《数据合规资讯》2雷泽体育022年10月刊·第三期
本报告对2022年9月27日至2022年10月30日期间及前后境内外有关数据合规方面的立法、执法动态加以整理,并针对部分立法动态提供简要评论。同时,整理涉及数据合规的重要新闻,以供阅览。
● 9月28日,在上海银保监局和上海市经信委的指导下,上海市保险同业公会发布了国内首个网络安全保险行业团体标准《网络安全保险服务规范》(以下简称《服务规范》),该团体标准将切实推动数字经济时代下网络安全保障体系建设,同时也是上海打造国际金融中心、建设网络安全产业创新高地的重要抓手。从内容看,《服务规范》对保险公司开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求,特别是针对承保前风险评估服务、承保中风险管控服务、事件发生后应急处置服务以及保险理赔服务明确了要求,体现了上海保险业在“保险+服务+科技”三位一体新生态下,让网络安全保险切实成为企业数字化基础能力的决心和行动。
● 为规范网络产品安全漏洞收集平台备案管理,工业和信息化部于10月28日印发《网络产品安全漏洞收集平台备案管理办法》。办法规定,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。
办法所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。办法明确,拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。办法自2023年1月1日起施行。
● 9月16日,美国白宫发布首个负责任地开发数字资产的综合框架。根据总统的行政命令,新报告概述了保护消费者、投资者、企业、金融稳定、国家安全和环境的建议。在过去的六个月中,政府各机构共同制定了框架和政策建议,以推进拜登总统3月9日关于确保负责任地开发数字资产的行政命令(EO)中确定的六个关键优先事项:消费者和投资者保护;促进金融稳定;打击非法金融;美国在全球金融体系和经济竞争力方面的领导地位;金融包容性和负责任的创新。迄今为止,提交给总统的九份报告均符合EO的最后期限,反映了政府、行业、学术界和民间社会不同利益相关者的意见和专业知识。各部门将各司其职,共同致力于负责任地开发数字资产。
● 10月4日,尼日利亚国家信息技术开发局(Nigeria’s National Information Technology Development Agency,NITDA)发布了2022年《尼日利亚数据保护法(草案)》(NIGERIA DATA PROTECTION BILL 2022-Draft,以下简称草案),概述了个人数据保护的法律框架。草案共包括十三个部分,规定将建立尼日利亚数据保护委员会,以规范个人数据处理,并概述处理个人信息的原则;包括进行数据保护影响评估和任命数据保护官;违规通知和跨境数据传输限制;以及包括调查和民事补救措施在内的执法能力。
● 10月7日,欧盟与日本发布消息称,双方已同意就将数据跨境流动规则纳入《经济伙伴关系协定》进行谈判。正式讨论将于2022年10月24日在布鲁塞尔开始。
欧盟称其将与日本谈判的数据跨境流动条款应该对双方企业都有利。欧盟的目标是通过禁止不合理的数据本地化要求来确保数据跨境流动,同时保持欧盟在个人和非个人数据保护和网络安全领域的监管自主权。除了日本,欧盟还在与新西兰和英国的贸易合作协定中议定了数据跨境流动方面的相关规则,欧盟还旨在在其正在进行的双边贸易谈判和世界贸易组织内的电子商务谈判中就数据跨境流动规则达成一致。
● 美总统拜登于10月17日签署《人工智能培训法案》,白宫管理和预算办公室(OMB)将为执行机构的采购人员制定并提供人工智能培训计划,以了解人工智能相关的能力与风险。培训计划将提供与人工智能系统技术特征相关概念,提供减轻人工智能风险的方法,并讨论未来人工智能趋势,包括对国家安全和创新有影响的趋势。根据该法案,OMB必须至少每两年更新一次人工智能培训计划,并对参与者的情况进行衡量,还应接收并考虑培训计划参与者的反馈和其他见解。
● 近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。
上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。
● 工信部高度重视用户权益保护工作,持续开展APP侵害用户权益专项整治行动。为巩固治理成效,营造共同维护消费者权益的良好环境,近期工信部开展APP侵害用户权益整治“回头看”,组织第三方检测机构对违规推送弹窗信息、APP过度索取权限等问题进行重点抽测,共发现38款APP存在问题。
● 10月3日,英国信息委员会(ICO)已向Green Logic UK Ltd绿色逻辑英国有限公司作出罚款决定。在2020年1月1日至2020年12月31日期间,Green Logic UK Ltd使用公共电信服务为直接营销目的拨打了11,825个未经请求的电话。
● 10月3日,英国信息委员会(ICO)已向Euroseal Windows Limited作出罚款决定。在2020年1月1日至2020年12月2日期间,Euroseal使用公共电信服务,根据概率的平衡,为直接营销目的发出至少169,830个未经请求的电话。
● 10月19日,英国信息委员会(ICO)已对Apex Assure Limited顶点保证有限公司作出罚款决定。在2021年2月1日至2021年7月31日期间,Apex Assure Limited使用公共电信服务向订户拨打122次出于直接营销目的而主动拨打的电话,而就被叫线路分配给订户的号码是署长根据第26条备存的号码登记册,违反PECR第21(1)(b)条。这导致向TPS和专员提出了122起投诉。
● 10月25日,新加坡个人数据保护委员会(“PDPC”)作出决定,QCP资本未违反保护义务。2021年8月30日,QCP Capital Pte Ltd(“机构”)涉及个人数据泄露事件,并向新加坡个人数据保护委员会(“PDPC”)进行通报。该事件是通过未经授权访问员工账户和渗出客户个人数据而发生的(“事件”)。由于该事件,675人的个人资料被渗出。受影响的个人数据包括姓名、NRIC号码、出生日期、地址、护照扫描件、护照号码以及其他信息。地址、护照扫描件、护照号码、照片、电子邮件地址、电话号码、电报和微信ID、白名单地址和交易记录。
调查显示,该组织已经提供并作出了合理的安全安排,以保护其拥有和/或控制的与该事件有关的个人数据。该组织还建立了一个内部监控系统,使该组织能够发现、提升异常交易,标记并暂停受影响的交易账户。
事件发生后,本组织迅速采取了广泛的补救措施,以减轻事件的影响。事件发生后,本组织迅速采取了广泛的补救措施,以减轻事件的影响,并提高其安全措施的整体稳健性。其安全措施的完整性。这包括通知受影响的个人。分层访问控制和引入强制性硬件密钥访问认证。
鉴于上述情况,保护个人数据的副专员认为,该组织遵守了其保护义务。信纳该机构已履行《個人資料(私隱)條例》第24条所規定的保障责任。威胁者未经授权的访问,不应承担任何责任。威胁者未经授权的访问不应承担责任。因此,不需要对该事件采取执法行动。
● 当前,个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一。党的十八大以来,我国数字经济规模连续多年稳居世界第二,从2012年的11万亿元增加到2021年的45.5万亿元,占GDP比重由21.6%提升到39.8%。“四新经济”为中国经济增长带来新活力、新动力的同时,信息数据的财产属性日益凸显,暴露出的安全风险问题不可忽视。如信息滥用、隐私泄露等,成为人民群众反映强烈、影响产业行业健康规范发展的卡点问题。
为加强个人信息保护,我国不断从立法、执法、司法等各环节出台硬措施,打出“组合拳”,为个人信息安全筑起了“防火墙”。2012年,第十一届全国人大常委会第三十次会议通过关于加强网络信息保护的决定,明确国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息;2021年,第十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》,保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,同年颁布实施的《中华人民共和国民法典》,将隐私权和个人信息作为一项民事权利予以专章保护。个人信息保护已被纳入检察机关开展公益诉讼的新领域。在个人信息保护有法可依的前提下,要进一步加强执法司法保护,将法律的要求贯彻到从事个人信息活动的各环节、全过程。其次是加强平台企业合规监管,自觉履行法律规定的义务和责任,全面提升数据安全保障服务水平,不能睁一只眼闭一只眼。最后是个人要加强信息安全防范意识,充分履行“同意”权利,主张个人信息权利。
简要评述:加强个人信息保护写入了党的二十大报告。人民群众在数字社会中的权利得到充分尊重、实现与保护,是以人民为中心发展思想的充分体现。随着法治中国建设深入推进,通过各方协同发力,有效提升个人信息“安全系数”,人民群众的相关权益将得到有效保障,助力数字经济行稳致远。
● 10月份以来截至10月27日,数据安全板块持续走强,板块整体涨幅达22.42%,大幅跑赢上证指数(期间累计跌1.37%)。其中,37只概念股期间累计涨幅超10%,科创信息、中国软件、海量数据、深桑达A等4只概念股期间累计涨幅均超50%,久远银海、信安世纪、绿盟科技、迪普科技等4只概念股期间累计涨幅也均逾30%。
根据IDC发布的数据显示,全球数据量从2010年的2ZB增长到2021年将近60ZB,2025年预计将增长至175ZB,其中中国将成为数据量最大的国家,数据量将达到48.6ZB,占全球总量的27.8%。
简要评述:随着国内产业数字化的不断推进,为各行业催生出了更多的新模式与新业态,我国已经进入到数字经济时代,产业数字化转型的进程也在加快,从而推动了数据量的高速增长,因此数据安全重要性愈发凸显,可以看到政策上也是在持续加码扶持数据安全产业发展,数据安全板块在需求大幅增长以及政策大力扶持的双重驱动下,数据安全行业景气度有望持续提升。
● 据工信部消息:前三季度,我国软件和信息技术服务业运行态势平稳,业务收入达到74763亿元,同比增长9.8%,增速与1至8月份持平;利润总额为7930亿元,同比增长2.7%。其中,信息安全收入保持较快增长。前三季度,信息安全产品和服务收入1269亿元,同比增长12.4%,增速较1至8月份提高0.3个百分点。
分领域运行来看,软件产品收入增速小幅提升。前三季度,软件产品收入18313亿元,同比增长9.4%雷泽体育,增速较1至8月份提高0.2个百分点。其中,工业软件产品收入1636亿元,同比增长9.0%。信息技术服务收入增长放缓。前三季度,信息技术服务收入48681亿元,同比增长10.1%,增速较1至8月份回落0.2个百分点。其中,云计算、大数据服务共实现收入7138亿元,同比增长6.5%,电子商务平台技术服务收入7473亿元,同比增长15.8%。
● 数据安全是网络安全重要热门市场,且具有非常广阔的发展前景与市场需求。数说安全致力于网络安全产业研究,于10月份发布《2022年数据安全市场报告》,该报告从数据安全背景与政策、市场发展概况、重点行业市场需求侧分析、供给侧分析等维度,研究分析了我国数据安全市场的概况与细节。
● 微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息。微软在2022年9月24日获悉该泄露事件后加固了服务器安全,“配置不当可导致对微软与客户之间的某些企业交易数据的未认证访问权限。经过调查未发现客户账号或系统受陷。我们已直接告知受影响客户。”
微软表示,遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。微软指出,这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。
● 2022年10月25日,勒索软件组织Hive在其数据泄露网站上公布了塔塔电力公司(TataPower)的数据雷泽体育。作为跨国企业集团塔塔集团的子公司,塔塔电力是印度最大的综合电力公司,总部位于孟买。本月初行业新闻,该公司遭遇攻击发生数据泄露,勒索软件组织Hive宣称对此次攻击负责。网络安全分析师Dominic Alvieri在推特上发布的Hive泄露网站截图进一步确认塔塔电力数据泄露。根据泄露网站的屏幕截图,勒索软件组织Hive发布了他们声称从Tata Power窃取的数据,这意味着赎金谈判已经失败。在10月14日的股票文件[PDF]中,该公司将此次违规行为描述为“对其IT基础设施的网络攻击,雷泽体育影响了其部分IT系统”,但没有提到勒索软件或数据泄露。
● 澳大利亚零售巨头Woolworths旗下子公司MyDeal泄露220万用户数据。据报道称,澳大利亚零售巨头Woolworths批露了近期旗下子公司MyDeal一起影响220万用户的数据泄露事件,攻击者已在黑客论坛上发帖出售被盗数据。这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息,部分还涉及用户的出生日期。