当前位置: 沙特阿拉伯 > 沙特阿拉伯简介 > 数据合规资讯2022年9月刊第二期
当前位置: 沙特阿拉伯 > 沙特阿拉伯简介 > 数据合规资讯2022年9月刊第二期
《数据合规资讯》·第二期
本报告对年7月26日至年9月26日期间及前后境内外有关数据合规方面的立法、执法动态加以整理,并针对部分立法动态提供简要评论。同时,整理涉及数据合规的重要新闻,以供阅览。
立法动态
(节选)
1.
●9月2日,《中华人民共和国反电信网络诈骗法》(以下简称“《反电信网络诈骗法》”)经审议通过,并将于年12月1日起正式实施。《反电信网络诈骗法》从反电信网络诈骗的“小切口”出发,衔接《个人信息保护法》等的规则,对源头的个人信息保护问题进行规范,起到防范网络诈骗的目的。在《网络安全法》规定的基础上,进一步细化需要实施网络实名制的业务活动范围,将与网络直播等相关的规范性文件的要求上升为法律的要求。
(信息来源:新华社,年9月2日)
●9月3日下午,世界人工智能安全高端对话在上海世博中心举办。会上,《浦东新区人工智能企业数据安全和算法合规指引(试行)》(简称《指引》)作为创新成果之一首次公布,并从发布之日起试行。《指引》是由浦东新区检察院牵头,与浦东新区工商联、人工智能行业指导部门、行业协会以及专业机构共同编制,其出台是为了进一步推动人工智能企业加强数据安全和算法合规管理,规范企业数据处理活动和算法研发应用,有效惩治和预防数据违法犯罪营造法治化营商环境,助力浦东新区实施重点产业高质量发展行动计划,加快打造人工智能世界级产业集群,更好服务保障浦东引领区建设。
(信息来源:浦东检察,年9月3日)
●9月14日,国家互联网信息办公室发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,并明确了针对本次修改的说明。该说明介绍,为做好网络安全法与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全,拟对网络安全法作出如下修改。
一是完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况,拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。
二是修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。
三是调整网络信息安全法律责任制度。适应网络信息安全工作实际,对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,新增对法律、行政法规没有规定的有关违法行为的法律责任规定。
四是修改个人信息保护法律责任制度。鉴于个人信息保护法规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律责任修改为转致性规定。
(信息来源:新华社,年9月15日)
2.
●8月11日,俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)领导的公共委员会举行了例行会议,会上讨论了最近通过的《联邦个人数据法》的变化以及在数字服务发展的背景下保护其主体的权利。修正法引入了新的条款,将加强对俄罗斯公民的数据保护。它还就国内外数据运营商如何与数据主体和供应商互动,以及更重要的是,他们如何证明和记录其合规性,特别是在数据传输的情况下,对其规定了更严格的义务。部分修正案将于将于9月1日生效。
(信息来源:rkn.gov)
●9月15日,美国加州州长加文纽瑟姆(GavinNewsom)签署了一部儿童网络安全法案——《加州适龄设计规范法案》(TheCaliforniaAge-AppropriateDesignCodeAct,AB,以下简称《法案》),可能促使社交网络、游戏和其他在线服务对未成年人实施最严格的隐私要求。这是美国第一部要求青少年可能使用的在线服务商为18岁以下用户提供广泛保障措施的州级法规。尽管遭到科技行业的反对,但加州立法机构还是在8月底一致通过了这部法案。
不过,许多行业团体反对这项立法,称其范围太广,条款过于含糊,不利于实施。但儿童组织表示,这项立法是必要的,可以保护年轻用户免受互联网系统的不利影响,如接触有害内容、与成年陌生人接触或者沉迷于网络。据悉,《法案》将于年6月生效。
(信息来源:InfosecurityMagazine,年9月16日)
●9月15日,欧盟委员会提议制定《网络弹性法》(CyberResilienceAct),要求所有在欧盟市场上销售的可联网数字化设备和软件在设计、生产、运营及维护等整个生命周期都必须满足欧盟设定的强制性网络安全标准。
根据这部拟议中的法案,全球的软硬件数字产品在欧盟市场上市前要通过自查或第三方检查,确认满足欧盟网络安全标准并签署承诺书,由欧盟颁发“CE”标志后才可上市销售。生产商有义务向消费者及时告知安全风险并提供更新或升级,确保软硬件产品安全,保护消费者和企业免受缺陷产品侵害。
(信息来源:赛博研究院,年9月16日)
●9月20日,印度尼西亚通过《数据隐私法》,根据这项法律,泄露或滥用私人信息的数据处理实体可能面临最高五年的监禁。捏造个人数据以牟利的个人也可能面临最高6年的监禁。此外,泄露个人数据企业也将面临高达公司年收入2%的罚款。如果企业侵犯了个人数据法,其资产有可能被没收或拍卖。印尼个人数据保护法还要求,为了获取个人的姓名、性别和病史等信息,实体必须首先征求个人的同意,并就数据的使用方式和问责措施达成协议。个人有权撤销其授权,并对任何侵权行为进行赔偿。随着数字经济的快速发展,印尼开始对在该国运营但未在印尼政府注册平台正式注册的互联网公司采取惩罚措施。截至7月,已有家互联网企业在该平台上注册。
(信息来源:ReutersNewsAgency,年9月20日)
执法聚焦
(节选)
1.
●7月26日,广州公安局公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。经发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。
根据《中华人民共和国数据安全法》的有关规定,广州执法部门对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。
(信息来源:广州市公安局,年7月26日)
●杭州互联网法院聚焦个人信息保护领域的突出问题和个人群众的重大关切,在成立五周年之际,特别发布“个人信息保护十大典型案例”。具体包括:
1.民法典实施后全国首例个人信息保护民事公益诉讼案——杭州市上城区人民检察院诉孙某非法买卖个人信息民事公益诉讼案;
2.儿童个人信息的司法保护——杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案;
3.手机APP收集、使用用户个人信息的限度——杭州市余杭区人民检察院诉某网络科技有限公司个人信息民事公益诉讼案;
4.银行处理个人征信信息是否侵害个人信息权益——王某诉某银行股份有限公司个人信息保护纠纷案;
5.组织搭建平台买卖个人信息的赔偿标准认定——杭州市拱墅区人民检察院与邓某、肖某某未成年人保护、个人信息保护民事公益诉讼案;
6.电子公交卡场景下的个人信息权益保护与利用——黄某某诉某信用管理有限公司个人信息保护纠纷案;
7.网购平台向内嵌支付机构提供用户个人信息的合法性认定——吴某某诉上海某信息服务有限公司等违规提供用户个人信息保护纠纷案;
8.购物类APP自动化推荐应用的合法性基础判定——郭某某诉某网络有限公司个人信息保护纠纷案;
9.个人信息权利请求权诉权行使的前置条件——杜某诉某网络公司个人信息保护纠纷案;
10.个人征信信息商业使用合法性的判定——徐某诉某信用管理有限公司隐私权纠纷案。
(信息来源:杭州互联网法院,年8月19日)
2.
●8月3日,英国信息委员会(ICO)指令ChristopherOBrien先生向每个数据主体支付英镑的赔偿金,总计3,英镑。OBrien先生是一名前健康顾问因获取服务用户(即南沃里克郡NHS基金会信托的患者)的个人数据而被起诉。OBrien先生在没有任何业务需要的情况下,在他的工作过程中非法访问了患者的医疗记录。OBrien先生在未经雇主同意的情况下,查看了年6月至年12月期间与他个人认识的14名患者的记录。克里斯托弗·奥布莱恩(ChristopherOBrien)在考文垂地方法院出庭,对6项非法获取个人数据的指控表示认罪,违反了年《数据保护法》第条。他被勒令向每个数据主体支付英镑的赔偿金,总计3,英镑。
(信息来源:ICO)
●8月14日,荷兰当局周五宣布在阿姆斯特丹逮捕一名据称为TornadoCash工作的软件开发人员。荷兰财政信息和调查局(FIOD)在一份声明中说,这名29岁的人“涉嫌通过该服务隐瞒犯罪资金流动和协助洗钱”。FIOD还声称“TornadoCash已被用于隐藏大规模的犯罪资金流动,包括来自(在线)加密货币盗窃(所谓的加密黑客和诈骗)。”该机构于年6月对TornadoCash发起调查,进一步暗示可能会逮捕更多人。它还声称,该组织背后的人从促进这些非法交易中获得了巨额利润。该平台通过汇集和加扰来自数千个地址的各种数字资产(包括可能非法获得的资金和合法获得的资金)来隐藏资产原始来源的踪迹,让非法行为者有机会掩盖被盗资金的来源。
(信息来源:TheHackerNews)
●8月15日,新加坡个人数据保护委员会(“PDPC”)已向Budgetcars发出指示,以制定适当的合同条款,对其网站安全和维护的技术和行政安排进行安全监管公哟,并纠正审计报告中发现的任何安全漏洞。这是一起数据泄露事件,在该事件中,可以通过更改跟踪ID的几位数字来访问个人数据信息。
PDPC考虑了上述情况和PDPA第48J(6)节中列出的因素,包括(i)组织预先自愿承担责任;以及(ii)该组织采取的及时补救行动,委员会认为不要求支付罚款,而是指示该组织采取以下行动是适当的:
a、制定适当的合同条款,规定数据控制者和数据中介保护组织个人数据的义务和责任,以及各方在保护个人数据方面的各自作用;
b、聘请合格的安全服务提供商对其网站安全和维护的技术和行政安排进行彻底的安全审计,该网站包含本组织拥有或控制的个人数据;
c、在本指示发布之日起60天内,向委员会提供完整的安全审计报告;
d、纠正安全审计报告中发现的任何安全漏洞,在提供安全审计报告之日起60天内审查并更新其个人数据保护政策(如适用);
e、针对安全审计报告,在完成整改和实施后1周内通知PDPC。
(信息来源:PDPC)
●美国加利福尼亚州总检察长罗伯·邦塔(RobBonta)在发布会上表示,著名化妆品品牌丝芙兰(SEPHORA)就其侵犯消费者隐私一事与加州居民达成和解协议。根据和解协议,丝芙兰不仅要向加州司法部支付赔偿金,还要向美国公众明确告知其存储数据的作用、数据去往第三方平台后的用途,并建立健全可让用户选择“不出售其个人信息”的机制,还要确保丝芙兰本身及其合作的第三方平台均能符合CCPA的法规要求。
RobBonta在后续声明中指出,此案的判决具有“里程碑”级的意义。“毫无疑问,人脸识别技术正在大大增加我们生活的便利程度,但如果企业隐瞒他们如何使用客户的人脸识别数据,并无视用户选择保护自己隐私的请求,这些进步就毫无意义。”RobBonta断言道。
(信息来源:美国加利福尼亚州司法部,年8月24日)
●知名通讯软件Snapchat的母公司Snap与美国伊利诺伊州居民就一起隐私相关集体诉讼达成和解,和解金额总计为万美元(约合人民币2.4亿元)。
伊利诺伊州居民认为,Snapchat的滤镜(filters)和镜片(lenses)功能收集用户面部数据,违反了伊利诺伊州的《生物信息隐私法》(BiometryInformationPrivacyAct,BIPA)。
据悉,伊利诺伊州曾于年通过《生物信息隐私法》。此部法律严格限制公司收集、使用和共享生物信息,禁止公司在未经用户同意的情况下收集生物信息。同时,公司需要以书面形式告知用户为什么想要收集他们的生物信息、以及存储时间。
对于和解,Snap新闻发言人PeteBoogaard表示,Snapchat镜头功能不会收集可用于识别特定人或进行面部识别的生物信息。镜头功能获得的数据存储在用户的移动设备中,不会被传送到Snap的服务器。
(信息来源:TechCrunch,年8月26日)
●9月15日,前亚马逊员工在年CapitalOne数据泄露事件中被判有罪。一名36岁的前亚马逊员工佩奇·汤普森(PaigeThompson)因在年第一资本泄露事件中盗窃不少于1亿人的个人数据而在美国被判犯有电信欺诈和计算机入侵罪。她被判犯有电信欺诈罪、五项未经授权访问受保护计算机的罪名以及损坏受保护计算机的罪名。在为期7天的审判中,陪审团宣判了她的其他指控,包括访问设备欺诈和严重的身份盗窃。她定于年9月15日被判刑。这些罪行累计最高可判处25年监禁。此外,美国司法部指出,这名黑客通过短信和在线论坛向他人吹嘘自己的非法活动,因此留下了一条在线线索供调查人员追踪。这些数据还发布在可公开访问的GitHub页面上。年8月,CapitalOne被货币监理署(OCC)罚款8万美元,原因是在将其IT运营迁移到基于公共云的服务之前未能建立适当的风险管理措施。年12月,它同意支付1.9亿美元来和解针对此次黑客攻击的集体诉讼。
(信息来源:TheHackerNews)
●9月24日,伦敦警方逮捕了涉嫌Uber和GTA6违规的17岁黑客。据称这两次入侵都是由同一个威胁行为者实施的,他的名字叫TeaPot(又名teapotuberhacker)。就优步而言,它认为攻击者(或攻击者)与LAPSUS$敲诈团伙有关,其中两人面临欺诈指控。根据网络安全公司Flashpoint的说法,这两起事件背后的黑客的真实身份据说已在一个在线非法论坛上曝光。该部门表示,此次逮捕是与英国国家犯罪局网络犯罪部门合作调查的一部分。
(信息来源:TheHackerNews)
行业新闻
(节选)
1.
●8月12日,上海票据交易所发布《关于会员机构做好网上银行票据业务相关数据安全防范的通知》,要求各会员单位要建立风险预警和防范机制,将类似“识票据”等票据信息采集软件纳入风险识别清单,对此类软件进行检测和风险提示,避免此类软件利用网银页面截图等方式造成信息泄露,切实保护用票企业的信息安全。个别所谓“票据交易服务平台”诱导企业用户,通过非正常渠道截留、上传票据数据或通过安装外挂软件等方式,获取会员机构网银系统中的票据数据信息,并对相关票据数据进行再加工,形成服务产品对外出售获利,导致个别用票企业的票据业务数据及商业秘密存在泄露和被滥用的风险。
(信息来源:腾讯新闻)
●8月17日,澳大利亚总检察长MarkDreyfus和贸易和旅游部长DonFarrell联合宣布该国加入全球跨境隐私规则(Cross-BorderPrivacyRules,以下简称“CBPR”)论坛。该联合声明描述了澳大利亚对各经济体之间“互操作性和合作”的渴望,同时努力“弥合数据保护和隐私框架的差异”。
(信息来源:ministers.ag.gov)
●9月1日起,国家互联网信息办公室正式实施《数据出境安全评估办法》(以下简称《办法》)。《办法》旨在落实《网络安全法》《数据安全法》《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。《办法》的正式出台和实施,将为国家数据安全工作筑牢坚实“防线”。国家工业信息安全发展研究中心总工程师黄鹏认为,未来随着标准合同条款、数据出境安全认证等其他数据跨境监管措施的落实,我国的数据跨境管理制度体系将更为完善,可形成全球数据跨境流动的中国方案。他表示,积极参与全球数据规则制定,在当前双边、多边贸易谈判中增加关于数据跨境流动条款,可以为我国数字企业“走出去”奠定基础。依托G20峰会、世界互联网大会等多边对话机制和国际性会议,宣传我国数据跨境流动的主张,吸引更多国家支持和参与《全球数据安全倡议》,能够促进达成数据合法、安全、有序跨境流动相关共识。
(信息来源:中国政府网)
简要评述:《数据出境安全评估办法》明确了出境数据的评估范围、评估机制以及各参与主体的责任,为有效保障数据出境安全提供坚实屏障和有力抓手。中国作为一个负责任的大国,《数据出境安全评估办法》为全球数据治理提供了中国智慧与中国方案,这助力构建网络空间命运共同体、网络数据安全长远发展奠定安全根基。
●9月16日,年中国互联网法治大会医疗健康数据安全合规论坛在京成功举办。论坛以“数字引领医疗,合规指路健康”为主题,来自医疗、通信、安全等领域的专家及行业代表线上线下参加会议。为落实医疗健康网络数据安全工作,提升行业安全能力,互联网医疗健康产业联盟联合有关单位草拟了医疗健康网络数据安全技术、解决方案有关安全能力评估标准,并开展了第二批医疗健康网络数据安全能力评估工作。
(信息来源:人民网)
●9月24日,由《中国数字医学》杂志社有限公司主办,联想集团支持的“数字医学云讲坛——强化数据容灾备份能力,医院高质量发展”顺利召开。论坛围绕“强化数据容灾备份能力,医院高质量发展”展开研讨,医院数字科技的前沿技术方案。
(信息来源:中国数字医学)
简要评述:在数字化大时代背景之下,数字科技正给医疗行业带来巨大变化,特别是在前沿技术领域。随着医疗信息化系统应用愈发广泛,数据已成为医疗机构实现持续、稳定、健康发展至关重要的资产,其中耶包含医患隐私信息,敏感数据管理等难题。因此,加强医疗数据安全防护建设势在必行,从数据安全规划思路,到数据安全建设措施再到数据安全建设的管理环节都需要形成一套完整有效的数据安全管理策略。
●9月25日,CCIA数据安全委员会组织委员单位编制了联盟技术文件《数据安全和个人信息保护社会责任指南》(征求意见稿)。作为委员会组织委员单位,WiFi万能钥匙结合自身安全案例及网络安全防护经验,参与了意见稿的编撰。据悉,该文件为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。意见稿从组织治理、合规性、竞争和合作、消费者保护权益等方向,就数据安全和个人信息保护给出了指导性方向。
简要评述:在数字时代,随着公民信息社会责任素养的不断提升,我们自觉遵循信息社会规范,渐渐实现从”数字土著”向“数字公民”的转变。我们需要理解信息社会特征,自觉遵循信息社会规范,在数字化学习与创新过程中形成对人与世界的多元理解力,负责、有效地参与到社会共同体中,成为数字化时代的合格中国公民。为积极探索网络安全防御、数据安全发展贡献力量。
2.
●7月28日,IBMSecurity发布《年数据泄露成本报告》(下文简称报告),报告揭示,数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平,单个数据泄露事件给来自全球的受访组织造成平均高达万美元的损失,创下该年度报告发布17年以来的最高纪录。报告分析,全球数据泄露成本在过去两年间上涨近13%,不仅如此,数据泄露事件可能是导致企业商品和服务成本上涨的因素之一。实际上,除了全球通货膨胀和供应链问题等因素导致的商品价格飙升之外,60%的受访组织表示他们在遭遇数据泄露事件之后提高了自身产品或服务的价格。
此外,报告发现,83%的受访组织遭遇过不止一次的数据泄露事件,而网络攻击不断所导致的数据泄露事件更是成为企业“挥之不去的梦魇”。数据泄露事件给企业带来的“后遗症”也随着时间推移不断加剧,这些后遗症往往会持续很长时间,近50%的数据泄露成本是在事后一年多才产生的。
(信息来源:IBM,年7月28日)
●8月4日,Deepwatch网络安全专家发现了来自威胁行为者(TA)的活动,这些行为“极有可能”利用AtlassianConfluence服务器(CVE--)中的安全漏洞来部署一个名为“Ljl”的新后门。“证据表明,攻击者使用Atlassian的Confluence目录中的tomcat9.exe父进程执行了恶意命令,”该公司表示。“在最初的妥协之后,威胁参与者运行了各种命令来枚举本地系统、网络和ActiveDirectory环境。”该攻击链还因在受感染的服务器上部署了一个名为LjlBackdoor的先前未记录的植入物而引人注目。根据对网络日志的分析,在受害者使服务器脱机之前,估计大约有MB的存档数据已被泄露。
(信息来源:TheHackerNews)
●8月8日,Facebook母公司Meta透露,它已对南亚的两个间谍活动采取行动,这两个间谍利用其社交媒体平台向潜在目标分发恶意软件。
第一组间谍活动是由一个名为BitterAPT(又名APT-C-08或T-APT-17)的黑客组织进行,目标是新西兰、印度、巴基斯坦和英国的个人。Meta在其《季度对手威胁报告》中表示:“Bitter使用各种恶意策略,以社交工程为网络目标,混合使用链接缩短服务、恶意域名、受损网站和第三方托管提供商来分发恶意软件。”
Meta破坏的第二个组织是TransparentTribe(又名APT36),据称其总部位于巴基斯坦,有使用定制恶意工具攻击印度和阿富汗政府机构的记录。
上个月,思科塔洛斯(CiscoTalos)将攻击者归因于针对印度各教育机构学生的持续网络钓鱼活动,这标志着其典型的受害者模式背离了包括平民用户在内的典型受害者模式。最新的一系列入侵事件表明,其中包括军事人员、政府官员、人权和其他非营利组织的雇员,以及阿富汗、印度、巴基斯坦、沙特阿拉伯和阿拉伯联合酋长国的学生。
(信息来源:TheHackerNews)
●8月10日,安全研究人员发现了一种名为DarkUtilities的新服务,该服务为网络犯罪分子提供了一种简单而廉价的方式,可以为其恶意操作建立命令和控制(C2)中心。DarkUtilities提供了需要在目标系统上执行的代码,这意味着攻击者需要已经破坏了系统并可以访问它。该平台提供的文档为进行侦察和识别/利用漏洞以感染可添加到DarkUtilities的服务器提供了指导。当然,没有特定技能的攻击者有可能从地下网络犯罪购买受感染的系统访问权限并使用DarkUtilities。DarkUtilities中还提供加密货币挖掘功能。它相当简单,因为它只允许挖掘Monero加密货币并且只请求网络犯罪分子Monero钱包地址工作。
(信息来源:
转载请注明:http://www.shatealabo.com/sbjn/10584.html
