最新法规

· 国家标准《工业互联网企业网络安全 第4部分：数据防护要求》（征求意见稿）发布

· 财政部发布《企业数据资源相关会计处理暂行规定（征求意见稿）》

· 银保监会、网信办等四部门联合印发《关于规范“银行”字样使用有关事项的通知》

· 最高法发布《最高人民法院关于规范和加强人工智能司法应用的意见》

· 国家网信办等三部门发布《互联网信息服务深度合成管理规定》

· 工信部印发《工业和信息化领域数据安全管理办法（试行）》

· 国家网信办等两部门发布《关于进一步规范移动智能终端应用软件预置行为的通告》

· 国家能源局印发《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》

· 国家标准《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》发布

· 国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》

· 工信部等七部门联合发布《关于加强互联网销售危险化学品安全管理的通知》

· 网信办秘书局、证监会办公厅印发《非法证券活动网上信息内容治理工作方案》

· 工信部公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》的意见

· 最高人民法院发布《关于为促进消费提供司法服务和保障的意见》

· 《厦门经济特区数据条例》公布

· 中国银保监会发布《银行保险机构消费者权益保护管理办法》

热点案例

· 浙江检察机关办理首例反电信网络诈骗行政公益诉讼案

· 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

· 最高检及公安部联合挂牌督办第二批3起特大跨境电信网络诈骗犯罪案件

· 《反电信网络诈骗法》实施后，上海警方开出首张行政罚单

· 最高院发布第35批指导性案例，涉公民个人信息保护

监管执法

· 安徽省通信管理局通报15款侵害用户权益APP并责令整改

· 中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动

· 一男子因在网络上多次发布前女友个人信息后因起底罪获刑，为香港《隐私条例》修订后首次判例

· 上海市车联网网络安全防护定级备案审核结果发布

· 浙江省通信管理局发布关于侵害用户权益行为的APP通报

· 河北省网信办公布11月份河北省“清朗·燕赵净网2022”网络生态治理成果

· 浙江网信办依法集中查处一批侵犯个人信息合法权益的违法违规app

· 四川通管局发布关于川渝两地侵害用户权益APP名单的通报（第六批）

国际数据合规资讯

立法活动

· 英国DCMS发布《应用商店运营商和应用程序开发者实践守则》

· 欧盟委员会发布《欧盟-美国数据隐私框架的充分性决定草案》

· 美国参议院通过法案，禁止联邦政府雇员在政府设备上使用TikTok

· 欧盟委员会、议会和理事会签署《欧洲数字权利和原则宣言》

· 科罗拉多州总检察长发布更新的《科罗拉多州隐私法案》规则草案

· 澳大利亚政府确认将于2023年全面修订隐私法

· 拜登签署《量子计算网络安全防范法案》及《SBA网络意识法案》

监管动态

· 印第安纳州因数据安全问题对TikTok提起诉讼

· 葡萄牙数据保护局因国家统计局多次违反GDPR对其罚款430万欧元

· 美国联邦贸易委员会就侵犯隐私的指控与Epic Games达成5.2亿美元和解

· 加州法院宣布初步批准与Facebook达成7.25亿美元的集体诉讼和解

· 爱尔兰数据保护委员会对Twitter非法披露用户数据展开调查

· 法国CNIL对微软处以6000万欧元，因其未能充分协助用户拒绝cookie

安全快讯

· 加拿大卫生部门网络遭攻击，约58200名居民和员工个人信息遭泄漏

· 美国加州财政部遭入侵，LockBit声称窃取其76GB机密数据

· 国际乒联服务器因安全问题致包括马龙、樊振东在内的数百名运动员护照、疫苗接种信息泄漏

· 教育出版公司McGraw Hill发生数据泄露事件，可能暴露数十万学生的电子邮件地址和成绩信息

· 蔚来汽车遭遇225万美元等额比特币数据泄露勒索

最新法规

01 国家标准《工业互联网企业网络安全 第4部分：数据防护要求》（征求意见稿）发布

全国通信标准化技术委员会、全国信息安全标准化技术委员会双归口的国家标准《工业互联网企业网络安全 第4部分：数据防护要求》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，2022年12月1日，信安标委将该标准征求意见稿面向社会公开征求意见，意见或建议的反馈时间截至2023年1月30日。

来源：https://www.tc260.org.cn/front/postDetail.html?id=20221201145510

02 财政部发布《企业数据资源相关会计处理暂行规定（征求意见稿）》

为加强企业数据资源管理，规范企业数据资源相关会计处理，强化相关会计信息披露，财政部起草了《企业数据资源相关会计处理暂行规定（征求意见稿）》，主要内容包括适用范围、数据资源会计处理适用的准则、披露要求及附则四个部分。

来源：http://kjs.mof.gov.cn/gongzuotongzhi/202212/t20221209_3856888.htm

03 银保监会、网信办等四部门联合印发《关于规范“银行”字样使用有关事项的通知》

为整改规范违法使用“银行”字样现象，中国银保监会、国家互联网信息办公室、工业和信息化部、市场监管总局联合印发了《关于规范“银行”字样使用有关事项的通知》（以下简称《通知》），进一步规范“银行”字样的使用。《通知》对“银行”字样使用的主体范围、名称含义、整改规范、宣传教育、参照适用情形等作出了明确规定。

来源：http://www.cac.gov.cn/2022-12/02/c_1671526397192702.htm

04 最高法发布《最高人民法院关于规范和加强人工智能司法应用的意见》

为推动人工智能同司法工作深度融合，全面深化智慧法院建设，努力创造更高水平的数字正义，最高法结合工作实际，制定了《最高人民法院关于规范和加强人工智能司法应用的意见》。该意见提出了人工智能司法应遵循的五个原则，即安全合法原则、公平公正原则、辅助审判原则、透明可信原则和公序良俗原则。

来源：https://www.court.gov.cn/fabu-xiangqing-382461.html

05 国家网信办等三部门发布《互联网信息服务深度合成管理规定》

2022年12月11日，国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》（以下简称《规定》），自2023年1月10日起施行。《规定》要求深度合成服务提供者落实信息安全主体责任，加强数据和技术管理，互联网应用商店等应用程序分发平台落实审核、管理、处置责任。国家互联网信息办公室有关负责人表示，出台《规定》，旨在加强互联网信息服务深度合成管理，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。出台《规定》，是防范化解安全风险的需要，也是促进深度合成服务健康发展、提升监管能力水平的需要。

来源：http://www.cac.gov.cn/2022-12/11/c_1672221949354811.htm

06 工信部印发《工业和信息化领域数据安全管理办法（试行）》

为贯彻落实《数据安全法》，加快推动工业和信息化领域数据安全管理工作制度化、规范化，工信部研究起草了《工业和信息化领域数据安全管理办法》（以下简称《管理办法》）。《管理办法》作为工业和信息化领域数据安全管理顶层制度文件，共八章四十二条，重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。

来源：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_e0f06662e37140808d43d7735e9d9fd3.html

07 国家网信办等两部门发布《关于进一步规范移动智能终端应用软件预置行为的通告》

2022年12月14日，工业和信息化部、国家互联网信息办公室联合发布《关于进一步规范移动智能终端应用软件预置行为的通告》（以下简称《通告》）。《通告》要求生产企业确保移动智能终端中除基本功能外的预置应用软件均可卸载，进一步规范了移动智能终端应用软件预置行为，保护用户权益，提升移动互联网应用服务供给水平。

来源：http://www.cac.gov.cn/2022-12/14/c_1672656825925035.htm

08 国家能源局印发《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》

为深入贯彻习近平总书记关于网络强国的重要思想，加强电力行业网络安全监督管理及网络安全等级保护管理，提高电力行业网络安全保障能力和水平，规范电力行业网络安全工作，国家能源局对《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）与《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）进行了修订。

来源：

http://www.gov.cn/zhengce/zhengceku/2022-12/14/content_5731893.htm

http://www.gov.cn/zhengce/zhengceku/2022-12/14/content_5731888.htm

09 国家标准《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》发布

为支撑个人信息保护认证实施，指导个人信息处理者规范开展个人信息跨境处理活动，信安标委秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》（以下简称《实践指南》）。《实践指南》规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。

来源：https://www.tc260.org.cn/front/postDetail.html?id=20221216161852

10 国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》

2022年12月19日，《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）对外发布，从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度，提出20条政策举措。“数据二十条”的出台，将充分发挥中国海量数据规模和丰富应用场景优势，激活数据要素潜能，做强做优做大数字经济，增强经济发展新动能。

来源：http://www.gov.cn/zhengce/2022-12/19/content_5732695.htm

11 工信部等七部门联合发布《关于加强互联网销售危险化学品安全管理的通知》

随着我国电子商务快速发展，互联网销售危险化学品活动日益增多。为进一步加强互联网销售危险化学品相关行为安全管理，打击取缔违法违规发布信息和销售危险化学品行为，有效防范重大安全风险，保障社会安全稳定，2022年12月23日，应急管理部、中央网信办、教育部、工业和信息化部、公安部、市场监管总局、国家邮政局联合发布《关于加强互联网销售危险化学品安全管理的通知》。

来源：http://www.cac.gov.cn/2022-12/23/c_1673430460912864.htm

12 网信办秘书局、证监会办公厅印发《非法证券活动网上信息内容治理工作方案》

为切实维护人民群众财产安全，进一步规范证券活动网上信息内容，压紧压实各方责任，建立健全常态长效工作机制，最大限度压缩股市“黑嘴”、非法荐股活动网络生存空间，切实维护清朗网络空间和社会和谐稳定，网信办秘书局、证监会办公厅联合发布《非法证券活动网上信息内容治理工作方案》，力求通过各地各有关部门共同努力，2023年3月底前，现有网上涉股市“黑嘴”、非法荐股的信息、账号和网站平台得到基本处置，2023年6月底前，证券业务必须持牌经营的要求得到落实，网上证券信息内容明显改善，非法证券活动多发频发态势得到有效遏制。

来源：http://www.cac.gov.cn/2022-12/23/c_1673432294970963.htm

13 工信部公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》的意见

为深入贯彻落实党的二十大精神，优化服务供给，改善用户体验，营造良好的信息消费环境，促进行业高质量发展，工业和信息化部依据行业管理职责，组织起草了《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》，于2022年12月27日起向社会公开征求意见。

来源：https://www.miit.gov.cn/gzcy/yjzj/art/2022/art_7b55ad9cf05d4ec589e4e5fe4ab9573a.html

14 最高人民法院发布《关于为促进消费提供司法服务和保障的意见》

为完整、准确、全面贯彻新发展理念、加快构建新发展格局、着力推动高质量发展，进一步发挥人民法院职能作用，服务保障全面促进消费、加快消费提质升级，助力实施扩大内需战略，最高人民法院提出关于为促进消费提供司法服务和保障的意见，包括：加强消费者权益司法保护、加强生产经营者权益司法保护、维护诚信公平高效的市场秩序、进一步提升司法服务水平四项意见。

来源：https://mp.weixin.qq.com/s/7PoGS-WR_MOtrum9KfAJwQ?scene=25#wechat_redirect

15《厦门经济特区数据条例》公布

《厦门经济特区数据条例》于2022年12月27日经厦门市第十六届人民代表大会常务委员会第九次会议通过，并予以公布，自2023年3月1日起施行。《条例》旨在规范数据处理活动，保障数据安全，保护自然人、法人和非法人组织的合法权益，培育数据要素市场，促进数据有序流动和开发利用，推动数字政府、数字社会、数字经济建设与发展。

来源：https://epaper.xmnn.cn/xmrb/20221229/202212/t20221229_5540828.htm

16 中国银保监会发布《银行保险机构消费者权益保护管理办法》

为维护公平公正的金融市场环境，切实保护银行业保险业消费者合法权益，促进行业高质量健康发展，中国银保监会制定并发布了《银行保险机构消费者权益保护管理办法》（以下简称《管理办法》），自2023年3月1日起施行。《管理办法》共8章，57条，主要内容包括：一是关于总体目标、机构范围、责任义务、监管主体和工作原则的规定；二是关于消费者权益保护体制机制；三是规范银行保险机构经营行为，保护消费者八项基本权利；四是加强行业监督管理；五是明确适用范围、解释权和实施时间。

来源：https://mp.weixin.qq.com/s/QRu3S2LooLXfc3SwYP3XEg?scene=25#wechat_redirect

热点案例

01 浙江检察机关办理首例反电信网络诈骗行政公益诉讼案

2022年4月，宁波余姚发生多起冒充物流、网购客服退款赔偿类电信诈骗案件。经查，涉案犯罪团伙指使“马仔”通过临时应聘或者采取凌晨时分溜门、爬窗、技术开锁等方式进入义乌等地云仓企业快递面单打单办公室，在电脑上安装远程控制程序盗取快递面单信息，并以每条3-5元的高价转卖给境外犯罪团伙，涉案金额达1000多万元。在最高人民检察院的统筹指挥下，浙江省检察院于11月15日正式决定立案，组织金华、义乌、余姚检察机关公益诉讼部门成立专案组，并多次赴义乌指导开展调查核实等工作。2022年12月1日，在义乌市网络安全应急指挥中心，监管部门与十余家单位就电商云仓等新业态反电信网络诈骗工作召开圆桌会议，一起由浙江省三级检察机关上下联动、一体办理的首例反电信网络诈骗行政公益诉讼案件拉开帷幕。

来源：https://www.spp.gov.cn/zdgz/202212/t20221201_594369.shtml

02 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

2022年12月7日，最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护，体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。最高检第一检察厅负责人表示，通过该批典型案例的选编、发布，以期促进个人信息保护相关法律深入贯彻实施，为检察办案提供指导。

来源：https://www.spp.gov.cn/spp/xwfbh/wsfbt/202212/t20221207_594915.shtml#1

03 最高检及公安部联合挂牌督办第二批3起特大跨境电信网络诈骗犯罪案件

为依法严厉打击跨境电信网络诈骗犯罪，全力推进“拔钉”“断流”等专项行动，最高人民检察院、公安部联合挂牌督办第二批3起特大跨境电信网络诈骗犯罪案件，全力缉捕电信网络诈骗犯罪集团头目和骨干，切实维护良好社会秩序和人民群众合法权益。

来源：https://www.spp.gov.cn/zdgz/202212/t20221213_595451.shtml

04《反电信网络诈骗法》实施后，上海警方开出首张行政罚单

经上海警方调查，陈某、谢某、司某3名违法人员系朋友关系，其抱着“轻松赚取快钱”的不法心态，主动在互联网上搭识境外诈骗分子，谈妥由陈某等人负责申请网线并架设语音网关设备，以每天2000元报酬上线8小时，将线路提供给境外诈骗分子使用。最终，警方对具有“帮信”违法行为的陈某等三人，依据《中华人民共和国反电信网络诈骗法》第四十二条规定，分别作出罚款5000元的行政处罚。这也是上海警方自2022年12月1日《反电信网络诈骗法》施行后开出的首张行政处罚单。

来源：https://mp.weixin.qq.com/s/WyPgWPfqvZWT5_6BK9sjBQ

05 最高院发布第35批指导性案例，涉公民个人信息保护

最高人民法院发布第35批共4件指导性案例，包括：《李开祥侵犯公民个人信息刑事附带民事公益诉讼案》《闻巍等侵犯公民个人信息案》《熊昌恒等侵犯公民个人信息案》《罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案》，均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质，对于明确类案裁判规则，依法保护公民个人信息具有重要的指导意义。

来源：https://mp.weixin.qq.com/s/vvF86a_Thfe_3RUqIoSuKw?scene=25#wechat_redirect

监管执法

01 安徽省通信管理局通报15款侵害用户权益APP并责令整改

安徽省通信管理局共检测到省内29款APP存在违法违规收集使用个人信息的问题，于2022年11月9日对上述违规APP企业下达了责令改正通知书，要求限期完成整改工作。截至2022年12月7日，尚有15款APP存在未整改问题，安徽省通信管理局对其予以通报。

来源：https://ahca.miit.gov.cn/xxgk/tzgg/art/2022/art_77d2f026419344dfae4172dbe2f1405d.html

02 中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动

为规范移动互联网应用程序信息服务管理，深入治理APP、小程序、快应用等应用程序乱象，进一步压实应用程序分发平台主体责任，中央网信办开展“清朗·移动互联网应用程序领域乱象整治”专项行动。主要任务是按照《移动互联网应用程序信息服务管理规定》要求，督促应用程序分发平台落实好各项任务，整治各个环节存在的问题，促进行业健康有序发展。

来源：http://www.cac.gov.cn/2022-12/12/c_1672477187051942.htm

03 一男子在网络上多次发布前女友个人信息后因起底罪获刑，为香港《隐私条例》修订后首次判例

沙田裁判法院早前于2022年10月6日，在27岁男子何牧华（被告）认罪下裁定他七项涉及“起底”的控罪罪名成立。法庭经考虑相关报告后，于2022年12月15日判处被告监禁八个月。个人资料私隐专员（私隐专员）钟丽玲欢迎法庭裁决，并指出：“市民应循合法途径处理纠纷，将他人‘起底’，无助解决任何问题，相反往往只会使冲突升级。再者，‘起底’属严重罪行，违例者一经定罪，可被处即时监禁，最高可被处罚款100万元及监禁5年”。

来源：https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20221215.html

04 上海市车联网网络安全防护定级备案审核结果发布

为贯彻落实《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《关于做好车联网网络安全防护定级备案工作的通知》等文件要求，上海市通信管理局会同上海市经济和信息化委员会定期对上海市各车联网信息系统的定级情况进行审核。截至2022年12月，共审核通过了上海蔚来汽车有限公司、上汽大众汽车有限公司等23家企业的32个车联网信息系统定级申请，并予以备案登记。

来源：https://mp.weixin.qq.com/s/TV26ERPI8bxE0Q8qd3spJA

05 浙江省通信管理局发布关于侵害用户权益行为的APP通报

浙江省通信管理局组织第三方检测机构对384款手机应用软件开展检测工作，其中225款APP存在“违规收集个人信息”、“超范围收集个人信息”、“违规使用个人信息”、“强制用户使用定向推送功能”等相关问题,随即书面要求相关企业限期整改。截至2022年12月19日，尚有47款APP未完成整改，浙江省通信管理局对其予以通报。

来源：https://zjca.miit.gov.cn/zwgk/tzgg/art/2022/art_d2c907c2fb2041ddbd40cd294b6ddd3e.html

06 河北省网信办公布11月份河北省“清朗·燕赵净网2022”网络生态治理成果

2022年11月份，河北省委网信办持续推进“清朗·燕赵净网2022”网络生态治理专项行动，重点开展“清朗·移动互联网应用程序领域乱象整治”专项行动，集中整治群众反映强烈、影响上网体验的网络生态乱象。全省网信系统累计查处违法违规网站268家，查处违规互联网用户公众账号280个，会同河北省通信管理局对严重扰乱互联网信息传播秩序、破坏网络生态的“万博体育”、“懂球帝”等98家网站依法关闭。11月份，全省网信系统清理违法和不良信息56623条。其中，色情低俗庸俗类17997条，赌博诈骗类1918条，网络谣言类2498条，“饭圈”类2612条，涉未成年人类227条，账号运营乱象类190条，流量造假、黑公关、网络水军类64条，其他有害信息31117条。受理全网违法和不良信息举报8.8万件。

来源： http://www.caheb.gov.cn/system/2022/12/06/030202751.shtml

07 浙江网信办依法集中查处一批侵犯个人信息合法权益的违法违规app

2022年12月28日，浙江省网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定，依法查处“诺言”等173款违法违规App。经查，“诺言”等173款App存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题。浙江省网信办对上述App予以通报，并依法责令限期50日完成整改。

来源：https://mp.weixin.qq.com/s/OJPcM5zGCilMqsy9KqO9eQ

08 四川通管局发布关于川渝两地侵害用户权益APP名单的通报（第六批）

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等法律法规和规范性文件等有关要求，四川省通信管理局和重庆市通信管理局组织第三方检测机构对川渝两地主流应用商店移动互联网应用程序(APP)进行了检查。截至2022年12月28日，仍有15款APP未按要求完成整改，现予以通报。

来源：https://mp.weixin.qq.com/s/eyLaEaEPXkGTPasNW0IC1g?scene=25#wechat_redirect

立法活动

01 英国DCMS发布《应用商店运营商和应用程序开发者实践守则》

2022年12月9日，英国数字化、文化、媒体和体育部（DCMS）发布《应用商店运营商和应用程序开发者实践守则》，为应用商店运营商和应用程序开发者制定了保护用户的实际步骤。《守则》中规定了八项原则，是全球公认的安全和隐私做法,包括：确保应用商店中只允许符合法律法规和隐私基线要求的应用、确保应用程序符合基线安全和隐私要求、实施漏洞披露流程、保持应用程序更新以保护用户、以可访问的方式向用户提供重要的安全和隐私信息、为开发人员提供安全和隐私指导、向开发人员提供明确的反馈、确保在发生个人数据泄露时采取适当措施。

来源：https://www.gov.uk/government/publications/code-of-practice-for-app-store-operators-and-app-developers/code-of-practice-for-app-store-operators-and-app-developers

02 欧盟委员会发布《欧盟-美国数据隐私框架的充分性决定草案》

2022年12月13日，欧盟委员会发布《欧盟-美国数据隐私框架充分性决定草案》，认可美国对从欧盟转移到美国的个人数据的充分保护水平，基本上等同于GDPR所保障的保护水平。《充分性决定草案》的主要内容包括：欧盟-美国数据隐私框架、美国公共机构对从欧盟转移过来的个人数据的访问和使用、委员会对本决定的结论，并设置了监督和审查方式。

来源：https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en

03 美国参议院通过法案，禁止联邦政府雇员在政府设备上使用TikTok

据路透社报道，美国参议院在当地时间15日投票通过了一项法案，禁止联邦政府人员在政府的设备上使用中国的短视频应用程序TikTok，原因是担心数据安全。TikTok回应称，这些担忧在很大程度上是由错误信息引起的，并希望与政策制定者会面来讨论公司的做法。目前，该法案仍需要得到美国众议院的通过，然后才能提交给总统拜登批准。众议院需要在本届国会会议结束前通过参议院的法案。

来源：https://www.wsj.com/articles/senate-passes-bill-banning-tiktok-from-government-devices-11671066166

04 欧盟委员会、议会和理事会签署《欧洲数字权利和原则宣言》

欧洲委员会、欧洲议会和欧洲理事会主席于2022年12月15日签署了《欧洲数字权利和原则宣言》(以下简称“宣言”)，该宣言由委员会于2022年1月提出，旨在支持2030年数字指南目标。特别是，该宣言提出了欧盟对内部安全、外部安全和可持续的数字转型的承诺，将个人权利置于中心，指导政策制定者和企业应对新技术，并打算指导欧盟在全球范围内的数字转型方法。

来源：https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7683

05 科罗拉多州总检察长发布更新的《科罗拉多州隐私法案》规则草案

科罗拉多州总检察长于2022年12月21日发布了其实施《科罗拉多州隐私法案》的规则草案的更新版本，并根据2022年10月10日至2022年12月2日期间收到的公众意见收到的反馈进行了红线更改。该草案修订了影响规则草案的几个要素，包括：定义；消费者个人数据权利；通用选择退出机制；真正的忠诚度计划；控制者义务。

来源：https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf

06 澳大利亚政府确认将于2023年全面修订隐私法

澳大利亚司法部长Mark Dreyfus于2022年12月20日宣布，其部门已收到《1988年隐私法》（第119号，1988年）（经修订）（以下简称《隐私法》）审查的最终报告，2020年10月曾启动公众咨询，并将咨询意见作为《隐私法》审查的一部分。咨询小组在其发布的讨论文件中特别指出，澳大利亚的隐私法已经过时，不适合数字时代的目的，并指出现在将认真考虑这项审查，为2023年隐私法的全面修订做准备。

来源：https://www.innovationaus.com/privacy-act-review-complete-after-three-years/

07 拜登签署《量子计算网络安全防范法案》及《SBA网络意识法案》

2022年12月21日，美国总统拜登签署了《量子计算网络安全防范法案》，使其正式成为一项法律，鼓励联邦政府机构采用不受量子计算影响的加密技术。该法案要求管理和预算办公室(OMB)优先考虑联邦机构采购和迁移到具有抗量子密码的IT系统。法案还要求白宫在美国国家标准与技术研究院(NIST)发布计划中的抗量子密码(PQC)标准一年后，为联邦机构制定评估关键系统的指南。同日，拜登还签署了《SBA网络意识法案》，这项法案要求美国小型企业管理局(SBA)提交有关该机构网络安全的年度报告。

来源：https://www.fedscoop.com/biden-signs-quantum-computing-cybersecurity-act-into-law/

监管动态

01 印第安纳州因数据安全问题对TikTok提起诉讼

2022年12月7日，印第安纳州总检察长Todd Rokita宣布，他已经对TikTok提起两起单独的诉讼，指控该公司对用户数据的安全性和适龄内容作出虚假声明。TikTok对未决诉讼不予置评，但根据公司发言人的声明，TikTok表示，“社区的安全、隐私和安全是我们的首要任务”，“我们将青少年福祉纳入我们的政策，按年龄限制功能，为父母提供工具和资源，并继续致力于基于年龄适当性或家庭舒适度的新方式让用户享受内容。我们正在与美国政府谈判，以表达充分满足所有合理的美国国家安全关切，并且我们已经在实施这些解决方案方面取得了重大进展。”

来源：https://www.wsj.com/articles/tiktok-is-sued-by-state-of-indiana-accused-of-targeting-young-teens-with-adult-content-11670445960

02 葡萄牙数据保护局因国家统计局多次违反GDPR对其罚款430万欧元

2022年12月12日，葡萄牙数据保护局（CNPD）发布声明称，国家统计局（INE）在2021的人口普查工作中犯下了五项违反GDPR的罪行，对其处以430万欧元的单一罚款。五项违法行为包括：国家统计局（INE）非法处理与健康和宗教有关的个人数据，未能履行其向2021人口普查问卷调查对象提供信息的义务，违反了选择分包商的勤勉义务，违反了关于国际数据传输的法律规定，并且未能对与人口普查操作相关的数据保护进行影响评估。

来源：https://www.cnpd.pt/comunicacao-publica/noticias/cnpd-sanciona-ine-por-cinco-contraordenacoes/

03 美国联邦贸易委员会就侵犯隐私的指控与Epic Games达成5.2亿美元和解

联邦贸易委员会（“FTC”）于2022年12月19日宣布，已达成协议，要求Epic Games因涉嫌违反《儿童在线隐私保护法案》（“COPPA”）和使用暗黑模式而支付总计5.2亿美元的和解费。一方面，Epic Games将因违反COPPA规则而支付2.75亿美元的罚款，并将被要求对儿童和青少年采用严格的隐私默认设置，以确保默认关闭语音和文本通信。另一方面，根据另一项拟议的行政命令，Epic Games必须支付2.45亿美元，以向消费者退还其因暗黑模式产生的计费。

来源：https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-video-game-maker-epic-games-pay-more-half-billion-dollars-over-ftc-allegations

04 加州法院宣布初步批准与Facebook达成7.25亿美元的集体诉讼和解

美国加利福尼亚州北区地方法院于2022年12月22日发布了原告的通知和动议，该通知提议针对隐私用户个人资料诉讼的案件3：18-md-02843-VC，由Facebook支付7.25亿美元的和解金，这将是用户在美国任何数据隐私集体诉讼中追回的最大金额。这起集体诉讼涉及Facebook涉嫌允许第三方通过其朋友访问有关用户的数据，根据加州法院的通知，该项活动已停止。此外，自诉讼开始以来，Facebook颁布了一系列改进措施，有意义地增强了限制和监控第三方如何获取和使用Facebook用户信息以保护这些数据免受潜在滥用的能力，并开发了更强大的工具来告诉用户Facebook收集和分享的有关他们的哪些信息。

来源：https://www.dataguidance.com/sites/default/files/facebook_inc._consumer_privacy_user_profile_litigation.pdf

05 爱尔兰数据保护委员会对Twitter非法披露用户数据展开调查

近日一位用户名为“Ryushi”的黑客在论坛Breached发帖称，其2021年曾成功利用漏洞（现已修复）抓取了超过4亿的推特用户数据，并计划以20万美元的价格出售。目前，爱尔兰数据保护委员会方面已决定对推特这一数据泄露事故展开调查。该机构表示，在与推特就此事进行讨论后，认为其已违反了欧盟《通用数据保护条例》的“一项或多项条款”，且违反的情况可能仍在继续。

来源：https://www.dataprotection.ie/en/news-media/data-protection-commission-launches-inquiry-twitter-concerning-datasets

06 法国CNIL对微软处以6000万欧元，因其未能充分协助用户拒绝cookie

2022年12月22日，法国数据保护机构(“CNIL”)公布了2022年12月19日第1号决定：SAN-2022-023，对微软爱尔兰运营有限公司罚款6000万欧元，原因是该公司未能像在bing.com上接受cookie一样容易拒绝同意使用cookie，该行为违反了1978年1月6日第78-17号关于数据处理、数据文件和个人自由的法案(“该法案”)第82条。此外，CNIL还要求微软在三个月内修改收集法国用户对使用cookie的同意的方法，并为他们提供一种同cookie接受机制一样简单的拒绝方式，以保证他们的同意自由。

来源：https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046768989

01 加拿大卫生部门网络遭攻击，约58200名居民和员工个人信息遭泄漏

2022年12月8日，加拿大东部卫生局表示，已完成对纽芬兰与拉布拉多省2021年遭遇的网络攻击和数据泄露的审查工作，共发现大约58200名患者的数据被泄露，黑客访问了不到20名患者的社会保险号码和不到5名患者的银行信息。卫生局的一份声明说，另外280名员工或前员工也受到了2021年10月30日发现的网络攻击的影响。省信息和隐私专员办公室表示，对此次袭击的调查要到2023年3月才能彻底完成。

来源：https://www.thestar.com/news/canada/2022/12/08/privacy-of-nearly-58500-people-breached-in-2021-cyberattack-on-nl-health-care.html

02 美国加州财政部遭入侵，LockBit声称窃取其76GB机密数据

2022年12月12日，LockBit勒索软件团伙在其泄密网站上发布消息称，他们对美国加利福尼亚州财政部实施了入侵并成功窃取了数据库、机密资料、财务文件和IT文件。随后不久加州州长紧急服务办公室证实，财政部确实受到了网络事件的影响。为证明其窃取数据的真实性，LockBit黑客还发布了一些据称是从加利福尼亚州财政部系统中泄露的文件截图（如财务数据、合同、2022年预算详细信息等的电子表格）。

来源：https://securityaffairs.co/139599/cyber-crime/lockbit-ransomware-california-department-of-finance.html

03 国际乒联服务器因安全问题致包括马龙、樊振东在内的数百名运动员护照、疫苗接种信息泄漏

据荷兰媒体RTL新闻（RTL Nieuws）2022年12月12日消息称，国际乒乓球联合会（ITTF）因安全问题导致数百名职业乒乓球运动员和工作人员的护照和疫苗接种证书泄露，其中包括世界冠军樊振东（中国）、奥运冠军马龙（中国）以及荷兰选手布里特·艾尔兰和硕汉。泄漏可能是因为国际乒联的云存储是开放的，因此任何人都可以搜索文件夹和文档。RTL Nieuws在发布本报道之前已通知国际乒联应对此次泄漏事件，通知后，相关文件已不再公开访问。疫苗接种证书包含医疗数据，因此很容易受到医疗欺诈，护照复印件可能被犯罪分子滥用于身份欺诈。

来源：https://www.rtlnieuws.nl/nieuws/nederland/artikel/5351680/international-table-tennis-federation-datalek-paspoorten

04 教育出版公司McGraw Hill发生数据泄露事件，可能暴露数十万学生的电子邮件地址和成绩信息

在线隐私公司Higher Ed Dive在vpnMentor报告中表示，教育出版公司McGraw Hill的数据泄露可能已经暴露了“数十万”大学生的电子邮件和成绩信息。根据该报告，vpnMentor在六月份发现了漏洞，有大量显然属于McGraw Hill的数据暴露在网络浏览器中，并试图与该公司联系数月。随后McGraw Hill表示，例行测试发现了违规行为，但还没有看到任何不利影响。

来源：https://www.highereddive.com/news/mcgraw-hill-exposed-student-data-grades-online-privacy/639150/

05 蔚来汽车遭遇225万美元等额比特币数据泄露勒索

2022年12月20日，蔚来发布《关于数据安全事件的声明》，蔚来方面表示，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。据声明所述，经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

来源：https://mp.weixin.qq.com/s/XIKa9XpURiJEoDgecJFVOg