【数据交易与网络安全委半月资讯】 - 实务指引 - 业务研究 - 中文版-金陵律师网-南京市律师协会官网

当前位置：首页 >> 业务研究 >> 实务指引

【数据交易与网络安全委半月资讯】

日期：2024-03-06 阅读：1,218次

数据交易与网络安全委半月资讯

南京市律协数据交易与网络安全委整理

行业动态（境内）
01

《保守国家秘密法》正式修订通过，完善网络信息、数据保密管理
2月27日，第十四届全国人民代表大会常务委员会第八次会议修订通过《保守国家秘密法》，自2024年5月1日起施行。
此次修订高度重视保密科技创新和科技防护：一是新增条款支持保密科技创新；二是完善保密科技防护制度措施。一方面，规定涉密信息系统规划、建设、运行、维护全流程应当符合国家保密规定和标准，并配备保密设施、设备，明确涉密信息系统定期风险评估要求，避免“带病运行”；另一方面，规定机关、单位加强对信息系统、信息设备的保密管理，建设保密自监管设施，及时发现并处置安全保密风险隐患；三是规范用于保护国家秘密的安全保密产品和保密技术装备管理。
此次修订还进一步完善网络信息保密管理制度：一是明确网络信息的制作、复制、发布、传播等各个环节均应当遵守国家保密规定；二是规定网络运营者应当配合有关部门对涉嫌泄露国家秘密案件进行调查处理；发现利用互联网及其他公共信息网络发布的信息涉嫌泄露国家秘密的，应当及时处置报告，并根据要求删除涉及泄露国家秘密的信息，对有关设备进行技术处理等。此次修订还加强与数据安全法的协同衔接，新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。
信息来源：中国政府网

财政部发布《关于加强行政事业单位数据资产管理的通知》
2月8日，财政部发布《关于加强行政事业单位数据资产管理的通知》，旨在贯彻落实《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》，加强行政事业单位数据资产管理，充分发挥数据资产价值作用，保障数据资产安全。
通知要求明晰管理责任，健全管理制度。各部门应当根据工作需要和实际情况，建立健全行政事业单位数据资产管理办法，针对数据资产确权、配置、使用、处置、收益、安全、保密等重点管理环节，细化管理要求，明确操作规程，确保管理规范、流程清晰、责任可查。
规范管理行为，释放资产价值。加强数据资产源头管理，在依法履职或提供公共服务过程中，应当按照规定的范围、方法、技术标准等进行自主采集、生产加工数据形成资产。通过购置方式配置数据资产的，应当按照预算管理规定科学配置，涉及政府采购的应当执行政府采购有关规定。依据《数据安全法》等规定，做好数据资产加工处理工作，提高数据资产质量和管理水平。积极推动数据资产开放共享，在确保公共安全和保护个人隐私的前提下，加强数据资产汇聚共享和开发开放，促进数据资产使用价值充分利用。
严格防控风险，确保数据安全。各部门及其所属单位要认真贯彻总体国家安全观，严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律制度规定，落实网络安全等级保护制度，建立数据资产安全管理制度和监测预警、应急处置机制，推进数据资产分类分级管理，把安全贯穿数据资产全生命周期管理，有效防范和化解各类数据资产安全风险，切实筑牢数据资产安全保障防线。各部门及其所属单位应当按规定做好国家数据安全风险评估。
信息来源：
http://www.mof.gov.cn/jrttts/202402/t20240208_3928613.htm

自然资源部发布《对外提供涉密测绘成果管理办法（征求意见稿）》
2月20日，自然资源部发布《对外提供涉密测绘成果管理办法（征求意见稿）》，向社会征求意见，截止时间为文件发布后30日。在对外交往与合作中向境外机构、组织、人员及外商投资企业提供涉密测绘成果，适用该办法。
办法明确“涉密测绘成果”是指按照《测绘地理信息管理工作国家秘密范围的规定》所确定的属于国家秘密事项的测绘成果。对外提供涉密测绘成果工作应遵循“既能维护国家安全和利益、又能适应对外交往与合作需要的原则”。
办法明确，对外提供涉密测绘成果实行分级审批制度。国务院及国务院各部门批准开展的对外交往与合作活动需要对外提供涉密测绘成果的，由自然资源部审批；审批前应当征求军队测绘部门意见。必要时，可征求国务院相关部门意见。省级及省级以下人民政府批准开展的对外交往与合作活动需要对外提供涉密测绘成果的，由当地省级自然资源主管部门审批，其中，陕西、黑龙江、四川、海南由当地测绘地理信息局审批；省级自然资源主管部门在审批前，应当征求军队测绘部门意见。必要时，可征求省级人民政府相关部门意见。
办法规定申请对外提供涉密测绘成果的具体条件，申请对外提供涉密测绘成果应当提交的材料，以及不予批准的情形。另外，申请人应当与外方签订保密协议，限定涉密测绘成果的使用和知悉范围，明确外方的保密义务和违约责任。申请人应当在收到对外提供涉密测绘成果批准决定之日起10个工作日内，将批准决定及保密协议文本报同级保密行政管理部门备案。申请人应当在向外方提供涉密测绘成果后10个工作日内，将签署的保密协议复印件报审批机关备案。
信息来源：
http://gi.mnr.gov.cn/202402/t20240221_2837948.html

国家数据局等四部门联合开展全国数据资源调查
2月7日，国家数据局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合发布通知，开展全国数据资源情况调查，调研各单位数据资源生产存储、流通交易、开发利用、安全等情况，为相关政策制定、试点示范等工作提供数据支持。
通知明确调查对象包括：（1）省级数据管理机构、工业和信息化主管部门、公安厅（局）；（2）各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位；（3）中央企业；（4）行业协会商会；（5）国家信息中心。调查对象需通过全国数据资源调查管理平台，填写相关调查表。
信息来源：
https://mp.weixin.qq.com/s/7UzEZozBafi0kNeDVu8uAQ?version=2.5.50001.5476&platform=win

上海印发《上海市落实<全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案>的实施方案》
2月2日，上海市人民政府印发《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》，旨在持续推进中国（上海）自由贸易试验区在更广领域、更深层次开展制度型开放先行先试，打造国家制度型开放示范区。
实施方案明确主要目标是用3年时间，率先在上海自贸试验区规划范围内构建与国际高标准经贸规则相衔接的制度体系和监管模式，贸易投资便利化水平达到国际一流水平，数字经济规则与国际通行做法相衔接，具备与开放型经济相适应的开放监管能力和风险防控能力，提高参与国际规则构建的整体能力，在重点领域形成参与国际合作与竞争的新动能、新优势。实施方案从加快服务贸易扩大开放，提升货物贸易自由化便利化水平，率先实施高标准数字贸易规则，加强知识产权保护，推进政府采购领域改革，推动相关边境后管理制度改革以及加强风险防控体系建设等方面做出规定。
其中，加快服务贸易扩大开放方面，实施方案明确在国家数据跨境传输安全管理制度框架下，金融机构可以向境外传输日常经营所需的数据。金融机构开展数据出境工作，应按照数据分类分级管理及数据安全工作要求，开展数据出境安全评估、个人信息保护认证和个人信息出境标准合同备案，保证重要数据和个人信息的安全。
率先实施高标准数字贸易规则方面，实施方案明确规范和促进数据跨境流动，探索建立合法安全便利的数据跨境流动机制，提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等，便利数据处理者开展数据出境自评等数据出境安全合规工作。促进数据开放共享，鼓励公共数据在保护个人隐私和确保公共安全的前提下，按照“原始数据不出域、数据可用不可见”的要求，以模型、核验等产品和服务等形式向社会提供，探索开展公共数据开发利用，鼓励开发以数据集为基础的新产品和服务。
信息来源：
https://www.shanghai.gov.cn/nw12344/20240205/2af907af61cf4977866b7d377baf5d1d.html

北京发布《北京市关于进一步优化外商投资环境加大吸引外商投资力度的若干措施》，提出试点探索便利化数据跨境流动安全管理机制
2月7日，北京市人民政府发布《北京市关于进一步优化外商投资环境加大吸引外商投资力度的若干措施》，旨在落实《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》，进一步优化外商投资环境，推动更高水平对外开放，助力构建新发展格局，推动高质量发展。
措施围绕提高利用外资质量，保障外商投资企业国民待遇，持续加强外商投资保护，提高投资运营便利化水平，加大财税支持力度以及完善外商投资促进方式等方面做出规定。其中，措施明确试点探索便利化数据跨境流动安全管理机制。落实网络安全法、数据安全法、个人信息保护法等要求，持续完善“绿色通道”服务机制，进一步做好重点领域外商投资企业数据出境合规指导，为符合条件的外商投资企业提供数据跨境便利化服务，提升审核与备案效率。持续推进本市数据跨境安全与产业发展协同创新中心、跨国企业数据流通中心、数据治理与跨境服务中心等服务平台建设，提供数据跨境流动合规服务。分类分级开展数据出境安全管理，进一步优化数字营商环境。
信息来源：
https://sw.beijing.gov.cn/zwxx/zcfg/zcwj/202402/t20240207_3558561.html

临港新片区管委会发布《中国（上海）自由贸易试验区临港新片区公共数据管理办法》
2月4日，临港新片区管委会发布《中国（上海）自由贸易试验区临港新片区公共数据管理办法》，自2024年3月5日施行。
管理办法共七章三十二条，围绕公共数据收集、登记、归集与治理，公共数据共享、开放与应用，公共数据授权运营及公共数据安全等方面做出规定。适用于公共数据的收集、登记、归集、治理、共享、开放、应用、授权运营及安全保障等公共数据全生命周期管理工作。
其中，管理办法明确公共管理和服务机构应当合法、必要、适度地收集公共数据。可以通过共享方式获得公共数据的，应避免通过其他方式重复收集。公共数据授权运营管理部门严格按照“原始数据不出域，数据可用不可见”要求，在保护个人隐私和确保公共数据安全前提下，开展公共数据授权运营。依托安全管控机制和安全服务产品，实施授权数据分类分级管理，加强公共数据授权全流程安全管控。公共管理和服务机构按照“谁管业务，谁管业务数据，谁管数据安全”的原则明确重要岗位人员的数据安全责任和要求，签署数据安全责任书，并开展数据安全测评和风险评估，保障公共数据安全。
信息来源：
http://service.shanghai.gov.cn/XingZhengWenDangKuJyh/XZGFDetails.aspx?docid=240208144549l6WpdrdfKNdtWfPyhzd

临港新片区管理委员会印发《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》
2月8日，临港新片区管理委员会印发《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》，旨在进一步指导和帮助数据处理者高效合规地开展数据跨境流动。
办法共七章二十一条，主要围绕职责及分工、数据跨境分类分级管理、重要数据目录管理、一般数据清单管理、监督管理及违规处置做出规定。适用于在临港新片区范围内登记注册的，或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。
管理办法明确，结合上海“五个中心”建设，围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求，以跨境需求最迫切的典型场景为切入口，对跨境数据进行分类管理。按照《数据安全法》要求，跨境数据分级从高到低依次分为核心数据、重要数据、一般数据 3 个级别，核心数据禁止跨境，重要数据形成重要数据目录，一般数据形成一般数据清单。
临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录，并报相关部门备案。同时按照要求制定纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，报经市委网络安全和信息化委员会批准后，报相关部门备案。数据处理者对重要数据目录内的数据，可通过临港新片区数据跨境服务中心申报数据出境安全评估。
信息来源：
https://www.lingang.gov.cn/html/website/lg/index/government/file/1756018881550389249.html

行业动态（境外）
01

爱尔兰高等法院允许Schrems参与Meta对数据传输裁定的质疑案
2月15日消息，爱尔兰高等法院允许隐私权运动人士Max Schrems参与Facebook母公司Meta对要求其暂停从欧洲向美国传输和存储用户数据的裁决提出的质疑案。
Michael Quinn法官裁定，奥地利律师、隐私权组织 NOYB（None Of Your Business）成员Schrems受到了Meta诉讼程序独特而直接的影响，因此下令将其列为通知方。作为通知方，Schrems将被允许在Meta就数据传输裁决向高等法院提起的两起独立但相关的案件中进行辩论。
Meta提起的第一起案件是针对数据保护委员会（DPC）2023年5月作出的要求其暂停美国数据传决定提起的法定上诉。此前，DPC主动对数据传输问题进行过调查，并对Meta公司处以创纪录的12亿欧元的巨额罚款。Meta提起的第二起案件是其要求撤销DPC裁决的司法审查。
Schrems申请作为通知方加入这两起案件，而Meta和DPC均反对这一申请。Schrems辩称，他对此诉讼具有“明显重要和直接的利益”，因为针对整个数据传输案的调查都是源于他在2013年向DPC提出的最初投诉。该投诉最终导致欧盟法院（CJEU）作出两项裁决，支持他对数据传输的担忧。正是在欧盟法院作出第二项裁决后，DPC于2020年主动对数据传输案进行了调查，其结果引发了Meta的质疑。
Meta和DPC主张，Schrems作为通知方参与的必要条件不是他在诉讼中有重大利益，而是他是否受到诉讼结果的“直接影响”。Meta和DPC认为，Schrems可能对诉讼结果感兴趣，但他只具有一般利益，而不是“个人意义上”的权利或利益，Schrems的处境与欧盟或欧洲经济区数百万Facebook服务用户中的数据主体并无不同。让Schrems加入本次案件将不合理地扩大诉讼范围，增加诉讼的复杂性，延长诉讼时间。
Quinn法官表示，Meta和DPC要求法院无视两个调查都是Schrems最初投诉的结果这一事实，Schrems并不是与这些诉讼结果有一般或间接利益关系的数百万用户之一。鉴于Schrems具有参与过两项调查共同问题的历史以及他在两项调查中的当前地位，其受到了独特而直接的影响。法官确信，审理Meta质疑案的法庭将有权规范听证会的程序，以控制由于Schrems的参与发生的额外时间和费用造成的影响。他认为，在本案的情况下，延长审理时间的风险不足以拒绝Schrems参与审理。
信息来源：
https://www.irishtimes.com/business/2024/02/15/high-court-permits-privacy-campaigner-to-participate-in-metas-challenge-to-data-transfer-suspension/

法国数据保护机构公布2024年监管重点
2月7日，法国数据保护机构（CNIL）公布2024年监管重点。2024年，CNIL将重点关注奥运会和残奥会相关的数据收集、在线收集未成年人数据、忠诚度计划和无纸化收据以及数据主体的访问权等方面的问题，具体内容如下：
（1）奥运会和残奥会相关的数据收集。大型国际赛事期间，法国将迎来数百万观众和数千名运动员。届时重要的安全管理措施将被部署，因涉及收集大量个人数据，CNIL将对这些措施的使用情况进行检查，如对禁区二维码的使用、出入授权和增强型摄像头的使用情况进行检查。除安全方面外，CNIL还将关注商业方面，特别是伴随票务服务的数据收集问题。考虑到相关人员的数量以及可能接收数据的赛事合作伙伴的数量，有必要通过核实所传达的信息、数据接收者或所采取的安全措施来确保收集数据的条件。
（2）网上收集的未成年人数据。随着未成年人越来越多地接触社交网络、交友网站或在线游戏平台，将会导致平台大量收集有关其身份、喜好或生活习惯的信息，进而对其亲密关系、心理健康或未来的社会职业产生重大影响。在调查过程中，CNIL将检查平台是否实施年龄限制机制、采取哪些安全措施以及是否遵守数据最小化原则。
（3）忠诚度计划和无纸化收据。大多数连锁零售商都提供忠诚度计划，该计划可以收集大量消费者信息，如饮食习惯、家庭组成、子女年龄段、是否有宠物等。进一步地，这些数据可以重新用于商业用途或定向广告。此外，最近随着反浪费和循环经济相关法律的出台而出现的收据无纸化也可能导致对个人数据的额外处理，例如通过短信或电子邮件发送收据。针对将数据重新用于定向广告目的的情形，CNIL将对事先取得同意规则的遵守情况进行监督。
（4）数据主体的访问权。作为欧洲数据保护委员会（EDPB）建立的协调执行框架下的第三项行动的一部分，CNIL及其对应机构将对行使访问权的条件进行检查。检查结束之后会对各国的结果进行汇总和分析，从而更好地了解执法重点，并在国家和欧洲层面采取有针对性的后续行动。
信息来源：
https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2024-donnees-des-mineurs-jeux-olympiques-droit-dacces-et-tickets-de

德国联邦内阁批准法律草案，以修订《联邦数据保护法》
2月7日，德国联邦内政、建筑和社区部（BMI）宣布，德国联邦内阁已批准由BMI部长Nancy Faeser提交的法律草案，以修订2017年6月30日实施的《联邦数据保护法》（Federal Data Protection Act）。草案将使德国联邦和州政府的独立数据保护监督机构会议制度化，改善德国数据保护法的实施，并为消费者权益保护评分制度创造法律确定性。具体地，法律草案包含以下几方面内容：
（1）将德国联邦和州政府的独立数据保护监督机构会议制度化，保障基本的数据保护权利，实现欧洲和国家数据保护法的统一适用，并共同倡导其进一步发展。
（2）出于科学、历史或统计目的处理数据的公司和机构，在根据数据保护法负有共同责任的跨境项目中，只需要跟一个监管机构进行联络，无需对接多个监管机构。
（3）明确规定联邦政府和州政府的监管机构必须在欧洲合作框架内尽早进行内部协调，加强联邦政府和州政府监管机构在欧盟事务方面的合作。
（4）落实《联邦数据保护法》的评估结果。
（5）规范信用机构评分机制的法律依据。欧盟《通用数据保护条例》（GDPR）第22条禁止仅通过自动化处理就对个人作出对其产生法律效力的决策。根据该判例法，如果第三方作出的决策在很大程度上取决于信用机构的评分，那么信用机构即使仅创造一个评分也可能构成此类自动化决策。
另外，草案规定以下数据不得用于创建评分概率值：（1）GDPR第9（1）条所指的特殊类别个人数据，如民族血统、生物特征数据和健康数据；（2）数据主体的姓名或来自其使用的社交网络中的个人数据；（3）银行账户的收支信息；（4）地址数据；（5）未成年人数据。
该法律草案尚未在德国《联邦法律公报》上公布。
信息来源：
https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2024/02/bdsg-kabinett.html

德国联邦政府通过《国际数字政策战略》
2月7日，德国联邦政府（Bundesregierung）宣布已通过《国际数字政策战略》（Strategy for International Digital Policy），为其制定国际数字政策的规范和标准奠定基础，各部门将在各自的职责范围内实施该战略。
该战略为德国在如何协助塑造全球数字时代方面提供了以下指导原则：（1）保护线上和线下的基本权利和人权，例如倡导隐私权和数据保护权作为数字社会的宝贵商品；（2）倡导构建全球、开放、自由和安全的互联网，例如将保持网络中立性视为首要原则，即在网络中平等对待数据，无论其来源、内容、应用、发送方和接收方如何；
（3）加强以价值为基础的技术伙伴关系，例如与七国集团（G7）、二十国集团（G20）、经济合作与发展组织或世界贸易组织中的合作伙伴开展更加密切的合作；（4）促进以人为本、有利于创新的数字空间规则，例如支持制定人工智能（AI）等新数字技术领域的规范、原则和标准；（5）支持可信和安全的国际数据流动，例如反对数字保护主义，特别是对数据流动的不合理和任意限制；（6）积极制定国际规范和标准，如使中小型企业和民间团体参与到制定过程，以提高德国在国际标准化进程和标准化机构中的参与度；（7）加强安全和可持续的全球数字基础设施，例如积极与合作伙伴合作，确保海底数据电缆、地面光纤电缆和新卫星星座的扩展和保护；（8）降低技术价值链中的风险，例如尽快识别薄弱环节和减少关键依赖；（9）利用数字化应对全球挑战，例如通过合作促进全球数字化发展，以实现全球可持续发展目标。
信息来源：
https://www.bundesregierung.de/breg-de/aktuelles/internationale-digitalpolitik-2258116

韩国个人信息保护委员会发布《个人信息处理政策评估通知》，正式实施个人信息处理政策评估制度
2月19日，韩国个人信息保护委员会（PIPC）发布《个人信息处理政策评估通知》（개인정보 처리방침 평가에 관한 고시），以正式实施根据已修订《个人信息保护法》第30条之2引入的个人信息处理政策评估制度。
个人信息处理政策评估制度是指，针对由个人信息处理者制定并公开的个人信息处理政策，PIPC评估其（1）是否根据《个人信息保护法》合理制定应包含事项；（2）相关规定是否以通俗易懂地方式呈现；（3）是否以数据主体可以轻易访问的方法公开，并提供改善建议的制度。
《通知》的主要内容如下：第一，具体规定选定处理政策评估对象的考虑标准（第4条）。进一步细化规定《个人信息保护法施行令》第31条之2第1款各项的评估对象选定标准，并由PIPC通过审议和表决选定符合细化标准的评估对象。该细化标准包含个人信息处理者的类型及销售额规模、处理的个人信息类型及规模、个人信息处理的法律依据及方式、是否发生违法行为，以及儿童、青少年等信息主体特性的内容，具体规定如下：
（1）前一年销售额为1500亿韩元以上，且以前一年年末为准，前三个月内个人信息被存储和管理的信息主体数量为日平均100万人以上；
（2）前一年年末为准，前3个月内敏感信息、固有识别信息被存储和管理的信息主体数量为日平均5万人以上；
（3）该处理政策不得将未经信息主体同意可处理的个人信息的项目和法律依据，与需经同意可处理的个人信息进行区分规定；
（4）因使用完全自动化系统（包括使用人工智能技术的系统）和其他新技术处理个人信息，存在侵犯个人信息的风险；
（5）最近3年，发生个人信息泄露等事件超过2次或者受到PIPC的罚款处分；
（6）运营以未满19岁的儿童或青少年为主要用户的信息通信服务。
第二，规定个人信息处理政策评估的程序（第3、5、7条）。规定PIPC应在评价开始前14天，制定规定评价对象、标准、日程等内容的评价计划并公布在PIPC官网。评估流程应按照制定和通知评估计划、组成评估委员会、实施评估、通知评估结果的顺序进行，且对评估结果有异议的个人信息处理者可在接到结果通知之日起20日内提出异议。
第三，规定个人信息处理政策评估委员会的组成及工作原则（第6条）。PIPC为了评估个人信息处理政策，可以组建由20名以上至50名以内具备个人信息保护相关学识和丰富经验的外部专家构成的评估委员会。若评估委员与评估对象有直接利害关系时，规定其不得参与相关对象的评估，以保证评估程序的公正性。
第四，为评价结果的回馈体系提供依据（第8条，附表1）。PIPC可以对个人信息处理政策评估结果为优秀的个人信息处理者进行奖励；若评估结果为需要改善，PIPC可以根据《个人信息保护法》第61条第2款建议改善，并根据该法第66条公布结果及命令公布。
《通知》将于2月20日开始实施，PIPC计划在3月份中旬发行反映修订后的《个人信息保护法》事项的《个人信息处理政策制定指南》修订版。另外,2024年上半年中旬将选定处理政策评价对象，并制定评价计划。
信息来源：
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9927#LINK

韩国个人信息保护委员会发布《公共机关提供假名信息实务指南（21.1）》
2月19日，韩国个人信息保护委员会（PIPC）发布《公共机关提供假名信息实务指南（21.1）》（공공분야 가명정보 제공 실무안내서(21.1）），旨在通过提供具体流程和检查事项，协助公共机关根据《个人信息保护法》（PIPA）处理假名信息。
指南包括对公共机关提供假名信息的概述，如背景、相关规定、提供假名信息各阶段流程和主要术语定义（“假名处理”“假名信息”和“匿名信息”等）等，以及公共机关提供假名信息各阶段处理事项。
指南重点介绍公共机关提供假名信息各阶段处理事项，具体内容如下：
（1）事前准备阶段，即公共机关收到假名处理和提供其所保留数据的申请后，对该申请进行适当性检查的阶段。该阶段包括申请提供假名信息、接收申请书、检查提供假名信息申请的适当性、通知适当性检查结果（分为拒绝提供和决定提供）。
（2）假名处理阶段，包括选定对象、检测风险度、定义假名处理程度，以及假名处理共4个步骤。
（3）适当性检查和追加假名处理阶段，即假名处理后根据《假名处理程度定义表》的标准，确认处理是否适当、是否能达到进行假名处理目的以及有无重新识别可能性的阶段。该阶段包括完成假名处理、检查适当性、追加进行假名处理（如果需要）以及提供假名信息。
（4）使用和事后管理阶段，即使用经假名处理后的信息，以及管理追加信息的阶段。在该阶段，指南规定保护假名信息的措施包括行政性、技术性和物理性措施。
同时，指南提供了各阶段处理事项的相关示例。
信息来源：
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=9934#LINK

案例分享
01

江苏省南京市栖霞区检察院公布一起以“私家侦探”调查名义侵犯公民个人信息案件
2月19日，江苏省南京市栖霞区检察院公布一起以“私家侦探”调查名义侵犯公民个人信息案件。
2023年11月中旬，南京市栖霞区某银行保安报警称，可能有人要抢劫运钞车。警方调查后，发现一个以“私家侦探”调查名义，侵犯公民个人信息的犯罪团伙。经查，2021年，张华成立了一家公司，为他人提供“情感咨询”“婚姻调查”等业务。吴生随后投钱加入，占股20%左右。最初，二人亲自上街发传单，后随着“业务”的扩大，又先后吸纳了小强等人作为员工加入。当有人联系业务时，张华、吴生负责谈业务、签协议，并收取相应服务费，再由小强等人跟踪、偷拍、装定位装置等，张华、吴生则在背后管理、监督、指导“业务”开展。
该团伙先后以这种方式非法获取他人行踪轨迹信息，并向他人出售，非法所得十余万元。直到2023年11月，受雇主委托，该团伙在蹲守一名银行工作人员过程中，被保安大叔误认为是“劫匪”，被警方一网打尽。
栖霞区检察院最终认定张华、吴生非法获取并出售被害人行踪轨迹等个人信息的行为已触犯刑法，涉嫌侵犯公民个人信息罪并对二人批准逮捕。此外，检察官围绕全案事实以及资金流水情况等，向公安机关提出继续补充侦查意见十余条。目前，案件仍在进一步侦查中。
信息来源：
https://www.thepaper.cn/newsDetail_forward_26417997

因拒不履行网络安全保护义务，海南省琼海市公安局对某公司罚款5万元
1月26日消息，海南省琼海市公安局对一家不履行网络安全保护义务的公司依法处以5万元罚款。
2023年2月，琼海市公安局在开展全市网络安全隐患检查时发现某公司未落实网络安全等级保护制度要求，导致其0A办公系统被黑客植入勒索病毒，造成不良影响，当即下发整改通知书责令该公司限期整改，同时依法给予警告处罚。2024年1月份，琼海市公安局在工作中发现该公司OA办公系统再次被攻击并被植入违法信息，随即组织技术人员对该公司进行指导并检查，发现该公司未按要求对其 OA办公系统存在的网络安全隐患进行整改，造成此次严重影响。
经查，该公司未采取相应的网络安全防护措施，违反《网络安全法》相关规定，琼海市公安局依法给予该公司罚款五万元，直接负责人罚款一万元的行政处罚。
信息来源：
https://mp.weixin.qq.com/s/fFauOWDaYuDP1PG7sDKB1w

因拒不履行网络安全保护义务，内蒙古阿拉善盟公安局对三家企业做出处罚
1月26日，因拒不履行网络安全保护义务，内蒙古阿拉善盟公安局技侦网安支队对三家企业做出处罚。
1月18日，民警在工作中发现，内蒙古泰升实业集团有限公司、内蒙古灵圣作物科技有限公司、内蒙古紫光化工有限公司3家企业，在先期收到阿拉善盟公安局下发的《阿拉善盟公安局限期整改通知书》的情况下，仍未开展计算机信息系统等级保护工作。26日，技侦网安民警依据《网络安全法》对以上三家企业分别给予罚款2万元，企业法人分别给予罚款5千元的行政处罚。
信息来源：
https://mp.weixin.qq.com/s/Sem1UrSUDKUcBGmsI_cKvA

因未尽消费者个人信息保护义务，上海市网信办依法处罚一批单位
1月29日消息，“亮剑浦江”专项行动期间，上海市区两级网信、市场监管部门累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。部分企业虽然已被约谈要求整改或接受过普法培训，仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题。上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。部分典型案例如下：
在收集环节，强制要、过度取个人信息问题依然存在。如，某餐饮企业的外送微信小程序在收货地址填写环节，强制用户同意打开精准位置权限，否则无法添加收货地址，属于对消费者非必要个人信息强制索权。
在存储环节，大量个人信息未加密处于“裸奔”状态。如，某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息；某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息；某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息；某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息；某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。
在使用传输环节，企业随意授权放权管理不到位。不少企业在个人信息的使用和传输环节内控制度不严格，存在诸多薄弱问题。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息，容易导致数据被滥用；有房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息。
在管理制度上企业关于个人信息保护措施明显缺失。被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。
在安全防护上网络信息系统存在安全漏洞。被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞，如一家房产中介企业的网络安全高危漏洞达到7个，还有中低危漏洞8个，易被不法分子利用，存在大量数据被泄漏或被窃取等安全风险。
信息来源：
https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA

因泄露公民个人信息，湖南省衡阳市网信办对某科技公司罚款10万元
1月30日消息，因开发应用的网站数据库存在未授权访问的漏洞，导致公民个人信息泄露，湖南省衡阳市网信办依据《数据安全法》对北京某科技公司予以行政处罚。
经调查核实，该科技公司于2023年1月开发一家网站，存储了包含用户姓名、手机号、电子邮箱等在内的大量个人信息。该科技公司在开展数据处理活动时，未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的措施保障数据安全。同时，在开展数据处理活动时未加强风险监测，造成个人信息泄露等问题，该网站存在未履行数据安全保护义务的违法行为。针对以上违法情况，衡阳市网信办依据《数据安全法》第四十五条有关规定，对该科技公司作出责令改正，给予警告，并处人民币10万元罚款的行政处罚。
信息来源：
https://mp.weixin.qq.com/s/CyEh9zB4o9BFUViFGKVcjA

最高检：当前网络犯罪呈多发高发态势
2月23日，最高检召开“依法惩治网络犯罪助力网络空间综合治理”发布会，通报工作情况。
通报指出，网络犯罪不断滋生蔓延，网络诈骗、网络暴力、侵犯公民个人信息等犯罪升级演变。总的看，当前网络犯罪呈多发高发态势。2023年1至11月，检察机关共起诉各类网络犯罪28万人，同比上升35.5%，占全部刑事犯罪的18.8%。
网络犯罪呈现如下趋势特点：一是电信网络诈骗及其关联犯罪大幅增多；二是与新技术新业态相伴生，黑灰产业加速迭代升级；三是传统犯罪向网络空间迁移，网络犯罪样态日趋复杂；四是威胁数据信息安全类犯罪常见多发，危害数字经济健康发展。
发布会同步发布八起典型案例，包括黄某某侵犯公民个人信息案——利用网络非法买卖他人实名微信号；吕某某非法控制计算机信息系统案——离职人员远程登录科技公司服务器删除数据等案件。
信息来源：
https://mp.weixin.qq.com/s/6uFuWHC9pNwmUmhUhjLdhA

宝马发生敏感数据泄露事件，涉及中国、欧洲和美国三地
2月15日TechCrunch报道称，汽车巨头宝马的云存储服务器发生配置错误，导致包含私钥和内部数据的公司敏感信息泄露。
威胁情报公司SOCRadar的安全研究员Can Yoleri告诉TechCrunch：是在例行扫描互联网时发现，在宝马开发环境中被暴露的微软Azure托管存储服务器，被错误配置为公共访问而非设置为私有。该存储服务器包含脚本文件，内含Azure容器访问信息、私有存储服务器地址的密钥以及其他云服务细节。
与TechCrunch共享的截图显示，此次泄露的数据包括宝马在中国、欧洲和美国的云服务私钥，以及宝马生产和开发数据库的登录凭证，不过目前尚不清楚具体数据泄露量。
宝马发言人Chris Overall已证实，此次数据泄露影响了基于存储开发环境的微软Azure存储服务器，并表示没有客户或个人数据因此受到影响。该发言人补充说：“宝马集团已于2024年初修复了这一问题，我们将继续与合作伙伴一起监控情况。”
宝马拒绝透露存储服务器数据泄露持续时间，也不愿透露泄露数据是否已被恶意访问。Yoleri表示，虽然其没有任何恶意访问的证据，但这并不意味着不存在。
Yoleri告诉TechCrunch，虽然宝马在其向公司报告数据泄露后将存储服务器设为私有，但公司还未撤销或更改在被泄露的存储服务器中发现的密码和凭证。
此外，上个月，强有力的竞争对手梅赛德斯-奔驰也发生过类似数据泄露事件。奔驰在网上留下一个允许“不受限制地访问”其源代码的私钥，从而意外暴露其大量内部数据。TechCrunch向梅赛德斯披露了这一安全问题后，这家汽车制造商表示已撤销相应的API令牌，并立即删除了公共存储库。
这两起事件表明，汽车巨头的数据安全仍存在漏洞，需要加强云服务和内部系统的防护，避免核心业务数据继续遭到泄露。
信息来源：
https://techcrunch.com/2024/02/14/bmw-security-lapse-exposed-sensitive-company-information-researcher-finds/

END

*附件列表(点击下载)

责任编辑：巢戌初

南京市律师协会微信公众账号