《数据合规资讯》2022年7IM电竞APP月刊 · 第一期

发布日期：2022-10-08 07:58:10 点击次数：

　　IM电竞APP介绍2022年6月26日至2022年7月25日期间及前后境内外数据保护立法动态，并针对部分立法动态提供简要评论。

　　● 7月7日，国家互联网信息办公室（简称“网信办”）正式发布了《数据出境安全评估办法》（简称“办法”），并将于2022年9月1日起正式施行。该办法正式确定了重要数据和个人信息的出境监管机制；同时，为了释明《个人信息保护法》第38条的要求，网信办于2022年6月30日发布了《个人信息出境标准合同规定（征求意见稿）》（简称“标准合同”），信息安全标准化技术委员会（简称“信安标委”）于2022年6月24日发布了《个人信息跨境处理活动安全认证规范》（简称“规范”）。至此，我国数据出境的规则已经基本齐备，对于企业而言，意味着需要立即进行合规应对准备并采取有关措施，及时打下合法合规跨境传输数据的重要基础。

　　● 根据2022年7月11日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2022年第8号），全国信息安全标准化技术委员会归口的国家标准GB/T41574-2022《信息技术安全技术公有云中个人信息保护实践指南》正式发布，实施日期为2023年2月1日。目前，国内还没有相关国家标准作为认证依据，大量云服务提供商面向政府提供服务，但采用国外认证机构的认证证书，在认证过程中重要信息会被国外认证机构获取，存在重要信息外泄风险。因语言差异性，国内对国际标准理解难以达成一致。因此，针对ISO/IEC 27018：2019进行国标转化，已成为云服务产业提升个人信息安全管理、认证行业开展认证的迫切需求。

　　● 7月14日，国务院办公厅发布《国务院2022年度立法工作计划》，其在拟制定、修订行政法规中提及，由网信办组织起草《网络数据安全管理条例》，由网信办起草《未成年人网络保护条例》。目前，《网络数据安全管理条例》和《未成年人网络保护条例》均已出台征求意见稿，其中规定，遭受网络欺凌的未成年人及其监护人，有权通知网络产品和服务提供者采取删除、屏蔽、断开链接、限制账号功能、关闭账号等必要措施。另外，相关网络服务提供者不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动等等。

　　● 6月1日，泰国《个人数据保护法》（简称PDPA）经过两次推迟后正式生效，成为泰国第一部综合性数据保护立法。从主要内容来看，泰国PDPA借鉴了欧盟《通用数据保护条例》（GDPR）的立法模式，共分为七章，涉及数据主体权利、数据处理者义务、跨境数据传输、滥用个人数据处罚等方面。从立法目的来看，泰国PDPA体现出泰国作为东盟经济体在自由贸易方面的考量。总体来说，GDPR的出台推动全球数据治理进入新阶段，东南亚国家纷纷效仿，开启数据立法热潮。泰国最新生效的PDPA大部分借鉴了GDPR的规范要求，符合GDPR标准的泰国跨境公司将不会违反PDPA，在一定程度上避免了数据合规标准不一的问题。与此同时，泰国作为发展中国家，数据保护雏形正在构建，在实践中可能难以与欧盟国家高水平的数据保护要求保持一致。PDPA规范中彰显的本地数据保护特色不足，可能导致泰国数据保护规范在本国实施过程中出现法律制度与社会现实间的差异，发展中国家如何制定符合本国国情的数据保护制度值得深入关注与探讨。

　　●7月14日IM电竞APP，欧洲数据保护委员会（EuropeanDataProtectionBoard，以下简称“EDPB”）公布了其和欧洲数据保护监督员（EuropeanDataProtectionSupervisor，以下简称“EDPS”）对欧盟委员会关于欧洲健康数据空间（EuropeanHealthDataSpace，以下简称“EHDS”）提案的联合意见。EDPB和EDPS在最新发布的联合意见中指出，支持加强个人对其健康数据控制的想法，但提请联合立法者注意一些首要问题，并敦促他们采取果断行动。EDPB和EDPS认为，提案的第四章旨在促进电子健康数据的二次利用，可能会产生公益效益。然而，这些进一步的处理活动也会对个人的权利和自由有风险。此外，EDPB和EDPS强调有必要澄清提案中的规定、《通用数据保护条例》（GDPR）中的规定和成员国法律以及正在进行的欧洲倡议之间的关系。

　　同时，EDPB和EDPS承认，提案中预期的电子健康数据交换基础设施旨在促进健康数据的交换。由于要处理的电子健康数据数量巨大、高度敏感以及存在非法访问的风险，并且要充分确保独立数据保护机构对其的有效监督，EDPB和EDPS呼吁欧洲议会和理事会在提案中增加一项要求，将电子健康数据存储在欧洲经济区（EEA），但不影响根据GDPR第五章进行进一步传输。

　　● 7月18日，欧盟理事会最终批准通过了《数字市场法》（DMA），意在建构一个公平竞争的数字部门的新规则。欧盟《数字市场法》确保了一个数字公平竞争的环境，为大型网络平台（“守门人”）制定了明确的权利和规则，并确保没有任何一个平台可以滥用其优势地位。《数字市场法》在欧盟层面规范数字市场，将创造一个公平和竞争的数字环境，使中小公司和消费者都能够从数字机会中受益。

　　如果一个大型网络平台被认定为守门人，它必须在六个月内遵守《数字市场法》的规则。如果守门人违反《数字市场法》规定的规则，有可能被处以最高为其全球总营业额10%的罚款。对于重犯者，可能会被处以最高达其全球营业额20%的罚款。如果一个守门人系统性地不遵守《数字市场法》，即在八年内至少三次违反规则，欧盟委员会可以进行市场调查，并在必要时实施行为或采取结构补救措施。

　　介绍2022年6月26日至2022年7月25日期间及前后境内外部分典型执法案例，并针对部分执法活动提供简要评论。

　　● 5月18日上午，在“瓯江论数、数安中国”2022数据安全发展大会上IM电竞APP，温州市瓯海区人民法院数据资源法庭揭牌设立，这意味着依法保护企业个人数据权益与安全这件大事，有了“专业对口”的司法审判机构。温州市瓯海区人民法院数据资源法庭，是经浙江省高级人民法院同意、浙江省委机构编制委员会办公室批准，设立的全国首个以受理数据资源案件为核心业务的专业法庭，旨在推动破解数据资源案件“立案难”“取证难”“维权难”等问题，为全国、全省司法审判提供基层探索经验。数据资源法庭将实行刑事、民事、行政“三合一”归口审理模式，只要是涉及数据资源的案件，都可以在此审理，其“术业专攻”的特点有利于案件审理集中化、审判团队专业化、裁判尺度统一化。比如，侵犯公民个人信息、窃取数字资源、数字信息监管失职等，均属于这个“新法庭”的业务范围。

　　● 6月16日，新加坡个人数据保护委员会（“PDPC”）对被发现违反《个人数据保护法》的组织采取了执法行动。PDPC对Vhive处于22,000美元的罚款，因该公司未能制定合理的IT基础设施维护管理以及安全审查以保护其拥有的个人数据免受勒索软件攻击。PDPC表示尽管该公司已聘请IT供应商来托管、管理和维护电子商务服务器及其所有其他IT系统，但没有明确书面安全维护要求和数据保护要求的合同给供应商。更具体地说，PDPC强调该公司没有安全维护政策，也没有进行任何预定的安全审查，导致客户个人数据泄漏。

　　● 6月30日，英国信息委员会（ICO）制定了公共部门执法的修订方法，认为针对公共部门的巨额罚款本身就可能并不能有效地威慑公共部门。它们不会像在私营部门那样影响股东或个别董事，而是直接来自提供服务的预算。对公共部门的罚款影响也经常影响到违规行为的受害者。因此ICO在修订方法当中确定新增其他执行方式，包括警告、谴责和执行通知，只有在最严重的情况下才会处以罚款。ICO利用自由裁量权以此减少罚款对公众的影响。

　　同时ICO表示将与公共部门进行更密切的合作，以鼓励遵守数据保护法并采取损害预防措施，ICO与内阁和政府数字、文化、媒体和体育部深度合作，将创建一个高级领导小组（Cross-WhitehallSeniorLeadershipGroup），以鼓励遵守高度数据保护标准。

　　6月30日，ICO对Tavistock和PortmanNHSFoundationTrust处以78,400英镑的罚款，因其在在2018年5月25日至2019年9月6日期间，该信托基金会使用Outlook向1,781名GenderIdentityClinic服务用户发送大量电子邮件，但未使用“密件抄送”字段且将电子邮件的屏幕截图在社交媒体上共享，披露了上述患者的个人邮箱地址，违反了GDPR第II章，特别是第5(1)(f)条和第32(1)和(2)条。

　　● 7月14日，新加坡个人数据保护委员会（“PDPC”）对AudioHouse处以10,000美元的罚款，因其未能制定合理的安全安排以保护其拥有的个人数据免受勒索软件攻击。同日，PDPC对TerraSystems处以12,000美元的罚款，因其未能在ReTerraSystemsPteLtd的客户管理部门中采取合理的安全安排来保护个人的个人数据，针对ReTerraSystemsPteLtd[2021]SGPCPC7中的决定提出了复议申请。在审查和仔细考虑该申请后，PDPC确认其违反PDPA第24条的裁定复议决定中的决定并处以罚款。

　　精选2022年6月26日至2022年7月25日期间及前后互联网及相关行业与网络安全和数据保护有关的新闻资讯。

　　● 7月4日，汽车数据安全的相关政策与法规正在加速落实。起亚汽车发布了《360°全景功能关闭通知》公告，表示根据国家个人信息保护及汽车数据安全管理相关法律法规的要求，自7月11日起，将关闭360°全景功能。5月，小鹏汽车发布公告称，应主管部门发布的相关数据安全法规要求，暂停“APP端远程查看车外摄像头”功能；长安汽车表态称，自6月30日起，停用旗下车辆远程监控、360全景远程拍照以及远程智能泊车功能；理想汽车近日通知车主，表示将对现有手机远程车控中的驻车拍照功能进行优化处理，对照片中涉及他人信息的元素自动进行模糊处理。去年8月，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”），自2021年10月1日起施行，为智能网联汽车戴上了“紧箍咒”。《规定》提出，汽车数据处理者在开展汽车数据处理活动中应坚持如下原则，包括坚持安全和发展并重，坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理、有效利用，促进汽车行业健康有序发展IM电竞APP。

　　● 7月12日，驻里约热内卢总领事田敏在线年拉美计算机、隐私和数据保护大会并发表主旨演讲。田总领事强调，作为数字经济时代影响全球竞争的关键战略性资源，数据事关国家安全、社会管理、经济运行和个人隐私，数据安全意义重大。中国相继出台数据保护和网络安全领域法律法规，监管和执法力度也日益加强。在《全球数据安全倡议》中，中国呼吁各国秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系，主张各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全，欢迎政府、国际组织、信息技术企业、技术社群、民间机构和公民个人等各主体秉持共商共建共享理念，齐心协力促进数据安全，强调各方应在相互尊重基础上，加强沟通交流，深化对话与合作，共同构建和平、安全、开放、合作、有序的网络空间命运共同体。

　　简要评述：中国和巴西同为金砖成员国，在人工智能和数据安全领域深化创新合作，有利于加强各国数字经济发展战略对接，为打造更高层次、更高质量、更高效益的中巴合作关系助力赋能，实现两国互利共赢。

　　● 6月28日，据路透社报道，澳大利亚零售巨头因“不合理的侵入性”面部识别技术被投诉。一家主要消费者组织向澳大利亚隐私监管机构提出控诉，声称该国三家最大的零售连锁店对顾客使用“不合理的侵入性”面部识别技术，并建议采取执法行动。他们认为在JBHi-Fi有限公司旗下电器连锁店theGoodGuys、硬件连锁店Bunnings和大型零售商Kmart的澳大利亚分公司（这两家公司均为WesfarmersLtd所有）从社交媒体网站上收集图像，以建立个人资料，违反了隐私法。CHOICE投诉中的三家连锁店经营着大约800家门店，去年的销售额达到250亿澳元（170亿美元）。

　　●7月3日，据Engadget网，英国军队的官方Twitter和YouTube社交账号遭到入侵，被用于宣传加密货币骗局。入侵者劫持了英国陆军的Twitter官方，调换了该组织的资料图片、简介和封面照片，使其看起来与《ThePossessedNFT》系列有关；删除了英国陆军YouTube频道所有的视频，并将其名称和个人资料图片改为与合法投资公司ArkInvest相似。同时，入侵者还向关注者发出了各种转发的NFT赠品的信息，其夹带的推文将用户链接到虚假NFT（非同质化代币）网站。稍早军队的YouTube帐户被改名为「方舟投资」（ArkInvest），并放上加密货币影片和亿万富商马斯克（ElonMusk）的图片，其Twitter帐户则转发一些似乎与NFT相关的消息，现在帐户都已恢复原状。目前，英国陆军已找回账号，并表示正在进行调查。

　　● 7月18日，新加坡顶尖智库呼吁东盟完善数据治理框架。新冠疫情下，东盟各国政府、企业和消费者的境内外数据流动愈发频繁，网络攻击事件层出不穷。2020年，电子商务数据拦截成为东盟在线商户面临的主要网络威胁之一，攻击者可阻碍消费者数据传输并远程更改信息。东盟亟需进一步完善数据治理框架。第一，尚未制定个人数据保护法的东盟国家应加快立法进程，增强数据隐私保护的互操作性。第二，统一区域内数据监管规则与流动准则，如利用区域全面经济伙伴关系协定（RCEP）和全面与进步跨太平洋伙伴关系协定（CPTPP）等框架制定基于共识的数字安全准则。第三，向柬埔寨、老挝、缅甸等新兴经济体提供数字监管能力建设援助，东盟网络安全行动委员会（ANSAC）、数字数据治理工作组（EWG-DDG）和东盟电子商务协调委员会（ACCEC）等机制可发挥重要作用。

　　简要评述：目前世界银行将数据治理框架分为网络安全、个人数据保护及非个人数据保护三类。目前东盟数据治理框架尚存在完善的空间。东盟各国内部数据监管框架发展并不平衡，许多东盟国家仍处于构筑数据监管框架的早期阶段。其次，在个人数据保护领域也较为薄弱。因此，完善数据治理框架有助于营造更安全的数字贸易与数据传输环境，同时也有利于加强东盟各国之间深化数据安全合作，数字经济发展战略对接，为推动各国全面战略伙伴关系健康稳定发展。

　　美国：CDM由美国网络安全和基础设施安全局（CISA）主导的网络安全产品和服务采购标准，目的是为提升美国联邦、州、和地方政府在识别和减轻新兴网络威胁影响的能力，以全面保护联邦民用网络。CISA的前身是国家保护与计划局（NPPD），隶属于是美国国土安全部（DHS）。2020财年总统的预算案建议为DHS投资19.19亿美元，其中负责全国网络安全防护的CISA预算约为10亿多美元，占部门网络安全总预算过半。在2020财年预算安排中，CDM是预算中一个大类。商业公司提供的数百万种商业产品和服务要添加到CDM批准产品清单(APL)中，都是需经过DHS和CISA产品认证及审批。