01 全国人大常委会颁布实施《中华人民共和国反电信网络诈骗法》
《中华人民共和国反电信网络诈骗法》自2022年12月1日起施行,加强对公民个人信息的保护、对境外电信网络诈骗的打击,采取限制出境措施等,加大惩处力度,详细规定了不同机构的违法责任,对相关人员依法追究刑责,或予以罚款、拘留等行政处罚。
●组织部门
国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作。
公安机关牵头负责反电信网络诈骗工作,金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任,负责本行业领域反电信网络诈骗工作。
电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。(第6条)
银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务,和与客户业务关系存续期间,应当建立客户尽职调查制度,依法识别受益所有人,采取相应风险管理措施,防范银行账户、支付账户等被用于电信网络诈骗活动。(第15条)
●个人信息保护
个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。
履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件,应当同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任。(第29条)
●法律责任
组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供帮助,构成犯罪的,依法追究刑事责任。
前款行为尚不构成犯罪的,由公安机关处十日以上十五日以下拘留;没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足一万元的,处十万元以下罚款。(第38条)
电信业务经营者违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款。(第39条)
银行业金融机构、非银行支付机构违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令停止新增业务、缩减业务类型或者业务范围、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款。(第40条)
电信业务经营者、互联网服务提供者违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款(第41条)
02 深圳市场监督管理局发布《公共安全数据要求》
2022年12月1日,深圳市市场监督管理局实施首个地方公共数据安全领域标准——《公共数据安全要求》(以下简称《要求》)。《安全要求》落实《中华人民共和国数据安全法 》、《中华人民共和个人信息保护法》 等上位法的要求,将数据安全与网络安全等级保护要求有效结合,为《深圳经济特区数据条例》的落地提供坚实指导。
在公共数据使用、分级管理等各个环节,《安全要求》做出严格规范,明确包括总体安全原则和要求、总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及数据处理活动安全要求,适用于公共管理和服务机构数据安全能力建设、评估与监管、同样也适用于大量个人信息的服务平台数据安全能力的建设与评估。
《安全要求》强调公共管理和服务机构应对数据进行分类管理, 在数据分类在基础上, 根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、坏破 、泄露或者被非法获取、 非法利用,对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度,对数据进行分级。(来源:深圳市市场监督管理局)
03 工信部发布《工业和信息化领域数据安全管理办法(试行)》
2022年12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》)。《办法》共分为总则、数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、数据安全检测、认证、评估管理、监督检查、法律责任与附则八章。
●行业监管部门
工业和信息化部及地方行业监管部门统称为行业监管部门。(第4条)
●数据分级分类管理
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。(第8条)
●数据全生命周期安全管理
工业和信息化领域重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。(第13条)
●数据出境安全评估
工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。(第21条)
●记录日志留存不少于六个月
工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。(第25条)
●数据安全检测、认证、评估管理
工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。(第31条)
●法律责任
有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。(第36条)
本办法自2023年1月1日起施行。(来源:工业和信息化部)
04 信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范v2.0》
2022年12月16日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》,规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。
●具有法律约束力的文件
开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订具有法律约束力和可执行的文件,确保个人信息主体权益得到充分的保障。境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;
●个人信息保护负责人
开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人。个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历,由本组织的决策层成员担任。
●个人信息跨境处理规则
开展个人信息跨境处理活动的个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则。
●个人信息保护影响评估
个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存 3 年。
●个人信息处理者和境外接收方的责任义务
客观记录开展的个人信息跨境处理活动,保存记录至少3年;按照相关法律法规要求向中华人民共和国履行个人信息保护职责的部门提供相关记录文件;
承诺遵守中华人民共和国个人信息保护有关法律、行政法规,接受中华人民共和国司法管辖;承诺与个人信息跨境处理有关的纠纷适用中华人民共和国相关法律法规。(来源:全国信息安全标准化技术委员会)
05 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
2022年12月7日,最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护,体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。五案例要点如下:
●案例一 解某某、辛某某等人侵犯公民个人信息案
1.非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。
2.对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。
3.提高自我保护意识,防止个人信息泄露。
●案例二 李某侵犯公民个人信息案
1.对批量公民个人信息的条数,根据查获的数量直接认定,但有证据证明信息不真实或者重复的除外。
2.人脸信息是具有不可更改性和唯一性的生物识别信息。
●案例三 谢某、李某甲等人侵犯公民个人信息案
1.从严惩处,全面打击上下游犯罪。
2.区分情形、区别对待,落实宽严相济刑事政策。
3.延伸职能,注重诉源治理。
●案例四 陈某甲、于某、陈某乙侵犯公民个人信息案
1.非法获取、出售或者提供行踪轨迹信息,构成犯罪的,应当依法从严惩处。
2.强化行踪轨迹信息保护意识,维护自身安全。
●案例五 韦某、吴某甲、吴某乙侵犯公民个人信息案
1.依法打击“行业”内鬼内外勾连出售公民个人信息犯罪活动。
2.通过检察建议促进诉源治理。
党的二十大明确指出要“加强个人信息保护”。近年来,全国检察机关强化履职担当,不断加强对公民个人信息的司法保护。2019年至今年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人。(来源:最高人民检察院官网)
06 最高人民法院发布第35批指导性案例(均为个人信息保护刑事案例)
●192号案例 李开祥侵犯公民个人信息刑事附带民事公益诉讼案
裁判要点:使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。窃取或者以其他方法非法获取上述人脸识别信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
●193号案例 闻巍等侵犯公民个人信息案
裁判要点:居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息,属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息,情节严重的,依照刑法第二百五十三条之一第一款规定,构成侵犯公民个人信息罪。
●194号案例 熊昌恒等侵犯公民个人信息案
裁判要点:1.违反国家有关规定,购买已注册但未使用的微信账号等社交媒体账号,通过具有智能群发、添加好友、建立讨论群组等功能的营销软件,非法制作带有公民个人信息可用于社交活动的微信账号等社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为,构成侵犯公民个人信息罪。
2.未经公民本人同意,或未具备具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于法律规定的合理处理,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪。
●195号案例 罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案
裁判要点:服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。行为人将提供服务过程中获得的验证码及对应手机号码出售给他人,情节严重的,依照侵犯公民个人信息罪定罪处罚。(来源:最高人民法院官网)
07 蔚来汽车数据泄露,被勒索225万美元
12月20日,蔚来汽车发布公告称,12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。
蔚来汽车创始人、董事长李斌针对部分用户数据泄露并遭不法分子勒索一事作出回应,称蔚来坚决不向数据买卖者妥协,不会支付赎金。他还表示,目前蔚来已向警方报案,将深刻追究参与买卖本次泄露数据的企业和个人,并将为此次事件给用户带来的损失承担责任。(来源:蔚来集团依据香港上市规则作出的回应)
08 霍尼韦尔公司因违反FCPA(《美国反海外腐败法》)支付1.6亿美金罚款
2022年12月19日,霍尼韦尔公司与美国证券交易委员会(SEC)和司法部达成和解协议,同意支付超过1.6亿美元,以解决美国关于该公司参与巴西和阿尔及利亚贿赂计划的指控。
SEC称,这家航空航天制造商承认,在2010年巴西国家石油公司(Petrobras)的竞标过程中,曾向一名巴西政府高官行贿至少400万美元。
2011年,该公司比利时子公司的员工还向一名阿尔及利亚政府官员行贿7.5万美元,以获得国有石油公司Sonatrach的业务。SEC认为,这些行为违反了美国《反海外腐败法》。
“多年来,霍尼韦尔忽视了在巴西和阿尔及利亚等国实施充分的内部会计控制,以减轻已知的腐败风险,”SEC执法部门《反海外腐败法》部门负责人查尔斯•凯恩(Charles Cain)表示。“这一失败创造了一种环境,在这种环境中,霍尼韦尔的员工和代理商可以而且确实为贿赂提供了便利。”(来源:美国证券交易委员会SEC官网)