合规研究院║资讯·2022年11月速递

《信息安全技术键信息基础设施安全保护要求》国家准则发布

2022年11月7日，市场监管总局准则技术司、中心网信办网络安全协调局、公安部网络安全保护局在京联合召开《信息安全技术 要害信息基础设施安全保护要求》（GB/T 39204-2022）国家准则发布宣贯会。准则提出了以要害业务为核心的整体防控、以风险治理为导向的动态防护、以信息共享为基础的协同联防的要害信息基础设施安全保护3项基本原则，从分析识别、安全防护、检测评估、监测预警、主动防备、事件处置等6个方面提出了111条安全要求，为运营者开展要害信息基础设施保护工作需求提供了强有力的准则保障。

（来源：全国信息安全准则化技术委员会）

工信部发布《关于促进网络安全保险规范健康发展的意见（征求意见稿）》

2022年11月7日，工信部发布《关于促进网络安全保险规范健康发展的意见（征求意见稿）》，向社会公开征求意见。征求意见稿提出，要推动企业网络安全风险应对能力提升。鼓励重点行业企业完美网络安全风险治理机制，推动电信、能源、金融、交通、水利、教诲等重点行业企业积极利用网络安全保险工具，有效转移、提防网络安全风险，提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险监控风险敞口，建立健全网络安全风险治理体系，不断加强中小企业网络安全防护能力。

（来源：工业和信息化部）

国家互联网信息办公室发布新修订的《互联网跟帖评论服务治理规定》

2022年11月16日，国家互联网信息办公室发布新修订的《互联网跟帖评论服务治理规定》（以下简称《规定》）。《规定》自2022年12月15日起施行。《规定》旨在加强对互联网跟帖评论服务的规范治理，保护国家安全和公共利益，保护公民、法人和其他组织的合法权益，促进互联网跟帖评论服务健康发展。《规定》共16条，重点明确了跟帖评论服务提供者跟帖评论治理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。《规定》将于2022年12月15日起施行。2017年8月25日公布的《互联网跟帖评论服务治理规定》同时废止。

（来源：国家互联网信息办公室）

展开全文

中国银保监会发布《人身保险产品信息披露治理方法》

为进一步推动全行业坚持以人民为中心的发展思想，保护人民根本利益，全面规范人身保险产品信息披露行为，切实保护投保人、被保险人和受益人的合法权益，促进行业健康可继续发展，依据《中华人民共和国保险法》等法律、行政法规，中国银保监会制定并于2022年11月17日发布了《人身保险产品信息披露治理方法》（以下简称《方法》）。

《方法》指出，保险公司作为产品信息披露的主体，应当将产品的条款、费率、现金价值全表等与消费者权益亲昵相关的信息进行全面披露。信息披露对象包括投保人、被保险人、受益人及社会公众。《方法》要求，保险公司应当完美内部产品信息披露治理机制，披露素材由保险公司总公司统一负责治理，保险公司不得授权或托付个人保险代理人自行修改保险产品的信息披露素材。《方法》明确，保险机构相关治理人员在产品信息披露治理、素材制定、使用等方面的责任。同时，也明确了违反本方法对保险机构和相关责任人可摘取的监管措施和处罚举措。

（来源：中国银行保险监督治理委员会）

深圳首个公共数据安全领域的地方准则发布 12月1日实施

2022年11月14日，深圳市地方准则《公共数据安全要求》（以下简称《要求》）发布，并将于2022年12月1日起施行。《要求》主要包括公共数据总体安全原则和要求、总体框架、数据分级方法、通用治理安全要求、通用技术安全要求及数据处理活动安全要求等内容，适用于公共治理和服务机构数据安全能力的建设、评估与监管，也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。

（来源：深圳市市场监督治理局）

盘锦银行因敏锐数据信息存在泄露风险、瞒报信息系统突发事件等违法违规行为被罚款140万元

2022年11月4日，据辽宁银保监局发布的89号行政处罚决定书展示，盘锦银行因存在监管要求落实严重不到位、敏锐数据信息存在泄露风险、外包治理职责存在缺失、瞒报信息系统突发事件等违法违规行为，被罚140万元。83号行政处罚决定书展示，吴英因监管要求落实严重不到位、外包治理职责存在缺失，被给予警告。84号行政处罚决定书展示，柴武洲因监管要求落实严重不到位，被给予警告。85号行政处罚决定书展示，刘成学因监管要求落实严重不到位、外包治理职责存在缺失，被给予警告。86号行政处罚决定书展示，于全兵因监管要求落实严重不到位，被给予警告。87号行政处罚决定书展示，王成军因监管要求落实严重不到位、敏锐数据信息存在泄露风险、外包治理职责存在缺失、瞒报信息系统突发事件，被给予警告。88号行政处罚决定书展示，赵晓波因敏锐数据信息存在泄露风险，被给予警告。90号行政处罚决定书展示，曹明因监管要求落实严重不到位、敏锐数据信息存在泄露风险、外包治理职责存在缺失、瞒报信息系统突发事件，被给予警告。

（来源：中国银行保险监督治理委员会辽宁监管局）

因违反金融消费者权益保护治理规定浦发银行厦门分行被罚386万元

2022年11月11日，中国人民银行厦门市中心支行官网更新的处罚公告展示，上海浦东发展银行厦门分行因违反金融消费者权益保护治理规定，被警告并罚386万元。关珍龙时任浦发银行厦门分行信用卡部副总经理，对上述违法违规行为负有直接责任，被警告并罚1.5万元。

（来源：中国人民银行厦门市中心支行）

津药药业子公司因滥用市场支配地位被罚2770万元

2022年11月18日，津药药业股份公司发布公告，披露其子公司天津金耀药业有限公司（“金耀药业”）于2022年11月17日收到了天津市市场监督治理委员会下发的《行政处罚告知书》。天津市市场监督治理委员会认为，金耀药业滥用在中国卡莫司汀注射液市场的支配地位，以不公平高价销售卡莫司汀注射液，适用修改前的《反垄断法》第十七条和第四十七条规定，责令其停止违法行为，并处2019年销售额2%的罚款，计 27721311.36 元。另，2021年4月28日，天药股份公告称，公司收到天津市市场监督治理委员会下发的《行政处罚决定书》，因公司违反《反垄断法》相关规定，合计被罚4402.26万元。

（来源：上海证券交易所）

重庆农商行因同业投资业务不合规等9项违法违规事实，被罚款1285万元

2022年11月21日，重庆银保监局公开的信息展示，重庆农商行因（1）审查审批不尽职，超需求发放流动资金贷款形成风险；（2）掩盖不良贷款；（3）拨备覆盖率指标虚假；（4）贷款减值预备不足按规定对质押资产进行审查即向政府融资平台公司发放贷款；（5）同业授信调查及审查审批不尽职，部分业务出现风险；（6）贷款“三查”不尽职，导致形成重大信用风险；（7）同业投资业务不合规；（8）贷后治理不到位，信贷资金被挪用；（9）未执行统一授信治理等9项违法违规被罚1285万元。

（来源：中国银行保险监督治理委员会重庆监管局）

最高检公布全国检察机关办理涉案企业合规案件

近日，最高检公布全国检察机关办理涉案企业合规案件情状及数据。截至今年8月，全国检察机关累计办理涉案企业合规案件3218件，其中适用第三方监督评估机制案件2217件，对整改合规的830家企业、1382人依法作出不起诉决定。较4月涉案企业合规改革试点全面推开时，新增合规案件2229件、适用第三方机制案件1616件。

（来源：最高人民检察院）

最高检公布2019年以来检察机关办理个人信息保护领域公益诉讼案件

2022年11月10日，最高检公布2019年以来检察机关办理个人信息保护领域公益诉讼案件。2018年以来，全国检察机关以侵犯公民个人信息罪批捕16459人、起诉33417人，其中，2022年1月至9月批捕1199人、起诉6223人，较2018年同期分别下降47.2%、上升87.9%。2019年以来，全国检察机关共立案办理个人信息保护领域公益诉讼案件8361件，其中，2019年立案147件，2020年立案750件，2021年立案2276件，2022年1月至9月立案5188件。

“对侵犯公民个人信息案件的起诉人数逐年上升，阐明检察机关继续加大打击犯罪力度。批准逮捕人数大幅下降，阐明检察机关在办案中严厉落实少捕慎诉慎押刑事司法政策。”最高检第一检察厅厅长苗生明表达，“在侵犯公民个人信息案中，大部分犯罪嫌疑人主动认罪认罚，对他们摘取非羁押监管措施能够保证诉讼顺利进行，也体现了在惩罚犯罪的前提下，加强人权司法保障、促进社会协调的理念。”

2021年11月1日，个人信息保护法施行，专设公益诉讼条款，明确将个人信息保护纳进公益诉讼检察法定领域。“对此，最高检先后下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》，要求聚焦严重侵害社会公共利益的侵犯个人信息违法行为，发扬公益诉讼制度在个人信息安全溯源治理方面的优势，积极履职。随着相关工作的不断深进，检察机关办理的个人信息保护领域公益诉讼案件数量逐年增长，也在该领域探索创新了一些独具特色的办案方法。”最高检第八检察厅副厅长邱景辉说。

同时，检察机关对内不断强化“四大检察”协同发力，对外加强与公安、网信、市场监管、工信等行政机关的协作配合，形成保护公民个人信息合力。

（来源：最高人民检察院）

华为首次发布隐私保护治理白皮书

2022年11月7日下午，2022华为网络安全与隐私保护合规治理论坛在华为全联接大会期间举办。

在论坛上，华为全球网络安全与用户隐私保护办公室主任杨晓宁作了题为《华为网络安全与隐私保护合规治理》的分享，并首次发布《华为隐私保护治理白皮书》，与业界分享华为的隐私保护治理方法和实践体会。

杨晓宁提到，华为将网络安全和隐私保护作为公司的最高纲领。华为从2010年起，开始系统性地构建网络安全与隐私保护的端到端治理保障体系，并将治理要求融进主业务流程。在过往30多年里，华为在170多个国家和地区开展业务，服务全球30多亿人口，保持了良好的安全笔录。华为始终遵从全球适用的隐私法律，包括中国的《中华人民共和国个人信息保护法》和欧洲的GDPR等。

华为的隐私保护治理方法即隐私合规17/27框架，该框架是在全球具有代表性的法律、法规与准则要求的基础上抽象出来的一套隐私合规治理方法，包含17个工作域、27个工作项。在天津举办的2022年中国网络文明大会上，华为隐私合规17/27框架进选了中国网络空间安全协会“个人信息保护创新实践案例”。

杨晓宁说：“网络空间安全与隐私保护是未来数字经济的基石之一，没有网络空间安全与个人信息保护，就没有数字经济时代的繁华。华为情愿与业界加强沟通与协作，共同繁华数字世界新生态。华为将自己的隐私合规17/27框架和典型实践案例通过白皮书的形式分享了出来，供业界参考。”

（来源：工人日报）

谷歌达成美国史上最大多州隐私和解协议

近日，美国有史以来规模最大、金额最高的隐私和解协议出炉。

当地时间11月14日，美国多州检察长办公室宣称，互联网巨头谷歌公司赞同为其在2014年至2020年间非法追踪并获取用户位置信息支付3.915亿美元（1美元约合人民币7.08元）与美国40个州的检方达成和解。依据和解协议，谷歌还将改良定位数据服务，让用户能更轻易删除自身位置信息，并让某些搜集数据的做法对用户更加透明。

据了解，此次和解协议不仅是美国史上规模最大、涉及多州的互联网隐私和解协议，也创下了谷歌这一跨国科技企业为了结侵犯用户隐私诉讼支付和解金的最高纪录，对消费者来说是一场“历史性的胜利”。

（来源：法治日报）