尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
大家好,我是鵝師傅。
今天為大家帶來國內外在數據安全治理領域的前沿觀察。
近期,國家網信辦發布了個人信息出境、兒童個人信息、網路數據安全管理、網路安全審查等多個辦法的征求意見稿。
國際方面,美國多個州通過了數據安全相關的修訂案,歐盟數據保護委員會發布了 GDPR 實施報告。
國內動態
#立法動態#
國家網信辦發布《個人信息出境安全評估辦法(征求意見稿)》
2019 年 6 月 13 日,為了保障個人信息安全,維護網路空間主權、國家安全、 社會公共利益,保護公民、法人的合法權益,國家互聯網信息辦公室(「國家網 信辦」)發布了《個人信息出境安全評估辦法(征求意見稿)》。
該辦法對網路經營者向境外提供在中華人民共和國境內經營中收集的個人信息進行了規定。
國家網信辦發布《兒童個人信息網路保護規定(征求意見稿)》
2019年5月31日,為了規範收集使用兒童個人信息等行為,保護兒童合法權益,為兒童健康成長創造良好的網上環境,國家互聯網信息辦公室(「國家網信辦」)發布了《兒童個人信息網路保護規定(征求意見稿)》。
該規定適用於在中國境內通過網路從事收集、存儲、使用、轉移、披露兒童個人信息等活動。
國家網信辦發布《數據安全管理辦法(征求意見稿)》
2019年5月28日,為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網路空間的合法權益,保障個人信息和重要數據安全,國家網信辦發布了《數據安全管理辦法(征求意見稿)》。
該辦法對在中國境內利用網路開展數據收集、存儲、傳輸、處理、使用等活動以及數據安全的保護和監督管理進行了規定。
國家網信辦發布《網路安全審查辦法(征求意見稿)》
2019年5月24日,為提高關鍵信息基礎設施安全可控水平,維護國家安全,國家網信辦發布了由其會同國家發展和改革委員會、工業和信息化部、公安部等12個部門聯合起草的《網路安全審查辦法(征求意見稿)》。
該辦法明確適用於「關鍵信息基礎設施經營者採購網路產品和服務」活動,而一般不會延伸至一般的網路經營者。同時,相較於2017年國家網新辦發布的《網路產品和服務安全審查辦法(試行)》,該辦法在適用範圍、適用原則、審查內容和審查程序等諸多方面均有較大幅度的變更。
網路安全等級保護2.0版發布,雲計算平台運維需設在中國境內
2019年5月13日,國家市場監督管理總局、國家標準化管理委員會公布了新修訂的《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全等級保護安全設計技術要求》三項國家標準。
新國標將等級保護對象從信息系統擴展到網路基礎設施、雲計算平台、大數據平台、物聯網、工業控制系統、採用移動互聯技術的系統等,體現了綜合防禦、縱深防禦、主動防禦思想,規定了從第一級到第四級保護等級對象的安全保護要求。
《天津市數據安全管理辦法(暫行)》(征求意見稿)發布
2019年5月8日,天津市互聯網信息辦公室發布了《天津市數據安全管理辦法(暫行)》(征求意見稿),旨在加強天津市數據安全管理工作,建立健全數據安全保障體系,促進大數據發展應用。
該辦法提出市互聯網信息主管部門應當建立本市數據安全信息備案制度,會同有關部門組織重要數據和個人信息的數據經營者對相關信息開展備案工作。
《App違法違規收集使用個人信息行為認定方法(征求意見稿)》發布
2019年5月5日,由全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網路空間安全協會成立的App專項治理工作組發布了《App違法違規收集使用個人信息行為認定方法(征求意見稿)》。
該認定方法將違法違規行為分為七種情形,包括:沒有公開收集使用規則;沒有明示收集使用個人信息的目的、方式和範圍;未經同意收集使用個人信息;違反必要性原則,收集與其提供的服務無關的個人信息;未經同意向他人提供個人信息;未按法律規定提供刪除或更正個人信息功能;以及侵犯未成年人在網路空間合法權益。
執法機構
百款常用App申請收集使用個人信息權限情況公布
2019年5月24日,為讓公眾直觀了解常用App申請收集使用個人信息權限情況, App專項治理工作組對包括餓了麼、支付寶、京東等在內的下載量大的100款App申請權限以及強制開啟的權限進行了分析統計,並在國家網信辦官網上進行了公布了「百款常用App申請收集使用個人信息權限列表」。
工信部通報2019年第一季度信息通信行業網路安全監管情況
2019年5月22日,工業和信息化部(「工信部」)通報了2019年第一季度信息通信行業網路安全監管有關情況。通報指出,在網路安全總體態勢方面,公共互聯網安全保護形勢依舊嚴峻,工業互聯網安全風險居高不下,移動通信轉售企業電話用戶實名登記工作成效持續鞏固。
而網路安全監管方面,工信部在本季度加強了網路數據安全事件監測跟蹤和執法調查,持續深化電信網路詐騙治理,開展移動通信轉售企業行業卡安全管理抽查。
國際動態
#立法動態#
美國參議院新提案:《邊境保護數據法案》
2019年5月24日,兩位美國參議員提出了《邊境保護數據法案》(Protecting Data at the Border Act)的新提案。該法案要求官員在邊境搜查美國人的設備之前獲得搜查令或書面同意。除此之外,該提案還給予了美國公民拒絕提交設備、密碼以及登陸認證的權利。
目前美國邊境官員可以幾乎不受限制地搜查旅客的電子設備。這些官員在沒有搜查令的前提下,可以搜查手機、筆記本電腦和其他電子設備。兩位美國參議員希望通過該法案來改變這種狀況。
美國舊金山禁止政府機構使用人臉識別技術
2019年5月14日,美國舊金山城市監督委員會(Board of Supervisors)通過了一項法令,禁止政府機構購買和使用人臉識別技術,從而成為全球首個禁止使用人臉識別技術的城市。
該法令還要求政府部門披露其目前使用或計劃使用的任何監控技術,並制定監管部門必須批准使用該技術時的規則。
美國新澤西州通過《數據泄露法》修訂案
2019年5月10日,美國新澤西州州長簽署了《數據泄露法》修訂案,其將於2019年9月1日起生效。該修訂案擴大了個人信息的定義,規定用戶的在線帳戶信息也屬於個人信息的范疇。
同時,該修訂案要求企業一旦發生數據泄露,必須通知受影響的主體,包括用戶名、電子郵件或其他帳戶持有者的可識別信息以及允許在線訪問帳戶的密碼和安全問題。此外,該修訂案還規定企業可以選擇以電子或其他方式通知數據主體,以便其及時修改密碼和安全問題。
美國華盛頓州通過《數據泄露通知法》修訂案
2019年5月7日,美國華盛頓州州長簽署了華盛頓《數據泄露通知法》修訂案(HB 1071)。
該修訂案修改了對個人信息的定義,將範圍擴大至出生日期、護照號碼、社保帳號等;同時,修訂案還將「與個人信息泄露有關的時間區間和細節」納入了企業需向受影響主體通知的內容範圍中,並縮短了向受影響數據主體和首席檢察長通知的時間,由原來的45天修改為30天。據悉,該修訂案將於2020年3月1日起生效。
執法機構
歐盟數據保護委員會發布GDPR實施報告
2019年5月16日,歐盟數據保護委員會(European Data Protection Board, 「EDPB」)發布了《GDPR實施、各國監管機構作用和手段的首次概述》的報告。
該報告顯示,自GDPR實施以來,歐盟數據保護監管機構已經收到了6.5萬數據泄露通知,11個歐盟成員國的執法機構根據GDPR進行處罰的總額超過了5595萬歐元。
西班牙數據保護機構發布強制隱私影響評估的數據處理活動清單
2019年5月6日,西班牙數據保護機構發布了強制隱私影響評估的數據處理活動清單。
該清單要求企業在進行下列數據處理活動前必須進行隱私影響評估,包括:自然人畫像;自動化決策;對數據主體進行系統和詳盡的觀察、監測、監督、地理定位或控制;處理GDPR第9條第1款下的特殊種類信息;以識別自然人為目的使用生物信息;以任何目的使用遺傳信息;大規模使用數據;為不同目的或由不同數據控制者關聯、組合或鏈接兩個或多個處理的數據庫記錄;處理敏感的數據主體信息可能有社會排斥風險者的數據;使用新技術或創新使用既定技術;妨礙數據主體行使權利的數據處理等。
#執法案例#
美國
涉嫌銷售iTunes用戶數據,蘋果面臨集體訴訟
2019年5月24日,蘋果公司因涉嫌販賣用戶iTunes消費信息而被消費者訴至加州北區聯邦法院。原告認為,蘋果公司通過將用戶在iTunes和Apple Music上的消費信息賣給其他公司,並允許第三方應用開發者直接訪問用戶iTunes資料庫中的曲目而不公平地獲利,因此要求蘋果支付超過500萬美元的損害賠償。
因違反HIPAA規定,印第安納州醫療記錄服務機構被處罰10萬美元
2019年5月23日,美國印第安納州醫藥信息科技工程企業(「MIE」)同意就其違反《健康保險流通與責任法案》(Health Insurance Portability and Accountability Act, 「HIPAA」)中的隱私和安全規定,向美國衛生與公眾服務部(U.S. Department of Health and Human Services)的民權辦公室(Office for Civil Rights, 「OCR」)支付10萬美元和解金,並作出整改承諾。
據悉,在2015年7月23日,MIE向OCR提交了一份泄露報告,表明黑客通過登錄用戶帳戶訪問了近350萬條受保護的電子健康信息。OCR調查發現MIE在泄露前並沒有履行全面評估潛在風險和漏洞的義務。
Touchstone因泄露患者健康信息被處罰300萬美元
2019年5月6日,美國田納西州醫療影像服務企業Touchstone同意就其違反HIPAA中的安全和泄露通知的規定,向美國衛生與公眾服務部OCR支付300萬美元和解金,並作出整改承諾。
據悉,2014年5月,Touchstone被FBI和OCR披露其FTP Server允許沒有訪問權限的帳戶訪問其患者的健康信息。
涉嫌向第三方出售用戶數據,美國四大電信經營商遭集體訴訟
2019年5月5日,美國四大電信經營商遭集體訴訟,被指控違反了《聯邦通信法》(Federal Communications Act)第22條規定,因其不同程度地將客戶的實時位置信息出售給第三方。
據悉,2018年,Verizon、AT&T、Sprint、T-Mobile均已陸續承諾停止這種做法,但是大部分數據出售行為仍然持續到2019年年初。
對此,美國立法者已經要求對這些指控進行調查,但截至目前,執法機構尚未採取任何法律行動,這也是此次消費者提起集體訴訟的原因。
Eddie Bauer就泄露Verdian帳戶信息支付980萬美元和解
2019年5月1日,據外媒報導,Eddie Bauer同意就2016年Verdian帳戶泄露事件引發的集體訴訟案,與總部在愛荷華州的Veridian儲蓄互助社達成和解。目前該和解方案還待美國華盛頓西區聯邦地區法院的批准。
在該案中,原告稱Eddie Bauer未採取足夠的安全措施,導致發生了超過100萬Verdian用戶帳戶信息遭到泄露,泄露信息包括用戶姓名,金融卡號,有效期和安全碼等。據悉,直至該安全事件發生的6周後,消費者才接收到該方面的通知。
歐盟
比利時GDPR首罰:市長濫用個人數據發送競選信息違反「目的限制原則」
2019年5月28日,比利時數據保護局對比利時市長未經市民同意發送選舉郵件的行為處以2000歐元的罰款,這也是比利時數據保護局開出的首張GDPR罰單。
據悉,該市民之前曾委托一名建築師向市長就一房地產交易事項進行咨詢溝通,這位建築師在其發送的郵件中附上了該市民的電子郵件地址。而市長在市政選舉的前一天,未經該市民同意,以「答復」的形式向其發送了競選信息。
對此,比利時數據保護局調查認為,市長的行為違反了GDPR中關於「目的限制」的規定。盡管本次處罰金額僅為2000歐元,但該處罰是針對自然人數據濫用行為的典型案件。
涉嫌侵犯用戶隱私,Google遭愛爾蘭數據保護監管機構調查
2019年5月22日,愛爾蘭數據保護委員會(Data Protection Commission)在一份聲明中表示,其將調查Google的在線廣告交易行為是否違反了GDPR的規定。
這是愛爾蘭數據保護委員會自2019年1月成為Google在歐洲的主要監管機構以來,首次對該公司開展的調查。愛爾蘭數據保護專員表示,此次調查由針對該公司提交的多份意見書引發,其中包括網路瀏覽器Brave。
立陶宛首張GDPR罰單6.15萬歐元,劍指金融科技公司
2019年5月16日,立陶宛數據保護監管機構(State Data Protection Inspectorate)對互聯網支付公司Mister Tango違反GDPR的行為處以6.15萬歐元的罰款,這是立陶宛的首張GDPR罰單。
此次立陶宛監管機構所作出的處罰除具有警示其它企業的目的以外,還彰顯了立陶宛對數據泄露的嚴格監管態度,尤其是金融領域的敏感信息。Mister Tango此次受處罰的原因包括不恰當數據處理、泄露個人信息以及未向監管機構報告數據泄露等行為。
2018年7月,Mister Tango公司用戶的個人信息以及9000張網路支付交易截圖被非法披露在互聯網上,該數據泄露事件發生後72小時內公司亦未向監管機構進行報告。此外,Mister Tango在提供支付服務時,還存在超出GDPR規定的必要限度原則讀取並收集用戶個人信息的行為。
愛爾蘭數據保護監管機構擬對WhatsApp展開調查
2019年5月15日,愛爾蘭數據保護委員會稱,其正積極審查WhatsApp用戶是否受到最近數據安全漏洞事件的影響。
目前,愛爾蘭數據保護委員會正在與WhatsApp討論歐盟公民的數據遭泄露的可能性,但該委員會表示,在WhatsApp完成內部審查並根據GDPR數據泄露規定進行通知前,將不會對WhatsApp展開正式的調查。
其他
Facebook因數據泄露事件遭土耳其執法機構罰款27萬美元
2019年5月10日,土耳其個人數據保護機構就2018年12月Facebook數據安全事件致30萬土耳其用戶信息泄露事件,對其處以165萬土耳其里拉(約合27萬美元)的罰款。
根據Facebook發表的聲明,2018年9月,該公司的圖片應用程序接口出現錯誤,導致1500款第三方應用軟件可以獲取用戶圖片。
據悉,受到此次數據泄露事件影響的土耳其用戶共計680萬人。此次165萬土耳其里拉罰款中,100萬是針對Facebook未及時修復錯誤程序的處罰,另外65萬則是針對其未履行通知義務的罰款。
鵝師傅追的熱點不一般
「數據安全治理觀察」No.5——數據立法執法熱點跟蹤