01全国人大常委会颁布实施《中华人民共和国反电信网络诈骗法》
●组织部门
国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作。
公安机关牵头负责反电信网络诈骗工作,金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任,负责本行业领域反电信网络诈骗工作。
电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。(第6条)
银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务,和与客户业务关系存续期间,应当建立客户尽职调查制度,依法识别受益所有人,采取相应风险管理措施,防范银行账户、支付账户等被用于电信网络诈骗活动。(第15条)
●个人信息保护
个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。
●法律责任
组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供帮助,构成犯罪的,依法追究刑事责任。
前款行为尚不构成犯罪的,由公安机关处十日以上十五日以下拘留;没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足一万元的,处十万元以下罚款。(第38条)
02深圳市场监督管理局发布《公共安全数据要求》
2022年12月1日,深圳市市场监督管理局实施首个地方公共数据安全领域标准——《公共数据安全要求》(以下简称《要求》)。《安全要求》落实《中华人民共和国数据安全法》、《中华人民共和个人信息保护法》等上位法的要求,将数据安全与网络安全等级保护要求有效结合,为《深圳经济特区数据条例》的落地提供坚实指导。
在公共数据使用、分级管理等各个环节,《安全要求》做出严格规范,明确包括总体安全原则和要求、总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及数据处理活动安全要求,适用于公共管理和服务机构数据安全能力建设、评估与监管、同样也适用于大量个人信息的服务平台数据安全能力的建设与评估。
03工信部发布《工业和信息化领域数据安全管理办法(试行)》
2022年12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》)。《办法》共分为总则、数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、数据安全检测、认证、评估管理、监督检查、法律责任与附则八章。
●行业监管部门
工业和信息化部及地方行业监管部门统称为行业监管部门。(第4条)
●数据分级分类管理
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。(第8条)
●数据全生命周期安全管理
工业和信息化领域重要数据和核心数据处理者,还应当:
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。(第13条)
●数据出境安全评估
工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。(第21条)
●记录日志留存不少于六个月
●数据安全检测、认证、评估管理
工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。(第31条)
04信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范v2.0》
2022年12月16日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》,规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。
●具有法律约束力的文件
●个人信息保护负责人
●个人信息跨境处理规则
开展个人信息跨境处理活动的个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则。
●个人信息保护影响评估
个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存3年。
●个人信息处理者和境外接收方的责任义务
05最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
2022年12月7日,最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护,体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。五案例要点如下:
●案例一?解某某、辛某某等人侵犯公民个人信息案
1.非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。
2.对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。
3.提高自我保护意识,防止个人信息泄露。
●案例二?李某侵犯公民个人信息案
1.对批量公民个人信息的条数,根据查获的数量直接认定,但有证据证明信息不真实或者重复的除外。
2.人脸信息是具有不可更改性和唯一性的生物识别信息。
●案例三?谢某、李某甲等人侵犯公民个人信息案
1.从严惩处,全面打击上下游犯罪。
2.区分情形、区别对待,落实宽严相济刑事政策。
3.延伸职能,注重诉源治理。
●案例四?陈某甲、于某、陈某乙侵犯公民个人信息案
1.非法获取、出售或者提供行踪轨迹信息,构成犯罪的,应当依法从严惩处。
2.强化行踪轨迹信息保护意识,维护自身安全。
●案例五?韦某、吴某甲、吴某乙侵犯公民个人信息案
1.依法打击“行业”内鬼内外勾连出售公民个人信息犯罪活动。
2.通过检察建议促进诉源治理。
06最高人民法院发布第35批指导性案例(均为个人信息保护刑事案例)
●192号案例李开祥侵犯公民个人信息刑事附带民事公益诉讼案
裁判要点:使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。窃取或者以其他方法非法获取上述人脸识别信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
●193号案例闻巍等侵犯公民个人信息案
裁判要点:居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息,属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息,情节严重的,依照刑法第二百五十三条之一第一款规定,构成侵犯公民个人信息罪。
●194号案例熊昌恒等侵犯公民个人信息案
●195号案例罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案
07蔚来汽车数据泄露,被勒索225万美元
12月20日,蔚来汽车发布公告称,12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。
08霍尼韦尔公司因违反FCPA(《美国反海外腐败法》)支付1.6亿美金罚款
2022年12月19日,霍尼韦尔公司与美国证券交易委员会(SEC)和司法部达成和解协议,同意支付超过1.6亿美元,以解决美国关于该公司参与巴西和阿尔及利亚贿赂计划的指控。
SEC称,这家航空航天制造商承认,在2010年巴西国家石油公司(Petrobras)的竞标过程中,曾向一名巴西政府高官行贿至少400万美元。
2011年,该公司比利时子公司的员工还向一名阿尔及利亚政府官员行贿7.5万美元,以获得国有石油公司Sonatrach的业务。SEC认为,这些行为违反了美国《反海外腐败法》。
地址:深圳市罗湖区宝安北路3008号宝能中心32层(地铁7号线笋岗站E出口)