競天公誠網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)動態(tài)提報

網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)動態(tài)提報|提報期間：2023/11/01-11/30|發(fā)件人：北京市競天公誠律師事務(wù)所|聯(lián)系人：周楊zhou.yang@六財政部、國家網(wǎng)信辦聯(lián)合起草《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法（征求意見稿）》 15（一）主要內(nèi)容 15（二）合規(guī)要點 15（三）簡析和建議 16七、國務(wù)院批復(fù)同《支持北京深化國家服務(wù)業(yè)擴大開放綜合示范區(qū)建設(shè)工作方案》 17（一）主要內(nèi)容 17（二）合規(guī)要點 17八北京市經(jīng)濟和信息化局發(fā)布《數(shù)據(jù)清洗、去標識化、匿名化業(yè)務(wù)規(guī)程（試行）》 19（一）主要內(nèi)容 19（二）合規(guī)要點 19（三）簡析和建議 20一、《網(wǎng)絡(luò)安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求》公一、《網(wǎng)絡(luò)安全標準實踐指南—粵港澳大灣區(qū)跨境個人信息保護要求》公開征求意見（一）主要內(nèi)容2023111（征求意見稿從范圍、術(shù)（二）合規(guī)要點1息跨境處理活動（適用于組織（用于個人香港特別行政區(qū)的個人信息處理者，并不包括澳門特別行政區(qū)。2、基本原則3、處理要求屬地法律法規(guī)料原則在內(nèi)的香港《個人資料（私隱）條例》相關(guān)規(guī)定。個人信息處理者特殊的要求；以及其他特殊情形下的規(guī)定等。個人信息處理者對于個人信息處理者跨境處理個人信息34、個人信息權(quán)益保障要求個人信息主體者的申請受理和處理機制等義務(wù)。5、個人信息安全要求個人信息泄露、篡改、破壞、丟失。（三）簡析和建議《中華人民共和國數(shù)據(jù)安全法（私隱二、工信部就《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量指引二、工信部就《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量指引（試行）》公開征求意見（一）主要內(nèi)容1123《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰（試行征求意見稿（（征向社會公開20231223（征）》對于工業(yè)和信全法》與《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》監(jiān)管框架下的相應(yīng)合規(guī)要求，并明確列舉了相應(yīng)違法事由的處罰裁量基準和裁量尺度，為受監(jiān)管企業(yè)與個人提供了工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引，增加了工信部門執(zhí)法活動的可預(yù)測性。（征（征（征的行政處罰種類和幅度裁量基準，并同時列明了相應(yīng)的行政處罰法律淵源。（二）合規(guī)要點1、“合規(guī)免責”相關(guān)規(guī)定為企業(yè)合規(guī)工作賦予價值承接《中華人民共和國行政處罰法》有關(guān)合規(guī)免責的法律規(guī)定，《裁量指引（征2017（包括在數(shù)據(jù)合規(guī)領(lǐng)域（征》2、“不履行數(shù)據(jù)安全保護義務(wù)”和“向境外非法提供數(shù)據(jù)”的情形細化針對具體的工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰情形，《裁量指引（征）》對“不履行數(shù)據(jù)安全保護義務(wù)”及“向境外非法提供數(shù)據(jù)”所對應(yīng)的違法事由作出了細化。依據(jù)《裁量指引（征）》，“不履行數(shù)據(jù)安全保護義務(wù)”包括：未定期梳理數(shù)據(jù)，按照相關(guān)標準規(guī)范識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位具體目錄；未建立數(shù)據(jù)全生命周期安全管理制度，未針對不同級別數(shù)據(jù)明確數(shù)據(jù)收錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時間少于六個月；未根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負責數(shù)據(jù)處理活動的安全監(jiān)督管理，協(xié)助行業(yè)（領(lǐng)域）監(jiān)管部門開展工作；未定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn)或未合理確定數(shù)據(jù)處理活動的操作權(quán)限，嚴格實施人員權(quán)限管理；未根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案，并開展應(yīng)急演練；數(shù)據(jù)安全事件發(fā)生后，未按照應(yīng)急預(yù)案開展應(yīng)急處置、未按照規(guī)定及時依據(jù)《裁量指引（征）》，“向境外非法提供數(shù)據(jù)”指：工業(yè)和信息化領(lǐng)域中的關(guān)鍵信息基礎(chǔ)設(shè)施運營者在中華人民共和國境內(nèi)確需向境外提供的，未按照有關(guān)規(guī)定進行數(shù)據(jù)出境安全評估；其他工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者，在中華人民共和國境內(nèi)收集和產(chǎn)生確需向境外提供的，未依法依規(guī)進行數(shù)據(jù)出境安全評估；非經(jīng)工業(yè)和信息化部批準，向外國工業(yè)、電信、無線電執(zhí)法機構(gòu)（或司領(lǐng)域數(shù)據(jù)；及其他向境外非法提供數(shù)據(jù)的情形。3（征（征法機構(gòu)可從如下考慮因素中確定情節(jié)嚴重程度：數(shù)據(jù)安全事件所涉及的數(shù)據(jù)規(guī)模；對公民、法人和組織合法權(quán)益、社會公共利益造成損害的程度；事件影響范圍；及對行業(yè)發(fā)展、社會穩(wěn)定和國家安全造成的后果嚴重程度。具體對應(yīng)關(guān)系可見下表：考慮因素后果較輕情節(jié)后果較重情節(jié)后果嚴重情節(jié)數(shù)據(jù)規(guī)模1000萬條以下一般數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用；1000數(shù)據(jù)被篡改、破壞、泄露或者非法獲1億條一般數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用，或考慮因素后果較輕情節(jié)后果較重情節(jié)后果嚴重情節(jié)涉及重要數(shù)據(jù)、核心數(shù)據(jù)的；2個以上數(shù)據(jù)處理者的重要數(shù)據(jù)、核心數(shù)據(jù)的；公共利益損害時間、直接經(jīng)濟損失對公民、法人和組織合法權(quán)益、社會公共利益造成損害的持續(xù)時間較短，或直接經(jīng)濟損失在1000萬元以內(nèi)；對公民、法人和組織合法權(quán)益、社會公共利益造成損害的持續(xù)時間較長，或直接經(jīng)濟損失超過1000萬元且在5000萬元以內(nèi)的；對公民、法人和組織合法權(quán)益、社會公共利益造成損害的持續(xù)時間長，或直接經(jīng)濟損失超過5000萬元的；影響范圍影響范圍小，影響對象為單個或少數(shù)企業(yè)，且不涉及跨地區(qū)的；影響范圍較大，涉及多個企業(yè)，或涉及跨地區(qū)的；影響范圍涉及多個行業(yè)、地區(qū)的；公共利益其他對行業(yè)發(fā)展、社會穩(wěn)定和國家安全造成較輕后果的。其他對行業(yè)發(fā)展、社會穩(wěn)定和國家安全造成較重后果的。其他對行業(yè)發(fā)展、社會穩(wěn)定和國家安全造成嚴重后果的。征的具體含義：在有關(guān)行政處罰機關(guān)開展數(shù)據(jù)安全監(jiān)督檢查過程中，未對組織運作、技訪問、提供必要技術(shù)支持的；拒絕提供有關(guān)材料、信息的，或提供虛假材料、信息的，或者隱匿、銷毀、轉(zhuǎn)移證據(jù)的；其他不履行配合數(shù)據(jù)安全監(jiān)管義務(wù)的。4（征的行政處罰決定時應(yīng)考慮的情形，例如，（1）（征為清晰的處罰后果預(yù)期。（三）簡析和建議《裁量指引（征）》是網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域最先被制定的行政處罰裁量基準之一，1該指引與先前亦已生效的《工業(yè)和信息化行政處罰程序規(guī)定》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》規(guī)定了網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域的實體義務(wù)要求與執(zhí)法程序，共同構(gòu)成了工業(yè)和信息化領(lǐng)域的數(shù)據(jù)合規(guī)行政執(zhí)法的監(jiān)管框架。監(jiān)管框架的完善意味著執(zhí)法活動將在法治的框架下進行，也為企業(yè)的數(shù)據(jù)合規(guī)體系建設(shè)提供了更具有操作性的指引。我們建議企業(yè)依據(jù)《裁量指引（征）》所明確的合規(guī)重點，有針對性地開展網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)體系建設(shè)，降低企業(yè)的相關(guān)執(zhí)法風險。 12021局關(guān)于網(wǎng)絡(luò)安全管理行政處罰的裁量基準》。三、國家網(wǎng)信辦開展“清朗·網(wǎng)絡(luò)戾氣整治”專項行動 （一）主要內(nèi)容117《關(guān)于開展“清朗·（從（二）合規(guī)要點1、集中整治7類突出問題打擊以下七個方面的問題：BOT號等個人隱私信息，煽動網(wǎng)民攻擊謾罵。AI色情、血腥恐怖等虛假圖片或視頻，進行造謠攻擊、惡搞詆毀。立、階層對立、地域歧視言論，進行泛化攻擊，激化社會矛盾。PKPK網(wǎng)民圍觀，擾亂公共秩序。第五，有組織地惡意辱罵舉報他人。仇視對立言論。2、依法嚴懲違規(guī)賬號、群組和平臺處組織斗狠PK、直播約架的主播賬號，從嚴懲治發(fā)布“標題黨”內(nèi)容故意煽動圈子、超話、貼吧，下架關(guān)閉提供有償代罵等服務(wù)的商家店鋪。PK關(guān)注”“可能感興趣的人”等功能向用戶推送“網(wǎng)絡(luò)廁所”類賬號。加強對表情包、PAI清理下架含有惡搞攻擊、挑起對立等內(nèi)容的表情包、圖片和視頻。網(wǎng)站、APP置處罰措施。（三）簡析和建議PK功能設(shè)置方面PKPAI表情包、圖片和視頻。從嚴查處違規(guī)平臺環(huán)節(jié)方面， 四、公安部就《電信網(wǎng)絡(luò)詐騙及其關(guān)聯(lián)違法犯罪聯(lián)合懲戒辦法四、公安部就《電信網(wǎng)絡(luò)詐騙及其關(guān)聯(lián)違法犯罪聯(lián)合懲戒辦法（征求意見稿）》征求意見（一）主要內(nèi)容2022121騙違法犯罪提供了有力的法治保障。其中31有關(guān)主管部門規(guī)定聯(lián)合懲戒的具體辦法。為保障《反電信網(wǎng)絡(luò)詐騙法》的貫徹實施，進一步建立健全聯(lián)合懲戒制度，20231113電信網(wǎng)絡(luò)詐騙及其關(guān)聯(lián)（征求意見稿（面向社會公開（）查閱公開征求意見稿，20231212（二）合規(guī)要點《懲戒辦法》共19條，主要包括6個方面的內(nèi)容。一是明確了聯(lián)合懲戒的基本原則，要求聯(lián)合懲戒應(yīng)當遵循依法認定、過懲相當、動態(tài)管理原則，堅持預(yù)防、管理為主，注重源頭治理、前端防范。二是明確懲戒對象3第一類即因?qū)嵤╇娦啪W(wǎng)絡(luò)詐騙犯罪活動，或者實施與電信網(wǎng)絡(luò)詐騙相關(guān)聯(lián)的幫（邊（邊境等犯罪受過刑事處罰的人員；第二類是個人和相關(guān)組織者4三是細化懲戒措施568四是采取分級懲戒9融和電信網(wǎng)絡(luò)懲戒措施的期限為三年以適用第8二年8行政管理、公共事業(yè)管理部門支付的款項除外，支付賬戶余額可以轉(zhuǎn)出、提現(xiàn)，可申請新開立暫停非柜面出金業(yè)務(wù)的銀行賬戶，為懲戒對象保留一張非涉案電話卡等，保留了懲戒對象基本的金融、通信服務(wù)，確保滿足其基本生活需要，充分體現(xiàn)懲戒的適度性。第10條規(guī)定了懲戒期限的計算方式，對懲戒期限內(nèi)多次納入懲戒名單的，連續(xù)執(zhí)行懲戒期限不得超過5年，明確懲戒到期后自動解除。五是規(guī)范懲戒程序111311公安部通過“總對總”方式將地方公安機關(guān)出具的聯(lián)合懲戒對象報送表移送國家發(fā)展12作出懲戒對象認定的公安機關(guān)應(yīng)當采取當面或者郵寄等方式，將懲戒的事由141614向作出認定的公安機關(guān)申訴信中心應(yīng)當按照有關(guān)規(guī)定及時將懲戒對象相關(guān)信息移出全國信用信息共享平臺和金融信用信息基礎(chǔ)數(shù)據(jù)庫，終止信息共享。（三）簡析和建議合懲戒行為 五、市場監(jiān)管總局就《網(wǎng)絡(luò)交易執(zhí)法協(xié)查暫行辦法五、市場監(jiān)管總局就《網(wǎng)絡(luò)交易執(zhí)法協(xié)查暫行辦法（征求意見稿）》公開征求意見（一）主要內(nèi)容1114《（征求意見稿》（安全和個人信息安全。執(zhí)法協(xié)查的定義和適用范圍（以下簡稱平臺經(jīng)營者協(xié)查原則與保密原則得超出履行法定職責所必需的范圍和限度”規(guī)定了協(xié)查內(nèi)容為“要求平臺經(jīng)營者提供平臺內(nèi)經(jīng)營者身份信息、商品或者服序規(guī)定。責任。第十八、十九條規(guī)定了解釋機關(guān)與生效時間。1234者協(xié)查信息標準化字段。（二）合規(guī)要點1、平臺經(jīng)營者應(yīng)當配合執(zhí)法協(xié)查（編號督管理部門。第二步，平臺經(jīng)營者應(yīng)當2平臺經(jīng)營者應(yīng)當在期限屆滿前告知提2、平臺經(jīng)營者協(xié)查標準化字段范圍第一，信息調(diào)取原則，《辦法》第三條規(guī)定執(zhí)法協(xié)查工作應(yīng)當“遵循合法、合理、高效原則，向平臺調(diào)取的信息應(yīng)當遵循‘必要且適當’原則，不得超出履行法定職責所必需的范圍和限度”。34并附是否已經(jīng)立案等說明材料3、平臺經(jīng)營者協(xié)查其他特殊要求信息依法予以保密，不得泄露或者非法向他人提供38義務(wù)，可由市場監(jiān)督管理部門責令改正，可以處五千元以上三萬元以下罰款（三）簡析和建議責任追究等多個方面，對于網(wǎng)絡(luò)交易平臺的合規(guī)經(jīng)營提出了一系列要求。在《辦法》之前，《電子商務(wù)法》第25條、《網(wǎng)絡(luò)交易監(jiān)督管理辦法》第2234配合。企業(yè)應(yīng)當遵照《辦法》中規(guī)定的要求和程序，配合市場監(jiān)督管理部門進行執(zhí)法協(xié)查。第一要了解協(xié)查程序，確保及時響應(yīng)市場監(jiān)督管理部門的協(xié)查請求，并采取預(yù)防措施，第三，在協(xié)查過程中，企業(yè)應(yīng)當做好保密工作，息、案情等信息依法予以保密，不得泄露或者非法向他人提供。 六、財政部、國家網(wǎng)信辦聯(lián)合起草《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法六、財政部、國家網(wǎng)信辦聯(lián)合起草《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法（征求意見稿）》（一）主要內(nèi)容為貫徹落實《國務(wù)院辦公廳關(guān)于進一步規(guī)范財務(wù)審計秩序促進注冊會計師（202130（征求意見稿。536（二）合規(guī)要點1、明確適用范圍、數(shù)據(jù)定義和各方主體適用范圍是在中國境內(nèi)依法設(shè)立并為上市公司以及非上市的國有協(xié)會是會計師事務(wù)所數(shù)據(jù)安全的自律管理主體。2、加強會計師事務(wù)所數(shù)據(jù)管理。會計師事務(wù)所的首席合伙人（主任會計師）是本所數(shù)據(jù)安全負責人。會計師事務(wù)所應(yīng)當在下列方面履行本所數(shù)據(jù)安全管理責任：建立健全數(shù)據(jù)安全管理制度，完善數(shù)據(jù)運營和管控機制；健全數(shù)據(jù)安全管理組織架構(gòu)，明確數(shù)據(jù)安全管理權(quán)責機制；實施與業(yè)務(wù)特點相適應(yīng)的數(shù)據(jù)分類分級管理；定期復(fù)核并按有關(guān)規(guī)定保留數(shù)據(jù)訪問記錄；組織開展數(shù)據(jù)安全教育培訓(xùn)；法律法規(guī)規(guī)定的其他事項。34、數(shù)據(jù)存儲及出境要求在境內(nèi)形成的審計工作底稿應(yīng)當存放在境內(nèi)務(wù)所不得在業(yè)務(wù)約定書或類似合同中包含會計師事務(wù)所向境外監(jiān)管機構(gòu)提供境內(nèi)項目資料數(shù)據(jù)等類似條款逐級復(fù)核機制，采取必要措施嚴格落實審計工作底稿涉密敏感信息管控責任。（三）簡析和建議提供境內(nèi)項目資料數(shù)據(jù)等類似條款。 七、國務(wù)院批復(fù)同意《支持北京深化國家服務(wù)業(yè)擴大開放綜合示范區(qū)建設(shè)七、國務(wù)院批復(fù)同意《支持北京深化國家服務(wù)業(yè)擴大開放綜合示范區(qū)建設(shè)工作方案》（一）主要內(nèi)容20231123（積極支持家服務(wù)業(yè)擴大開放綜合示范區(qū)建設(shè)。61704（二）合規(guī)要點開發(fā)利用1、電信服務(wù)領(lǐng)域?qū)⒃诒本┤∠畔⒎?wù)業(yè)務(wù)（僅限應(yīng)用商店，不含網(wǎng)絡(luò)出版服務(wù)）、互聯(lián)網(wǎng)接入（資股比限制研究適時建設(shè)國際信息產(chǎn)業(yè)和數(shù)字貿(mào)易港，加強數(shù)字領(lǐng)域國際合作，推動相關(guān)國市場安全試點推動電子簽名證書跨境互認和電子合同跨境認可機制，推廣電子簽名互認證書在公共服務(wù)、金融、商貿(mào)等領(lǐng)域應(yīng)用；支持北京參與制定數(shù)字經(jīng)濟領(lǐng)域標準規(guī)范，探索人工智能治理標準與規(guī)則建設(shè)，參與相關(guān)國際、國家、行業(yè)標準制定；深入推廣數(shù)據(jù)安全管理認證利用中國國際服務(wù)貿(mào)易交易會、中關(guān)村論壇、金融街論壇、全球數(shù)字經(jīng)3、數(shù)據(jù)資源開發(fā)利用支持北京積極創(chuàng)建數(shù)據(jù)基礎(chǔ)制度先行區(qū)，推動建立健全數(shù)據(jù)產(chǎn)權(quán)制度、數(shù)據(jù)要素流通和交易制度、數(shù)據(jù)要素收益分配制度、數(shù)據(jù)要素治理制度；壯大北京國際數(shù)據(jù)交易聯(lián)盟，健全交易標準和市場運營體系，推進數(shù)據(jù)托管服務(wù)推動完善數(shù)據(jù)權(quán)屬登記和數(shù)據(jù)資產(chǎn)評估機制制定數(shù)據(jù)交易標準合同指引，出臺數(shù)據(jù)交易負面清單和謹慎清單加大公共數(shù)據(jù)開放力度，完善第三方多元主體開發(fā)利用數(shù)據(jù)機制，探索建設(shè)安全可信的數(shù)據(jù)共享空間，鼓勵多方公共數(shù)據(jù)導(dǎo)入和融合應(yīng)用；擴大面向北京市具備數(shù)據(jù)加工處理和分析能力的經(jīng)營主體范圍，免費提權(quán)數(shù)據(jù)庫；在國家數(shù)據(jù)跨境傳輸安全管理制度框架下，開展數(shù)據(jù)出境安全評估、個據(jù)流動又能保障安全的機制；推動建設(shè)數(shù)據(jù)跨境服務(wù)中心與技術(shù)服務(wù)平臺，探索提供安全治理、監(jiān)測審計、體系認證等全鏈條第三方服務(wù)；支持設(shè)立跨國機構(gòu)數(shù)據(jù)流通服務(wù)窗口，以合規(guī)服務(wù)方式優(yōu)先實現(xiàn)集團內(nèi)數(shù)據(jù)安全合規(guī)跨境傳輸；探索制定深化運用金融科技創(chuàng)新監(jiān)管工具，充分發(fā)揮數(shù)字技術(shù)和數(shù)據(jù)要素作用，提升金融科技守正創(chuàng)新能力和惠民利企水平；新運用 八、北京市經(jīng)濟和信息化局發(fā)布《數(shù)據(jù)清洗、去標識化、匿名化業(yè)務(wù)規(guī)程八、北京市經(jīng)濟和信息化局發(fā)布《數(shù)據(jù)清洗、去標識化、匿名化業(yè)務(wù)規(guī)程（試行）》（一）主要內(nèi)容1114務(wù)規(guī)程（試行）》（以下簡稱“《業(yè)務(wù)規(guī)程》”）。交易、開放等流通活動合規(guī)、有序進行。（二）合規(guī)要點《業(yè)務(wù)規(guī)程》有六大核心要點：1、規(guī)范數(shù)據(jù)清洗、去標識化、匿名化處理旨在推動數(shù)據(jù)要素強化優(yōu)質(zhì)供給2、數(shù)據(jù)清洗是數(shù)據(jù)可用的保障數(shù)據(jù)清洗去標識化和匿名化處理的前置步驟。3數(shù)據(jù)去標識化不可識別性信息的安全防護水平。4、數(shù)據(jù)匿名化是去標識化的強化數(shù)據(jù)匿名化處理足“難以復(fù)原性態(tài)。5、去標識化和匿名化未有嚴格界分根據(jù)相關(guān)技術(shù)方法抗重新識別風險的能力大小和對敏感內(nèi)容安全防護程度6、產(chǎn)業(yè)應(yīng)用需要強調(diào)安全性和可用性的平衡籌組合形成平衡安全要求和應(yīng)用目的的有效技術(shù)方案。（三）簡析和建議據(jù)北京經(jīng)信局介紹，《業(yè)務(wù)規(guī)程》將作為北京數(shù)據(jù)基礎(chǔ)制度先行區(qū)內(nèi)數(shù)據(jù)處理活動的工作指南。因此先行區(qū)內(nèi)的企業(yè)應(yīng)在《個人信息保護法》《數(shù)據(jù)安全法》《北京市數(shù)字經(jīng)濟促進條例》《北京市數(shù)字