立法动态

2021年3月12日网信办、市场监管总局、公安部、工信部联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》。《规定》明确了移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用 App 基本功能服务。

《规定》共计7条，详细列举了，包括网络游戏、邮箱云盘、网上购物等三十九类移动应用程序的基本功能和必要个人信息。

《规定》将小程序这种新的应用形态纳入了监管之中，同时《规定》还进一步明确了“必要个人信息”是指基本服务功能所必须的个人信息。

2.深圳丨《深圳经济特区公共安全视频图像信息系统管理条例（草案）》

2021年3月12日，为规范深圳经济特区公共安全视频图像信息系统的规划、建设、应用和管理，维护国家安全、公共安全和社会秩序，防范、发现和打击违法犯罪行为，保护自然人、法人和非法人组织合法权益，深圳市组织起草了《深圳经济特区公共安全视频图像信息系统管理条例（草案）》（以下简称“《条例》”），并广泛征求社会各方面的意见和建议。

《条例》明确禁止在旅馆客房、医院病房、集体宿舍、公共浴室、卫生间、更衣室、哺乳室等涉及公民隐私的场所和区域安装系统。涉及公共安全人像及车牌等敏感信息采集的视频图像信息系统，应由公安机关统一规划。任何单位和个人不得利用采获的信息非法进行基于人像、人体及车牌等敏感信息的个人身份识别。人像、人体及车牌等敏感视频图像信息用于公共传播时，应当对涉及当事人个体特征、机动车号牌等隐私信息采取使特定个体无法被识别且不能复原的保护性措施。

3. 科技法学会丨《个人信息处理法律合规性评估指引》

2021 年 3 月 11 日，中国科学技术法学会发布了团体标准《个人信息处理法律合规性评估指引》（征求意见稿）。

《指引》表明个人信息处理法律合规性评估指引的目的在于支持组织证明和声明其个人信息处理的合规状态和合规能力水平，也包括顾客、监管者等对个人信息处理的合规进行检查和监督，个人信息相关方之间建立理解和信任，以及独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。《指引》包括概述与术语、合规框架、实施指南三个部分，为相关市场主体实施相关评估提供了更加详细的指引。

4. 市场监管总局丨《网络交易监督管理办法》

2021年3月15日市场监管总局发布了网络交易监督管理办法，将于5月1日实施。

《办法》设置了个人信息保护的专门条款，规定网络交易经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意，不得强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。

同时，《办法》要求经营者在收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息时，必须逐项取得消费者同意。针对经营者尤其大型平台企业与自身关联主体之间共用个人信息的问题，《办法》明确规定经营者未经被收集者授权同意，不得向包括关联方在内的任何第三方提供。

5. 中国人民银行丨《金融业数据能力建设指引》

2021年3月10日，中国人民银行发布了《金融数据能力建设指引》。

《指引》明确了金融行业数据工作的基本原则，从数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生命周期管理等方面划分了8个能力域和29个对应能力项的建设目标和思路，为金融机构开展金融数据工作提供全面指导。

1.工信部通报136款侵害用户权益的APP

据悉，依据《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规，按照《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）工作部署，工信部近期组织第三方检测机构对手机应用软件进行检查，督促存在问题的企业进行整改。截至目前，尚有136 款APP未完成整改，上述APP应在3月17日前完成整改落实工作。逾期不整改的，将依法依规组织开展相关处置工作。

通报显示，猎豹清理大师“违规收集个人信息”，天天果园“违规收集个人信息，App强制、频繁、过度索取权限”，腾讯手机管家“App频繁自启动和关联启动”，悦跑圈“违规收集、使用个人信息”。其它App的问题也多数集中在“违规收集个人信息”层面。

2. 中国消费者协会发布“中国消费维权十大典型案例”

根据中国消费者协会官网消息，2021年3月29日，为充分发挥司法案例对保护消费者权益的示范和引领作用，弘扬社会主义核心价值观，维护公平正义，保护消费者合法权益，促进市场诚信，震慑不法经营者，发布了“全国消费维权十大典型司法案例”和“全国消费维权十大典型司法案例提名”。

“全国消费维权十大典型司法案例”涉及的内容涵盖了当前消费维权热点问题，如移动APP用户个人信息保护、互联网终端软件“捆绑安装”、汽车消费欺诈问题等。

3. 公安部三所发布2020年度《全球网络安全政策法律动态和研判》 报告

2020年3月10日，公安部第三研究所发布了2020年度《全球网络安全政策法律动态和研判》。

报告以2020年全球重要战略、政策、法律、标准动态为研究样本，从网络顶层战略政策设计、贸易竞争规则、数据安全与发展、个人信息保护与监管、网络内容治理、关键信息基础设施保护、网络犯罪打击与预防、网络安全漏洞、密码安全、新技术安全与发展等十大维度，展现全球网络安全政策法律布局，深度剖析其发展特点、重点及趋势。

4. 发改委等国务院13部门共同发布《加快推动制造服务业高质量发展的意见》

2021年3月23日，国家发改委等13部门近日联合发布《关于加快推动制造服务业高质量发展的意见》明确，支持符合条件的制造服务业企业到主板、创业板及境外资本市场上市融资。

在制造业数字化转型方面，《意见》要求制定重点行业领域数字化转型路线图。抓紧研制两化融合成熟度、供应链数字化等亟需标准，加快工业设备和企业上云用云步伐。实施中小企业数字化赋能专项行动，集聚一批面向制造业中小企业的数字化服务商。推进“5G+工业互联网”512工程，打造5个内网建设改造公共服务平台，遴选10个重点行业，挖掘20个典型应用场景。在冶金、石化、汽车、家电等重点领域遴选一批实施成效突出、复制推广价值大的智能制造标杆工厂，加快制定分行业智能制造实施路线图，修订完善国家智能制造标准体系。开展联网制造企业网络安全能力贯标行动，遴选一批贯标示范企业。

5. 华盛顿议会通过《华盛顿隐私法》（SB5062）

法案将适用于处理超过100000美国华盛顿居民数据或处理/控制25000消费者的个人资料,或超过25%的收入来自销售个人信息的公司。

该法案将为消费者确立四项关键权利，即访问个人数据的权利、更新和纠正个人数据的权利、数据便携性的权利以及反对使用数据的权利。此外，如果为了定向广告的目的、为了出售个人资料的目的而接触消费者的个人资料，以及接触敏感的个人资料，将要求公司进行数据保障评估。此外，法案还规定，司法部长将负责法案的执行，并有权对违反法案的行为进行罚款和调查。如果该法案最终通过将于2022年7月31生效。

6. 美国弗吉尼亚州通过《弗吉尼亚消费者数据保护法》

本月弗吉尼亚州州长签署了《消费者数据保护法案》，使弗吉尼亚成为继加利福尼亚之后， 弗吉尼亚成为美国第二个颁布全面隐私立法的州。

《弗吉尼亚消费者数据保护法》(CDPA)要求在弗吉尼亚联邦开展业务的人们遵守一套新的数据安全和隐私要求。CDPA 反映了欧盟《通用数据保护条例》(GDPR)中的一些规定，将于2023 年1月1日生效。据悉，被发现违反CDPA的企业将被给予30天的时间改正他们的行为，弗吉尼亚州总检察长将对每一项违规行为处以最高7500的罚款。

该法案将交由一个委员会来评估如何实施，将于11月公布研究结果。

1. 全国首例直播打赏及收益数据爬取不正当竞争行为保全裁定获法院支持

六界公司通过破解、伪装等技术手段，突破微播视界公司“抖音“数据防护措施，非法抓取抖音平台中的主播、用户的直播打赏记录，再以付费方式向其产品”小葫芦“用户提供。微播视界公司认为六界公司构成不正当竞争，向法院提起诉讼。

法院审理后认为，此案系不正当竞争纠纷。微播视界公司就直播数据整体享有竞争法上的合法权益。平台的非公开数据通常涉及数据安全、用户隐私以及平台经营者商业策略的实现等，系平台经营者的核心资源，不属于可自由流动的数据范畴。未经平台经营者许可，他人不得随意获取、使用。

而“小葫芦”官网上展示包括抖音平台在内的“全网”直播数据， 其体量十分巨大，非技术手段几乎不可能实现。因此，六界公司利用技术手段获取数据的可能性极大。此外，六界公司未经申请人微播视界公司许可，利用技术手段获取其非公开数据，其行为具有不正当性。

法院审理后认为，六界公司将抖音平台上非公开的数据予以展示，破坏抖音产品的运营逻辑和秩序；另一方面，用户打赏数据体现了该用户的兴趣、消费偏好、经济能力等个人消费类敏感数据，主播直播收益数据则反映了某一主播的个人收入等敏感数据。六界公司获取该些数据并进行分析、对外展示的行为，可能侵犯包括普通用户和主播在内的抖音用户的隐私，进而影响用户对申请人数据安全保护的期待和信任，最终造成申请人用户流失，损害申请人利益。

2. 湖南蚁坊软件抓取存储微博平台后端数据因不正当竞争被判赔528万元

蚁坊公司系蚁坊软件网及鹰击系统网的运营者及服务提供者。新浪微博认为蚁坊公司未经新浪及相关用户许可，擅自抓取大量微博内容和数据并进行加工、包装，然后通过蚁坊软件网及鹰击系统网售卖给网络用户，构成不正当竞争行为，故向法院提起诉讼。

法院经审理认为，鹰击系统以收集、分析微博信息为主，提供有关领域的舆情监测服务，收取相应的服务费用， 属于典型的商业性服务行为， 应在法律法规允许的范围内进行。因湖南蚁坊公司的抓取、存储微博平台数据的行为存在不正当性，故其将这部分数据用于鹰击系统中展示和进行分析的后续使用行为，因数据来源不合法而不具有正当性之基础。此外，微博平台中对这些数据设定了特定的展示规则（如不能在博主主页中查看到其对他人微博的评论），湖南蚁坊公司改变该种规则，亦具有不正当性。

北京知识产权法院判决被告湖南蚁坊公司立即停止涉案不正当竞争行为，并在蚁坊软件网站和网页版鹰击系统首页连续七天刊登声明，就涉案不正当竞争行为为新浪微博消除影响，并判赔偿经济损失500万元及合理开支28万元。

3. 脉脉APP非法获取个人信息被判侵犯隐私权

王某因未注册和使用脉脉职场网站，却在2018年3月收到网站发送的手机短信，直接称呼其名，并表示有前同事对其作出标注，有多名好友等待其加入，王某点击链接后网页自动跳转至脉脉网站的注册页面。王某认为自己的隐私权遭到侵犯，故向法院起诉脉脉网站的运营商北京淘友天下科技发展有限公司。海淀区法院审理认为，脉脉平台通过注册会员上传的信息获取了未在该平台注册的原告个人信息，如电话号码，职业履历等，未经消费者同意 向其发送含有原告本人及朋友姓名的推荐信息，侵扰其私人生活的安宁， 构成对其隐私权的侵犯。

北京海淀法院判决脉脉向原告王某公开致歉。

4. TikTok与美用户和解隐私诉讼，同意赔偿9200万美元

据美国伊利诺伊州地区法院于2月25日提交的文件显示，字节跳动同意在TikTok某些用户提出的侵犯隐私集体诉讼案中与原告和解，并支付9200万美元的赔偿。

2020年4月，四名来自伊利诺伊州的青少年通过父母将TikTok和字节跳动告上法庭，称TikTok的一些滤镜和互动游戏需要通过面部扫描完 成，TikTok由此获得了用户面部几何特征数据。而TikTok并没有告知用户正在收集这些信息，也没有披露将如何使用这些数据，TikTok违反了当地保护个人生物识别信息的法律。此案在审理过程中，又将此前加州等地的类似诉讼并案处理，由此成为一桩集体诉讼。根据伊利诺伊州的生物特征隐私法，这种未经同意收集数据的行为可能会受到严厉惩罚。

5. 中行辽宁分行因违规收集个人金融信息等行为被罚114.7万元

2月3日，中国人民银行沈阳分行对中国银行辽宁省分行做出处罚，处罚信息显示，中国银行辽宁省分行有五项违规行为，一是未按规定收集、使用消费者个人金融信息；二是营销活动中违规进行引人误解宣传；三是备案类单位银行结算账户销户超期向人民银行备案；四是代理国库存在违规问题；五是未按规定履行客户身份识别义务。

中国人民银行沈阳分行因此对当事人罚款114.7万元。

6. 网信办约谈11家企业落实完善安全评估程序

针对近期未履行安全评估程序的语音社交软件和涉“深度伪造”技术的应用，国家互联网信息办公室、公安部指导北京、天津、上海、浙江、广东等地方网信部门、公安机关依法约谈映客、小米、快手、字节跳动、鲸准数服、云账户、喜马拉雅、阿里巴巴、网易云音乐、腾讯、去演等11 家企业，督促其按照《网络安全法》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等法律法规及政策要求，认真开展安全评估，完善风险防控机制和措施，并对安全评估中发现的安全隐患及时采取有效整改措施，切实履行企业信息内容安全主体责任。