关注！数据安全新动态（2024年11月·上篇）

来源：

https://mp.weixin.qq.com/s/4SuhTPczEpenRpwL3i3paw

来源：

https://www.china-cic.cn/Detail/24/67/5909

来源：

https://gxt.ln.gov.cn/gxt/tztg/2024111814565741285/

1.2.1.越南国会正式通过《数据法》法案

路透社11月30日消息，越南国会当日正式通过本国《数据法》内容主要涉及构建、开发、保护、管理、处理和使用数字数据，国家数据中心，国家通用数据库，数字数据产品和服务，数字数据管理以及与数字数据活动相关的机构、组织和个人的权利、义务和责任。该法将于2025年7月1日生效。

来源：

https://www.reuters.com/world/asia-pacific/vietnam-approves-data-electricity-laws-67-bln-rail-plan-2024-11-30/

1.2.2.NIST发布关于过渡到后量子密码学标准的初始公开草案

11月13日消息，美国国家标准与技术研究院（NIST）正在推动后量子密码学（PQC）标准的过渡，以抵御量子计算机对现有加密算法的威胁。NIST在8月发布了首批三个量子抗性加密算法，并在11月12日发布了一份29页的草案，明确了将替换现有易受量子攻击的密码学标准。草案旨在指导联邦机构、行业和标准组织迁移至PQC的时间表和努力方向。白宫已将2035年设定为联邦机构完成PQC迁移的主要目标，但不应用的迁移时间线可能会有所不同。NIST将在整个PQC迁移过程中继续更新文件，提供更详细的指导，并寻求公众对草案报告的意见，以改进过渡计划。

来源：

https://csrc.nist.gov/pubs/ir/8547/ipd

2.1.1.《反洗钱法》修订通过，新增多项个人信息保护规定

11月8日，第十四届全国人民代表大会常务委员会第十二次会议修订通过《反洗钱法》，自2025年1月1日施行。

为进一步平衡反洗钱工作与保障单位、个人正常金融活动的关系，保护数据安全和公民个人信息，修订新增四个方面的规定：其一，在保留现行反洗钱法关于严格规范反洗钱信息使用规定的同时，增加规定对个人隐私的保护；其二，明确要求提供反洗钱服务的机构及其工作人员对于因提供服务获得的数据、信息，应当依法妥善处理，确保数据、信息安全；其三，增加规定金融机构在公司内部、集团成员之间共享反洗钱信息，也应当符合有关信息保护的法律规定；其四，增加规定有关国家机关工作人员泄露反洗钱信息的法律责任。

来源：

http://www.npc.gov.cn/npc/c1773/c1848/c21114/fxqfxd/fxqfxd003/202411/t20241104_440465.html

2.1.2.北京市互联网法院判决认为线上线下一体化自营商店不同经营主体共享消费者个人信息应充分告知消费者并取得其同意

近日，北京市互联网法院就消费者线下交易信息共享至线上小程序的行为作出判决，认为不属于“为订立、履行合同所必需”，而应当充分告知消费者，并取得消费者同意。

该案中，原告在A公司实际运营的线下商店购物并选择微信付款，通过店铺内二维码支付，即跳转至B公司运营的商店同名微信小程序，小程序随即显示该笔交易的交易店面、交易时间、商品名称等信息，原告认为在未调用、使用该商店同名微信小程序的情况下，被商店微信小程序获取了本人的线下购物信息，构成对其个人信息权益的侵害。被告认为商店微信小程序获得用户订单信息基于其原告授权。

北京互联网法院认为：其一，用户在商店购买商品的交易以信息狗策划给你个人信息；其二，被告微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款，且线下交易时亦未向消费者告知并取得同意。其三，线下商店展示的支付二维码仅具有支付功能，扫描二维码致使线上小程序获取线下交易记录并非必要，不属于“为订立、履行合同所必需”，且未经原告同意，构成对原告个人信息的侵害。判决被告向原告书面赔礼道歉。

https://m.bjnews.com.cn/detail/1731576092168347.html

2.1.3.上海一中院判决保险电商网站泄露个人投保信息，保险经纪公司与运营技术公司承担连带责任

近日，上海市第一中级人民法院就个人投保信息泄露案件作出判决，判决保险经纪公司与运营网站的技术公司就投保人个人信息泄露承担连带责任。

该案中，原告通过保险经纪公司购买保险公司的保险产品，通过网页提交投保信息，后偶然输入投保使用的手机号码，能够直接查阅其未经加密的保单信息，包括其姓名、证件号码、出生日期及职业等个人信息。原告认为保险单公开造成其个人信息泄露，导致其长期受到保险推销广告打扰。以保险公司、保险经纪公司、运营投保网站的技术公司作为被告提起诉讼要求三被告清楚已披露的个人信息，并赔偿六万元。该案一审法院认为在案证据难以认定三家公司侵犯原告隐私权，且网站已对原告隐私信息进行了技术处理，无法再次搜索到保单信息，驳回原告诉请。

二审法院上海市第一中级人民法院围绕案涉信息是否属于隐私权的保护范畴；原告提起本案诉讼是否需要履行前置程序；案涉信息泄露的责任承担；原告损害后果的认定等争议焦点作出判决。其一，手机号、身份证号码、职业等信息具有积极利用属性，用户个人身份的识别与社会交往，并非属于隐私权保护范畴，但可以适用《个人信息保护法》作为具体保护规则；其二，原告主张损害赔偿的侵权责任，并非仅主张个人权利请求权，因而可直接向法院起诉，无需受限于“个人信息处理者拒绝个人权利请求”的前置条件。其三，就三方责任划分，保险公司已与保险经纪公司约定用户个人信息保护相关要求，且不存在不当行为，因而在个人信息处理过程中不存在侵权行为；技术公司是个人信息的直接收集者与处理者，且泄露网址链接指向其运营的投保网站，应由其就投保信息泄露承担侵权责任；保险经纪公司与技术公司就投保个人信息的收集、使用、传输等具有共同目的，应就信息泄露承担连带责任。其四，原告个人信息泄露后可为不特定第三人获取，构成个人信息权益损害，且其中包含敏感个人信息，认定技术公司赔偿原告一万元，保险经纪公司承担连带赔偿责任。

来源：

https://mp.weixin.qq.com/s/xF350P-o-3f12TmuQwmrRA

2.1.4.全国网络安全标准化技术委员会发布《粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》

11月21日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》（以下简称《跨境保护要求》），《跨境保护要求》规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。

来源：

https://www.tc260.org.cn/front/postDetail.html?id=20241121082051

2.2.1.Meta因非法处理个人信息被罚216亿韩元

11月5日，韩国个人信息保护委员会作出决定，对Meta处以216亿余韩元行政罚款。

韩国个人信息保护委员会针对Meta个人信息处理行为的调查显示，Meta存在非法收集敏感个人信息、无正当理由拒绝查阅请求、个人信息泄露等非法处理个人信息行为。其一，Meta通过用户在Facebook上点击“赞”的页面、点击的广告等行为信息进行分析，制作并运营了敏感信息相关广告主题（特定宗教、同性恋、跨性别、脱北居民等），属于未经用户同意收集并利用敏感个人信息，且未采取保护措施，构成非法收集用户敏感个人信息。其二，Meta不公平地以非韩国《个人信息保护法》所规定的调阅对象为由拒绝用户查阅个人信息的要求，构成无正当理由拒绝查阅请求。其三，针对处于已停用或未激活状态的网站，Meta未采取删除或关闭等安全措施，致使黑客利用此页面提交虚假身份信息进而重置其他用户账户密码，Meta未充分核验前述虚假身份，导致10名韩国用户个人信息遭到泄露，构成个人信息泄露。

来源：

https://mp.weixin.qq.com/s/grfstDPxrLoAB_8YN4wmLQ

2.2.2.澳大利亚议会批准隐私法关键改革建议

11月18日，澳大利亚联邦众议院通过《2024年隐私和其他立法修正案》法律摘要，明确此次修正案改革关键，涉及个人信息跨境流动、儿童隐私保护规范、严重隐私侵权诉权、分层级处罚制度、紧急和符合条件的数据泄露声明、自动化决策的透明度、人肉搜索行为入刑等七个方面。

该修正案由澳大利亚联邦议会于2024年9月12日发布，旨在修订1988年《隐私法》，以落实政府在回应《隐私法》审查报告时所承诺的首批改革措施。目前，修正案已经过众议院的一读、二读、三读，以及参议院的一读、二读。

来源：

https://mp.weixin.qq.com/s/KLKWpr_dEmWMwDfGXlxCKg