南财合规周报(第25期):阿里云未及时报告漏洞被工信部暂停合作;薇娅偷逃税被罚13.41亿

2021年12月27日 16:26   21世纪经济报道 21财经APP   郭美婷
本周(12月20日-12月26日)监管动态密集,网络、数据安全仍是重点。

过去一周(12月20日-12月26日)监管动态密集,网络、数据安全仍是重点。

阿里云事件成为本周网络安全领域讨论的焦点,因未及时报告网络安全漏洞阿里云被工信部暂停合作单位资格6个月。上海印发《上海市建设网络安全产业创新高地行动计划(2021-2023年)》,提出到2023年,上海网络安全产业规模从120亿元提升至250亿元。

数据安全方面,广州国资委发布首个数据安全地方指导性文件,细化数据分级分类管理要求等,为广州国企提供了极具现实操作意义的合规指南。《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》公开征求意见,明确数据安全风险包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等。网络和数据安全越来越成为企业的合规底线,未来网络安全企业具有广阔的发展前景。

薇娅偷逃税被罚13.41亿系本周风暴眼,推进网络直播行业的规范发展,将成为下一阶段监管重点。

海外监管风起云涌,美国联邦贸易委员会(FTC)主席莉娜•可汗发文支持金融科技领域调查,认为大型科技公司参与支付和金融服务,可能使它们以潜在的反竞争和剥削方式,巩固和扩大自己的市场地位,并享有获取数据和人工智能技术的特权等。微软史上第二大收购案获欧盟批准,该收购案目前已获得美国、澳大利亚监管机构的反垄断批准,英国监管机构近期刚开始对此进行调查。

一、数据与网络安全

1、广州发布首个数据安全地方指导性文件

12月20日,广州市国有资产监督管理委员会发布《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(以下简称《指南》),系地方国资监管部门首部针对数据合规专项领域的合规操作指南。

《指南》细化了数据分级分类管理要求,金融等领域、处理超过10万人的个人敏感信息等国企属于数据安风险较高企业,须将数据安全合规作为重点专项管理;明确企业数据安全管理的三道防线;若商业合作伙伴存在数据滥用、预留“后门”等违法违规行为的,永久禁止合作。

南财点评:

数据立法是贯穿2021年监管主题,9月生效的《数据安全法》和11月正式实施的《个人信息保护法》等,让数据安全合规管理成为企业的刚性要求。

然而,目前部分企业的数据安全合规体系建设还处于起步状态,存在着许多潜在的安全风险问题,《指南》以上位数据立法及数据监管相关政策文件要求为依据,细化了数据分级分类等管理要求,是极具现实操作意义的合规指南。

2、阿里云被工信部暂停合作单位资格6个月

近日,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(以下简称“阿里云”)作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

南财点评:

网络安全无小事。自工信部通报暂停阿里云合作单位资格以来,阿里巴巴股价大幅波动,截至12月22日午盘,阿里巴巴股价下跌4%。

早在事发前,我国对网络漏洞的处理方式和流程已有要求。《网络安全法》明确发生网络安全事件时运营者向有关主管部门报告的义务。《网络产品安全漏洞管理规定》提出网络产品提供者发现或获知网络产品的安全漏洞后,应在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

此次阿里云事件背后,反映了国家对网络、数据包括个人隐私在内的问题的重视程度。作为新基建重要一环的云计算平台,更加应以谨慎的心态承担起保障网络安全的责任。

3、工信部要求开展数据安全风险信息报送

12月22日,据工信部官网消息,工业和信息化部近日研究起草《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》(以下简称《工作指引》),并面向社会公开征求意见。

按照《工作指引》,数据安全风险信息,是指通过检测、评估、信息搜集、授权监测等手段获取的,包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等数据安全风险。

同时,工信部(网安局)根据数据安全风险的影响范围,展开了对应的风险信息共享和通报工作:对于可能影响社会公众的风险信息,可通过部网站等渠道通报;对于区域性的风险信息,通报至有关地方工业和信息化主管部门或者地方通信管理局;对于能够确定具体通报单位的,同时向该单位主体及其所在地工业和信息化主管部门或者通信管理局通报。

4、上海提出到2023年网络安全产业规模升至250亿元

12月21日,上海市经济信息化委等部门联合印发《上海市建设网络安全产业创新高地行动计划(2021-2023年)》(以下简称《行动计划》)。根据《行动计划》,到2023年,上海网络安全产业规模从120亿元提升至250亿元,占全国10%以上,带动相关产业增长2500亿元,培育10家行业龙头企业。

在壮大创新产业集群方面,《行动计划》表示,将依托自贸区临港新片区、静安市北、嘉定、青浦、浦东唐镇等地区,围绕数据流通安全、车联网及信息基础设施安全、ICT供应链安全、金融科技安全等形成若干网络安全产业集群。持续对接龙头企业,支持其网络安全业务板块在沪开展企业化运营,带动产业链落地发展。

南财点评:

随着《网络安全法》《数据安全法》《个人信息保护法》的相继实施,网络和数据安全的地位持续提升,企业为其所支付的成本也将越来越高。

网络安全企业正在迎来发展新机遇,具有广阔的发展空间。根据中国信通院日前发布的态势分析报告,我国网络安全产业处于快速发展期,2020年产业规模达到1729.3亿元,同比增长10.6%,预计2021年网络安全产业规模约为2002.5亿元,增速约为15.8%。

未来,网络安全产业仍需多方共同努力协同推进。对于网络安全企业,应加大自身研发投入,强化核心竞争力。

二、平台经济治理

1、薇娅偷逃税被罚13.41亿

12月20日,浙江省杭州市税务部门公布了对网络主播黄薇(网名:薇娅,下简称薇娅)偷逃税案件的处理情况。经查,其在2019年至2020年期间,通过隐匿个人收入、虚构业务转换收入性质虚假申报等方式偷逃税款6.43亿元,其他少缴税款0.6亿元。按照相关法律法规,税务部门对薇娅追缴税款、加收滞纳金并处罚款,共计13.41亿元。

薇娅及其丈夫分别在社交平台上公开道歉。薇娅表示,“完全接受税务部门依法对我做出的相关处罚决定,并将积极筹措资金在规定时间内完成补缴税款、滞纳金和罚款。”此外,针对协助偷逃税款的相关经纪公司及经纪人、网络平台企业、中介机构等,杭州市税务局有关负责人还表示,将进行联动检查,依法严肃查处涉税违法行为。

南财点评:

近年来,在国家的大力支持下,直播带货等一大批新业态新模式涌现。然而,随之而来的偷逃税、货不对板、假冒伪劣等问题的频频曝光,行业“粗放式”生长并非长久之计,亟须正确的引导和规范。

聚焦于主播税务,网络直播行业头部主播虽收入高且复杂、收入性质界定难,但并非“税收盲区”。如何推进行业规范与发展并重,将成为下一阶段网络直播行业监管重点。

2、哈啰出行58同城等17款APP涉嫌超范围采集个人隐私被通报

12月20日消息,国家计算机病毒应急处理中心近期通过互联网监测发现17款移动应用存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。

据悉,此次监测发现的App隐私不合规行为包括:未向用户明示申请的全部隐私权限;App向第三方提供个人信息未做匿名化处理;App在征得用户同意前就开始收集个人信息;未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件;未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限。涉及的App包括哈啰出行、易购、58同城、帮帮洗衣等。

3、北京市网信办依法约谈处罚知乎网

据北京市网信办12月20日消息,近日,国家互联网信息办公室指导北京市互联网信息办公室依法约谈知乎网负责人,针对知乎网多次出现法律法规禁止发布或者传输的信息等问题,依据《中华人民共和国网络安全法》,责令其立即整改,严肃处理相关责任人。北京市互联网信息办公室对知乎网违法行为进行行政处罚立案。

知乎网负责人表示,将深刻吸取教训,严格落实各项整改要求,在整改期间自行暂停相关功能。

三、反不正当竞争和反垄断监管

1、市场监管总局发布《法治市场监管建设实施纲要(2021——2025年)》

2021年12月20日,市场监管总局印发《法治市场监管建设实施纲要(2021-2025年)》(下称《纲要》)。

《纲要》提出,加强重点领域、新兴领域尤其是数字经济领域立法。加强反垄断和反不正当竞争、信用监管、价格监管等方面立法,推动形成高效规范、公平竞争的国内统一市场。

其中,在加强重点领域监管执法方面,《纲要》表示,根据不同安全监管领域特点和风险程度确定监管内容、方式和频次,制定相应的监管规则和标准。加强和改进反垄断与反不正当竞争执法,坚决惩治损害营商环境的垄断和不正当竞争行为。在提升市场监管执法效能方面,《纲要》提出立足智慧监管推进监管方式创新。要建立和完善智慧监管制度,充分运用互联网、大数据、人工智能等信息技术推进监管方式创新。

2、市场监管总局附加限制性条件批准SK海力士收购英特尔公司部分业务

12月22日,市场监管总局网站发布关于附加限制性条件批准SK海力士株式会社收购英特尔公司部分业务案反垄断审查决定的公告:鉴于此项经营者集中在PCIe企业级固态硬盘、SATA企业级固态硬盘市场具有或可能具有排除、限制竞争效果,根据申报方提交的附加限制性条件承诺方案,市场监管总局决定附加限制性条件批准此项集中。

市场监管总局要求企业主体在收购完成后履行六项义务,包括不得以不合理价格向中国境内市场供应涉案产品、五年内持续扩大相关固态硬盘产量等。

四、海外监管风云

1、美国FTC主席莉娜•可汗发文支持金融科技领域调查

12月21日, 美国联邦贸易委员会(FTC)主席莉娜•可汗发文支持美国消费者金融保护局(CFPB)发起的针对金融科技领域的调查。她认为科技巨头向支付领域的扩张可能具有反竞争效果。

莉娜•可汗写道,大型科技公司参与支付和金融服务,可能使它们以潜在的反竞争和剥削方式,巩固和扩大自己的市场地位,并享有获取数据和人工智能技术的特权。而且,由于大型科技公司作为支付和认证提供商的角色越来越复杂,这可能会导致风险集中。此外,大型科技公司在金融服务领域使用算法决策,将加剧算法歧视、偏见和不透明等问题。

2、微软史上第二大收购案获欧盟批准

12月21日,欧盟委员会宣布无条件批准微软公司对 Nuance的收购案。

欧盟委员会表示,微软此次收购不会显著降低转录软件、云服务、企业通信服务、个人电脑操作系统和其他产品市场的竞争。

据悉,这笔交易是微软继2016年以262亿美元收购领英后的第二大收购案。截至目前,该收购案已获得美国、澳大利亚监管机构的反垄断批准。近期,英国监管机构刚开始对此进行调查。

关注我们