Tin tức này bao gồm2019年12Các quy định, quy tắc và tin tức mới hàng tháng trong lĩnh vực an ninh mạng và tuân thủ dữ liệu. Phần đầu tiên giúp chúng tôi hiểu những quy định pháp lý mới nhất đáng được quan tâm trong lĩnh vực này (một số quy định quy định có thể bao gồm những nhận xét ngắn gọn của chúng tôi về những điểm hoặc vấn đề chính đáng được quan tâm); các sự kiện hoặc vấn đề quan trọng đáng được chú ý trong lĩnh vực này (một số sự kiện hoặc tin tức có thể bao gồm những nhận xét ngắn gọn của chúng tôi về những điểm hoặc vấn đề chính đáng được quan tâm).

Bản cập nhật này chỉ được sử dụng làm cuộc thảo luận chung của công ty chúng tôi về các chủ đề gần đây liên quan đến bảo mật mạng và tuân thủ dữ liệu và không cấu thành tư vấn pháp lý chính thức của công ty chúng tôi.

1. Quy tắc giám sát

(1) "Phương pháp xác định việc Ứng dụng thu thập và sử dụng thông tin cá nhân bất hợp pháp và bất hợp pháp"

Đã xuất bản: ngày 30 tháng 12 năm 2019

Đơn vị phát hành: Cục Thông tin Internet Quốc gia, Bộ Công nghiệp và Công nghệ thông tin, Bộ Công an và Cục Quản lý Nhà nước về Điều tiết Thị trường

Điểm nổi bật về tuân thủ dữ liệu:

1. Làm rõ các tình huống đặc biệt nổi bật trong đó ứng dụng thu thập và sử dụng thông tin cá nhân một cách bất hợp pháp

Gần đây, Nhóm công tác quản trị đặc biệt của ứng dụng (sau đây gọi là “Nhóm công tác quản trị ứng dụng”) đã phát hành 57 Ứng dụng bị phát hiện thu thập thông tin cá nhân bất hợp pháp trong quá trình xem xét và đánh giá (xem Phần 2, Phần 4 của bài viết này để biết chi tiết) ý kiến), trong đó Một số vấn đề đã xuất hiện trên nhiều ứng dụng trong quá trình xem xét và đánh giá này của Nhóm công tác quản trị ứng dụng "m88 vin linkp của ứng dụng" (sau đây gọi là "Phương pháp nhận dạng") cũng phản ánh những vấn đề nổi bật này. các vấn đề về thu thập và sử dụng thông tin cá nhân bất hợp pháp:

(1) Các trường hợp mã hoặc plugin của bên thứ ba được truy cập để thu thập hoặc cung cấp thông tin cá nhân

Phương pháp nhận dạng được nêu rõ ràng,Ứng dụngViệc sử dụng mã và plugin của bên thứ ba để thu thập thông tin cá nhân nhưng không giải thích rõ ràng phương pháp, mục đích hoặc phạm vi thu thập thông tin cá nhân bằng các phương pháp nói trên có thể bị coi là“Mục đích, phương pháp và phạm vi thu thập và sử dụng thông tin cá nhân không được nêu rõ ràng”;Không có sự đồng ý hay ẩn danh của người dùng,Ứng dụngViệc cung cấp thông tin cá nhân cho bên thứ ba thông qua mã, plugin của bên thứ ba, v.v. được nhúng trong ứng dụng khách có thể được xác định là“Cung cấp thông tin cá nhân cho người khác mà không có sự đồng ý”。

(2) Câu hỏi thường gặp về Cài đặt chính sách quyền riêng tư

Các vấn đề thường gặp với cài đặt điều khoản về quyền riêng tư của ứng dụng, chẳng hạn như điều khoản về quyền riêng tư không nhắc người dùng đọc qua cửa sổ bật lên hoặc các phương tiện hiển nhiên khác khi người dùng chạy ứng dụng lần đầu tiên, các điều khoản này khó truy cập (thêm cần hơn 4 lần nhấp chuột để truy cập), khó đọc hoặc khó hiểu Cũng như chính sách quyền riêng tư xuất hiện dưới dạng đồng ý mặc định, phương thức nhận dạng nêu rõ rằng các hành vi nêu trên có thể được xác định là "thu thập và sử dụng không tiết lộ". quy tắc" hoặc "m88 vin link người dùng."

(3) Thu thập thông tin cá nhân theo gói

Ứng dụng yêu cầu người dùng đồng ý mở nhiều quyền để thu thập thông tin cá nhân cùng một lúc. Nếu người dùng không đồng ý, nó cũng không thể được sử dụng. thông tin cá nhân thiết yếu hoặc mở các quyền không thiết yếu, v.v. để thu thập thông tin cá nhân theo cách bó. Hành vi thông tin, phương pháp nhận dạng nêu rõ rằng các hành vi nêu trên có thể được xác định là "vi phạm nguyên tắc cần thiết và thu thập thông tin cá nhân không liên quan". đối với các dịch vụ được cung cấp."

2. Những thay đổi mới trong quy tắc bảo vệ quyền riêng tư

Phương pháp nhận dạng được phát hành chính thức được so sánh với "m88 vin linkp của ứng dụng (Dự thảo để nhận xét)" được phát hành trước đó vào ngày 5 tháng 5 năm 2019 (sau đây gọi là "Dự thảo nhận xét về Phương thức nhận dạng") , thì có những thay đổi quan trọng sau:

(1) Điều chỉnh yêu cầu cài đặt của điều khoản quyền riêng tư

Phương pháp nhận dạng nới lỏng các yêu cầu chính thức đối với các điều khoản về quyền riêng tư, nghĩa là chỉ cần có chính sách quyền riêng tư trong Ứng dụng hoặc đặt ra các quy tắc thu thập thông tin cá nhân trong các thỏa thuận hoặc quy tắc khác liên quan đến Ứng dụng là đủ; cũng đề xuất các yêu cầu về khả năng đọc đối với các điều khoản về quyền riêng tư, tức là các chính sách về quyền riêng tư Hoặc các quy tắc thu thập thông tin cá nhân không được có văn bản quá nhỏ, quá dày đặc, màu sắc quá nhạt, không rõ ràng, không cung cấp phiên bản tiếng Trung giản thể hoặc sử dụng số lượng lớn các thuật ngữ chuyên môn.

(2) Làm rõ thời gian phản hồi đã hứa của Ứng dụng

Về vấn đề Ứng dụng cần đáp ứng các nhu cầu trên trong bao lâu khi người dùng đăng ký các chức năng sửa, xóa thông tin cá nhân và hủy tài khoản người dùng cũng như khi người dùng khiếu nại, tố cáo, dự thảo phương pháp nhận dạng không bao gồm các yêu cầu về thời gian bắt buộc và phương pháp nhận dạng yêu cầu thời gian phản hồi của Ứng dụng không quá 15 ngày làm việc.

（3）Sự đồng ý của người dùng sau khi thay đổi quy tắc sử dụng và thu thập thông tin cá nhân

Khi mục đích, phương pháp và phạm vi thu thập và sử dụng thông tin cá nhân được quy định trong phương pháp nhận dạng thay đổi, người dùng phải được thông báo theo cách thích hợp, bao gồm cập nhật chính sách quyền riêng tư cũng như các quy tắc thu thập và sử dụng khác cũng như nhắc nhở người dùng đã đọc, v.v... So với dự thảo lấy ý kiến ​​của phương thức công nhận, đã xóa cụm từ "ủy quyền lại".

Xét theo ý nghĩa của các quy định này, sau khi thay đổi quy tắc thu thập và sử dụng thông tin cá nhân, Ứng dụng sẽ cập nhật các quy tắc thu thập và sử dụng cũng như nhắc nhở người dùng đọc chúng và không bắt buộc phải lấy lại "sự đồng ý" của người dùng . Tuy nhiên, kết hợp với các quy định khác của phương pháp nhận dạng, trong một số trường hợp nhất định, Ứng dụng vẫn cần được sự đồng ý của người dùng để thay đổi các quy tắc thu thập và sử dụng thông tin cá nhân.

（4）Cần làm rõ các quy định về thông tin đẩy có mục tiêu

Về chức năng thông tin "đẩy có mục tiêu" hiện diện rộng rãi trong các ứng dụng trên thị trường, dự thảo yêu cầu trước đây về phương pháp nhận dạng yêu cầu ứng dụng phải cung cấp tùy chọn chấm dứt hoạt động đẩy có mục tiêu. Phương thức nhận dạng được phát hành chính thức lần này là. được sửa đổi thành: Khi sử dụng thông tin cá nhân của người dùng và các thuật toán để đẩy thông tin theo cách có mục tiêu, cần cung cấp tùy chọn thông tin đẩy không có mục tiêu.

Các yêu cầu trong dự thảo tư vấn về phương pháp nhận dạng tương đối rõ ràng, đó là Ứng dụng phải cung cấp tùy chọn chấm dứt hoạt động đẩy có mục tiêu và người dùng có thể chọn tắt chức năng đẩy có mục tiêu trong Ứng dụng; phương pháp nhận dạng được phát hành đề cập đến "cung cấp thông tin đẩy không có mục tiêu" "Tùy chọn thông tin đẩy" có thể được hiểu từ hai góc độ: một mặt, nó có thể Có thể hiểu rằng người dùng có thể chọn bật tùy chọn thông tin đẩy không có mục tiêu trong Ứng dụng. Kết quả là Ứng dụng không còn có thể đẩy bất kỳ thông tin nào theo cách có mục tiêu. rằng Ứng dụng có thể cung cấp thông tin đẩy có mục tiêu cho người dùng, nhưng đồng thời, Ứng dụng cần đảm bảo rằng Ứng dụng không chỉ có nội dung đẩy có mục tiêu mà còn phải chứa thông tin đẩy không có mục tiêu.

Từ góc nhìn thứ nhất, hiệu quả đạt được trước và sau khi sửa đổi phương pháp nhận dạng là như nhau, tức là sau khi người dùng có thể chọn tắt hoặc bật các tùy chọn cụ thể, Ứng dụng không còn có thể sử dụng thông tin cá nhân và các thuật toán để đẩy thông tin đến người dùng theo cách có mục tiêu; Từ góc độ thứ hai, sẽ có một số khác biệt nhất định. Phương pháp nhận dạng được phát hành chính thức chỉ yêu cầu Ứng dụng cung cấp thông tin đẩy không định hướng trên nền tảng của nó.

Qua so sánh theo chiều ngang với các quy định bảo vệ thông tin cá nhân khác, người ta thấy rằng các quy tắc thúc đẩy có mục tiêu cũng khác nhau: (i) "Các biện pháp quản lý bảo mật dữ liệu (Dự thảo cho nhận xét)" quy định rằng người dùng phải được cung cấp một cách để chấm dứt chức năng đẩy mục tiêu (ii) Trong "Công nghệ bảo mật thông tin" Thông số kỹ thuật bảo mật thông tin cá nhân (Dự thảo để lấy ý kiến)" (Phiên bản ngày 22 tháng 10 năm 2019) phân biệt theo các loại dịch vụ khác nhau: Nếu cung cấp dịch vụ thương mại điện tử, cần đảm bảo rằng khi cung cấp thông tin đẩy có mục tiêu, nó cũng cung cấp thông tin không nhắm mục tiêu vào Tùy chọn cho đặc điểm cá nhân; nếu dịch vụ thông tin tin tức được cung cấp, nên cung cấp tùy chọn tắt chế độ hiển thị được cá nhân hóa nếu sử dụng hiển thị được cá nhân hóa trong quá trình cung cấp các chức năng kinh doanh, thì phải cung cấp "cơ chế kiểm soát tự động" của người dùng; .

Các yêu cầu triển khai "đẩy có mục tiêu" trong các quy định pháp lý hiện hành vẫn chưa rõ ràng và cần được các cơ quan quản lý làm rõ hơn trong thực thi pháp luật thực tế. Tuy nhiên, các yêu cầu liên quan đến "đẩy có mục tiêu" được đặt trong khuôn khổ chung là "m88 vin link người dùng". Bản chất của nó là đạt được mục đích thu thập hoặc sử dụng thông tin cá nhân của người dùng, nghĩa là thông tin cá nhân của người dùng. phải có sự đồng ý của người dùng.

（5）Xóa quy định về bảo vệ quyền thông tin cá nhân của trẻ vị thành niên

Phương pháp xác định xóa phần trong dự thảo phương pháp xác định hành vi xâm phạm quyền và lợi ích hợp pháp của trẻ vị thành niên trên không gian mạng, do đó, việc bảo vệ đặc biệt quyền và lợi ích thông tin cá nhân của trẻ vị thành niên vẫn cần được ban hành. những quy định điều chỉnh cụ thể.

Nhận xét ngắn gọn:Nhìn chung, các quy định của "m88 vin linkp của ứng dụng" có tính khả thi cao và có thể cung cấp hướng dẫn rõ ràng cho nhà khai thác Ứng dụng trong cách thu thập và sử dụng thông tin cá nhân. Nhà đầu tư nên sử dụng. các tình huống trong phương pháp nhận dạng để xác nhận từng tình huống một có tham chiếu đến quy trình kinh doanh hiện tại của họ nhằm tránh các vi phạm được liệt kê trong phương pháp nhận dạng.

(2) "Các biện pháp thực thi của Ngân hàng Nhân dân Trung Quốc nhằm bảo vệ quyền và lợi ích tài chính của người tiêu dùng (Dự thảo lấy ý kiến)"

Đã xuất bản: 27 tháng 12 năm 2019

Đơn vị phát hành: Ngân hàng Nhân dân Trung Quốc

Điểm nổi bật về tuân thủ dữ liệu:

1. Phạm vi đối tượng chịu sự điều chỉnh của quy định: "Các biện pháp thực hiện của Ngân hàng Nhân dân Trung Quốc để bảo vệ quyền và lợi ích tài chính của người tiêu dùng (Dự thảo lấy ý kiến)" áp dụng cho các tổ chức tài chính ngân hàng, tổ chức thanh toán phi ngân hàng, tổ chức tài chính công ty quản lý của các ngân hàng thương mại và công ty quản lý tài sản tài chính, công ty ủy thác, công ty tài chính ô tô, công ty tài chính tiêu dùng, cơ quan báo cáo tín dụng và cơ quan điều hành trao đổi tiền tệ nhượng quyền có thể tham khảo ứng dụng này. Trong số đó, so với "Các biện pháp thực hiện để bảo vệ quyền và lợi ích tài chính của người tiêu dùng của Ngân hàng Nhân dân Trung Quốc" được thực hiện năm 2016, các công ty con quản lý tài sản của các ngân hàng thương mại, công ty quản lý tài sản tài chính, công ty ủy thác, công ty tài chính ô tô, công ty tài chính tiêu dùng các công ty tài chính và các tổ chức điều hành đổi tiền được cấp phép là phạm vi của các đơn vị mới được bổ sung vào dự thảo này để lấy ý kiến.

2. Yêu cầu xuất thông tin tài chính ra nước ngoài: Việc lưu trữ, xử lý và phân tích thông tin tài chính của người tiêu dùng được thu thập trong nước phải được thực hiện trong lãnh thổ Trung Quốc. Tuy nhiên, nếu cần cung cấp thông tin tài chính của người tiêu dùng ở nước ngoài do nhu cầu kinh doanh, thông tin đó có thể được cung cấp ở nước ngoài nếu đáp ứng các điều kiện sau: (i) Cần phải xử lý hoạt động kinh doanh xuyên biên giới (ii) Với sự cho phép bằng văn bản của cơ quan quản lý; (iii) Thông tin Người nhận là tổ chức trực thuộc (bao gồm trụ sở chính, công ty mẹ, chi nhánh, công ty con, v.v.) cần thiết để hoàn thành hoạt động kinh doanh (iv) thông qua các biện pháp hiệu quả như ký kết thỏa thuận và kiểm tra tại chỗ; , yêu cầu các tổ chức ở nước ngoài giữ bí mật thông tin (v)

Trong số đó, liên quan đến các điều kiện được liệt kê trong Điều (iii), có thể cần phải truyền thông tin tài chính đến các tổ chức không liên kết trong quá trình thực tế, chẳng hạn như kinh doanh chuyển tiền xuyên biên giới và các dịch vụ tài chính xuyên biên giới khác. Nếu các tổ chức tài chính trong nước cần Khi các tổ chức liên kết truyền tải thông tin tài chính, cách giải quyết nhu cầu xuyên biên giới về thông tin tài chính trong những trường hợp như vậy vẫn còn phải được thử nghiệm trên thực tế.

3. Yêu cầu về thời hạn ứng phó với sự cố bảo mật thông tin tài chính: Khi được xác nhận rằng thông tin đã bị rò rỉ, hư hỏng hoặc bị mất, tổ chức tài chính phải thực hiện các biện pháp khắc phục và thông báo cho người tiêu dùng tài chính trong vòng 72 giờ.

4. Khuyến khích các tổ chức tài chính hỗ trợ chuyển thông tin tài chính của người tiêu dùng: Các tổ chức tài chính được khuyến khích chuyển thông tin tài chính của họ cho các tổ chức tài chính khác do người tiêu dùng tài chính chỉ định dựa trên yêu cầu của người tiêu dùng tài chính, nếu khả thi về mặt kỹ thuật.

Nhận xét ngắn gọn:Là một loại thông tin cá nhân đặc biệt, thông tin tài chính của người tiêu dùng liên quan đến nhiều khía cạnh về danh tính cá nhân, tài sản và báo cáo tín dụng, ngoài việc thu thập và sử dụng thông tin tài chính của người tiêu dùng. tính đến tổng quát Ngoài các quy định về bảo vệ thông tin cá nhân tình dục, các yêu cầu nghiêm ngặt hơn cũng đã được đưa ra.

(3) "Quy định về quản lý sinh thái nội dung thông tin mạng"

Đã xuất bản: ngày 15 tháng 12 năm 2019 (có hiệu lực từ ngày 1 tháng 3 năm 2020)

Đơn vị cấp: Cục Quản lý không gian mạng Trung Quốc

Điểm nổi bật về tuân thủ dữ liệu:

1. Quy định phân loại nội dung thông tin mạng: Theo sự khác biệt về nội dung thông tin do nhà sản xuất nội dung thông tin mạng tạo ra, sao chép và phát hành, nội dung thông tin mạng được chia thành ba loại, đó là thông tin được khuyến khích, thông tin bị cấm và thông tin bị hạn chế. Trong đó: (i) Thông tin khuyến khích là thông tin có nội dung cổ vũ chủ nghĩa xã hội đặc sắc Trung Quốc, đề cao các giá trị xã hội chủ nghĩa cốt lõi, đề cao văn hóa đạo đức ưu tú và tinh thần thời đại, khuyến khích sản xuất, sao chép và xuất bản những thông tin đó; ( ii) Thông tin bị cấm Đề cập đến thông tin có nội dung vi phạm các nguyên tắc hiến pháp, gây nguy hiểm cho an ninh và lợi ích quốc gia, xâm phạm quyền và lợi ích hợp pháp của người khác. Thông tin đó không được sản xuất, sao chép hoặc công bố;

2. Nền tảng dịch vụ nội dung thông tin mạng nên thiết lập cơ chế quản trị sinh thái cho nội dung thông tin mạng và cải thiện hệ thống quản lý người dùng cũng như xem xét và xử lý thông tin: Nền tảng dịch vụ nội dung thông tin mạng nên cải thiện các hệ thống như quản lý người dùng và quản lý thông tin nền tảng. Đồng thời, các nền tảng dịch vụ nội dung thông tin trực tuyến nên thành lập một người chịu trách nhiệm quản lý sinh thái nội dung thông tin trực tuyến và bố trí cho họ những chuyên gia tương xứng với phạm vi kinh doanh và quy mô dịch vụ của họ.

3. Quản lý phổ biến ba loại thông tin của nền tảng dịch vụ nội dung thông tin trực tuyến: (i) Thông tin bị cấm sẽ không được phổ biến; (ii) Thông tin bị hạn chế sẽ không được trình bày trong các “liên kết chính” của nền tảng. Trong số đó, "liên kết chính" đề cập đến trang chủ, cửa sổ bật lên, chủ đề nóng, tìm kiếm nóng, lựa chọn, danh sách, đề xuất, từ tìm kiếm phổ biến, tìm kiếm mặc định, từ liên quan, nội dung đặt trước, v.v. ở vị trí nổi bật của sản phẩm hoặc dịch vụ và có khả năng thu hút người dùng. Tập trung vào liên kết; (iii) Khuyến khích trình bày thông tin khuyến khích trong “liên kết chính”.

4. Nền tảng dịch vụ nội dung thông tin mạng cần tăng cường quản lý thông tin đề xuất thuật toán được cá nhân hóa: Nền tảng dịch vụ nội dung thông tin mạng sử dụng công nghệ đề xuất thuật toán được cá nhân hóa để đẩy thông tin không được phép đẩy thông tin bị cấm hoặc thông tin bị hạn chế và được khuyến khích đẩy thông tin được khuyến khích; đồng thời, cần thiết lập và cải tiến cơ chế can thiệp thủ công hợp lý và cơ chế lựa chọn độc lập với người dùng.

5. Quản trị tiêu chuẩn hóa các vấn đề nóng: Nhà sản xuất nội dung thông tin mạng, người sử dụng dịch vụ nội dung thông tin mạng và nền tảng dịch vụ nội dung thông tin mạng: (i) không xâm phạm quyền và lợi ích hợp pháp của người khác bằng cách xuất bản, xóa thông tin hoặc các phương thức khác can thiệp vào việc trình bày thông tin hoặc tìm kiếm lợi ích bất hợp pháp; (ii) không được sử dụng các công nghệ và ứng dụng mới như deep learning và thực tế ảo để tham gia vào các hoạt động bị pháp luật và quy định hành chính cấm; Gian lận lưu lượng truy cập, chiếm đoạt lưu lượng truy cập, đăng ký tài khoản sai, giao dịch tài khoản bất hợp pháp, thao túng tài khoản người dùng, v.v. sẽ không được thực hiện thông qua các phương tiện thủ công hoặc kỹ thuật nhằm phá hoại trật tự của hệ sinh thái mạng.

6. Một số quy tắc và hình phạt trong quy định vẫn cần được hoàn thiện và làm rõ hơn: ví dụ: ở cấp độ quy tắc, quy định yêu cầu nền tảng thiết lập hệ thống quản lý tín dụng tài khoản người dùng và cung cấp các dịch vụ tương ứng dựa trên trạng thái tín dụng của Tuy nhiên, đối với các quy tắc phân loại và quản lý tín dụng vẫn chưa được làm rõ, chẳng hạn, các quy định yêu cầu các nền tảng phải biên soạn một năm công tác quản lý nội dung thông tin; Tuy nhiên, việc xử lý tiếp theo các báo cáo này không được quy định cụ thể; về hình phạt, các hình thức xử phạt chính đối với nền tảng dịch vụ nội dung thông tin trực tuyến là thẩm vấn, cảnh cáo, yêu cầu đính chính, đồng thời yêu cầu đình chỉ cập nhật thông tin. các hình phạt cũng được thiết lập một điều khoản chung chung, tức là “xử lý theo quy định của pháp luật có liên quan và các quy định hành chính”, để hình thức xử phạt không chỉ giới hạn ở quy định này.

Nhận xét ngắn gọn: "Quy định về quản lý sinh thái nội dung thông tin mạng" đưa ra các yêu cầu cụ thể về trách nhiệm quản lý của nền tảng dịch vụ nội dung thông tin mạng và giải quyết các vấn đề nóng hiện nay trong dịch vụ thông tin mạng; trong quy định Điều này vẫn cần được tiếp tục hoàn thiện và làm rõ hơn.

(4) "Hướng dẫn phân loại và xếp hạng an ninh mạng của các doanh nghiệp Internet công nghiệp (Thử nghiệm) (Dự thảo lấy ý kiến)"

Đã xuất bản: 17 tháng 12 năm 2019

Đơn vị cấp: Bộ Công nghiệp và Công nghệ thông tin

Điểm nổi bật về tuân thủ dữ liệu:

1. Phân loại doanh nghiệp Internet công nghiệp: Dựa trên thuộc tính doanh nghiệp, doanh nghiệp Internet công nghiệp được chia thành doanh nghiệp công nghiệp áp dụng Internet công nghiệp ("doanh nghiệp công nghiệp nối mạng"), doanh nghiệp nền tảng Internet công nghiệp và doanh nghiệp vận hành cơ sở hạ tầng Internet công nghiệp. Hướng dẫn này nhằm mục đích chuẩn hóa việc phân loại an ninh mạng của các doanh nghiệp công nghiệp nối mạng; các công ty nền tảng Internet công nghiệp và các công ty vận hành cơ sở hạ tầng Internet công nghiệp nên chuẩn hóa theo phương pháp phân loại của "Các biện pháp quản lý bảo vệ an ninh mạng truyền thông".

2. Kết hợp hướng dẫn ngành và giám sát địa phương: Bộ Công nghiệp và Công nghệ thông tin hướng dẫn và quản lý công tác an ninh mạng của các công ty Internet công nghiệp trong ngành có trách nhiệm. Cơ quan có thẩm quyền ở địa phương có trách nhiệm hướng dẫn, giám sát công tác an ninh mạng của các doanh nghiệp Internet công nghiệp trên địa bàn quản lý.

3. Phân loại doanh nghiệp công nghiệp nối mạng: Doanh nghiệp được chia thành ba cấp độ dựa trên các yếu tố như mức độ ảnh hưởng đến an ninh mạng trong ngành mà doanh nghiệp trực thuộc, quy mô của doanh nghiệp, mức độ doanh nghiệp áp dụng Internet công nghiệp và mức độ ảnh hưởng của các sự cố an ninh mạng trong doanh nghiệp.

4. Quy trình xếp hạng doanh nghiệp công nghiệp có kết nối Internet: Các doanh nghiệp công nghiệp có kết nối Internet điền vào bảng câu hỏi trực tuyến thông qua Nền tảng dịch vụ quản lý phân cấp và phân cấp an ninh mạng doanh nghiệp Internet công nghiệp để lập báo cáo tự đánh giá, cơ quan có thẩm quyền tại địa phương có thể tự mình hoặc tổ chức; cơ quan dịch vụ chuyên nghiệp bên thứ ba đánh giá xếp hạng do doanh nghiệp gửi. Báo cáo tự đánh giá sẽ được xác minh để xác nhận điểm cuối cùng của doanh nghiệp và công ty có quyền yêu cầu doanh nghiệp sửa chữa trước khi xác nhận điểm; khi mức độ rủi ro an ninh mạng của các doanh nghiệp công nghiệp nối mạng thay đổi đáng kể, họ nên chủ động xếp hạng lại.

5. Quy định quản lý an toàn cho các công ty Internet công nghiệp: Theo các cấp độ khác nhau của các công ty Internet công nghiệp, các nguyên tắc phản ánh các cấp độ giám sát khác nhau. Hãy xem bảng sau để biết chi tiết:

Nhận xét ngắn gọn: "Hướng dẫn phân loại và phân loại an ninh mạng của các doanh nghiệp Internet công nghiệp (Bản dùng thử) (Dự thảo lấy ý kiến)" đã xây dựng các quy tắc cụ thể để phân loại và đánh giá các doanh nghiệp công nghiệp áp dụng Internet công nghiệp theo các quy tắc này. , các ứng dụng có thể là Internet công nghiệp Các doanh nghiệp công nghiệp được chia thành doanh nghiệp cấp một, doanh nghiệp cấp hai và doanh nghiệp cấp ba. Theo các cấp doanh nghiệp khác nhau, hướng dẫn sẽ quy định thêm các cấp độ khác nhau của các vấn đề quy chuẩn, cung cấp thông tin chi tiết hơn cho các doanh nghiệp. hướng dẫn quản lý an ninh mạng của các doanh nghiệp Internet công nghiệp.

2. Sự kiện trường hợp

(1) Thông báo loạt kết quả thanh tra năm 2019 của Cục An ninh mạng Bộ Công nghiệp và Công nghệ thông tin

Năm 2019, Cục An ninh mạng thuộc Bộ Công nghiệp và Công nghệ thông tin ("Cục An ninh mạng"), theo "Thông báo của Tổng Văn phòng Hội đồng Nhà nước về Thúc đẩy Kiểm tra Ngẫu nhiên và Tiêu chuẩn hóa Giám sát Trong và Sau quy trình" và "Kiểm tra ngẫu nhiên kép" của Bộ Công nghiệp và Công nghệ thông tin "Công bố "Các biện pháp thực hiện quy định", "Quy trình công nghiệp Theo Danh sách mục kiểm tra ngẫu nhiên của Bộ Công nghiệp và Công nghệ thông tin (Phiên bản 2018) và các yêu cầu liên quan khác, tổ chức công tác bảo vệ an ninh mạng của một số công ty viễn thông, Internet và đại lý tên miền, việc thực hiện trách nhiệm về mạng và an ninh thông tin cũng như mạng lưới. trách nhiệm và quản lý bảo vệ an ninh dữ liệu. Tiến hành kiểm tra ngẫu nhiên việc thực hiện các biện pháp.

Ngày 10 tháng 12 năm 2019, Cục An ninh mạng đã đưa ra bản cập nhật công việc và công khai kết quả kiểm tra nêu trên. Động thái làm việc cho thấy các cuộc thanh tra ngẫu nhiên của ĐCSTQ đã phát hiện ra rằng 68 công ty viễn thông và Internet cũng như các cơ quan cung cấp tên miền đã vi phạm ở các mức độ khác nhau.

Nhận xét ngắn gọn: Từ số liệu thống kê trên, có thể thấy, từ mục thống kê “Các công ty Internet” mà người dùng thông thường và đông đảo nhà cung cấp dịch vụ Internet quan tâm nhất, những vấn đề cốt lõi và thường xuyên xảy ra nhất vẫn là tập trung vào bảo vệ dữ liệu và quản lý bảo mật, bảo vệ an ninh thông tin và đánh giá bảo mật, những vấn đề này. Khả năng những câu hỏi này xuất hiện trong số 37 công ty Internet được kiểm tra ngẫu nhiên là tương đối cao. Ở một mức độ nhất định, nó cũng phản ánh rằng những vấn đề này hoặc những vấn đề tương tự cũng có thể phổ biến đối với nhiều nhà cung cấp dịch vụ Internet không được kiểm tra ngẫu nhiên. đáng để kịp thời tự kiểm tra theo quy định và chấn chỉnh kịp thời trước khi bị cơ quan có thẩm quyền kiểm tra ngẫu nhiên.

(2) Ngân hàng Nhân dân Trung Quốc và Bộ Công an cùng xử phạt các cá nhân mua bán thẻ hoặc tài khoản ngân hàng

Ngày 16/12/2019, Ngân hàng Nhân dân Trung Quốc (“Ngân hàng Nhân dân”) và Bộ Công an phối hợp ban hành thông báo, nhằm hạn chế hiệu quả hành vi mua bán thẻ ngân hàng, tài khoản và củng cố nguồn bằng phương pháp kiểm soát, họ quyết định kiểm soát chặt chẽ việc mua bán thẻ ngân hàng hoặc tài khoản theo quy định của pháp luật. Thông báo nêu rõ Ngân hàng Nhân dân Trung Quốc đã chuyển thông tin của 602 cá nhân liên quan đến vụ mua bán thẻ ngân hàng và tài khoản doanh nghiệp khổng lồ "3,26" sang cơ sở dữ liệu thông tin tín dụng tài chính cơ bản, các tổ chức tài chính ngân hàng ("ngân hàng") và phi ngân hàng. tổ chức thanh toán ("Tổ chức thanh toán") sẽ áp dụng các biện pháp kỷ luật đối với các cá nhân có liên quan, đình chỉ mọi hoạt động kinh doanh không đối ứng đối với tài khoản ngân hàng và tài khoản thanh toán của họ trong vòng 5 năm và sẽ không được phép mở tài khoản cho họ.

Nhận xét ngắn gọn: Thông báo này do các phòng ban phối hợp đưa ra và các biện pháp kỷ luật được đề xuất là một biện pháp cải tiến và bổ sung cho hệ thống xử phạt hình sự đối với các tội phạm về thông tin cá nhân. Ngân hàng Nhân dân Trung Quốc và Bộ Công an phối hợp thực hiện công tác kỷ luật, một mặt, cơ quan công an sử dụng năng lực điều tra cực kỳ mạnh mẽ để phát hiện nhóm cá nhân bị tình nghi phạm tội trái pháp luật; những cá nhân trong số những cá nhân này không liên quan đến tội phạm hình sự, Ngân hàng nhân dân có thể trấn áp các hoạt động bất hợp pháp thông qua các biện pháp tương tự như hình phạt này.

(3) Bộ Công nghiệp và Công nghệ thông tin báo cáo lô ứng dụng đầu tiên vi phạm quyền người dùng

Theo yêu cầu của "Thông báo của Bộ Công nghiệp và Công nghệ thông tin về việc thực hiện công việc khắc phục đặc biệt đối với hành vi vi phạm quyền của người dùng đối với ứng dụng", hành động khắc phục đặc biệt đối với hành vi vi phạm quyền của người dùng đối với ứng dụng đã được thực hiện theo từng giai đoạn như kế hoạch. Bộ Công nghiệp và Công nghệ thông tin ("Bộ Công nghiệp và Công nghệ thông tin") đã ban hành "Thông báo về các ứng dụng xâm phạm quyền và lợi ích của người dùng (Đợt đầu tiên)" vào ngày 19 tháng 12 năm 2019. Thông báo cho thấy rằng trong quá trình áp dụng biện pháp đặc biệt, hơn 8.000 ứng dụng đang trong giai đoạn tự kiểm tra, tự sửa lỗi.

Bộ Công nghiệp và Công nghệ thông tin đã đưa ra các hành động tiếp theo nhằm phản hồi thông báo trên và đưa ra thông báo vào ngày 3 tháng 1 năm 2020. Thông báo nêu rõ rằng theo "Luật An ninh mạng" và "Quy định tạm thời về quản lý cài đặt sẵn và phân phối phần mềm ứng dụng thiết bị đầu cuối thông minh di động" và các luật và quy định khác. Các văn bản quy chuẩn yêu cầu ba ứng dụng đã được cơ quan kiểm tra bên thứ ba xác minh và kiểm tra lại và chưa hoàn thành việc khắc phục theo yêu cầu sẽ bị xóa khỏi các kệ.

(4) Thông báo của Nhóm công tác quản trị ứng dụng về việc thu thập và sử dụng thông tin cá nhân trong 61 ứng dụng

Vào ngày 20 tháng 12 năm 2019, Nhóm công tác quản trị ứng dụng đã đưa ra "Thông báo về việc thu thập và sử dụng thông tin cá nhân trong 61 ứng dụng", trong đó liệt kê thông tin chi tiết về 57 ứng dụng gần đây được phát hiện có vấn đề trong quá trình đánh giá việc thu thập và sử dụng thông tin cá nhân. Ngoài ra, thông báo cũng đề cập rằng đối với 4 ứng dụng đã được gửi thông báo khắc phục và đề xuất khắc phục trong vòng một tháng từ tháng 7 đến tháng 10 nhưng chưa hoàn tất việc khắc phục, kết quả xác minh đã được gửi đến các bộ phận liên quan và các khuyến nghị sẽ được gửi đến. xử lý theo pháp luật.

Một số vấn đề cụ thể được phản ánh trong thông báo này được trình bày trong bảng sau:

5. Luật bảo vệ thông tin cá nhân sẽ được ban hành vào năm 2020

Ngày 20 tháng 12 năm 2019, Ủy ban Pháp luật của Ủy ban Thường vụ Quốc hội nhân dân toàn quốc giới thiệu tại cuộc họp báo lần thứ ba rằng kế hoạch công tác lập pháp năm 2020 đã được thông qua trên nguyên tắc tại Hội nghị Chủ tịch Ủy ban Thường vụ Quốc hội lần thứ 44 Quốc hội nhân dân toàn quốc Luật bảo vệ thông tin cá nhân được theo dõi chặt chẽ sẽ được ban hành vào năm 2020.

Phần tái bút:

Haiwen đã tích lũy kinh nghiệm phong phú trong lĩnh vực an ninh mạng và tuân thủ dữ liệu, đồng thời tiếp tục chú ý đến các luật và quy định được cập nhật liên tục cũng như các chủ đề nóng hiện nay liên quan đến tuân thủ dữ liệu. Bạn có thể duyệt qua "Haiwen Watch: Xu hướng tuân thủ dữ liệu và an ninh mạng" trước đó thông qua liên kết sau:

"Quan sát của Haiwen: Xu hướng tuân thủ dữ liệu và an ninh mạng" (nửa đầu tháng 9 năm 2019)

"Quan sát của Haiwen: Xu hướng tuân thủ dữ liệu và an ninh mạng" (nửa cuối tháng 9 đến nửa đầu tháng 10 năm 2019)

"Quan sát của Haiwen: Xu hướng tuân thủ dữ liệu và an ninh mạng" (nửa cuối tháng 10 đến tháng 11 năm 2019)

Thực tập sinh Zhu Anqi cũng đóng góp cho bài viết này.