网数法合规圈的读者朋友们,大家好!盈科全球数据合规服务中心将于每周定期为大家呈现最新的全球数据合规资讯。诚挚邀请您点击订阅!诚挚邀请您点击订阅
盈科律师事务所YINGKE是一家全球化法律服务机构,拥有17000多名律师,在2023Global 200排名中,盈科全球律师人数蝉联世界第一。盈科在中国大陆地区拥有120家分所及1家粤港澳联营律所。盈科全球法律服务网络已经覆盖了103个国家和地区的194个国际城市。其中,盈科海外直营机构覆盖了40个国家的52个国际城市;盈科境外合作律所覆盖了92个国家和地区的174个国际城市。目前盈科累计为超过100万家海内外企业提供高度满意的法律服务。
盈科全球数据合规服务中心(Yingke Global Data Compliance Service Center)由郭卫红主任创建,也是盈科设立的国内最早专注于数据合规与网络安全的国际化服务平台之一,在欧洲、中东、美国、新加坡、日本等地设有海外直营分中心,由法律专家与技术专家组成,持有CIPP/CIPM/CCRC•DSO等资质。
中心参与全球数字经济立法与标准制定,将前沿理论成果转化为具有商业价值的服务,同时整合第三方安全技术、认证机构、专家学者等资源,为中资企业走出去、外资企业引进来提供优质高效的全球一站式服务,助力客户在全球数字化发展浪潮中勇立潮头。
全球数据合规资讯·周刊
域外动态
立法与政策
一、国家数据局拟出台企业数据开发利用等政策文件
2024年10月25日,2024年“数据要素×”大赛全国总决赛颁奖仪式在北京举行。国家数据局党组书记、局长刘烈宏表示,一年来,国家数据局已经出台公共数据开发利用、数字经济高质量发展、城市全域数字化转型、数字经济促进共同富裕、“数据要素×”三年行动、全国一体化算力网、国家数据标准体系建设指南等方面的重要政策文件8份。后续拟出台企业数据开发利用、数据产业高质量发展、公共数据资源登记、公共数据授权运营、数据基础设施建设指引、数据空间行动计划、数据流通安全治理等方面的政策文件,还将推动建立数据产权制度,完善数据流通交易规则,提升数据安全治理水平,促进数据“供得出、流得动、用得好、保安全”。
二、《金融数据安全治理实施指南》等4项标准发布
2024年10月25日,中国互联网金融协会在京召开金融数据安全治理工作研讨会暨金融数据安全系列标准发布会。会上,协会正式发布了《金融数据安全治理实施指南》《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》等4项标准,旨在从金融数据治理、金融数据资产管理、金融数据安全技术防护、金融数据安全应急管理等不同角度为做好新时代的金融数据安全治理工作提供相应指引和规范。
三、工信部印发《工业和信息化领域数据安全事件应急预案(试行)》
10月31日,工信部印发《工业和信息化领域数据安全事件应急预案(试行)》,在中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动,应当遵守相关法律、行政法规和本预案的要求。预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。工业和信息化领域数据处理者负责本单位数据安全事件预防、监测、应急处置、报告等工作,根据应对数据安全事件的需要,制定本单位数据安全事件应急预案。
四、最高院发布涉“侵犯公民个人信息罪”问答
10月31日,最高人民法院“法答网精选答问”栏目,发布了一批法答网精选咨询答疑,其中问题1为“侵犯公民个人信息罪案件中,在认定“违法所得”时应否扣除成本?”。根据最高院答疑意见,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条系单独使用“违法所得”数额,在认定违法所得时,一般不扣除成本。但对于个别采取交易形式侵犯公民个人信息构成犯罪的,在认定“违法所得”时如不扣除成本可能使得案件处理明显不符合罪责刑相适应原则要求的,应结合案件具体情况予以考虑。
五、全国人大介绍反洗钱法修订草案修改情况,完善多项规定更好保护数据安全和公民个人信息
11月1日,全国人大常委会法工委举行记者会,发言人黄海华介绍了反洗钱法修订草案的修改情况。其中,为了更好地保护数据安全和公民个人信息,修订草案主要作了四个方面规定:一是,在保留现行反洗钱法关于严格规范反洗钱信息使用规定的同时,增加规定对个人隐私的保护。二是,明确要求提供反洗钱服务的机构及其工作人员对于因提供服务获得的数据、信息,应当依法妥善处理,确保数据、信息安全。三是,增加规定金融机构在公司内部、集团成员之间共享反洗钱信息,也应当符合有关信息保护的法律规定。四是,增加规定有关国家机关工作人员泄露反洗钱信息的法律责任。
六、国家网信办发布第八批深度合成服务算法备案信息
11月1日,国家互联网信息办公室发布第八批深度合成服务算法备案信息,本批次共计509个算法通过备案。根据《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。国家网信办请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。
监管与司法动态
一、万豪与美国联邦贸易委员会和解
近日,万豪国际集团(Marriott)因一系列数据泄露事件,同意支付3.6亿余元罚款,并与美国联邦贸易委员会(FTC)及49个州和哥伦比亚特区达成和解。这些泄露事件影响了全球超过3.44亿客户,暴露了他们的护照信息、支付卡号、电子邮件地址等敏感数据。万豪国际集团与美国联邦贸易委员会之间就大型数据泄露的和解草案中强调了数据最小化的重要性,并讨论了万豪在数据保护方面的新责任。
二、上海某医疗科技企业未履行保护义务被网信部门依法处罚
近日,上海市网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。针对这一问题线索,上海市网信办立即赴涉事企业开展现场核查。经查实,该企业的确存在数据泄漏问题,暴露出公司未能履行好网络安全、数据安全保护义务,上海市网信办依据《数据安全法》对该公司予以立案调查。通过调查核实,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号(已采取加密措施)等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。针对以上违法情况,上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告,并处以罚款的行政处罚。
三、国安部披露某境外企业在我国非法开展地理信息测绘活动
2024年10月16日,根据“国家安全部”微信公众号消息,国家安全机关工作发现,某境外企业A公司通过与我国具有测绘资质的B公司合作,以开展汽车智能驾驶研究为掩护,在我国内非法开展地理信息测绘活动。A公司为某国重点敏感领域项目承包商,根据《中华人民共和国测绘法》规定,并不具备在我国内单独开展地理信息测绘活动的资质。为规避我国行业主管部门监管,该公司以汽车智能驾驶研究为由,将项目多次外包,最终委托具备测绘资质的国内B公司具体实施。在经济利益的诱惑驱使下,B公司完全沦为A公司的牵线木偶,其所具有的测绘资质为A公司在我国境内非法获取测绘数据起到了掩护作用。最后在A公司的操控指使下,B公司将测绘所得数据转移出境。
四、中国网络空间安全协会:建议对英特尔在华销售产品启动网络安全审查
2024年10月16日,“中国网络空间安全协会”发布《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》一文。其中指出,英特尔CPU近期频繁爆出安全漏洞,如Downfall和Reptar,影响多代产品,并被指控在知情不报的情况下继续销售。此外,第13、14代酷睿i9系列CPU因稳定性问题导致游戏崩溃,英特尔对此反应迟缓。英特尔还被指责在产品中集成存在漏洞的第三方组件,以及在其ME子系统中暗设后门,潜在危害用户隐私和国家安全。鉴于英特尔产品在中国市场的广泛使用,中国网络空间安全协会建议启动网络安全审查,以保护中国消费者的权益和国家安全。
五、两家公司违反《数据安全法》被网信部门行政处罚
2024年10月23日,根据“网信郑州”微信公众号消息,郑州市网信办工作中发现,两家公司未履行网络安全保护义务,未采取必要的安全防护,导致大量敏感数据被窃取。郑州市网信办依据《数据安全法》分别对两家公司作出责令改正,给予警告,并处人民币5万元罚款的行政处罚。两家公司所涉问题主要包括未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,网络安全管理方面存在缺失,未能按照《数据安全法》要求对企业重要数据进行分级分类管理,系统日志存储时未对用户个人敏感信息进行脱敏处理,存在安全风险等。
域外动态
立法与政策
一、新加坡分别与韩国和德国签署消费智能产品网络安全标签互认协议
2024年10月16日,新加坡网络安全局(CSA)在国际物联网安全圆桌会议上分别与韩国互联网安全局(KISA)和德国联邦信息安全局(BSI)签署了网络安全标签互认协议(MRA)。韩国和新加坡的协议将于2025年1月1日生效。根据这份互认协议,获得韩国信息安全局IoT网络安全认证(CIC)和新加坡网络安全标签的智能消费产品将在两国相互认可。根据德国和新加坡的互认协议,获得德国IT安全标签和新加坡网络安全标签的智能消费产品将在两国相互认可。CSA将认可获得BSI标签的产品满足CLS(IoT)2级要求,而BSI将认可CLS(IoT)2级及以上的产品。这份互认协议以2022年签署的上一份互认协议为基础,后者扩大了网络安全标签认可范围,包括家庭网关,并继续涵盖智能设备,例如智能摄像头、智能扬声器、家庭自动化集线器和健康追踪器。
二、纽约:纽约州金融服务部(NYDFS) 发布有关 AI 带来的网络安全风险的指南
2024年10月16日,纽约州金融服务部(DFS)发布指南,帮助受DFS监管的实体应对和打击人工智能带来的网络安全风险。据悉,该指南并未提出新的要求。相反,它有助于相关机构履行网络安全法规规定的现有义务。根据指南要求,相关机构要评估和应对其网络安全风险,包括人工智能带来的风险,并部署多层次的安全控制,提供重叠保护,以便在一个控制失效时,其他控制也能到位,及时应对网络安全攻击。根据该指南,减轻人工智能相关威胁的控制和措施包括风险评估和基于风险的方案、政策、程序和计划;第三方服务提供商和供应商管理;访问控制;网络安全培训;检测新安全漏洞的监控流程;以及数据管理。该指南指出,人工智能特有的安全风险包括社交工程、增强型网络攻击、非公开信息被盗以及供应链依赖性导致的脆弱性增加等。
三、欧盟:欧盟委员会通过NIS2指令首个实施条例
2024年10月17日,欧盟委员会通过了第一份关于关键实体和网络的网络安全的实施细则,该实施细则是根据《关于在欧盟范围内采取高水平共同网络安全措施的指令》(NIS2指令)制定的。该实施细则详细规定了网络安全风险管理措施,以及在哪些情况下事件应被视为重大事件,提供数字基础设施和服务的公司应向国家当局报告。该实施细则将适用于提供数字服务的特定类别公司,如云计算服务提供商、数据中心服务提供商、在线市场、在线搜索引擎和社交网络平台等。对于每一类服务提供商,实施法案还规定了何时事件被视为重大事件。
四、美国司法部发布拟议规则防止中国等国家获取美国人的敏感个人数据
2024年10月21日,美国司法部发布了一份拟议规则制定通知(NPRM),以实施美国总统拜登此前发布的第14117号行政命令“防止受关注国家获取美国人的大量敏感个人数据和美国政府相关数据”。该项拟议规则拟解决因受关注国家和受监管人员获取美国人大量敏感个人数据和某些敏感的美国政府相关数据而产生的特定国家安全风险。拟议规则确定了禁止和限制交易的类别,界定了适用该规则的受关注国家和相关人员的范围,规定了豁免交易的类别,解释了商务部制定批量阈值的方法,提供了商务部对经济和其他监管影响的初步评估,建立了颁发授权某些禁止或限制交易的许可证、发布咨询意见和指定相关人员的程序,并解决了相关交易的记录保存、报告和其他尽职调查义务。
五、沙特阿拉伯发布数据泄露指南
2024年10月21日,沙特数据和人工智能管理局(SDAIA)发布了《个人数据泄露事件程序指南》。该指南规定了处理个人数据泄露事件的必要程序,并减少对数据主体造成的后果和风险。该指南要求如果事件预计会损害个人数据或数据主体,或者与其权利或利益相冲突,控制者应在知晓数据泄露事件后72小时内向SDAIA通报,并建议控制者采取措施应对和遏制数据泄露。该指南还规定,控制者应保留向SDAIA提交的有关数据泄露、采取的纠正措施以及任何相关的适当记录或文件的副本。
六、美国拜登政府发布关于人工智能的国家安全战略
2024年10月24日,拜登政府发布了一份国家安全备忘录(National Security Memorandum, NSM),这是美国历史上第一份关于人工智能(AI)的国家安全备忘录。该备忘录强调了人工智能技术对国家安全和外交政策的重要性,并提出了具体的行动指导。这份备忘录体现了拜登政府对AI技术在国家安全中作用的重视,以及在推动负责任的AI创新和使用方面的全面战略。通过这份备忘录,美国政府希望确保AI的发展和管理能够符合美国的价值观和利益。
监管与司法动态
一、LinkedIn因违反GDPR被处以3.1亿欧元罚款
2024年10月24日,爱尔兰数据保护专员 (DPC) 宣布对LinkedIn Ireland Unlimited Company处以3.1亿欧元的罚款,原因是该公司违反了《通用数据保护条例》(GDPR)。DPC 在调查中发现,LinkedIn违反了GDPR第6(1)(a)、6(1)(b)、6(1)(f)、5(1)(a)、13(1)(c)和14(1)(c)条,原因包括LinkedIn未能获得有效的同意处理用户的第三方数据,进行行为分析和定向广告;未能有效依赖合法利益原则处理用户的第一方个人数据以进行行为分析和定向广告,或处理第三方数据进行分析等。
二、印度个人数据保护法采取“黑名单”的方式管控数据跨境流动
2024年10月18日,国内报道印度即将实施其首部综合性数据保护法——《2023年数字个人数据保护法》(Digital Personal Data Protection Act 2023,简称“DPDPA”)。该法案在数据本地化和数据存储方面的规则与2019年公布的草案存在显著差异。数据本地化本质上意味着数据应存储在其产生国家或地区的本地服务器上。草案将数据分为敏感数据和关键数据,其中敏感数据涉及金融、健康、性生活、性取向等领域;关键数据的类别则由中央政府通知确定。草案要求敏感数据必须仅存储在印度,关键数据则仅能在印度进行处理。相比之下,DPDPA并未对任何数据类别施加无条件的本地化要求。相反,它采用了一种宽松的“黑名单”模式,允许中央政府通知特定国家,限制向这些国家的数据流动——这与欧盟《通用数据保护条例》中的“白名单”制度形成对比。该法案还允许制定更具保护主义色彩的的特定行业数据本地化法规。
三、美国决定2025年起限制半导体和微电子、量子信息技术、AI领域对华投资
2024年10月28日,美国财政部发布了一项最终规则,以实施美国总统拜登于2023年8月9日发布的第14105号行政命令“解决美国在受关注国家对某些国家安全技术和产品的投资问题”。该项规则将限制美国企业和美国人在半导体和微电子、量子信息技术和AI领域向中国进行投资。该项规则将自2025年1月起生效。此外,该项规则将某些类型的交易排除在该规则的适用范围之外,前提是此类交易不会为美国个人提供某些不属于标准少数股东保护的权利,这些例外交易包括公开交易证券和某些有限合伙投资等。
四、欧盟委员会根据DSA对Temu提起正式诉讼
2024年10月31日,欧盟委员会宣布已根据《数字服务法》(DSA)对Temu启动正式程序,以评估Temu是否可能在与销售非法产品、服务的潜在成瘾设计;用于向用户推荐购买的系统以及研究人员的数据访问相关的领域违反了《数字服务法》(DSA)。正式程序的启动使委员会有权采取进一步的执法步骤,包括通过不合规决定。委员会还有权接受Temu做出的承诺,以补救受诉讼约束的事项。
END
编辑:魏蝶蝶
发布:盈科全球数据合规服务中心
盈科全球数据合规服务中心简介
盈科全球数据合规服务中心已累计为全球超百家智能制造、新型储能、消费电子、通信、大数据、物联网、盲盒电商、金融医疗等数字经济领域的公司提供全球数据合规、个保审计、网络安全、平台合规、开源合规治理、涉网数诉讼、数据犯罪辩护与数据合规常年顾问等综合解决方案。本服务团队具有丰富的“法律+技术”项目经验,具体如下:
中心为超百家跨国企业、国央企、行业独角兽提供了全球范围内多项数据合规与网络安全项目,包括但不限于欧盟GDPR、新加坡PDPA、美国CCPA、中国PIPL等,积累了丰富的项目实践经验。
中心律师曾任上市集团公司数据安全法务,理解大型企业的运作模式和行业规则,具有丰富的一线法务经验,能够切实地站在企业的角度思考问题,并且擅长协调各部门工作,将相关合规计划实施落地。
中心律师深耕数据合规领域,多数拥有复合专业背景,并且是各行业领域的资深律师,深谙各行业规则。法律服务将会根据各个专家的擅长领域进行项目分工,由本领域律师主要负责本部分项目,其他律师协同配合,保障整个项目的顺利进行,至此,已成功经办多项重大复杂合规项目与案件。
技术专家/机构加持:中心拥有多位十年以上安全技术工作经验的技术顾问,能够在客户提出需求并授权的情况下,在项目中提供技术支持、第三方认证服务(例如GDPR认证、PIA认证等)。
联系中心
盈科全球数据合规服务中心
总部
负责人:郭卫红(上海)
联系电话:(86) 15221266180
联系邮箱:[email protected]
东南亚中心
负责人:冯瑄(新加坡)
联系电话:(86) 17601439617
联系邮箱:[email protected]
美国硅谷中心
负责人:刘升中(旧金山)
美国洛杉矶中心
负责人:李永源(洛杉矶)
美国波士顿中心
负责人:相远方(波士顿)
南京中心
负责人:闫东伟(南京)
联系电话:(86)15105160386
联系邮箱:[email protected]
深圳中心
负责人:郑明明(深圳)
联系电话:(86)18588244787
联系邮箱:[email protected]
青岛中心
负责人:王睿(青岛)
联系电话:(86)13396423377
联系邮箱:[email protected]
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...