022年第十一期/总第四十五期 精彩导读 新规速递/《中华人民共和国反电信网络诈骗法》正式实施 监管动态/中央网信办开展“清朗·移动互联网应 用程序领域乱象整治”专项行动工作 相关新闻/上海数据交易所发布《数据要素流通标 准化白皮书》 环球解读/数据合规领域认证制度观察(上):察 今以知古——我国数据合规认证制度的形成与发展 前言 随着《网络安全法》、《数据安全法》、 《个人信息保护法》及相关配套法律法规等文件的出台,中国正日益加强对个人信息安全的保护和对网络安全监管。我国对个人信息保护和网络数据安全越来越重视,监管趋势也越来越严。 环球律师事务所数据合规团队收集了国内外最新出台的重要法律法规、市场监管动向以及相关处罚案例,旨在为本期刊的读者提供最实时的法律动态,帮助读者第一时间了解网络治理、信息安全相关信息。 环球律师事务所数据合规团队专注于网络安全与数据合规、个人信息隐私保护等领域。我们在企业数据合规体系建设等方面具备丰富的经验,为多家大型互联网公司、全球企业提供法律服务。 2 我们为客户提供在网络安全与数据合规、个人信息隐私保护、跨境数据传输、电子商务与广告法领域的法律咨询及相关方案设计,帮助客户迎接数据时代的机遇 孟洁|合伙人律师直线:86-10-6584-6768总机:86-10-6584-6688 邮箱:mengjie@glo.com.cn 许国盛|资深顾问 直线:86-010-6584-9306手机:86-185-1085-6288 邮箱:xuguosheng@glo.com.cn 孟洁律师为环球律师事务所常驻北京的合伙人,主要执业领域为网络安全、个人信息保护、互联网、电商合规、反腐败反商业贿赂合规。孟律师曾在诺基亚等世界五百强跨国公司和知名律师事务所工作超过十余年,担任知名人工智能独角兽公司总法律顾问、DPO。孟洁律师曾经及目前服务于大型跨国公司及知名互联网企业、车企、IoT、电信、云服务、AI、金融、医疗领域企业进行境内/境外的数据合规体系建设与数据合规专项,总结出不少可落地的实操方法论,颇受客户好评。 她被ChinaBusinessLawJournal评为“2022年度律师新星”;荣登钱伯斯大中华区2022年法律指南“数据隐私保护”榜单、“科技、媒体、电信”榜单;被Legal500评为2020年“TMT领域特别推荐律师”;2021年“TMT领域领军人物”、“数据保护领域领军人物”、“Fintech领域头部律师”,被LEGALBAND评为“2022年度顶级律师排行榜:网络安全与数据合规”、“2021年中国律师特别推荐榜:消费与零售”、“2021年中国律师特别推荐榜:汽车与新能源”、“网络安全与数据合规特别推荐15强”、“2020年度LEGALBAND中国律师特别推荐榜15强:网络安全与数据合规”,被北京市律协评为全国千名涉外专家律师。在各大期刊、公号发表过数百篇专业文章、著作,例如有《SDK安全与合规白皮书》,《个性化展示安全与合规报告》、《Cookie合规指引报告(2021)》、《国内外标准兼容下的个人信息合规体系构建》等。 许国盛律师在金融服务与电信领域与合规官以及企业高管有丰富的合作经验。作为迪堡与诺基亚中国的前区域合规总监,许律师在数据保护规制以及中国监管事项方面有着多年经验。除此之外,他也经常协助跨国企业进行敏感的内部调查、监管检查、数据完整性问题检查以及应对政府执法。许律师曾负责管理整合来自不同国家的合规项目,并熟悉美国、欧盟以及亚洲国家的复杂法律法规。 许律师对如何运行合规项目有着极其深入的了解。在环球,许律师曾为客户的海外扩张提供数据合规方面的建议,包括国际数据隐私政策的本地化,员工或客户数据出境和共享,以及数据泄露的管理与向监管机构的自我报告等。许律师亦是《全球化与隐私保护指南(2020)》以及《GB/T35273与ISO/IEC27701比较报告(2020)》的合著者。 3 本团队专门致力于为客户提供全面且专业的法律服务,包括以下业务领域: 网络安全与数据合规 个人信息保护 互联网与电商合规 反腐败/反商业贿赂合规 目录 一、新规速递7 1.《中华人民共和国反电信网络诈骗法》正式施行8 2.国家网信办等三部门联合发布《互联网信息服务深度合成管理规定》9 3.工信部发布《工业和信息化领域数据安全管理办法(试行)》 ...............................................................................................................10 4.国家能源局印发《电力行业网络安全管理办法》及《电力行业网络安全等级保护管理办法》11 5.信安标委就国标《工业互联网企业网络安全第4部分:数据防护要求》公开征求意见12 6.中国银保监会、国家网信办等四部门联合印发《关于规范“银行”字样使用有关事项的通知》13 7.上海人大发布《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》13 8.江西人大就《江西省数据应用条例(草案)》公开征求意见14 9.四川人大表决通过《四川省数据条例》15 10.欧洲理事会通过关于欧洲数字身份框架和人工智能法案的共同立场16 11.澳大利亚《2022年隐私立法修正案法案》正式生效17 4 二、监管动态18 1.中央网信办开展“清朗·移动互联网应用程序领域乱象整治”专项行动工作19 2.海南网信办通报23款违法违规收集个人信息的小程序19 3.广东省通管局通报下架11款侵害用户权益APP20 4.四川和重庆通管局联合通报侵害用户权益的APP20 5.安徽省通管局通报15款未完成整改的问题APP21 6.北京农商银行因数据漏报被罚款630万元21 7.欧盟启动通过欧盟-美国数据隐私框架充分性决定的程序22 8.爱尔兰数据保护局对META处以2.65亿欧元罚款23 9.葡萄牙数据保护局对国家统计局处以430万欧元罚款23 三、相关新闻25 1.上海数据交易所发布《数据要素流通标准化白皮书》26 2.最高法发布双语版关于规范和加强人工智能司法应用的意见27 3.最高检公布5件依法惩治侵犯公民个人信息犯罪典型案例27 4.全国多地网信办发布开展2022年度汽车数据安全管理情况报送工作的通知29 5.北京市通管局公布2022年车联网网络安全定级审核结果33 6.国家中医药管理局印发“十四五”中医药信息化发展规划34 7.三大运营商将删除通信行程卡用户数据34 8.美国国家安全局发布2022年网络安全年度回顾35 9.英国信息专员办公室推出在线直接营销指导中心36 5 10.亚马逊和欧盟委员会达成反垄断和解协议37 四、环球解读38 1.数据合规领域认证制度观察(上):察今以知古——我国数据合规认证制度的形成与发展39 2.企业员工个人信息保护一般合规思路40 6 一、新规速递 7 新规速递 1.《中华人民共和国反电信网络诈骗法》正式施行 《中华人民共和国反电信网络诈骗法》(下称《反电信网络诈骗法》)已由中华人民共和国第十三届全国人民代表大会常务委员会第三十六次会议于2022年9月2日通过,自12月1日起施行。《反电信网络诈骗法》共七章五十条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任及附则,立足各环节、全链条防范治理电信网络诈骗。 电信网络诈骗,是指以非法占有为目的,利用电信网络技术手段,通过远程、非接触等方式,诈骗公私财物的行为。该法针对电信网络诈骗的各环节进行了针对性制度设计,特别是要求电信企业、银行、支付机构、互联网企业等在反诈工作中要承担风险防控责任,建立内部控制制度和安全责任制度。 电信企业应当落实电话用户真实身份信息登记制度,要对涉诈异常电话卡、物联网卡异常使用、改号电话等情况进行监测处置。银行业金融机构要履行反洗钱、反诈职责,建立客户尽职调查制度,对涉诈异常账户、可疑交易等进行监测处置。互联网企业应当要求用户提供真实身份信息,要对涉诈互联网账号、利用相关网络服务为涉诈活动提供支持帮助的进行监测处置。 电信企业、银行机构、互联网企业还应当开展监督检查,加强个人信息保护,开展反电信网络诈骗宣传,研究开发网络诈骗反制技术,对于涉诈异常的账户账号进行网络身份认证。1 《中华人民共和国反电信网络诈骗法》全文请参见: http://www.gov.cn/xinwen/2022-09/02/content_5708119.htm 1中国人民政府官网、安全内参。 8 2.国家网信办等三部门发布《互联网信息服务深度合成管理规定》 近日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(下称《规定》),自2023 年1月10日起施行。《规定》共五章、二十五条,旨在防范化解深度合成技术带来的安全风险,促进深度合成服务健康发展,提升深度合成监管能力水平。 《规定》的适用范围为在中华人民共和国境内应用深度合成技术提供互联网信息服务。国家和地方网信部门统筹协调深度合成服务的治理和相关监督管理职责,国务院电信主管部门、公安部门以及地方相关部门的监督管理职责。 《规定》强调不得利用深度合成服务从事法律法规禁止的活动。要求深度合成服务提供者落实信息安全主体责任,建立健全管理制度和技术保障措施,制定公开管理规则、平台公约,对使用者进行真实身份信息认证,加强深度合成内容管理,建立健全辟谣机制和申诉、投诉、举报机制。 《规定》要求深度合成服务提供者和技术支持者加强训练数据管理和技术管理,保障数据安全,不得非法处理个人信息,定期审核、评估、验证算法机制机理。深度合成服务提供者对使用其服务生成或编辑的信息内容,应当添加不影响使用的标识。提供智能对话、合成人声、人脸生成、沉浸式拟真场景等生成或者显著改变信息内容功能的服务的,应当进行显著标识,避免公众混淆或者误认。 《规定》明确了具有舆论属性或者社会动员能力的深度合成服务提供者、技术支持者应当履行备案和变更、注销备案手续。上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当开展安全评估。深度合成服务提供者、技术支持者应当依法配合有关主管部门开展的监督检查。发现存在较大信息安全风险的,主管部门可以依法要求其采取暂停信息更新、用户账号注册或者等措施。2 2国家网信办官网。 9 《互联网信息服务深度合成管理规定》全文请参见: http://www.cac.gov.cn/2022-12/11/c_1672221949318230.htm 3.工信部发布《工业和信息化领域数据安全管理办法(试行)》 12月13日,工信部发布《工业和信息化领域数据安全管理办法 (试行)》(下称《办法》),旨在规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。《办法》共分为八章四十二条。主要的内容如下: 《办法》的总则部分界定了工业和信息化领域数据包括工业数据、电信数据和无线电数据,工业和信息化领域数据处理者主要包括工业数据处理者、电信数据处理者及无线电数据处理者。同时明确了“工信部+地方行业监管部门”的两级监管机制。 《办法》确定了数据分级分类管理、重要数据识别与备案的相关要求。对于重要数据处理者,在履行一般数据处理者安全保护义务的基础上,还应落实数据识别备案、加强内部管理、组织常态化检测预警与应急处置、定期实施风险评估等保护义务。 《办法》围绕数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期环节,针对不同级别的数据,细化了相应的安全管理和技术保护要求。同时进一步明确了工业与信息化领域数据处理者在不同环节场景中应当履行的责任。 《办法》要求建立“部-省-企业”的三级联动协同的数据安全监测预警、数据安全应急处置、风险信息报
