原文来源:数据法盟 原文作者:刘新宇、宋海新、张功俐、吴豪雳 数据保护这一年——规范、整治、前行 数据保护这一年,感慨良多。 这一年,多了规范,多了整治,多了前行; 这一年,少了空白,少了乱象,少了停滞。 这一年,规范动态频出,数据保护,在规范中完善。 这一年,整治力度空前,数据保护,在整治中强化。 这一年,热点事件频发,数据保护,在事件中前行。 值此之际,愿不负过往,盼共赴未来。 规范篇 这一年,数据保护规范动作频频,15部文件立法动态、15项国标制定动态,网络安全法配套制度日渐完善;这一年,数据保护要求更加明朗,从无到有、从原则到细化,数据保护合规指引日渐清晰;这一年,数据保护立法未来可期,数据安全法和个人信息保护法即将进入正式立法进程,数据保护新的里程碑已在路上。 这一年,规范动态频出,数据保护,在规范中完善。 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》 | | | | | | | | | | | 国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅 | | | | 《中国人民银行金融消费者权益保护实施办法(征求意见稿)》 | | | | | | | | | | | 《信息安全技术 网络安全等级保护测试评估技术指南》 | | | | | | | | | | | | | | | 《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》 | | | | | | | | 2018年5月版本已生效,目前征求意见稿暂未正式发布,未生效 | | | | | | | | | | | | 《信息安全技术 网络安全等级保护安全设计技术要求》 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
整治篇 这一年,数据保护监管部门争相作为,多部委、多部门齐头并进;这一年,数据保护治理行动相继开展,分领域、全领域重拳出击;这一年,数据保护爬虫治理震惊行业,洗牌出局、不破不立;这一年,数据保护行政处罚力度加大,数量增加、影响加重;这一年,数据保护刑事犯罪面临高压,打击犯罪、严惩不贷。 这一年,整治力度空前,数据保护,在整治中强化。 第一章 专项整治行动盘点 | | | | | | | | | 发布《关于开展App违法违规收集使用个人信息专项治理的公告》,并联合有关单位成立了App违法违规收集使用个人信息专项治理工作组,旨在打击App违法违规收集使用个人信息行为。 | 最新阶段成果显示,App专项治理工作组12月发布《关于61款App存在收集使用个人信息问题的通告》,通告显示,在近期评估中,App专项治理工作组发现57款App存在收集使用个人信息问题;此外,此前被发现问题建议整改但截至目前未完成整改的4款App此次也在通告之列。 | | | | 开展“净网2019”专项行动,依法严厉打击侵犯公民个人信息、黑客攻击破坏等网络违法犯罪活动。 | 截至2019年10月31日,共侦破涉网案件45743起,抓获犯罪嫌疑人65832名,打掉多个利用“暗网”倒卖公民信息的犯罪团伙,捣毁一批为“套路贷”提供技术、数据服务的科技公司。同时,针对互联网企业及联网单位开展安全监督检查17万余家次,清理违法有害信息445万余条,关闭网络账号60万余个,约谈整改相关网站及App 3.7万余家次,行政查处9.1万家次。 | | | | 在全国范围内开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,重点打击侵害消费者个人信息的违法行为。 重点关注违法行为多发的房产租售、小贷金融、教育培训、保险经 纪、美容健身、装饰装修、旅游住宿、快递、电话营销、网站或APP运营等行业和领域。 主要查处3类违法行为:一是未经消费者同意,收集、使用消费者个人 信息;二是泄露、出售或者非法向他人提供所收集的消费者个人信息;三是未经消 费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业性信息。 | 行动期间,全国市场监管部门共立案查办各类侵害消费者个人信息案件1474件,查获涉案信息369.2万条,罚没款1946.4万元,移送公安机关案件154件;组织执法联动4225次;开展行政约谈3536次;开展宣传活动10653次。 从查办案件的情况来看,当前侵害消费者个人信息违法行为主要高发在房产租售、装饰装修、教育培训等3个领域。 最突出的违法行为是未经消费者同意,收集、使用消费者个人信息违法行为。 同时,公布“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动十大典型案例。 | | | | 开展信息通信领域App侵害用户权益专项整治行动,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。 整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。 | 12月19日,工信部通报关于侵害用户权益行为的App(第一批)。根据通报,在开展App侵害用户权益专项整治工作的自查自纠阶段共有8000多款App完成整改。但截至目前,尚有搜狐新闻、QQ阅读等41款App存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题,未完成整改。 |
第二章 行政处罚盘点 数据保护相关行政处罚梳理 (数据来源:威科先行、北大法宝) | | | | | | | | | | | | | | 1. 《中华人民共和国消费者权益保护法》 第二十九条经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。 经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施 经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息 第五十六条经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。 | 2. 《中华人民共和国网络安全法》 第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息 第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 |
第三章 爬虫治理盘点 | | | | | | 网传魔蝎数据、新颜科技、公信宝、快钱支付、天翼征信等公司被调查 | | | 银行是否与第三方数据公司开展合作,排查的内容主要涉及数据采集、信用欺诈、信用评分、风控建模等方面 | 企业征信机构梳理是否与以下公司有业务或股权投资关联:魔蝎科技、新颜科技、公信宝、白骑士、天机数据、立木征信与聚信立等 | | | | 摸排区内所有大数据企业是否存在违规爬虫业务,如果没有要求企业出承诺函;如果存在违规爬虫业务,要上报并尽快整改 | | 中国互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》 | 要求会员单位及时就个人信息保护工作开展自查,并对数据合作方进行排查,对于存在的问题应立即整改,并及时将有关情况报告协会。 | | | 只要未经允许非法获取、传输个人隐私数据、参与到套路贷以及非法催收等环节,便会严惩不贷。 |
第四章 刑事犯罪盘点 数据保护相关刑事案件盘点 (数据来源:威科先行、北大法宝) | | | | | | | | | | | | 非法出售公民个人信息; 利用“暗网”倒卖公民个人信息; 为“套路贷”提供技术、数据服务 | | 《中华人民共和国刑法》 第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚 |
|
|
|
前行篇 这一年,个人信息主体新型维权案件出现,“今日头条”被诉侵犯隐私案对同意收集使用个人信息的动作范围、设备范围和时间范围的争议进行了充分揭示;这一年,企业数据权益斗争进入新的阶段,用户头像、昵称和好友关系的权利归属问题摆在了台前;这一年,“zao”被约谈、墨迹科技IPO被否(注:个人信息保护问题系被否原因之一),企业个人信息违规成本明显加重、舆论关注程度显著上升;这一年,个人信息刑事附带民事公益诉讼宣判,公益诉讼的开展势必会为个人信息保护注入新的力量和影响。 这一年,热点事件频发,数据保护,在事件中前行。 | | | | | 今年3月,腾讯向天津市滨海新区人民法院起诉抖音、多闪违反开放平台协议共享微信/QQ用户头像,涉嫌不正当竞争。该案涉及到开放平台情形下数据归属和共享的问题。双方争议的主要内容在于抖音是否以违反《微信开放平台开发者服务协议》的方式获取微信用户的头像、昵称用于补充用户关系链条,复制微信用户好友关系。 就抖音同多闪之间的共享行为,天津市滨海新区人民法院已通过裁定要求抖音立即停止将微信/QQ开放平台授权登录服务提供给多闪使用的行为,同时多闪此前通过抖音擅自获得的微信/QQ用户头像、昵称也被勒令停用。该案实体部分目前尚在审理之中。 | | | 今年6月,原告刘先生向北京市海淀区人民法院起诉“今日头条”侵犯其隐私权。双方争议的主要内容包括:通讯录是否属于用户隐私;用户同意的范围是否包括上传个人信息;用户同意的范围是否包括在用户变更、新增甚至清除原通讯录的情况下记录并累计收集、使用通讯录信息。 该案尚在审理之中。 | | | 作为陌陌推出的一款换脸产品,ZAO因其涉嫌过度收集用户个人信息,用户协议中存在不合理条款被媒体曝光并引发用户广泛质疑。 9月3日,针对其存在数据泄露风险等问题,工信部网络安全局对北京陌陌科技有限公司负责人进行了问询约谈,要求其开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。 | | | 墨迹科技IPO上会被否,证监会发审委在公告中提出询问的主要问题,涉及墨迹天气APP存在未经其许可违规发布互联网新闻信息、通过自主收集及第三方途径获取用户数据是否合规、互联网信息服务收入占营收比过大,以及直接或间接股权关系客户贡献收入占比较大4方面问题,并要求公司说明使用用户数据是否合法合规,尤其是商业化变现的合规性等情况。 数据合规程度对企业上市之路已然开始产生重要的影响。 | | | 12月25日,徐汇法院宣判该院首起刑事附带民事公益诉讼案。男子徐某因仿冒上海知名官方招考网站等行为套取公民个人信息,最终获刑3年,并处罚金30万元。同时,法院判令徐某在判决生效后30日内,就侵犯公民个人信息的行为,在省级媒体上向社会公众赔礼道歉。 该案中,检察机关指出,公民个人信息安全问题已不再停留在个人层面,针对个人信息的违法犯罪活动导致公民的人身、财产、隐私以及正常的工作活动都受到严重威胁,已经上升到整体网络信息安全的重大层面,应当是带有公共利益性质的抽象法益。 |
写在最后 这是最坏的2019,亦是最好的2019。更重要的是,这是我们共同走过的2019。 回首过往,数据保护,警钟敲响,稍有不慎,可能黯然离场; 展望未来,数据保护,无限可能,高度合规,方能激流勇进。 谨以此文致敬我们共同走过的2019。 编辑:吴悠
| 
发表于 2020-1-1 18:02:48
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
支持
反对