国务院办公厅:将制定《关键信息基础设施安全保护条例》等多部网络安全领域相关法规

2020年7月8日,国务院办公厅发布《国务院2020年立法工作计划》,其中包括多部网络安全领域相关法规,包括提请全国人大常委会制定《未成年人网络保护条例》、《关键信息基础设施安全保护条例》等。

http://www.gov.cn/zhengce/content/2020-07/08/content_5525117.htm

最高法、国家发改委发布意见:加强数据权利和个人信息安全保护

2020年7月20日,最高人民法院和国家发展和改革委员会发布了《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》(" 《意见》")。

《意见》强调应加强数据权利和个人信息安全保护。尊重社会主义市场经济规律及数据相关产业发展实践,依法保护数据收集、使用、交易以及由此产生的智力成果,完善数据保护法律制度,妥善审理与数据有关的各类纠纷案件,促进大数据与其他新技术、新领域、新业态深度融合,服务数据要素市场创新发展。贯彻落实民法典人格权编关于人格利益保护的规定,完善对自然人生物性、社会性数据等个人信息权益的司法保障机制,把握好信息技术发展与个人信息保护的边界,平衡好个人信息与公共利益的关系。

http://www.court.gov.cn/fabu-xiangqing-242911.html

深圳经济特区数据条例(征求意见稿)发布,首次提出"数据权"概念

2020年7月15日,深圳市司法局发布《深圳经济特区数据条例(征求意见稿)》("《条例》草案"),向社会各界征求意见。

《条例》草案首次提出数据权概念,表述为"数据是关于客体(如事实、事件、事物、过程或思想)的描述和归纳,是可以通过自动化等手段处理或再解释的素材。自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。"

《条例》草案对个人数据和公共数据的数据权归属进行了规定。根据《条例》草案,自然人对其个人数据依法享有数据权,任何组织或者个人不得侵犯。公共数据属于新型国有资产,其数据权归国家所有。深圳市政府代为行使区域内公共数据的数据权,授权市数据统筹部门制定公共数据资产管理办法并组织实施。

《条例》草案规定,个人数据包括个人信息数据和隐私数据。个人信息数据是指通过自动化等手段记录的能够单独或者与其他数据结合识别自然人个人身份的数据;隐私数据是指与自然人私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息密切相关的数据及其衍生数据。

http://sf.sz.gov.cn/xxgk/xxgkml/gsgg/content/post_7892072.html

工信部要求严查"3·15"晚会曝光的信息通信领域违规行为

2020年7月16日,中央广播电视总台央视3·15晚会报道曝光了手机第三方SDK插件收集用户个人信息的乱象。据报道,技术人员检测了50多款手机软件,这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺有限公司两家公司的SDK插件,均存在用户不知情情况下偷偷窃取用户信息的情况。

针对以上两家公司的SDK引发的违法收集使用个人信息的行为,工业和信息化部第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。

  1. 一是立即组织北京市、上海市通信管理局对涉事两家SDK企业,北京招彩旺旺信息技术有限公司和上海氪信信息技术有限公司进行核查处理。
  2. 二是立即组织第三方检测机构对曝光使用上述两家SDK的50余款APP进行技术检测,对存在问题的APP第一时间启动下架程序。
  3. 三是立即启动应用商店联动处置机制,责成阿里、腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店,第一时间对类似问题进行"地毯式"排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。

下一步,工信部将采取常态化监管措施,加强移动互联网应用程序APP综合治理。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。

http://www.miit.gov.cn/n1146290/n1146402/c8016746/content.html

工信部发布2020年第二批和第三批关于侵害用户权益行为的APP通报

近期,工业和信息化部("工信部")组织第三方检测机构对手机应用软件进行检查,并发布了第二批和第三批《关于侵害用户权益行为的APP通报》,对发现存在问题的企业进行督促整改。并对截至目前尚未完成整改的APP进行了通报,要求上述APP在规定时间前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。

上述APP所涉问题主要包括:

  • 频繁或过度索取权限;
  • 不给权限不让用;
  • 私自或超范围收集个人信息;
  • 私自向第三方共享个人信息;
  • 强制用户使用定向推送功能;和
  • 账号注销难。

http://www.miit.gov.cn/n1146290/n1146402/n 1146440/c7993756/content.html

http://www.miit.gov.cn/n1146290/n1146402/n1146440/c8026316/content.html

2020年App违法违规收集使用个人信息治理工作正式启动

2020年7月22日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。

2020年治理工作将继续围绕以下几方面重点展开:

一是制定发布SDK、手机操作系统个人信息安全评估要点,对用户规模大、问题反映集中的App、SDK、小程序等进行深度评估。

二是针对面部特征等生物特征信息收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用等社会反映强烈的重点问题,开展专题研究和深度检测。

三是对违法违规收集使用个人信息行为加大发现力度、曝光力度、处罚力度。根据情节、后果严重程度,依法依规予以约谈、警告、下架、罚款等处罚,对违法违规行为形成有效震慑。

四是制定出台App收集使用个人信息行为应用商店审核管理指南,指导督促应用商店切实做好App上线前的安全审核,把严入口关。

五是发布免费技术工具,指导中小企业开展个人信息收集使用行为自评估,防范排查个人信息安全风险隐患,提升中小企业个人信息收集使用活动的合法合规性。

六是推进App个人信息安全认证工作,有序开展认证证书和标识发放,建立持续动态的认证跟踪机制。

七是加强个人信息安全评估培训,推动个人信息安全评估工作的规范化;加大力度开展个人信息保护宣传教育,扩大个人信息保护知识、技能传播的普及面。

http://www.cac.gov.cn/2020-07/25/c_1597240741055830.htm

工业和信息化部开展纵深推进APP侵害用户权益专项整治行动

为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,工业和信息化部于2020年7月24日发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,要求在2020年8月底前上线运行全国APP技术检测平台管理系统,并于12月10日前完成覆盖40万款主流APP检测工作。

这次运动的整治对象包括APP服务提供者、软件工具开发包(SDK)提供者和应用分发平台。

在整治任务上,主要集中在以下四个方面:

  1. APP、SDK违规处理用户个人信息方面,包括违规收集个人信息、超范围收集个人信息、违规使用个人信息和强制用户使用定向推送功能;
  2. 设置障碍、频繁骚扰用户方面,包括APP强制、频繁、过度索取权限和APP频繁自启动和关联启动;
  3. 欺骗误导用户方面,包括欺骗误导用户下载APP和欺骗误导用户提供个人信息;和
  4. 应用分发平台责任落实不到位方面,包括应用分发平台上的APP信息明示不到位和应用分发平台管理责任落实不到位。

根据该《通知》,工信部将于即日起组织第三方检测机构对APP、SDK进行技术检测,对应用分发平台的主体责任落实情况进行监督检查。对第一次检查发现存在问题的企业,将责令5个工作日内完成整改,对整改不彻底仍然存在问题的,将采取向社会公告、组织下架、行政处罚以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等措施;对在APP不同版本中反复出现问题的企业,将向社会公告,并依法依规开展后续处置工作。

http://www.miit.gov.cn/n1146290/n1146402/n1146440/c8027864/content.html

信安标委就《信息技术产品供应链安全要求》征求意见

2020年7月27日,全国信息安全标准化技术委员会发布《信息安全技术 信息技术产品供应链安全要求》并向社会公开征求意见。("《要求》草案")

《要求》草案,作为推荐性国家标准,将适用于政务信息系统、关键信息基础设施的信息技术产品供应链安全管理活动,也可为其他信息系统的供应链安全管理活动提供参考。

根据《要求》草案,信息技术产品的供应方应当满足如下条件:

开展供应链安全风险评估;

制定所采购的信息技术产品及部件的可追溯性策略,记录并保留信息技术产品及部件的原产地、原供应方等信息;

建立并实施信息技术产品安全开发流程,明确开发管理要求、安全控制措施和人员行为准则等。

信息技术产品需求方应当满足"建立和维护合格供应方目录"、"定期评估信息技术产品供应中断、停止授权、拒绝提供产品升级或技术支持服务的风险"等要求。

https://www.tc260.org.cn/front/postDetail.html?id=20200722172943

信安标委发布App收集使用个人信息自评估指南

2020年7月25日,全国信息安全标准化技术委员会秘书处("信安标委")发布了《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》("《实践指南》")供App运营者自评估参考使用,小程序、快应用等运营者也可参考其中的适用条款进行自评估。

《实践指南》共提出了二十八条评估子项,围绕以下六项评估点:

  1. 是否公开收集使用个人信息的规则;
  2. 是否明示收集使用个人信息的目的、方式和范围;
  3. 是否征得用户同意后才收集使用个人信息;
  4. 是否遵循必要原则,仅收集与其提供的服务相关的个人信息;
  5. 是否经用户同意后才向他人提供个人信息;
  6. 是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息。

《实践指南》是在此前中央网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》和App专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》基础上形成。

https://www.tc260.org.cn/front/paview/20200722134829.html

信安标委发布App系统权限申请使用指引征求意见稿

2020年7月29日,全国信息安全标准化技术委员会秘书处("信安标委")发布了《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指引》("《实践指南》草案")向社会公开征求意见。

《实践指南》草案规定了移动互联网应用程序(App)申请、使用系统权限的基本原则和通用要求以及通讯录、短信、通话记录、位置等10类安卓系统典型权限的申请使用要求。其中,App申请权限时应当遵循最小必要、用户可知、不强制不捆绑、动态申请的基本原则,权限使用时应当遵守一致性、不扩散、访问显性化原则。

《实践指南》草案还在附录中列出了常见的敏感系统权限、系统权限申请使用中的常见问题和常见服务类型不建议申请的系统权限。

https://www.tc260.org.cn/front/postDetail.html?id=20200729195232

天津:个人隐私数据不得交易

2020年7月30日,天津市互联网信息办公室起草了《天津市数据交易管理暂行办法(征求意见稿)》(" 《办法》草案"),并向社会公开征求意见。

《办法》草案划分了可交易数据及禁止交易数据的类型。可交易数据是依法获取的各类数据经处理无法识别特定数据提供者且不能复原的。

禁止交易数据包括:

  • 涉及国家安全、公共安全、个人隐私的数据;
  • 未经合法权利人授权同意,涉及其商业秘密的数据;
  • 未经个人信息主体明示同意,涉及其个人信息的数据;未经年满14周岁未成年人或其监护人明示同意,涉及该未成年人个人信息的数据;未经不满14周岁未成年人的监护人明示同意,涉及该未成年人个人信息的数据;
  • 以欺诈、诱骗、误导等方式或从非法、违规渠道获取的数据;
  • 其他法律法规或合法约定明确禁止交易的数据。

《办法》同时明确数据提供方应对交易数据进行安全风险评估,出具安全风险评估报告。数据交易服务机构对交易数据的安全风险评估报告进行审核,确保交易数据不包含禁止交易的数据。

https://mp.weixin.qq.com/s/8Scofen1MTmmcBJd3IKubQ

安徽:鼓励数据交易

2020年7月6日,安徽省政府发布《安徽省大数据发展应用条例》(" 《条例》草案")并向社会公开征求意见。

《条例》草案鼓励企业、高等院校、科研机构等组织和个人从事大数据技术研发,开发软硬件产品;利用大数据发展新产业、新业态、新模式,发展线上经济,发挥数据资源的经济价值和社会效益。

《条例》草案进一步明确鼓励和引导数据交易当事人在依法设立的大数据交易服务机构进行数据交易。数据资源交易应当遵循自愿、公平和诚实信用原则,遵守法律、法规,尊重社会公德,不得泄露、出售或者非法向他人提供个人信息、隐私和商业秘密,不得损害国家利益、社会公共利益和他人合法权益。

http://sft.ah.gov.cn/zhzx/tzgg/53877731.html

交通运输部就《国家车联网产业标准体系建设指南(智能交通相关)》征求意见

2020年7月31日,交通运输部办公厅发布《国家车联网产业标准体系建设指南(智能交通相关)(征求意见稿)》("《指南》"),向相关单位征求意见。

根据《指南》,车联网(智能交通相关)标准体系框架包括以下几个方面:

  • 基础标准,主要包括术语与定义、分类编码与符号和数据管理;
  • 道路设施,主要包括总体要求、交通感知、交通控制与诱导、智能路侧、路侧通信、地图与定位;
  • 车路交互,主要包括信息交互、车载与便携终端、车辆辅助和安全驾驶;
  • 管理与服务,主要包括出行服务、运输组织、管理平台;和
  • 信息安全,主要包括证书密钥、网络安全防护。

《指南》规定,到2022 年底,应当初步构建支撑车联网应用和产业发展的标准体系,完成一批智能交通基础设施、辅助驾驶等领域智能交通相关标准,制修订标准20 项以上;到2025 年,系统形成能够支撑车联网应用和产业发展的标准体系,形成一批智能管理和服务、车路协同等领域智能交通关键标准,再完成20 余项标准制修订任务,标准体系完成总数达到40 项以上。

http://xxgk.mot.gov.cn/2020/jigou/kjs/202007/t20200731_3443771.html

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.