天达共和数据合规资讯月报(No. 11)2023
摘 要
尊敬的各位客户、同仁:
欢迎参阅天达共和律师事务所数据合规团队为您呈现的《数据合规资讯月报》2023年第11期(总第47期)。
本期月报主要内容包括:
立法动态
介绍2023年10月26日至11月25日期间及前后境内外数据保护立法动态,并针对部分立法动态提供简要评论。
执法司法聚焦
介绍2023年10月26日至11月25日期间及前后境内外部分典型执法司法案例,并针对部分执法司法活动提供简要评论。
行业新闻
精选2023年10月26日至11月25日期间及前后互联网及相关行业与网络安全和数据保护有关的新闻资讯。
团队动态
近日,国际法律评级机构The Legal 500公布了2024年度亚太地区榜单。天达共和律师事务所数据合规团队凭借专业的法律服务能力及卓越的客户口碑,在“数据保护”业务领域荣誉上榜,申晓雨律师、叶鹏律师与王东方律师被评为亚太地区数据保护推荐律师。
热点评述
在前两期月报热点评述中,我们推出了本团队研究系列的第一篇《生成式人工智能数据合规研究系列(一)——法律与监管概述篇》以及第二篇《生成式人工智能数据合规研究系列(二)——网络安全篇》。其中,我们主要进行了关于国内外生成式人工智能(“生成式AI”)数据合规法律和监管环境的梳理,并分析了生成式AI服务提供者在网络安全方面可能面临的风险和防范。承接前两篇内容,我们继续推出本系列研究的第三篇“数据安全篇”。在本篇中,我们将为您梳理和分析企业在开发和运营生成式AI的过程中,在数据安全方面可能遇到的法律风险,包括算法风险、训练数据来源风险、生成内容风险以及其他风险,并提出具有操作性风险防范建议,供相关企业参考。
数据合规资讯月报
2023年11月刊
欢迎扫码查阅PDF版
DATA
·立 法 动 态·
网络、数据安全与个人信息保护
11月6日,上海市消费者权益保护委员会和上海连锁经营协会共同制定并印发《上海市商超购物个人信息保护合规指引》(下称“《指引》”)。《指引》共4章16条,规定商超经营者通过App或小程序向消费者提供服务的,应当在App或小程序首次运行时提示隐私政策并征得明确同意,不得以消费者拒绝授权为由停止服务或限制功能,收集的个人信息或索取的权限应与消费场景密切相关,处理敏感个人信息或向第三方提供时应取得单独同意,不得强制、诱导关注微信公众号、注册会员、索取非必要个人信息和权限,推送商业营销信息应提供退订或拒绝选项等;同时规定商超经营者负有建立健全消费者个人信息安全管理制度和操作规程、定期开展安全教育培训、制定并组织实施个人信息安全事件应急预案、采取技术和其他措施防止消费者个人信息泄露的义务;上海市消费者权益保护委员会及上海连锁经营协会有权对商超经营者个人信息保护合规情况开展暗访抽查和社会监督。
(https://mp.weixin.qq.com/s/4CgVyVJsWBN1dfGXYRR8eQ)
简评:2023年6月以来,在国家互联网信息办公室(下称“国家网信办”)的指导下,上海市互联网信息办公室(下称“上海市网信办”)、上海市市场监督管理局共同开展了为期半年的“亮剑浦江·消费领域个人信息权益保护专项执法行动”,重点监督餐饮店、房产中介、停车扫码、租借充电器、少儿学习培训、商超购物、网络理财小贷、汽车4S店八大消费场景。截至目前,已发布餐饮行业扫码点餐、少儿培训、网络理财小贷、商超购物等场景下常见个人信息保护问题自查清单,《上海市商场停车场扫码缴费服务合规指引》《上海市网络点餐服务消费者个人信息保护合规指引》《上海市汽车销售行业个人信息保护合规指引》《上海市商超购物个人信息保护合规指引》等合规指引,《租借手机充电器场景下所需最小必要个人信息清单》和两期《网络理财小贷场景违法违规收集使用个人信息案例解析》,同时采取现场检查、普法培训、媒体曝光、约谈提醒、行政处罚等多种方式推动企业积极履行个人信息保护义务。上海市网信办作为地方个人信息保护执法工作的先锋,其执法活动呈现出场景化、精细化、多元化的特点,采取的系列措施已在全国范围内率先作出示范,未来可能对相关企业个人信息保护工作的规范与强化起到积极作用。
11月13日,北京市经济和信息化局(下称“北京经信局”)发布《数据清洗、去标识化、匿名化业务规程(试行)》。该规程系国内首个关于数据清洗、去标识化、匿名化处理相关流程方法的业务规程,体系性地明晰了数据清洗、去标识化、匿名化处理的技术特点、相互关系和落地方式,旨在指导行业主体组织开展数据清洗、去标识化、匿名化处理等及相应的技术测试评估,支撑数据共享、交易、开放等流通活动合规、有序进行。
(https://mp.weixin.qq.com/s/QOBfy4sYPMCJTmZngh_MPg)
11月14日,重庆市互联网信息办公室发布《关于报送数据出境需求的通知》(下称“《通知》”)。《通知》要求所在地为重庆市的外资企业以及跨境金融、跨境物流、跨境电商等可能存在数据出境情况的机构,于11月30日前报送数据出境需求基本情况,报送范围为其在境内收集和产生的数据传输、存储至境外(含港澳台地区)或数据存储在境内但境外机构、组织、个人可以查询、调取、下载、导出的情形。《通知》另附《数据出境需求基本情况表》,报送内容包括单位名称、可能出境数据类型(重要数据或个人信息)、出境规模(单位为GB或人)、出境国家或地区、联系人、联系方式和备注。
(https://mp.weixin.qq.com/s/Lp2lVyFkKhGNwOTTrUSj1Q)
11月22日,上海仲裁委员会发布并实施了《上海仲裁委员会数据仲裁指引》。该指引旨在为数据纠纷案件的处理提供程序性指引,在通知与送达、仲裁员人选、专家证人和鉴定报告、调查取证、临时措施等程序方面针对数据争议案件进行特殊规定,同时引入了多元化争端机制在数据纠纷案件的适用。。
(https://www.accsh.org/news.html?id=1218)
11月23日,工业和信息化部(下称“工信部”)发布《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》,用于指导行业数据安全监管部门合法、适当地行使行政处罚自由裁量权,统一裁量尺度,是工信部贯彻落实《数据安全法》,推动工信领域数据安全行政处罚工作制度化、规范化的重要规范。征求意见稿正文共5章26条,对适用范围、行政处罚裁量权概念、各级行政处罚机关职责、工作原则、行政裁量管辖、行政处罚情形、行政处罚裁量权适用规则等方面进行规定。附件《工业和信息化领域数据安全行政处罚裁量基准》(下称“《裁量基准》”)共14条,明确不予处罚、从轻处罚、减轻处罚、从重处罚等裁量阶次;综合考虑危害程度等因素,细化各项行政处罚的适用条件;细化处罚标准,提出给予违法主体罚款数额等差异化处罚幅度的裁量参考。《裁量基准》为执法机关和数据处理者针对各类违法行为及其判定标准提供了明晰的指引,也为各行业、各地区进一步细化执法裁量基准提供了参考。
(https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_2fb5b9dff755480284099f08eebdfa1e.html)
数据流通与交易
11月7日,广西省壮族自治区人民政府印发《广西数据要素市场化发展管理暂行办法》。该办法包含总则、数据处理、数据权益、数据流通与交易、数据安全监管、法律责任与附则,共计7章,旨在规范数据要素市场活动,保障数据安全,促进数据要素开发利用和流通交易,推动数据要素市场化配置。
(http://www.gxzf.gov.cn/zfwj/zxwj/t17451044.shtml)
11月10日,北京数据基础制度先行区(下称“数据先行区”)启动活动成功举办。启动仪式上,北京经信局发布了《北京数据基础制度先行区创建方案》。该方案明确,数据先行区定位为“在全市特定区域,按照适应数据要素和数字经济特征的新型监管方式建立先行先试机制,加快建设数据基础制度综合改革试验田和数据要素集聚区”。根据方案,北京将打造“2+5+N”的数据先行区基础架构,即智能算力基础设施和国家区块链网络枢纽两个基础设施层;数据资产登记平台、数据资产评估平台、数据资产托管平台、数据交易节点、数字资产管理平台五个业务中台层;金融数据、政务数据、“三医”数据、自动驾驶数据、航运贸易数据、文旅数据数据专区与应用等多个数据应用层。
(https://mp.weixin.qq.com/s?__biz=MzAxMzI0ODc1Mw==&mid=2649516189&idx=1&sn=66defcc07903666bba64b4d649523f2e&scene=21 - wechat_redirect)
11月26日,上海数据交易所举行2024年度发布会,全球首个数据交易所交易规则体系——上海数据交易所交易规则体系(2024)正式亮相,搭建了“办法—规范—指引”三个层级的交易制度结构,以《上海数据交易所数据交易管理办法》作为全局性的统领文件,归集为“主体管理—交易管理—运营管理—纠纷解决”四大模块;细化九项规范,推出特色的数据交易服务栏目,并以指导交易实践为目的,推出六项指引。
(https://www.pudong.gov.cn/0060011/20231129/770924.html)
人工智能
10月20日,上海市经济和信息化委员会、上海市发展和改革委员会、上海市科学技术委员会、中共上海市委网络安全和信息化委员会办办公室、上海市财政局联合制定了《上海市推动人工智能大模型创新发展若干措施(2023-2025年)》。该措施是为深入贯彻国家发展新一代人工智能的战略部署,进一步落实《上海市促进人工智能产业发展条例》制定。其中提出要实施大模型创新扶持计划、建立大模型测试评估中心、实施大模型智能算力加速计划、构建智能芯片软硬协同生态、语料数据资源共建共享、实施大模型示范应用推进计划、推进科学智能大模型应用、打造企业、人才集聚的大模型创新高地、推进大模型应用生态建设、建立常态化服务机制、加大投入力度等十一项措施。
(https://mp.weixin.qq.com/s/uG0n11D0WsX_EQjbRI-6ww)
10月20日,工信部印发《人形机器人创新发展指导意见》。该意见提出人形机器人的发展目标,到2025年,我国人形机器人创新体系初步建立,“大脑、小脑、肢体”等一批关键技术取得突破,确保核心部组件安全有效供给。整机产品达到国际先进水平,并实现批量生产,在特种、制造、民生服务等场景得到示范应用。培育2-3家有全球影响力的生态型企业和一批专精特新中小企业,打造2-3个产业发展集聚区。到2027年,人形机器人技术创新能力显著提升,形成安全可靠的产业链供应链体系,构建具有国际竞争力的产业生态,综合实力达到世界先进水平。具体而言,该意见还提出了突破关键技术、培育重点产品、拓展场景应用、营造产业生态、强化支撑能力以及保障措施等方面的要求。
(https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_48fe01d562644aedb7ea3f4256df8190.html)
11月13日,广东省人民政府批复同意《关于加快建设通用人工智能产业创新引领地的实施意见》。该意见提出,充分利用港澳人才和资源优势,发挥横琴、前海、南沙、河套等四大合作平台桥头堡、试验田的作用,探索打造“粤港澳大湾区数据特区”。到2025年,广东有望实现智能算力规模全球领先,全省人工智能核心产业规模突破3000亿元,成为国家通用人工智能产业创新引领地。
(http://www.gd.gov.cn/zwgk/wjk/qbwj/yf/content/post_4282629.html)
11月14日,中国音像与数字出版协会发布《〈出版业生成式人工智能技术应用指南〉团体标准(征求意见稿)》。该指南规定了出版业生成式人工智能技术的基本原则、主要应用场景、管理机制、知识产权保护与安全保障。
(http://www.cadpa.org.cn/3281/202311/41635.html)
重点行业聚焦
11月4日,网信浙江公布《浙江省汽车数据处理管理规定》。该规定旨在进一步规范浙江省汽车数据处理活动,其中规定了开展汽车数据处理活动应当遵循的匿名化、去标识化等规则,处理敏感个人信息、车辆收集信息、敏感个人信息、原始个人生物信息等不同汽车数据的处理方式。
(https://mp.weixin.qq.com/s?__biz=MzAxODgwMDkyNQ==&mid=2649774791&idx=1&sn=0f5c8087df2ecb0db4c89b3ea5df2240&scene=21 – wechat_redirect)
11月10日,中国互联网金融协会第二届常务理事会2023年第一次会议审议通过并发布了《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》《公共数据在企业征信领域应用的指南》《金融分布式账本技术资金管理应用业务要求》《金融分布式账本技术资金管理应用技术要求》《移动金融客户端应用软件上架资质指引》《移动金融客户端应用软件无障碍设计指南》《网上银行服务 应用安全规范》等9项团体标准。该9项标准的主题聚焦金融数据治理、数字化转型、数字征信、金融科技应用和自律管理等领域,为响应《金融标准化“十四五”发展规划》和《金融科技发展规划(2022-2025年)》的相关政策规定与监管要求制定。
(https://mp.weixin.qq.com/s/3qME5cX1G9c7cSLVgVTL7g)
11月13日,财政部发布《会计师事务所数据安全管理暂行办法(征求意见稿)》并向社会征求意见。该办法旨在贯彻落实《数据安全法》《网络安全法》等相关法律的要求,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。办法包括总则、数据管理、网络管理、监督检查与附则,共计五章。
(http://kjs.mof.gov.cn/gongzuotongzhi/202311/t20231113_3916037.htm)
11月17日,工信部、公安部、住房和城乡建设部与交通运输部四部门联合发布《关于开展智能网联汽车准入和上路通行试点工作》的通知。通知要求在智能网联汽车道路测试与示范应用工作基础上,遴选具备量产条件的搭载自动驾驶功能的智能网联汽车产品,开展准入试点;对取得准入的智能网联汽车产品,在限定区域内开展上路通行试点,车辆用于运输经营的需满足交通运输主管部门运营资质和运营管理要求。通知详细规定了试点申报、产品准入试点、上路通行试点、应急处理、试点暂停与退出和评估调整机制。
(https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_be04a39345354b1ba4624262f86e7cfb.html)
11月18日,国务院发布《支持北京深化国家服务业扩大开放综合示范区建设工作方案》,系2020年出台的示范区1.0方案基础上的迭代升级,总共在6个方面提出170余项试点任务。该方案提出要在电信服务领域、健康医疗领域、金融服务领域、文化教育服务领域与专业服务领域五个服务业重点领域推进深化改革扩大方案、探索包括推动构建数字经济国际规则及推动数据资源开发利用在内的新兴业态规则规范等。国务院批复原则同意该工作方案并积极支持北京深化国家服务业扩大开放综合示范区建设,同时提出实施中的重大问题应及时向国务院请示报告。
(https://www.gov.cn/zhengce/content/202311/content_6916720.htm)
其他
11月1日,国家密码管理局9月26日发布的《商用密码应用安全性评估管理办法》正式施行。该办法规定,法律规定要求使用商业密码进行保护的网络与信息系统的运营者应当使用商业密码进行保护。同时规定了商用密码应用安全性评估的对象范围、责任主体、工作原则、程序内容与实施规范,旨在依法规范落实商用密码应用安全性评估工作。
(https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061109.shtml)
网络、数据安全与个人信息保护
美国
10月27日,美国国会议员 Ted W. Lieu、司法犯罪小组委员会高级成员 Sheila Jackson Lee、国会女议员 Yvette D. Clarke、国会议员 Jimmy Gomez、国会议员格伦·艾维 (D-MD) 和国会议员马克·维西 (D-TX) 提出了《面部识别法案》(Facial Recognition Act),该法案旨在对执法部门使用面部识别技术 (FRT) 进行严格限制。FRT 是执法机构用来打击犯罪的强大监控工具,但因其使用缺乏透明度和合理限制,算法技术存在歧视性偏见等,被认为威胁到了美国公民的自由。
(https://lieu.house.gov/media-center/press-releases/reps-lieu-jackson-lee-clarke-gomez-ivey-and-veasey-introduce-bill)
欧洲
11月1日,希腊数字治理部提出设立国家网络安全局的法案。该法案旨在建立国家层面的网络安全局,作为国家认证机构和国家网络安全协调中心,以有效应对网络攻击,确保对数字服务的信任,抵御网络威胁,并增强整体网络安全,发展希腊的网络安全生态系统。
(https://mindigital.gr/archives/5565)
11月7日,英国发布 “2023年国王的演讲:背景简报”的政策文件,强调部长将提出《数据保护和数字信息法案》(DPDB No.2),以鼓励机器学习等技术创新。该法案指出,DPDB No.2将减轻企业负担,削减对科学研究人员的不必要障碍,促进社会实力和繁荣的创新。例如,允许企业以比《通用数据保护条例》(GDPR) 更合理、更实际的方式保护个人数据;建立安全数字验证服务框架;澄清和完善使用个人数据进行科学研究的规则;经济建设中启用“智能数据”计划;确保在提供健康和成人社会护理、执法、安全和其他政府服务时更好地利用数据等措施。
(来源:Data Guidance)
(https://www.dataguidance.com/news/uk-kings-speech-2023-announces-data-protection-and)
11月9日,欧洲议会压倒性多数投票正式通过了欧盟《数据法案》(Data Act)。此举也意味着《数据法案》在官方公报上公布之日起,为期20个月的过渡期将开始计算。该法案是欧盟数据战略一揽子计划的一部分,旨在弥补《数据治理法》的不足,通过建立互联产品及相关服务中所产生的数据的共享规则及用户访问规则,将数据作为企业与公共机构创新的关键因素并促进数据的利用,其核心目标是实现欧盟数据市场的协调与统一。
(https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data)
简评:《数据法案》自2022年2月公布立法意见后,经长达一年半的时间终于迎来正式通过。数据流通链条上可能包含用户、数据处理者、数据接收方等多方参与者主体,《数据法案》解决的即是欧洲数据链条上多个参与者在不同场景下的数据权利与义务,以推动数据流通并创造更多的数据价值。《数据法案》着重强调数据经济参与者之间数据价值分配的公平性,规定了数据使用的合法性与透明度,敦促数据链条上的各方在企业对政府、企业对个人与企业对企业三种场景下的数据共享均应遵循流程以保证数据资源的公平。该法案作为一项横向立法,广泛适用于设备制造商、数字服务和互联产品提供商以及欧盟的公共部门等多个主体,但是公共部门的数据义务是其重点规制对象。《数据法案》作为欧盟数据战略一揽子计划的一部分,其与欧洲《通用数据保护条例》(GDPR)在个人数据处理适用法律方面相互衔接。
11月15日,欧盟委员会宣布与非洲、加勒比和太平洋国家组织(OACPS)79个成员国签署了《萨摩亚协定》(Samoa Agreement),该协定是继2000年《科托努协议》(Cotonou Agreement)之后的总体法律框架。成员国以标准原则为共同基础,在数据保护方面各成员国制定法律和监管制度并应当具备相应行政能力,如建立独立的监管机构。此外,该协议还规定成员国间应合作推动数据流通,解决网络安全、人工智能的社会问题。
(来源:Data Guidance)
(https://www.dataguidance.com/news/international-eu-and-oacps-sign-new-partnership)
亚洲
10月27日,泰国个人数据保护委员会(PDPC)根据2019年《个人数据保护法》(Personal Data Protection Act , PDPA)的第28条和第29条发布了数据国际传输条例草案,并向社会公开征求意见。第28条数据国际传输条例草案系关于将个人数据传输到具有适当数据保护标准的目的地国家或国际组织;第29条数据国际传输条例草案系关于泰国的数据处理者将个人数据传输到其他国家应当具备传输者与接收者已制定《个人数据保护政策》并经个人数据保护委员会审查认证的条件。
(https://www.mdes.go.th/mission/detail/7098-การรับฟังความเห็นกฎหมายลำดับรอง)
11月21日,泰国数字经济和社会部(MDES)公布将在未来六个月内协同特别调查部(DSI)起诉逮捕个人信息非法交易罪犯,并在未来一年内采用政府中央云系统减少个人信息泄漏,修订《计算机犯罪法》、《个人数据保护法》和《网络安全法》以应对网络犯罪。
(https://www.mdes.go.th/news/detail/7607-รัฐมนตรี-ประเสริฐ-เผย-พบ-1-158-หน่วยงาน-ข้อมูลรั่ว-และ-21-หน่วยงาน-ระบบไซเบอร์-เสี่ยงสูง)
11月23日,韩国个人信息保护委员会(PIPC)发布了《个人信息保护法》(PIPA)执行令第二次修改公告。修正案主要涉及建立数据主体自动决策程序、个人信息保护责任人资质、建立评估公共部门个人信息水平标准与损害赔偿义务方面。修正案计划于2024年3月15日生效。
(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9553)
数据流通与交易
10月28日,欧盟和日本达成了跨境数据流协议。该协议在欧盟和日本在大阪举行的七国集团(G7)贸易部长会议期间达成,旨在使网络商务活动更轻松、更低成本和更高效。该协议要求取消数据本地化要求,彼时将惠及使金融服务、运输、机械和电子商务等多个行业的数据处理。欧盟方表示,跨境数据流动是共同推进社会和经济数字化发展的重要推动力,协议条款一旦获得批准将被纳入《欧盟-日本经济伙伴关系协定》(EU-Japan Economic Partnership Agreement,EPA)。
(https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5378)
人工智能
美国
10月31日,美国白宫发布关于安全、可靠和值得信赖的人工智能的行政命令。该行政命令旨在建立人工智能(AI)安全和安保的新标准。命令规定,人工智能系统的开发者必须与美国政府共享其安全测试结果和其他重要信息。开发者通过制定生物合成筛选新标准,防范利用人工智能设计危险生物材料的风险;通过制定测试机制,以确保人工智能系统的安全、可靠和可信。开发者必须制定检测人工智能生成内容和验证官方内容的标准和实践方式,保护美国民众免受人工智能带来的欺诈和欺骗。
(https://www.whitehouse.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/)
11月2日,美国参议员马克·R·华纳 (Mark R. Warner) 宣布提出《2023年联邦人工智能风险管理法案》(Federal Artificial Intel- ligence Risk Management Act of 2023)。该法案为联邦机构管理人工智能(AI)风险,实施国家标准研究院制定的指导方针和技术 (NIST) 搭建了人工智能风险管理框架。该法案要求联邦机构遵循 NIST 的指导方针管理与人工智能系统相关的风险;要求联邦机构购买符合 NIST 人工智能风险管理框架的人工智能系统。
(https://www.moran.senate.gov/public/_cache/files/f/2/f28eff88-9d3d-475d-bcb0-df22da1532e6/8DA77388E7C4B5FE471EDB8CB9840EF5.bag23e44.pdf)
11月15日,美国众多参议员提出《2023 年人工智能研究、创新和责任法案》(Artificial Intelligence Research, Innovation, and Accountability Act of 2023)。该法案分为两个主题,分别是“鼓励创新的立法举措”与“问责框架”。该法案核心在于对人工智能系统部署者的透明度与认证要求。
(https://www.dlapiper.com/en/insights/publications/ai-outlook/2023/us-senators-introduce-bill-to-establish-ai-governance-framework)
DATA
·执 法 司 法 聚 焦·
网络、数据安全与个人信息保护
10月27日,中国人民银行河南省分行对河南光山农村商业银行的8项违法行为进行警告,罚款84.2万元,对2名相关负责人分别罚款2.8万元和1.5万元。8项违法行为分别是:
1. 违反金融统计管理规定;
2. 违反银行结算账户管理规定;
3. 未按规定履行客户身份识别义务;
4. 未按规定报送可疑交易报告;
5. 违反人民币流通管理规定;
6. 违反信用信息采集、提供、查询及相关管理规定;
7. 违反消费者金融信息保护管理规定;
8. 违反金融消费者投诉管理规定。
(http://zhengzhou.pbc.gov.cn/zhengzhou/124182/124200/124207/5114818/2023102716441167132.pdf)
10月30日,网信北京发布消息称,北京市互联网信息办公室(下称“北京市网信办”)对三家企业涉嫌存在网络数据安全违法行为进行立案调查。经查实,三家企业违反《数据安全法》第27条规定,未履行数据安全保护义务,部署的数据库存在未授权访问漏洞,造成部分数据泄露。北京市网信办依据《数据安全法》第45条第1款规定,对三家企业分别作出责令改正,给予警告,并处5万元罚款的行政处罚,对直接主管人员和其他责任人员处以1万元罚款处罚。
(https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A)
10月30日,网信中国发布消息称,针对“夸克”平台和“网易CC”直播平台破坏网络生态问题,国家网信办指导广东省互联网信息办公室依法约谈相关平台负责人,对“夸克”平台实施50万元罚款处罚,责令“网易CC”暂停“舞蹈”版块信息更新7日,同时责令两家平台立即全面深入整改,严肃处理相关责任人。经查,“夸克”平台未遵守相关管理要求,搜索结果呈现大量淫秽色情信息,并向用户推荐色情低俗关键词,“网易CC”直播平台多个账号主播在直播过程中存在言行低俗、打色情擦边球等问题。两平台违反《网络安全法》《网络信息内容生态治理规定》等有关规定,在平台信息内容安全审核管理方面存在严重漏洞,破坏网络生态。
(https://mp.weixin.qq.com/s/CwgPL-pPo98y_zkXXWJxGw)
11月7日,杭州互联网法院发布十大典型司法建议,涉及强化快递包裹个人信息保护、推动完善平台算法治理机制、对应用人脸替换技术产品应添加显著标识、对互联网上销售食品的经销商强化资质审查、强化平台内酒类商品经营者资质审查、明示商品保修期限、推动完善平台内用户纠纷调处机制、平台内应当统一处罚标准、强化著作权保护意识、规范跨境电子商务贸易“自营”业务标记方面的司法建议。
(https://mp.weixin.qq.com/s/f1fMfsuawveBEP_eLkD8_w)
11月13日,中国舟山普陀微信公众号发布消息称,浙江省舟山市普陀区综合行政执法局查处一起气象数据信息外泄案件,对当事人张某作出警告以及罚款人民币5000元的行政处罚决定,并责令张某停止使用该气象仪。据了解,张某在搭建智能家居环节中,使用了一款带有无线传输功能的气象数据收集设备,该设备收集的数据信息被传输至国外服务器,造成数据信息外泄。这是舟山市第一起该类型的行政处罚案件。区综合行政执法局执法工作人员经过咨询相关部门、查看手机App用户协议及有关数据资料,确定该款产品的确会将气象仪收集的数据信息(包括温度、湿度、风向、风速、气压、雨量、日照等)通过互联网传输至境外。
(https://mp.weixin.qq.com/s/P53Wsx3HW4jDTlWt0wpMYQ)
简评:气象数据除具备天气预报、预警的功能外,还在农业生产、交通运输、能源利用等领域发挥作用,与国家的经济、社会、生态安全密切相关。根据《中华人民共和国气象法》《气象行业管理若干规定》《涉外气象探测和资料管理办法》等相关规定,一般情况下,其他组织和个人开展气象探测须向省级气象主管机构备案,探测所获得的数据信息须向省级气象主管机构汇交。一旦开展气象探测、传输探测所得数据信息涉及境外,必须经国务院气象主管机构会同国家安全、保密等部门审批同意后方可实施,同时必须遵守气象探测站点设立、探测时间、气象探测仪器设备、数据信息使用和汇交等相关规定。本执法案例有利于加强社会公众在我国气象探测数据信息方面的安全观念。
11月16日,苏州大学收到虎丘区人民法院送达的《江苏省苏州市虎丘区人民法院(2023)苏0505民初8240号民事裁定书》,裁定书准许原告伊某撤回对被告苏州大学的起诉。至此,《苏州大学学报(法学版)》刊文引用民事判决书内容被诉侵犯隐私权案件正式结案。此前,《苏州大学学报(法学版)》2021年第4期刊发的学术论文《公开的个人信息的认定与处理规则》,在正文中引用了《江苏省苏州市中级人民法院(2019)苏05民终4745号民事判决书》的内容,在注释中注明了该案各方当事人的名称。该案一方当事人伊某,以《苏州大学学报(法学版)》侵犯其隐私权为由,向江苏省苏州市虎丘区人民法院提起民事诉讼。
(https://mp.weixin.qq.com/s/PuCU0I9nBIeecF0Gc2XPeQ)
简评:尽管本案以原告撤诉作结,但裁判文书公开、已公开个人信息利用的边界、学术论文对裁判文书的引证格式等问题仍值得思考。根据《民法典》第1036条、《个人信息保护法》第13条和第27条,处理已公开个人信息的要点包括:(1)需在“合理的范围内”处理;(2)需为“个人自行公开”或“其他已经合法公开”的个人信息;(3)个人明确拒绝的不得处理;(4)原则上无需个人同意,但对个人权益有重大影响的应当取得同意。《最高人民法院关于人民法院在互联网公布裁判文书的规定(2016)》(下称“《规定》”)要求法院裁判文书公开上网,关于个人信息及隐私保护问题,其第4条对“不在互联网公布”的裁判文书类型作出规定,第8条规定对3种类型案件的当事人姓名进行隐名处理,第9条对隐名处理的具体方式进行规定,第10条规定对部分个人信息进行删除。本案直接反映了利用裁判文书中已公开个人信息的价值与个人信息保护之间的矛盾与衡平,且司法实践尚未对已公开个人信息的后续利用问题达成共识,例如北京市第四中级人民法院在(2021)京04民终71号案件中作出与苏州市中级人民法院在(2019)苏05民终4745号案件中相反的判决。
11月21日,上海网警微信公众号发布消息称,普陀警方破获一起非法获取计算机信息系统数据案。今年5月,普陀分局网安支队接到某提供导航服务的公司报案称,发现有人利用技术手段盗取公司服务器内全国的导航地图信息数据,并在论坛中售卖,导致公司直接经济损失约21万元。普陀网安支队锁定犯罪嫌疑人张某齐后,发现其售卖的“盗版”数据均来自其所就职公司的数据库。该公司自2021年7月起从事大数据分析业务,主要根据客户需求出具分析报告,并提供营销分析、运营分析、产品分析等服务。犯罪嫌疑人张某齐从网络工程师丘某平处购买了相关技术服务,两人在未经授权的情况下非法盗取平台数据2000余万条,并私自将非法爬取的“盗版”数据于论坛售卖。
(https://mp.weixin.qq.com/s/jb2eTSJXpsIGuGdA_euy9g)
本月,《个人信息保护法》施行两周年之际,多地法院发布个人信息与数据保护典型案例:
√
11月1日,广东省高级人民法院发布7个个人信息保护典型案例,主题涉及互联网平台收集和处理个人信息的标准认定、算法运行错误导致个人信息不实的责任主体认定、未经同意发送商业短信侵害个人信息权益、个人信息认定标准“可识别性”的适用、未经同意采集人脸图像作为证据的效力认定、大规模个人信息侵权中不特定损害的判定、危害公共利益的个人信息侵权行为的司法认定。
(https://www.gdcourts.gov.cn/gsxx/quanweifabu/anlihuicui/content/post_1388509.html)
√
11月1日,北京互联网法院发布8个个人信息保护典型案例,主题涉及关联产品间共享用户数据应获有效同意、搜索引擎服务提供者处理公开个人信息“通知删除”规则的适用、App登录界面收集用户画像信息未设置拒绝选项侵害用户个人信息权益、个人信息处理者可以依据其信息存储形式和能力选择合理的信息提供方式、死者近亲属对死者个人信息权益的行使应符合合法正当必要原则、利用已公开个人信息有误导致受众混淆构成侵权、当事人在诉讼中提交已合法收集个人信息作为证据属于履行法定义务的行为、信息处理者对其尽到告知同意义务负有相应的举证责任。北京互联网法院呼吁,尽快出台司法解释以明确《民法典》和《个人信息保护法》的具体适用标准。
(https://mp.weixin.qq.com/s/6wwjW275bn2E3O5pRJN5GA)
√
11月23日,杭州互联网法院发布数据权益司法保护十大典型案例。主题涉及数据与算法驱动下虚构数据的司法规制、数据产品的法律属性及权益保护、公共数据商业化利用的合法性边界、数据权益的权属判断与分类保护、直播数据构成商业秘密的认定标准、社交平台数据的性质及数据爬取行为的认定、网络直播数据造假行为的司法规制、涉众信息数据的权益保护、对平台大数据监测结果的司法审查、以“撞库”方式获取经销商数据库构成不正当竞争。
(https://mp.weixin.qq.com/s/Vr5pqJQSL3rjxiEFieQA4w)
本月,在App治理方面:
√
11月2日,重庆市通信管理局、四川省通信管理局联合发布《川渝两地侵害用户权益App名单通报(2023年第10期)》,及川渝地区App典型违规案例两例。违规案例一则是重庆某金融支付类App存在“未在隐私政策中逐一列明App所集成第三方SDK收集使用个人信息目的、方式和范围”“用户同意隐私政策后,第三方SDK存在收集MAC地址信息的行为”“因用户不同意打开非必要的相机权限,拒绝提供业务功能”的侵害用户权益行为;另一则是四川省某游戏平台类App存在“违规收集个人信息”“App强制、频繁、过度索取权限”“App自启动和关联启动”的侵害用户权益行为。
(https://mp.weixin.qq.com/s/yqNqEL9qER5oLo0rU5HPdg)
√
11月17日,工信部发布《关于侵害用户权益行为的App(SDK)通报(2023年第7批,总第33批)》,涉及13款App或SDK。问题包括违规收集个人信息,强制、频繁、过度索取权限,欺骗、误导、强迫用户,超范围收集个人信息,应用分发平台上的App信息明示不到位等。
(https://wap.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/tzgg/art/2023/art_16506024b9ea4b54ba7a0c1b90fa3ab5.html)
√
11月21日,浙江省通信管理局发布《关于侵害用户权益行为14款App的通报(2023年第9批)》,违规之处集中在违规收集个人信息,App强制、频繁、过度索取权限,App频繁自启动和关联启动等方面。
(https://mp.weixin.qq.com/s/I5EHPbmv7DvztGXQmUQv1g)
√
11月22日,广东省通信管理局公开通报19款未按要求完成整改App,要求被通报的App在11月29日前完成整改及反馈工作,逾期不整改的,广东省通信管理局将采取下一步处置措施。被通报的App违规行为主要集中在违规收集个人信息,账号注销难,App强制、频繁、过度索取权限,App频繁自启动和关联启动等方面。
(https://mp.weixin.qq.com/s/mWDR3apz6dR-kZpVOnkB1A)
√
11月22日,广东省通信管理局发布《关于下架4款侵害用户权益App的通报》。下架App违规问题集中在违规收集个人信息、App频繁自启动和关联启动。广东省通信管理局将对通报App持续跟踪,视情况进一步采取断开网络、行政处罚、纳入电信业务经营不良名单等后续处理措施。
(https://mp.weixin.qq.com/s/Nqf9g_UgpMWMEvfJ2w9fPg)
其他
11月17日,中央网络安全和信息化委员会办公室(下称“中央网信办”)发布《关于开展“清朗·网络戾气整治”专项行动的通知》。本次专项行动集中整治以下7类突出问题:“网络厕所”“开盒挂人”行为;借社会热点事件恶意诋毁、造谣攻击;污名化特定群体、煽动地域对立;斗狠PK等低俗不良直播行为;有组织地恶意辱骂举报他人;编造网络黑话、恶意造梗;煽动网上极端情绪。
(https://mp.weixin.qq.com/s/VvoglZnmZ5zNHorYASYjbw)
北京市监局官网发布消息称,自今年6月起开展优化平台协议规则专项行动以来,现已指导平台企业累计修改优化协议规则135个,随着平台规则协议条款更加系统、完备,内容更加公平、合理,消费者、平台内经营者和平台企业合法权益将得到更加充分的保障。平台企业优化的主要协议规则包括:在系统消息推送、商业信息接收方面进行优化,增加撤回接受商业信息同意的路径,通过协议内容明确用户可自主决定是否接受该类商业信息;在投屏播放和运营商免流服务上,优化收集用户个人信息的相关条款,去除不必要采集的信息,并告知用户;优化隐私协议,精简内容,便于用户理解和阅读等。
(https://scjgj.beijing.gov.cn/zwxx/scjgdt/202311/t20231117_3304211.html)
网络、数据安全与个人信息保护
欧洲
11月2日,英国信息专员办公室(Information Commissioner's Office ,ICO)宣布,由于阿根廷数据解决方案有限公司(Argentum Data Solutions Ltd)违反了《2003年隐私和电子通信条例》(the Privacy and Electronic Communications Regulations 2003,PECR),ICO已对其发出65,000英镑的罚款通知。经过调查,ICO发现Argentum Data Solutions Ltd无法提供任何证据证明其在发送直接营销短信或允许其他公司从他们的账户发送短信之前已取得了个人同意。相反,Argentum Data Solutions Ltd将“合法利益”作为其行为的法律依据,这违反了PECR第22条关于同意的明确要求。
(来源:DataGuidance)
(https://www.dataguidance.com/news/uk-ico-fines-argentum-data-solutions-%C2%A365000-direct)
11月21日,英国信息专员办公室(Information Commissioner’s Office)发布公告称,英国信息专员致函英国访问量最大的数家网站的运营方,要求其在30天内整改其网站Cookie政策,为用户提供与选择接受便利程度一致的拒绝接受个性化广告的选项。若相关网站未能按时整改,ICO将可能对其采取执法行动。
(https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/11/commissioner-warns-uk-s-top-websites-to-make-cookie-changes/)
美国
11月16日,美国众议员能源和商业委员会要求中国10家汽车公司回应中国通过自动驾驶汽车收集美国人信息的问题。询问内容包括收集的信息种类、中美以外的信息存储地、收集到的美国数据是否向境外第三国传输、资金来源是否来自中国国企以及与中国政府的会议情况。
(来源:DataGuidance)
(https://www.dataguidance.com/news/usa-house-leaders-request-comment-prc-collection)
其他地区
11 月4日-6日,西班牙数据保护机构(Agencia Española de Protección de Datos,AEPD)公布了两项诉讼决定。
√
其一是第PS-00253-2023号决定。在该决定中,AEPD对Apollonia Topco S.L. 违反《一般数据保护条例》(General Data Protection Regulation,GDPR)而对其处以 3 万欧元的罚款。AEPD 特别强调,投诉人向 Apollonia Topco 的数据保护官 (DPO) 发送了请求,但未收到回复。具体而言,投诉人的请求涉及:Apollonia Topco S.L.要求投诉人发送其驾驶执照作为身份证明,从而获取投诉人的驾驶执照复印件以进行退款。投诉人对此表示抗议。经调查后,AEPD认定,考虑到处理数据的具体目的,收集并随后复印投诉人的驾驶执照既不相关也无必要,因此违反了GDPR的第5(1)(c)条。
(来源:DataGuidance)
(https://www.dataguidance.com/news/spain-aepd-fines-apollonia-topco-30000-unlawful)
√
其二是第PS-00317-2023号决定。在该决定中,AEPD对 Digi Spain Telecom, S.L.U. 违反GDPR的行为处以 20 万欧元的罚款。AEPD指出,投诉人是Digi Spain Telecom的客户,声称Digi Spain Telecom在未经其同意的情况下,向未经授权的第三方提供了其SIM卡的副本,从而允许该第三方从该投诉人的银行账户进行银行转账。根据调查,AEPD发现,Digi Spain Telecom向未经授权的第三方发放了重复的SIM卡,而没有对请求者的身份进行尽职调查。AEPD指出,Digi Spain Telecom未能依靠适当的法律依据来处理投诉人的个人数据,违反了GDPR第6(1)条。
(来源:DataGuidance)
(https://www.dataguidance.com/news/spain-aepd-fines-digi-spain-telecom-200000-unlawful)
DATA
·行 业 新 闻·
网络、数据安全与个人信息保护
10月27日,国家安全部发文称,需警惕SDK(Software Development Kit,即软件开发工具包)背后的“数据间谍”窃密行为。SDK以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务,与此同时也带来诸如过度收集用户数据等数据安全问题。此外,一些境外情报机构将SDK作为搜集数据的重要渠道。国家安全部建议,作为应用程序开发企业,应尽量选择接入经过备案认证的SDK,引入境外SDK前应做好安全检测和风险评估,并持续监测SDK是否有异常行为。作为个人用户,在使用手机应用程序时,要增强个人信息保护意识及安全使用技能,要选择安全可靠的渠道下载使用应用程序,特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。
(https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg)
10月29日,据澎湃新闻报道,近日有网友呼吁严查旅客航班信息泄露及利用其诈骗问题。诈骗方以航空公司客服的名义,以机械故障航班取消为由,让旅客提供支付宝账号给予补偿,且能报出旅客的姓名、电话、身份证号以及航班信息等。中国民用航空局答复称,其正在编制相关文件,以落实民航领域数据分类分级保护有关要求,进一步加强对重要数据的保护。同时,对于第三方网络渠道代理公司的旅客信息泄露等问题,民航局将积极协调公安机关开展有关严查打击工作。
(来源:央视网)
(https://news.cctv.cn/2023/10/29/ARTI7HRGIF911pRXRlYClCY5231029.shtml)
11月1日,最高人民检察院第八检察厅与中国政法大学法律硕士学院联合举办的《个人信息保护检察公益诉讼蓝皮书》发布会在北京举行。该蓝皮书旨在落实检察机关提起个人信息保护公益诉讼的职能,进一步加强司法实践与理论研究的良性互动。蓝皮书包括个人信息保护检察公益诉讼发展进程、工作开展概况、诉源治理、未来展望四个部分,回顾了这项工作的发展历程,梳理了北京、河北、上海、浙江、重庆、广东等地的实践情况,并对实践成效进行总结。
(https://www.spp.gov.cn/spp/zdgz/202311/t20231104_632928.shtml)
11月3日,网信中国汇总公布全国(除港澳台地区)共计31个省、市、自治区网信部门接收申报材料、备案材料的办公地址和联系电话,旨在指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。
(https://mp.weixin.qq.com/s?__biz=MzAwMjU0MjIyNw==&mid=2651461296&idx=1&sn=9742d70cbcad5f8a3b02b94e0dfbb991&scene=21 - wechat_redirect)
11月15日,北京市高级人民法院发布《侵犯公民个人信息犯罪审判白皮书》。白皮书包含2018年至2023年北京市法院审结的侵犯公民信息案件的统计调查与实证分析,总结出了侵犯公民个人信息犯罪审理情况、基本特点、犯罪成因、治理对策建议与典型案例供未来司法实践参考。
(https://mp.weixin.qq.com/s/NHNx0Rp6-lTFjQXOuHMxaA)
11月16日,网信湖南发布消息称,近日伟创力技术(长沙)有限公司提交的两份个人信息出境标准合同通过了湖南省互联网信息办公室组织的备案审核,是湖南省首家通过订立标准合同实现个人信息合规出境的企业,标志着个人信息出境标准合同备案工作在湖南省正式展开。下一步,湖南省互联网信息办公室将依据数据安全工作的新形势新要求,全面落实数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证等国家数据出境安全监管法规制度,服务数字经济高质量发展。
(https://mp.weixin.qq.com/s/0lTsSg9BfdDoBaNFgQgvxA)
11月23日,广东省通信管理局发布关于开展2023年工业互联网试点示范项目申报工作的通知。此次申报主体主要围绕新技术类、工厂类、载体类、园区类、网络类、平台类、安全类7大类27个具体方向。具体申报要求及材料附件可前往工信部官方网(https://www.miit.gov.cn/)查询。申报单位应于2023年12月12日前提交材料。
(https://mp.weixin.qq.com/s/JYJUTU6WPyqzPU_x9Pfb0Q)
近日,新增两家通过数据出境安全评估的企业:
√
11月14日,海南省委网信办发布信息,海南邓白氏数据科技有限公司通过国家网信办数据出境安全评估,是海南省首个通过评估的企业。此次通过评估将有助于该企业开展邓白氏编码商业信息服务业务,同时也为其他企业数据出境安全评估工作提供了参考经验。下一步,海南网信办将持续对数据出境安全评估和个人信息标准合同备案开展广泛调研和政策宣讲,收集企业数据出境需求,进一步帮助企业开展申报,促进海南自贸港数据安全有序流动。
(https://mp.weixin.qq.com/s/s_yPEeNd0EM_3kJLlCGLbQ)
√
11月10日,苏州工业园区发布信息,位于苏州片区的企查查科技股份有限公司申报的“企业信用信息境外查询平台”通过国家互联网信息办公室的数据出境安全评估,成为企业信用信息查询领域全国首个数据合规出境案例。这对提升数据出境安全治理水平具有重要意义,也为国内商查行业在数据出境安全评估方面提供了实践指引。未来,苏州片区将继续深入推进数据跨境流动工作,研究区内重点行业数据出境负面清单,探索数据出境合规便利化方案,为企业提供更高效、更安全、更合规的数据出境服务,服务国家数字经济高质量发展。
(http://www.sipac.gov.cn/szgyyq/202306tlxfzcfcxyq/202311/59d9801a6c5f4fae9c9bcd9d0f1ba239.shtml)
数字流通与交易
10月23日,杭州市公共数据授权运营工作协调机制办公室发布通告称,经发布征集通告、各单位申请、专家论证评审、协调机制会议审议等环节,确定阿里健康科技(中国)有限公司(统一社会信用代码:91110105336420260L)为医疗健康领域的公共数据授权运营单位,依法开展公共数据授权运营活动,具体应用场景为健康服务应用,授权运营期限2年。
(https://www.hangzhou.gov.cn/art/2023/10/23/art_1229063429_4213360.html)
11月7日,浙江首个数据知识产权所有权转让项目在桐乡乌镇“国际互联网小镇”发布展示会中落地。展会上,浙江省知识产权研究与服务中心主任为桐乡地区新能源、新材料、智能互联、高端装备等多领域的6家标杆企业颁发《数据知识产权登记证书》;桐乡农商银行、泰隆银行桐乡支行为五疆科技、颉伦软件、京马电机、云匠颁发《质押登记证书》;浙江知识产权交易中心有限公司董事长为浙江云匠数字建造技术研究院有限公司和桐乡市振兴城建档案服务有限公司颁发《数据产品交易证书》。
(来源:浙江在线)
(https://zjnews.zjol.com.cn/zjnews/202311/t20231108_26430588.shtml)
11月8日,2023年世界互联网大会“数据治理推动全球数字经济发展论坛”在浙江乌镇召开。下一代互联网国家工程中心主任、澳门科技大学下一代互联网国际研究院院长刘东出席论坛,并以“澳门数据跨境流动实践”为题发表主题演讲。刘东介绍了澳门科技大学在“粤-澳”数据双向跨境流动、以及“澳门-欧盟”数据双向跨境流动的实践和成果,指出澳门在法律体系、行政制度上处于多方共同信任的“超级联系人”位置,在联通内外数据跨境流动方面大有可为。刘东建议,要打通数据在澳门流通汇聚的“规则通道”,为“澳门-内地”、“澳门-国际”数据流通奠定制度基础,充分发挥独有的区位优势,开展科研科创、跨境电商、健康医疗、跨境金融等领域先行先试的试点工作,基于前期实践成果进一步提升数据治理效率。
(来源:法治网)
(http://www.legaldaily.com.cn/newzt/content/2023-11/13/content_8926506.html)
11月9日,国家发展改革委价格司会同国家数据局筹备三组召开座谈会,旨在贯彻落实《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》精神,听取相关方面对加快建立健全符合公共数据要素特性的价格形成机制,推动用于数字化发展的公共数据按政府指导定价有偿使用等问题的意见。国家发展改革委价格监测中心、中国人民银行征信中心、有关银行和企业参加会议。下一步,国家发展改革委、国家数据局将会同有关方面,加快研究建立公共数据价格形成机制和有关制度规定,促进公共数据合规高效流通使用。
(https://www.ndrc.gov.cn/fzggw/jgsj/jgs/sjdt/202311/t20231109_1361868.html)
11月15日,衡阳市公共资源交易中心发布公告称,行政审批局于14日来函要求暂停“衡阳市政务数据资源和智慧城市特殊经营权转让项目”,具体原因并未在函里提及,如果恢复重新开始,会在衡阳市公共资源交易网站上公布。11月10日,衡阳市政务数据资源和智慧城市特许经营权出让项目交易公告发布,项目起始价为180244.12万元,保证金为36048.8240万元。中国互联网协会研究中心副主任吴沈括表示,数据财政目前还只是一种理念和主张,还不是国家政策正式确定的方针,是否能够通过如衡阳这种政务数据特许经营权出让的方式来实现数据财政,存在一定的政策不确定性。
(https://mp.weixin.qq.com/s/1O-NOoS72FzWDjUgQ_Y8iQ)
数字化转型
11月1日,上海市通信管理局发布关于2023年电信和互联网行业首席数据官备案结果(第一批)的公告。根据《上海市通信管理局关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知》相关部署,按照《上海市电信和互联网行业首席数据官制度建设指南(试行)》有关标准,经企业报送、材料初审和专家评审等环节,市通信管理局通过了首批57家电信和互联网企业的首席数据官备案材料,并公布了备案通过的单位及其首席数据官名单。
(https://mp.weixin.qq.com/s/_1DoCK5OtmRlyH_wBdJxbA)
11月10日,国家数据局党组书记、局长刘烈宏出席北京数据基础制度先行区启动会议并作重要讲话。刘烈宏表示,他希望北京市进一步发挥已有优势,在数据“三权”分置制度落地、数据流通交易、数据基础设施建设等领域持续探索、先行先试,并对此提出了三点建议。一是探索数据“三权”分置落地,让数据放心“供”出来;二是培育多层次数据流通交易体系,让更多数据“活”起来;三是推动数据基础设施建设,让数据安全“动”起来。
(来源:通信产业网)
(https://mp.weixin.qq.com/s/hubHjXoWxk5ocU3841Kulg)
人工智能
11月18日,WPS官方微博发布一则关于《WPS隐私政策》的致歉。WPS官方称之前版本关于美化功能与用户文档处理方式的表述欠妥,对此带来的不便深感歉意。目前已经更新了《WPS隐私政策》并保证“所有用户的文档不会被用于任何AI训练目的,也不会在未经用户同意的情况下用于任何场景”,美化功能将严格按照个人信息保护相关法律规定执行。
(来源:WPS官方微博)
(https://weibo.com/1595145397/4969570525250182?wm=3333_2001&from=10DB193010&sourcetype=weixin&s_trans=5240822479_4969570525250182&s_channel=4)
简评:数据是生成式AI发展中不可或缺的资料,通过大量数据训练的AI能够精准预判用户需求并推送个性化服务。但是根据《生成式人工智能服务管理暂行办法》第七条的规定,个人数据用于AI训练的应当取得个人同意。WPS此前的隐私声明表示“用户的文档材料在脱敏处理后作为AI的基础材料使用”并没有在隐私政策中以明显方式征得用户同意,违反了《个人信息保护法》中知情同意的原则,虽然目前WPS已经更新隐私政策并承诺“所有用户文档不会被用于任何AI训练,也不会在未经用户同意的情况下用于任何场景”,但训练数据来源的合法性仍然成为了生成式AI产品服务所需要妥善解决的合规问题。
11月23日,国家数据局局长刘烈宏在第二届全球数字贸易博览会数据要素治理与市场化论坛上对国家数据局的工作任务进行解读。刘烈宏提到,目前,国家数据局围绕数据要素市场化配置改革正在推进系列重点工作。刘烈宏从数据汇聚、数据处理、数据流通、数据应用、数据运营以及数据安全保障等方面进行了数据基础设施全流程解读。下一步,国家数据局将加快推进数据基础设施的建设工作。一是加强顶层设计,适度超前部署。二是繁荣产业生态,促进产业技术创新与融合。三是开展国际合作,推动国际数据基础设施互联互通建设。
(来源:新京报)
(https://m.bjnews.com.cn/detail/1700723144129588.html)
其他
11月7日,国家卫生健康委召开新闻发布会,介绍全国医疗机构信息互通共享三年攻坚行动有关情况。发布会主要介绍了如下重点内容:《“十四五”全民健康信息化规划》中提出的开展全国医疗卫生机构信息互通共享攻坚行动新内容;相关医疗机构在数据整合与共享方面工作的重难点;2018年以来电子健康卡的推广经历的不同阶段以及推进电子健康卡普及还需解决的现实问题;北京市为推动卫生健康信息的互联互享所采取的举措;在提高医疗服务的连贯性和整体水平方面的最新进展等。
(https://mp.weixin.qq.com/s/un7N7d8ukq6DDaVI3rSP0g)
11月12日,工业和信息化部信息通信管理局公示《2023年5G工厂名录》。经省级工业和信息化主管部门、通信管理局推荐及工业互联网战略咨询专家委评审,工信部核定,最终300个5G工厂项目入选此名录。工业作为5G规模化应用的重要阵地,基于5G技术推动制造业向高端化智能化升级,将加速中国新型工业化进程,为经济发展注入新动能。
(https://wap.miit.gov.cn/zwgk/wjgs/art/2023/art_6d860b8a87df4ccbb799463c51a00435.html)
网络、数据安全与个人信息保护
欧洲
11月12日,丹麦关键基础设施部门计算机安全事件响应小组SektorCERT报告称,丹麦的关键基础设施遭受了迄今为止在丹麦经历的最广泛的网络攻击。22家运营丹麦部分能源基础设施的公司在一次协同攻击中受损,攻击者进入了一些公司的工业控制系统,几家公司不得不进入孤岛模式运营。报告按照时间轴对攻击相关的事实进行了详细回顾,并描述了整体攻击的网络杀伤链(网络杀伤链是描述成功实施网络攻击所需步骤的国际标准)。
(https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf)
11月13日,Stellantis的中国供应商延锋国际汽车有限公司(Yanfeng International Automotive Co. Ltd.)遭受了网络袭击,其网站停止工作,Stellantis旗下品牌克莱斯勒(Chrysler)、道奇(Dodge)、吉普(Jeep)和公羊(Ram)等被迫中断生产。Stellantis就生产中断发表了一份声明,发言人Anne Marie Fortunate称,由于外部供应商的问题,Stellantis北美部分装配厂的生产已经中断,其正在监测情况,并与供应商合作,以减轻对其运营的进一步影响。
(来源:TESLARTI)
(https://www.teslarati.com/stellantis-production-yanfeng-cyberattack/)
其他地区
11月21日,Cybernews发文称,其研究团队于2023年10月3日发现越南某邮政公司的开放式Kibana(用于数据搜索和分析的可视化仪表盘)存在安全日志和员工电子邮件地址可被外界访问的问题。该数据存储库中包含员工姓名、电子邮件等信息以及2.26亿条日志事件,总共1.2TB的数据且实时更新,一旦泄漏后果严重。10月6日,邮政公司撤销了公开访问权限。
(来源:Cybernews)
(https://cybernews.com/security/vietnam-post-exposes-data-including-email-addresses/)
人工智能
11月1日,首届全球人工智能(AI)安全峰会在英国布莱切利庄园拉开帷幕。在开幕式上,由包括中国在内的与会国共同达成的《布莱切利宣言》正式发表。这是全球第一份针对人工智能这一快速新兴技术的国际性声明,旨在关注对未来强大人工智能模型构成人类生存威胁的担忧,以及对人工智能当前增强有害或偏见信息的担忧。
(来源:中国新闻网)
(https://www.chinanews.com.cn/cj/2023/11-02/10104873.shtml)
11月24日,美国芯片巨头英伟达(Nvidia)在一份监管文件中表示,欧盟、中国和法国的监管机构已要求提供有关英伟达显卡的信息,预计未来还会有更多要求。Nvidia 是全球最大的人工智能和计算机图形芯片制造商。去年底,生成式人工智能应用ChatGPT发布后,对其芯片的需求激增。这家总部位于加利福尼亚州的公司通过其芯片和其他硬件及其强大的运行软件,占据了约 80% 的市场份额。Nvidia表示:“法国竞争管理局向我们收集了有关我们在显卡和云服务提供商市场的业务和竞争情况的信息,作为对这些市场的竞争情况进行持续调查的一部分。”
(来源:U.S.News)
(https://www.usnews.com/news/technology/articles/2023-11-24/eu-chinese-french-regulators-seeking-info-on-graphic-cards-nvidia-says)
DATA
·热 点 评 述·
标题:生成式人工智能数据合规研究系列(三)——数据安全篇
作者:数据合规团队
欢迎点击图片查阅原文
在本系列第一篇《生成式人工智能数据合规研究系列(一)——法律与监管概述篇》以及第二篇《生成式人工智能数据合规研究系列(二)——网络安全篇》中,我们主要进行了关于国内外生成式人工智能(“生成式AI”)数据合规法律和监管环境的梳理,并分析了生成式AI服务提供者在网络安全方面可能面临的风险和防范。承接前两篇内容,我们继续推出本系列研究的第三篇“数据安全篇”。在本篇中,我们将为您梳理和分析企业在开发和运营生成式AI的过程中在数据安全方面可能遇到的法律风险,包括算法风险、训练数据来源风险、生成内容风险以及其他风险,并提出具有操作性的风险防范建议,供相关企业参考。
除网络安全、数据安全风险外,生成式AI服务提供者在数据合规方面还将面临个人信息保护方面的合规要求和法律风险,我们将在下期为您继续呈现“个人信息保护篇”,尝试探讨提供生成式AI服务的企业作为个人信息处理者,在个人信息保护方面的风险及应对策略,敬请期待。
天达共和数据合规团队
ABOUT US
天达共和数据合规团队由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/ 顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和一体化管理的综合优势,加之具有与数据合规相关的民事、刑事、公司并购/重组、反垄断/反不正当竞争、知识产权等法律专业服务能力及项目经验,我们可以为客户提供综合性、全方位、多领域的网络安全与数据保护服务,涵盖数据系统安全运营以及数据生命周期全过程和各个应用场景下的数据应用处理,具体包括数据合规审查综合项目、数据合规风控体系的建立与完善、与数据处理、数据交易等相关的数据合规专项服务、网络安全等级保护等网络安全运行合规咨询服务、行政检查应对、争议解决、合规培训等。建立在对中国国内外,包括欧洲、美国、日本等重点国家和地区,数据领域法律法规深度研究和持续关注的基础上,并结合多年公司合规业务领域的经验,数据合规团队已为包括国家机关、大中型企事业单位、跨国企业集团、外资企业和民营企业在内的大量客户提供了各项数据合规相关法律服务。
数据已经成为战略性资源,企业的运营和发展离不开数据的有效利用和保护。天达共和数据合规团队秉承“成功,始于助人成功”以及专业至精、尽心竭力的服务理念,力求助力客户,为客户提供高效、优质、专业的服务。
如您希望订阅天达共和数据合规资讯月报或需要相关法律服务,请发送邮件至[email protected]与我们联系。更多资讯信息,请关注本所官方微信公众号“天达共和法律观察”。
申晓雨
天达共和
合伙人
叶 鹏
天达共和
合伙人
张 劢
天达共和
合伙人
阚 惠
天达共和
合伙人
王东方
天达共和
合伙人
康雅斯
天达共和
律师
郭富城
天达共和
律师
秦君毅
天达共和
律师
曾祥瑞
天达共和
律师
杨越文
天达共和
律师
张亚楠
天达共和
实习律师
王璐萍
天达共和
实习律师
精彩推荐
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。