首页 > 韬安资讯 > 详情

【韬安数据观察】苹果曝出严重安全漏洞,黑客可完全接管设备,涉及 iPhone等;杭州互联网法院发布“个人信息保护十大典型案例”

2022-08-22
2022年第30期,总第63期

                                                                  
01. 中央网信办 
正在加快推动《未成年人网络保护条例》出台
02. 杭州互联网法院发布
“个人信息保护十大典型案例”
03. 江苏开展网络安全“铸盾”行动
集中排查三类企业数据安全隐患
04. 国家市场监督管理总局发布
《盲盒经营活动规范指引(试行)(征求意见稿)》
05. 天津
发布公平竞争审查评估报告
06. 河北
今年以来查处涉企违规收费案件22件、不正当竞争案件143件
07. 俄罗斯
就个人数据出境进行立法
08. 苹果曝出严重安全漏洞
黑客可完全接管设备,涉及 iPhone/iPad等
09. 美国
纽约金融服务部(DFS)因“重大”网络安全违规行为对Robinhood处以3000万美元罚款
10. LexisNexis
因非法收集和出售个人数据被起诉
11. 因涉嫌垄断
FTC欲阻止Meta收购VR公司

——敏于行,喻于义,臻于至善




图片


一、数据合规与个人信息保护


01. 中央网信办:正在加快推动《未成年人网络保护条例》出台

8月18日,中宣部举行“中国这十年”系列主题新闻发布会。会上,中央网信办副主任盛荣华表示,未成年人网络保护问题,是全社会越来越关注的一个热点问题,也是管网治网的重点问题、难点问题。当前,网信办正在加快推动《未成年人网络保护条例》出台,完善《未成年人保护法》的配套制度,为未成年人网络保护提供更加有力的法律保障。

网信办将持续加强日常监管,加大网络执法处罚的力度,特别是要紧盯未成年人使用频率比较高的一些网站平台、产品功能、位置板块,对违法违规的网站平台和账号,要从严处置处罚一批、集中曝光一批,形成有力震慑。

同时,网信办将强化管理,一管苗头,二管源头。及时发现网上那些涉未成年人的苗头性、倾向性的问题,要把风险隐患能够管住、防住。深挖网络乱象背后的利益链条,从根本上解决问题。实际上,种种网络乱象的背后有一个普遍的突出问题,就是利益链条比较长。只有斩断了乱象背后的利益链条,才能标本兼治,管住网上的这些乱象。

此外,网信办还将完善保护措施,重点优化提升青少年模式效能,优化算法推荐,防止向未成年人推送一些负面有害信息,让未成年人上网更安心,家长更放心。(来源:经济观察报)


02. 杭州互联网法院发布“个人信息保护十大典型案例”


杭州互联网法院聚焦个人信息保护领域的突出问题和人民群众的重大关切,在成立五周年之际,特别发布“个人信息保护十大典型案例”(见下图)。

此次发布的典型案例覆盖面广,既涉及银行征信、公共出行服务等传统的个人信息处理领域,也涵盖网购平台向内嵌支付机构提供用户信息、APP自动化推荐应用等新型个人信息处理场景;既包括儿童、平台用户等民事主体的个人信息保护,也及时回应了个人信息的赔偿标准认定、信息主体诉权行使的前置条件等司法疑难问题,对人民法院织密个人信息保护的法治之网具有借鉴和示范意义。(来源:杭州中院)

图片

(图片来自网络)

03. 江苏开展网络安全“铸盾”行动 集中排查三类企业数据安全隐患

8月11日,“铸盾2022”江苏省信息通信行业网络与数据安全检查专项行动启动。省内外40支队伍、106名检测人员,将利用10天左右时间,对304家企业的6.7万个联网资产,集中检测漏洞风险。此次全面“体检”,有助于企业及时堵住漏洞、消除隐患,继续强化安全意识,筑牢江苏省网络与数据安全防线。

检测对象为4家基础电信企业、省内100家互联网企业、200家工业互联网企业的网络资产。基础电信企业是公共通信和信息服务网络的提供者和运营者,是各类数字应用的底座;互联网企业是网络应用的重要力量,掌握着海量用户数据;工业互联网企业是数字赋能工业转型发展的新引擎,连接着巨量工业设备和生产系统,汇聚大量工业生产数据,直接影响工业生产的安全可靠。江苏省通信管理局局长许继金表示,抓好这3类企业的网络和数据安全,对于筑牢数字经济发展基石至关重要,是护航全省数字经济发展的重要举措。中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心、中国工业互联网研究院等4家单位的8名技术专家担任裁判员。在集中检测结束后,江苏省通信管理局将组织点评、通报问题、督办整改。

监测数据显示,当前境内外网络攻击威胁日益升级,去年江苏省仅移动互联网恶意程序攻击事件就高达5.3亿起,针对江苏省内工业企业的网络攻击行为近3600万次,涉及企业1107家。(来源:澎湃江苏,江苏网信)

二、 反垄断与竞争法

01. 国家市场监督管理总局发布《盲盒经营活动规范指引(试行)(征求意见稿)》

8月16日,国家市场监督管理总局网站发布关于公开征求《盲盒经营活动规范指引(试行)(征求意见稿)》意见的通知。征求意见稿提出,盲盒经营者应依据生产经营成本和市场供求状况,合理确定盲盒价格。盲盒经营者提供商品或者服务应明码标价,不得在标价之外加价出售商品,不得实施不按规定明码标价、哄抬价格、价格欺诈等违法行为。

征求意见稿还提出:盲盒经营者应将商品名称、商品种类、商品样式、抽取规则、商品分布、商品投放数量、隐藏款抽取概率、商品价值范围等关键信息以显著方式对外公示,保证消费者在购买前知晓;盲盒经营者不得通过后台操纵改变抽取结果、随意调整抽取概率等方式变相诱导消费;盲盒经营者不得以折现、回购、换购等方式拒绝或者故意拖延发放盲盒;盲盒经营者不得设置空盒。
(来源:央视网,国家市场监督管理总局官网)

图片

(图片来自网络)




02. 天津发布公平竞争审查评估报告

8月11日,《天津市公平竞争审查评估报告》正式印发,《评估报告》对天津市公平竞争审查制度实施情况进行了综合量化评估,助力全市公平竞争审查制度持续深入推进落实。

为确保此次评估的科学性、准确性和权威性,天津市市场监管委组织评估组和部分被评估单位召开现场对接会,选定现场调研座谈、现场重点抽查、发放调查问卷等第三方评估场景,并结合实际分别设定区级政府、市级政府部门两套评估指标体系,包含3个大项37个小项,其中23个为基本项,14个为加分项。通过对照评估指标进行客观评价,达到对前期工作情况进行认真回溯、检视和总结,为下一步工作有效开展提供借鉴和有效指导的目的。

据了解,此次评估工作共抽查政策措施文件2114份,其中第三方评估机构现场重点抽查83份,重点评估排查涉及地方保护、区域封锁、指定交易等方面妨碍统一市场和公平竞争的潜在风险。经评估会审,对认定违反公平竞争审查标准的政策措施,督促政策制定机关立即整改;对认定构成行政垄断行为的,严格依法立案调查。

从评估情况看,天津市落实公平竞争审查制度取得阶段性成效。一方面,全市公平竞争审查工作扎实推进,政策措施增量“留痕”,存量“过筛”,全面落实公平竞争审查制度整体效果良好,体现出以查促评、以评估促提升、以考核促落实的工作成效。另一方面,各级政策制定机关公平竞争审查工作制度逐步完善,并呈现较多亮点做法和有益经验。(来源:中国市场监管报)

03. 河北今年以来查处涉企违规收费案件22件、不正当竞争案件143件

日前,河北省市场监管局召开全省价格监督检查、反垄断和反不正当竞争工作推进会议。会议认真贯彻省委十届二次全会、全省优化营商环境大会、全省经济工作推进会等会议精神,总结回顾上半年工作,安排部署下半年工作任务。河北省市场监管局党组成员、副局长陈佩鸿出席会议并总结。

今年以来,河北各级市场监管部门持续做好疫情常态化价格监管,积极稳定市场价格秩序,全省召开提醒告诫会210次,累计发放提醒告诫函5万余份,有效平抑因散发疫情而引起的蔬菜价格短期波动。

加强涉企违规收费专项治理,着力减轻企业负担,全省检查收费单位2281家,查处涉企违规收费案件22件,退还企业121万元。开展粮食市场秩序专项整治,查处粮食价格违法案件11件。开展医疗服务收费、教育收费专项检查,查处违规收费案件34起,涉及违规收费金额222万元。

推进公平竞争政策实施,制定《河北省预防和制止滥用行政权力排除限制竞争行为工作指引》,全省审查新出台文件2811件,修改调整24件,清理存量文件1.4万余件,废止修订176件。加大公平竞争执法力度,开展“促竞争、护民生、保稳定”反不正当竞争执法行动,全省查处不正当竞争案143件,罚没款568.61万元。(来源:河北新闻网)


图片


一、数据合规与个人信息保护


01. 俄罗斯就个人数据出境进行立法

近日,俄罗斯立法机关批准了一项法案,该法案将限制俄罗斯人将个人数据转移到国外,并要求计划这样做的实体提前通知通信监管机构。

该法律由议会下议院或国家杜马二读通过,是政府一直在努力的几项法律之一,因为俄罗斯正应对西方对莫斯科在乌克兰的军事行动而实施的严厉制裁。

俄罗斯此前尚无立法规范个人数据的跨境传输,这对当前的外交政策形势不利。该法案的起草者称,在俄罗斯注册的 2,500 多个实体处理个人数据并将其转移到其他国家,包括实施制裁的“不友好”国家。

希望将数据传输到国外的公司必须就拟传输的每个国家通知俄罗斯监管机构——俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)——在大量互联网公司反对后,这一措施被放宽了。

Roskomnadzor 列举的能够提供足够数据保护水平的国家包括了适用GDPR的欧委会成员国以及其他29个主要的非洲和亚洲国家,但不包括美国。Roskomnadzor公布的“不友好”国家包括众多欧洲的北约成员国以及澳大利亚、加拿大、日本和新西兰。

该草案仍需在杜马三读和上议院审议,以及总统普京签署后才能正式成为法律。(来源:数据法律观察)

02. 苹果曝出严重安全漏洞,黑客可完全接管设备,涉及 iPhone/iPad等

8月20日,#苹果曝出严重安全漏洞#话题登上微博热搜第一。美国苹果公司当地时间本周三发布两份安全报告,两份报告披露,公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。

据介绍,苹果 HTML 渲染引擎 (WebKit) 中存在一个名为 CVE-2022-32893 的远程代码执行漏洞 (RCE) ,通过该漏洞,黑客可以欺骗 iPhone、iPad 和 Mac 运行未经授权和不受信任的代码;而 CVE-2022-32893 是 WebKit 中的越界写入问题。

根据报告,本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中,手机包括iPhone6S及以后的型号;平板包括第五代及以后的iPad,所有iPadPro,以及iPadAir2;电脑则是运行MacOSMonterey的Mac。此外,该漏洞还能影响到部分型号的iPod。这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。

在周三发布的安全更新中,苹果表示:该漏洞可能已被用于攻击行为,苹果公司呼吁用户立刻下载最新更新,以修补漏洞。(来源:IT之家,央视报道)

03. 美国:纽约金融服务部(DFS)因“重大”网络安全违规行为对Robinhood处以3000万美元罚款

纽约金融服务部(DFS)本周首次宣布对加密货币平台进行处罚,对Robinhood Crypto(RHC) 处以高达3000万美元的罚款。RHC称其“在银行保密法/反洗钱义务和网络安全方面的重大失误”,导致违反了该部门地方虚拟货币条例(23 NYCRR第200部分)、汇款人条例(3 NYCRR第417部分)、交易监控条例(23 NYCRR第504部分)和网络安全条例(23 NYCRR第500部分)。

在DFS 的监督检查和执法调查之后,发现RHC的合规计划“没有完全解决RHC的运营风险,并且该计划中的具体政策也并不完全符合网络安全和虚拟货币法规的若干规定。”

特别是,所有受DFS监管的实体必须每年证明他们已遵守DFS法规,包括其网络安全法规。据DFS称,RHC向DFS认证其遵守DFS网络安全法规。然而,DFS却在其新闻稿中表示:“尽管RHC交易监控和网络安全计划方面存在这些缺陷,但RHC未正确证明其遵守了该部门的交易监控条例和网络安全条例。根据这些规定,公司只有在其计划完全符合适用法规的情况下才应向DFS进行认证。鉴于该计划的缺陷,RHC向该部门提交的2019年证明符合这些法规的认证不应进行,因此违反了法律。”

除罚款外,和解还要求RHC由独立顾问监督,该顾问对RHC的合规性和补救措施进行“全面评估”,以应对DFS确定的违规行为。发现的缺陷和随后的处罚提醒受DFS监管的实体,DFS的年度认证将受到审查和执行。(来源:数据法律资讯,data privacy and security insider)

04. LexisNexis 因非法收集和出售个人数据被起诉

根据移民倡导者周二提起的诉讼,数据经纪人 LexisNexis Risk Solutions 涉嫌违反伊利诺伊州法律,收集和聚合大量个人信息并将其出售给包括联邦移民当局在内的第三方。

活动人士和两个移民倡导团体认为,结果是“对公民自由的严重威胁”。该诉讼要求库克县法官阻止数据经纪人未经同意出售个人信息。

投诉还指出,出售给执法部门的 LexisNexis 的 Accurint 产品包含不公开的信息,包括矫正预订、车辆碰撞记录和车牌阅读器数据库。

“通过使用Accurint,执法人员可以无需通过传票、法院命令或其他法律程序而获得信息来监视和跟踪消费者”投诉称,并指责 LexisNexis 的技术启用“一个拥有几乎所有美国成年消费者档案的大规模监控状态”。

总部位于乔治亚州的 LexisNexis Risk Solutions 的代表拒绝置评,理由是此为未决诉讼。(来源:数据法律观察)

二、 反垄断与竞争法

01. 因涉嫌垄断,FTC欲阻止Meta收购VR公司

8月16日,据报道,Facebook母公司Meta准备收购VR公司Within Unlimited,美国联邦贸易委员会(FTC)试图阻止收购,双方将在12月份对峙法庭。

FTC认为Meta收购Within Unlimited将会在VR产业形成垄断。对此,美国将会召开听证会,FTC将全力阻止交易。听证会持续7天,直到12月20日结束。

在过去10年里Meta收购了100多家公司,在年轻行业收购小企业往往不会被FTC反对。但现在,美国对垄断的态度更加强硬。

据悉,Meta同意将收购完成时间推迟到1月1日,或者等到法官就FTC禁令给出裁定。(来源:新浪科技)

- END -

本栏目文章为本所为本行业及社会公众提供的公益性普法服务,不属于针对具体事项的法律意见,也不代表本所针对具体个案的意见或观点。