更新时间:2023-01-11
本报告对2022年11月1日至2022年12月31日期间及前后境内外有关数据合规方面的重要立法、执法动态加以整理,并针对部分内容提供简要评论。同时,整理涉及数据合规的重要新闻,以供阅览。
● 2022年11月25日OB体育,国家互联网信息办公室、工业和信息化部、公安部近日联合发布《互联网信息服务深度合成管理规定》。规定强调不得利用深度合成服务从事法律、行政法规禁止的活动,要求深度合成服务提供者落实信息安全主体责任,将于2023年1月10日起施行。
规定要求,深度合成服务提供者建立健全管理制度和技术保障措施,制定公开管理规则、平台公约,对使用者进行真实身份信息认证,加强深度合成内容管理,建立健全辟谣机制和申诉、投诉、举报机制。
规定明确,深度合成服务提供者对使用其服务生成或编辑的信息内容,应当添加不影响使用的标识。提供智能对话、合成人声、人脸生成、沉浸式拟真场景等生成或者显著改变信息内容功能的服务的,应当进行显著标识,避免公众混淆或者误认。
● 2022年12月13日,工业和信息化部印发《工业和信息化领域数据安全管理办法》(工信部网安〔2022〕166号)。《办法》重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。将与《工业领域数据分类分级指南(试行)》(2020.2)《工业互联网企业网络安全第4部分:数据防护要求(征求意见稿)》(2022.11)等文件一起,成为工业领域数据安全保护工作的合规指南。
● 近日,乌克兰议会公布了《个人数据保护法草案》(以下简称“草案”)。根据议会发布的“草案解释”,近年来,包括乌克兰在内的全球互联网数据处理活动显著增加,特别是在大数据和社交媒体领域。鉴于国际上个人数据保护领域规则的发展,乌克兰国内外的立法状态并不能完全保障乌克兰个人数据的安全,需要对立法及其应用进行全面更新,遂制定此法。
其中,受数据保护法规影响最大的部分乌克兰企业,主要客户群于欧洲。乌克兰企业也正在更新其隐私流程和个人数据处理的部门和规则,以期与乌克兰《个人数据保护法》及欧盟政策标准相符合,使个人数据保护规则与新标准接轨。
● 印度政府11月18日发布了《2022年个人数据保护法案》草案,自2018年7月首次提出以来,这是印度政府第四次修改该草案。
《2022年个人数据保护法案》草案旨在确保个人数据的安全,在用户同意的情况下,表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。印度有超过7.6亿活跃的互联网用户,这就要求在线平台产生和使用的数据必须遵守隐私规则,以防止滥用,同时要加强问责,提高用户信任度。
● 12月20日,IAPP发布了名为“2022年的隐私和数据保护情况回顾”(A look back at privacy and data protection in 2022)的报告。数据隐私在2022年是一个炙手可热的线年的全球隐私和数据保护情况,以及分享了2023年相关情况的预测。
● 安全内参12月28日消息,美国国会上周五通过的2023财年综合拨款法案中包含一份“圣诞彩蛋”,倡导开发者使用可支持内存安全的编码语言,OB体育以阻止网络对手利用绝大多数软件漏洞。
“有史以来第一次,国会将内存安全纳入法律,要求国家网络总监研究政府层面的内存安全问题。总体法案预计将在本周通过。为在参议院期间参与制定这项法规感到自豪!”知名安全研究员Jack Cable昨天发布推文称。
● 2022年12月7日,英国信息委员会(ICO)对Boiler Breakdown Limited作出罚款决定。2020年1月1日至2020年8月31日期间,总部位于萨里萨顿的Boiler Cover Breakdown Limited(BCBL)主动拨打了9,075次直接营销电话给在TPS注册的人。同样位于萨里萨顿的Boiler Breakdown Limited(BBL)主动拨打了348,724次直接营销电话在同一时间段内向在TPS注册的人发出营销电话。两家公司有同一位董事,两家公司都使用一家公司租用的电话线拨打电话。ICO的调查发现电话专门针对。ICO已对BCBL和BBL分别处以120,000英镑和140,000英镑的罚款。两家公司还收到了强制执行通知,要求他们在30天内遵守法律。两家公司都针对ICO的罚款通知向一级法庭提出上诉。考虑到上述所有情况,ICO决定对其处以140,000.00英镑的罚款是合理和相称的。如果ICO在2022年9月22日之前收到全额罚款,专员将把罚款减少20%至112,000.00英镑。
● 2022年12月7日,英国信息委员会(ICO)对Repair Plans UK Limited作出罚款决定。总部位于布莱顿的Repair Plans UK Limited(RPUK)在2021年1月18日至2021年9月7日期间主动拨打了21,347次直接营销电话给在TPS注册的人。RPUK通过西萨塞克斯交易标准引起了ICO的注意。ICO的调查发现该公司针对特定人群,因为他们购买的数据要求60岁以上的人是房主并且有固定电话,并在通话过程中做出虚假和误导性陈述。在整个调查过程中,该公司未能提供其合规营销程序的任何细节,ICO发现至少有一次从一个人的银行账户中不必要地提取了180英镑的事件。ICO已被罚款70,000英镑,并发出强制执行通知,要求公司在30天内遵守法律。
● 2022年12月7日,英国信息委员会(ICO)对Zuwyco Limited作出罚款决定。在2021年1月1日至2021年8月1日期间,Zuwyco Limited使用公共电信服务向已在TPS登记册上列出不少于28天的用户拨打93,558次未经请求的电话以进行直接营销,这违反了第21条(PECR的1)(b)。这导致向TPS和专员提出了七项投诉。考虑到上述所有情况,ICO决定考虑到上述所有情况,ICO决定,16万英镑(160,000)的罚款是合理和相称的。考虑到本案的具体事实以及施加罚款的基本目标,160,000英镑(十六万英镑)的罚款是合理和相称的。如果ICO在2022年12月8日之前收到全额罚款,ICO将把罚款减少20%至128,000英镑(128,000英镑)。
ICO认为存在以下因素需要加重处罚:ICO提醒MML,其业务模式不符合PECR的规定。没有证据表明,MML后来审查了其业务模式或流程,以确保合规。自本次调查开始以来,通过7726报告服务继续收到有关MML产品营销的投诉。MML仅以有限的方式参与了ICO的调查。它告诉ICO,它没有使用除-以外的关联公司,但这是不正确的。随后,它也未能在ICO调查官的要求下证明全部信息。考虑到上述所有情况,ICO决定对其处以125,000英镑的罚款。
● 2022年12月14日,英国信息委员会(ICO)对Ryan Hill Partners作出罚款决定行业新闻。在2019年9月1日至2020年11月30日期间,Ryan Hill Partners发送了463,360条SMS消息,其中409,468条已送达,这些消息是主动发送给未同意接收的订户的直接营销消息,这违反了PECR第22条规定。考虑到上述所有情况,ICO决定,鉴于本案的特殊性,70,000英镑(七万英镑)的罚款是合理和相称的。
● 2022年12月19日,新加坡个人数据保护委员会(“PDPC”)作出决定,因Thomson Medical违反保护义务,PDPC已向Thomson Medical发出指令,要求其对网络进行扫描,以确保不会在线发布受影响的个人数据,并在其应用程序部署流程的审查中包括安全测试安排和数据保留政策实施等措施。这是根据不安全的健康门户网站发生的数据泄露事件导致的,该门户网站允许公众访问访客的个人数据。
● 2022年12月19日,新加坡个人数据保护委员会(“PDPC”)作出决定,因Red Mart违反保护义务,因其未能采取合理的安全措施来保护其拥有或控制的个人数据而被处以72,000美元的罚款。如果该组织在事件发生的早期阶段就接受责任如果该组织在调查的早期阶段就接受对事件的责任,它就可以通过快速违约程序大大缩短调查和解决本案的时间。
● 12月10日,以“数字基础设施与互联网创新发展”为主题的伏羲智库学术沙龙研讨会通过线上方式举行。会议由伏羲智库和中科院计算所互联网基础技术实验室共同主办。来自中国互联网协会、清华大学、中国科学院计算机网络信息中心、国家计算机网络安全管理中心、中国网络空间研究院、中国信息通信研究院、中国互联网络信息中心、华为云等机构的十余位资深专家围绕互联网创新发展的历程、数字基础设施演进与互联网创新发展、新型基础设施的发展趋势、数字基础设施助推互联网应用领域的创新等方面进行了深入的研讨交流。
《新型数字基础设施助推互联网创新发展》课题组汇报了报告进展和主要观点。与会专家认为,从数字基础设施角度讨论互联网创新发展非常新颖且具有重要意义。数字基础设施与互联网创新发展相辅相成相互促进,当前互联网快速创新发展离不开数字基础设施的迭代升级,数字基础设施的不断演进也为互联网创新发展创造了更多的可能性。基础设施即服务、知识经验即服务、技术即服务等理念和实践正在成为数字基础设施助推互联网创新发展的重要动因,并有望形成新的发展范式,可以更好地指引细分领域数字化发展。
● 12月15-16日,由青岛市人民政府主办的2022世界工业互联网产业大会成功召开。大会以“数字领航互利共赢”为主题,旨在研讨工业互联网创新发展战略,推动形成工业互联网产业发展新格局。大会期间,由世界互联网工业互联网产业大会组委会指导OB体育,国家工业信息安全发展研究中心主办的“工业互联网安全暨企业创新设计论坛”圆满举办,共同探讨工业互联网安全的新机遇和新挑战,赋能工业互联网产业转型升级。分论坛以“加强网络安全部署,赋能企业云端设计,走进安全的云端协同时代”为主题,旨在打造企业创新设计安全平台,实现国产安全自主可控,使企业在享有安全工业互联网的同时,加快信息化建设的步伐,实现创新设计,高效研发。
大会期间,“工赋上合”工业互联网企业综合服务平台正式上线,《青岛市加快制造业数字化转型打造“工赋青岛·智造强市”实施方案(2023—2025年)》、工业互联网平台操作系统、工业互联网生态白皮书和全省一体化大数据中心体系等成果发布,全国首个数字化转型“标准化+”联合工作站揭牌,海尔、中车和赛轮等全国首批“数字领航”企业授牌,集中展现了青岛在工业互联网领域的成果与实践。与此同时,大会举办了近20场内容丰富、形式多样的平行论坛、区市论坛以及多个主题展览,进一步凝聚共识、深化合作、共享机遇OB体育,推动形成工业互联网产业发展新格局。
● 12月20日,蔚来汽车就用户数据遭窃取发表致歉声明,证实了此前其用户数据被泄露的传闻。在12月11日,蔚来曾收到外部邮件,以数据泄露来勒索225万美元等额比特币。21日,蔚来再发公告称,公司承诺对因数据泄露给用户造成的损失承担责任。当晚,蔚来创始人、董事长兼CEO李斌在蔚来APP社区就用户数据泄露一事发文致歉,并表示“会对此次事件给用户带来的损失承担责任”。21日,蔚来对日前的数据泄露事件在港交所发布公告称,公司承诺对因数据泄露给用户造成的损失承担责任,并将持续与相关政府部门合作调查此事件,同时采取必要措施控制潜在损失。
● 12月21日,在2022中国联通合作伙伴大会网络安全产业链暨科技创新高峰论坛上,中国信息通信研究院副院长魏亮发表了题为《工业互联网安全》的主旨演讲。魏亮表示,近年来,我国深入实施工业互联网创新发展战略,工业互联网已全面融入45个国民经济大类,产业规模突破万亿元,工业互联网的应用发展在带动降本、提质、增效等利好的同时,也驱动传统网络安全风险逐渐向工业研发、生产运行管理、服务等各个环节渗透蔓延。工业领域已成为网络攻击重灾区。据IBM研究报告数据显示,2021年全球制造业取代金融服务业,成为遭受攻击最多的行业,对单个工业企业的攻击勒索金额持续走高,超亿元。
简要评述:伴随人工智能、等数字技术的持续发展和创新应用,新型的网络攻击技术不断衍生,勒索病毒、供应链攻击等手段愈发先进,攻击战术不断升级,攻击方式日益多样化。若网络攻击聚焦于命脉行业,打击头部企业,窃取重要数据,实施高级可持续攻击,那无疑会造成核心数据泄露等严重后果,严重威胁国家信息安全,为国家的工业体系和经济社会带来破坏性影响。因此需要坚持发展和安全并重,把安全发展贯彻国家发展各个领域全过程,不断完善工业互联网安全体系化布局。
● 数据安全法正式实施以来,地方人大积极推进数据信息领域立法织密信息“防护网”开放共享促发展。2021年9月1日,数据安全法正式实施。一年多以来,相关法律得到贯彻落实,地方人大也纷纷制定数据信息领域相关的地方性法规,在进一步保护个人信息、数据安全的同时,助力我国的数据要素市场化改革,保障和促进数字经济的繁荣发展。
简要评述:在万物互联、人机交互的时代,网络信息数据安全面临新的挑战,亟须以法律推动更有力的监管。随着个人信息保护领域规则体系的建立,整体规范数据安全的立法也受到重视。数据信息安全保护,如何正确利用数据,这也是数据安全领域立法的重要课题。
● 2022年12月10日,130,000名Telstra客户个人数据信息泄露。Telstra表示,此次数据信息泄露原因并不是黑客攻击,而是“数据库错位”等原因,客户详细信息错误地显示在在线白页和目录服务中。
数据泄露违规事件同时也发生在另一家电信公司Optus,该公司在9月份遭到黑客攻击,尔后导致数百万客户的数据信息泄露。
● 2022年12月19日,社交媒体分析平台Social Blade已确认受到数据泄露的影响,被窃取的数据库在黑客论坛上出售。Social Blade拥有据称被盗的数据库,攻击者声称该数据库包含560万条记录,于12月12日出售,其中发布的表名和内容样本表明许多受损记录中存在用户信息。最多只有两个人可以购买该数据库,该数据库已被知名黑客验证为真实。Social Blade还证实了被盗数据样本的真实性,确认客户的电子邮件和IP地址、密码哈希值、客户端ID业务API用户令牌、连接帐户身份验证令牌以及其他内部和非个人详细信息已被泄露。然而,OB体育根据Social Blade的说法,没有信用卡详细信息因入侵而暴露。
● 2022泰雷兹(Thales’s)消费者数字信任指数”显示,消费者对在线组织保护其数据的能力的信心与现实不符。全球三分之一的消费者已经因持有其个人数据的公司数据泄露。
该报告揭示了最新的全球数据泄露趋势及其对各行业消费者信任的严重影响,包括消费者在事件发生后继续与组织开展业务的可能性。消费者对其数据安全的信任也因行业而异。金融和医疗保健行业的信心最高(尽管仍分别只有42%和37%),媒体/娱乐和政府的信心最低(分别为12%和14%)。数据泄露可能不会削弱消费者之间的信任,但它们正在影响消费者如何看待他们在数据保护中的作用。OB体育消费者更有可能采取额外的预防措施来保护个人数据。数据泄露也影响了消费者对组织的期望,54%的人认为公司应该在数据泄露后被迫采用强制性数据保护控制措施,例如加密和双因素身份验证。超过五分之一的消费者停止使用曾有过数据泄露记录的公司。
简要评述:目前处于信息消费时代之下,全球数据泄露的趋势不断攀升,特别是用户数据泄露的情况,用户数据泄露丑闻让很多消费者开始思考他们的个人数据,以及这些数据的价值。企业经授权保留用户或消费者的个人数据信息,那么更应当承担起个人信息数据保护的重担。对于保留消费者个人信息的企业而言,客户体验的基础是信任和可用性的结合。如果踌躇不前,客户忠诚度会受到打击,从而导致客户、品牌声誉和生产力运营损失。
● Twitter发生数据泄露事件,涉及超过540万个个人账户信息,本起数据违规事件泄漏了Twitter用户的私人电话号码和电子邮件地址,这些信息可能用于网络钓鱼和其他诈骗。目前,所有这些帐户都已在黑客表格中被公开。最重要的是,据报道,另外还有140万个用户个人资料被私下共享,并且其他用户的数据转储可能来自同一漏洞。