互联网金融画册5-6月电子刊物

数字化创造美好生活

双月刊（5-6）

互联网/数字化

01

02

03

法规动态

行业新闻

2022年5-6月

2022年5-6月

法规动态

前沿关注

行为预判

目录

CONTENTS

internet

internet

internet

5月7日消息，根据标准制修订计划，相关标准化技术组织已完成通信行业《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第1部分:总则》等4项行业标准的制定工作。在以上标准批准发布之前，为进一步听取社会各界意见，现予以公示，截止至2022年6月7日。

本次共公示《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》系列行业标准中的4项行业标准报批稿，具体为:

(1)YD/T4177.1-2022移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第1部分:总则本文件规定了APP收集使用个人信息的最小必要基本原则、评估要求、评估方法以及评估流程。

(2)YD/T4177.2-2022移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第2部分:位置信息

本文件规定了移动互联网应用程序(APP)在处理涉及用户个人信息(位置信息)的告知同意、收集、存储、使用、删除、传输、删除等活动中的最小必要评估规范，并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。

(3)YD/T4177.3-2022移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第3部分:图片信息

2022年5-6月

本文件规定了在移动应用软件在处理涉及个人信息主体个人信息相关图片信息的收集、存储、使用、删除等活动中的最小必要信息规范和评估方法，并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。

(4)YD/T4177.11―2022移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第11部分:短信信息

本文件是APP收集使用个人信息最小必要评估规范系列标准中的短信信息部分，旨在贯彻个人信息收集使用的最小必要的原则，针对APP访问、收集、存储、使用、删除用户手机短信(含彩信、5G消息等多媒体方式)信息等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对APP最小必要处理短信信息进行规定。

(来源:工业和信息化部科技司)

2022年5-6月

internet

“APP 收集使用个人信息最小必要评估规范”

行业标准报批公示

internet

5月25日，最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》(以下简称《意见》)。

《意见》旨在深入贯彻落实习近平法治思想和习近平总书记关于积极推动区块链技术为人民群众提供更加智能、更加便捷、更加优质公共服务的重要指示精神，贯彻落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《“十四五”国家信息化规划》，充分发挥区块链在促进司法公信、服务社会治理、防范化解风险、推动高质量发展等方面的作用，全面深化智慧法院建设，推进审判体系和审判能力现代化。

《意见》包括七个部分32条内容，明确人民法院加强区块链司法应用总体要求及人民法院区块链平台建设要求，提出区块链技术在提升司法公信力、提高司法效率、增强司法协同能力、服务经济社会治理等四个方面典型场景应用方向，明确区块链应用保障措施。《意见》主要有以下几个鲜明特点:

一是提出建成互通共享的司法区块链联盟。二是明确人民法院区块链平台建设要求。三是提出运用区块链数据防篡改技术提升司法公信力。四是提出应用区块链优化业务流程提高司法效率。五是提出应用区块链互通联动促进司法协同。六是提出利用区块链联盟互信服务经济社会治理。

(来源:最高人民法院)

《最高人民法院关于加强区块链司法应用的意见》

2022年5-6月

internet

《互联网平台及产品服务隐私协议要求》

征求意见

5月26日，信安标委发布《信息安全技术互联网平台及产品服务隐私协议要求(征求意见稿)》(以下简称《隐私协议要求》)，现面向社会公开征求意见，征求意见至2022年7月25日。

《隐私协议要求》提供了关于隐私协议编制程序、具体内容、发布形式，增加隐私协议的可读性、透明性，以及处理隐私协议相关的争议纠纷等方面的指导和建议。《隐私协议要求》是《个人信息安全规范》的配套标准之一，研究过程中将借鉴国外最新的法律规定、制度设计、实践做法，以国内现有立法、行政法规、标准要求为出发点，提出科学有效符合、信息化发展需要、具有明确实施指导意义的标准。

(来源:全国信息安全标准化技术委员会)

2022年5-6月

internet

《数据资产评估指导意见(征求意见稿)》

6月8日，中国资产评估协会下发了《数据资产评估指导意见(征求意见稿)》(以下简称《指导意见》)，征求意见至2022年6月16日。《指导意见》用以规范资产评估机构及其资产评估专业人员在数据资产评估业务中的实务操作，更好服务新时代经济发展和新时代生产要素市场。

《指导意见》正文分为七章，共计36条。总则部分明确了制定目的、数据资产相关定义、适用范围及相关服务领域。第二章规定了数据资产评估中需要遵守的相关法律、法规及管理条例，并且制定了对评估专业人员的专业要求及评估过程中的核查要求。第三章为评估对象及操作要求，规定了数据资产评估中可能涉及的评估目的、评估对象、评估范围、价值类型等内容。第四章为数据质量评价，描述了数据质量评价是数据资产评估的基础，并对质量评价从关注要点、评价方法、指标选取进行了较详细的阐述。第五章为评估方法，明确了数据资产评估常用方法以及适用场景，对于资产评估常用的市场法、收益法、成本法在数据资产评估中应注意的要点进行了阐述。第六章为披露要求，提出了数据资产评估报告中应当包含的内容。

(来源:中国资产评估协会)

2022年5-6月

internet

信息安全技术移动智能终端移动互联网

应用程序(App)个人信息处理活动管理指南

6月13日，全国信息安全标准化技术委员会发布国家标准《信息安全技术移动智能终端的移动互联网应用程序(APP)个人信息处理活动管理指南》(以下简称《智能终端指南》)的征求意见稿，现向社会公开征求意见，征求意见至2022年8月12日。

《智能终端指南》将应用程序运行生命周期分为了安装、启动、运行、更新、退出、停用/卸载几个阶段，并明确了每一阶段主要面临的个人信息安全风险。

《智能终端指南》将应用在移动终端操作系统在APP收集、使用个人信息时提供管理、提示、控制等功能，例如针对敏感个人信息或移动终端敏感能力，提供更强的提醒机制，为用户提供应用软件调用行为记录，针对系统提供的存储能力给出优化的管控机制，避免应用软件生成的信息被其它应用软件获取，针对权限管理，给出优化的授权范围、授权方式，以控制应用软件获得个人信息的内容或频率。适用于移动终端生产、制造企业在实践中提高个人信息保护能力，《智能终端指南》将首先在牵头公司中进行应用试点，并逐渐推广到其它终端厂家。

(来源:全国信息安全标准化技术委员会秘书处) 

2022年5-6月

internet

《移动互联网应用程序信息服务管理规定》

6月14日，国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》2022年8月1日起施行。国家互联网信息办公室有关负责人表示，修订发布新《规定》旨在进一步依法监管移动互联网应用程序，促进应用程序信息服务健康有序发展。

新《规定》共27条，包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。

新《规定》提出，应用程序提供者和应用程序分发平台应当遵守法律法规，大力弘扬社会主义核心价值观，坚持正确政治方向、舆论导向和价值取向，自觉遵守公序良俗，积极履行社会责任，维护清朗网络空间。

新《规定》要求，应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。

国家互联网信息办公室有关负责人强调，应用程序提供者和应用程序分发平台应当按照新《规定》要求，切实履行责任和义务，依照相关法律法规加强自身管理，主动接受社会监督，不断促进应用程序信息服务健康有序发展。

(来源:国家互联网信息办公室)

2022年5-6月

internet

《互联网跟帖评论服务管理规定

(修订草案征求意见稿)》

6月17日，网信办发布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(以下简称《管理规定》)，现公开向社会征求意见，征求意见至2022年7月1日。

《管理规定》明确，跟帖评论服务提供者、跟帖评论服务使用者和公众账号生产运营者不得通过发布、删除、推荐跟帖评论信息以及其他干预跟帖评论信息呈现的手段侵害他人合法权益或者谋取非法利益。不得利用软件、雇佣商业机构及人员等方式散布信息，恶意干扰跟帖评论正常秩序，误导公众舆论。

《管理规定》要求跟帖评论服务提供者严格落实主体责任，对注册用户进行真实身份信息认证，建立健全用户个人信息保护制度，建立健全跟帖评论审核管理、实时巡查、应急处置、举报受理等信息安全管理制度，及时发现跟帖评论服务存在的安全缺陷、漏洞等风险，并向网信部门报告。

(来源:国家互联网信息办公室)

严厉打击电信网络犯罪加强个人信息司法保护

6 月 21 日消息，近日，最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护 的通知》(以下简称《通知》)。要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施，强化刑事检察和公益诉讼检察职能衔接协作，实现全链条打击、一体化网络治理。

2022年5-6月

internet

《通知》要求，深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作，积极配合“清朗”系列专项行动，探索积累常态化监督办案的典型经验。聚焦重点行业、重点领域、重点群体开展监督办案，包括处理大规模个人信息特别是个人敏感信息，容易产生个人信息泄露风险的重点行业;金融、电信、互联网、就业招聘行业中容易产生电信网络诈骗违法犯罪风险的重点领域;容易受到电信网络诈骗违法犯罪侵害的老年人、在校学生、未成年人等重点群体。在严厉打击刑事犯罪的同时，充分发挥公益诉讼检察职能，依法追究违法主体的民事责任，督促行政机关履职尽责，增强惩治预防效能。

《通知》指出，要完善刑事检察、公益诉讼检察协作机制。包括建立线索移送机制、同步介入机制、人员协作机制和会商研判机制等。要进一步提升调查取证能力水平，增强刑事附带民事公益诉讼质效。加强刑事检察和公益诉讼检察部门在提前介入、引导侦查工作中的协同协作。积极运用认罪认罚从宽、少捕慎诉慎押、涉案企业合规改革等，创新公益损害替代修复方式，督促引导违法主体及时有效履行公益损害赔偿责任。 要进一步加强网络空间系统治理和溯源治理。结合监督办案加强类案治理的分析研判，注重发现执法司法、行业监管、信息公开、综合治理等工作中的问题和漏洞，精准向有关部门提出促进完善监管的检察建议，探索向有关网络平台提出依法履行社会责任的检察建议。

(来源:最高人民检察院)

2022年5-6月

internet

《关于构建数据基础制度

更好发挥数据要素作用的意见》

6月22日，中央全面深化改革委员会第二十六次会议顺利召开，会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。

习近平在主持会议时强调，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。

会议指出，数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，深刻改变着生产方式、生活方式和社会治理方式。积极探索推进数据要素市场化，加快构建以数据为关键要素的数字经济，取得了积极进展。要建立数据产权制度，推进公共数据、企业数据、个人数据分类分级确权授权使用，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度，完善数据全流程合规和监管规则体系，建设规范的数据交易市场。要完善数据要素市场化配置机制，更好发挥政府在数据要素收益分配中的引导调节作用，建立体现效率、促进公平的数据要素收益分配制度。要把安全贯穿数据治理全过程，守住安全底线，明确监管红线，加强重点领域执法司法，把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式，强化分行

2022年5-6月

internet

《网络主播行为规范》发布

6月22日，国家广播电视总局、文化和旅游部联合发布《网络主播行为规范》(以下简称《规范》)。《规范》旨在进一步规范网络主播从业行为，加强职业道德建设，促进行业健康有序发展。

《规范》共十八条，明确了网络主播在提供网络表演及视听节目服务过程中，不得出现的31种行为。对于需要较高专业水平(如医疗卫生、财经金融、法律、教育)的直播内容，主播应取得相应执业资质，并向直播平台进行执业资质报备。《规范》的发布受到各界好评。有业内人士表示，《规范》或让直播电商进入新阶段，也将吸引更多高质量人才加入主播行列。

《规范》提到，主播的范围边界，除了常规意义上的“主播”之外，上传音视频节目发声出镜的人员及虚拟主播也都被纳入其中。海汉盛律师事务所高级合伙人李旻律师指出，除了常见的各类职业主播，虚拟主播这一新兴人物近期同样备受关注，该产业的兴起与虚拟技术的变革以及市场需求密切相关。

(来源:国家广播电视总局)

业监管和跨行业协同监管，压实企业数据安全责任。

(来源:中央全面深化改革委员会)

2022年5-6月

internet

《关于加强数字政府建设的指导意见》

6月23日，国务院印发《关于加强数字政府建设的指导意见》(以下简称《指导意见》)，就主动顺应经济社会数字化转型趋势，充分释放数字化发展红利，全面开创数字政府建设新局面作出部署。

《指导意见》要求，深入贯彻习近平总书记关于网络强国的重要思想，认真落实党中央、国务院决策部署，构建新发展格局，将数字技术广泛应用于政府管理服务，推进政府治理流程优化、模式创新和履职能力提升，构建数字化、智能化的政府运行新形态。

《指导意见》明确了数字政府建设的七方面重点任务。一是通过全面推进政府履职和政务运行数字化转型，强化经济运行大数据监测分析，大力推行智慧监管，积极推动数字化治理模式创新，持续优化利企便民数字化服务。二是强化安全管理责任，落实安全制度要求，提升安全保障能力，提高自主可控水平，筑牢数字政府建设安全防线。三是以数字化改革助力政府职能转变，创新数字政府建设管理机制，完善法律法规制度。四是创新数据管理机制，深化数据高效共享，促进数据有序开发利用，充分释放数据要素价值。五是整合构建结构合理、智能集约的平台支撑体系，强化政务云平台、网络平台及重点共性应用支撑能力，全面夯实数字政府建设根基。六是通过持续增强数字政府效能，更好激发数字经济活力，优化数字社会环境，营造良好数字生态。七是加强党中央对数字政府建设工作的集中统一领导，健全推进机制，提升数字素养，强化考核评估。

(来源:国务院)

2022年5-6月

internet

《互联网用户账号信息管理规定》

6月27日，国家互联网信息办公室发布《互联网用户账号信息管理规定》(以下简称《规定》)，自2022年8月1日起施行。旨在弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康发展。

《规定》明确，互联网用户账号信息是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。国家网信部门负责全国互联网用户账号信息的监督管理工作。地方网信部门依据职责负责本行政区域内的互联网用户账号信息的监督管理工作。

《规定》明确了以下几方面内容，一是明确账号信息注册和使用规范，要求互联网信息服务提供者应当制定和公开互联网用户账号信息管理规则、平台公约，明确账号信息注册、使用和管理相关权利义务。二是明确了账号信息管理的规范，要求互联网信息服务提供者履行账号信息管理主体责任，配备与服务规模相适应的专业人员和技术能力。三是明确了开展监督检查和追究法律责任的相关要求，规定网信部门会同有关主管部门建立健全工作机制，协同开展互联网用户账号信息监督管理工作。网信部门依法对互联网信息服务提供者管理互联网用户注册、使用账号信息情况实施监督检查，互联网信息服务提供者应当予以配合，并提供必要的支持协助。发现互联网信息服务提供者存在较大网络信息安全风险的，省级以上网信部门可以要求其采取措施，进行整改，消除隐患。

(来源:国家互联网信息办公室)

2022年5-6月

internet

《个人信息出境标准合同规定(征求意见稿)》

6月30日，国家网信办公布《个人信息出境标准合同规定(征求意见稿)》(以下简称《征求意见稿》)，现面向社会公开征求意见，征求意见至2022年7月29日。

个人信息处理者依据《中华人民共和国个人信息保护法》，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同(以下简称标准合同)。

个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，重点评估以下内容:一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。

(来源:国家互联网信息办公室)

2022年5-6月

internet

2022年5-6月

行业新闻

智能互联

数字创造

internet

工信部公布第五批网络关键设备安全名单

5月2日消息，近日，据工信部发布，根据《中华人民共和国网络安全法》《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》(国家认监委、工业和信息化部、公安部、国家互联网信息办公室公告2018年第12号)，现将由具备资格的机构按照《网络关键设备安全通用要求》(GB40050-2021)强制性国家标准，经安全检测符合要求的网络关键设备(第5批)予以公布。其中华为(2款)、思科(8款)、诺基亚贝尔(1款)、锐捷(4款)、新华三(1款)、西门子(5款)等厂商21款设备上榜。

此前四批次出现的企业分别为，第一批次:华为、新华三、浪潮电子;第二批次:华为、新华三、上海诺基亚贝尔;第三批次:华为、中兴、新华三、上海诺基亚贝尔;第四批次:中兴、新华三、上海诺基亚贝尔、联想。

(来源:工业和信息化部网络安全管理局)

美国 SEC 新规要求上市企业加强信息披露

5月9日，针对美国证券交易委员会(以下简称“SEC”)提出的“关于网络安全风险管理、战略、治理和事件披露要求的拟议规则”，美国银行家协会、银行政策研究所、美国独立社区银行家协会和美国中型银行联盟提出联合意见。

2022年5-6月

internet

各协会特别强调，网络安全威胁和事件不仅可能危及个别银行及其股东，还会威胁到消费者以及美国金融市场的稳定性。因此，美国网络安全和基础设施安全局（简称“CISA”)将金融服务部门指定为重要的基础设施部门。

各协会就SEC新规提出的联合意见:

(1)拟议规则没有充分考虑其他政策目标，包括确保注册人的网络安全、保护金融机构的安全和稳健，识别严重网络犯罪的犯罪者并将其绳之以法;

(2)拟议规则对8-K表格中重大网络安全事件的披露时间和内容提出了要求，但没有充分考虑此类披露在某些情况下可能造成安全风险和危害。因此建议:在最终规则中，应将8-K表格中披露网络安全事件的时间更改为“注册人合理确定网络安全事件不再持续、公开披露该事件不会严重危害注册人的安全后”的四个工作日内;鉴于此类披露会给注册人带来安全风险，不应要求其披露事件的补救程度;

(3)拟议规则中概述的某些定义，包括“网络安全事件”和“信息系统”，范围过于广泛，应予以澄清。

此外，各协会表示不支持注册人披露董事会成员的网络安全专业知识的新要求，因为这一拟议的要求会暗示:如果董事会里没有掌握此类特定专业知识的董事，其在某种程度上是有缺陷的。

(来源:赛博研究院)

2022年5-6月

internet

欧洲央行讨论“数字欧元隐私选项”

5月11日消息，过去一年，全球围绕央行数字货币(CBDCs)展开了激烈讨论。虽然一些国家已经推出了CBDC，但也一些国家仍在评估这些数字货币的可行性，以及如何开发以满足所有用户的需求。

不少用户曾表示，担心CBDC会侵犯个人隐私。欧洲央行最近发布了一份相关报告，称欧元系统将专注于提升用户隐私保护。例如，欧盟CBDC只会披露最少的交易数据，但完全用户匿名并不可能。

在这份报告中，欧洲央行提供了三种隐私选项供该CBDC用户使用。第一个选项解决了利用交易数据监控交易、避免洗钱和恐怖主义融资的需求。为了防止数字欧元被用于非法活动，银行等金融中介将获得交易数据。另外两种隐私选项是发展CBDC的“理想”途径。第一种是为不涉及大笔资金的低风险支付选择提供高水平的隐私，而高额支付的监控要求则更高。不过，欧洲央行没有透露低值和高值支付的确切门槛。另一个选项是央行提供高度的隐私保护。这种隐私将使得中央银行无法获得交易和余额细节。然而欧洲央行表示，这种程度的隐私只能提供给低风险支付。这些线下支付将类似于实物现金交易。

欧洲央行强调，并不推荐在CBDC使用过程中实现用户完全匿名。因为，数字货币带来的风险越来越大，交易匿名可能会助长利用CBDC进行非法活动。

(来源:未央网)

2022年5-6月

internet

美国政府起草行政命令

阻止外国获取美国公民个人信息

5月11日消息，美国正考虑阻止中国获取美国数据的新方式。根据一位知情人士的说法和路透社记者看到的节选，拜登政府起草了一项行政命令，赋予司法部巨大权力，以阻止中国等外国对手获取美国人的个人数据。

这项行政命令草案表明，在特朗普政府阻止美国人使用某些流行社交媒体平台的举措以失败告终后，政府正在努力更积极地应对据称由购买大量美国个人数据的中国公司构成的所谓“国家安全威胁”。

特朗普曾试图在2020年禁用一些中国应用程序，声称它们收集的数据可能会提供给北京，用于跟踪用户和审查内容。中国政府和这些应用程序服务商都对不当使用美国数据予以否认。但法院暂停执行禁令，拜登最终撤销了这些禁令。

研究信息和通信政策的耶鲁大学法学院蔡中曾中国中心高级研究员萨姆·萨克斯说:“显然，拜登政府正在努力设法应对美中关系中的这个新风险前沿，也就是中国政府获取美国敏感数据的渠道。”报道说，一位知情人士说，如果这项行政命令草案得到执行，将赋予美国司法部长梅里克·加兰权力，对涉及出售或者获取数据的商业交易进行审查，如果这些交易对国家安全构成太大风险，可以加以禁止。

对于一些中国企业投资于处理敏感医疗信息的美国企业、从而收集美国人的个人数据，美国情报机构曾就相关风险发出过警告。

(来源:参考消息网)

2022年5-6月

internet

全国第一家数据资源法庭揭牌设立

5月18日，温州市瓯海区人民法院数据资源法庭正式揭牌设立，据悉，这是经浙江省高级人民法院同意、中共浙江省委机构编制委员会办公室批准，国内设立的首个以受理数据资源案件为核心业务的专业法庭。

温州是全省数字经济发展新高地，数据产业蓬勃发展。随着“中国数安港”建设的不断推进，数据作为新生产要素的功能将被进一步激发，数据生产、储存、使用、交易等各环节的实践将会越来越丰富。这些数据中，包含着大量的个人信息、商业秘密、保密商务信息，如果被不当使用，将会给数据利用人和其他相关人带来民事、行政、乃至刑事方面的法律问题。数据合法利用的边界在哪里?这是数据产业从业者最为关心和担心的问题。

为更好推动数据要素集聚、优质企业集聚、创新力量集聚，为温州打造数据产业集群新优势提供有力司法保障，为全省乃至全国司法审判提供基层探索经验，数据资源法庭应运而生。

2022年5-6月

internet

数据资源法庭在履行审判职能外，还将开展数据资源保护普法宣传工作，助推企业合规建设，引导企业提升保密意识，完善数据资源保护工作，在经营过程中合法合规收集、使用、交易数据，避免侵害数据资源利用人和其他相关人的合法权益;加强对数据资源保护工作的调研，结合数据资源法庭运行情况，针对维护企业及国家数据资源安全、数据资源案件审理难点、数据资源立法保护工作等方面开展调研，努力为数据资源保护立法提供温州经验。

据资源行政许可、信息公开、行政处罚、行政监管等行政案件和非诉行政执行案件。

2022年5-6月

internet

加快数据确权等基础制度规范建设

探索数据交易模式

5月26日，以“抢数字新机·享数字价值”为主题的2022中国国际大数据产业博览会(以下简称“数博会”)以云会议形式举办。工业和信息化部部长肖亚庆在会上表示，党中央、国务院高度重视大数据产业发展，实施国家大数据战略，构建以数据为关键要素的数字经济，推动制造业加速向数字化、网络化、智能化发展。

肖亚庆表示，近年来，工信部与各方一道，推动大数据产业发展取得明显成效。突出体现在:产业规模快速增长，“十三五”时期，我国大数据产业年均复合增长率超过30%，2021年产业规模突破1.3万亿元，大数据产业链初步形成，一批龙头企业快速崛起。基础设施加快夯实，我国已建成全球规模最大的光纤宽带网络，千兆光网具备覆盖3.2亿户家庭能力，建成5G基站超过160万个，5G移动电话用户达到4.1亿户。行业融合逐步深入，大数据应用从互联网、金融、电信等领域逐步向智能制造、数字社会、数字政府等领域拓展，极大丰富了我国数据资源，催生一批新场景新模式新业态。政策环境持续优化，中央出台一系列政策文件，地方探索制定数据条例等地方性法规，设立大数据管理机构，组建数据交易所，数据确权、定价、交易等标准制度不断完善。大数据技术在疫情防控和复工复产中发挥了重要作用，通信大数据行程卡用户查询次数累计达到556亿次以上，成为人人出行的“标配”和各地防控疫情的重要支撑。

2022年5-6月

internet

肖亚庆表示，要顺应数字化发展趋势，坚定不移实施国家大数据战略，统筹发展和安全，以释放数据要素价值为导向，协同推进基础设施、技术创新、融合应用和治理体系建设，加快数字产业化、产业数字化，为制造强国、网络强国、数字中国提供有力支撑。

一是加快建设数字基础设施。坚持适度超前建设，以建带用，以用促建，推动数字基础设施建设与应用场景协同发展。二是着力拓展融合应用场景。围绕促进产业转型升级、提高政府治理效能、加快数字社会建设，开展大数据技术、产品和服务协同创新，补齐关键技术短板，构建稳定高效的大数据产业链。以制造业数字化转型为引领，实施工业大数据价值提升行动，构建多层次工业互联网平台体系。三是推进数据资源整合和开放共享。采好数据、管好数据、用好数据是大数据产业发展壮大的关键。工信部将加强部门联动、部省协同，加快数据确权、交易流通、跨境传输和安全等基础制度规范建设，探索多种形式的数据交易模式。四是深化国际务实合作。工信部将坚定不移贯彻对外开放的方针，支持国内外大数据企业在技术研发、标准制定、产品服务、知识产权等方面深入合作，支持国内企业“走出去”开拓国际市场，支持跨国公司、科研机构在国内设立大数据研发中心、教育培训中心。工信部愿与各方一道，在多双边合作机制下，加强战略规划对接和政策沟通协调，携手营造公平开放的发展环境。

(来源:澎湃新闻)

2022年5-6月

internet

中国首个《个人数据中心白皮书》发布

5月26日，2022中国国际大数据产业博览会举办首届“个人数据中心”主题论坛。论坛期间，中国首个《个人数据中心白皮书》(以下简称《白皮书》)正式发布。

《白皮书》涵盖了个人数据中心(PDC)的基本概念、技术构成及应用场景，为推动新业态的新发展提供了路径参考。

《白皮书》由第三方中立数据中心服务提供商世纪互联发布。世纪互联个人数据中心负责人李骁宇对《白皮书》进行了现场解读。

《白皮书》以“还数于民”为核心理念，以区块链技术为安全保障，以分布式存储和计算为基础，创新性提出了“二次数据”理论，是促进个人数字身份和个人数字资产的确权、流转及二次开发的新型基础设施。

“《个人信息保护法》的实施，让用户从平台索取数据成为有法可依的事情，个人数据中心就是要帮助用户依法取回属于自己的数据，并管理好自己的数据。”李骁宇介绍。

在数字政务领域引入个人数据中心，建立公民的数据空间，可以让数据中心成为信息孤岛之间的数据中转站和连接器，在实现还数于民的同时，为政府部门提供更加高效、安全的数据管理方式。

在智能汽车场景中，个人数据中心可以提供明晰的数据归属，明确智能汽车生命周期中个人数据的范畴和授权机制，进一步界定各机构在应

2022年5-6月

internet

在医疗行业，个人数据中心也有非常匹配的数据应用案例。以基因组数据为例，个人数据中心提供用户匿名权限控制、数据记录、数据审计、数据安全和收益共享等功能，从技术上和端到端产品架构上可以支持基因数据和个人健康数据等医疗领域的应用场景。

(来源:央广网)

用场景中对个人数据的管理和使用，最终形成智能汽车产业的跨系统互操作容器平台。

2022年5-6月

internet

国内首个个人信息保护、确权服务平台

“人民数保”正式上线

6月20日，由人民日报、人民网旗下“党管数据”理论和实践平台——人

民数据和世纪互联倾力打造的“人民数保”平台正式上线。这是我国首个个人信息保护与确权服务平台，旨在保护个人数据不被非法乱用的同时，实现数据精准确权、授权、流转及二次开发，将个人数据权利还归个人，让数据真正取用于民、造福于民，让广大人民群众共享数字化红利。同时，作为“人民数保”平台在全国落地的抓手，“数据强国工程暨百城千县计划”也于同日启动。

遵循并作为《个人信息保护法》的行权工具，人民数保平台将通过个人用户二次数据上链，确保身份数据、内容数据、行为数据的安全、可信和不可篡改，提供数据授权、认证、计费，实现个人数字身份和个人数据资产的全环节审核、授权、存证、确权、流转及二次开发的新型信息基础服务。

据相关负责人介绍，人民数保为个人用户的数据保护和数据迁移提供安全便捷的工具和通道。通过公开透明规范协议接口的方式打通人民数保与各大互联网平台，基于区块链、智能合约、数据上链等核心技术，保障个人用户对数据充分授权前提下，将个人用户在各平台上产生的“一次数据”转换为可合法合规流通的“二次数据”，并为每个人提供“我的数据我做主”的个人数据中心(PDC)。

2022年5-6月

internet

据介绍，人民数保基于数据权限管理和资源调度机制，利用区块链技术，既防止数据滥用、盗用、泄露，又提供了数据共享的酬劳分配机制，确保了数据消费者在请求、授权和行权过程中的责权清晰，从而促进数据消费者对所授权数据的利用和价值挖掘，实现了从数据资源到数据资产乃至数据资本的发展。

人民数据相关负责人表示，下一步“人民数保”将通过“数据强国工程百城千县计划”，联合政府、企业聚合更多数据资源，对城市全域数据进行全面汇聚、全量存储、全链确权和全程治理，打造“城市数据银行”，真正把数据激“活”，释放数据生产力，为经济创新发展贡献数字力量，让数字经济发展更加健康普惠。

(来源:澎湃新闻网)

2022年5-6月

internet

微软将停售情绪识别技术，限制人脸识别

6月22日消息，微软近日宣布，将停止销售基于面部图像猜测人们情绪的技术(现有客户将在一年后失去这些工具的访问权限)，而且将不再提供不受限制的人脸识别技术。据悉，这些人工智能工具号称可以推测人们的情绪、性别、年龄、笑容、面部毛发、头发和妆容。微软从去年开始就一直在评估情绪识别系统是否有科学依据。

“这些项目引发了关于隐私的重要问题，让我们意识到‘情绪’的定义缺乏共识，而且难以在不同的用例、地区和人群之间建立面部表情与情绪状态之间的普遍联系。”微软人工智能部门首席集团产品经理萨拉·博德在博文中表示。当下的人脸别技术不仅能基于人的脸部信息进行身份识别，还能通过人脸检测、表情特征提取和表情分类，获取使用者的情绪状态信息，判断其内隐的情绪状态。支撑面部情绪识别的技术包括步态分析、语音分析以及最常见的迭代—脸部追踪技术，即通过连续跟踪人们的面部表情训练算法。简而言之，人脸识别技术已经不仅能“识面知人”，还能“识面知心”。

随着美国和欧洲对敏感技术持续施加全面的法律限制，业界领先的云计算提供商纷纷主动约束这类技术。该公司的客户现在必须获得批准才可以使用其面部识别服务。人们可以借助这项技术登录网站或打开门禁系统。该公司呼吁客户不要使用这项技术侵犯用户隐私，或者不要尝试识别未成年人等难度较高的用例，但并未明确予以禁止。

(来源:央广网)

2022年5-6月

internet

《2022 年度数字科技企业数字化绿色化

协同转型发展双化协同)典型案例征集活动公告》

6月23日，中央网信办发布《2022年度数字科技企业数字化绿色化协同转型发展(双化协同)典型案例征集活动公告》(以下简称《公告》)。《公告》指出为落实党中央关于碳达峰碳中和重大战略决策，深入推进数字化绿色化协同转型发展，中央网信办信息化发展局组织开展“2022年度数字科技企业双化协同典型案例征集活动”，面向国内数字科技企业，广泛征集双化协同方面的创新实践和有益探索，推动经验交流和成果互鉴，加强宣传推广，发挥示范引领作用，为建设数字中国和美丽中国提供坚实支撑。

征集时间为:2022年6月24日至7月31日，征集方向为:一是企业自身绿色低碳发展。二是助力上下游企业提高减碳能力。三是研发推广应用数字化减碳技术。四是利用数字技术赋能传统行业绿色转型。五是利用数字技术提升节能减碳综合治理及社会服务能力。

(来源:中华人民共和国国家互联网信息办公室)

2022年5-6月

internet

年底所有快递单或实现个人信息隐藏

6月23日，国家邮政局市场监管司、公安部十一局、国家网信办网络数据管理局联合召开主要电商平台企业涉邮政快递个人信息安全治理专项行动视频推进会，提出在年内基本实现邮政快递面单个人信息隐藏全覆盖目标。

会议指出，个人信息保护是三部门组织专项行动的初衷，也是各类市场主体经营管理中一条不可逾越的红线，对国家安全、群众利益和企业可持续参与市场竞争具有重要意义。

会议强调，要推行隐私面单、虚拟号码等个人信息去标识化技术，从信息源头阻断不法分子实施犯罪的可能性。要按照“安全可靠、便利服务、上下游贯通”原则，与寄递企业打通信息瓶颈，及时共享有关数据，配合开展好隐私面单推进工作，努力推动年内基本实现邮政快递面单个人信息隐藏全覆盖目标。会议还要求，各电商平台企业成立由分管负责人牵头的邮政快递个人信息安全治理专项行动工作专班，集中开展信息安全隐患整治，准确掌握各类风险隐患点，建立工作台账，明确岗位责任，切实整改到位。按照“谁建设谁负责、谁使用谁负责”的原则，加强对重要信息系统的管理。

(来源:南方都市报)

浙江信管局积极推进浙江省车联网网络安全工作

6月28日，为贯彻落实《中华人民共和国网络安全法》等相关法律法规及工业和信息化部相关部署要求，进一步加强浙江省车联网网络安全管理工作，提升网络安全保障能力，促进车联网

2022年5-6月

internet

浙江省通信管理局与浙江省经济和信息化厅就车联网卡实名登记工作建立协调机制，落实基础电信企业和车企的分工职责，实时跟进浙江电信、浙江移动、浙江联通三家基础电信运营企业的车联网卡实名登记工作的开展情况。截至2022年5月，三家基础电信企业均已成立车联网卡实名登记工作专项小组，并多次与相关车企沟通交流，对存量车联网卡进行清查，完成业务系统关于车联网专属号段、专属IP的受理能力等需求改造，并充分利用数字技术手段解决实名难题。

联网网络安全防护定级备案是工业和信息化部今年开始对汽车生产企业和车联网服务平台企业的一项重要工作要求，浙江省通信管理局积极贯彻落实相关文件精神，及时与省内相关企业沟通并解读定级备案工作政策。截至2022年6月底，吉利、零跑、众泰等车企及车联网服务平台企业已完成定级备案。

(来源:浙江省通信管理局)

产业规范健康发展，浙江省通信管理局组织开展车联网圆桌会议，会议围绕车联网卡实名制、车联网网络安全定级备案等重点工作开展讨论，深入解读了《关于做好浙江省车联网卡实名登记工作的通知》《关于做好浙江省车联网网络安全防护定级备案工作的通知》等文件精神，听取了省内汽车生产企业、基础电信运营企业相关工作的开展情况及意见建议，多角度探讨促进车联网业务安全有序发展的工作举措，为进一步做好浙江车联网网络安全工作提供了新思路。

2022年5-6月

2022年5-6月

典型案例

以史为鉴

合规前行

internet

internet

典型案例1：火锅店强制扫码点餐被判罚

5月3日消息，近日，四川省德阳市旌阳区人民法院审理了一起有关餐厅强制顾客“扫码点餐”的案件。顾客被判胜诉，餐厅须于判决生效起10日内删除顾客的个人信息。

原告罗某在德阳市区某家火锅店就餐时，被服务员告知其必须关注火锅店的微信公众号才能点餐，否则无法提供服务。于是罗某提出用纸质菜单点餐，却遭到服务员拒绝。

为帮助罗某点餐，服务员未经同意使用其手机关注了该店的微信公众号并开始操作。进入火锅店的微信公众号主页，页面显示公众号申请获得罗某的微信头像、昵称、地区及性别几项信息，虽然有“拒绝”“允许”两个选项，但只有点击“允许”后才能继续操作，否则无法点餐。 在罗某看来，该火锅店收集个人信息的行为既不合法也不正当，更无必要，侵犯了其个人信息，于是将火锅店诉至德阳旌阳区法院，要求火锅店删除收集的个人信息，并赔礼道歉。但火锅店认为，微信头像、昵称、地区和性别属于网络化名，不存在侵害个人信息的风险。 

法院经审理认为，罗某到火锅店就餐，并无必要提供手机号、生日、姓名、地理位置、通讯录等与餐饮消费无关的信息。火锅店公众号强制收集罗某的微信头像、昵称、地区和性别信息，违反了收集、使用个人信息的合法、正当、必要原则的法律规定，侵犯了罗某的个人信息。

2022年5-6月

internet

最终，法院要求火锅店停止侵权，并于判决生效之日起10日内删除获取的罗某的个人信息。

(来源:四川观察网)

典型案例2：涉疫未成年人名单遭泄露

检察机关通过公益诉讼程序落实个人信息保护

5月8日消息，不久前，网上突然流传出一份名为“某某路某班人员信息表(家长一起转运)”的文档，文档中泄露了某学校一个班级包括新冠肺炎确诊病例在内的47名学生的姓名、身份证号、家庭住址、联系电话以及集中隔离的起止时间等详细信息。江苏省连云港市某区检察机关快速出手，斩断买卖未成年人个人信息“利益链”。

2022年3月8日，江苏省连云港市某区检察机关将涉疫未成年人个人信息遭泄露的线索移送当地公安机关、网信部门，督促其查明信息流出源头相关部门经过调查后查明，47名学生的个人信息遭泄露，皆因有关工作人员在流调过程中未能遵守相关保密规定，而负责处理个人信息保护相关事务的部门也没能把好信息保护关。

被泄露的未成年人信息很快被屏蔽、删除，但办案检察官仍忧心忡忡——新冠肺炎疫情防控期间，如何让未成年人免遭信息泄露带来的次生伤害?对此，3月9日，检察机关向所在区卫健委送达了行政公益诉讼诉前检察建议，建议其建立涉疫个人信息保管、传输、销毁制度，制定疫后个人信息处置预案，确保防疫期间多渠道、多主

2022年5-6月

internet

体收集的个人信息删除、销毁到位，保护重大公共卫生事件中的公民个人信息权益;严格区分个人信息处置权限，确保信息泄露事件发生后能迅速追根溯源，细化追责程序。很快，该区卫健委书面回复，表示将进一步完善涉疫个人信息管理制度，严格规范涉疫个人信息处置。为防止同类案件再次发生，某区检察院还推动该区疫情防控办制发了《关于在疫情期间做好个人信息安全管理工作的通知》。

疫情防控常态化下，一些涉疫人员因个人信息被泄露而遭受网络暴力。面对这样的情况，成年人尚且不敌，更遑论未成年人了。未成年人的个人信息一旦遭到泄露，后果不堪设想。

2021年11月1日起施行的个人信息保护法对未成年人个人信息予以特殊关注，将不满十四周岁未成年人的个人信息列入敏感个人信息范围，并要求个人信息处理者对此制定专门的个人信息处理规则，以法律手段为未成年人在数字时代的健康发展保驾护航。

个人信息保护法专门设立了公益诉讼条款，明确将个人信息保护纳入检察公益诉讼法定领域。检察机关如何依法履职，更好地会同社会各部门不断织密未成年人个人信息保护网，进而将保护未成年人法律法规落实落细?对此，全社会有着更高的期待。

(来源:最高人民检察院)

2022年5-6月

internet

典型案例3：全国首例短视频平台领域

网络“爬虫”案宣判

5月10日，经江苏省无锡市梁溪区人民检察院提起公诉，梁溪区人民法院以提供侵入计算机信息系统程序罪判处被告人丁某有期徒刑一年六个月，缓刑两年，并处罚金三万元。此案系全国首例短视频平台领域网络“爬虫”案件。

2021年9月，某信息公司员工吴先生在网上巡查时发现有人在兜售一款叫“汇易获客”的软件，通过对方官网及电话购买了该款软件。使用后，吴先生惊讶地发现该软件居然可以“爬取”自己公司后台数据和直播间用户的相关信息，随即报警。经侦查，公安机关发现售卖该软件的某信息咨询公司老板丁某及销售人员有重大作案嫌疑。

2019年，丁某成立了自己的信息咨询公司，后公司因经营不善处于停业状态。2021年中，丁某从丁某某(另案处理)处以9800元的价格购进汇易获客软件成为代理商，利用该软件可以入侵某些短视频平台的服务器，通过关键词搜索可以快速抓取平台信息，主要包括用户名、UID、签名及评论等，再通过软件把UID转换成二维码，来精准定位客户。丁某对该软件进行了重新包装，“改头换面”后对外销售，违法所得2.4万余元。

2022年5-6月

internet

5月26日，2022中国国际大数据产业博览会举办首届“个人数据中心”主题论坛。论坛期间，中国首个《个人数据中心白皮书》(以下简称《白皮书》)正式发布。

《白皮书》涵盖了个人数据中心(PDC)的基本概念、技术构成及应用场景，为推动新业态的新发展提供了路径参考。

《白皮书》由第三方中立数据中心服务提供商世纪互联发布。世纪互联个人数据中心负责人李骁宇对《白皮书》进行了现场解读。

《白皮书》以“还数于民”为核心理念，以区块链技术为安全保障，以分布式存储和计算为基础，创新性提出了“二次数据”理论，是促进个人数字身份和个人数字资产的确权、流转及二次开发的新型基础设施。

“《个人信息保护法》的实施，让用户从平台索取数据成为有法可依的事情，个人数据中心就是要帮助用户依法取回属于自己的数据，并管理好自己的数据。”李骁宇介绍。

在数字政务领域引入个人数据中心，建立公民的数据空间，可以让数据中心

成为信息孤岛之间的数据中转站和连接器，在实现还数于民的同时，为政府部门提供更加高效、安全的数据管理方式。

在智能汽车场景中，个人数据中心可以提供明晰的数据归属，明确智能汽车生命周期中个人数据的范畴和授权机制，进一步界定各机构在应

2022年5-6月

internet

侵入计算机信息系统程序罪是《刑法修正案(七)》新增的一个罪名，主要针对向他人提供专门用于侵入或非法控制计算机信息系统工具或程序，或是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的行为处以刑罚。

该案中的“爬虫”软件是利用技术手段突破短视频平台的反爬措施，非法获取后台服务器内指定的数据文件，比如相关用户的用户名、UID等信息，还可以实时抓取视频评论区、直播间观众的账号、性别、留言、作品、点赞等信息。法官提醒，互联网行业的从业人员，要高度重视信息系统安全，严格落实相关法律法规要求，合法合规开展自身业务。

(来源:法治日报)

其行为已构成侵入计算机信息系统程序罪。当庭判处丁某有期徒刑一年六个月，缓刑二年，并处罚金3万元。同时禁止丁某在缓刑考验期内从事互联网相关经营活动。

2022年5-6月

internet

典型案例4：妻子在丈夫车上装定位器

法院:侵犯隐私权及个人信息利益

5月16日消息，近日，在中国裁判文书网公开的一份判决书中，妻子因在丈夫车上装定位器，被判侵犯丈夫隐私权，并赔偿丈夫精神损害抚慰金2000元。

2020年9月17日，妻子路女士在丈夫刘先生不知情的情况下，给其名下雪佛兰轿车安装了定位器。刘先生称，“我驾驶汽车上班途中，她(路女士)打电话告知我，她在车上安装了定位器，可能会爆炸。”当天中午，刘先生前往4S店拆除定位器，发现定位器已经没电。

刘先生认为，路女士的真正目的在于探知他的行踪信息，进而窥探该行踪信息背后所隐含的私生活秘密。另外，安装的定位器，若出现高温情况会导致爆炸，对他和车的安全都有威胁。因此，刘先生以其健康权、财产权、隐私权和个人信息权遭到路女士侵犯为由，向北京市海淀区人民法院起诉，要求妻子赔偿精神损失费10000元。

路女士表示，她安装定位器的目的是“随时知晓车辆位置”。另外，她与刘先生感情较好，并没有矛盾和冲突，而安装定位器会爆炸一说，也并非真实。路女士认为，作为夫妻，她有权知道这辆轿车及刘先生的行程信息。且她在安装定位器次日便通知了刘先生，客观上并未得知刘先生使用车辆的位置及行程，主观上亦无侵犯刘先生隐私的故意。

2022年5-6月

internet

法院经审理认为，本案中，尽管二人是夫妻，但在法律意义上，双方均为相对独立的民事主体，这就意味着二人不可以在未获对方许可的情况下，任意实施侵犯对方私密空间的行为，刺探、获取对方的私密信息。

路女士在未征得同意或事先告知刘先生的情况下，擅自在其名下车辆上安装定位器，虽然路女士表示是为了随时知晓车辆的位置，但该车辆为刘先生日常使 用，路女士在确认车辆位置的同时，亦知晓了刘先生的行程信息，而刘先生行程信息属于其私密信息，因此，路女士的行为已侵犯刘先生的隐私权。

法院认为，由于夫妻之间具有相互忠诚的道德义务，路女士有权过问甚至调查刘先生是否具有违背夫妻忠诚义务的不当行为，此即为目的上具有正当性。但路女士为了实现正当目的，通过私自安装定位器的做法实现，明显具有违法性。

因此，法院对刘先生要求路女士赔偿精神损害抚慰金的诉讼请求，予以支持，酌情判定赔偿金额为2000元。据悉，在一审法院判决后，路女士不服上诉，二审仍维持原判。

(来源:广东普法公众号)

2022年5-6月

internet

典型案例5：离职技术高管窃取原公司数据被判

5月25日消息，近日，海淀法院审理一起“离职技术高管窃取原公司数据”案件，认定其构成侵犯公民个人信息罪，判处有期徒刑四年三个月，并处罚金四万元。

2020年某天，北京Y科技公司突然接到客户投诉，称有人向该客户发送匿名邮件，邮件内容为客户存储在Y公司服务器数据库中的客户数据，客户指责Y公司泄露数据，不再与Y公司合作。随后，Y公司接到数个客户类似的投诉指责，失去大量业务，Y公司随即向公安机关报案。

公安机关通过监控录像，并综合Y公司服务器与网络日志记录的侵入设备型号进行追查，随即锁定了犯罪嫌疑人龚某。龚某曾任北京某软件技术有限公司的运维总监，享有该公司的最高技术权限，因对公司产生不满，于2019年8月30日离职。

2020年10月，北京市公安局海淀分局以龚某涉嫌破坏计算机信息系统罪向北京市海淀区人民检察院提请批准逮捕。龚某系原公司的技术专家，他采取技术手段转换IP地址，侵入被害单位服务器，窃取客户信息的行为具有高度的隐蔽性。公安机关仅在龚某个人电脑上提取到公司的客户信息，但并未调查到非法侵入行为的直接证据，亦未能有效核实龚某个人电脑中公司数据的来源情况。而龚某到案后为洗清自己的犯罪嫌疑，进行了一番辩解:他坚称自己电脑中的客户

2022年5-6月

internet

检察机关经审查认为，Y公司服务器日志中记录的侵入设备硬件型号同龚某的个人电脑的硬件型号一致，且龚某个人电脑中的数据确系Y公司的客户信息，这些证据能够证明龚某实施过非法侵入计算机信息系统的行为。此外，龚某的目的与行为均系获取某公司的客户数据，遂以涉嫌侵犯公民个人信息罪对龚某作出批准逮捕决定。

面对“零口供”、无直接证据、关联证据弱等情况，检察机关依托本院电子数据审查室，通过“检察官+数据审查员”机制、邀请检察技术人员同步辅助审查等方法，从多个维度开展自行补充侦查工作，自行提取、固定、分析关键电子数据。

检察机关通过系统仿真操作还原虚拟现场，在不破坏原始证据的情况下，完整还原、运行了龚某的计算机操作系统，发现龚某记录的原公司重要数据服务器的最高登录权限、解密权限等，直接证明了龚某明知且有能力超越权限登录Y公司服务器并解密客户数据。通过底层数据检索技术分析网络连接情况，有针对性地从海量底层数

信息为离职前备份、离职后拷贝至个人笔记本电脑上的，自己有权限备份数据，称没有下载过被害单位的客户信息，只是离职后偶然登录被害单位服务器进行查看，并未实施其他行为;自己虽然向客户发了邮件，但那些数据是自己离职前的数据，只是为了向客户提示应当注意数据安全。 

2022年5-6月

internet

检察机关针对龚某笔记本电脑镜像数据从系统层面、网络连接层面、数据层面进行了穿透性审查分析，使得本案证据从只能证明行为人可能实施超越权限的登录行为，到构建完整证据链条，精准指控行为人实施了侵入计算机信息系统并非法获取28万余组公民个人信息数据的犯罪事实。检察官在庭审中出示了相关证据，有力驳斥了龚某的辩解，龚某当庭放弃诡辩并表示认罪认罚。

法院经审理认定龚某犯侵犯公民个人信息罪，判处有期徒刑四年三个月，并处罚金人民币四万元。

(来源:海淀检察院)

据中，快速检索出了龚某电脑登录Y公司服务器的记录，直接证明了该设备持续远程侵入Y公司服务器，构建起关联性。通过对涉案电子文档的生成时间、附属信息等进行全面分析审查，检察官认定了龚某电脑中所有的涉案电子文档系从Y公司服务器窃取形成。

2022年5-6月

典型案例6：即使签订人脸识别知情同意书

也存在不合规

6月12日消息，根据近日中国市场监管行政处罚文书网公开的漳州市市场监督管理局行政处罚决定书显示，漳州国润房地产因在其售楼处使用“人脸识别系统”，而被罚款100000元。

漳州国润房地产有限公司于2019年上半年开始在某小区的入户大堂设立售

楼处，安排公司的营销人员在该售楼处进行营销办公，并于2020年7月份开始在该售楼处使用“人脸识别系统”。

公司对每次进入上述售楼处人员的人脸信息进行了拍照收集、并通过互联网传输到部署于阿里云的某平台进行存储，在客户正式签订《商品房买卖合同》时，让客户在人证一体机刷身份证认证，一方面让客户签订《关于收集个人信息的知情同意书》，另一方面当事人使用的平台会将刷证客户的证件图片传输到平台和系统采集到的人员人脸信息进行比对和匹配，当事人基于平台上述匹配情况，对房产中介推介其小区的分销带客有效性进行判断，如果客户是在分销商(中介)报备之后到访，且有成功签约买房，有刷人证一体机，当事人会给予中介佣金。

为了合法合规使用人脸识别系统，当事人于在售楼处入口玻璃门贴上标有“本售楼处安装有人脸识别系统，用于进行分销带客识别，我们承诺保护您的人脸等信息安全”的“温馨提示”，于2021年5月28日加做《关于漳州国贸天成项目售楼处现场采集人脸信息的告知书》立在营销中

2022年5-6月

internet

在告知书与知情同意书中，有标注“如您进入售楼处，视为您同意对您的人脸信息进行采集，存储和使用(仅为签约时)”、“我已知晓【本公司】收集、存储、使用上述人脸信息，并同意对其的收集、存储、使用行为”的提醒文字，但同时也标注有“如您不同意上述对您人脸信息的采集、存储、使用(仅为签约时)，请您不要进入售楼处(包括但不限于销售案场、样板房、示范区)，并与我司的工作人员进行联络”、“如您选择不同意我们上述收集、存储、使用人脸信息，请您不要进入【案场】，并通过【拨打电话号码/扫描二维码】与我们工作人员进行联络”的文字。

针对获取同意的时间节点，市监局认为:虽然告知内容含有客户如不同意处理其人脸信息不要进入售楼处内容，但售楼处摆放告知书与同意书的行为，不属于已征得客户同意的情况。进一步，市监局还指出了在获取单独同意过程中的细节问题，包括具体的话术与儿童个人信息保护问题。最终市监局决定责令当事人立即改正违法行为，并对当事人处罚100000元。

(来源:中国市场监管行政处罚文书网)

心一楼入口处，以及制作并放置《关于收集人脸信息的知情同意书》于上述售楼处一楼洽谈区的洽谈桌。

2022年5-6月

internet

6月6日消息，因将人脸识别作为进出小区的唯一通行验证方式，天津市一物业公司被居民告上法庭。一审法院认为，相关证据不能证明被告侵犯了其隐私权。近日，该案二审作出改判，法院要求物业公司删除原告人脸信息，并为其提供其他出入小区的通行验证方式。

2021年8月2日至5日期间，顾某与兰州城关物业服务集团有限公司天津分公司(以下简称“城关天津公司”)诚基经贸中心项目部工作人员多次沟通，要求删除其人脸信息，并向其提供无障碍出入小区的方式，但物业公司拒绝了顾某的要求。此后，顾某委托律师事务所向城关天津公司发出律师函，提出同样要求，后者签收律师函后，并未与顾某或其代理人联系。2021年9月，顾某将兰州城关物业服务集团有限公司及城关天津公司告上法庭。

顾某诉称，被告拒绝删除其人脸识别信息、使用人脸识别作为出入物业服务区域的唯一验证方式，侵犯了原告的人格权，违反了处理人脸信息需要遵循的合法、正当、必要原则。城关天津公司辩称，人脸识别信息采集是经过业主委员会、综合洽理办公室、社区、街道办共同完成的工作，同时在天津市公安局和平分局进行联网监控，并符合现在疫情管控要求，原告人脸信息只在门禁上使用。

2022年5-6月

典型案例7：小区以刷脸作为唯一通行方式

二审被改判违法

internet

此案一审的案由被法院定为隐私权纠纷。依据《民事诉讼法》第六十四条“当

事人对自己提供的主张，有责任提供证据”的规定，一审法院判决认为，原告顾某并未提交被告对其信息存在泄露、篡改、丟失的相关证据，且提供的相关证据不能证明二被告侵犯了其隐私权。故原告的诉讼请求没有事实和法律依据，不予支持，驳回全部诉讼请求。

二审法院对一审法院查明的事实予以确认，认为本案系因处理个人信息引发的纠纷，案由应确定为个人信息保护纠纷。二审法院认为，顾某在办理入住时虽然同意城关天津公司提取其人脸信息作为通行验证方式，但其后多次就城关天津公司提取人脸信息作为唯一的验证通行方式提出异议。城关天津公司以人脸识别验证方式系业主委员会同意拒绝为顾某提供其他验证方式的抗辩理由，与前述规定相悖。城关天津公司关于使用人脸识别验证方式是按照疫情防控的相关规定和要求的主张，亦无证据证实。

最终，二审法院撤销一审判决，要求城关天津公司删除顾某人脸信息，并提供其他通行验证方式，赔偿合理费用6200元。

(来源:新京报)

2022年5-6月

internet

6月22日消息，近日，据安全行业业界内消息，大学生学习软件“学习通”数据库信息被公开售卖，学习通已通过官方微博作出回应。

根据业界消息，泄露的数据包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱等信息达1亿7273万条。针对“疑似学习通APP用户数据泄露”一事，学习通官方微博21日发布声明回应称，到目前为止还未发现明确的用户信息泄露证据。已经向公安机关报案，公安机关已经介入调查。学习通不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。

声明称，公司昨晚收到“疑似学习通APP用户数据泄露”的反馈信息，立即组织技术排查，目前排查工作已经进行了十余个小时，到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大，公司已经向公安机关报案，公安机关已经介入调查。

声明还称，学习通不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。

(来源:澎湃新闻网)

典型案例8：1.7 亿条学生信息泄露

2022年5-6月

internet

典型案例9：非法贩卖个人网商账户牟利

6月28日，全国首家数据资源法庭敲响“第一槌”:浙江省温州市瓯海区人民法院数据资源法庭依法认定，吴某犯非法获取计算机信息系统数据罪，判处有期徒刑3年3个月，并处罚金3万元。这是该法庭设立以来审结的第一起案件

被告人吴某招聘多名客服，利用事先设计好的自动接听程序“撒饵”，等到有人“上钩”，客服就按照固定的话术与这些客户聊天，引诱他们下载并使用“网商易点通”APP，从中获取客户的某网商平台账户信息，利用技术手段同时登录客户账号，在其不知情的情况下开通其账户下的子账户，并进行贩卖，购买者利用子账户信息违规上架出售游戏装备等物品，后因诸多用户主账号被封而案发。截至案发，被告人吴某非法开通该平台子账户8498个、出售1555个，非法获利共计224276元。

法院经审理认定吴某因非法获取计算机信息系统数据罪，被依法判处有期徒刑三年三个月，并处罚金3万元。庭后，瓯海法院数据资源法庭向相关主管部门及该网商平台发送司法建议，建议他们在经营过程中提高数据安全意识，定期检查及修补安全漏洞，通过技术手段加强对子账号功能等涉数据领域的安全防护，杜绝此类涉数据违法犯罪行为。

(来源:温州都市报)

2022年5-6月

internet

典型案例10：因隐瞒数据泄露被指控

6月29日消息，美国联帮法官6月28日表示，Uber前安全主管沙利文因隐瞒数据泄露事件，必须面对电信诈骗指控。

2016年Uber曾遭遇黑客攻击，当时5700万乘客和司机的个人信息被黑客窃取，事发后Uber前安全主管约瑟夫·沙利文试图隐瞒。沙利文付钱给两名黑客让他们保持沉默，同时他还欺骗乘客、司机、FTC。沙利文反驳称，检察官指控他隐瞒黑客事件，说他这样做的目的是想阻止司机逃离，让司机继续支付服务费，但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克显然不同意这种说法。 不只如此，沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问，不是司机，关于这点法官也不认同。奥瑞克说，虽然沙利文的虚假陈述并非直面司机，但这只是更大欺骗计划的一部分，欺骗对象正是司机。 

检方声称沙利文向黑客支付比特币作为封口费，价值约10万美元。他还让黑客签署保密协议，说他们没有窃取数据。

了解到数据泄露事件后，Uber现任CEO达拉·科斯罗萨西解雇了沙利文。 2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼，原告认为Uber披露信息过慢。 

(来源:新浪科技)

2022年5-6月