立法动态

1. 工信部丨《移动互联网应用程序个人信息保护管理暂行规定》

据央广网2月6日消息，工信部起草的《移动互联网应用程序个人信息保护管理暂行规定》（以下简称《暂行规定》）即将出台。

《暂行规定》共计22条。以知情同意和最小必要两项个人信息保护的基本原则为纲，要求从事APP个人信息处理活动，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分支持的前提下做出自愿、明确的意思表示；从事 APP 个人信息处理活动，应当具有明确合理的控制，并遵循最小必要的原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

《暂行规定》以APP开发运营者、APP分发平台、APP第三方服务提供者、移动终端电信设备生产者和网络技术服务提供者作为重点监管服务的对象，相关主体如果违反规定，将依次按照通知整改、公开通报、下架处置、断开接入流程进行处置。未按要求完成整改或反复出现问题，采取技术对抗等违规情节严重的，除直接下架和断开接入以外，还将建议APP分发平台和终端电信设备生产者在集成、分发、预置和安装等环节进行风险提示。

2. 市监局丨《市场监管总局关于健全信用修复机制的实施意见》

2021年2月18日，为进一步深化市场主体信用体系建设，国家市场监管总局发布《市场监管总局关于健全信用修复机制的实施意见（征求意

见稿）》（“《实施意见》”）。健全信用修复机制是党中央、国务院深化 “放管服”改革的必然要求，是优化营商环境的重要举措，是市场主体信用体系建设的重要内容。《实施意见》指出，应按照不同行业领域特点，综合考量违法失信行为的性质、情节和社会危害程度等因素，结合当事人纠正违法失信行为、消除不良影响、建立健全内部管理制度等情况，构建与违法失信程度相对应的修复条件、程序和方式等，实施精准修复。

同时，《实施意见》对修复过程中的“数据处理”作出明确要求：市场监督管理部门应当自作出或者收到其他有管辖权的市场监督管理部门准予信用修复决定之日起3个工作日内，通过公示系统停止公示相关信息，或者更正相关信息，或者停止公示其列入移出记录。相关数据信息应当继续保留在数据中心。

3. 市监局丨《网络关键设备安全通用要求》

2021年2月22日，国家市场监管总局（国际标准化管理委员会）印发2021年第1号公告，批准7项强制性国家标准和1项强制性国家标准修改单。其中一项强制性国家标准为GB40050-2021《网络关键设备安全通用要求》，该标准将于2021年8月1日起正式实施。

标准规定了网络关键设备应满足的安全功能要求与安全保障要求。一方面，该标准可为网络运营者采购网络关键设备提供参考和依据；另一方面，该标准可用于指导网络关键设备的研发、测试等工作。具体而言，该标准主要包括以下内容：

安全功能要求主要包括：设备标识安全；冗余、备份恢复与异常检测、漏洞和恶意程序防范；预装软件启动及更新安全；用户身份标识与鉴别；访问控制安全；日志审计安全；通信安全；数据安全；密码要求；安全保障要求主要包括：设计和开发；生产和交付；运行和维护。

4. 信安标委丨《网络支付服务数据安全指南（征求意见稿）》等

全国信息安全标准化技术委员会官网2月消息，由全国信息安全标准化技术委员会秘书处编制的《信息安全技术 网络支付服务数据安全指南》、《信息安全技术网络音视频服务数据安全指南》、《信息安全技术快递物流服务数据安全指南》、《信息安全技术即时通信服务数据安全指南》、《信息安全技术网上购物服务数据安全指南》等五项国标征求意见稿正式发布，现面向社会广泛征求意见。

5. 信安标委丨《信息安全事件分类分级指南》

全国信息安全标准化技术委员会官网1月22日消息，由全国信息安全标准化技术委员会秘书处编制的《信息安全技术信息安全事件分类分级指南》征求意见稿（以下简称为《分级指南》）正式发布，现面向社会广泛征求意见。

6. 北京交通委丨《互联网租赁自行车系统技术与服务规范》

为促进北京市互联网租赁自行车行业健康有序发展， 倡导绿色出行，2021年2 月7日，北京市交通委根据《北京市非机动车管理条例》，起草了北京市地方标准《互联网租赁自行车系统技术与服务规范》（征求意见稿）（以下简称《规范意见稿》）。

《规范意见稿》强调了数据的安全管理。企业平台采集承租人信息，不得超越提供业务所必需的范围，并应采取技术措施和其他必要措施，确保业务数据的安全，防止数据泄露、丢失。所采集的个人信息和生成的业务数据，应当在中国大陆境内存储和使用，保存期限不少于二年。

1. 网信办、工信部等七部门发布《关于加强网络直播规范管理工作的指导意见》

2021年 2月9日，国家互联网信息办公室、全国“扫黄打非”工作小组办公室、工业和信息化部、公安部、文化和旅游部、国家市场监督管理总局、国家广播电视总局联合发布《关于加强网络直播规范管理工作的指导意见》“《指导意见》”），对网络直播行业存在的主体责任缺失、内容生态不良、主播良莠不齐、充值打赏失范、商业营销混乱、青少年权益遭受侵害等问题提出指导意见。同时，《指导意见》明确网络直播规范管理工作中，应督促落实主体责任、确保导向正确和内容安全、建立健全制度规范、增强综合治理能力，从而有效解决突出问题、难点问题、痛点问题，科学规范行业运行规则，构建良好产业生态，为广大网民特别是青少年营造积极健康、内容丰富、正能量充沛的网络直播空间。

2. 工信部官方解读《工业互联网创新发展行动计划（2021-2023年）》

2021年2月18日，工信部就《工业互联网创新发展行动计划（2021-2023年）》（“《三年行动计划》”）作出官方解读。工信部就《三年行动计划》的出台背景、主要内容、工业互联网网络基础建设、工业互联网标识解析体系的发展重点、工业互联网平台的体系化升级、数据在工业互联网创新发展中的重要作用、推动工业互联网应用创新的举措、开展工业互联网安全工作的总体思路与主要内容以及实施工业互联网企业网络安全分类分级管理制度的安排予以说明和解读。

解读明确数据在工业互联网创新发展中的重要作用，并明确未来“数据汇聚赋能行动”的主要工作内容：一是打造数据汇聚的载体，推动工业互联网大数据中心建设；二是提升数据价值挖掘能力，打造大数据中心综合服务体系；三是促进数据流动，推动平台间数据互联互通；四是推动数据知识共享，培育和推广高质量工业APP。

3. 全国人大：健康码收集个人信息合法，但应公开使用规则

近日，全国人大常委会法工委经济法室主任王瑞贺针对“行程卡”“健康码” 等应用程序所引发的有关个人信息泄露问题的担忧，回应表示，个人信息保护法草案将应对突发公共卫生事件作为处理个人信息的合法情形之一，但也仅限于实现处理目的的最小范围，公开信息收集使用规则，履行个人信息保护义务，切实保护个人信息安全。2020年10月，全国人大常委会第二十二次会议初次审议了个人信息保护法草案。个人信息保护法草案将应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康，作为处理个人信息的合法情形之一。根据草案的规定，为防控疫情和处置突发公共卫生事件的需要处理个人信息，也必须严格遵守法律规定的处理规则，限于实现处理目的的最小范围，公开信息收集使用规则，履行个人信息保护义务，切实保护个人信息安全。

4. 工信部通报26款涉侵权应用，下架37款未完成整改应用

工信部官网2月3日消息，2021年1月22日，工业和信息化部向社会通报了157家存在侵害用户权益行为APP企业的名单。截至目前，经第三方检测机构核查复检，尚有37款APP未按照工业和信息化部要求完成整改。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）等法律和规范性文件要求， 工业和信息化部组织对上述37款APP进行下架。相关应用商店应在本通报发布后，立即组织对名单中应用软件进行下架处理。此外，针对近期热议的麦克风、通讯录、相册权限问题，2月5日，工信部发布了今年第二批26款存在侵害用户权益行为的App，包括UC 浏览器、QQ 输入法、墨迹天气等知名应用。

5. 第47次《中国互联网络发展状况统计报告》发布

中国互联网络信息中心（CNNIC）在京发布第47次《中国互联网络发展状况统计报告》（以下简称《报告》）。《报告》显示，截至2020年12月，我国网民规模达9.89亿，已占全球网民的五分之一；互联网普及率达70.4%，高于全球平均水平。《报告》指出，“健康码”助9亿人通畅出行，互联网为抗疫赋能赋智；网民规模接近10亿，网络扶贫成效显著；网络零售连续八年全球第一，有力推动消费“双循环”；网络支付使用率近九成，数字货币试点进程全球领先；短视频用户规模增长超1亿，节目质量飞跃提升；高新技术不断突破，释放行业发展动能；上市企业市值再创新高，集群化发展态势明显；数字政府建设扎实推进，在线服务水平全球领先。

6. 北京市发改委：App违法违规收集使用个人信息将进行专项治理

2021年2月1日上午，北京市发改委召开新闻发布会，正式发布《北京市进一步优化营商环境更好服务市场主体实施方案》。北京市市场监管局相关负责人介绍了本市整治市场秩序突出问题方面的工作情况，包括开展涉企收费专项治理，加强供电、供气、公路、铁路、民航等行业的执法检查，重点查处不执行政府定价、指导价、擅自制定收费项目或标准，对于已取消项目继续收费、不传导降价等行为。加大对本市侵犯商标、专利、商业秘密等知识产权，以及制售假冒伪劣学生用品、成品油、汽车配件等违法行为的打击力度。与相关单位共同开展行业协会违法违规收费、欺诈骗取医疗保障基金、移动应用程序（App）违法违规收集使用个人信息等专项治理工作。

7. 浙江将全面推进数字化改革，提出五方面改革重点

中新网2月18日消息，浙江省委、省政府当日在杭州举行数字化改革推进大会，部署全面推进数字化改革工作。当前浙江的重点任务是加快构建“1+5+2”工作体系，搭建好数字化改革“四梁八柱”。其中，“1”是一体化智能化公共数据平台，其作为智慧化平台中枢，将支撑各级、各系统应用创新。“5”即5个重点改革领域的综合应用——党政机关整体智治综合应用、数字政府综合应用、数字经济综合应用、数字社会综合应用和数字法治综合应用。“2”是构建理论体系和制度规范体系共两套体系。

8. 15分钟破解人脸识别，打印眼镜让刷脸形同虚设

近日，来自清华的RealAI（瑞莱智慧）团队选取了20款手机进行人脸识别检测，在一副眼镜的攻击下，19款国产安卓手机无一幸免，全部被快速破解。

测试者佩戴了一副含有对抗样本图案的眼镜，制作这副眼镜的成本很低：借用一台打印机，加上一张A4纸。最终，除了一台 iPhone11，其余安卓机型全部解锁成功，完成整个破解过程只花了15分钟。攻击测试人员成功解锁手机后，任意翻阅机主的微信、信息、照片等个人隐私信息， 甚至还可以通过手机银行等个人应用APP的线上身份认证完成开户。

RealAI团队表示，这一攻击测试主要利用了人工智能算法存在的「对抗样本」漏洞，但不同于之前的攻击尝试主要在实验环境下进行，而这次手机的攻击测试则佐证了这一安全漏洞的真实存在性。更为严重的问题在于，这一漏洞涉及所有搭载人脸识别功能的应用和设备，一旦被黑客利用，隐私安全与财产安全都将受到威胁。

9. 英国政府宣布成立网络空间安全委员会

当地时间2021年2月9日，英国政府宣布成立网络空间安全委员会（UK Cyber Security Council），作为专业培训和制定标准的管理机构。委员会将于3月31日正式运作。这将使英国拥有两个网络空间安全的专门机构：一是隶属于政府通信总部（GCHQ）的国家网络安全中心（NCSC），二是此新成立的网络空间安全委员会。从职能上看，NCSC偏重军事方面任务，网络空间安全委员会则偏重于民事任务，未来两个机构之间将形成良性的互动。

10. 法国数据保护局（CNIL）发布聊天机器人数据保护规则指引

2021年2月19日，法国数据保护局(CNIL)发布了遵守数据保护要求的聊天机器人使用指引。CNIL特别强调，在聊天机器人提供定向信息的过程中，无论网站用户和聊天机器人服务用户是否拥有账号，都会发生对个人信息的处理行为。具体而言，CNIL的指引涉及cookie要求、自动决策和收集特殊类别的个人数据等问题。

关于cookie，CNIL 指出，运营商可以在获得用户同意之后在激活聊天机器人之前放置cookie，或者可以在用户激活聊天机器人功能之后放置cookie。在第二种情况下，CNIL认为放置cookie是绝对必要的，因此不需要事先征得用户的同意。此外，CNIL强调，用户和聊天机器人之间的对话不会导致对数据主体产生影响的自动决策。

1. “蚂蚁金服诉企查查”案：大数据企业公共数据利用行为规则

2020年4月26日，杭州互联网法院铁路运输法院公开宣判了原告蚂蚁金服集团、蚂蚁微贷公司起诉朗动公司商业诋毁案（以下称为“蚂蚁金服诉企查查案”【（2019）浙8601民初1594 号】，原告是支付宝的经营主体，被告是企查查经营主体，2019年5月5日至6日，企查查通过发布和向特定用户推送的方式，发布了针对蚂蚁微贷清算的企业信息，媒体围绕蚂蚁微贷是否存在清算行为进行了广泛报道，还涉及了蚂蚁金服及其旗下花呗产品。短时间内新闻搜索条数达千万条以上。该条清算信息系企查查抓取自全国企业信用公示系统的公共数据，但系蚂蚁微贷2014年企业年度报告出现的历史信息。

法院认为，朗动公司的企业数据来源于公共数据，公共数据作为促进经济发展的重要生产要素，应当鼓励市场主体积极利用并深入挖掘数据价值。但同时，对公共数据的利用应当合法、正当，不得损害国家利益、社会利益和其他主体合法权益，特别是不能损害数据原始主体的合法权益。朗动公司的行为违反了征信业法定义务和大数据行业规则，损害了其他经营者、原始数据主体企业和消费者的合法权益，损害了以信用为基础的市场竞争秩序，其行为存在过错，构成不正当竞争。

在该案中，法院还提出了互联网征信企业在从事企业信用信息的收集和发布活动中，应当坚持的基本原则：其一，数据来源合法原则，不得采集法律、行政法规禁止采集的企业信息。其二，注重信息时效原则，分为两个层次，一是信息更新的及时性，二是信息变动时间的准确性。其三，保障信息质量原则，信息质量是互联网企业征信机构的核心竞争力， 高质量的信息既可以避免因征信行为给企业带来负面影响，也为信息使用者的科学决策带来价值。其四，敏感信息校验原则。一方面，针对非敏感数据，在发生数据偏差时应当允许征信机构通过事后救济的方式予以纠正。另一方面，针对敏感数据，特别是涉及企业清算、破产等重大负面信用信息，互联网征信机构应当建立差别化的技术处理原则，通过改进算法技术、数据复核、交叉验证等手段，提高数据推送质量，避免因不当的信息推送行为，为企业带来重大负面影响。

2. “抓取阿里巴巴诚信通200万企业数据案”：数据抓取的合理限度

2020年4月7日，杭州市滨江区人民法院一审宣判了阿里巴巴公司诉码注公司案，本案中，原告针对内贸企业量身打造了基于大数据技术的 “诚信通”电子商务会员服务，以企业诚信体系为内核，阿里巴巴的企业诚信体系建立在用户授权搜集各类信息，并通过阿里巴巴设计的模型、逻辑、方法、流程，对搜集到的各类信息进行加工、整理或分析处理结果的基础之上，该等信息数据库成为阿里巴巴核心资源。被告码注公司系“企业名搜索”网站经营者，未经原告同意，擅自获取原告平台数据建立自身数据库并用于商业开发和合作。原告认为被告行为攫取了本该属于原告的商业机会，具有明显的不正当性，构成不正当竞争行为。法院认为，本案涉及“数据”这一特殊客体，在数据的控制和分享之间，要考虑私人利益和公共利益的平衡。本案被告网站抓取原告网站数据后建立的自身网站甚至可以直接替代原告网站的部分功能，导致原告网站用户流失，损害了原告利益，并且并不能证明有利于市场效率和社会利益；被告将原告平台公布的商家数据直接用于其网站， 也超过了合理限度， 被告行为违反了公认的商业道德，构成不正当竞争。

本案中，法院强调数据的流通价值，并指出被告应当“本着善良、诚信的原则，在必要限度内使用涉案数据”，但被告可以直接替代原平台部分功能的数据使用行为，超过了合理限度。

3. 农行领银保监会420万元罚单，监管盯上银行数据泄漏等风险

中国银保监会近日公布了2021年第1号罚单。因涉及包括信息系统安全隐患、数据泄漏风险问题在内的6项违法违规行为，农业银行被银保监会处以420万元罚款。据“银保监罚决字〔2021〕1 号”处罚公开表显示，农业银行主要违法违规事实分别为：发生重要信息系统突发事件未报告；制卡数据违规明文留存；生产网络、分行无线互联网络保护不当；数据安全管理较粗放，存在数据泄露风险，网络信息系统存在较多漏洞；互联网门户网站泄露敏感信息等。

4. 瑞典隐私保护局规范人脸识别，警方违规被罚250万克朗

近日，瑞典隐私保护局（IMV）宣布，瑞典警察局在使用Clearview AI的过程中违反了瑞典的《犯罪数据法》，瑞典警察局因此受到250万克朗的罚款。IMV调查发现，一些警察未经任何授权、未经警局批准就使用了Clearview AI，例如在涉及儿童的性犯罪侦查中确定嫌疑人。警察局没有足够的证据来证明其个人信息处理行为符合《犯罪数据法》，也没有进行数据保护影响评估。除了施以罚款，IMV 还要求警察局对员工进行进一步培训，确保其了解有关规定。IMV表示，警察局可以在合法的前提下使用 Clearview AI，但应该确保通知到个人信息主体，并在目的达成后删除相关数据。

5. 因用户数据收集使用不当，脸书再被意大利罚700万欧元

意大利反垄断执法机构竞争与市场管理局（AGCM）发布一则公告称， 由于Facebook 公司未能遵守不当使用用户数据的整改令，被罚款700万欧元。公告显示，AGCM 曾于2018年4月对Facebook的用户数据使用行为进行调查，随后在2018年11月下发整改令，对Facebook处以500万欧元的罚款，并要求Facebook在公司网站首页发布整改声明。根据 2018年11月的调查报告，AGCM认为Facebook并未充分告知用户数据将被商用。Facebook所提供的信息不完整，使用户无法明确区分数据是被用于完善个性化服务，还是被传送至第三方机构开展商业活动。

6. TikTok因涉嫌违反GDPR遭到15个国家的消费者组织投诉

路透社2月17日消息，TikTok遭到欧盟消费者团体的多项投诉，指责其涉嫌违反欧盟的消费者法律，并且未能保护儿童免受隐藏广告和不当内容的侵害。欧洲消费者组织（BEUC）透露，其已向欧盟委员会（EC）投诉，指责TikTok的某些做法可能已违反《通用数据保护条例》。根据BEUC的投诉，TikTok涉嫌违反GDPR的行为包括其“服务条款”中的术语“不清楚、含糊不清，并且有利于TikTok，从而损害用户利益”等。BEUC宣称，除了投诉外，包括瑞典、德国和法国等15个国家的消费者组织也已经向有关部门发出警报，并敦促他们对TikTok进行调查。

7. 加拿大隐私监管机构裁定 Clearview AI 工具触犯隐私法

近日，加拿大隐私专员办公室裁定， 备受争议的面部识别技术公司Clearview AI 在加拿大民众不知情或未经允许的情况下收集他们的照片， 违反了加拿大隐私法。加拿大隐私专员办公室在一份声明中表示，其调 查发现，Clearview “在个人不知情或未经同意的情况下收集了高度敏感的生物识别信息”，这家初创公司  “为不适当的目的收集、使用和披露加拿大人的个人信息， 而这些信息不能通过用户同意而变得合法” 。Clearview 反驳了这些指控，声称加拿大的隐私法并不适用，因为该公司与加拿大没有“真正的、实质性的联系”，而且这些采集行为不需要同意， 因为它收集的图片是公开的。