数据交易与网络安全委半月资讯 - 实务指引 - 业务研究 - 中文版-金陵律师网-南京市律师协会官网

当前位置：首页 >> 业务研究 >> 实务指引

数据交易与网络安全委半月资讯

日期：2024-02-19 阅读：1,150次

数据交易与网络安全委半月资讯

南京市律协数据交易与网络安全委整理

行业动态（境内）
01

中共中央办公厅、国务院办公厅印发《浦东新区综合改革试点实施方案（2023－2027年）》
1月22日消息，中共中央办公厅、国务院办公厅印发《浦东新区综合改革试点实施方案（2023－2027年）》。
实施方案明确，到“十四五”期末，制度创新取得重要阶段性成效，高水平制度型开放取得突破，科技创新体系竞争力明显提升，全球资源配置能力明显增强，城市治理水平明显提高，一批标志性改革成果在面上推广。到2027年，基本完成试点任务，制度创新取得突破性进展，高标准市场体系和高水平开放型经济新体制建设取得显著成效，城市治理体系更加健全，为全面建设社会主义现代化国家作出重要示范引领。
实施方案明确五项主要任务，包括加大规则标准等开放力度，打造制度型开放示范窗口；完善科技创新体系，建设开放创新生态；深化人才发展体制机制改革，加快建设高水平人才高地；深化政府职能转变，激发各类经营主体活力；深化人民城市建设实践，探索超大城市治理新路。
实施方案提出，探索构建数字经济规则体系，实行分类分层的新型数据交易机制，依托数据交易所提升数据可信流通能力。探索数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。探索数据资产管理、数字身份国际认证等，推动数字贸易交付和结算便利化，建设数字贸易服务平台。支持中国（上海）自由贸易试验区临港新片区探索建立安全便利的数据流动机制，允许在符合法律法规要求、确保安全前提下提升数据跨境流动的便利性。研究高标准且与国际接轨的数据安全管理规则体系，创新数据监管机制，积极探索优化数据跨境流动管理措施。
信息来源：
ttps://www.gov.cn/zhengce/202401/content_6927503.htm

国家邮政局发布《寄递服务用户个人信息安全管理办法（征求意见稿）》
2月1日，国家邮政局发布《寄递服务用户个人信息安全管理办法（征求意见稿）》，向社会公开征求意见，征求意见时间截至2024年3月2日。征求意见稿共三十二条，对经营和使用寄递服务涉及用户个人信息安全的活动以及邮政管理部门监督管理工作做出规定。
征求意见稿明确，除征得用户个人同意外，寄递企业保存用户个人信息的期限不得超过收集之日起三年，法律、行政法规另有规定的，从其规定。保存期限届满，寄递企业应当主动删除用户个人信息。删除个人信息从技术上难以实现的，寄递企业应当停止除存储和采取必要的安全保护措施之外的处理。
寄递企业应当对用户个人信息依法进行去标识化处理。快递电子运单的去标识化应当考虑正常寄递服务的需求。寄递企业授权电商使用本企业的快递单号资源时，应当要求电商对快递电子运单中的个人信息执行去标识化。寄递企业应当与电商等第三方签订协议，明确去标识化执行主体、数据传输以及数据转化等相关事项。
寄递企业处理用户个人信息达到国家网信部门规定数量时，应当指定用户个人信息保护负责人，负责对信息处理活动以及采取的保护措施等进行监督，并公开个人信息保护负责人的联系方式，将负责人的姓名、联系方式等向所在地邮政管理部门报送。负责人发生变更的，应在7个工作日内重新报送并公告。
信息来源：
https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml

商务部探索建立以自由流动为基本原则、统筹安全和个人信息保护的数据跨境流动治理体系
1月19日消息，商务部部长王文涛就“加快建设贸易强国”相关问题答记者问，表示商务部将从升级货物贸易、创新服务贸易、发展数字贸易、深化国际合作以及维护贸易安全五个方面着手推动贸易强国建设。
数字贸易方面，商务部将出台数字贸易改革创新发展政策，明确我国数字贸易发展的制度和政策框架，进一步加强系统谋划、政策创新和跨部门跨领域统筹协调。做强做优国家数字服务出口基地，在数字服务市场准入、国际规则对接、跨境数据流动、数据规范化采集和分级分类监管等方面先行先试，培育科技、制度双创新的数字贸易集聚区。积极参与全球数字贸易治理，立足自身制度框架，对接国际高标准经贸规则，探索建立以自由流动为基本原则、统筹安全和个人信息保护的数据跨境流动治理体系。
信息来源：
http://ph.mofcom.gov.cn/article/zgyw/202401/20240103467600.shtml

国家发展改革委办公厅、市场监管总局办公厅印发《关于进一步做好信用修复协同联动工作的通知》，强化信用数据共享
1月18日，国家发展改革委办公厅、市场监管总局办公厅印发《关于进一步做好信用修复协同联动工作的通知》，旨在进一步加强信用修复协同联动，构建高效便捷的信用修复制度，保障信用主体合法权益。
通知明确，各地区要充分认识做好信用修复协同联动工作的重要意义，加强沟通对接，坚决打破数据壁垒，切实解决“多头修复”问题。各省级社会信用体系建设牵头部门和市场监管部门应当每日共享各自系统产生的信用修复结果信息（含较低数额罚款的处罚到期撤销公示的信息），并向“信用中国”网站和国家企业信用信息公示系统报送相关信息，做到两个系统同步修复。各省级信用牵头部门和市场监管部门要建立和完善信用修复协同联动工作机制，做好各自系统内部、两个系统间的工作流程与技术适配，及时发现和解决问题，确保修复数据共享、修复结果互认。
信息来源：
https://www.ndrc.gov.cn/xwdt/tzgg/202401/t20240126_1363738.html

国务院国有资产监督管理委员会发布通知，强调健全完善数据资产等资产交易流转定价
1月20日，国务院国有资产监督管理委员会发布《关于优化中央企业资产评估管理有关事项的通知》，旨在推动国有经济布局优化和结构调整，助力企业实现高质量发展，优化企业国有资产评估管理。
通知要求健全完善知识产权、科技成果、数据资产等资产交易流转定价。中央企业及其子企业发生知识产权、科技成果、数据资产等资产转让、作价出资、收购等经济行为时，应当依据评估或估值结果作为定价参考依据。经咨询3家及以上专业机构，确难通过评估或估值方式对标的价值进行评定估算的，依照相关法律和企业章程履行决策程序后，可以通过挂牌交易、拍卖、询价、协议等方式确定交易价格。许可使用知识产权、科技成果、数据资产，可以采用销售额或利润提成、许可入门费加销售额或利润提成等方式确定许可费用。
信息来源：
https://dsj.hainan.gov.cn/zcfg/zybs/202401/t20240126_3580930.html

广东省人大常委会通过《南沙深化面向世界的粤港澳全面合作条例》
1月19日，广东省人大常委会通过《南沙深化面向世界的粤港澳全面合作条例》，旨在落实《广州南沙深化面向世界的粤港澳全面合作总体方案》，将南沙打造成为立足湾区、协同港澳、面向世界的重大战略性平台。条例共8章58条，对南沙管理体制机制、科技创新、产业发展、开放合作、城市发展、规则衔接等内容作了全面系统规定，将于今年3月1日起施行。
条例明确，广东省人民政府及有关部门应当主动对接、积极吸纳高标准国际经贸规则，支持南沙加强与港澳在投资和贸易、市场准入、政务服务、法律服务等方面的规则衔接和机制对接，促进各类要素跨境便捷流动和优化配置，提高对外开放水平。支持南沙依法开展粤港澳数据流动便利化和跨境应用。支持在南沙合作设立的教育机构、科研机构等平台按照国家数据和网络安全管理要求建设专用科研网络，实现科学研究数据依法跨境互联互通。鼓励在南沙设立符合国家规定的数据出境申报安全评估专业服务机构，在数据出境安全评估、个人信息出境标准合同备案等方面提供服务。
信息来源：
https://www.gdpc.gov.cn/gdrdw/zyfb/ggtz/content/post_195881.html

江苏省知识产权局等四部门联合印发《江苏省数据知识产权登记管理办法（试行）》
1月22日，江苏省知识产权局、江苏省高级人民法院、江苏省发展和改革委员会、江苏省司法厅联合印发《江苏省数据知识产权登记管理办法（试行）》，适用于对依法获取的，经过一定规则或算法加工处理，具有实用价值和智力成果属性的数据提供数据知识产权登记服务。办法自2024年2月21日起施行，试行期至2026年2月20日。
办法明确，江苏省知识产权局负责全省数据知识产权登记管理工作，负责建设全省统一的数据知识产权登记系统，制定相关政策，指导、协调和监督全省范围内数据知识产权登记、管理和运用等工作。江苏省知识产权保护中心承担数据知识产权登记工作。数据知识产权登记事项包括数据名称、数据申请人名称或姓名、数据来源、所属行业、应用场景、数据结构、更新频次、算法规则、存证情况、存储载体等方面内容。数据知识产权登记证书采用电子方式颁发。登记证书的证明期为三年，自登记公告之日起计算。
信息来源：
http://jsip.jiangsu.gov.cn/art/2024/1/22/art_85038_11131128.html

国家金融监管总局将加强网络安全和数据安全风险监管
1月25日，在国务院新闻办举行的金融服务经济社会高质量发展新闻发布会上，国家金融监督管理总局新闻发言人、统计与风险监测司负责人刘志清表示，国家金融监督管理总局将持续加强监管引领，引导金融机构提升服务质效，全面加强风险管理。
一是持续推动银行业保险业数字化转型。开展数字化转型评估工作并纳入到银行保险机构信息科技监管评级中，引导金融机构加强顶层设计和统筹规划，科学制定发展战略，加大资源要素投入，实现经营管理和服务变革。
二是增强数字赋能成效。充分调动金融机构积极性和主动性，不断优化数字金融产品和服务，做好科技创新、先进制造、绿色发展和中小微企业等重点领域的金融支持，有效降低企业融资成本；同时积极拓展互联网移动终端等服务渠道，通过数字手段触达传统金融服务难以覆盖的客群，持续提高金融服务的普惠性和可获得性。
三是提升行业风险防控能力。推动银行保险机构将数字化风控工具嵌入业务流程，充分运用数字化能力提高风险管理和内控合规水平。
四是加强网络安全和数据安全风险监管。推动银行保险机构提高网络安全风险的日常监测和应急处置能力，有效保护数据安全和客户信息，强化数字生态场景下的科技外包风险管理。
五是规范数字创新，守住风险底线。要求银行保险机构建立稳健的业务审批流程，对新产品、新业务、新模式带来的技术和业务逻辑变化进行评估，确保新技术投产运用的审慎性和合规性，牢牢守住数字化转型过程中的风险底线。
信息来源：
http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1149455&itemId=915

行业动态（境外）
01

欧盟委员会根据《数字服务法》要求17家超大型在线平台和搜索引擎提供信息
1月18日，欧盟委员会宣布，已根据《数字服务法》（Digital Services Act，DSA）向指定的17家超大型在线平台（Very Large Online Platforms，VLOPs）和搜索引擎（Very Large Online Platforms，VLOSEs）发出正式信息请求，要求相关组织说明采取了哪些措施，履行在不无故拖延的情况下允许符合条件的研究人员访问其在线界面上可公开访问数据的义务。17家被指定的VLOP和VLOSE包括：AliExpress, Amazon Store, AppStore, Bing, Booking.com, Facebook, Google Search, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, YouTube and Zalando。
欧盟委员会强调，研究人员访问数据是确保平台政策的问责制和公众监督的关键。允许研究人员访问可公开数据将大力促进DSA目标的实现，对于即将到来的国家和欧盟层面的选举等活动，以及持续监测在线平台是否存在非法内容和商品尤为重要。17家VLOP和VLOSE必须在2024年2月8日为止向欧盟委员会提供所要求的信息。对这些平台提供的信息进行评估后，欧盟委员会将决定下一步行动。
2023 年 12 月 18 日，欧盟委员会曾以若干理由对 VLOP X 提起正式侵权诉讼，其中包括涉嫌违反有关研究人员获取数据的义务。
信息来源：
https://digital-strategy.ec.europa.eu/en/news/commission-sends-requests-information-17-very-large-online-platforms-and-search-engines-under

欧盟委员会认定新西兰为数据跨境传输提供充分保护
1月23日，欧盟委员会认定，新西兰为欧盟和新西兰之间的个人数据跨境传输提供充分保护。2012年12月19日，欧盟首次通过对新西兰个人数据保护水平的充分性认定，且每次认定有效期为四年。
新西兰隐私专员隐私专员迈克尔-韦伯斯特（Michael Webster）指出，如果新西兰想继续保持充分性，需要加强数据保护法律。当前新西兰隐私保护立法是基于 2013 年达成的政策制定的，过去的十年，生物识别和人工智能等技术发展和广泛应用，隐私保护立法需要同步更新。欧盟委员会认为新西兰隐私修正法案是一项积极的举措。
新西兰隐私专员办公室建议对《2020年隐私法》进行以下修订：（1）制定一系列具体的修正案，使隐私法适应数字时代的需求；（2）规定针对重大违规行为的民事处罚制度，增设新型隐私权，以更好地保护新西兰公民的隐私；（3）针对自动化决策以及机构隐私义务履行的证明标准，提出更严格的要求。
信息来源：
https://privacy.org.nz/publications/statements-media-releases/new-zealand-is-adequate-and-we-couldnt-be-happier-about-itnew-news-page/

意大利数据保护机构认定OpenAI涉嫌违反《通用数据保护条例》规定
1月29日消息，意大利数据保护机构 Garante 向 OpenAI 发出通知，称其 ChatGPT 聊天机器人涉嫌违反《欧盟通用数据保护条例》（GDPR）规定。
事情源于一份针对管理人工智能（AI）平台ChatGPT的OpenAI公司潜在隐私侵犯行为的投诉，Garante经调查后认定后Open AI涉嫌一项或多项违反GDPR的行为。对此，OpenAI将有30天的时间就涉嫌违法行为提交辩护状。
2023年3月30日，Garante曾因OpenAI数据泄露事件临时禁止OpenAI处理意大利用户数据。
信息来源：
https://www.dataguidance.com/news/italy-garante-notifies-openai-complaint-potentia

欧盟网络安全局发布《欧盟数据空间中个人数据保护工程》报告
1月26日，欧盟网络安全局（European Union Agency for Cybersecurity，ENISA）发布《欧盟数据空间中个人数据保护工程》（Engineering Personal Data Protection In EU Data Space）报告，强调了欧洲数据空间中个人数据保护的设计原则。
欧洲共同数据空间（European Common Data Space）是《欧洲数据战略》的核心举措。为实现欧洲单一数据市场，需建设数据空间，即一种能保障企业数据、公共数据、个人数据有序流通应用的技术体系。欧盟《数字治理法》（DGA）对数据空间的治理结构作出了进一步规定，在符合欧盟现有法律框架的前提下，数据空间成为欧盟促进技术创新和数字化转型的重要举措。
报告阐述数据空间中的个人数据保护设计原则。一是输入和输出环节的隐私保护。数据输入和输出环节都是数据空间中数据保护的关键环节，应确保数据从收集到计算结果共享全链条的安全性。应在遵守《通用数据保护条例》（GDPR）的同时，在输入和输出环节中设置相应的数据保护工程模块，确保共享数据无法恢复到原始数据，即不能够根据数据识别出具体个体。
二是推动构建数据保护工程。数据保护工程不仅仅是GDPR的合规工具，通过采用合理的措施和必要的保障来加强数据保护原则，保障个人权利的行使，且为数据控制者提供了数据共享的实际选择，同时最大限度地降低了信息滥用、数据泄露或其他安全威胁的风险，以平衡数据保护和数据共享；
三是完善数据中介的保护措施。根据欧洲《数据治理法》（DGA），数据空间主要包含数据持有者、数据中介、数据用户三方参与者。在数据空间共享场景中，数据中介在数据保护方面扮演重要角色，应主动采取隐私增强措施（PETs），如果数据假名化（或匿名化）被确定为应对某项数据保护影响评估（DPIA）风险的最佳手段，那么在所考虑的数据集中应用假名化的任务必须由数据中介执行。数据中介也可以将未假名化的数据集移交给其他数据处理者，由后者进行假名化处理，但这种设计会增加相应的隐私风险。
四是确保数据保护影响评估（DPIA）的完整性。DPIA所需要的不仅仅是数据控制者和处理者的风险清单，因为风险也可能来自多方构成的合作组织，应根据数据处理过程中的实际情况进行调整。例如，加密个人数据存储在数据处理链中的一个数据处理者，而密钥则由另一数据处理者持有，在这种情形下，单个数据处理者的DPIA就无法识别此种存储方式存在的风险，需分别对两位数据处理者进行DPIA来降低风险。因此，应当充分考虑DPIA的完整。
五是明确主要责任模块。根据DGA的相关规定，数据控制者通过展示九个模块的内容，以实现在数据保护方面的可归责性。包括：明确数据持有者和使用者的责任义务、个人数据共享的有效内部管理、个人数据共享的外部合作治理、数据共享计划的实施、有针对性的数据共享问责工具的设计、数据安全和共享数据质量之间的平衡、数据共享伦理评估、数据持有者和使用者之间的透明信息共享、在欧盟数据空间内数据共享实践的合同框架、对信息主体透明义务。
此外，报告列举医药领域数据空间案例，展示了将医药数据空间作为解决市场上药品供应问题的手段的可能性。
信息来源：
https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces
https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces/@@download/fullRepor

欧盟数据保护委员会推出网站审计工具
1月29日消息，欧盟数据保护委员会（EDPB）推出一个网站审计工具，可用于帮助分析网站是否符合法律规定。该工具是在EDPB支持专家库的背景下开发的，数据保护机构的法律和技术审核员以及希望测试自己网站的数据控制者和处理者均可使用。
该工具是欧盟公共许可证1.2版（EUPL 1.2 License）的免费开源软件，可在“code.europa.eu”网站上下载。组织可直接在工具中准备、实施和评估审计，只需访问相关网站即可。该工具还与EDPS网站证据收集器等其他工具兼容，允许审计人员导入和评估在这些工具上实施的审计结果。最后，该工具还能生成报告。
EDPB指出，虽然目前已有一些网站审计工具，但这些工具通常需要专业技术知识。EDPB决定开发此种易于使用的解决方案，旨在为国家数据保护机构执法以及数据控制者进行合规检查提供便利。
另外，具有新功能的第二个版本计划在今年晚些时候推出。
信息来源：
https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en

韩国个人信息保护委员会成立个人信息跨境传输专家委员会
1月30日，韩国个人信息保护委员会（PIPC）举行跨境传输专家委员会（Overseas Relocation Expert Committee）成立仪式。委员会根据2023年9月修订的《个人信息保护法实施令》成立，旨在保护韩国公民个人信息跨境传输安全，由来自学术界、法律界、产业界、市民社会界等12名个人信息专家组成，其中包括一名个人信息专员（任期为3年）。
委员会将在个人信息保护专员决定个人信息跨境传输所需的个人信息保护认证以及国家或国际组织的个人信息保护水平是否与韩国的保护水平相当之前，对相关内容进行评估。具体地，委员会的职责包括：（1）评估个人信息保护认证中的保护水平；（2）评估国家或国际组织的个人信息保护水平；（3）评估个人信息跨境传输的必要性。
信息来源：
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9887#LIN

欧盟理事会签署《修改<欧盟与日本经济伙伴关系协议>的议定书》，将数据跨境流动条款纳入双方协议
1月31日，欧盟理事会宣布，理事会轮值主席国比利时代表欧盟已签署《修改<欧盟与日本经济伙伴关系协议（EPA）>的议定书》（Protocol amending the Agreement between the European Union and Japan for an Economic Partnership），将数据跨境流动条款纳入EPA。
理事会表明，该议定书将提供更大的法律确定性，确保欧盟和日本之间的数据流动不会受到不合理的数据本地化措施的阻碍。同时，根据欧盟和日本的数据保护和数字经济规定，该议定书能够确保欧盟和日本从数据自由流动中获益。
议定书的签署经历了以下步骤：（1）2022年9月26日，欧盟理事会批准谈判指令，要求欧盟委员会就数据跨境流动条款纳入EPA一事进行谈判。谈判于2023年10月28日结束；（2）2023年12月1日，欧盟委员会递交了关于代表欧盟签署和缔结《修改<欧盟与日本经济伙伴关系协议>数据自由流动条款的议定书》的提案，供欧盟理事会作出决定。（3）2024年1月29日，欧盟理事会通过了关于签署议定书的决定，将数据跨境流动条款纳入EPA。理事会下一步将经其批准的决定提交至欧洲议会批准。
一旦日本批准该议定书，且双方互相通报完成内部程序后，即可生效。
信息来源：
https://www.consilium.europa.eu/en/press/press-releases/2024/01/31/eu-japan-economic-partnership-agreement-eu-and-japan-sign-protocol-to-include-cross-border-data-flows/#:~:text=On%2026%20September%202022%2C%20the,principle%20on%2028%20October%202023

韩国个人信息保护委员会发布经修订的《假名信息处理指南》
2月2日，韩国个人信息保护委员会（PIPC）发布《假名信息处理指南（修订）》（｢가명정보 처리 가이드라인｣）。
PIPC指出，随着人工智能（AI）技术和计算资源的发展，对非结构化数据（图像、影像、语音、文本等）的需求大幅增加，其占全世界数据的90%。但修订前的指南只规定了结构化数据的处理标准，这导致企业、研究机关等在业务现场中往往不知道应采取何种假名处理方法或水平。为此，PIPC通过向政策研究、由各领域专家组成的T/F运营以及向产业界、学界、法律界、市民社会及相关部门征求意见等1年多的准备，大幅修改了指南，增加了针对作为图像、影像、语音、文本等人工智能时代技术开发核心材料的非结构化数据的假名处理标准。
修订后的指南规定了对非结构化数据进行假名处理及利用过程中可能出现的个人信息风险的事先识别和控制原则，同时提供了其在医疗、交通、聊天机器人等各领域的实际案例和模拟案例，以便组织在业务现场轻松运用。具体地，7种模拟案例中详细介绍了利用假名信息的全过程，这有助于在医疗数据（MRI、CT、X-Ray等）、闭路电视监控系统（CCTV）影像、使用语音进行对话和咨询的生物健康、人工智能、数据解决方案开发等领域安全地进行假名处理。
PIPC指出，关于非结构化数据的假名处理标准的主要内容如下：
首先，由于对非结构化数据中个人身份信息的判断可能因情况不同而不同，需要综合考虑数据处理目的及环境、敏感度等，以判断个人信息被识别的风险，且确定合理的处理方法和水平。例如，对结构化数据来说，存在被识别风险的个人信息范畴比较明确，如身份证号、电话号码、地址等，但非结构化数据则不然。即使从无法辨别眼睛、鼻子、嘴的远距离、角度拍摄的CCTV影像和照片中的个人，也会因其发型、疤痕、纹身等特殊的身体特征存在可识别风险。胸部CT拍摄照片本身可识别风险不高，但若存在恶意利用三位重建技术、特殊疤痕等情形，会增加可识别风险。
对此，PIPC指出，建议研究人员使用指南附件二《个人可识别风险检查清单》（用于检查数据的可识别性、特殊信息、再识别时的影响度、处理环境的安全性）提前诊断身份识别风险，并准备和使用行政和环境控制措施来降低风险。如果排除为实现研究目的所必须的信息项目，要对其他信息实施提高假名处理水平或控制访问权限、限制引进可能被恶意利用于识别的软件（SW）及签署保密宣誓书等措施。
其次，鉴于目前还没有一种技术能够完全检测和处理非结构化数据中固有的个人身份识别风险因素，因此，建议实施措施弥补技术局限性：（1）建立和维护能够证明假名处理技术的适当性、可靠性的证据，并对假名处理结果进行额外检查。同时，由外部专家组成的委员会对处理技术和额外检查的适当性和可靠性进行审查。例如，CT照片边缘采用遮蔽方法进行假名处理后，制定并保留能够证明该方法的假名处理功能、客体识别率及处理准确度（错误率）的证据；（2）加强利用假名信息的机关的内部控制，且一旦达到处理目的，假名信息应迅速销毁，防止个人信息泄露；
再次，随着人工智能和数据复原技术的发展，非结构化数据存在即使不与其他信息联系或结合也能重新识别出特定个人的风险，因此，使用假名处理后的非结构化数据时，应制定限制相关系统、软件（SW）的访问和使用权限的控制方案。
此外，指南还介绍了企业及研究人员进行假名处理的不同阶段（事前准备、风险分析、假名处理、适当性分析、安全管理）所应注意的事项，同时阐述了目前正在开发的假名处理技术，供缺乏相关经验的初创企业参考。
最后，PIPC还指出，公司和研究机构可主动申请事前适当性检查，以了解其假名处理程序和方法或管理和环境控制措施是否符合《个人信息保护法》（PIPA）。
信息来源：
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9899#LINK

案例分享
01

证监会要求蜜雪冰城就赴港上市提供补充说明材料，涉数据安全与个人信息保护问题
1月19日，证监会发布《境外发行上市备案补充材料要求公示》，要求蜜雪冰城针对赴港上市事宜补充提供五方面说明材料。其中，就数据安全与个人信息保护问题，要求蜜雪冰城说明开发、运营的网站、APP、小程序等产品情况，收集和存储用户信息规模、数据收集使用情况，是否存在向第三方提供信息的情形，以及上市前后个人信息保护和数据安全的安排或措施。
信息来源：
http://www.csrc.gov.cn/csrc/c105983/c7458410/content.shtml

北京互联网法院发布2023年度十大典型案件，含两起个人信息保护案例
1月21日、22日，北京互联网法院发布2023年度十大典型案件，包括两起个人信息保护案例。
案例一：死者个人信息案——郭某等诉上海某科技公司等个人信息保护纠纷案。
案中，李某为四原告的近亲属，生前从事某平台北京地区的相关业务。被告一北京某公司为该平台北京地区业务运营主体，被告二深圳某公司与被告三上海某科技公司分别为该平台员工端与用户端APP的运营主体，被告四上海某人力公司根据北京某公司提供的业务统计数据为李某结算薪资。
2021年李某意外去世。四原告为维护自身合法权益，尝试登录李某在员工端APP上的账号查阅李某的考勤记录等个人信息，但发现该账号已被深圳某公司停用，相关信息无法查阅。四原告认为，被告二深圳某公司停用李某账号的行为导致其无法查阅李某的个人信息，进而严重阻碍其维护自身合法权益，侵犯了其享有的个人信息权利请求权。另外，四原告认为四被告基于各自的业务需要，均曾处理李某的上述个人信息。因此，四原告将四被告起诉到法院，请求法院判令四被告提供其主张的李某相关个人信息，并承担相应的侵权责任。
被告二深圳某公司辩称，在李某去世后停用其账号属于正常管理活动，虽然深圳某公司停用了李某的账号，但在员工端APP的隐私政策中对于用户及近亲属调取个人信息有清晰指引，已经提供了供四原告调取李某个人信息的其他合理途径。另外，四被告共同辩称，其均未控制四原告主张的个人信息，四被告的行为不构成侵权，不应承担侵权责任，也无法向四原告提供其主张的个人信息。
案例二：个人信息访问记录查阅复制案——夏某诉某北京某电子公司网络服务合同纠纷案。
原告曾接到自称为被告公司客服的来电，对方准确报出了原告完整的身份证号。原告主张其为被告用户，来电系由于被告违法泄露公民个人隐私信息导致，为排查账号安全、寻找个人信息泄露原因，原告向被告客服电子邮箱发送邮件，提起个人信息查阅请求，要求查阅、复制账号近期的登录信息、个人身份证号码的查阅记录。被告辩称其采取了符合业界标准的安全防护措施保护个人信息，原告可以依法向信息处理者查阅或者复制其个人信息。被告向原告提供了其登录信息，辩称查阅复制权的客体应当是个人信息，本案原告所主张查阅的“查阅、下载本人身份证号码的完整访问记录”，并不属于个人信息，原告无权要求查询。
法院认为，不论从识别还是关联角度，对个人信息的访问记录都难以被定义为个人信息。一方面，被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术，访问者难以识别该身份证号属于原告；另一方面，访问记录也不具备关联特征，不是本案原告在其活动中产生的信息。因此，该访问记录不属于原告的个人信息，仅为被告企业的内部管理信息，原告无权查询。据此，法院判决驳回原告的全部诉讼请求，双方均未提起上诉，目前该案判决已生效。
信息来源：
https://mp.weixin.qq.com/s/NcMpln1g5XGOzvwS2x6h_w
https://mp.weixin.qq.com/s/Lh9QL7gSCZpBxdC_esHGBw

住房城乡建设部办公厅通报房地产中介行业侵犯公民个人信息违法违规典型案例
1月22日，住房城乡建设部办公厅通报5起房地产中介行业侵犯公民个人信息违法违规典型案例。
案例一，上海德佑房地产经纪有限公司员工非法对外出售公司内部业主信息案。上海德佑房地产经纪有限公司员工陈某、祝某某、马某合谋对外出售公司掌握的房屋业主信息来获利。三人通过马某的员工账号和权限访问公司大数据信息平台，查询并导出挂牌房屋的业主信息，将信息对外出售获取好处费。至案发，陈某从祝某某处获取好处费20万元，陈某给予马某好处费6万元。仅2021年4月，陈某对外发送信息共计12716条。2021年11月，司法机关以侵犯公民个人信息罪判处陈某有期徒刑三年六个月，并处罚金人民币十万元；判处祝某某有期徒刑三年，并处罚金人民币八万元；判处马某有期徒刑一年十个月，并处罚金人民币五万元。
案例二，房地产经纪从业人员沈某某采取购买、收受、交换等方式非法获取公民个人信息案。2017年至2019年，沈某某先后在无锡畅盛房地产经纪有限公司、无锡沪联房地产经纪有限公司、无锡链铺网络科技有限公司、无锡大玩家房地产营销策划有限公司等从事房产销售相关业务。期间，沈某某采用购买、收受、交换等方式，从周某某等人非法获取多个楼盘业主的公民个人信息，包括小区名称、门牌号、业主姓名、联系电话等，共计78100余条，并提供给他人共计8600余条。2020年12月，司法机关以侵犯公民个人信息罪判处沈某某有期徒刑三年，并处罚金人民币二万元。
案例三，中山市裕丰房地产咨询有限公司员工非法购买公民个人信息案。2019年9月，中山市裕丰房地产咨询有限公司西区翠景分公司员工黄某，为谋取利益，在添加谭某某微信号后，通过微信转账的方式向谭某某购买大量中山市相关楼盘小区住户的公民个人信息，包括公民姓名、住址、联系电话、房产面积等，共计53590条。2020年6月，司法机关以侵犯公民个人信息罪判处黄某有期徒刑三年，并处罚金人民币五千元。
案例四，柯某利用“房利帮”网站非法获取、出售业主房源信息案。2016年1月起，柯某开始运营“房利帮”网站并开发同名手机APP，以对外售卖二手房租售房源信息为主营业务。运营期间，柯某对网站会员上传真实业主房源信息进行现金激励，吸引掌握该类信息的房地产中介人员注册会员并向网站提供信息，有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息，共计30余万条，以会员套餐方式出售获利达人民币150余万元。2019年12月，司法机关以侵犯公民个人信息罪判处柯某有期徒刑三年，缓刑四年，并处罚金人民币160万元。
案例五，湖南省湘西自治州宜居房产经纪服务有限公司蔡某某私自留存业主信息开展业务案。湖南省湘西自治州宜居房产经纪服务有限公司负责人蔡某某在某售楼部从事房地产销售期间，利用职务之便，未经售楼部及业主同意，复印了1095条小区业主姓名、门牌号、房产面积、联系电话等资料。后蔡某某成立湘西自治州宜居房产经纪服务有限公司，利用这些业主信息资料开展房屋中介业务，用于在日常经营活动中给业主打电话，询问房屋是否需要出售、出租等。2022年3月，司法机关以侵犯公民个人信息罪判处蔡某某有期徒刑一年，缓刑一年，并处罚金人民币一千元。
信息来源：
https://www.mohurd.gov.cn/gongkai/zhengce/zhengcefilelib/202401/20240122_776311.htm

因未履行个人信息保护义务，内蒙古赤峰市喀喇沁旗公安机关对14家机构做出处罚
1月30日消息，因未履行个人信息保护义务，内蒙古赤峰市喀喇沁旗公安机关对14家机构做出处罚。
近期，喀喇沁旗公安机关多次接到辖区居民被装修推销电话骚扰的警情。报警者反映，推销人员对其个人及住房情况非常了解，怀疑其个人信息已遭泄露，担心财产和人身安全。通过侦察，喀喇沁旗公安局捣毁张某为首的以“信息共享”为名侵犯公民个人信息的犯罪团伙，共抓获犯罪嫌疑人18名，查获公民个人信息100余万条，扣押涉案电脑、手机等物品68件。
经查，该犯罪团伙依托涉案的售楼企业、装修公司，通过“买卖、交换”等非法途径获取特定自然人信息，以“数据分筛、介绍客户、品牌融推”等所谓的“信息共享”方式传播扩散，并以此为目标客户进行“精准”业务推销，严重干扰居民正常生活秩序，对公民个人信息安全构成威胁。
经法院审判，犯罪团伙中张某因犯侵犯公民个人信息罪，被处有期徒刑六个月，并处罚金人民币六万元。未构成犯罪的温某、王某、马某等16人，根据《网络安全法》第四十四条、第六十四条第二款之规定，依各违法情节，分别处2千到一万元不等罚款。
公安机关同时开展一案双查，14家相关企业因未全面履行《个人信息保护法》规定的个人信息保护义务，依据该法第六十六条第一款之规定，喀喇沁旗公安网安部门依法责令相关企业进行改正并给予行政警告，对相关责任人员总计罚款6.8万元。
信息来源：https://mp.weixin.qq.com/s/Rdhx_Npysz-cNYbgIXnDNw?version=2.5.50001.5476&platform=win

因泄露公民个人信息，湖南省衡阳市网信办对某科技公司罚款10万元
1月30日消息，北京某科技公司对其在衡阳所开发应用的网站数据库存在未授权访问的漏洞，泄露公民个人信息，湖南省衡阳市网信办依据《数据安全法》对该科技公司予以行政处罚。
经调查核实，该科技公司于2023年1月开发了一家网站，存储了包含用户姓名、手机号、电子邮箱等在内的大量个人信息。该科技公司在开展数据处理活动时，未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的措施保障数据安全。同时，在开展数据处理活动时未加强风险监测，造成个人信息泄露等问题，该网站存在未履行数据安全保护义务的违法行为。针对以上违法情况，衡阳市网信办依据《数据安全法》第四十五条有关规定，对该科技公司作出责令改正，给予警告，并处人民币10万元罚款的行政处罚。
信息来源：
https://mp.weixin.qq.com/s/CyEh9zB4o9BFUViFGKVcjA?version=2.5.50001.5476&platform=win

因违规收集个人信息，重庆市云阳县网信办对“小世界交友”App作出行政警告处罚
1月31日消息，因违规收集使用个人信息，重庆市云阳县网信办对“小世界交友”App依法作出行政警告处罚。
经查，“小世界交友”App未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式和范围等；违反必要原则，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；未建立健全应急预案、用户信息保护等相关制度，违反了《网络安全法》《个人信息保护法》等互联网法律法规。云阳县网信办依法约谈该App负责人，责令限期整改，并给予行政警告处罚，严格督促该公司进一步加强App运营管理，落实好个人信息保护、网络数据安全等相关法律法规要求，健全完善相关管理制度，切实履行好网络平台主体责任。
信息来源：
https://mp.weixin.qq.com/s/bKlvW1G3mCQ5696HgOX18g?version=2.5.50001.5476&platform=win

因误导消费者“入会”索要手机号，上海市网信办约谈餐饮连锁企业“半天妖烤鱼”
2月2日，上海市网信办依法约谈“半天妖烤鱼”运营企业上海半天妖餐饮管理有限公司负责人。
根据网民举报并经核实，“半天妖烤鱼”在消费者扫码点餐过程中，微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。上海市网信办要求企业立即整改，对照问题举一反三自查自纠，切实把个人信息保护置于企业运营的重要位置。企业负责人表示，将认真落实网信部门要求，开展全面自查整改，以实际行动维护消费者个人信息权益。
上海网信办表示，2023年“亮剑浦江”消费领域个人信息权益保护专项行动中，其会同市场监管部门围绕“扫码点餐”场景下企业过度收集消费者个人信息问题开展了集中整治。55000余家全国连锁餐饮门店已完成自查整改，但仍有个别企业置若罔闻、心存侥幸，怠于履行个人信息保护义务。
上海市网信办相关负责人指出，“扫码点餐”等小微消费场景不能成为个人信息保护死角，消费者在到店点餐非注册会员情况下无需提供任何个人消息。部分餐饮企业在点餐小程序中设置强制或诱导消费者关注公众号、注册会员，以及收集消费者非必要个人信息等行为，违反了《个人信息保护法》规定的“合法、正当、必要和诚信原则”，侵犯了消费者的知情权与自主选择权。上海市餐饮经营者要按照网信部门指导市消保委会同市餐饮烹饪行业协会制定发布的《上海市网络点餐服务消费者个人信息保护合规指引》要求，在收集、使用、保管消费者个人信息的各个环节提高合规意识和保护水平。全国连锁门店超过100家的大型餐饮企业尤其要做出行业表率。
信息来源：
https://mp.weixin.qq.com/s/ZnRT0E3Q2TB1yHqjOttO-w?version=2.5.50001.5476&platform=win

因未尽消费者个人信息保护义务，上海市网信办依法处罚一批单位
1月29日消息，“亮剑浦江”专项行动期间，上海市区两级网信、市场监管部门已累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。部分企业虽然已被约谈要求整改或接受过普法培训，仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题。上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。部分典型案例如下：
在收集环节，强制要、过度取个人信息问题依然存在。如，某餐饮企业的外送微信小程序在收货地址填写环节，强制用户同意打开精准位置权限，否则无法添加收货地址，属于对消费者非必要个人信息强制索权。
在存储环节，大量个人信息未加密处于“裸奔”状态。如，某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息；某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息；某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息；某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息；某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。
在使用传输环节，企业随意授权放权管理不到位。不少企业在个人信息的使用和传输环节内控制度不严格，存在诸多薄弱问题。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息，容易导致数据被滥用；有房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息。
在管理制度上企业关于个人信息保护措施明显缺失。被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。
在安全防护上网络信息系统存在安全漏洞。被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞，如一家房产中介企业的网络安全高危漏洞达到7个，还有中低危漏洞8个，易被不法分子利用，存在大量数据被泄漏或被窃取等安全风险。
信息来源：
https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA?version=2.5.50001.5476&platform=win

END

*附件列表(点击下载)

责任编辑：巢戌初

南京市律师协会微信公众账号