本動態(tài)涵蓋2019年10月下半月至11月網(wǎng)絡安全和數(shù)據(jù)合規(guī)領域的規(guī)定、規(guī)則及重大新聞。第一部分為我們理解值得關注的該領域的最新政策規(guī)定及規(guī)則(部分政策規(guī)定或規(guī)則,可能包含我們對其值得關注的要點或問題的簡評);第二部分為我們理解值得關注的該領域的重要事件或重大新聞(部分事件或新聞,可能包含我們對其值得關注的要點或問題的簡評)。
本動態(tài)僅作為本所對網(wǎng)絡安全及數(shù)據(jù)合規(guī)相關的近期話題的一般性探討,不構成本所正式法律咨詢意見。
一、監(jiān)管規(guī)則
(一)《最高人民法院、最高人民檢察院關于辦理非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動等刑事案件適用法律若干問題的解釋》(法釋〔2019〕15號)(下稱“《信息網(wǎng)絡犯罪司法解釋》”)
發(fā)布時間: 2019年10月21日
發(fā)布單位: 最高人民法院和最高人民檢察院
數(shù)據(jù)合規(guī)看點:
1、對“拒不履行信息網(wǎng)絡安全管理義務罪”的細化規(guī)定
a.拒不履行信息網(wǎng)絡安全管理義務罪
《刑法》第二百八十六條之一規(guī)定,網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴重后果的;
(三)致使刑事案件證據(jù)滅失,情節(jié)嚴重的;
(四)有其他嚴重情節(jié)的。
單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規(guī)定處罰。
有前兩款行為,同時構成其他犯罪的,依照處罰較重的規(guī)定定罪處罰。
b.明確了“網(wǎng)絡服務提供者”的范圍
《信息網(wǎng)絡犯罪司法解釋》規(guī)定,“網(wǎng)絡服務提供者”指提供以下服務的單位和個人:網(wǎng)絡接入、域名注冊解析等信息網(wǎng)絡接入、計算、存儲、傳輸服務;信息發(fā)布、搜索引擎、即時通訊、網(wǎng)絡支付、網(wǎng)絡預約、網(wǎng)絡購物、網(wǎng)絡游戲、網(wǎng)絡直播、網(wǎng)站建設、安全防護、廣告推廣、應用商店等信息網(wǎng)絡應用服務;利用信息網(wǎng)絡提供的電子政務、通信、能源、交通、水利、金融、教育、醫(yī)療等公共服務。
c.明確了“監(jiān)管部門責令采取改正措施”和“拒不改正”的具體含義和情境
《信息網(wǎng)絡犯罪司法解釋》規(guī)定,“監(jiān)管部門責令采取改正措施”,是指網(wǎng)信、電信、公安等依照法律、行政法規(guī)的規(guī)定承擔信息網(wǎng)絡安全監(jiān)管職責的部門,以責令整改通知書或者其他文書形式,責令網(wǎng)絡服務提供者采取改正措施。認定“經(jīng)監(jiān)管部門責令采取改正措施而拒不改正”,應當綜合考慮監(jiān)管部門責令改正是否具有法律、行政法規(guī)依據(jù),改正措施及期限要求是否明確、合理,網(wǎng)絡服務提供者是否具有按照要求采取改正措施的能力等因素進行判斷。
d.明確或量化了其他入刑要素
《信息網(wǎng)絡犯罪司法解釋》對“致使違法信息大量傳播”、“致使用戶信息泄露,造成嚴重后果”當中的“造成嚴重后果”、“致使刑事案件證據(jù)滅失,情節(jié)嚴重的”的“情節(jié)嚴重”以及“有其他嚴重情節(jié)的”的具體含義進行了詳細的規(guī)定。
2、對“非法利用信息網(wǎng)絡罪”的細化規(guī)定
a.非法利用信息網(wǎng)絡罪
《刑法》第二百八十七條之一規(guī)定,利用信息網(wǎng)絡實施下列行為之一,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金:
(一)設立用于實施詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通訊群組的;
(二)發(fā)布有關制作或者銷售毒品、槍支、淫穢物品等違禁物品、管制物品或者其他違法犯罪信息的;
(三)為實施詐騙等違法犯罪活動發(fā)布信息的。
b.闡明“違法犯罪”的行為性質(zhì)
《信息網(wǎng)絡犯罪司法解釋》規(guī)定,為實施詐騙等違法犯罪活動發(fā)布信息的,情節(jié)嚴重可認定為本罪,此處“違法犯罪”包括犯罪行為和屬于刑法分則規(guī)定的行為類型但尚未構成犯罪的違法行為。上述規(guī)定,從側面反映了,對于刑法未規(guī)定、僅在治安管理處罰法或者其他法律法規(guī)規(guī)定的行政違法行為不宜認定為本罪名中的“違法犯罪”行為。
c.釋明了三類具體情節(jié)
《信息網(wǎng)絡犯罪司法解釋》釋明了“用于實施詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通訊群組”的一項具體情境;釋明了“為實施詐騙等違法犯罪活動發(fā)布信息”當中的“發(fā)布信息”的一項具體情境;詳細釋明了哪些情形可以構成“情節(jié)嚴重”。
3、對“幫助信息網(wǎng)絡犯罪活動罪”的細化規(guī)定
a.幫助信息網(wǎng)絡犯罪活動罪
《刑法》第二百八十七條之二規(guī)定,明知他人利用信息網(wǎng)絡實施犯罪,為其犯罪提供互聯(lián)網(wǎng)接入、服務器托管、網(wǎng)絡存儲、通訊傳輸?shù)燃夹g支持,或者提供廣告推廣、支付結算等幫助,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。
單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照第一款的規(guī)定處罰。
有前兩款行為,同時構成其他犯罪的,依照處罰較重的規(guī)定定罪處罰。
b.明確了“明知他人利用信息網(wǎng)絡實施犯罪”的情形
《信息網(wǎng)絡犯罪司法解釋》規(guī)定了如下情形可以認定為“明知他人利用信息網(wǎng)絡實施犯罪”:經(jīng)監(jiān)管部門告知后仍然實施有關行為的;接到舉報后不履行法定管理職責的;交易價格或者方式明顯異常的;提供專門用于違法犯罪的程序、工具或者其他技術支持、幫助的;頻繁采用隱蔽上網(wǎng)、加密通信、銷毀數(shù)據(jù)等措施或者使用虛假身份,逃避監(jiān)管或者規(guī)避調(diào)查的;為他人逃避監(jiān)管或者規(guī)避調(diào)查提供技術支持、幫助的;其他足以認定行為人明知的情形。
c.明確了“情節(jié)嚴重”的情形
《信息網(wǎng)絡犯罪司法解釋》明確了一系列情形可認定為幫助信息網(wǎng)絡犯罪活動罪入刑要素中要求的“情節(jié)嚴重”。
4、職業(yè)禁止和禁止令規(guī)定
《信息網(wǎng)絡犯罪司法解釋》明確,對于實施拒不履行信息網(wǎng)絡安全管理義務罪、幫助信息網(wǎng)絡犯罪活動罪、非法利用信息網(wǎng)絡罪的犯罪被判處刑罰的,可以根據(jù)犯罪情況和預防再犯罪的需要,依法宣告職業(yè)禁止;被判處管制、宣告緩刑的,可以根據(jù)犯罪情況,依法宣告禁止令。
簡評:《信息網(wǎng)絡犯罪司法解釋》對《刑法修正案(九)》增設的三類網(wǎng)絡信息犯罪,即拒不履行信息網(wǎng)絡安全管理義務罪、非法利用信息網(wǎng)絡罪和幫助信息網(wǎng)絡犯罪活動罪的定罪量刑提供了具體的適用規(guī)范。就《信息網(wǎng)絡犯罪司法解釋》中為各項罪名劃定的入刑要素看來,門檻的設置較低,同時適用的犯罪主體和犯罪行為也較為廣泛。
(二)《密碼法》
發(fā)布時間:2019年10月26日(2020年1月1日起施行)
發(fā)布單位:全國人民代表大會常務委員會
數(shù)據(jù)合規(guī)看點:
1、密碼的分類管理制度:根據(jù)密碼保護信息的不同將密碼劃分為核心密碼、普通密碼和商用密碼并制定不同的管理規(guī)則,其中核心密碼、普通密碼用于保護國家秘密信息;商用密碼用于保護不屬于國家秘密的信息。
2、商用密碼領域外資準入的國民待遇:商用密碼科研、生產(chǎn)、銷售、服務、進出口業(yè)務并不屬于外商投資的負面清單中,即不屬于禁止或限制外商投資的業(yè)務。
3、商用密碼產(chǎn)品和服務的認證要求:商用密碼產(chǎn)品涉及國家安全、國計民生、社會公共利益的,應當依法列入網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供;商用密碼服務使用網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的,應當經(jīng)商用密碼認證機構對該商用密碼服務認證合格。
4、關鍵信息基礎設施的商用密碼保護:法律法規(guī)要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,并應開展商用密碼應用安全性評估;關鍵信息基礎設施的運營者采購涉及商用密碼的網(wǎng)絡產(chǎn)品和服務,可能影響國家安全的,應當按照《中華人民共和國網(wǎng)絡安全法》的規(guī)定完成國家安全審查。
5、商用密碼的進口許可和出口管制制度:涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制;大眾消費類產(chǎn)品所采用的商用密碼不實行進口許可和出口管制制度。
簡評:《密碼法》是我國密碼管理領域的第一部綜合性法律,在其在頒布前,相關規(guī)范僅零散地分布于各項法規(guī)及其他規(guī)定當中。《密碼法》中“密碼”不同于日常生活中個人使用的“密碼”,是特指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產(chǎn)品和服務,目前多應用于電子商務領域的安全認證以及金融交易的加密傳輸中,其未來預期也可能將對如區(qū)塊鏈服務等網(wǎng)絡信息領域的服務起到更深層次的規(guī)范作用。
(三)《網(wǎng)絡安全威脅信息發(fā)布管理辦法》(征求意見稿)
發(fā)布時間:2019年11月20日
發(fā)布單位:國家互聯(lián)網(wǎng)信息辦公室
數(shù)據(jù)合規(guī)看點:
1、發(fā)布網(wǎng)絡安全威脅事件信息或報告前,應履行事先報告義務:
2、征求同意的義務:發(fā)布具體網(wǎng)絡和信息系統(tǒng)存在風險、脆弱性情況,應事先征求運營者書面意見,但已提前30日向主管部門舉報和相關風險、脆弱性已被消除的兩種情形除外。發(fā)布的“具體網(wǎng)絡和信息系統(tǒng)”的情況指內(nèi)容包含名字、位置、域名、IP地址等信息,若不涉及具體信息,無法定位到具體網(wǎng)絡和信息系統(tǒng),則無需征求運營者同意。
3、平臺運營者、舉辦單位的監(jiān)督義務:通過各個公共平臺發(fā)布信息的,平臺運營者、主辦單位發(fā)現(xiàn)有違反本辦法的行為和內(nèi)容,應及時采取處置措施,并向地市級以上網(wǎng)信部門、公安機關報告。
簡評:本辦法對網(wǎng)絡安全威脅信息發(fā)布行為進行了較為詳細的規(guī)范,特別有利于平衡和減輕信息發(fā)布行為對運營者的負面影響。在過往的許多事件中,不論是黑客對網(wǎng)絡安全威脅信息的惡意發(fā)布,還是“白帽子”對特定系統(tǒng)網(wǎng)絡安全漏洞進行偵測后基于善意進行的信息發(fā)布,都有可能因為披露不當而對披露信息指向的目標系統(tǒng)的運營者造成負面影響。極端情況下,個別“白帽子”也曾因漏洞挖掘和披露行為受到處罰甚至刑事追訴。本辦法的發(fā)布,有利于提示、規(guī)范“白帽子”的信息發(fā)布和報告活動,對在法律允許的框架內(nèi)進一步鼓勵“白帽子”的漏洞挖掘和合法報告/發(fā)布活動提供有益的幫助。
(四)《網(wǎng)絡音視頻信息服務管理規(guī)定》
發(fā)布時間:2019年11月18日
發(fā)布單位:互聯(lián)網(wǎng)信息辦公室,文化和旅游部,廣播電視總局
數(shù)據(jù)合規(guī)看點:
1、再次強調(diào)實名制認證要求:網(wǎng)絡音視頻信息服務提供者應當對用戶進行真實身份信息認證;用戶不提供真實身份信息的,不得為其提供信息發(fā)布服務。
2、深度學習、虛擬現(xiàn)實等新技術新應用的相關要求:
a.安全評估義務:服務提供者基于該技術上線具有媒體屬性或者社會動員功能的音視頻信息服務或調(diào)整增設相關功能的,應當開展安全評估。
b.標識義務:服務提供者和使用者基于該技術制作、發(fā)布、傳播非真實音視頻信息的,應當以顯著方式予以標識。對不符合顯著標識要求的信息內(nèi)容,應當立即停止傳播,經(jīng)糾正后方可繼續(xù)傳輸。
c.不得用于生成、傳播虛假新聞:服務提供者和使用者不得利用該技術制作、發(fā)布、傳播虛假新聞信息。
d.辟謠及備案義務:服務提供者應當建立健全辟謠機制,發(fā)現(xiàn)利用基于該技術的虛假圖像、音視頻生成技術制作、發(fā)布、傳播謠言的,應當及時采取辟謠措施,并向相關部門備案。
3、部署鑒別技術的義務:網(wǎng)絡音視頻信息服務提供者應當部署應用違法違規(guī)音視頻以及非真實音視頻鑒別技術。
簡評:除本規(guī)定對非真實音視頻信息的標識義務進行明確規(guī)定外,《數(shù)據(jù)安全管理辦法(征求意見稿)》也提出了類似的標識要求。《網(wǎng)絡音視頻信息服務管理規(guī)定》回應了新技術發(fā)展面臨的問題,對服務提供者的安全責任意識、管理措施和技術保障能力提出新的要求,強調(diào)服務提供者的安全管理義務。
(五)《信息安全技術 個人信息安全規(guī)范》(最新版征求意見稿)
發(fā)布時間:2019年10月24日
發(fā)布單位:國家市場監(jiān)督管理總局,國家標準化管理委員會
數(shù)據(jù)合規(guī)看點:
1、對描述進行優(yōu)化:該規(guī)范補充并完善了部分定義,優(yōu)化部分專業(yè)詞匯和基本原則的描述。
2、對內(nèi)容進行更新:該規(guī)范對個人信息收集事項中“不得強迫接受多項業(yè)務功能”、“征得授權同意”部分,個人信息使用事項中“個性化展示的使用”部分,以及“個人信息共同控制者的要求”等內(nèi)容進行更新。
3、補充具體要求:該規(guī)范針對注銷難問題,補充注銷機制要求。對委托處理、共享、轉讓等事項中受委托者和接收方的管理要求進行補充。
(六)《信息安全技術 移動互聯(lián)網(wǎng)應用程序(APP)收集個人信息基本規(guī)范》(草案)
發(fā)布時間:2019年10月24日
發(fā)布單位:國家市場監(jiān)督管理總局,國家標準化管理委員會
數(shù)據(jù)合規(guī)看點:
1、明確最小必要信息的范圍:將“法律法規(guī)等規(guī)范性文件要求必須收集的個人信息”修改為“法律法規(guī)要求必須收集的個人信息”,明確了必須收集的個人信息的范圍情形之一僅限于“法律法規(guī)”,而非寬泛地指向其他規(guī)范性文件。
2、增加運營者的定義:在“移動互聯(lián)網(wǎng)應用程序的所有者、管理者”的基礎上,增加了一項“移動互聯(lián)網(wǎng)應用程序服務的提供者”。此前,實踐中,一般理解移動互聯(lián)網(wǎng)應用的“運營者”可以是在應用商店發(fā)布該應用的發(fā)布者(publisher),或者可以是應用軟件著作權的所有者(copyright owner)。但在一些應用中,發(fā)布者并不必然是所有者;更重要的是,在發(fā)布者、所有者以外,應用的全部或部分服務可能是其他實際提供服務的主體提供,因此在定義中加入“服務的提供者”有助于讓規(guī)定更符合實踐中的情形。
3、新增首次運行有義務告知最小必要信息規(guī)則:最新稿新增要求APP首次運行時應通過彈窗等明顯方式告知收集最小必要信息規(guī)則。
4、細化APP運營者承擔第三方代碼、插件的責任范圍:最新稿中明確APP運營者應確保第三方代碼或插件履行個人信息安全保護義務,并防止第三方代碼或插件收集無關的個人信息。這一規(guī)定相比于舊稿的“App應對其使用的第三方代碼、插件的個人信息收集行為負責”這一寬泛的規(guī)定,提出了更為明確的要求、劃分了更為清晰的責任承擔范圍。
5、完善部分服務類型所需最小必要信息的范圍和使用要求:
a.博客論壇:個人信息類型中新增僅對使用信息發(fā)布功能的該用戶收集,包括操作時間等。使用要求為《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務安全評估規(guī)定》。
b.網(wǎng)絡支付:個人信息類型中新增身份基本信息,包括國籍、性別、職業(yè)、住址、聯(lián)系方式。使用要求為《支付機構反洗錢和反恐怖融資管理辦法》。
c.網(wǎng)上購物:功能定義新增“客服售后”,所需個人信息中收貨人信息的使用要求新增“完成客服與售后需要”。
d.餐飲外賣:所需客人信息中聯(lián)系人信息的使用要求,從“姓名可無需真實”變更為“姓名無需保證真實”。
e.金融借貸:個人信息類型中新增“償付能力、貸款用途”。所需個人信息中將“個人征信信息”改為“個人信用信息”。使用要求為《小額貸款公司網(wǎng)絡小額貸款業(yè)務風險專項整治實施方案》、《個人貸款管理暫行辦法》。
f.運動健身:個人信息類型中新增:基本健康資料,包括性別、年齡、身高、體重。使用要求為基本健康資料結合個人運動信息可以更好地給出運動或健康建議。
g.網(wǎng)頁瀏覽器:瀏覽器的功能定義變更為“為用戶提供通過輸入網(wǎng)址或站點導航瀏覽網(wǎng)上信息資源功能的服務”。
二、案例事件
(一)北京市通信管理局開展APP網(wǎng)絡數(shù)據(jù)安全檢查
2019年12月4日,北京市通信管理局發(fā)布通告,針對APP違規(guī)收集用戶信息、強制授權、過度索權等社會熱點問題,組織開展了為期兩個月的移動應用APP網(wǎng)絡數(shù)據(jù)安全檢查。
本次檢查選取了具有影響力的50款APP,覆蓋了社交、網(wǎng)租房和汽車服務、線上教育、金融、線上醫(yī)療、基礎電信企業(yè)等6個領域。主要發(fā)現(xiàn)問題有:用戶拒絕授權時,未明確告知服務使用受限的范圍;用戶拒絕授權時,影響其他業(yè)務功能的使用;收集使用用戶個人敏感信息時,未同步說明目的等。就該次檢查,北京市通信管理局也在通告中要求嚴格落實《網(wǎng)絡安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工信部令第24號)。
(二)國家市場監(jiān)督管理總局召開“守護消費”暨打擊侵害消費者個人信息違法行為專項執(zhí)法行動專題新聞發(fā)布會
2019年11月18日,國家市場監(jiān)督管理總局(“市場監(jiān)管總局”)召開“守護消費”暨打擊侵害消費者個人信息違法行為專項執(zhí)法行動專題新聞發(fā)布會。
此前,市場監(jiān)管總局于2019年3月印發(fā)《關于開展“守護消費”暨打擊侵害消費者個人信息違法行為專項執(zhí)法行動的通知》,決定自4月1日至9月30日開展為期6個月的“守護消費”暨打擊侵害消費者個人信息違法行為專項執(zhí)法行動。通知表明,針對房產(chǎn)租售、小貸金融、教育培訓、保險經(jīng)紀、美容健身等多個侵害消費者個人信息違法問題突出的行業(yè)和領域開展專項執(zhí)法行動,重點打擊以下違法行為:未經(jīng)消費者同意,收集、使用消費者個人信息;泄露、出售或者非法向他人提供所收集的消費者個人信息;未經(jīng)消費者同意或者請求,或者消費者明確表示拒絕的,向其發(fā)送商業(yè)性信息等違法行為。
行動期間,全國市場監(jiān)管部門共立案查辦各類侵害消費者個人信息案件1474件,查獲涉案信息369.2萬條,罰沒款1946.4萬元,移送公安機關案件154件;組織執(zhí)法聯(lián)動4225次;開展行政約談3536次;開展宣傳活動10653次。從查辦案件的情況來看,當前侵害消費者個人信息違法行為,主要高發(fā)的行業(yè)領域和最突出的違法行為見下表:
(三)工信部開展APP侵犯用戶權益專項整治行動
2019年10月31日,工信部發(fā)布《關于開展APP侵害用戶權益專項整治工作的通知》(工信部信管函[2019]337號)。通知表明,依據(jù)《網(wǎng)絡安全法》、《電信條例》、《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》(工業(yè)和信息化部令第20號)、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工業(yè)和信息化部令第24號)和《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》(工信部信管[2016]407號)等法律法規(guī)和規(guī)范性文件要求,工信部開展專項整治工作:
1、整治行為
2、整治對象
3、整治時間
(四)公安機關集中整治違法采集個人信息,100款APP被下架
2019年11月,公安部組織開展APP違法違規(guī)采集個人信息集中整治。此次集中整治,重點針對無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形,責令限期整改27款,處以警告處罰63款,處以罰款處罰10款,另有2款被立為刑事案件,正在開展偵查。公安部組織開展“凈網(wǎng)2019”專項行動以來,已依法查處違法違規(guī)采集個人信息的APP共683款。
國家網(wǎng)絡安全通報中心就此次整改發(fā)布了四起典型案例:
后記:
海問在網(wǎng)絡安全、數(shù)據(jù)合規(guī)領域積累豐富的經(jīng)驗,亦持續(xù)關注不斷更新的法律法規(guī)及與數(shù)據(jù)合規(guī)有關的時事熱點。您可通過如下鏈接瀏覽此前發(fā)布的文章:
《海問觀察:網(wǎng)絡安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年9月上半月)
《海問觀察:網(wǎng)絡安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年9月下半月-10月上半月)
實習生朱安琪對本文亦有貢獻。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
