首页 >  威科专题 > 专题查看

 

 

返回本专题首页

TMT行业法律动态(2020年第一季度/总第11期)

二、 互联网

(一)与电子商务相关的规定

1.《电子商务信息公示管理办法(征求意见稿)》

为保护电子商务各方主体的知情权等合法权益,提高交易透明度,商务部于2020年2月12日发布《电子商务信息公示管理办法(征求意见稿)》。

根据《征求意见稿》,电子商务经营者应当依法公示有关信息或信息的链接标识,并鼓励电子商务经营者公示绿色包装的应用信息以及第三方信用评价的信息,支持电子商务经营者对企业责任、平台责任、公益事业等内容的公示。电商平台经营者应为平台内经营者公示相关信息提供便利,为平台内经营者公示信息的录入提供必要的接入端口和技术支持,平台内经营者未履行公示义务的,经电商平台经营者催告后仍不履行的,平台经营者可以采取必要措施限制该平台内经营者的经营活动。同时,如因特殊经营安排导致第三人无法准确识别电子商务经营者的平台经营者身份或者平台内经营者身份的,应当按照最有利于消费者的原则确定其公示义务。如有更利于保护消费者、权利人合法权益的关于信息公示的约定,应当遵守,并对电子商务经营者信息公示的内容和要求予以明确。同时,《征求意见稿》规定,任何自然人、法人或者其他组织不得违反法律的规定,非法获取公示的电子商务信息、篡改公示的电子商务信息、非法使用电子商务信息或是其他侵犯他人合法权益的行为,并对相关的法律责任进行明确。

2.《关于全面推广跨境电子商务出口商品退货监管措施有关事宜的公告》(公告2020年第44号)

为进一步优化营商环境、促进贸易便利化,使跨境电子商务商品出得去、退得回,海关总署于2020年3月27日发布《关于全面推广跨境电子商务出口商品退货监管措施有关事宜的公告》。

《公告》明确跨境电子商务出口企业、特殊区域(包括海关特殊监管区域和保税物流中心(B型))内跨境电子商务相关企业或其委托的报关企业(“退货企业”)可向海关申请开展跨境电子商务零售出口、跨境电子商务特殊区域出口、跨境电子商务出口海外仓商品的退货业务;退货企业应当建立退货商品流程监控体系,保证退货商品为原出口商品,同时退货商品可单独运回也可批量运回,并在出口放行之日起1年内退运进境;退货企业应当向海关如实申报,接受海关监管,并承担相应的法律责任。

3.《关于跨境电子商务零售进口商品退货有关监管事宜的公告》(公告2020年第45号)

为优化跨境电子商务零售进口商品退货监管,海关总署于2020年3月28日发布《关于跨境电子商务零售进口商品退货有关监管事宜的公告》。

《公告》明确在跨境电子商务零售进口模式下,跨境电子商务企业境内代理人或其委托的报关企业(“退货企业”)可向海关申请开展退货业务。跨境电子商务企业及其境内代理人应保证退货商品为原跨境电商零售进口商品,并承担相关法律责任;退货企业在《申报清单》放行之日起30日内申请退货,并且在《申报清单》放行之日起45日内将退货商品运抵原海关监管作业场所、原海关特殊监管区域或保税物流中心(B型)的,相应税款不予征收,并调整消费者个人年度交易累计金额;退货企业应当向海关如实申报,接受海关监管,并承担相应的法律责任。

(二)与个人信息保护相关的规定

1. 《信息安全技术 个人信息告知同意指南(征求意见稿)》

为使网络运营者明确个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式,同时规范网络运营者在网络环境中进行个人信息告知同意的情形,全国信息安全标准化技术委员会于2020年1月20日发布《信息安全技术 个人信息告知同意指南(征求意见稿)》。

该《征求意见稿》对个人信息告知同意的适用情形、免于告知同意的情形、告知同意的基本原则进行了规范,并规定了告知的内容、方式、展示、适当性以及同意的相关机制。同时,在附录板块针对不同的告知对象如未成年人以及在不同的告知场景(包括SDK收集使用个人信息、IoT、公共场合、个性化推荐、互联网金融、车载、网上购物等)下的告知同意提出了具体要求。

2. 《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》

为明确移动互联网应用程序收集个人信息时应满足的基本要求,同时规范移动互联网应用程序运营者收集个人信息的行为,全国信息安全标准化技术委员会于2020年1月22日发布《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》。该文件适用于移动互联网应用程序的开发和运营,也可用于移动互联网应用程序的技术评估、监督检查。

《征求意见稿》对App收集个人信息共提出了18个具体的基本要求用以规范移动互联网应用程序运营者收集个人信息的行为,如:保全保护义务、公开收集原则、最小必要信息规则等等。同时在规范性附录中对30种常用服务类型(如地图导航、网络约车、即时通讯、网上购物、网络支付、快递配送、餐饮外卖、儿童教育、网络直播等)的最小必要信息 和使用要求以及常用服务类型的最小必要权限范围 予以明确。例如:网络购物仅能收集用户的交易信息、账号信息和收货人信息,以及在客服处理用户纠纷时需用到的通话录音和聊天记录等信息;而快递配送仅能收集寄件人和收件人的基本信息、快递单号等信息。

3.《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》

全国信息安全标准化技术委员会秘书处于2020年3月19日发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》。该意见稿系在2019年3月1日版《App违法违规收集 使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准,并结合检测评估工作经验制定。

该《征求意见稿》规定了六个评估点:(一)是否公开收集使用个人信息的规则;(二)是否明示收集使用个人信息的目的、方式和范围;(三)收集使用个人信息是否征得用户同意;(四)是否遵循必要原则,仅收集与其提供的服务直接相关的个人信息;(五)是否未经同意向他人提供个人信息;(六)是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息。同时文件针对各评估点罗列了具体的评估要求供App运营者自评估参考,以期帮助其持续提升个人信息保护水平。

4.《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》

全国信息安全标准化技术委员会秘书处基于相关评估工具数据统计和近期疫情防控App发现的问题,针对当前App个人信息保护合规的常见问题和防范策略,于2020年3月30日发布《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》。

该《征求意见稿》提出了十个问题:(一)超范围收集;(二)无法注销或设置不合理注销条件;(三)强制捆绑授权;(四)无隐私政策;(五)默认选择同意;(六)未充分明示个人敏感信息使用规则;(七)申请权限目的不明;(八)未提供删除、更正或投诉举报的功能或渠道;(九)隐私政策内容与实际不符;(十)未告知同意第三方SDK收集行为。通过该文件建议App(含小程序)运营者和疫情防控App通过参考本实践指南,采取相应措施持续提升个人信息保护水平。

(三)与数据安全相关的规定

1.《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)

为指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,工业和信息化部于2020年2月27日发布《工业数据分类分级指南(试行)》。

该《指南》明确了工业数据 的定义;对数据的分类分级予以明确;鼓励企业在做好数据管理的前提下适当共享一、二级数据,充分释放工业数据的潜在价值。二级数据只对确需获取该级数据的授权机构及相关人员开放。三级数据原则上不共享,确需共享的应严格控制知悉范围。工业数据遭篡改、破坏、泄露或非法利用时,企业应根据事先制定的应急预案立即进行应急处置。涉及三级数据时,还应将事件及时上报数据所在地的省级工业和信息化主管部门,并于应急工作结束后30日内补充上报事件处置情况;同时企业应按照《工业控制系统信息安全防护指南》等要求,针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击。

2. 《商业银行应用程序接口安全管理规范》(JR/T 0185-2020)

2020年3月4日,中国人民银行发布《商业银行应用程序接口安全管理规范》,明确银行业金融机构可结合实际按照《规范》加强应用程序接口全生命周期安全管理,事前从接口安全设计、开发、服务等方面做好技术管理,事中从数据保护、接口访问、服务运行等方面增强运行管理,事后从风险防控、消费者权益保护等方面强化风险管理。

同时《规范》规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。且适用于商业银行对外互联的应用程序接口的设计和应用,以指导从事或参与商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方开展相关工作,并为第三方安全评估机构等单位开展安全检查与评估工作提供参考。

3.《网上银行系统信息安全通用规范》(JR/T 0068-2020)

2020年3月4日,中国人民银行发布《网上银行系统信息安全通用规范》,旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。同时该标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。

与旧标准JR/T 0068-2012相比,该规范主要变化如下:一、增加了SM系列算法、条码支付、生物特征等九类相关要求。二、修改了客户端安全的表述等四类安全要求,补充了自身防护、敏感信息保护等安全要求。三、删除了与JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容;删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全。