如您欲进一步了解本报告所涉及的内容,您也可以点击文末“相关下载”获取报告。
2022年,《个人信息保护法》正式实施一周年。在此期间,我们欣喜地见证了在监管机构、个人信息处理者与个人信息主体等各方的共同努力下,《个人信息保护法》确立的原则、合法性基础、单独同意规则、个人信息保护影响评估、数据出境安全保护机制、个人信息主体权利等相关规定相继落地并开始实施;个人信息主体在履行一般合规义务、特殊场景下的合规义务,以及针对特殊主体与特殊对象的个人信息保护义务的过程中,逐步构建了各组织在自身业务经营过程中的个人信息保护合规体系,但也依然面临着难点与挑战。
在针对特殊主体与特殊对象的个人信息保护义务中,我们特别关注了作为“守门人”的特殊个人信息处理者三大层次的合规义务,即针对平台建设的义务、对平台内经营者的管理义务以及接受外部第三方监督的义务;关于对儿童个人信息的保护,包括在《个人信息保护法》《中华人民共和国未成年人保护法(2020修订)》实施的大背景下,我国从立法、司法层面分别对儿童个人信息保护给予关注,并且对社会各方相关义务主体施以具体要求。
《网络安全法》自2017年正式实施以来,于2022年迎来首次修订。一方面,《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》针对网络运营者、关键信息基础设施运营者相关责任内容的逻辑更加紧凑清晰;另一方面,其将原有《网络安全法》下有关个人信息保护的法律责任修改为转致性规定,并调整了处罚幅度及处罚种类,顶格罚款金额与《个人信息保护法》的处罚标准保持一致,顺应了最新立法趋势,也进一步完善了网络安全、数据安全与个人信息保护法律责任制度体系。
2022年,《网络安全审查办法》正式实施,明确了网络安全审查的适用主体、启动方式、审查主体、审查流程、审查要点以及违规后果,网络安全审查制度体系逐步落地与完善。2022年6月,国内某知名学术期刊数据库公司被正式宣布启动网络安全审查;2022年7月,国家互联网信息办公室对国内某互联网出行平台作出基于网络安全审查后的相关行政处罚决定。网络安全审查相关法规的完善和行政处罚的实际执行引起了各界广泛关注。除应注意掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,同样应对关键信息基础设施运营者(CIIO)采购网络产品和服务,网络平台运营者开展数据处理活动,预判相关行为影响或者可能影响国家安全的风险。以及当网络安全审查办公室依职权进行网络安全审查时,企业应提前做好准备,把握网络安全审查的流程和时间。
数据跨境传输安全保护措施的三套机制——数据出境安全评估、个人信息跨境处理活动安全认证和个人信息出境标准合同的规定在2022年得以进一步细化。其一,《数据出境安全评估办法》的实施,明确了触发数据出境安全评估的条件以及提交安全评估的具体步骤和时间表;与之配套的《数据出境安全评估申报指南(第一版)》出台则为相关主体开展出境安全评估进一步提供了指引。其二,国家信息安全标准化委员会于本年度末月发布的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》,相较于半年前发布的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,衔接了《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》的相关内容,明确了申请认证的情形、适格的申请主体、申请的具体要求,以及个人信息主体权利和相关方责任义务等内容。其三,《个人信息出境标准合同规定(征求意见稿)》规定了境内外双方在跨境传输个人信息时分别应当履行的义务,侧重对境内主体进行约束。
国家信息安全标准化委员会公布了《信息安全技术 重要数据识别指南(征求意见稿)》,指明识别重要数据的基本原则和识别因素等,为各行业、地区、部门制定本行业、本地区、本部门的重要数据目录提供参考,为企业识别其自身掌握的重要数据提供实践指引,也进一步为国家重要数据安全保护工作提供支撑。《工业和信息化领域数据安全管理办法(试行)》《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》也在年末正式实施,为相关行业主体在数据安全、网络安全方面落实主体责任提出了更为具体的实践要求。
工信部门、网信部门、公安部门等监管机构在2022年持续纵深对App开展执法监管活动,执法对象包括App、SDK和微信小程序。从执法频率来看,2022年全年,工业和信息化部共开展了6批对App的执法活动;部分地方通信管理局,如北京、浙江、四川三地省级通信管理局分别开展了5次、10次、6次执法活动。国家互联网信息办公室于2022年11月一次性公布了大批违法违规App,其中下架处置的共55个,限期责令整改的共80个;部分地方互联网信息办公室,如河北、浙江两地互联网信息办公室在2022年分别开展了6次、2次执法活动。此外,国家计算机病毒应急处理中心开展了12次执法活动,共通报了191款App及SDK。查处问题主要集中在收集个人信息时告知不到位、违规弹窗、频繁索取非必要权限、默认勾选隐私政策、违反必要原则收集个人信息等常见问题。可见,企业仍应持续重点关注App合规问题。我们对2022年出台的《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》《移动互联网应用程序(App)收集使用个人信息最小必要评估规范》《移动互联网应用程序信息服务管理规定》《关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》进行了解读,为相关主体在运营App过程中合法合规收集个人信息,遵守“最小必要”的收集原则,和应用程序提供者或应用程序分发平台落实主体责任作出合规指引。
近年来,数字经济在新时代大道上飞速驰骋,新的业态和商业模式层出不穷,利用数据、算法、技术和平台规则等方法实施的新型不正当竞争行为盘根错节,影响着保持公平的市场竞争秩序。2022年,国家市场监管总局发布《反不正当竞争法(修订草案征求意见稿)》,对数字经济领域的反不正当竞争规则进行完善。与此同时,在《个人信息保护法》实施的大背景下,我们通过对不良资产转让过程中转移债务人个人信息的合法前提进行研究和分析,揣摩相关法律法规背后的用意,为相关机构符合当前个人信息保护要求提出合规建议。
目录
01 上篇-聚焦观察
1.1 《个人信息保护法》实施一周年观察(上篇)
1.2 《个人信息保护法》实施一周年观察(下篇)
02 中篇-热点专题
2. 网络数据安全与合规专题
2.1《网络安全法(修订征求意见稿)》公布,完善发展再获驱动
2.2 “数据二十条”新规出台,数据保护迎来监管新体系
2.3《工业和信息化领域数据安全管理办法(试行)》发布,深入细化合规要点
2.4《重要数据识别指南》新版草案出台,兼议十二项企业合规义务
2.5 电力行业的合规风口,网络安全管理及等级保护至关重要
3. 网络安全审查专题
3.1 企业网络安全合规新课题——网络安全审查
3.2 拟赴香港上市企业的网络安全审查应对
3.3 赴美上市中概股企业的网络安全审查应对
3.4 其他企业网络安全审查的评估、准备与应对
3.5 滴滴事件点评:违规事项分析及处理结果的警示
4. 数据出境专题
4.1 依规开展数据出境安全评估
4.2 《数据出境安全评估申报指南(第一版)》要点总结
4.3 签署“中国版”个人信息出境标准合同
4.4 因地制宜:香港地区“SCC”知多少
4.5 个人信息跨境处理活动安全认证规范
5. 数据合规认证制度专题
5.1 察今以知古——我国数据合规认证制度的形成与发展
5.2 察己以知人——浅谈各主要国家及地区的数据合规认证机制
5.3 察微以知远——国际隐私信息管理体系认证的观察与评议
5.4 数据安全管理认证规则要点解读
03 下篇-场景深化
6. 重点场景-APP合规治理
6.1 基本解读篇:不让“App那么懂我”,《App收集个人信息基本要求》在行动
6.2 深入理解篇:App收集个人信息符合“最小必要”的典型场景要求与评估规范
6.3 实践适用篇:如影随形的合规难题,《移动互联网应用程序信息服务管理规定》保驾护航
6.4 延伸拓展篇:微信小程序的崛起,个人信息保护合规须持续助力
7. 特殊主体I-守门人处理者
7.1 刍议《个保法》第五十八条“守门人处理者”的理解与适用
7.2 Data Compliance as a Social Responsibility of Gatekeepers
8. 特殊主体II-员工个人信息保护
8.1 企业员工个人信息保护一般合规思路
9. 特殊主体III-未成年人保护
9.1 从企业合规角度解读《未成年人网络保护条例(征求意见稿)》
9.2 北京互联网法院未成年人网络司法保护典型案例浅析
10. 特殊场景I-数据竞争
10.1 完善数字经济领域的反不正当竞争规则
10.2 对网络爬虫技术从反法角度的再理解
11. 特殊场景II-不良资产转让
11.1 不良资产转让所涉个人信息转移行为探究
环球数据合规团队 编制
主编:孟洁
邮箱/E. mengjie@glo.com.cn
电话/T.(86 10)6584 6768
手机/M.(86 10)158 1105 0850
责任编辑:
侯伊阳 李晨瑜 贾宜宾
订阅/E.
dataprotection@glo.com.cn
请您知悉,本集锦的所有内容均不构成任何形式的法律意见。
如您欲进一步了解本报告所涉及的内容,您可以通过上述方式联系我们。您也可以点击“相关下载”获取报告。
