摘  要
尊敬的各位客户、同仁:
欢迎参阅天达共和律师事务所数据合规团队为您呈现的《数据合规资讯月报》2024年第2期(总第50期)。
本期月报主要内容包括:
立法动态
介绍2024年1月26日至2024年2月25日期间及前后境内外数据保护立法动态,并针对部分立法动态提供简要评论。
执法与司法聚焦
介绍2024年1月26日至2024年2月25日期间及前后境内外部分典型执法司法案例,并针对部分执法司法活动提供简要评论。
行业新闻
精选2024年1月26日至2024年2月25日期间及前后互联网及相关行业与网络安全和数据保护有关的新闻资讯,并针对部分行业新闻提供简要评论。
热点评述
2023年,我们见证了数据合规领域的诸多变革。这一年,数据合规领域基础框架逐步完善并开始全面落地。数据合规立法向纵深发展,人工智能与算法、未成年人网络保护、数据跨境传输、数据要素流动、重要行业的数据合规制度日臻完善;数据合规监管执法常规化、精细化,在App治理、网络安全审查、重要行业监管等领域取得显著成果;数据合规重点问题在实践中日益明晰,重要数据识别与保护、数据要素流动与数据交易规则、个人信息保护合规审计、人工智能与算法等规则不断明确和细化。基于此,天达共和数据合规团队对2023年数据合规领域的立法及监管执法情况进行回顾与总结,对2023年度数据合规重点问题进行梳理与分析,并展望2024年数据合规领域建设蓝图,以期为企业建立和完善相关领域的合规工作提供参考。本期我们为您带来数据合规2023年度回顾与展望系列文章第一篇之立法篇,敬请关注并欢迎指正、交流。
数据合规资讯月报
2024年2月刊
欢迎扫码查阅PDF版
DATA
·立 法 动 态·
境内立法
1月26日,浙江省文化艺术作品权益保护协会发布关于《AIGC登记服务规范(征求意见稿)》团体标准征求意见的通知。AIGC全称为AI Generated Content,即AI自动创作生成的内容。浙江标准的发布开创中国AIGC登记标准先河,拟为AIGC的流通提供事实凭证,为AICG的交易、评估、数字资产登记、维权提供支撑。标准主要包括七项内容,包括基本要求、服务内容、服务保障等方面,旨在帮助AIGC登记机构开展AIGC登记活动。
(https://www.artph.com.cn/article/1750780419252576257)
1月30日,工业和信息化部发布关于印发《工业控制系统网络安全防护指南》的通知。指南共包括四部分33小项内容,涉及安全管理、技术防护、安全运营、责任落实等内容,其中明确要求定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。指南旨在指导企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。
(https://www.miit.gov.cn/jgsj/waj/wjfb/art/2024/art_d29979a039b2482f939eb714d87536f3.html)
1月30日,国务院国有资产监督管理委员会发布《关于优化中央企业资产评估管理有关事项的通知》。其中明确了中央企业及其子企业发生数据资产等资产转让、作价出资、收购等经济行为时,应当依据评估或估值结果作为定价参考依据,健全完善了数据资产等资产交易流转定价方式。经咨询3家及以上专业机构,确难通过评估或估值方式对标的价值进行评定估算的,依照相关法律和企业章程履行决策程序后,可以通过挂牌交易、拍卖、询价、协议等方式确定交易价格,其中挂牌或拍卖底价可以参照其账面价值、历史投入成本等因素合理确定。
(http://www.sasac.gov.cn/n2588035/c29931975/content.html)
2月1日,国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》 。办法旨在保护寄递服务用户个人信息权益,规范寄递企业用户个人信息处理活动,共32条内容。针对寄递企业的用户个人信息处理活动,个人信息保护制度与安全技术措施、应急响应机制等内容进行细化规范。办法征求意见截止日期为2024年3月2日。
(https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml)
2月2日,科学技术部发布《脑机接口研究伦理指引》《人—非人动物嵌合体研究伦理指引》。脑机接口是在大脑与外部设备之间创建信息通道,实现两者之间直接信息交互的新型交叉技术。人—非人动物嵌合体指将人细胞导入到非人动物胚胎或体内,使其嵌合到另一物种中并在某个特定阶段一起共存而形成的个体。两份指引均包括基本原则、一般要求以及特殊要求。其中《脑机接口研究伦理指引》特别强调了隐私保护与个人信息保护,要求针对脑机接口研究过程中采集的神经数据或实验样本反映了被试的思维精神状态、生理健康信息以及性格特征、财产信息等隐私数据时,收集的数据范围及可查阅人员的权限应由伦理委员会审批通过。
(https://www.most.gov.cn/kjbgz/202402/t20240202_189582.html)
2月4日,全国信息安全标准化技术委员会秘书处发布国家标准《信息安全技术 云计算服务安全能力评估方法(征求意见稿)》。标准从系统开发与供应链安全、系统与通信保护、访问控制、数据保护、应急响应等评估方面,根据云计算服务安全能力一般要求、增强要求和高级要求核实云服务商的云计算服务安全能力是否达到了一般安全能力、增强安全能力或高级安全能力。该标准为第三方评估机构对云服务商提供云计算服务的安全能力评估提供了指导,云服务商在进行自评估时也可参考。该标准征求意见稿将替代GB/T 34942—2017,征集意见截止时间为4月4日。
(https://www.tc260.org.cn/file/2024-01-31/6be1276d-4c87-4dbc-a149-30e28397e6c5.pdf)
2月6日,上海市人民政府发布关于印发《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》(以下简称“《实施方案》”)的通知。《实施方案》包括加快服务贸易扩大开放、提升货物贸易自由化便利化水平、率先实施高标准数字贸易规则、加强知识产权保护、推进政府采购领域改革等九方面共117条内容。其中值得关注的是,方案明确了探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等,便利数据处理者开展数据出境自评等数据出境安全合规工作。
(https://www.shanghai.gov.cn/nw12344/20240205/2af907af61cf4977866b7d377baf5d1d.html)
简评:2023年12月7日,国务院发布关于《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》(以下简称“《总体方案》”)。《总体方案》旨在全面实施自由贸易试验区提升战略,发挥上海自贸试验区先行先试作用,打造国家制度型开放示范区。《总体方案》提出战略目标,包括加快服务贸易扩大开放、提升货物贸易自由化便利化水平、率先实施高标准数字贸易规则、加强知识产权保护、推进政府采购领域改革、推动相关“边境后”管理制度改革、加强风险防控体系建设等八方面80条内容。
为推动《总体方案》在更广领域、更深层次落地,《实施方案》通过117项具体措施,明确实施工作要求与相关责任单位,推动上述总体方案中七方面目标的实现。其中,与数据相关的内容主要体现在“加快服务贸易扩大开放”和“率先实施高标准数字贸易规则”章节。上海自贸区在数据跨境流动、激发数据要素活力方面的创新尝试将为其他自贸区以及全国范围内的数据要素流动规则提供实践参考,值得重点关注。
2月8日,财政部印发《关于加强行政事业单位数据资产管理的通知》(以下简称“《通知》”)。《通知》旨在切实加强行政事业单位数据资产管理,探索数据资产管理模式,以释放数据资产价值,推动数字经济的高质量发展。主要内容包括:1.明晰管理责任,健全管理制度;2.规范管理行为,释放资产价值;3.严格防控风险,确保数据安全。其中明确了,经安全评估并按资产管理权限审批后,可将数据加工使用权、数据产品经营权授权运营主体进行运营。各部门及其所属单位对外授权有偿使用数据资产,应当严格按照资产管理权限履行审批程序,并按照国家规定对资产相关权益进行评估。不得利用数据资产进行担保,新增政府隐性债务。严禁借授权有偿使用数据资产的名义,变相虚增财政收入。
(https://mp.weixin.qq.com/s/DGlTgWEG83XsJ8bmSwNgdg?scene=25#wechat_redirect)
2月20日,自然资源部发布关于公开征求《对外提供涉密测绘成果管理办法(征求意见稿)》意见的公告。办法所称涉密测绘成果,是指按照《测绘地理信息管理工作国家秘密范围的规定》所确定的属于国家秘密事项的测绘成果。办法规定对外提供涉密测绘成果实行分级审批制度,同时明确了申请对外提供的条件和需向主管部门提交的材料等内容,旨在加强对外提供涉密测绘成果管理,维护国家安全和利益,促进对外交往与合作。办法截止时间为公告发布后30日。
(https://mp.weixin.qq.com/s/GSc-xfWEQa-PwO-BWbpCxw)
本月,天津市商务局发布关于印发《中国(天津)自由贸易试验区企业数据分类分级标准规范》(以下简称“《天津规范》”)的通知。中国(上海)自由贸易试验区临港新片区管理委员会发布《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(以下简称“《上海办法》”)。其中针对数据分类分级制度进行了创新性探索。
(https://shangwuju.tj.gov.cn/tjsswjzz/zwgk/zcfg_48995/swjwj/202402/t20240207_6534807.html)
(https://www.lingang.gov.cn/html/website/lg/index/government/file/1756018881550389249.html
简评:天津和上海自由贸易试验区数据分级分类先后发布。《天津规范》中涉及适用范围、总体原则、定义、数据分类机制、数据分级机制、数据分类分级程序等内容,较细化给出数据分类、分级列表。《天津规范》将自贸试验区内企业在生产经营过程中收集、存储、使用、加工、传输、提供、公开的数据按照所属行业性质分类,依次分为三层,每个层级又分成若干类目管理。同一层级的类目构成并列关系,不同层级类目构成隶属关系,其中三层分类由数据处理者自行决定。数据分级通过定量与定性结合方式将数据从高到低分为核心数据、重要数据、一般数据三个级别,通过定义排除法依从高到低分级判断。
《上海办法》包括总则、职责及分工、数据跨境分类分级管理、重要数据目录管理、一般数据清单管理、监督管理及违规处置等内容。《上海办法》将数据分为五大类三级别,以跨境需求最迫切的典型场景为切入口,对跨境数据进行分类管理。跨境数据从高到低依次分为核心数据、重要数据、一般数据三个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。
不同于《天津规范》对于数据分级分类进行全面广泛列举的方法,上海侧重以跨境活动为重点,从典型场景切入构建数据流动框架,而未对数据分类分级具体方式进行说明。上海自贸试验区数据目录作为自由贸易区实施方案中的规范和促进数据跨境流动重要措施将辅助率先实施高标准数字贸易规则的构建。
境外立法
1月29日,加州总检察长Rob Bonta向加利福尼亚州立法机构2024年立法会议提出两项法案。其一《儿童数据隐私法》(Children's Data Privacy Act)旨在修订《加州消费者隐私法》(CCPA),以加强对青少年的保护覆盖范围。法案规定收集13岁以下年龄儿童信息需要取得父母知情同意,禁止企业在未获得“确定性授权(affirmative authorization)”情况下收集、使用、分享或出售未满18岁的未成年人的个人数据。其二《保护青年免受社交媒体成瘾法》(Protecting Youth from Social Media Addiction Act)侧重于采取措施,以调节内容并限制社交媒体平台上的引诱功能或技术。
(来源:iapp)
(https://iapp.org/news/a/california-proposes-ccpa-childrens-privacy-gap-fix/)
1月30日,美国管理和预算办公室(Office of Management and Budget, OMB)正在就隐私影响评估(Privacy Impact Assessments, PIAs)如何更有效地降低隐私风险提供意见,包括人工智能(AI)和其他技术和数据能力进步进一步加剧的隐私风险,征求公众意见。
(https://www.federalregister.gov/documents/2024/01/30/2024-01756/request-for-information-privacy-impact-assessments)
1月31日,欧盟委员会根据《欧盟网络安全法》通过了第一个欧洲网络安全认证计划(European Cybersecurity Certification scheme,EUCC)。该计划将补充《网络弹性法案》(The Cyber Resilience Act),并对欧盟所有硬件和软件产品的引入提出具有约束力的网络安全要求。该计划也将会促进NIS2指令的实施,有助于提高欧洲的全球数字领导力。
(https://digital-strategy.ec.europa.eu/en/library/implementing-regulation-adoption-european-common-criteria-based-cybersecurity-certification-scheme)
(https://digital-strategy.ec.europa.eu/en/news/first-eu-wide-cybersecurity-certification-scheme-make-european-digital-space-safer)
2月13日,欧盟27国代表2日投票一致支持《人工智能法》文本,标志欧盟向立法监管人工智能迈出重要一步。2月21日,欧洲人工智能办公室在欧盟委员会内成立,隶属于通信网络、内容和技术总局,以支持《人工智能法》的实施,特别是针对通用人工智能。
(https://artificialintelligenceact.eu/developments/)
2月14日,欧洲数据保护委员会(EDPB)在2024年全体会议上,依据《通用数据保护条例》(GDPR)第64(2)条,通过了关于主要机构和一站式窗口机制适用标准的意见。该意见指出,只有当欧盟内的数据控制者总部能够决策并实施数据处理的目的和手段时,才能被视为GDPR第4(16)(a)条下的主要机构。此外,若要启用一站式窗口机制,须证明欧盟内某机构对相关数据处理操作的目的和手段拥有决策权及实施能力。若这些决策在欧盟外作出,则不认定有欧盟内的主要机构,从而不适用一站式窗口机制。同时,意见强调,控制者需承担举证责任,证明其在欧盟内的决策与实施权力,并与监管部门紧密合作以确保第4(16)(a)条的一致执行。
(来源:Data Guidance)
(https://www.dataguidance.com/news/eu-edpb-clarifies-notion-main-establishment)
2月16日,欧盟委员会宣布《数字服务法》(DSA)将于2月17日正式在所有网络平台生效。该法案涵盖社交媒体审核、电商广告推送以及打击假冒商品等多个方面,旨在确保用户在使用过程中的安全。
(https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act_en)
DATA
·执 法 司 法 聚 焦·
境内执法和司法
1月29日,上海网信办通报一批对未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚的典型案例,这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。案例涉及的问题包括:1.在收集环节强制索要、过度获取个人信息问题依然存在。2.在存储环节大量个人信息未加密处于“裸奔”状态。3.在使用传输环节企业随意授权放权管理不到位。4.在管理制度上企业关于个人信息保护措施明显缺失。5.在安全防护上网络信息系统存在安全漏洞。
(https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA)
1月29日,北京、重庆以及四川通信管理局针对存在侵害用户权益等问题的App进行了通报:
北京通信管理局通报了2024年第一期存在侵害用户权益和安全隐患等问题的APP。通报整改的12款APP涉及问题主要包括:1.未明示收集使用个人信息的目的、方式和范围;2.未经用户同意收集使用个人信息;3.违反必要原则收集个人信息;4.账号注销难;5.安全隐患问题。通报下架的3款APP涉及的问题主要包括:1.违反必要原则收集个人信息;2.未经用户同意收集使用个人信息;3.未明示收集使用个人信息的目的、方式和范围;4.强制用户使用定向推送功能;5.应用分发平台上的App信息明示不到位。
重庆与四川通信管理局四川省通信管理局通报了11款仍未按照要求完成整改的APP名单。此次通报的APP所涉问题集中于:未明示个人信息处理规则,启动运行场景不合理,违规收集个人信息,APP强制、频繁、过度索取权限,APP频繁自启动和关联启动,隐私政策中未对处理的个人信息保存期限加以说明等。
(https://bjca.miit.gov.cn/zwgk/wlaqgl/art/2024/art_b78869acf8e84e4695951982e1e3b7fc.html)
(https://scca.miit.gov.cn/zwgk/wlaqgl/art/2024/art_bc8e025adea44275b12d7d2c14e63e5b.html)
1月30日,上海市高级人民法院公开一起涉及未成年人网络欺凌的民事案件,判决平台承担相应的侵权责任。法院认为,被告某科技公司对于被告李某的侵权事实构成“应当知道”,却未做处理,应当承担连带责任。被告作为网络平台,对于避免其用户发布的信息侵害未成年人权益,尤其涉及色情等严重侵权信息应负有更高的注意义务。
(https://mp.weixin.qq.com/s/A1GMVMss1K2epeu-nWP4ZQ?scene=25#wechat_redirect)
1月31日,国家网信办发布2023年度执法概览。2023年,全国网信系统严格执行法律法规,大力查处各类网上违法违规行为,全年共约谈网站10646家,责令453家网站暂停功能或更新,下架移动应用程序259款,关停小程序119款,会同电信主管部门取消违法网站许可或备案、关闭违法网站14624家,督促相关网站平台依法依约关闭违法违规账号127878个。
(http://www.cac.gov.cn/2024-01/31/c_1708373600499439.htm)
2月2日,餐饮连锁企业“半天妖烤鱼”因其误导消费者“入会”以获得消费者个人信息的行为被上海市网信办严肃约谈。“半天妖烤鱼”在消费者扫码点餐过程中,微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。上海市网信办相关负责人指出,消费者在到店点餐非注册会员情况下无需提供任何个人消息。部分餐饮企业在点餐小程序中设置强制或诱导消费者关注公众号、注册会员,以及收集消费者非必要个人信息等行为,违反了《个人信息保护法》规定的“合法、正当、必要和诚信原则”,侵犯了消费者的知情权与自主选择权。
(https://mp.weixin.qq.com/s/ZnRT0E3Q2TB1yHqjOttO-w)
2月18日,国家网信办公布第四批深度合成服务算法备案信息,共266款算法取得备案。根据《互联网信息服务深度合成管理规定》第十九条规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。
(http://www.cac.gov.cn/2024-02/18/c_1709925427424332.htm)
2月19日,国家数据局综合司、中央网信办秘书局、工业和信息化部办公厅、公安部办公厅等四部门发布《关于开展全国数据资源调查的通知》,联合开展全国数据资源情况调查,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况,为相关政策制定、试点示范等工作提供数据支持。
(https://mp.weixin.qq.com/s/DSg2FJfLRPQBxjs-RDGEzA)
本月,湖北省通信管理局、河北省通信管理局、内蒙古自治区通信管理局、广东省通信管理局均发布通知,自今年4月1日起,对逾期未履行备案手续的境内存量移动互联网应用程序(含APP、小程序、快应用等,以下简称APP),将依法采取下架、关停等处理措施。支付宝官方发布通知,3月1日前小程序开发者和商家需依法履行备案手续,未按要求履行备案手续的,将无法开展业务,平台也将不再提供上架服务。
(https://hubca.miit.gov.cn/xwdt/xydt/art/2024/art_caad7c9cbd1e401dbaba76a4896b3799.html)
(https://hbca.miit.gov.cn/xxgk/wlaq/art/2024/art_4b0377e546a846f78071f3db8edc0292.html)
(https://nmca.miit.gov.cn/xwdt/gzdt/art/2024/art_72fe8e8bfe7d4eb0a5637a3d61257a0b.html)
(https://gdca.miit.gov.cn/xwdt/gzdt/art/2024/art_9751673b67fc4d7a8878637f09eae7af.html)
(https://p.alipay.com/announcement/1)
简评:根据2023年7月工信部发布的《工业和信息化部关于开展移动互联网应用程序备案工作的通知》,在中华人民共和国境内从事互联网信息服务的APP、小程序、快应用主办者,应当依法履行备案手续。其中,在《通知》发布前已开展业务的APP、小程序等需要于2024年4月前履行备案手续;《通知》发布后拟开展业务的APP、小程序等应先履行备案手续后再开展业务。从事新闻、出版、教育、影视、宗教等APP互联网信息服务的主办者,在履行备案手续时,还应向其住所所在地省级通信管理局提交相关主管部门审核同意的文件。APP主办者应当向其住所所在地省级通信管理局履行备案手续,由其网络接入服务提供者、APP分发平台通过“国家互联网基础资源管理系统”(即ICP/IP地址/域名信息备案管理系统),采取网上提交申请、查验审核方式进行。
境外执法和司法
1月29日,意大利数据保护监管机构宣布,OpenAI的ChatGPT违反欧盟《通用数据保护条例》(GDPR)。目前,该机构已暂时限制OpenAI处理意大利用户的数据,并对ChatGPT涉嫌违反数据收集法规而展开调查。调查结果显示,ChatGPT存在一个或多个潜在的数据隐私侵犯行为。对此,OpenAI有30天的时间进行辩护。
(https://finance.sina.cn/usstock/mggd/2024-01-29/detail-inafezea8121302.d.html?vt=4&cid=76556&node_id=76556)
1月31日,荷兰数据保护局(DPA)对优步(Uber)处以1000万欧元罚款,原因是优步违反了有关其司机个人数据的隐私法规。荷兰数据保护局发现,优步在其条款中没有明确规定保留司机个人数据的期限,也没有规定在将数据发送给欧洲经济区以外国家的实体时如何确保数据安全。
(来源:界面新闻)
(https://www.jiemian.com/article/10759677.html)
2月7日,谷歌同意支付3.5亿美元以解决因数据泄露事件而引发的由罗德岛州政府提起的集体诉讼。该和解方案涉及在2018年4月23日至2019年4月30日期间购买谷歌股票的投资者,他们将有机会申请获得赔偿金。此数据泄露事件最早发生在2018年,并在《华尔街日报》报道后引起广泛关注,最终经过5年法律诉讼过程,谷歌未能成功上诉至最高法院后达成此次和解协议。
(https://tech.co/news/google-350mil-data-privacy-lawsuit)
2月19日,欧盟委员会对TikTok展开正式调查,以判定其是否在未成年人保护、广告透明度、数据访问权限、成瘾性设计和有害内容管理等方面违反《数字服务法》(DSA)。调查程序正式启动后,欧盟委员会会继续收集证据,例如发送补充信息请求、进行面谈或检查。如证实违法,TikTok可能面临最高高达全球营业额6%的巨额罚款。目前,TikTok回应称已采取措施保障青少年安全,并承诺与欧盟委员会合作。
(https://digital-strategy.ec.europa.eu/en/news/commission-opens-formal-proceedings-against-tiktok-under-digital-services-act)
2月21日,香港个人资料私隐专员公署(下称“公署”)宣布完成审查28家机构开发或使用人工智能对个人资料隐私的影响。公署于2023年8月至2024年2月期间向28家本地机构进行循规审查,以了解机构在开发或使用人工智能时收集、使用及处理个人资料的情况,以及机构就人工智能的管治情况。本次循规审查涵盖电讯、金融及保险、美容、零售、运输、教育及政府部门等不同行业。公署发现,21家机构在日常营运时使用人工智能,其中19家机构设有人工智能管治架构。10家机构通过人工智能产品或服务收集个人资料,这10家机构中,8家机构在开发或使用人工智能产品及服务前进行私隐影响评估,10家机构采取相应的保安措施;9家机构保留在人工智能产品或服务中收集得的个人资料,其中8家机构明确了个人资料保留期限,并会在达到原收集目的后删除个人资料或匿名化,余下1家机构允许当事人自行删除个人资料。本次循规审查过程中,未发现违反《个人资料(私隐)条例》规定的情况。
(来源:搜狐网)
(https://www.sohu.com/a/759656081_120076174)
DATA
·行 业 新 闻·
境内新闻
1月31日,全球首例通过植入式硬膜外电极脑机接口技术帮助四肢截瘫患者实现自主脑控喝水的突破性进展在宣武医院与清华大学团队合作下取得成功。患者因车祸导致脊髓损伤致四肢瘫痪,2023年10月接受了由宣武医院团队和清华大学团队实施的无线微创脑机接口NEO临床植入手术。经过三个月康复训练后,患者能够借助脑电活动驱动气动手套,抓握准确率超90%,实现了自主喝水等日常生活动作。此项目将内机埋于颅骨内且不破坏神经组织,并采用近场无线供电和信号传输方式,展现了脑机接口技术在医疗康复领域的巨大潜力和广阔应用前景。
(https://mp.weixin.qq.com/s/aWHCVNXcDY_Eg8NZnp-PeQ)
1月31日,上海市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心召开网络数据安全风险评估试点工作总结暨座谈交流会。会议总结了2023年8月至12月期间顺利完成的36家单位网络数据安全风险评估试点工作,并表彰了优秀单位及案例,上海市水务局、上海数据集团有限公司和复旦大学附属中山医院作为代表进行了经验分享。下一步,市委网信办将根据试点经验与问题,制定本市网络数据安全风险评估方案,建立风险评估机制,全面提升上海市的数据安全防护能力。
(https://mp.weixin.qq.com/s/7yFlOb2TB_wdLMdsc8XGsw)
1月31日,上海市互联网业联合会(上网联)区块链专委会正式成立。该专委会在市委网信办指导下,将贯穿《上海市数字经济发展“十四五”规划》实施,重点开展五项工作:提供决策参谋、支持企业技术创新、促进技术纵向赋能发展、加强区块链产业宣传推广以及构建行业交流平台。上海将以国家区块链创新应用综合性试点地区(静安区)为引领,深化区块链技术研究与应用实践。
(https://mp.weixin.qq.com/s/jI91irbsdeQJc1uFE_lczg)
2月5日,商务部外国投资管理司司长朱冰在国务院政策例行吹风会上透露,中央网信办正研究完善并准备推动出台《规范和促进数据跨境流动规定》。
(来源:央视网)
(https://news.cctv.com/2024/02/05/ARTIP6EACQpC0NjixgLQC0Zv240205.shtml)
2月9日,国家公务员局发布《国家数据局2024年公务员录用面试公告》,其附件《国家数据局2024年公务员录用面试人员名单》对外正式披露国家数据局设立的五个职能司局名称,包括综合司、政策规划司、数据资源司、数字经济司和数字科技与基础设施建设司。
(http://bm.scs.gov.cn/pp/gkweb/core/web/ui/business/article/articledetail.html?ArticleId=8a81f6d18cf2b0e4018d8bd56cfb0128&id=0000000062b7b2b60162bccf03930009)
简评:2023年10月25日,国家数据局正式挂牌成立。据公开消息统计,在工作职责方面,国家数据局负责协调推进数据基础设施建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设,同时并入中央网信办和国家发改委部分职责。在领导阵容方面,刘烈宏担任国家数据局局长,沈竹林、陈荣辉、夏冰担任国家数据局副局长。在内设部门方面,已确定综合司、政策规划司、数据资源司、数字经济司、数字科技与基础设施建设司5大司局。同时,数据管理机构改革提速,截至目前已有超20家省级数据局成立。
2月22日,据报道,中国建设银行上海市分行与上海数据交易所成功发放首笔基于“数易贷”服务的数据资产质押贷款。此贷款模式针对轻资产、重数据的科技企业,通过其数据资产作为质押物进行融资,有效拓宽了企业的融资渠道。该业务依托“数易贷”,利用DCB(可信数据资产凭证)确保数据资产的真实性、合法性和安全性,并实现全生命周期管理。此次成功实践不仅开创了国有银行在数据资产质押融资领域的先例,也有助于解决小微企业融资难问题,推动数字金融和普惠金融发展。
(https://mp.weixin.qq.com/s/YlLM-duRH_g8GTT6fyjhGw)
境外新闻
1月29日,美国计划限制用于训练AI大模型的云计算服务。美国商务部工业与安全局(BIS)发布一份关于《采取额外措施以应对重大恶意网络活动的国家紧急状态》的拟议规则通知(下称“NPRM”或“拟议规则”),并在2024年4月29日前向公众征求意见。拟议规则要求:(1)美国IaaS提供商(包括其外国经销商,以下统称“美国IaaS提供商”)实施客户身份识别计划(CIP),在特定情形下收集非美国客户(包括收益所有人,以下统称“非美国客户”)的相关信息;(2)美国IaaS提供商在知晓美国IaaS产品被非美国客户训练“可能用于恶意网络活动的AI大模型”后的15天内向美国商务部报告;(3)美国商务部可能对非美国客户利用美国IaaS产品开展恶意网络活动采取特殊措施。该政策将影响到包括亚马逊AWS、谷歌Cloud和微软Azure在内的顶级云服务提供商。
(https://www.federalregister.gov/documents/2024/01/29/2024-01580/taking-additional-steps-to-address-the-national-emergency-with-respect-to-significant-malicious)
简评:
美国政府对以中国为首国家的限制性规则不断升级。2022年10月7日和2023年10月17日,BIS先后对出口管制规则进行修改,对先进计算芯片、超级计算机等进行实体或物项管制,通过
管制先进计算芯片出口
的方式,限制中国企业训练AI大模型的算力。为
填补通过云服务获取训练AI大模型算力的漏洞
,美国政府也逐步采取针对性监管。2021年1月25日,特朗普政府发布行政命令《采取额外措施以应对重大恶意网络活动的国家紧急状态》;2023年10月30日,拜登政府发布行政命令《安全、可靠和可信赖的人工智能的开发和使用》。本次发布的拟议规则即是对上述美国总统行政命令的细化,将通过封锁利用美国云计算服务训练AI大模型的途径,对以中国为首的国家的算力进行进一步限制。

1月30日,韩国个人信息保护委员会(PIPC)宣布成立境外传输专家委员会,并于当日举行就职典礼。该委员会由12位个人信息保护专家构成,其核心任务是依据《个人信息保护法》执行细则,确保韩国公民的个人信息在跨境传输过程中的安全保护。具体职责包括:对个人信息保护认证体系的保护级别进行评估、评判各国及国际组织的个人信息保护等级,以及评估是否有必要停止特定的个人信息境外传输行为。
(来源:Data Guidance)
(https://www.dataguidance.com/news/south-korea-pipc-launches-overseas-transfer-expert)
1月30日,马斯克的脑机接口公司Neuralink宣布成功实施首例人类大脑芯片植入手术。该公司旨在通过名为“Telepathy”的产品帮助四肢瘫痪患者实现思维操控手机或计算机,并已取得初步神经元脉冲探测成果。自2023年5月获美国食品药品监督管理局(FDA)批准启动人体临床研究以来,Neuralink开发出无线脑机接口设备及精准手术机器人,在确保安全性的前提下将微小电极植入大脑以采集放大神经信号。此次里程碑式的突破标志着脑机接口技术在辅助功能恢复和人机交互领域更进一步。
(https://www.npr.org/2024/01/30/1227850900/elon-musk-neuralink-implant-clinical-trial)
1月31日,欧盟委员会宣布,欧盟已和日本签署一项协议,将跨境数据流动条款纳入《欧盟-日本经济伙伴关系协议》中。欧盟委员会表示,协议旨在为欧盟与日本之间的数据跨境流动提供更大的法律确定性,确保欧盟与日本之间的数据跨境流动不受数据本地化的限制。
(https://www.consilium.europa.eu/en/press/press-releases/2024/01/31/eu-japan-economic-partnership-agreement-eu-and-japan-sign-protocol-to-include-cross-border-data-flows/pdf#:~:text=On%2029%20January%202024%2C%20the%20Council%20adopted%20the,the%20protocol%20to%20the%20Parliament%20for%20its%20approval)
2月16日,OpenAI发布新一代文生视频模型Sora。该模型凭借深度学习和扩散技术,能够依据文本指令精准创作长达数分钟、包含多镜头切换与细腻物理模拟的高质量视频内容,展现令人惊叹的视觉叙事能力。Sora不仅革新了AIGC视频领域,更因其对现实世界动态理解的加深,引发了关于技术进步、伦理边界与未来创新应用的热议。
(https://www.technologyreview.com/2024/02/15/1088401/openai-amazing-new-generative-ai-video-model-sora/)
2月18日,据报道,德国汽车巨头宝马公司因云存储服务器配置错误导致信息泄露。受影响的数据涉及宝马在中国、欧洲和美国的云服务私钥,以及宝马公司生产和开发数据库的登录凭证,但数据泄露的时间和规模尚未明确。宝马公司表示已于年初修复问题,并强调客户及个人数据未受影响。
(https://gadgettendency.com/bmw-confirmed-a-data-leak-someone-configured-the-cloud-server-incorrectly/)
DATA
·热 点 评 述·
标题:数据合规2023年回顾与2024年前瞻:立法篇
作者:数据合规团队
欢迎点击图片查阅原文
前言:
2023年,我们见证了数据合规领域的诸多变革。这一年,数据合规领域基础框架逐步完善并开始全面落地。数据合规立法向纵深发展,人工智能与算法、未成年人网络保护、数据跨境传输、数据要素流动、重要行业的数据合规制度日臻完善;数据合规监管执法常规化、精细化,在App治理、网络安全审查、重要行业监管等领域取得显著成果;数据合规重点问题在实践中日益明晰,重要数据识别与保护、数据要素流动与数据交易规则、个人信息保护合规审计、人工智能与算法等规则不断明确和细化。
基于此,天达共和数据合规团队对2023年数据合规领域的立法及监管执法情况进行回顾与总结,对2023年度数据合规重点问题进行梳理与分析,并展望2024年数据合规领域建设蓝图,以期为企业建立和完善相关领域的合规工作提供参考。
本期我们为您带来数据合规2023年度回顾与展望系列文章第一篇之立法篇,敬请关注并欢迎指正、交流。
天达共和数据合规团队
ABOUT US
天达共和数据合规团队由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/ 顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和一体化管理的综合优势,加之具有与数据合规相关的民事、刑事、公司并购/重组、反垄断/反不正当竞争、知识产权等法律专业服务能力及项目经验,我们可以为客户提供综合性、全方位、多领域的网络安全与数据保护服务,涵盖数据系统安全运营以及数据生命周期全过程和各个应用场景下的数据应用处理,具体包括数据合规审查综合项目、数据合规风控体系的建立与完善、与数据处理、数据交易等相关的数据合规专项服务、网络安全等级保护等网络安全运行合规咨询服务、行政检查应对、争议解决、合规培训等。建立在对中国国内外,包括欧洲、美国、日本等重点国家和地区,数据领域法律法规深度研究和持续关注的基础上,并结合多年公司合规业务领域的经验,数据合规团队已为包括国家机关、大中型企事业单位、跨国企业集团、外资企业和民营企业在内的大量客户提供了各项数据合规相关法律服务。
数据已经成为战略性资源,企业的运营和发展离不开数据的有效利用和保护。天达共和数据合规团队秉承“成功,始于助人成功”以及专业至精、尽心竭力的服务理念,力求助力客户,为客户提供高效、优质、专业的服务。
如您希望订阅天达共和数据合规资讯月报或需要相关法律服务,请发送邮件至[email protected]与我们联系。更多资讯信息,请关注本所官方微信公众号“天达共和法律观察”。
申晓雨
天达共和
合伙人
叶  鹏
天达共和
合伙人
张  劢
天达共和
合伙人
阚  惠
天达共和
合伙人
王东方
天达共和
合伙人
康雅斯
天达共和
律师
郭富城
天达共和
律师
秦君毅
天达共和
律师
曾祥瑞
天达共和
律师
杨越文
天达共和
律师
张亚楠
天达共和
律师
王璐萍
天达共和
实习律师
精彩推荐
继续阅读
阅读原文