竞天公诚网络安全与数据合规动态提报

网络安全和数据合规动态提报|提报期间：2023/11/01-11/30|发件人：北京市竞天公诚律师事务所|联系人：周杨zhou.yang@六财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法（征求意见稿）》 15（一）主要内容 15（二）合规要点 15（三）简析和建议 16七、国务院批复同《支持北京深化国家服务业扩大开放综合示范区建设工作方案》 17（一）主要内容 17（二）合规要点 17八北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程（试行）》 19（一）主要内容 19（二）合规要点 19（三）简析和建议 20一、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公一、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见（一）主要内容2023111（征求意见稿从范围、术（二）合规要点1息跨境处理活动（适用于组织（用于个人香港特别行政区的个人信息处理者，并不包括澳门特别行政区。2、基本原则3、处理要求属地法律法规料原则在内的香港《个人资料（私隐）条例》相关规定。个人信息处理者特殊的要求；以及其他特殊情形下的规定等。个人信息处理者对于个人信息处理者跨境处理个人信息34、个人信息权益保障要求个人信息主体者的申请受理和处理机制等义务。5、个人信息安全要求个人信息泄露、篡改、破坏、丢失。（三）简析和建议《中华人民共和国数据安全法（私隐二、工信部就《工业和信息化领域数据安全行政处罚裁量指引二、工信部就《工业和信息化领域数据安全行政处罚裁量指引（试行）》公开征求意见（一）主要内容1123《工业和信息化领域数据安全行政处罚（试行征求意见稿（（征向社会公开20231223（征）》对于工业和信全法》与《工业和信息化领域数据安全管理办法（试行）》监管框架下的相应合规要求，并明确列举了相应违法事由的处罚裁量基准和裁量尺度，为受监管企业与个人提供了工业和信息化领域数据安全合规指引，增加了工信部门执法活动的可预测性。（征（征（征的行政处罚种类和幅度裁量基准，并同时列明了相应的行政处罚法律渊源。（二）合规要点1、“合规免责”相关规定为企业合规工作赋予价值承接《中华人民共和国行政处罚法》有关合规免责的法律规定，《裁量指引（征2017（包括在数据合规领域（征》2、“不履行数据安全保护义务”和“向境外非法提供数据”的情形细化针对具体的工业和信息化领域数据安全行政处罚情形，《裁量指引（征）》对“不履行数据安全保护义务”及“向境外非法提供数据”所对应的违法事由作出了细化。依据《裁量指引（征）》，“不履行数据安全保护义务”包括：未定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位具体目录；未建立数据全生命周期安全管理制度，未针对不同级别数据明确数据收录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月；未根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业（领域）监管部门开展工作；未定期对从业人员开展数据安全教育和培训或未合理确定数据处理活动的操作权限，严格实施人员权限管理；未根据应对数据安全事件的需要，制定应急预案，并开展应急演练；数据安全事件发生后，未按照应急预案开展应急处置、未按照规定及时依据《裁量指引（征）》，“向境外非法提供数据”指：工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内确需向境外提供的，未按照有关规定进行数据出境安全评估；其他工业和信息化领域数据处理者，在中华人民共和国境内收集和产生确需向境外提供的，未依法依规进行数据出境安全评估；非经工业和信息化部批准，向外国工业、电信、无线电执法机构（或司领域数据；及其他向境外非法提供数据的情形。3（征（征法机构可从如下考虑因素中确定情节严重程度：数据安全事件所涉及的数据规模；对公民、法人和组织合法权益、社会公共利益造成损害的程度；事件影响范围；及对行业发展、社会稳定和国家安全造成的后果严重程度。具体对应关系可见下表：考虑因素后果较轻情节后果较重情节后果严重情节数据规模1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用；1000数据被篡改、破坏、泄露或者非法获1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用，或考虑因素后果较轻情节后果较重情节后果严重情节涉及重要数据、核心数据的；2个以上数据处理者的重要数据、核心数据的；公共利益损害时间、直接经济损失对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短，或直接经济损失在1000万元以内；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过1000万元且在5000万元以内的；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间长，或直接经济损失超过5000万元的；影响范围影响范围小，影响对象为单个或少数企业，且不涉及跨地区的；影响范围较大，涉及多个企业，或涉及跨地区的；影响范围涉及多个行业、地区的；公共利益其他对行业发展、社会稳定和国家安全造成较轻后果的。其他对行业发展、社会稳定和国家安全造成较重后果的。其他对行业发展、社会稳定和国家安全造成严重后果的。征的具体含义：在有关行政处罚机关开展数据安全监督检查过程中，未对组织运作、技访问、提供必要技术支持的；拒绝提供有关材料、信息的，或提供虚假材料、信息的，或者隐匿、销毁、转移证据的；其他不履行配合数据安全监管义务的。4（征的行政处罚决定时应考虑的情形，例如，（1）（征为清晰的处罚后果预期。（三）简析和建议《裁量指引（征）》是网络安全与数据合规领域最先被制定的行政处罚裁量基准之一，1该指引与先前亦已生效的《工业和信息化行政处罚程序规定》《工业和信息化领域数据安全管理办法（试行）》规定了网络安全与数据合规领域的实体义务要求与执法程序，共同构成了工业和信息化领域的数据合规行政执法的监管框架。监管框架的完善意味着执法活动将在法治的框架下进行，也为企业的数据合规体系建设提供了更具有操作性的指引。我们建议企业依据《裁量指引（征）》所明确的合规重点，有针对性地开展网络安全与数据合规体系建设，降低企业的相关执法风险。 12021局关于网络安全管理行政处罚的裁量基准》。三、国家网信办开展“清朗·网络戾气整治”专项行动 （一）主要内容117《关于开展“清朗·（从（二）合规要点1、集中整治7类突出问题打击以下七个方面的问题：BOT号等个人隐私信息，煽动网民攻击谩骂。AI色情、血腥恐怖等虚假图片或视频，进行造谣攻击、恶搞诋毁。立、阶层对立、地域歧视言论，进行泛化攻击，激化社会矛盾。PKPK网民围观，扰乱公共秩序。第五，有组织地恶意辱骂举报他人。仇视对立言论。2、依法严惩违规账号、群组和平台处组织斗狠PK、直播约架的主播账号，从严惩治发布“标题党”内容故意煽动圈子、超话、贴吧，下架关闭提供有偿代骂等服务的商家店铺。PK关注”“可能感兴趣的人”等功能向用户推送“网络厕所”类账号。加强对表情包、PAI清理下架含有恶搞攻击、挑起对立等内容的表情包、图片和视频。网站、APP置处罚措施。（三）简析和建议PK功能设置方面PKPAI表情包、图片和视频。从严查处违规平台环节方面， 四、公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法四、公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》征求意见（一）主要内容2022121骗违法犯罪提供了有力的法治保障。其中31有关主管部门规定联合惩戒的具体办法。为保障《反电信网络诈骗法》的贯彻实施，进一步建立健全联合惩戒制度，20231113电信网络诈骗及其关联（征求意见稿（面向社会公开（）查阅公开征求意见稿，20231212（二）合规要点《惩戒办法》共19条，主要包括6个方面的内容。一是明确了联合惩戒的基本原则，要求联合惩戒应当遵循依法认定、过惩相当、动态管理原则，坚持预防、管理为主，注重源头治理、前端防范。二是明确惩戒对象3第一类即因实施电信网络诈骗犯罪活动，或者实施与电信网络诈骗相关联的帮（边（边境等犯罪受过刑事处罚的人员；第二类是个人和相关组织者4三是细化惩戒措施568四是采取分级惩戒9融和电信网络惩戒措施的期限为三年以适用第8二年8行政管理、公共事业管理部门支付的款项除外，支付账户余额可以转出、提现，可申请新开立暂停非柜面出金业务的银行账户，为惩戒对象保留一张非涉案电话卡等，保留了惩戒对象基本的金融、通信服务，确保满足其基本生活需要，充分体现惩戒的适度性。第10条规定了惩戒期限的计算方式，对惩戒期限内多次纳入惩戒名单的，连续执行惩戒期限不得超过5年，明确惩戒到期后自动解除。五是规范惩戒程序111311公安部通过“总对总”方式将地方公安机关出具的联合惩戒对象报送表移送国家发展12作出惩戒对象认定的公安机关应当采取当面或者邮寄等方式，将惩戒的事由141614向作出认定的公安机关申诉信中心应当按照有关规定及时将惩戒对象相关信息移出全国信用信息共享平台和金融信用信息基础数据库，终止信息共享。（三）简析和建议合惩戒行为 五、市场监管总局就《网络交易执法协查暂行办法五、市场监管总局就《网络交易执法协查暂行办法（征求意见稿）》公开征求意见（一）主要内容1114《（征求意见稿》（安全和个人信息安全。执法协查的定义和适用范围（以下简称平台经营者协查原则与保密原则得超出履行法定职责所必需的范围和限度”规定了协查内容为“要求平台经营者提供平台内经营者身份信息、商品或者服序规定。责任。第十八、十九条规定了解释机关与生效时间。1234者协查信息标准化字段。（二）合规要点1、平台经营者应当配合执法协查（编号督管理部门。第二步，平台经营者应当2平台经营者应当在期限届满前告知提2、平台经营者协查标准化字段范围第一，信息调取原则，《办法》第三条规定执法协查工作应当“遵循合法、合理、高效原则，向平台调取的信息应当遵循‘必要且适当’原则，不得超出履行法定职责所必需的范围和限度”。34并附是否已经立案等说明材料3、平台经营者协查其他特殊要求信息依法予以保密，不得泄露或者非法向他人提供38义务，可由市场监督管理部门责令改正，可以处五千元以上三万元以下罚款（三）简析和建议责任追究等多个方面，对于网络交易平台的合规经营提出了一系列要求。在《办法》之前，《电子商务法》第25条、《网络交易监督管理办法》第2234配合。企业应当遵照《办法》中规定的要求和程序，配合市场监督管理部门进行执法协查。第一要了解协查程序，确保及时响应市场监督管理部门的协查请求，并采取预防措施，第三，在协查过程中，企业应当做好保密工作，息、案情等信息依法予以保密，不得泄露或者非法向他人提供。 六、财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法六、财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法（征求意见稿）》（一）主要内容为贯彻落实《国务院办公厅关于进一步规范财务审计秩序促进注册会计师（202130（征求意见稿。536（二）合规要点1、明确适用范围、数据定义和各方主体适用范围是在中国境内依法设立并为上市公司以及非上市的国有协会是会计师事务所数据安全的自律管理主体。2、加强会计师事务所数据管理。会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。会计师事务所应当在下列方面履行本所数据安全管理责任：建立健全数据安全管理制度，完善数据运营和管控机制；健全数据安全管理组织架构，明确数据安全管理权责机制；实施与业务特点相适应的数据分类分级管理；定期复核并按有关规定保留数据访问记录；组织开展数据安全教育培训；法律法规规定的其他事项。34、数据存储及出境要求在境内形成的审计工作底稿应当存放在境内务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款逐级复核机制，采取必要措施严格落实审计工作底稿涉密敏感信息管控责任。（三）简析和建议提供境内项目资料数据等类似条款。 七、国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设七、国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》（一）主要内容20231123（积极支持家服务业扩大开放综合示范区建设。61704（二）合规要点开发利用1、电信服务领域将在北京取消信息服务业务（仅限应用商店，不含网络出版服务）、互联网接入（资股比限制研究适时建设国际信息产业和数字贸易港，加强数字领域国际合作，推动相关国市场安全试点推动电子签名证书跨境互认和电子合同跨境认可机制，推广电子签名互认证书在公共服务、金融、商贸等领域应用；支持北京参与制定数字经济领域标准规范，探索人工智能治理标准与规则建设，参与相关国际、国家、行业标准制定；深入推广数据安全管理认证利用中国国际服务贸易交易会、中关村论坛、金融街论坛、全球数字经3、数据资源开发利用支持北京积极创建数据基础制度先行区，推动建立健全数据产权制度、数据要素流通和交易制度、数据要素收益分配制度、数据要素治理制度；壮大北京国际数据交易联盟，健全交易标准和市场运营体系，推进数据托管服务推动完善数据权属登记和数据资产评估机制制定数据交易标准合同指引，出台数据交易负面清单和谨慎清单加大公共数据开放力度，完善第三方多元主体开发利用数据机制，探索建设安全可信的数据共享空间，鼓励多方公共数据导入和融合应用；扩大面向北京市具备数据加工处理和分析能力的经营主体范围，免费提权数据库；在国家数据跨境传输安全管理制度框架下，开展数据出境安全评估、个据流动又能保障安全的机制；推动建设数据跨境服务中心与技术服务平台，探索提供安全治理、监测审计、体系认证等全链条第三方服务；支持设立跨国机构数据流通服务窗口，以合规服务方式优先实现集团内数据安全合规跨境传输；探索制定深化运用金融科技创新监管工具，充分发挥数字技术和数据要素作用，提升金融科技守正创新能力和惠民利企水平；新运用 八、北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程八、北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程（试行）》（一）主要内容1114务规程（试行）》（以下简称“《业务规程》”）。交易、开放等流通活动合规、有序进行。（二）合规要点《业务规程》有六大核心要点：1、规范数据清洗、去标识化、匿名化处理旨在推动数据要素强化优质供给2、数据清洗是数据可用的保障数据清洗去标识化和匿名化处理的前置步骤。3数据去标识化不可识别性信息的安全防护水平。4、数据匿名化是去标识化的强化数据匿名化处理足“难以复原性态。5、去标识化和匿名化未有严格界分根据相关技术方法抗重新识别风险的能力大小和对敏感内容安全防护程度6、产业应用需要强调安全性和可用性的平衡筹组合形成平衡安全要求和应用目的的有效技术方案。（三）简析和建议据北京经信局介绍，《业务规程》将作为北京数据基础制度先行区内数据处理活动的工作指南。因此先行区内的企业应在《个人信息保护法》《数据安全法》《北京市数字经济促进条例》《北京市数字