第7期 全球數據安全合規資訊半月刊（7.1-7.15）

國際動態

一 · 新規速遞

英國與韓國就跨境數據傳輸達成數據充分性原則協議

7月5日，英國和韓國就跨境數據傳輸達成了“原則上的充分協議”。這是英國脫歐后與其他國家簽訂的首份數據跨境充分性協議，該協議將促進英國與韓國在數據框架的未來方向和持續改進方面共同努力。

7月5日，英國與韓國個人信息保護委員會簽署《關于加強個人數據保護立法監管合作的諒解備忘錄》。

雙方有意通過該備忘錄深化雙方現有關系并促進交流，以協助彼此執行保護個人信息的法律，并希望制定參與者之間合作的廣泛原則以及管理相關信息和情報共享（不包括個人信息的共享）的框架。

歐洲議會通過《數字服務法》和《數字市場法》

7月5日，歐洲議會正式通過《數字服務法》（DSA）及《數字市場法》（DMA）。根據相關程序，兩項法案還需經過歐盟理事會批準，在歐盟官方公報上公布，并在公布20天后生效。

DSA與DMA為歐洲公民日常生活中所依賴的在線平臺制定了第一個全面的規則手冊。這些新規則將適用于整個歐盟，并將在尊重基本權利的基礎上創造一個更安全、更開放的數字空間。

兩部立法均規定了高額罰款。其中，違反DMA的企業將面臨高達其全球年營業額10%的巨額罰款，以及高達20%的再犯罰款；違反DSA的企業將面臨全球營業額6%的罰款，屢次嚴重違法的，還可能會被禁止在歐盟單一市場內運營，將對科技巨頭產生重要影響。

根據最新進展，歐盟理事會已于7月18日最終批準通過了DSA。

歐盟數據保護委員會及歐洲數據保護專員公署就《歐洲健康數據空間》提案發布聯合意見

7月12日，歐盟數據保護委員會（EDPB）在官網上發布了其與歐洲數據保護專員公署（EDPS）關于《歐洲健康數據空間》（European Health Data Space，EDHS）提案的聯合意見。

EDPB和EDPS對加強個人對其個人健康數據控制的想法表示歡迎。然而，他們也提請立法者注意一些首要問題，并敦促他們采取果斷行動。特別是，EDPB 和 EDPS承認該提案的第四章旨在促進電子健康數據的二次使用，可能會為公共利益帶來好處，但也認為這些進一步的處理活動可能會對個人的權利和自由帶來風險。

7月12日，歐盟數據保護委員會（EDPB）發布《關于向俄羅斯聯邦傳輸個人數據的聲明》。

EDPB表示，在因烏克蘭戰爭受到制裁后，俄羅斯“不再是歐盟法律框架和協議的締約方。“缺乏歐盟認可或充分性決定意味著涉及俄羅斯公司的數據跨境傳輸只能“使用歐盟通用數據保護條例（GDPR）第五章規定的其他轉移工具之一”進行。

新加坡與香港就加強個人資料保障方面的合作續簽諒解備忘錄

7月13日，新加坡個人資料保護委員會與香港個人資料私隱專員公署簽訂及更新了諒解備忘錄，以保持兩者現有的聯系及就保障個人資料擴大合作范圍和加強緊密的合作關系。

根據備忘錄，兩個資料保障機構的合作范圍包括就資料保障政策和執法行動交流資訊和分享良好行事方式、在跨境個人資料事件的聯合調查中協調及互相協助，以及在教育和培訓方面進行合作。

二 · 監管動向

愛爾蘭數據保護委員會提交命令草案，擬停止 Meta 向美國的數據傳輸

7月7日，愛爾蘭數據保護委員會向歐盟數據保護當局提交了一份命令草案，建議停止 Facebook 母公司 Meta 將個人數據從歐盟傳輸到美國。如果得到歐盟其他數據保護機構的批準，Facebook和 Instagram 可能會在歐盟關閉。

早在2020年，歐洲最高法院裁定歐盟-美國數據傳輸協議無效，理由是其對數據傳輸的監控問題感到擔心。這促使愛爾蘭數據保護委員會發送初步命令，要求Facebook暫停將數據傳輸到美國。此后為解決歐美之間數據傳輸協議“隱私盾”（Privacy Shield）被判無效的問題，歐盟委員會和美國就跨大西洋數據隱私框架達成一致。而愛爾蘭數據保護委員會也一直在同步進行調查，現提交了命令草案。

目前，該命令草案不會對 Meta 的服務產生直接影響。因為其觸發了歐盟通用數據保護條例第60條規定的程序。歐盟其他數據保護機構將有4周的時間來對愛爾蘭數據保護委員會所提交的命令草案發表意見。

7月11日，意大利數據保護機構Garante因TikTok涉嫌違反歐盟第2002/58《電子隱私指令》第 5(3)條以及轉換該指令的意大利個人數據保護法第 122 條而對其發出警告。

該警告是在TikTok宣布將從7月13日起根據合法利益而非知情同意向18歲及以上用戶投放廣告之后發出的。在審查了TikTok更新的隱私聲明和其提供的進一步信息后，Garante認為TikTok違反了歐盟的隱私規則，并下令其立即采取措施以實現合規。

對此，TikTok于7月13日暫停了針對定向廣告的隱私政策的修改。

7月12日消息，美國聯邦貿易委員會隱私和身份保護部代理副主任克里斯汀·科恩（Kristin Cohen）撰寫了一篇博客文章，概述了FTC將強化位置、敏感健康數據濫用執法的承諾。

科恩分別描述了位置數據、敏感健康數據以及兩種數據融合時（特別是在數據與女性生殖保健相關時）的市場。科恩表示，FTC如果發現非法行為，將大力執法，并指出過去為達成適當合規措施而采取的行動。

三 · 行業動態

谷歌宣布將自動刪除訪問敏感地點的用戶數據

7月5日消息，谷歌宣布將自動刪除訪問敏感地點（如墮胎診所）的用戶數據。美國最高法院推翻羅伊訴韋德案后，多州已立法限制或禁止墮胎，引發了移動位置數據可能被用來起訴那些尋求生殖保健服務的女性的擔憂，谷歌此舉正是對以上擔憂的回應。

除將自動刪除訪問敏感地點的用戶數據外，在公司博客文章中，谷歌還宣布了其隱私工具的新功能，例如Fitbit設備將允許用戶隨時刪除數據。

四 · 典型案例

萬豪國際再次遭遇數據泄露，20GB數據被竊取

7月6日消息，萬豪國際連鎖酒店遭遇新的數據泄露事件，攻擊者從該公司網絡中竊取了約20GB的文件。

針對此次數據泄露，攻擊者聲稱他們大約在一個月前就進入了萬豪酒店的網絡，而此次他們竊取的20GB數據中包括一些用戶信用卡信息以及部分機密信息。對此，萬豪酒店發言人表示，此次數據泄露事件只涉及旗下一家酒店，攻擊者沒有進入到萬豪酒店的核心網絡，且涉事酒店僅有一臺設備遭到約六小時的攻擊。同時，攻擊者竊取的大部分數據是非敏感的內部業務文件，但萬豪國際將按要求通知大約300-400名可能受害者和相關安全監管機構。

俄羅斯莫斯科塔甘斯基區法院因涉嫌違反數據存儲對蘋果和Zoom等處以罰款

7月12日消息，莫斯科塔甘斯基區法院裁定蘋果公司未能本地化俄羅斯用戶的數據，并對該公司處以200萬盧布（34000美元）的罰款。美國視頻會議平臺Zoom和運營互聯網性能工具Speedtest的Ookla也因未能本地化俄羅斯用戶的數據分別被處以100萬盧布（17115美元）的罰款。

國內動態

一 · 新規速遞

國家互聯網信息辦公室發布《數據出境安全評估辦法》

7月7日，國家互聯網信息辦公室發布《數據出境安全評估辦法》，將于2022年9月1日起施行。

《辦法》規定數據出境安全評估的范圍、條件和程序，為數據出境安全評估工作提供具體指引。《辦法》規定了應當申報數據出境安全評估的情形，包括數據處理者向境外提供重要數據、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息以及國家網信部門規定的其他需要申報數據出境安全評估的情形。

7月7日，中國銀保監會、中國人民銀行發布《關于進一步促進信用卡業務規范健康發展的通知》。

《通知》強調，涉及個人敏感信息的，應當采取脫敏等方式進行個人信息保護；通過合作機構管理和控制的渠道進行賬單金額或者應還款金額查詢的，應當取得客戶的單獨同意，并采取必要措施保障客戶的個人信息安全。銀行業金融機構應當嚴格執行數據安全、個人信息保護等相關法律法規和征信管理有關規定，遵循“合法、正當、必要”原則，應當在合作合同中明確約定雙方使用客戶信息的目的、方式和范圍，客戶信息保密責任義務，以及防控客戶信息泄露風險的有效措施。不得與違法違規進行數據處理的機構開展合作。

7月15日，中國銀保監會發布《關于加強商業銀行互聯網貸款業務管理提升金融服務質效的通知》。

《通知》指出，商業銀行應強化信息數據管理，嚴格執行民法典、個人信息保護法等法律法規和監管規定，遵循合法、正當、必要原則，完整準確獲取身份驗證、貸前調查、風險評估和貸后管理所需要的信息數據，并采取有效措施核實其真實性，在數據使用、加工、保管等方面加強對借款人信息的保護。商業銀行與合作機構簽訂的書面協議，應當明確約定相關信息報送的具體要求。在與提供和處理個人信息的機構合作時，商業銀行應當切實做好合作機構安全評估工作，評估內容包括但不限于個人信息保護合規制度體系、監督機制、處理信息規范、安全防護措施等。

7月14日，國務院辦公廳發布關于印發《國務院2022年度立法工作計劃》的通知。其中，由網信辦組織起草的《網絡數據安全管理條例》和《未成年人網絡保護條例》被列入2022年立法計劃。

7月15日，全國信息安全標準化技術委員會發布國家標準《信息技術 安全技術 公有云中個人信息保護實踐指南》，實施日期為2023年2月1日。

7月5日，浙江省市場監督管理局批準發布了全國首個互聯網平臺企業競爭合規的省級地方標準《互聯網平臺企業競爭合規管理規范》。《規范》將于2022年8月5日起在浙江省全省實施，旨在壓實企業的競爭合規主體責任，實現政府監管模式下的平臺自治。

7月5日，廣東省工業和信息化廳向各地級以上市人民政府、省直各單位印發了《廣東省數字經濟發展指引1.0》。

作為全國首個省級層面推動數字經濟發展的指引性文件，《指引》提出了廣東數字經濟發展的“2221”總體框架，引導各方主攻“數字產業化”和“產業數字化”兩大核心；激活“數據資源”和“數字技術”兩大要素；筑牢“核心基礎數字產品”和“數字基礎設施”兩大基石；持續完善數字政府改革及服務支撐體系。廣東省各地市、各部門可參考《指引》的總體框架、經驗措施、案例附錄，因地制宜選擇重點發展方向，推進數字經濟加快發展。

7月7日，深圳市司法局發布《企業合規管理體系（征求意見稿）》，公開征求意見。

征求意見稿明確，經營者應采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，保障網絡數據的完整性、保密性、可用性；要制定個人信息保護合規方案，建立和實施技術控制、實施控制、監控控制，保證個人信息的收集、存儲、處理、報告中的數據安全及合規。

7月6日，上海市經濟和信息化委員會發布《上海市數據交易場所管理實施辦法（征求意見稿）》。

《辦法》共五章29條，包括總則，設立、變更和終止，經營規范，監督管理，附則等內容。《辦法》明確，數據交易服務機構應當建立規范透明、安全可控、可追溯的數據交易服務環境，制定交易服務流程、內部管理制度，并采取有效措施保護數據安全，保護個人隱私、個人信息、商業秘密、保密商務信息。數據交易場所信息系統應當具備數據安全保護和數據備份措施，確保數據資料的安全，各種數據資料的保存期限不得少于20年，能夠及時向市經濟信息化委或其指定機構提供符合要求的數據信息。

7月12日，上海市人民政府辦公廳印發《上海市數字經濟發展“十四五規劃”》的通知。

《規劃》提出，上海將圍繞數字新產業、數據新要素、數字新基建、智能新終端等重點領域，加強數據、技術、企業、空間載體等關鍵要素協同聯動，加快進行數字經濟發展布局。

7月11日，廈門市人大常委會辦公廳發布《廈門經濟特區數據條例（草案）》，公開征求意見。

《草案》共七章五十六條，涉及數據資源、數據要素市場、數據安全、應用與發展等內容。數據安全方面，《草案》規定，廈門市人民政府應組織建立數據安全風險評估、報告、監測預警、應急處置和分類分級保護制度，加強廈門市數據安全風險信息的獲取、分析、研判、預警工作；建立健全數據安全工作協調機制，統籌有關部門按照國家規定編制本市重要數據目錄，對列入目錄的數據進行重點保護；統籌市工信、網信、公安、國家安全等部門加強數據安全監督檢查協作，依法處理數據安全事件。

二 · 監管動向

國家計算機病毒應急處理中心監測發現15款違法移動應用

7月6日消息，國家計算機病毒應急處理中心近期通過互聯網監測發現15款移動App存在隱私不合規行為，違反網絡安全法、個人信息保護法相關規定，涉嫌超范圍采集個人隱私信息。

7月7日，上海市通信管理局發布《關于開展2022年上海市電信和互聯網行業網絡和數據安全檢查的通知》，將開展2022年上海市電信和互聯網行業網絡和數據安全檢查。

檢查對象包括提供公共互聯網網絡信息服務的基礎電信企業、互聯網企業（含云平臺服務提供商、APP和小程序運營企業、車聯網平臺企業、工業互聯網平臺和標識解析節點企業等）、域名注冊服務機構。檢查內容涉及網絡安全管理制度和保障體系建設落實情況、通信網絡安全防護工作落實情況、數據安全保護落實情況、個人信息和用戶權益保護工作情況、車聯網和工業互聯網企業網絡安全防護情況。

7月13日消息，近日，在上海市委網信委的統一領導下，市委網信辦牽頭，會同市經濟信息化委、市公安局、市密碼管理局、市保密局、市通信管理局等相關職能部門近日統籌組織開展了2022年度全市網絡安全專項檢查工作。

此次檢查主要查清四方面情況：一是重要網站、平臺、生產系統的數量、分布情況、網絡安全組織管理和運維保障情況；二是重要網站、平臺、生產系統的主要功能、服務范圍、數據存儲情況以及風險威脅情況；三是重要網站、平臺、生產系統的運行環境、運維方式、網絡安全管理和防護情況；四是個人信息和重要數據的安全保護及處理情況。檢查重點包括黨政機關門戶網站和重點新聞網站，國有企業、大型互聯網平臺，特別是存儲重要數據和個人信息數量超過100萬的信息系統。

三 · 行業動態

WPS被曝刪除用戶本地文件，官方回應不會侵犯用戶隱私

7月13日，近日網傳的“WPS刪除用戶本地文件”“侵犯用戶隱私”等言論，WPS發表相關聲明。

聲明稱，WPS不會對用戶的本地文件進行任何審核、鎖定或刪除等操作。在保護用戶隱私方面，WPS也嚴格遵循《個人信息保護法》及《網絡安全法》的相關規定。

四 · 典型案例

浙江省發布侵犯公民個人信息犯罪十大典型案例

7月4日，浙江高院從全省法院近年來審結的有關案件中選取發布侵犯公民個人信息犯罪十大典型案例，包括物業、房產公司員工非法出售業主信息，以非法侵入他人計算機信息系統的方式獲取公民個人信息，購買含有“姓名、電話、住址、物業費、住房面積”等內容的信息，非法獲取學生學籍等信息并出售，利用保險工作便利獲取并販賣個人信息，以“一買多賣”方式大規模販賣公民個人信息，利用攝影工作室便利獲取公民個人信息并轉賣，手機店主將在提供服務中獲得的公民個人信息出售給他人，通信公司員工利用營銷之便出售他人手機號及驗證碼等，設立公司收集學生和家長信息并出售等犯罪情形。

廣州市互聯網法院首例人臉識別個人信息保護民事公益訴訟宣判

7月11日，廣東省廣州市越秀區檢察院辦理的該省首例向互聯網法院提起的涉人臉識別公民個人信息保護民事公益訴訟案公開宣判。

法院判決被告鄭某、任某、戴某、陳某立即停止對公民個人信息的侵害、支付公益損害賠償金、公開賠禮道歉并以行為補償彌補損害。此前，因通過即時通訊軟件向社會發布可代查高清身份證照片、身份證號碼等個人敏感信息的廣告，并組建群組專門用于個人信息非法交易，鄭某等人已被法院認定犯侵犯公民個人信息罪，被判處有期徒刑一年二個月至一年不等，各并處罰金。