网络安全与数据合规法律动态速递（2023年第1期）

（一）中国资讯

2023年2月8日，工业和信息化部信息通信管理局发布了2023年第1批《关于侵害用户权益行为的APP通报》（以下简称“《通报》”），《通报》中列出包括墨迹天气极速版、华为阅读等共计46款APP（SDK），主要涉及问题为APP强制、频繁、过度索取权限、欺骗误导强迫用户、违规或超范围收集个人信息等。《通报》中明确，其中涉及的APP及SDK应在2月15日前完成整改落实工作。逾期不整改的，工业和信息化部将依法依规组织开展相关处置工作。

2023年2月6日，工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》（以下简称“《通知》”），《通知》在提升全流程服务感知及保护用户合法权益层面，提出了包括了规范安装卸载行为、优化服务体验、加强个人信息保护、响应用户诉求等四个方面，共计十二个措施，并在提升全链条管理能力及营造健康服务生态层面，提出了包括落实APP开发运营者主体责任、强化平台分发管理、规范SDK应用服务、筑牢终端安全防线、夯实接入企业责任等五个方面，共计十四个措施。

2023年1月19日，上海市人民政府公布《上海市信息基础设施管理办法》，自2023年3月1日起施行。该办法共三十条，适用于上海市内信息基础设施的规划、建设、维护、保护和监督等活动，明确将推进长江三角洲区域信息基础设施一体化建设，共同构建新一代信息基础设施，推动设施互联互通，加强设施保护的会商和信息共享，完善应急联动、执法协助等工作机制，推进信息基础设施共建共享与公共领域物联感知设施建设等。

2023年1月18日，西藏自治区人民代表大会常务委员会发布《西藏自治区网络信息安全管理条例》（以下简称“《条例》”），自2023年2月1日起施行。《条例》把网络信息安全工作积累的许多有效经验和做法上升为法制规范，明确为有关主体的权利和义务，将有利于保障网络信息安全工作的系统性、规范性、协调性、稳定性，使维护网络信息安全成为全社会的思想和行为自觉。

2023年1月13日，工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》（以下简称“《指导意见》”）。《指导意见》定位为数据安全产业顶层政策文件，提出了到2025年数据安全产业基础能力和综合实力明显增强、到2035年数据安全产业进入繁荣成熟期的两大阶段性发展目标，并围绕前述两个目标提出了七项重点任务及配套保障措施。《指导意见》将有力推动数据安全产业高质量发展，提高各行业各领域数据安全保障能力，加速数据要素市场培育和价值释放，夯实数字中国建设和数字经济发展基础。

2022年12月31日，上海市经济和信息化委员会与上海市互联网信息办公室联合发布《上海市公共数据开放实施细则》（以下简称“《实施细则》”），有效期至2027年12月30日。《实施细则》从扩大数据开放范围、细化数据获取流程、完善信息开放平台、创新数据利用方式等四个方面入手对上海市公共数据开放提供可行性指导及配套保障措施。《实施细则》将促进和规范上海市公共数据开放、获取、利用和安全管理，推动公共数据更广范围、更深层次、更高质量开放，深入赋能治理、经济、生活各领域城市数字化转型。

2023年2月24日，欧洲数据保护委员会（以下简称“EDPB”）在经过公众咨询之后，最终发布了三套准则：关于第3条的适用与根据《通用数据保护条例》（以下简称“GDPR”）第五章规定的国际转让条款之间相互影响的准则；将认证作为转让工具的准则；关于社交媒体平台界面中“欺骗性设计模式”的准则。

2023年1月31日，国际标准组织（以下简称“ISO”）发布了ISO 31700-1：2023《产品和服务设计中的消费者隐私保护 第1部分：高阶要求》和ISO/TR 31700-2：2023《产品和服务设计中的消费者隐私保护 第2部分：应用案例》，以期指导组织实现产品和服务全生命周期中的消费者隐私保护。本次标准的目标受众包括参与开发、实施或运营数字化产品及服务的工程师和从业人员。

ISO 31700-1对产品及服务的隐私设计提出了高标准要求，即组织需保障在产品及服务全生命周期中的消费者隐私，提出了在产品及服务设计以及开发过程中充分考虑消费者隐私保护的方法，覆盖产品及服务投放市场前、消费者购买和使用过程中，直至停止使用的全流程。

ISO 31700-2则补充提供了包括在线零售、健身公司和智能锁等领域的说明性示例及相关分析，以助于对ISO 31700-1的理解。ISO 31700-2指出隐私设计应以消费者为中心，即将消费者的隐私权和偏好置于产品开发和运营的核心位置。

2023年1月27日，EDPB官方网站发布了一则芬兰数据保护监管机构（以下简称“SA”）做出的行政处罚决定。SA根据2018-2019年的投诉对某公司的做法进行了调查，调查显示，该公司在处理身体质量指数和最大摄氧量数据时没有获得GDPR要求的同意。因此，SA对该公司处以12.2万欧元的行政罚款及训诫，并责令该公司纠正其征求同意的做法。但该裁决仍不是最终裁决，该公司仍可以向行政法院提出上诉。

2023年1月18日，EDPB通过了一份关于其第一次协调执法行动结果的报告，重点是公共部门使用云服务。EDPB强调，公共机构需要完全按照GDPR行事，并在使用云产品或云服务方面向公共部门组织提出建议。同时提供了数据保护机构（以下简称“DPA”）在云计算领域已经采取的行动清单。

此外，EDPB通过了一份关于Cookie横幅工作组工作的报告。该工作组成立于2021年9月，旨在协调对非政府组织NOYB向几个欧洲经济区DPA提交的有关cookie横幅的投诉的回应。工作组旨在促进政治部之间的合作、信息共享和最佳做法，这有助于确保整个欧洲经济区对cookie横幅采取一致的方法。在报告中，DPA在解释电子隐私指令和GDPR的适用条款时就拒绝按钮、预勾选框、横幅设计或撤回图标等问题商定了一个共同点。

2023年1月10日，美国联邦贸易委员会（以下简称“FTC”）对酒类电商企业Drizly及其首席执行官发布了一项命令，内容关于该公司的安全故障。FTC表示，Drizly的安全故障导致了一个数据泄露事件，暴露了约250万消费者的个人信息。FTC要求的措施包括：要求Drizly销毁其非为消费者提供产品或服务所必需而收集到的个人数据、应当避免超出前述范围收集或存储个人信息、应在其网站上公开详细地说明其需要收集的信息及说明收集此类信息的必要性等。此外，FTC还要求Drizly的首席执行官Rellas在其未来担任主要股东、CEO或负有信息安全义务的高级管理人员的公司中，若该公司可以收集25,000人的个人信息，则其必须在该公司实施信息安全计划。

2022年12月31日，爱尔兰数据保护机构（以下简称“IE DPA”）在基于投诉对Facebook和Instagram的活动进行调查后，通过了Facebook和Instagram在行为定向广告的合法性和透明度方面的决定。Meta平台爱尔兰有限公司（以下简称“Meta IE”）在对Facebook的决定中被IE DPA罚款2.1亿欧元，并在对Instagram的决定中被IE DPA罚款1.8亿欧元。此番决定是根据EDPB于12月5日发布的相关具有约束力的决定而出。EDPB裁定，Meta IE不恰当地依赖合同作为合法性基础处理个人信息，行为定向广告并非Facebook的《服务条款》和Instagram的《使用条款》所涉服务的核心要素。EDPB主席Andrea Jelinek认为，这类广告对于履行与Facebook和Instagram用户的合同没有必要，该等决定也可能对其他以行为定向广告为其商业模式核心的平台产生重要影响。

本期编辑：何为、侯宛辰、吴桐