网信办就修改《网络安全法》公开征求意见
为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称《征求意见稿》)于近日公布,并向社会公开征求意见。意见反馈截止时间为2022年9月29日。据悉,《征求意见稿》拟对网络安全法作以下修改:
一是完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况,拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。
二是修改关键信息基础设施安全保护的法律责任制度。进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。
三是调整网络信息安全法律责任制度。适应网络信息安全工作实际,对违反网络信息安全义务行为的法律责任进行整合。
四是修改个人信息保护法律责任制度。鉴于《中华人民共和国个人信息保护法》规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律责任修改为转致性规定。
来源:新浪科技
国家标准《信息安全技术 网络数据分类分级要求》公开征求意见
2022年9月14日,全国信息安全标准化技术委员会归口的国家标准《信息安全技术 网络数据分类分级要求》形成标准征求意见稿,面向社会公开征求意见。
该标准旨在支撑《中华人民共和国数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实,解决由于缺乏国家统一的数据分类分级规则,导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题。适用于行业领域主管(监管)部门制定本行业本领域的数据分类分级管理标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级保护工作,同时还可为数据处理者进行数据分类分级保护提供参考。该标准给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等,包括:
1) 数据分类分级的基本原则;
2) 数据分类框架和方法,包括数据分类框架、行业领域数据分类方法、处理者数据分类流程等;
3) 数据分级框架;
4) 数据分级确定方法,包括概述、数据分级要素、数据影响分析、分级参考规则、数据分级流程等;
5) 数据分类分级实施流程;
6) 基于数据描述对象的行业领域数据分类参考示例;
7) 分级要素识别常见考虑因素;
8) 影响对象考虑因素;
9) 影响程度参考示例;
10) 衍生数据定级参考;
11) 动态更新情形参考;
12) 一般数据分级参考;
13) 个人信息分类示例。来源:安全内参
03
国资委发布新规推动央企加强合规管理,10月1日起应设“首席合规官”一岗
中央企业将设“首席合规官”。2022年9月16日,国务院国资委对外发布《中央企业合规管理办法》(以下简称《办法》),旨在深化法治央企建设,推动中央企业加强合规管理,切实防控风险,有力保障深化改革与高质量发展。《办法》自2022年10月1日起施行。
国资委党委委员、副主任翁杰明表示,合规管理是企业切实有效防范经营风险的关键制度性措施,是新形势下持续健全公司治理,确保企业良性循环、稳健发展的迫切需要,是一件“必须要做、并且一定要做好”的事。
具体来看,为进一步健全合规管理组织体系,《办法》提出,中央企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。
制度建设方面,《办法》提出,中央企业应当建立健全合规管理制度,根据适用范围、效力层级等,构建分级分类的合规管理制度体系。中央企业应当制定合规管理基本制度,明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。《办法》规定,中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。中央企业应当针对涉外业务重要领域,根据所在国家(地区)法律法规等,结合实际制定专项合规管理制度。
运行机制方面,《办法》提出,中央企业应当将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。此外,中央企业应当建立违规问题整改机制,通过健全规章制度、优化业务流程等,堵塞管理漏洞,提升依法合规经营管理水平。
监督问责方面,根据《办法》,中央企业应当对在履职过程中因故意或者重大过失应当发现而未发现违规问题,或者发现违规问题存在失职渎职行为,给企业造成损失或者不良影响的单位和人员开展责任追究。
翁杰明强调,中央企业要将首席合规官作为关键人物,全面参与重大决策,确保管理职责到位;把合规审查作为关键环节,加快健全工作机制,确保流程管控到位;聚焦关键领域,扎实做好“三张清单”,确保风险防范到位;将风险排查作为关键举措,坚持查改并举,确保问题整改到位;把强化子企业合规作为关键任务,通过信息化手段加强动态监测,确保要求落实到位。
来源:腾讯网
联盟技术规范《数据安全和个人信息保护社会责任指南》公开征求意见
为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求,放大数据处理和个人信息使用的社会价值。中国网络安全产业联盟联合相关单位发布《数据安全和个人信息保护社会责任指南》(征求意见稿)。该文件为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。
《数据安全和个人信息保护社会责任指南》其中提到:
关于用户使用的价值体现:
相关行动和期望:用户提供数据后即可获得与所处理数据相关的服务。(注:不为用户使用服务设置不合理的条件,如捆绑其他服务、增加收集数据的类型、设置过长的等待时间、增加无关的操作步骤等。)
将数据安全和个人信息保护的功能、服务设置为基础服务的一部分。通过不断优化数据处理的流程、步骤、时机、场景,减少了收集数据的类型和保留时间,增加了对脱敏、去标识化、匿名化后数据的处理。在不影响用户权益的前提下,通过优化算法等方式挖掘数据价值,提升服务质量、提高响应效率、强化安全保障等。
提供必要的措施以保障用户对其数据的控制、数据处理活动审计。例如,可以查询、复制、更正、删除、迁移等,可对组织是否超出约定处理数据进行查验、核实等。及时处置用户对于数据安全和个人信息保护相关的投诉、举报,定期评价投诉、举报的数量、处理率、处理评价,以优化产品或服务的功能和投诉、举报的处理机制。
关于知识和技术成果共享:
相关行动和期望:不参与侵犯数据安全和个人信息保护相关知识和技术成果共享的活动,包括滥用支配地位、假冒和盗版。可自行或与其他组织合作,推动探索多种知识和技术成果共享方式,包括:发布数据安全和个人信息保护相关的白皮书,分享优秀经验、案例等;促进可广泛适用的数据安全和个人信息保护先进技术推广及应用,如区块链、联邦学习、隐私计算等新兴技术。
关于公平竞争环境构建:
相关行动和期望:在数据处理相关的生产经营活动和参与市场竞争中,遵循自愿、平等、公平、诚信的原则,遵守竞争、知识产权相关的法律法规和商业道德,将公平竞争作为企业治理、生产经营和一切商业活动的行为准则。杜绝以任何形式开展不正当竞争,杜绝采取任何形式的数据不正当竞争行为,如:通过数据、算法、互联网平台规则等方式达成垄断协议;通过非法或不正当手段处理互联网平台数据(包括互联网平台用户个人信息);利用数据和用户个人信息建立的竞争优势,形成数据孤岛,阻碍竞争对手进入市场,损害用户的自主选择权。
来源:搜狐网
公安部:重拳打击侵入政务平台窃取信息数据行为
公安部网络安全保卫局副局长李彤表示数据安全关乎人民群众切身利益,关乎国家安全和社会稳定。对此,公安部高度重视,将打好网络数据安全保卫战作为"净网2022"和"百日行动"重点工作强力推进。
公安机关零容忍打击涉数据安全违法犯罪,包括非法采集、非法窃取、非法倒卖公民个人信息的团伙、个人,排查整治超范围采集、违规提供出售个人信息的企业,铲除一批"数据黑企"、"行业内鬼"。 重拳打击通过勒索病毒、木马程序等黑客攻击手段侵入个人、企业和防御薄弱的政务平台窃取信息数据和公私财物的违法犯罪活动,严厉惩处了一大批黑客人员,对涉数据安全违法犯罪行为形成了高压震慑态势。
公安部要求,全方位加强网络安全监督检查,推动落实网络安全等级保护制度,健全完善关键信息基础设施安全保护制度,并组织制定配套政策和技术标准,指导监督网络运营者落实主体责任,加强网络安全管理和技术防护,提高安全防护水平。
李彤介绍,公安部每年会组织对关键信息基础设施和重要信息系统等开展网络安全监督检查,发现并监督整改网络安全问题隐患,健全完善国家网络与信息安全信息通报机制,组织开展网络安全实时监测、通报预警和应对处置,维护国家网络安全和数据安全。
来源:中国日报网
《深圳经济特区人工智能产业促进条例》正式公布 推动人工智能数据资源有序开放
全国首部人工智能产业专项立法即将实施!近日,《深圳经济特区人工智能产业促进条例》(下称《条例》)在市人大常委会官网上全文公布,自2022年11月1日起实施。
在产业基础设施建设方面,《条例》一是推动人工智能数据资源有序开放。要求政府构建人工智能产业公共数据资源体系,建立人工智能应用领域的公共数据共享目录和共享规则,推动公共数据分类分级有序开放。建立人工智能应用领域的公共数据和行业数据标准体系,推动数据要素资源化、资产化、资本化发展。二是建立面向产业的算力算法开放平台。鼓励和支持高等院校、科研机构、企业和其他组织建设人工智能算力基础设施、开源开发平台和开源社区,利用国家超级计算深圳中心、鹏城云脑等计算平台,开放算力资源,降低企业开发成本,缩短开发周期,推动数据共享、算法汇聚及算力开放,培育共享协作的开源治理生态。三是加强面向人工智能产业的公共服务平台布局。支持建设行业开放创新平台,支撑关键共性技术的研发,并向行业上下游开放。建设集功能测试、安全性测试、可靠性评估、伦理安全风险于一体的人工智能测试检测及认证平台,打造覆盖关键环节、重点领域的产业支撑体系。
此外,《条例》在借鉴国内外一系列相关研究成果的基础上,从技术角度对人工智能的概念作出了规定,明确人工智能是“利用计算机或者其控制的设备,通过感知环境、获取知识、推导演绎等方法,对人类智能的模拟、延伸或扩展”。同时,《条例》明确了人工智能产业的边界,将人工智能相关的软硬件产品研究、开发和生产、系统应用、集成服务等核心产业,以及人工智能技术在民生服务、社会治理、经济发展等各领域融合应用带动形成的相关产业都纳入人工智能产业范畴。
在应用场景拓展方面,为了发挥其赋能人工智能产业发展的作用,《条例》作出多项制度设计,例如,明确本市国家机关、法律法规授权的具有管理公共事务职能的组织以及公共企事业单位应当率先使用人工智能产品和服务,充分发挥引导示范作用。同时,规定产业主管部门应当建立人工智能应用场景开放制度,定期发布人工智能场景需求清单,公开征集应用场景解决方案,吸引境内外高水平的人工智能产品和服务供给方,引导开放更多应用场景,吸引产业要素集聚。在分级分类监管的基础上,《条例》探索建立与人工智能产业发展相适应的产品准入制度,规定对于国家、地方尚未制定标准但符合国际先进产品标准或者规范的低风险人工智能产品和服务,允许通过测试、试验、试点等方式开展先行先试。
在促进与保障方面,市人民政府及其有关部门应当根据人工智能产业发展实际,统筹规划人工智能产业布局,在资金、产业用地、人才等方面对人工智能产业予以支持。建立符合国际贸易准则的产业政策,维护市场公平竞争,为人工智能产业国际化发展提供有利的政策环境。
来源:同花顺财经
上海发布一起虚拟货币案:非法获利6000个USDT,司法中如何计算损害赔偿?
虚拟币是否受法律保护?能否作为违法所得进行支付损害赔偿?赔偿金额又如何确定?9月14日,上海检察官方发布了一起侵犯公民个人信息刑事附带民事公益诉讼案开庭审理的相关情况,该案被告人张某非法获利为6000个USDT(泰达币),浦东新区检察院公益诉讼检察官最终以获利的虚拟币价值计算出公益损害赔偿数额,实现了公共利益最大限度保护。
《华夏时报》记者通过梳理案件始末了解到,上海一家主要从事软件开发和技术服务的公司,提供给各大电商平台的商家用于接单后处理发货使用。2021年8月,该公司陆续收到客户投诉,称该公司提供的软件造成电商客户的订单和交易数据外泄,甚至有客户因此遭受电信诈骗,并已造成了损失。该公司立即配合客户展开排查,发现系统后台有异常登录的痕迹,大量的客户订单信息被窃取。案发后该公司为泄漏客户信息的事件进行了赔付。
经查,2021年7月至8月期间,犯罪嫌疑人张某通过网络技术手段非法侵入上述公司系统,获取系统内客户订单信息并出售牟利。在其被扣押的电子设备中检出涉及客户订单信息经去重后,仍有20673条,他以此非法获利USDT(泰达币)6000个。
经过审慎研判,公益诉讼检察官认为,虚拟币在我国不具有法定货币地位,但是其作为工具,易被违法犯罪的人利用,“如果在交易中使用该币种,对违法所得金额,我们仍然可以按照该币种交易市场价值进行计算违法所得金额。”公益诉讼检察官雷瑶介绍,泰达币与美元基本是1:1的比例,参考交易当天相关交易平台交易价格及美元与人民币的汇率计算,检察机关认定张某违法所得约人民币38760元。
来源:华夏时报
谷歌Meta未经同意跨平台收集信息,韩国开一千亿最大罚单
韩国个人信息保护委员会召开会议,对谷歌和Meta未经用户同意收集个人信息、用于个性化推荐广告的违法行为进行审议,并对谷歌处以692亿韩元(约合人民币3.46亿元)、对Meta 308亿韩元(约合人民币1.54亿元)的罚款。韩国个人信息保护委员会要求,平台若要收集、利用第三方行为信息,必须提前通知用户并取得同意,让用户容易、明确地了解情况,并自由行使其决定权。
据悉,这是韩国首次就个性化推荐广告平台收集个人信息行为进行罚款,也是对企业违反韩国《个人信息保护法》开出的最大罚单。
根据韩国《个人信息保护法》第39条第15款,对此类违法行为,可以处以违法行为所得销售额百分之一以下金额的罚款。韩国个人信息保护委员会用谷歌和Meta提交的年度销售额乘以韩国用户比例,取2019-2021年3年的平均值为基础,考虑违法行为的严重性、持续时间等,最终共处以1000亿4千7百万韩元(约合人民币5亿元)的罚款。
据韩国中央日报,谷歌在一份声明中对此“深表遗憾”,并称将继续与韩国个人资料保护委员会沟通协商。Meta 则表示“无法就韩国个人信息保护委员的决定达成一致”,并称有可能提起上诉。对此,韩国个人信息保护委员会回应称“两家公司的违法行为十分确凿”,并表示已做好应对诉讼的准备。
根据韩国个人信息保护委员会发布的公告,自2021年2月起,委员会开始调查韩国国内外主要线上定向广告平台的行为信息收集和利用情况。调查持续了1年多的时间,重点为平台在收集第三方行为信息时是否得到了用户同意。
调查发现,谷歌在至少6年的时间内,在注册服务时没有明确告知用户第三方行为信息收集和使用事实细则,使用了“更多选项”隐藏部分设置,以及将隐私相关选项默认为“同意”。
具体来说,韩国和欧洲用户在注册谷歌账号时看到的界面不一样。对于个人信息权限的设置,谷歌在注册时提供了“快速定制”和“手动定制”的选择,在“手动定制”情况下,共分5个阶段显示浏览行为收集,保留时间、定向广告、个人信息保护等内容,用户可以分别选择同意或者不同意。委员会发现,欧洲用户界面上的显示更详细,而对韩国用户,“Web和APP活动”、“YouTube记录”、“广告个人优化”等被屏蔽在“更多选项”下,默认值设置为同意。
Meta则在约4年的时间内,将注册时需要告知用户的内容以不容易看懂的形式放在数据政策全文中。例如在创建Facebook账户时,共694行的协议显示在一次只能看到5行的滚动屏幕上。今年5月,Meta试图将对韩国用户的隐私政策改为用户不同意收集信息便无法使用部分服务,但遭到用户强烈反对后于7月取消该计划。对此,韩国个人信息保护委员会正在调查Meta收集的第三方行为信息等是否为提供服务所必需的信息。
来源:搜狐
三部门联合发布《互联网弹窗信息推送服务管理规定》
来源:金融界
https://baijiahao.baidu.com/si?d=1743461824695214274&wfr=spider&for=pc
关于《上海市公共数据开放实施细则(征求意见稿)》公开征询意见的公告
来源:上观新闻
https://sghexport.shobserver.com/html/baijiahao/2022/09/13/852837.html
北京市通信管理局关于41款问题App的通报
来源:中国质量新闻网
https://www.cqn.com.cn/pp/content/2022-09/06/content_8858411.htm
Meta因侵犯儿童隐私违反欧盟GDPR被罚逾4亿欧元
来源:京报网
https://baijiahao.baidu.com/s?id=1743185816916325409&wfr=spider&for=pc
苏州大数据交易所揭牌,与上海数据交易所达成战略合作
来源:同花顺财经
http://news.10jqka.com.cn/20220916/c641860165.shtml
拜登又签新令!事关半导体、AI、量子计算……
来源:ZAKER
http://www.myzaker.com/article/632400668e9f094b15004e9c/
填补国内空白 首个自动驾驶示范区数据分类分级白皮书发布
来源:腾讯网
https://new.qq.com/rain/a/20220918A02SQI00
上周回顾
合规清单|《互联网弹窗信息推送服务管理规定》正式发布
点击下方公众号链接
1秒解锁更多独家法律知识问答
