本动态涵盖2019年12月网络安全和数据合规领域的规定、规则及重大新闻。第一部分为我们理解值得关注的该领域的最新监管规则（部分监管规则，可能包含我们对其值得关注的要点或问题的简评）；第二部分为我们理解值得关注的该领域的重要事件或重大新闻（部分事件或新闻，可能包含我们对其值得关注的要点或问题的简评）。

本动态仅作为本所对网络安全及数据合规相关的近期话题的一般性探讨，不构成本所正式法律咨询意见。

一、监管规则

（一）《App违法违规收集使用个人信息行为认定方法》

公布时间：2019年12月30日

发布单位：国家互联网信息办公室、工业和信息化部、公安部以及国家市场监督管理总局

数据合规看点：

1、明确了特别突出的App违法违规收集使用个人信息的情形

近期，App专项治理工作组（以下简称“App治理工作组”）发布了在其审查评估过程中发现的57款App违法违规收集个人信息的问题（详见本文第二部分第四节的评述），其中部分问题在App治理工作组的本次审查评估过程中出现在多款App上，本次《App违法违规收集使用个人信息行为认定方法》（以下简称“认定方法”）也体现了该等突出的违法违规收集使用个人信息的问题：

（1）接入第三方代码或插件收集或提供个人信息的情形

认定方法明确提出，App利用第三方代码、插件收集个人信息，但是未明确说明运用前述方式收集个人信息的方式、目的或范围的，可被认定为“未明示收集使用个人信息的目的、方式和范围”；既未经用户同意，也未做匿名化处理，App通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息的，可被认定为“未经同意向他人提供个人信息”。

（2）隐私条款设置的常见问题

针对App隐私条款设置的常见问题，例如用户首次运行时隐私条款未以弹窗等明显方式提示用户阅读、条款难以访问（需多于4次点击才可访问）、难以阅读或难以理解以及以默认选择同意方式出现隐私政策等，认定方法明确提出前述行为均可被认定为“未公开收集使用规则”或“未经用户同意收集使用个人信息”。

（3）捆绑收集个人信息行为

针对App存在的要求用户一次性同意开启多个收集个人信息权限，用户不同意则无法使用以及因用户不同意收集非必要个人信息或打开非必要权限而拒绝提供业务功能等捆绑收集个人信息的行为，认定方法明确提出前述行为均可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

2、隐私保护规则的新变化

正式发布的认定方法与此前于2019年5月5日发布的《App违法违规收集使用个人信息行为认定方法（征求意见稿）》（以下简称“认定方法的征求意见稿”）相比较，存在如下重要变化：

（1）调整隐私条款的设置要求

认定方法放宽了隐私条款的形式要求，即App中具有隐私政策或者在其他App相关协议或规则中设置收集个人信息规则即可；同时，提出了隐私条款可读性要求，即隐私政策或收集个人信息规则不得出现文字过小过密、颜色过淡、模糊不清或者未提供简体中文版，亦或使用大量专业术语等情形。

（2）明确App的承诺响应期限

对于用户在申请更正、删除个人信息及注销用户账号功能时以及用户在进行投诉和举报时，App需要在多久时间内对上述需求有所响应这一问题，认定方法的征求意见稿没有强制的时间要求，而认定方法要求App的响应期限不应超过15个工作日。

（3）个人信息收集使用规则变更后的用户同意

认定方法规定收集使用个人信息的目的、方式、范围发生变化时，应以适当方式通知用户，包括更新隐私政策等收集使用规则并提醒用户阅读等，相较于认定方法的征求意见稿，删去了“重新授权”的表述。

从该等规定的文义来看，个人信息收集使用规则变更后，App应更新收集使用规则并提醒用户阅读，不强制要求再度取得用户的“同意”。但是，结合认定方法的其他条款来看，在特定场景下，App变更个人信息收集使用规则仍然需要取得用户的同意。例如，认定方法的第三部分第1条以及第3条规定：“征得用户同意前就开始收集个人信息或打开可收集个人信息的权限”以及“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”均可被认定为“未经用户同意收集使用个人信息”，因此，如果App扩大了收集用户个人信息的范围和权限，那么就该等扩大部分仍然需要取得用户的同意和授权，此时App仅做到提醒用户阅读修改后的规则无法满足“征得用户同意”和“用户授权”的要求。

（4）定向推送信息规定有待明确

对于目前市场上App中广泛存在的“定向推送”信息的功能，在此前的认定方法的征求意见稿中要求App应当提供终止定向推送的选项，本次正式发布的认定方法修改为：利用用户个人信息和算法定向推送信息，应当提供非定向推送信息的选项。

认定方法的征求意见稿中的要求较为明晰，即App应提供终止定向推送的选项，用户可以选择关闭App中的定向推送功能；但正式发布的认定方法中提及的“提供非定向推送信息的选项”可能有两种理解的角度：一方面，可以解读为用户可以选择开启App中非定向推送信息的选项，实现的效果是App不可再定向推送任何信息；另一方面，可以解读为App可以向用户提供定向推送的信息，但同时需要保证其App不能仅有定向推送的内容，应当也含有非定向推送的信息。

就第一种角度而言，在认定方法修改前后实现的效果是一致的，即用户可以通过选择关闭或开启特定选项后，实现App不能够再利用个人信息和算法定向推送信息给用户；而第二种角度，会存在一定差异，正式发布的认定方法仅要求App能够做到其平台上提供非定向推送的信息。

通过与其他个人信息保护规范进行横向比较，发现对于定向推送的规则也有所不同：(i) 在《数据安全管理办法（征求意见稿）》中规定应当向用户提供终止定向推动功能的选项；(ii)在《信息安全技术 个人信息安全规范（征求意见稿）》（2019年10月22日版）中按照服务类型的不同，进行了区分规定：如果提供电子商务服务，应保证在提供定向推送信息时，也提供不针对个人特征的选项；如果提供新闻信息服务，应提供关闭个性化展示模式的选项；如果在提供业务功能的过程中使用个性化展示，应提供用户的“自主控制机制”。

目前监管规则中对于“定向推送”的实施要求尚不明晰，有待监管机关在实际执法中进一步澄清。但是，对“定向推送”的相关要求被放置于“未经用户同意收集使用个人信息”大框架下，其本质应当是为了实现收集或使用用户个人信息的行为均应得到用户的同意，意味着需要赋予用户自主选择的权利。前文中第一种理解，即赋予用户能够终止App利用个人信息进行推送可能更贴合这一本质要求；第二种理解则赋予了App更大的自由度和发展空间。

（5）删去了未成年人个人信息权益保护的规定

认定方法删去了认定方法的征求意见稿中对侵犯未成年人在网络空间合法权益的情形进行认定的章节，因此未成年人个人信息权益的特殊保护仍有待具体监管细则的出台。 

简评：总体而言《App违法违规收集使用个人信息行为认定方法》的规定具有较高的可操作性，能够给App运营者在个人信息收集和使用的实践中提供较为明确的指引，App运营者应当用认定方法中的情形比照其现有业务流程进行逐一确认，避免出现认定方法中列举的违规行为。

（二）《中国人民银行金融消费者权益保护实施办法（征求意见稿）》

发布时间： 2019年12月27日

发布单位：中国人民银行

数据合规看点：

1、法规涵盖的主体范围：《中国人民银行金融消费者权益保护实施办法（征求意见稿）》适用于在境内设立的银行业金融机构、非银行支付机构，商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构、特许货币兑换经营机构可以参照适用。其中,相较于2016年实施的《中国人民银行金融消费者权益保护实施办法》，商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及特许货币兑换经营机构为本次征求意见稿新增的主体范围。

2、金融信息出境的要求：在境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。但是因业务需要，确需向境外提供消费者金融信息的，且满足以下条件可以向境外提供：(i) 为处理跨境业务所必需；(ii) 经金融消费者书面授权；(iii) 信息接收方为完成该业务所必需的关联机构（含总公司、母公司或者分公司、子公司等）；(iv) 通过签订协议、现场核查等有效措施，要求境外机构为所获得的消费者金融信息保密；(v) 符合法律法规和其他相关监管部门的规定。

其中，就第(iii)条所列的条件，实务过程中可能出现向非关联机构传输金融信息的需求，例如跨境汇款业务等跨境金融服务，境内金融机构如果需要向境外非关联机构传输金融信息，如何处理该等情形下金融信息的跨境需求，有待实践的检验。

3、金融信息安全事件应对的期限要求：在确认信息发生泄漏、毁损、丢失时，金融机构应当在72小时以内采取补救措施并告知金融消费者。

4、鼓励金融机构协助消费者金融信息的转移：鼓励金融机构在技术可行的前提下，基于金融消费者的请求，将其金融信息转移至金融消费者指定的其他金融机构。

简评：消费者的金融信息作为特殊类别的个人信息，涉及个人的身份、财产以及征信的多重方面，因此，监管机关在规范金融机构对消费者金融信息的收集和使用上，除兼顾一般性个人信息的保护规则外，还提出了更加严格的要求。

（三）《网络信息内容生态治理规定》

发布时间： 2019年12月15日（2020年3月1日起施行）

发布单位： 国家互联网信息办公室

数据合规看点：

1、网络信息内容的分类规定：根据网络信息内容生产者制作、复制和发布信息内容的不同，将网络信息内容划分为三类，即鼓励类信息、禁止类信息和限制类信息。其中：(i) 鼓励类信息指包含宣扬中国特色社会主义、弘扬社会主义核心价值观及宣扬优秀道德文化和时代精神等内容的信息，鼓励制作、复制和发布该等信息；(ii) 禁止类信息指包含违反宪法原则、危害国家安全和利益、侵犯他人合法权益等内容的信息，不得制作、复制和发布该等信息；(iii) 限制类信息指包含内容与标题不符、炒作绯闻、丑闻或劣迹、煽动人群或地域歧视等内容的信息，防范和抵制该等信息。

2、网络信息内容服务平台应当建立网络信息内容生态治理机制，健全用户管理和信息审查处置制度：网络信息内容服务平台应当健全用户管理和平台信息管理等制度。同时，网络信息内容服务平台应当设立网络信息内容生态治理负责人，配备与业务范围和服务规模相适应的专业人员。

3、网络信息内容服务平台对三类信息的传播管理：(i) 不得传播禁止类信息；(ii) 不得在平台的“重点环节”呈现限制类信息。其中，“重点环节”指首页、弹窗、热门、热搜、精选、榜单、推荐、热搜词、默认搜索、联想词、预置内容等处于产品或服务醒目位置、易引起使用者关注的环节；(iii) 鼓励在“重点环节”呈现鼓励类信息。

4、网络信息内容服务平台应加强对个性化算法推荐信息的管理：网络信息内容服务平台采用个性化算法推荐技术推送信息的，不得推送禁止类信息或限制类信息，鼓励推送鼓励类信息；同时，应当建立健全人工干预和用户自主选择机制。

5、热点问题的规范治理：网络信息内容生产者、网络信息内容服务使用者和网络信息内容服务平台：(i) 不得通过发布、删除信息以及其他干预信息呈现的手段侵害他人合法权益或者谋取非法利益；(ii) 不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动；(iii) 不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为，破坏网络生态秩序。

6、法规的部分规则和罚则仍有待进一步细化和明确：就规则层面而言，例如法规要求平台建立用户账号信用管理制度，根据用户账号的信用情况提供相应服务，但是，对信用划分和管理的规则均有待明确；又如法规要求平台编制信息内容治理工作年度报告，但未明确该等报告的进一步处理；就罚则层面而言，对于网络信息内容服务平台的处罚形式主要是约谈、警告、责令改正以及责令暂停信息更新，同时，罚则部分又设置了兜底性质的条款，即“按照有关法律、行政法规的规定予以处理”，使处罚的形式不局限于本法规。

简评：《网络信息内容生态治理规定》提出了对网络信息内容服务平台管理责任的具体化要求，并且对目前网络信息服务的热点问题予以了回应；但是，法规的部分规则和罚则仍有待进一步细化和明确。

（四）《工业互联网企业网络安全分类分级指南（试行）（征求意见稿）》

发布时间：2019年12月17日

发布单位：工业和信息化部

数据合规看点：

1、工业互联网企业分类：依据企业属性，工业互联网企业划分为应用工业互联网的工业企业（“联网工业企业”）、工业互联网平台企业以及工业互联网基础设施运营企业。本指南旨在对联网工业企业网络安全分级进行规范；工业互联网平台企业以及工业互联网基础设施运营企业应当按照《通信网络安全防护管理办法》的分级方式进行规范。

2、行业指导与地方监管相结合：工业和信息化部对主管行业领域的工业互联网企业网络安全工作开展指导管理。地方主管部门对本行政区域工业互联网企业的网络安全工作开展指导监管。

3、联网工业企业分级：根据企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素将企业分为三个等级。

4、联网工业企业评级流程：联网工业企业通过工业互联网企业网络安全分类分级管理服务平台在线填报问卷，形成自评报告；地方主管部门可自行或组织第三方专业服务机构对企业提交的自评报告进行核查确认企业的最终等级并有权要求企业予以补正后再予以确认等级；当联网工业企业网络安全风险程度发生重大变化时，应主动重新定级。

5、工业互联网企业的安全管理规定：根据工业互联网企业等级的不同，指南中体现了不同的监管力度，详见下述表格：

简评：《工业互联网企业网络安全分类分级指南（试行）（征求意见稿）》中制定了适用于应用工业互联网的工业企业的等级分类评定的具体规则，依据该规则，可以将应用工业互联网的工业企业划分为一级企业、二级企业和三级企业，并且，根据企业级别的不同，指南中进一步规定了不同程度的规范事项，为工业互联网企业的网络安全管理提供了较为详细的指引。

二、案例事件

（一）工业和信息化部网络安全管理局2019年一系列检查结果公示

2019年，工业和信息化部网络安全管理局（“网络安全管理局”）按照《国务院办公厅关于推广随机抽查规范事中事后监管的通知》、《工业和信息化部“双随机一公开”监管实施办法》、《工业和信息化部随机抽查事项清单（2018年版）》等相关要求，组织对部分电信和互联网企业、域名机构的网络安全防护工作情况、网络与信息安全责任落实情况、网络数据安全保护责任及管理措施落实情况等开展随机抽查。

2019年12月10日，网络安全管理局发布工作动态并对上述检查结果进行公示。工作动态显示，抽查中共发现68家电信和互联网企业、域名机构不同程度存在违规情况。经过归纳总结，本次抽查反映的主要问题及对应的存在该问题的企业数量统计如下表所示：

简评：从上述统计可以看出，就普通用户及大量互联网服务提供企业最关注的“互联网企业”这一统计项目来看，最核心、高发的问题仍然集中在数据保护、安全管理、信息安全保护、安全评估方面，这些问题在抽查的37家互联网企业当中出现的概率都较高，从一定程度上也反映出对于没有被抽查到的更广泛的互联网服务提供企业来说，这些问题或者类似的问题也可能普遍存在，值得依据法规及时自查，并在被主管机关抽查之前及时整改。

（二）中国人民银行、公安部对买卖银行卡或账户的个人实施联合惩戒

2019年12月16日，中国人民银行（“人民银行”）与公安部联合发布通知，为有效遏制买卖银行卡、账户的行为，强化源头治理的方式，决定依法对买卖银行卡或账户的个人实施惩戒。通知表明，人民银行已将“3.26”特大贩卖银行卡和企业对公账户案中602名涉案个人的信息移送金融信用信息基础数据库，银行业金融机构（“银行”）和非银行支付机构（“支付机构”）将对相关个人实施5年内暂停其银行账户非柜面业务、支付账户所有业务，并不得为其开立账户的惩戒措施。惩戒期满后，对上述个人办理新开立账户业务的，银行和支付机构应加大审核力度。通知提出“异议制度”，若个人对惩戒措施提出异议的，银行和支付机构应当做好解释说明，若个人不认同公安机关对其认定的，银行和支付机构应当及时告知个人认定涉案事实的公安机关名称，个人可以向相关公安机关进行申诉。 

简评：本通知为跨部门联合下发，提出的惩戒措施是对个人信息犯罪刑事罚则体系的完善和补充。中国人民银行与公安部联合实施惩戒工作，一方面公安机关利用极强的侦查能力发现了一批涉嫌违法犯罪的个人；另一方面该等个人当中如有尚不涉及刑事犯罪的个体，则人民银行可通过类似本次惩戒的手段打击违法行为。

（三）工信部通报第一批侵害用户权益行为App

根据《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》的要求，App侵害用户权益专项整治行动已按计划、分阶段推进。工业和信息化部（“工信部”）于2019年12月19日发布“关于侵害用户权益行为的App（第一批）通报”，通报显示，专项行动中，自查自纠阶段共有八千多款App完成整改。监督检查阶段，工信部组织第三方检测机构对各大应用商店App进行检查，并进行督促整改。截至该通报发布时，尚有41款App存在问题。经过归纳总结，本次专项行动中反映的主要问题及对应的存在该问题的App数量统计如下表所示：

工信部针对上述通报展开了后续行动，并于2020年1月3日发布通报，通报表明，依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》等法律和规范性文件要求，针对经第三方检测机构核查复检、尚未按要求完成整改的3款APP，进行下架处理。

（四）App治理工作组关于61款App存在收集使用个人信息问题的通告

2019年12月20日，App治理工作组发布“关于61款App存在收集使用个人信息问题的通告”，列明了近期在评估中发现的57款App存在收集使用个人信息问题的具体名单和具体问题。此外，该通告也提到，针对7月至10月期间经发送整改通知并建议一个月内整改而至今仍未完成整改的4款App，已将核验结果提交相关部门，将建议依法予以处置。经归纳总结，本次评估发现的App存在的主要问题及占比如下表所示：

该通告体现的若干具体问题如下表所示：

五、2020年将制定个人信息保护法

2019年12月20日，全国人大常委会法工委在其第三次记者会中介绍，2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过，备受关注的《个人信息保护法》将于2020年制定。

后记：

海问在网络安全、数据合规领域积累丰富的经验，亦持续关注不断更新的法律法规及与数据合规有关的时事热点。您可通过如下链接浏览此前的《海问观察：网络安全及数据合规动态》：

《海问观察：网络安全及数据合规动态》（2019年9月上半月）

《海问观察：网络安全及数据合规动态》（2019年9月下半月-10月上半月）

《海问观察：网络安全及数据合规动态》（2019年10月下半月-11月）

实习生朱安琪对本文亦有贡献。