竞天公诚网络安全与数据合规动态提报

|提报期间：2023/11/01-11/30|发件人：北京市竞天公诚律师事务所|联系人：周杨zhou.yang@jingtian.com 本期提示和分析回顾了2023年11月1日至11月30日期间可能影响企业业务的网络安全和数据合规领域重要新规和重要事件，具体如下所示：主题：网络安全和数据合规动态提报期间：2023年11月1日——11月30日 目录 一、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见............................................................ 1 （一）主要内容................................................ 1（二）合规要点................................................ 1（三）简析和建议.............................................. 2 二、工信部就《工业和信息化领域数据安全行政处罚裁量指引（试行）》公开征求意见.......................................................... 3 （一）主要内容................................................ 3（二）合规要点................................................ 3（三）简析和建议.............................................. 5 三、国家网信办开展“清朗·网络戾气整治”专项行动.................. 7 （一）主要内容................................................ 7（二）合规要点................................................ 7（三）简析和建议.............................................. 8 四、公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》征求意见......................................................... 10 （一）主要内容............................................... 10（二）合规要点............................................... 10（三）简析和建议............................................. 11 五、市场监管总局就《网络交易执法协查暂行办法（征求意见稿）》公开征求意见.............................................................12 （一）主要内容............................................... 12（二）合规要点............................................... 13（三）简析和建议............................................. 14 六、财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法（征求意见稿）》.....................................................15（一）主要内容............................................... 15（二）合规要点............................................... 15（三）简析和建议............................................. 16七、国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》........................................................... 17（一）主要内容............................................... 17（二）合规要点............................................... 17八、北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程（试行）》........................................................... 19（一）主要内容............................................... 19（二）合规要点............................................... 19（三）简析和建议............................................. 20 一、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见 （一）主要内容 2023年11月1日，为促进粤港澳大湾区个人信息跨境安全有序流动，全国信息安全标准化技术委员会秘书处编制了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》（以下简称“《指南》”），从范围、术语定义、基本原则、个人信息处理要求、个人信息权益保障要求、个人信息安全要求共六个方面，对粤港澳大湾区跨境个人信息保护提供了指引。 （二）合规要点 1、范围 《指南》适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于（适用于组织）／位于（适用于个人）粤港澳大湾区内的个人信息处理者，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，以及香港特别行政区的个人信息处理者，并不包括澳门特别行政区。 2、基本原则 《指南》明确个人信息处理者在跨境处理个人信息时，应遵循合法、正当、诚信原则；最小必要原则；公开透明原则；质量保障原则；确保安全原则；责任明确原则。 3、处理要求 《指南》明确，个人信息处理者处理个人信息应符合属地法律法规要求。对于内地的个人信息处理者明确了个人同意、履行合同所必需、履行法定职责或法定义务所必需、为应对突发公共卫生事件或紧急情况下为保护自然人的生命健康和财产安全所必需等情况。对香港的个人信息处理者而言，则应符合包括保障资料原则在内的香港《个人资料（私隐）条例》相关规定。 个人信息处理者收集个人信息之时或之前，应向个人信息主体告知个人信息收集目的、方式、范围，以及是否可选收集、向哪些类型接收方提供个人信息，属地法律法规另有规定的除外；制定并公开个人信息处理规则，以显著方式、清晰易懂的语言真实、准确、完整明示个人信息处理者的相关信息，以及个人信息处理活动的目的、方式等内容；基于个人同意处理个人信息的，该同意应由个人信息主体在充分知情的前提下自愿、明确作出；个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应重新取得个人信息主体同意；对于未成年人信息的处理存在特别的要求；对于敏感个人信息的跨境处理要求特定的目的和充分的必要，以及严格的保护措施等。 个人信息处理者存储、使用、加工个人信息也有明确的要求，包括最短时间；期限届满后删除或匿名化处理；对使用个人信息进行商业营销、自动化的提出了特殊的要求；以及其他特殊情形下的规定等。 个人信息处理者委托处理、提供、公开个人信息，对于受托人有严格的限制；并且要求双方明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等；委托合同不生效、无效、被撤销或者终止的，受托人应将个人信息返还个人信息处理者或者予以删除，不得保留；对于个人信息的转移、提供，需要保障个人的知情权及同意权等。 对于个人信息处理者跨境处理个人信息，需要制定安全管理制度和操作规程，进行日志记录并至少保存3年；形成个人信息跨境处理目录；建立最小授权的访问控制策略；承诺持续接受监督等。除上述通用规则外，《指南》还从跨境提供个人信息责任、跨境接受个人信息责任两个角度，提出了进一步要求。 4、个人信息权益保障要求 个人信息主体享有查阅、复制处理的个人信息；更正、补充个人信息；要求解释说明个人信息处理规则；撤回对个人信息处理的同意等权益。个人信息处理者应为个人信息主体行使权利提供便利条件，履行为个人信息主体提供查阅、更正、删除、撤回同意、拒绝处理个人信息的便捷渠道；建立便捷的个人行使权利的申请受理和处理机制等义务。 5、个人信息安全要求 个人信息处理者应当采取包括指定个人信息保护负责人、设立个人信息保护机构、采用加密等安全措施传输和存储敏感个人信息、制定个人信息安全事件应急预案、定期组织内部人员进行应急演练等措施，保护个人信息安全，防止跨境个人信息泄露、篡改、破坏、丢失。 （三）简析和建议 《指南》规定了粤港澳大湾区处理个人信息应遵循的基本原则和要求，为实施粤港澳大湾区个人信息保护认证提供了认证依据，也为大湾区个人信息处理者规范个人信息跨境处理活动提供了参考。总体来讲，主要是依据属地法律法规，尊重大湾区不同的法律体系，就内地而言主要依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规；就香港特别行政区而言主要是《个人资料（私隐）条例》等法律法规。总体而言大湾区法律日渐靠拢，且与大陆固有的对跨境个人信息保护的法律体系并不冲突，对于个人信息处理者存储、使用、加工，乃至委托处理、提供、公开个人信息的时间、处理方式都有着较为一体化的规定。对于跨境处理个人信息，特别强调了接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方。 《指南》的发布，便利了大湾区个人信息保护的认证及必要的信息传输，推动了大湾区数据跨境共享，有利于减轻企业合规负担，推动大湾区数字经济发展。 二、工信部就《工业和信息化领域数据安全行政处罚裁量指引（试行）》公开征求意见 （一）主要内容 11月23日，工业和信息化部发布了《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》（下称“《裁量指引（征）》”），向社会公开征求意见，截止日期为2023年12月23日。《裁量指引（征）》对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定，细化了《数据安全法》与《工业和信息化领域数据安全管理办法（试行）》监管框架下的相应合规要求，并明确列举了相应违法事由的处罚裁量基准和裁量尺度，为受监管企业与个人提供了工业和信息化领域数据安全合规指引，增加了工信部门执法活动的可预测性。 《裁量指引（征）》分为正文章节共五章及附件，在正文章节部分，《裁量指引（征）》对工业和信息化领域行政处罚机关的职责分工、工作原则、管辖安排与规定、一事不再罚、具体数据安全行政处罚情形、数据安全行政处罚裁量权适用规则等作出了明确规定；在附件《工业和信息化领域数据安全行政处罚裁量基准》部分，《裁量指引（征）》对已规定的数据安全行政处罚情形设定了细致的行政处罚种类和幅度裁量基准，并同时列明了相应的行政处罚法律渊源。 （二）合规要点 1、“合规免责”相关规定为企业合规工作赋予价值 承接《中华人民共和国行政处罚法》有关合规免责的法律规定，《裁量指引（征）》在行政处罚裁量权适用规则中亦明确规定，工业和信息化领域数据处理者有证据足以证明没有主观过错的，依法不予行政处罚。自2017年企业刑事合规无罪抗辩第一案后，我们已观察到多例刑事合规不起诉（包括在数据合规领域）的案例，