法 规 速 递
信安标委发布《网约车服务数据安全指南(征求意见稿)》
2020年11月10日,全国信息安全标准化技术委员会发布了《信息安全技术 网络预约汽车服务数据安全指南(征求意见稿)》("《征求意见稿》"),向社会公开征求意见,征集期至2021年1月8日。
《征求意见稿》规定了网络预约汽车服务运营者开展服务时数据收集、存储、使用、共享、公开 披露、删除的数据类型、范围、方式和条件,以及数据安全管理要求。
数据收集方面的要求如下:
- 网络预约汽车服务运营者在收集用户个人信息前,应告知用户并征得用户同意;
- 用户拒绝提供网络预约汽车服务最小必要个人信息以外的个人信息时,网络预约汽车服务运营者不应拒绝供网络预约汽车服务;
- 用户拒绝提供网络预约汽车服务可选业务功能对应的最小必要个人信息时,网络预约汽车服务运营者可拒绝供对应可选业务功能服务,但不应拒绝供网络预约汽车服务。
数据传输和存储方面要求如下:
- 网络预约汽车服务运营者通过互联网传输个人信息时,应采用加密等安全措施;
- 网络预约汽车服务运营者应将乘客和驾驶员的个人身份信息、面部识别特征和行程录音录像数据分开存储;
- 网络预约汽车服务运营者不宜将行程轨迹和行程录音录像数据存储在办公终端中,宜在有安全防护措施的服务器端存储。
《征求意见稿》还规定网络预约汽车服务运营者不应滥用大数据分析等技术手段,基于用户消费记录、消费偏好等设置不公平的交易条件,侵犯用户合法权益。
信安标委发布《人工智能伦理道德规范指引》(征求意见稿)
2020年11月9日,全国信息安全标准化技术委员会秘书处编制了《网络安全标准实践指南—人工智能伦理道德规范指引(征求意见稿)》(下称"《征求意见稿》"),并向社会征求意见,意见反馈时间截至11月23日。
《征求意见稿》针对可能产生的人工智能伦理道德问题,给出了安全风险警示、提出了开展人工智能研究开发、设计制造、部署应用、消费者使用等相关活动的规范指引。
在部署应用上,《征求意见稿》规定部署应用者应向用户及时、准确、完整、清晰、无歧义地说明人工智能相关系统、产品或服务的功能、局限、风险以及影响,解释相关应用过程以及应用结果;同时应以清楚明确并便于操作的方式向用户提供能够拒绝或停止使用人工智能相关系统、产品或服务的机制;在用户拒绝或停止使用后,应尽可能为用户提供非人工智能的替代选择方案。
https://www.tc260.org.cn/front/postDetail.html?id=20201109163419
RCEP:保护电子商务用户个人信息
2020年11月15日,《区域全面经济伙伴关系协定》("RCEP")签订。RCEP包括20个章节,涵盖货物、服务、投资等全面的市场准入承诺。
RCEP"电子商务"章规定鼓励缔约方通过电子方式改善贸易管理与程序的条款;要求缔约方为电子商务创造有利环境,保护电子商务用户的个人信息,为在线消费者提供保护,并针对非应邀商业电子信息加强监管和合作。对于通过电子方式跨境传输信息,RCEP还规定缔约方不得组织涵盖的人进行商业行为而通过电子方式跨境传输信息。
http://fta.mofcom.gov.cn/rcep/rceppdf/d12z_en.pdf
关于35款App存在个人信息收集使用问题的通告
2020年11月13日,App违法违规收集使用个人信息治理工作组评估发现,35款App存在个人信息收集使用问题,建议相关App运营者及时对存在的问题进行整改,并自即日起30日内向工作组反馈整改情况。30日后工作组将对整改情况进行核验,并向相关部门提交复核结果,对不能有效整改的建议依法予以处置。
https://mp.weixin.qq.com/s/KGFSSM9yuIxs9Wrv2tR24w
直播营销平台应建立个人信息保护机制
2020年11月13日,国家互联网信息办公室发出《互联网直播营销信息内容服务管理规定(征求意见稿)》("《征求意见稿》"),现向社会征求意见,意见反馈截止于11月28日。
《征求意见稿》规定直播营销平台应当建立健全账号及直播营销业务注册注销、信息安全管理、营销行为规范、未成年人保护、用户权益保护、个人信息保护、信用评价、数据安全等机制。同时,《征求意见稿》还规定直播营销平台应当加强互联网直播营销信息内容服务管理,发现违法和不良信息,应当立即采取处置措施,保存有关记录,并向有关主管部门报告。直播营销平台应当防范和制止违法广告、价格欺诈等侵害用户权益的行为,以显著方式警示用户平台外私下交易等行为的风险。
http://www.cac.gov.cn/2020-11/13/c_1606832591123790.htm
中国人民银行发布金融行业网络安全等级保护测评指南和实施指引
2020年11月11日,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护测评指南》("《测评指南》")和《金融行业网络安全等级保护实施指引》("《实施指引》")。
《测评指南》规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。《指南》适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。
《实施指引》共包括六部分,规范了金融行业网络安全保障框架和不同安全等级对应的安全要求、金融行业网络安全等级保护工作的基础框架和术语定义、金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价要求、金融机构网络安全培训相关要求、金融机构网络安全等级保护工作实施审计的要求等,《实施指引》适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。
https://www.cfstc.org/bzgk/gk/view/bzxq.jsp?i_id=1891
https://www.cfstc.org/bzgk/gk/view/bzxq.jsp?i_id=1885
信安标委发布《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
2020年11月27日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》("《指引》")。
《指引》给出了App使用SDK的相关方责任和常见安全问题,并针对常见问题给出了App提供者和SDK提供者的安全原则和安全措施。《指引》适用于App提供者使用SDK时防范SDK安全和合规风险,也适用于SDK提供者保障SDK安全和用户个人信息时参考。
《指引》规定App提供者应采取充分安全措施保证使用SDK不引入安全风险,如在集成SDK前对SDK进行安全性评估,对集成后的SDK进行持续动态监测或定期进行安全评估,与SDK提供者签订合作协议或进一步完善与SDK提供者的合作协议等。
此外,SDK提供者应采取收集个人信息的频率应是实现自身业务功能所必需的最低频率,通过代码审计、代码混淆等方式,增强自身安全性等措施。
https://www.tc260.org.cn/upload/2020-11-27/1606438309423027911.pdf
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
