立法动态

1. 全国人大常委会丨《中华人民共和国数据安全法》

       2021年6月10日，《中华人民共和国数据安全法》由十三届全国人大常委会第二十九次会议表决通过，将于2021年9月1日正式实施。

       《数据安全法》适用于在中华人民共和国境内开展的数据收集、存 储、使用、加工、传输、提供、公开等数据处理活动。境外的组织、个人开展数据活动，损害中国国家安全、公共利益或者公民、组织合法权益的，亦将依法追究法律责任。本次正式出台的版本中，新增了违反国家核心数据管理制度及违法向境外提供重要数据的处罚。

2. 深圳市人大常委会丨《深圳经济特区数据条例》（草案）

       2021年6月1日，深圳市人大常委会公开发布《深圳经济特区数据条例（征求意见稿）》，征求意见至2021年6月15日。

       本次将提交深圳市人大常委会审议的版本，包括要求收集个人信息须遵循最小必要等五项基本原则、数据处理者应提供撤回同意途径、探索建立数据交易制度、重罚大数据“杀熟”、建立数据侵权维权公益诉讼制度等内容。

3. 国家卫健委丨《互联网医疗健康信息安全管理规范》（草案）

       为规范推进互联网医疗健康应用网络安全，国家卫健委统计信息中心组织起草了《互联网医疗健康信息安全管理规范（征求意见稿）》行业标准，该标准于6月4日起公开征求意见至6月17日。

       该规范《征求意见稿》共11部分，包括前言、范围、规范性引用文件、术语和定义等内容，规定了互联网医疗健康信息安全管理总体框架、信息安全相关方管理、信息安全过程管理、信息安全数据管理、信息安全技术管理和信息安全组织管理的规范和安全要求。

4. 工信部丨《关于加强车联网（智能网联汽车）网络安全工作的通知》（草案）

       工信部于2021年6月23日，发布了《关于加强车联网（智能网联汽车）网络安全工作的通知（征求意见稿）》并向社会公开征求意见至2021年7月2日。

       《征求意见稿》从加强车联网网络安全防护、加强平台安全防护等四方面提出要求。《征求意见稿》规定，要保护车联网网络设施和系统安全，落实企业网络安全主体责任，建立车联网网络安全管理制度和操作规程，确定网络安全负责人，定期开展符合性评测和风险评估， 及时消除网络安全风险隐患。《征求意见稿》明确，加强数据安全管理，建立数据资产管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。《征求意见稿》还指出，规范数据开发利用和共享使用；强化数据出境安全管理等。

5. 广电总局丨《广播电视网络安全等级保护基本要求》（草案）

       广电总局于2021年6月21日，发布了《广播电视总局网络安全等级保护基本要求》并向社会公开征求意见至2021年6月30日。

       《标准报批稿》规定了广播电视网络安全等级保护的对象定级、不同等级安全防护能力、安全通用要求及扩展要求、安全管理要求等内 容。《标准报批稿》还明确了第一至第五级广播电视网络的安全通用要求、云计算安全扩展要求和移动互联安全扩展要求。

行业动态

1. 工信部通报点名五类291款侵害用户权益行为的APP

       工信部本月通报了实用工具、学习教育、生活出行、求职招聘、运动健身等五类共计291款APP，并要求其限期整改。逾期不整改的，工信部将采取处置措施。

       工信部表示将进一步加大对APP弹窗信息无法关闭或者未显著提供关闭功能标识、开屏信息、弹窗信息利用文字、图片、视频等方式欺骗误导用户跳转至其他页面等突出问题的整治力度，充分保障用户的知情权和选择权。

2. 网信办通报129款App违法违规收集使用个人信息情况

       国家网信办于本月通报了运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型公众大量使用的部分APP违法收集使用用户个人信息的情况，共涉及129款APP。网信部要求被通报APP于15个工作日内完成整改，并将整改报告发送至网信办。

3. 欧盟委员会通过新版标准合同条款

       近日，欧盟委员会通过了新版标准合同条款（Standard Contractual Clauses, SCCs，以下简称“新版本”），共两套文本，一套用于控制者和处理者之间，另一套用于向第三国转移个人数据。

       新版本体现了《通用数据保护条例》（“GDPR”）的新要求，并将欧盟法院 Schrems II 的判决考虑在内，以确保对公民数据实现高水平的保护。新版标准合同条款将帮助欧洲企业，特别是中小企业确保遵守数据安全传输的要求，同时允许数据在没有法律障碍的情况下自由的跨境流动。

4. 欧盟法院明确各成员国数据保护机关均可在本国提起诉讼

       2021年6月15日，欧盟法院（CJEU）正式明确，根据欧盟《一般数据保护条例》（GDPR），在法定条件下，各成员国数据保护机关（DPA）都可以在本国法院对数据控制者提起司法程序（无论该数据控制者是否构成欧盟法规定的“主责机构”）。

       在跨国涉数据案件中， 常出现当事公司在欧盟的“ 主营业地”（ Main Establishment）在另一个国家的情况，在司法程序中，该问题首次出现于2015年比利时数据保护委员会对 Facebook  启动的司法诉讼中（Facebook 的欧盟总部在爱尔兰）。欧盟法院此次明确该问题，对各国加强本国数据保护有重要意义。

5. 工信部关于开展车联网身份认证和安全信任试点工作的通知

       为贯彻落实《新能源汽车产业发展规划（2021-2035 年）》《智能汽车创新发展战略》和车联网产业发展专委会第四次全体会议工作任务要 求，工信部于近日发文开展车联网身份认证和安全信任试点工作。

       试点方向包括车与云安全通信、车与车安全通信、车与路安全通信、车与设备安全通信等四方面。具备车联网身份认证管理和运营能力的单位可联合相关产业链主体进行申报。

6. 工信部组织开展摄像头网络安全集中整治

       按照《关于开展摄像头偷窥等黑产集中治理的公告》要求，工业和信息化部网络安全管理局近期组织开展了摄像头网络安全集中整治。

       工业和信息化部网络安全管理局将组织各地通信管理局、基础电信企业、专业机构及视频监控云平台、摄像头生产企业等，于6月至8月在全国范围开展摄像头网络安全集中整治，通过加大联网摄像头安全威胁监测处置力度、开展视频监控云平台网络和数据安全专项检查、规范摄像头生产企业产品安全漏洞管理等措施，消除摄像头网络安全隐患，保障网络安全，维护公民在网络空间的合法权益。

7.非法获取员工及客户敏感信息，法国宜家被罚100万欧元

       据报道，宜家法国分公司经法国检方调查后，因非法监视员工和客户被罚款100万元。同时，宜家法国分公司还解雇了4名高管并修改了内部政策。

       此前，宜家法国分公司被曝在2009年至2012年之间、通过掌握警方内部数据库、雇私家侦探等方式，非法获取公司雇员以及宜家客户的个人资料和敏感信息，其中特别收集了工会活动人士及与宜家发生纠纷的客户信息。

8. 拜登将撤销特朗普对TikTok和微信的禁令，同时签署新命令实施安全审查

       美国白宫表示， 美国总统拜登当地时间周三将撤销特朗普时期针对TikTok和微信的禁令，同时签署一项新的命令以指示美国商务部对上述软件和其他来自“外国对手”的应用程序实施新的安全审查。

       特朗普政府上述针对中国科技企业的禁令在美国多家法院遇阻，并未真正实施。拜登新的行政令将取代特朗普时期的命令。除了TikTok和微信， 新的行政令也取消了今年1月针对另外8家通信和金融科技应用程序的禁令。

       当地时间6月8日，美国会参议院通过了一项旨在提升美国与中国开展技术竞争能力的法案，其中包括“禁止在政府设备上下载TikTok应用”。对此，中方6月9日最新回应称，美国怎么发展，怎么提升美国的“竞争力”，这是美国自己的事，但我们坚决反对美国拿中国说事，把中国当“假想敌”。

1. 淘宝被非法爬取11.8亿条用户信息,两男子被判刑期超3年

       本案中，被告人逯某自2019年11月起在8个月内，通过其开发的软件爬取淘宝客户的数字 ID、淘宝昵称、手机号码等淘宝客户信息共计11.8亿余条。逯某将所获数据提供给黎某，由黎某用机器人在微信群里发淘宝优惠券，赚取返利。

       最终，河南省商丘市睢阳区人民法院判决被告人黎某犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币三十五万元；被告人逯某犯侵犯公民个人信息罪，判处有期徒刑三年三个月，并处罚金人民币十万元。

2. “数据精灵”威胁微信信息内容安全，开发公司被判赔偿500万元

       本案被告，微源码公司等公司开发、运营“数据精灵”软件，使用该软件并配合提供的特定微信版软件，可在手机终端上增加正版微信软件原本没有的“定点暴力加粉”等十三项特殊功能。

       因此，本案原告腾讯科技公司、腾讯系统公司起诉请求判令微源码公司、商圈公司停止不正当竞争行为；赔偿经济损失人民币500万元以及维权合理支出人民币10万元。

       法院审理后认为，“数据精灵”软件强行改变并增加功能，其高频次、大范围、自动发送、与不特定用户人群交互信息的功能特征，存在会引发服务器过载、信息内容不安全等风险，对信息系统和数据安全产生不良影响，属于不正当竞争行为，判处上述两公司停止侵权行为并赔偿人民币500万元。

3. 加拿大一数据泄露引发的集体诉讼因无法证明损失被法院驳回

       加拿大阿尔伯塔省高等法院，在Setoguchi v Uber B.V., 2021 ABQB 18一案中，因没有证据表明造成损害或损失，驳回了一项由数据泄露导致的拟议集体诉讼的认证申请。

       此次集体诉讼源于一次黑客事件，黑客从云端获取了Uber用户的姓名、电话号码和电子邮件地址，但Uber最初并没有向其成员、监管人员或警察透露数据泄露的消息。在事件发生后的三年里，没有证据表明存在欺诈、身份盗用或任何其他经济损失。在审议损害或损失问题时，法院考虑到个人信息的性质，指出适用的义务和注意标准将因信息的敏感性而有所差异。Uber则称，上述信息已经发布在公共领域。

4. 美国最高法院将hiQ公司诉领英案发回重审

       美国最高法院于19日驳回第九巡回法院对领英案的判决，并将此案发回重审。此前，第九巡回上诉法院曾在2019年禁止领英在诉讼进行过程中封杀hiQ。

       hiQ公司通过使用数据分析员工技能，在员工寻找新工作时为其推荐雇主。hiQ为扩大其数据范围，从领英处收集其公开的数据资料。领英认为hiQ从公开资料中收集个人数据的行为威胁用户隐私并构成不正当竞争行为。hiQ则认为领英是在其发布与hiQ相似功能后才提出相关指控的，因此，其向联邦法院提起诉讼，指控领英存在反竞争行为。