第三方维护审核不给提现处理方法 网络安全与数据合规动态（2022.12）

3、国家能源局修订印发《电力行业网络安全等级保护管理办法》

为深入贯彻习近平总书记关于网络强国的重要思想，规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平，国家能源局于近日修订印发了《电力行业网络安全等级保护管理办法》（国能发安全规〔2022〕101号）（以下简称《管理办法》）。新修订的《管理办法》重点围绕电力行业网络安全等级保护各环节，将全文划分为总则、等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理、法律责任、附则等6个章节，阐述了制定目的、适用范围和职责，明确了电力行业网络安全保护等级划分和等级保护工作原则，规定了国家能源局及其派出机构、电力企业及网络安全等级保护测评机构在电力行业网络安全等级保护定级、审核、建设、测评、检查及密码管理等方面的有关要求，以及法律责任。本次修订根据国家法律法规和标准规范等，将电力行业网络安全等级保护原则由“自主定级、自主保护”修订为“分等级保护、突出重点、积极防御、综合防范”，调整了文件名称及有关术语，完善了等级划分、测评周期等有关要求，规范了定级审核流程，优化了定级结果备案、测评报告备案等程序，加强了对从事电力行业网络安全等级保护测评机构的要求。（来源：中国质量报）

4、工信部就《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》公开征求意见

12月27日，工业和信息化部在官方网站公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》的意见。《征求意见稿》对安装卸载行为、优化服务体验、加强个人信息保护以及响应用户诉求等方面作出了相关规定。《征求意见稿》提出，APP应确保知情同意安装。向用户推荐下载APP应真实、准确、完整地明示开发者信息、产品功能、隐私政策、权限列表等必要信息，并同步提供明显的“取消”选项，经用户确认同意后方可下载安装。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。用户浏览页面内容时，不得自动或强制下载APP，或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开APP影响用户正常浏览信息。无合理正当理由，不得要求用户不下载APP就不给看，或者不让看全文。除基本功能软件外，APP应可便捷卸载，不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。《征求意见稿》还要求优化移动互联网应用服务体验。开通会员、收费等附加条件应显著提示。此外，《征求意见稿》还对APP服务续期及时提醒，明示个人信息处理规则、合理申请使用权限和及时响应用户诉求提出了具体要求。（来源：央视网）

5、SDK个人信息处理规范等9项电信团体标准发布

11月25日，电信终端产业协会（TAF）公开发布9项电信领域团体标准，均自发布之日起实施。

1.《T/TAF 014—2022 移动智能终端应用软件分类与可卸载实施规范》：本文件规定了移动智能终端应用软件分类、可卸载实施的原则、可卸载实施要求及测试方法，适用于移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过移动智能终端下载、安装、更新的应用软件。

2.《T/TAF 077.1—2022 APP收集使用个人信息最小必要评估规范 第1部分：总则》：本文件明确APP收集使用个人信息最小必要评估规范系列标准中术语定义，规定了收集使用的最小必要原则及要求，是APP收集使用个人信息最小必要评估规范系列标准的引领部分，或为其他移动终端数据相关标准提供参考，适用于移动应用软件收集使用个人信息的设计、开发和评估，个别条款不适用于特殊行业、专业应用，其他终端也可参考使用。

3.《T/TAF 078.7—2022 APP用户权益保护测评规范 第7部分：欺骗误导强迫行为》：本文件根据《中华人民共和国网络安全法》等相关法律要求，依据《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》规定了在移动应用软件的欺骗误导强迫行为的检测细则以及典型检测场景，适用于移动应用软件提供者规范欺骗误导强迫行为，也适用于主管部门、第三方评估机构等组织对移动应用软件的欺骗误导强迫行为进行监督、管理和评估。

4.《T/TAF 123—2022 软件开发包（SDK）个人信息处理规范》：本文件根据《中华人民共和国个人信息保护法》等相关法律要求，规定了对外提供服务的软件开发包（SDK）个人信息处理规范，包括软件开发包（SDK）处理个人信息的基本要求、软件开发包（SDK）提供者的基本要求以及保障及时响应用户权利的要求，适用于软件开发包（SDK）提供者对个人信息处理活动进行设计、开发和评估，也适用于主管部门、第三方评估机构等组织对软件开发包的个人信息处理行为进行监督、管理和评估。

5.《T/TAF 137—2022 基于差分隐私的用户个人信息保护技术要求》：本文件规范了基于差分隐私的用户个人信息保护技术要求，包括差分隐私系统技术架构、差分隐私能力要求、差分隐私保护分级、差分隐私保护效果评定，适用于应用在移动智能终端的差分隐私技术，也适用于评估机构基于本文件开展差分隐私产品保护个人信息的评估工作。

6.《T/TAF 138—2022 App推荐算法用户权益保护技术要求及测评规范》：本文件规定了App推荐算法在用户权益保护方面应满足的基本原则、个人信息保护要求、推荐算法技术安全要求、用户主体权益保护要求、推荐算法安全管理要求及测评方法，适用于App推荐算法服务提供者规范其个人信息处理活动、算法建模及使用行为，也适用于监管部门、第三方评估机构等组织对App推荐算法服务进行监督、管理和评估。

7.《T/TAF 139—2022 电信和互联网个人信息保护能力审计规范》：本文件规定了个人信息保护合规审计规范，主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估，适用于第三方评估机构开展评估工作，，同时也适用于个人信息处理者进行自评估。

8.《T/TAF 140—2022 智能手表用户权益保护测评规范》：本文件规定了智能手表用户权益保护要求，主要对智能手表操作系统、智能手表控制端、智能手表APP及SDK和智能手表应用分发平台等提出相关要求，适用于智能手表设备的设计、生产活动，也适用于主管部门、第三方评估机构等组织对智能手表用户权益保护情况开展监督、管理和评估。

9.《T/TAF 141—2022 智能电视用户权益保护测评规范》：本文件规定了智能电视用户权益保护要求，包括智能电视操作系统、APP、SDK、应用分发平台等方面，适用于主管部门、第三方评估机构等对智能电视操作系统、APP、SDK、应用分发平台用户权益保护情况进行评估，也适用于智能电视设备厂商、应用开发者、应用分发平台企业在设计、生产、维护阶段进行自评估。（来源：TMT法律论坛）

6、《个人信息跨境处理活动安全认证规范V2.0》正式发布

12月16日，全国信息安全标准化技术委员会秘书处发布正式版《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求。本《实践指南》包括基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容，为认证机构对个人信息处理者的个人信息跨境处理活动开展认证提供依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。申请认证的个人信息处理者应取得合法的法人资格，正常经营且具有良好的信誉、商誉；跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证，并承担法律责任；《个人信息保护法》第三条第二款规定的境外个人信息处理者，可由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。（来源：数据保护官微信公众号）

7、财政部发布《企业数据资源相关会计处理暂行规定（征求意见稿）》

12月9日，为加强企业数据资源管理，规范企业数据资源相关会计处理，强化相关会计信息披露，财政部起草了《企业数据资源相关会计处理暂行规定（征求意见稿）》（下称《暂行规定》）。《暂行规定》包括四个部分，主要内容包括：一是适用范围。结合会计上有关资产的属性确定了《暂行规定》的适用范围，明确《暂行规定》适用于符合准则规定、可确认为相关资产的数据资源，以及不满足资产确认条件而未予确认的数据资源的相关会计处理。此外，《暂行规定》采取了暂行规定的形式，随着未来数据资源相关理论和实务的发展，可及时跟进调整。二是数据资源会计处理适用的准则。《暂行规定》明确现阶段数据资源会计处理应当按照企业会计准则执行，并按照会计上经济利益实现方式，进一步细分为“企业内部使用的数据资源”和“企业对外交易的数据资源”两类，明确两类数据资源在确认、初始计量、后续计量、收入确认等环节应当遵循的具体准则，同时，对实务反映的一些重点问题，结合数据资源业务模式等实际情况予以细化，加强实务指导。三是披露要求。《暂行规定》要求企业在按照相关具体准则规定进行相应披露的同时，通过表格方式细化披露相关信息，并规定企业可根据实际情况自愿披露数据资源（含未作为无形资产或存货确认的数据资源）的相关信息。四是附则。附则规定了《暂行规定》的施行时间和企业的衔接处理要求，要求企业采用未来适用法应用本《暂行规定》。（来源：中国证券报）

8、《贵州省数据流通交易管理办法（试行）》发布

数据是数字经济时代的关键生产要素，是国家基础性战略性资源。为落实《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（中发〔2020〕9 号）、《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（中发〔2022〕32 号）、《国务院关于支持贵州在新时代西部大开发上闯新路的意见》（国发〔2022〕2 号）等文件要求，规范数据流通交易运行，培育数据要素市场。经贵州省人民政府同意，贵州省大数据发展管理局出台《贵州省数据流通交易管理办法（试行）》（以下简称《管理办法》）。《管理办法》共 9 章 42 条，分为总则、部门职责、交易场所、交易标的、交易主体、交易流程、安全管理、监督管理、附则。《管理办法》明确贵阳大数据交易所是我省依法依规面向全国提供数据流通交易服务的交易场所。一是贵阳大数据交易所是省有关监管部门批准设立的从事数据交易的场所。二是贵阳大数据交易所由 ” 贵州省数据流通交易服务中心 + 贵阳大数据交易所有限责任公司” 组成。三是提供服务交易主体、交易标的登记凭证服务；多元化数据交易产品供需撮合服务 ; 在线签约、资金结算等服务；组织法律咨询、数据公证、质量评估、数据经纪、合规认证、安全审查、资产评估、争议仲裁、人才培训等第三方专业配套服务；组织数据资产金融创新服务；其他与数据流通交易活动相关的配套服务。《管理办法》明确交易标的的内容范围、交付方式等，并对不得流通交易的情形进行了规定。一是交易标的包括数据产品和服务、算力资源、算法工具等。二是交易标的可以通过 API/SDK 接口、数据集、数据报告、算法模型、算力资源部署、数据系统部署及其他数据服务等方式进行交付。三是危害国家安全和社会稳定的、涉及损毁他人名誉及未经授权的身份、财产和其他敏感数据等特定个人权益的、涉及未经授权的企业数据、商业秘密等特定企业权益的、从非法、违规渠道获取的、其他法律、法规明确规定禁止交易的禁止流通交易。（来源：贵州省大数据发展管理局）

03

执法动态

1、中央网信办整治应用程序乱象 “剑指”搜索、下载、使用各环节

据中国网信网消息，为规范移动互联网应用程序信息服务管理，深入治理APP、小程序、快应用等应用程序乱象，进一步压实应用程序分发平台主体责任，促进行业健康有序发展，中央网信办开展“清朗·移动互联网应用程序领域乱象整治”专项行动。据了解，在搜索查找环节，专项行动重点打击“山寨APP”。严厉打击各类假冒APP以相似标志、图片、文字以假乱真，欺骗用户访问下载、违规收集个人信息、传播不良有害信息。从严查处各类小程序违法收取用户预付款，欺诈消费者、卷钱跑路。从严整治虚假排名。从严惩处应用程序提供者为获得更好的排名或者推荐位，刷虚假下载量和好评，诱导用户下载。坚决打击应用程序分发平台弄虚作假，为应用程序作虚假排名推荐。同时，全面净化页面呈现。全面清理应用商店首页首屏、搜索推荐等重要页面呈现低俗、软**等违法不良信息。严格规范备案要求。重点打击未经备案提供应用程序分发服务的行为。对通过浏览器以链接或二维码等方式提供下载服务的，须按照《移动互联网应用程序信息服务管理规定》进行备案。在下载安装环节，专项行动要求集中整治强制、捆绑下载安装。重点治理应用程序关闭、退出等按钮失灵，未经用户同意自动下载安装的行为。严厉打击通过默认勾选标记，误导用户点击下载安装捆绑软件的行为。从严查处应用程序提供者上架版本与实际运营版本不一致，通过内嵌非法软件或违规马甲包等开展涉黄涉赌等违法行为。严厉打击以赚钱为诱饵诱导用户下载。重点治理应用程序分发平台恶意推广赚钱类应用程序，套路用户，利用流量变现获利。坚决打击各类应用程序以赚钱为幌子欺骗用户下载使用，设置多种提现障碍。在运行使用环节，专项行动将整治以下三方面内容：一是集中治理弹窗问题，二是严格规范功能设置，三是严厉打击诱导充值。（来源：人民网）

04

司法审判

1、李开祥侵犯公民个人信息刑事附带民事公益诉讼案——指导性案例192号

【案号】（2021）沪0120刑初828号

【裁判要旨】使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况，属于刑法规定的公民个人信息。行为人未经公民本人同意，未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由，利用软件程序等方式窃取或者以其他方法非法获取上述信息，情节严重的，应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。

【基本案情】2020年6月至9月间，被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”，打包成安卓手机端的“APK安装包”，发布于暗网“茶马古道”论坛售卖，并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。用户下载安装“颜值检测”软件使用时，“颜值检测”软件会自动在后台获取手机相册里的照片，并自动上传到被告人搭建的腾讯云服务器后台，从而窃取安装者相册照片共计1751张，其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。2020年9月，被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子，后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘，经其本人查看，确认含有个人真实信息。2021年2月，被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等，仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群，提供给群成员免费下载。经鉴定，“社工库资料”经去除无效数据并进行合并去重后，包含各类公民个人信息共计8100万余条。

上海市奉贤区人民检察院以社会公共利益受到损害为由，向上海市奉贤区人民法院提起刑事附带民事公益诉讼。被告人李开祥对起诉指控的基本犯罪事实及定性无异议，且自愿认罪认罚。辩护人提出被告人李开祥系初犯，到案后如实供述所犯罪行，且自愿认罪认罚等辩护意见，建议对被告人李开祥从轻处罚，请求法庭对其适用缓刑。辩护人另辩称，检察机关未对涉案8100万余条数据信息的真实性核实确认。

【裁判结果】上海市奉贤区人民法院于2021年8月23日以（2021）沪0120刑初828号刑事判决，认定被告人李开祥犯侵犯公民个人信息罪，判处有期徒刑三年，宣告缓刑三年，并处罚金人民币一万元；扣押在案的犯罪工具予以没收。判决李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MＥＧＡ”网盘上相关公民个人信息，并注销侵权所用ＱＱ号码。一审判决后，没有抗诉、上诉，判决现已生效。

【裁判理由】法院生效裁判认为：本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。法院经审理认为，“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息，利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为，属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为，依法应予惩处。主要理由如下：第一，“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中列举了公民个人信息种类，虽未对“人脸信息”单独列举，但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致，即将“可识别性”作为个人信息的认定标准，强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息，其具有不可更改性和唯一性，人脸与自然人个体一一对应，无需结合其他信息即可直接识别到特定自然人身份，具有极高的“可识别性”。第二，将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。

民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类，个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴，侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的，须承担相应的民事责任或行政、刑事责任。第三，采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息，亦是社交属性较强、采集方便的个人信息，极易被他人直接利用或制作合成，从而破解人脸识别验证程序，引发侵害隐私权、名誉权等违法行为，甚至盗窃、诈骗等犯罪行为，社会危害较大。被告人李开祥操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片，利用了互联网平台的开放性，以不特定公众为目标，手段隐蔽、欺骗性强、窃取面广，具有明显的社会危害性，需用刑法加以规制。……综上，被告人李开祥违反国家有关规定，非法获取并向他人提供公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。被告人李开祥到案后能如实供述自己的罪行，依法可以从轻处罚，且自愿认罪认罚，依法可以从宽处理。李开祥非法获取并向他人提供公民个人信息的侵权行为，侵害了众多公民个人信息安全，损害社会公共利益，应当承担相应的民事责任。故依法作出上述判决。（来源：最高人民法院微信公众号）

05

新闻事件

1、中国电信：将同步删除“通信行程卡”用户行程数据

“通信行程卡”公众号12月12日零点公告，13日0时起，正式下线“通信行程卡”，短信、网页、微信小程序、支付宝小程序、APP等查询渠道将同步下线。12月12日，中国电信方面对第一财经记者表示，按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定，“通信行程卡”系统自12月13日0时下线相关服务后，将同步删除用户行程相关全部数据，依法保障个人信息安全。公开资料显示，“通信行程卡”在2020年2月底上线，系工信部组织中国信通院和移动等运营商推出防疫专用的公益性应用。此后数次迭代，添加了行程标星等功能。数据显示，我国已有近9亿人申领“健康码”，使用次数超600亿次。（来源：第一财经）

06

域外观察

1、亚马逊与欧盟达成反垄断和解协议，避免遭受巨额罚款

据最新报道，亚马逊已与欧盟反垄断监管机构“欧盟委员会”就其使用数据损害竞争对手的担忧达成最终协议，从而结束了欧盟委员会针对亚马逊展开的两项调查。2020年11月，欧盟委员会指控亚马逊利用其规模、实力和数据，获得相对于在其平台上销售的较小商家的不公平优势。此外，欧盟还启动了另一项调查，评估亚马逊是否对自家的零售商品，以及使用其物流和送货服务的市场卖家给予优惠待遇。此前，彭博社11月26日针对此消息已有相关报道：有知情人士透露，亚马逊有可能在今年年底解决欧洲监管机构发起的反垄断调查，表示欧盟委员会“很可能在年底前接受亚马逊的约束性建议”。据介绍，这些建议包括终止某些有问题的做法，例如使用独立卖家的数据。另外，和解协议还应包括部分条款，如要求亚马逊“在为选出竞争中的赢家而对所有卖家进行排名时，给予平等对待”。实际上，亚马逊曾在今年 6 月试图安抚欧盟监管机构，表示他们同意与卖家分享其市场数据，并提高竞争对手产品在其网站上的展示方式，并在 7 月提出了另一份和解协议。对此，亚马逊的一位发言人拒绝就可能达成的和解协议置评，但表示该公司将继续与欧盟委员会互动，以避免违反监管规定。如果和解，则代表亚马逊目前所面临的监管压力将大大缓解，不过该公司目前仍受到德国联邦卡特尔办公室 ( ) 和英国竞争监管机构的审查。该公司的和解协议还承诺，“在对所有卖家进行排名时将会提供一视同仁的报价”。IT之家了解到，亚马逊会在其特殊广告位“buy box”中突出某一特定产品的卖家。目前，欧盟委员会和亚马逊的发言人均拒绝置评。亚马逊此前曾表示，尽管它不同意欧盟做出的一些结论，但它已“与欧盟委员会进行了建设性的接触，以解决他们的担忧，并保持我们服务欧洲客户的能力。”（来源：新浪科技、彭博社）

2、美欧数据跨境流通的第三次尝试：《欧盟-美国数据隐私框架的充分性决定草案》发布

当地时间12月13日，欧盟委员会启动了《欧盟-美国数据隐私框架充分性决定草案》（EU-U.S. Data ）（以下简称《草案》）的推进进程。据欧盟委员会介绍，《草案》反映了其对美国法律框架的评估，并得出结论——美国确保了对从欧盟转移到美国的个人数据的充分保护。而该《草案》的推进，将促进跨大西洋数据流动的安全性并推动解决欧盟法院在系列诉讼裁决中提出的对欧美间数据传输机制的担忧。值得注意的是，这是美欧之间就数据跨境流通第三次尝试。就在今年10月，美国总统拜登已签署《关于加强美国信号情报活动保障措施的行政命令》，以采取步骤履行今年3月宣布的《跨大西洋数据隐私框架》下的承诺。目前，该欧盟与美国之间的隐私框架仍在推进过程中。作为第一步，委员会已向欧洲数据保护委员会（EDPB）提交了《草案》。之后，由欧盟成员国代表组成的委员会将决议是否批准。此外，欧洲议会有权对该充分性决定进行审查。该程序完成后，委员会将着手通过最终的充分性决定。委员会希望在2023年夏天前实现这一目标。未来，欧盟委员会、欧洲数据保护机构和美国主管机构将定期审查欧盟-美国数据隐私框架的运行情况。第一次审查将在充分性决定生效后一年内进行，以验证美国法律框架的所有相关要素是否已充分实施并在实践中有效运行。（来源：南方财经全媒体）

免责声明：以上评论及解读仅作为一般法律信息参考，不代表金茂律师事务所或本所律师对具体法律问题的法律意见或建议。如果您需要针对特定问题的法律咨询和交流，欢迎与本所联系

往期推荐