前言
TMT产业[1]近十几年来在全世界范围内迅猛发展,外有谷歌、亚马逊等全球知名品牌,内有阿里巴巴和腾讯等迅速崛起的互联网巨头。一边在亚马逊上购物,一边聊着微信,没准还能腾出眼睛瞄一眼爱奇艺上热播的各种剧,毫不夸张地说,TMT产业已经融入了人们日常生活的方方面面。而近年来人工智能(Artificial Intelligence)、区块链(Block Chain)、云计算(Cloud)、大数据(Big Data)风起云涌,以ABCD为代表的互联网时代的下半场已经到来,将深刻改变人们的生活方式和工作方式。
新技术、新产业的不断诞生,对既有的监管和规则提出了强有力的挑战,各国均因此不断制定各种法律法规以顺应技术创新,我国也出台了大量法律、法规、规章及规范性文件,一方面促进TMT产业的发展,另一方面也加强对TMT行业的监管以趋利避害。
杨春宝律师团队自本世纪初即深度关注TMT产业的发展,积极介入TMT法律服务,为了帮助广大TMT产业从业者、投资者、关注者了解与该产业相关的最新政策法规及司法实践,我们将按季度更新TMT行业法律动态,欢迎关注。
一、技术
1.《科技部关于支持重庆、成都、西安、济南建设国家新一代人工智能创新发展试验区的函》(国科函规〔2020〕12、13、14、15号)
科技部于2020年1月23日向四地人民政府发函,除支持四地建设人工智能试验区之外,科技部表示将积极配合四地推进试验区建设,协调研究解决相关政策问题,加强工作指导和资源对接,及时总结典型经验和政策措施并予以推广。建立监测评估机制,跟踪评估试验区建设进展情况,根据评估结果给予激励和支持。
2. 《关于提升高等学校专利质量促进转化运用的若干意见》(教科技〔2020〕1号)
为全面提升高校专利质量,强化高价值专利的创造、运用和管理,教育部、国家知识产权局、科技部于2020年2月3日发布《关于提升高等学校专利质量促进转化运用的若干意见》。
该《意见》提出了四个方面共计十条任务,其中“完善知识产权管理体系”是前提,“开展专利申请前评估”是关键,“加强专业化机构和人才队伍建设”是支撑,“优化政策制度体系”是保障;并对围绕完善工作机制、加强政策引导、实行备案监测、创新许可模式等方面进行组织实施。同时教育部、国家知识产权局、科技部共同采取有效措施,推进以质量、贡献、绩效为导向的机制建设,引导高校积极落实《意见》中的重点任务。
3.《智能汽车创新发展战略》(发改产业〔2020〕202号)
2020年2月10日,发改委、网信办、科技部等11部联合发布的《智能汽车创新发展战略》,旨在抓住产业智能化发展战略机遇,加快推进智能汽车创新发展。
《发展战略》就智能汽车的发展态势如我国拥有智能汽车发展的战略优势进行阐述,就指导思想、基本原则、战略愿景提出总体要求以期到2025年,中国标准智能汽车的技术创新、产业生态、基础设施、法规标准、产品监管和网络安全体系基本形成;就构建协同开放的智能汽车技术创新体系、跨界融合的智能汽车产业生态体系、智能汽车产业生态体系、系统完善的智能汽车法规标准体系、科学规范的智能汽车产品监管体系、全面高效的智能汽车网络安全体系共提出了20条具体的主要任务;最后就加强组织措施、完善扶持政策、强化人才保障、深化国际合作、优化发展环境提出了具体的保障措施。
4.《人脸识别线下支付行业自律公约(试行)》(中支协发〔2020〕30号)
中国支付清算协会于2020年1月20日发布了《人脸识别线下支付行业自律公约(试行)》,旨在规范人脸识别线下支付应用创新,防范刷脸支付安全风险。
《公约》明确了刷脸支付的定义和《公约》的适用对象(开展刷脸支付的各会员单位,包括在刷脸支付中提供账户管理、转接清算、收单等服务的会员单位)。根据《公约》:在安全管理方面,会员单位应建立人脸信息全生命周期安全管理机制,同时会员单位应根据用户意愿,为其提供开通或关闭刷脸支付服务,且当用户开通刷脸支付时,会员单位应以显著方式提示用户注意服务协议中与其有重大利害关系的事项,同时采取有效方式来确认用户充分知晓并清晰理解相关权利、义务和责任,提示方式包括但不限于隐私政策、格式条款、短信提示等;在终端管理方面,会员单位应布放或接入的刷脸支付受理终端应符合国家和金融行业相关标准,并通过国家统一推行的金融科技产品认证;在风险管理方面,会员单位应建立交易风险监控模型和系统、商户风险评级管理制度及黑名单管理制度,建立刷脸支付特约商户检查制度以及刷脸支付突发事件应急处理机制,应结合用户信用状况、风险程度等因素,对用户刷脸支付可开通的交易类型进行限制,通过协议约定交易限额,并采取有效风控措施保障交易和用户资金安全;最后对用户权益保护方面也提出了强制性要求(涉及投诉流程和用户教育培训等内容)。
5.《金融分布式账本技术安全规范》(JR/T 0184-2020)
2020年2月25日,中国人民银行发布《金融分布式账本技术安全规范》,系由央行牵头的国内金融行业首个区块链标准。
《规范》明确了分布式账本技术[2]的定义,规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。同时该《规范》适用于在金融领域从事分布式账本系统建设或服务运营的机构。
二、 互联网
(一)与电子商务相关的规定
1.《电子商务信息公示管理办法(征求意见稿)》
为保护电子商务各方主体的知情权等合法权益,提高交易透明度,商务部于2020年2月12日发布《电子商务信息公示管理办法(征求意见稿)》。
根据《征求意见稿》,电子商务经营者应当依法公示有关信息或信息的链接标识,并鼓励电子商务经营者公示绿色包装的应用信息以及第三方信用评价的信息,支持电子商务经营者对企业责任、平台责任、公益事业等内容的公示。电商平台经营者应为平台内经营者公示相关信息提供便利,为平台内经营者公示信息的录入提供必要的接入端口和技术支持,平台内经营者未履行公示义务的,经电商平台经营者催告后仍不履行的,平台经营者可以采取必要措施限制该平台内经营者的经营活动。同时,如因特殊经营安排导致第三人无法准确识别电子商务经营者的平台经营者身份或者平台内经营者身份的,应当按照最有利于消费者的原则确定其公示义务。如有更利于保护消费者、权利人合法权益的关于信息公示的约定,应当遵守,并对电子商务经营者信息公示的内容和要求予以明确。同时,《征求意见稿》规定,任何自然人、法人或者其他组织不得违反法律的规定,非法获取公示的电子商务信息、篡改公示的电子商务信息、非法使用电子商务信息或是其他侵犯他人合法权益的行为,并对相关的法律责任进行明确。
2.《关于全面推广跨境电子商务出口商品退货监管措施有关事宜的公告》(公告2020年第44号)
为进一步优化营商环境、促进贸易便利化,使跨境电子商务商品出得去、退得回,海关总署于2020年3月27日发布《关于全面推广跨境电子商务出口商品退货监管措施有关事宜的公告》。
《公告》明确跨境电子商务出口企业、特殊区域(包括海关特殊监管区域和保税物流中心(B型))内跨境电子商务相关企业或其委托的报关企业(“退货企业”)可向海关申请开展跨境电子商务零售出口、跨境电子商务特殊区域出口、跨境电子商务出口海外仓商品的退货业务;退货企业应当建立退货商品流程监控体系,保证退货商品为原出口商品,同时退货商品可单独运回也可批量运回,并在出口放行之日起1年内退运进境;退货企业应当向海关如实申报,接受海关监管,并承担相应的法律责任。
3.《关于跨境电子商务零售进口商品退货有关监管事宜的公告》(公告2020年第45号)
为优化跨境电子商务零售进口商品退货监管,海关总署于2020年3月28日发布《关于跨境电子商务零售进口商品退货有关监管事宜的公告》。
《公告》明确在跨境电子商务零售进口模式下,跨境电子商务企业境内代理人或其委托的报关企业(“退货企业”)可向海关申请开展退货业务。跨境电子商务企业及其境内代理人应保证退货商品为原跨境电商零售进口商品,并承担相关法律责任;退货企业在《申报清单》放行之日起30日内申请退货,并且在《申报清单》放行之日起45日内将退货商品运抵原海关监管作业场所、原海关特殊监管区域或保税物流中心(B型)的,相应税款不予征收,并调整消费者个人年度交易累计金额;退货企业应当向海关如实申报,接受海关监管,并承担相应的法律责任。
(二)与个人信息保护相关的规定
1. 《信息安全技术 个人信息告知同意指南(征求意见稿)》
为使网络运营者明确个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式,同时规范网络运营者在网络环境中进行个人信息告知同意的情形,全国信息安全标准化技术委员会于2020年1月20日发布《信息安全技术 个人信息告知同意指南(征求意见稿)》。
该《征求意见稿》对个人信息告知同意的适用情形、免于告知同意的情形、告知同意的基本原则进行了规范,并规定了告知的内容、方式、展示、适当性以及同意的相关机制。同时,在附录板块针对不同的告知对象如未成年人以及在不同的告知场景(包括SDK收集使用个人信息、IoT、公共场合、个性化推荐、互联网金融、车载、网上购物等)下的告知同意提出了具体要求。
2. 《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》
为明确移动互联网应用程序收集个人信息时应满足的基本要求,同时规范移动互联网应用程序运营者收集个人信息的行为,全国信息安全标准化技术委员会于2020年1月22日发布《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》。该文件适用于移动互联网应用程序的开发和运营,也可用于移动互联网应用程序的技术评估、监督检查。
《征求意见稿》对App收集个人信息共提出了18个具体的基本要求用以规范移动互联网应用程序运营者收集个人信息的行为,如:保全保护义务、公开收集原则、最小必要信息规则等等。同时在规范性附录中对30种常用服务类型(如地图导航、网络约车、即时通讯、网上购物、网络支付、快递配送、餐饮外卖、儿童教育、网络直播等)的最小必要信息[3]和使用要求以及常用服务类型的最小必要权限范围[4]予以明确。例如:网络购物仅能收集用户的交易信息、账号信息和收货人信息,以及在客服处理用户纠纷时需用到的通话录音和聊天记录等信息;而快递配送仅能收集寄件人和收件人的基本信息、快递单号等信息。
3.《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》
全国信息安全标准化技术委员会秘书处于2020年3月19日发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》。该意见稿系在2019年3月1日版《App违法违规收集 使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准,并结合检测评估工作经验制定。
该《征求意见稿》规定了六个评估点:(一)是否公开收集使用个人信息的规则;(二)是否明示收集使用个人信息的目的、方式和范围;(三)收集使用个人信息是否征得用户同意;(四)是否遵循必要原则,仅收集与其提供的服务直接相关的个人信息;(五)是否未经同意向他人提供个人信息;(六)是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息。同时文件针对各评估点罗列了具体的评估要求供App运营者自评估参考,以期帮助其持续提升个人信息保护水平。
4.《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》
全国信息安全标准化技术委员会秘书处基于相关评估工具数据统计和近期疫情防控App发现的问题,针对当前App个人信息保护合规的常见问题和防范策略,于2020年3月30日发布《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》。
该《征求意见稿》提出了十个问题:(一)超范围收集;(二)无法注销或设置不合理注销条件;(三)强制捆绑授权;(四)无隐私政策;(五)默认选择同意;(六)未充分明示个人敏感信息使用规则;(七)申请权限目的不明;(八)未提供删除、更正或投诉举报的功能或渠道;(九)隐私政策内容与实际不符;(十)未告知同意第三方SDK收集行为。通过该文件建议App(含小程序)运营者和疫情防控App通过参考本实践指南,采取相应措施持续提升个人信息保护水平。
(三)与数据安全相关的规定
1.《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)
为指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,工业和信息化部于2020年2月27日发布《工业数据分类分级指南(试行)》。
该《指南》明确了工业数据[5]的定义;对数据的分类分级予以明确;鼓励企业在做好数据管理的前提下适当共享一、二级数据,充分释放工业数据的潜在价值。二级数据只对确需获取该级数据的授权机构及相关人员开放。三级数据原则上不共享,确需共享的应严格控制知悉范围。工业数据遭篡改、破坏、泄露或非法利用时,企业应根据事先制定的应急预案立即进行应急处置。涉及三级数据时,还应将事件及时上报数据所在地的省级工业和信息化主管部门,并于应急工作结束后30日内补充上报事件处置情况;同时企业应按照《工业控制系统信息安全防护指南》等要求,针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击。
2. 《商业银行应用程序接口安全管理规范》(JR/T 0185-2020)
2020年3月4日,中国人民银行发布《商业银行应用程序接口安全管理规范》,明确银行业金融机构可结合实际按照《规范》加强应用程序接口全生命周期安全管理,事前从接口安全设计、开发、服务等方面做好技术管理,事中从数据保护、接口访问、服务运行等方面增强运行管理,事后从风险防控、消费者权益保护等方面强化风险管理。
同时《规范》规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。且适用于商业银行对外互联的应用程序接口的设计和应用,以指导从事或参与商业银行应用程序接口服务的银行业金融机构、集成接口服务的应用方开展相关工作,并为第三方安全评估机构等单位开展安全检查与评估工作提供参考。
3.《网上银行系统信息安全通用规范》(JR/T 0068-2020)
2020年3月4日,中国人民银行发布《网上银行系统信息安全通用规范》,旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。同时该标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。
与旧标准JR/T 0068-2012相比,该规范主要变化如下:一、增加了SM系列算法、条码支付、生物特征等九类相关要求。二、修改了客户端安全的表述等四类安全要求,补充了自身防护、敏感信息保护等安全要求。三、删除了与JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容;删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全。
三、文化传媒
1.《药品、医疗器械、保健食品、特殊医学用途配方食品广告审查管理暂行办法》(国家市场监督管理总局令第21号)
为加强药品、医疗器械、保健食品和特殊医学用途配方食品广告监督管理,规范广告审查工作,国家市场监督管理总局于2019年12月24日发布了《药品、医疗器械、保健食品、特殊医学用途配方食品广告审查管理暂行办法》,并自2020年3月1日起生效。
该《暂行办法》明确,未经审查不得发布药品、医疗器械、保健食品和特殊医学用途配方食品广告。下列药品、医疗器械、保健食品和特殊医学用途配方食品不得发布广告:(一)麻醉药品、精神药品、医疗用毒性药品、放射性药品、药品类易制毒化学品,以及戒毒治疗的药品、医疗器械;(二)军队特需药品、军队医疗机构配制的制剂;(三)医疗机构配制的制剂;(四)依法停止或者禁止生产、销售或者使用的药品、医疗器械、保健食品和特殊医学用途配方食品;(五)法律、行政法规禁止发布广告的情形。同时,《暂行办法》还明确了四类广告的内容范围,即:药品广告内容应以核准的说明书为准,不得超出说明书范围;医疗器械广告的内容应当以药品监督管理部门批准的注册证书或者备案凭证、注册或者备案的产品说明书内容为准,不得超出注册证书或者备案凭证、注册或者备案的产品说明书范围;保健食品广告的内容应当以市场监督管理部门批准的注册证书或者备案凭证、注册或者备案的产品说明书内容为准,不得超出注册证书或者备案凭证、注册或者备案的产品说明书范围;特殊医学用途配方食品广告的内容应当以国家市场监督管理总局批准的注册证书和产品标签、说明书为准,不得超出注册证书、产品标签、说明书范围。此外,《暂行办法》还规定了四类广告禁止包含的情形,申请广告审查应提交的相关资料,以及违反《暂行办法》应受到的处罚等内容。
四、电信
1.《关于开展2020年IPv6端到端贯通能力提升专项行动的通知》(工信部通信函〔2020〕57号)
2020年3月19日,工业和信息化部发文部署开展2020年IPv6端到端贯通能力提升专项行动,特别提出要优化提升IPv6网络接入能力,全面扩大数据中心IPv6覆盖范围,到2020年底IPv6活跃连接数达到11.5亿,移动网络IPv6流量占比达到10%以上。
《通知》提出,将通过优化提升IPv6网络接入能力、加快提升内容分发网络IPv6应用加速能力、大幅提升云服务平台IPv6业务承载能力、全面扩大数据中心IPv6覆盖范围、着力提升终端设备IPv6支持能力、稳步提升行业网站及互联网应用IPv6浓度、着力强化IPv6网络安全保障能力等七个方面加大IPv6推进力度。并提出压实工作责任、强化协同攻坚、完善技术监测和开展抽查抽测共四项具体的保障措施。同时在附件中就IPv6改造相关指标和测试方法给予详细说明。
2.《关于推动5G加快发展的通知》(工信部通信〔2020〕49号)
为全力推进5G网络建设、应用推广、技术发展和安全保障,充分发挥5G新型基础设施的规模效应和带动作用,工业和信息化部于2020年3月24日发布《关于推动5G加快发展的通知》。
该《通知》就5个方面一共提出18条具体举措:在加快5G网络建设部署方面提出加快5G网络建设进度、加大基站站址资源支持、加强电力和频率保障、推进网络共享和异网漫游;就丰富5G技术应用场景方面提出培育新型消费模式、推动“5G+医疗健康”创新发展、实施“5G+工业互联网”512工程、促进“5G+车联网”协同发展并构建5G应用生态系统;在持续加大5G技术研发力度方面提出加强5G技术和标准研发、组织开展5G测试验证、提升5G技术创新支撑能力;在着力构建5G安全保障体系方面提出了加强5G网络基础设施安全保障、强化5G网络数据安全保护、培育5G网络安全产业生态;最后在加强组织实施方面要求加强组织领导、加强责任落实、加强总结交流的具体举措。
五、TMT行业典型案例
1.首例爬虫行为保全裁定:法院裁定立即停止擅自爬取微信公众号相关数据
案件:深圳市腾讯计算机系统有限公司(深圳腾讯公司)、腾讯科技(深圳)有限公司(腾讯科技公司)诉杭州快忆科技有限公司(以下简称杭州快忆公司)不正当竞争纠纷
主要事实:两申请人对微信公众号文章内容信息、数据信息、微信公众号正常运营权益应当受到法律保护;被申请人提供用于爬取微信公众号平台各类数据的产品和服务,包括“微信公众号文章信息API”、“微信订阅号和最新文章API”、“腾讯滚动新闻API”、“辖区内按省市微信公众号及其企业认证信息数据”。
裁判观点:被申请人作为市场竞争者,其在主观上知道或应当知道申请人微信公众号的市场知名度、经营模式、功能、用途以及服务协议。被申请人违反《微信公众平台服务协议》,开发出多款用于爬取微信公众平台各类数据的产品,并以此牟利,构成不正当竞争的可能性大。“神箭手”网站上的相关产品可自动运行在“神箭手”云平台上,不及时停止相关产品,可能对数据权益造成侵害,并可能会进一步扩大用户个人信息和数据安全隐患风险。故裁定:被申请人杭州快忆科技有限公司立即停止提供“微信公众号文章信息API”、“微信订阅号和最新文章API”、“腾讯滚动新闻API”、“辖区内按省市微信公众号及其企业认证信息数据”产品的行为。关于本案的评论,详见《杨春宝高级律师就首例爬虫禁令接受PaRR记者采访》。
2.永和食品(中国)股份有限公司广告违法案
2020年3月13日,上海市市场监管局公布2020年第一批虚假违法广告典型案例,涉及食品、医疗、教育培训、房地产等多个领域,共计12起。
其中,永和食品(中国)股份有限公司此前在微信公众号中发布了题为“这杯国饮,果断赞了!”的广告宣传,含有“永和豆浆的产品作为国礼走进各国驻华大使馆”的内容。经查实,当事人在非正式场合向个别使馆工作人员赠送其产品,赠送行为和产品均未经政府授权,与广告宣称严重不符。当事人上述广告混淆概念误导受众。前述行为违反了《广告法》,市场监管部门依据《广告法》作出行政处罚,责令停止发布违法广告,并处罚款30万元。
[1] Technology(技术)、Media(媒体)和Telecommunication(电信)三大行业被业内人士统称为“TMT”行业。对应我国国民经济行业分类国家标准,大致涵盖软件和信息技术、互联网、文化和娱乐、电信和广播电视等行业。
[2] 分布式账本技术是密码算法、共识机制、点对点通讯协议、分布式存储等多种核心技术高度融合形成的一种分布式基础架构与计算范式。
[3] 最小必要信息:保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。
[4] 最小必要权限范围:指用于收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限。
[5] 工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。