竞天公诚网络安全与数据合规团队
本期编辑:张燕、梁天翔、张宜轩、
向镇、张坤、李嘉骜
一、境内资讯
1.中国外交部发布《全球人工智能治理倡议》
围绕人工智能发展、安全、治理三方面系统阐述了人工智能治理中国方案,核心内容包括:坚持以人为本、智能向善,引导人工智能朝着有利于人类文明进步的方向发展;坚持相互尊重、平等互利,反对以意识形态划线或构建排他性集团,恶意阻挠他国人工智能发展;主张建立人工智能风险等级测试评估体系,不断提升人工智能技术的安全性、可靠性、可控性、公平性;支持在充分尊重各国政策和实践基础上,形成具有广泛共识的全球人工智能治理框架和标准规范,支持在联合国框架下讨论成立国际人工智能治理机构;加强面向发展中国家的国际合作与援助,弥合智能鸿沟和治理差距等。
来源:外交部
2.中华人民共和国国务院发布《未成年人网络保护条例》
并将于2024年1月1日起实施。《条例》共七章六十条,主要从网络素养促进、网络信息内容规范、个人信息网络保护以及网络沉迷防治四个章节提出网络保护要求,综合考虑了未成年人身心健康和网络空间的规律特点,对现有的《未成年人保护法》、《网络安全法》和《个人信息保护法》进行了细化和完善。(详情请点击阅读原文查看“重点法规解读”)
来源:中国政府网
3.科技部等十部门联合印发《科技伦理审查办法(试行)》
并将于今年12月1日正式施行。《科技伦理审查办法(试行)》(“《审查办法》”)对科技伦理审查的适用范围、主体职责、审查程序、监督管理进行了规范,覆盖各领域科技伦理审查的综合性、通用性规定。《审查办法》颁布后从事除涉及人的生命科学和医学领域外的其他可能带来伦理风险的创新科技活动的也将有具体的规范和标准可适用,特别是依照现行规定应当建立科技伦理审查制度的单位主体,例如利用算法推荐技术提供互联网信息服务的企业(尤其是需要履行算法备案义务的企业)在制定科技伦理审查相关制度、建立科技伦理审查机制也将有更细化的规范要求。(详情请点击阅读原文查看“重点法规解读”)
来源:科技部
4.国家密码管理局公布《商用密码应用安全性评估管理办法》
《商用密码应用安全性评估管理办法》旨在规范商用密码应用安全性评估工作,统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定,自2023年11月1日正式施行。(详情请点击阅读原文查看“重点法规解读”)
来源:国家密码管理局
5.国家密码管理局发布《商用密码检测机构管理办法》
旨在贯彻落实《中华人民共和国密码法》《商用密码管理条例》规定,按照商用密码依法管理要求,细化商用密码检测机构管理措施。该办法从适用范围、监管体制、资质认定条件和程序、从业规范和监督检查及法律责任方面规定了商用密码检测机构的各项合规要求。
来源:国家密码管理局
6.国家密码管理局发布关于《电子政务电子认证服务管理办法(征求意见稿)》公开征求意见的通知
该办法主要内容涵盖资质认定、申请流程、资质审查、外商投资安全审查、资质证书、信息公示以及资质变更等,以确保提供电子政务电子认证服务的机构满足特定条件,并强调安全和可靠性。
来源:国家密码管理局
7.传染病防治法修订草案提请审议,强化传染病防治中个人信息保护
修订草案共十章一百一十五条,从传染病防治体制机制建设、应急处置制度、疫情救治保障体系等方面进行了修改完善。值得注意的是,修订草案强化了传染病防治中的个人信息保护,强调依法开展个人信息处理活动,确保个人信息安全,不得过度收集信息;疫情防控中采用的个人电子风险提示码不得用于疫情防控以外的用途。
来源:中国人大网
8.工业和信息化部公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见
征求意见稿全文共五章,包括总则、企业分类分级、网络安全管理、支持与保障及附则,要求工业和信息化部统筹指导开展工业互联网安全分类分级管理工作,并强调工业互联网企业应承担本企业网络安全主体责任,建立健全企业内部网络安全管理制度,积极将网络安全纳入企业发展规划和工作考核,加大网络安全投入,加强网络安全防护能力建设,有效防范化解网络安全风险。(详情请点击阅读原文查看“重点法规解读”)
来源:工业和信息化部
9.工业和信息化部网络安全管理局公开征求对《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》的意见
《工业和信息化领域数据安全风险评估实施细则(试行)》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务(包括对象、内容、评估机制、报送要求等),明确了行业主管部门监督管理评估活动的机制流程。(详情请点击阅读原文查看“重点法规解读”)
来源:工业和信息化部
10.全国信安标委发布《生成式人工智能服务安全基本要求(征求意见稿)》
征求意见稿首次给出了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施、安全评估等。按照要求,提供者在向相关主管部门提出生成式人工智能服务上线的备案申请前,应按照文件中各项要求逐条进行安全性评估,并将评估结果以及证明材料在备案时提交。文件中的附录A给出了语料及生成内容的主要安全风险共5类31种。(详情请点击阅读原文查看“重点法规解读”)
来源:全国信安标委
11.全国人大公开征求对《中华人民共和国保守国家秘密法(修订草案)》的意见
修订草案重点从以下几个方面对《保密法》作出修订:进一步加强党对保密工作的统一领导,完善管理体制机制;适应新形势下保密工作对象、内容以及职责、任务的深刻变化,修改完善相关保密制度;总结提炼党的十八大以来保密工作成熟有效的政策措施和实践经验,转化为法律制度。此外,修订草案还进一步规范了保密监督管理措施,完善了保密法律责任。(详情请点击阅读原文查看“重点法规解读”)
来源:全国人大
12.工信部公开征求对《关于创新信息通信行业管理优化营商环境的意见(征求意见稿)》的意见
《关于创新信息通信行业管理优化营商环境的意见(征求意见稿)》指出,加快修订信息通信领域市场秩序、竞争规范相关部门规章,围绕利用技术和算法优势扰乱市场等新型不正当竞争行为,进一步完善认定标准和处置依据,强化市场秩序监管的法治保障。加强信息通信行业政策文件公平竞争审查,依法清理废除妨碍统一市场和公平竞争的政策措施。
来源:工业和信息化部
13.工业和信息化部等六部门关于印发《算力基础设施高质量发展行动计划》的通知
该计划提出到2025年,计算力方面,算力规模超过300EFLOPS,智能算力占比达到35%,东西部算力平衡协调发展。运载力方面,国家枢纽节点数据中心集群间基本实现不高于理论时延1.5倍的直连网络传输。存储力方面,存储总量超过1800EB,先进存储容量占比达到30%以上,重点行业核心数据、重要数据灾备覆盖率达到100%。应用赋能方面,打造一批算力新业务、新模式、新业态,每个重点领域打造30个以上应用标杆。
来源:工业和信息化部
14.北京市经济和信息化局发布《北京市首席数据官制度试点工作方案》,全面推行政府首席数据官制度
该方案选取13家市级委办局、各区级政府和北京经济技术开发区作为试点单位,自行灵活设立首席数据官,职责范围包括推进数字政府建设、加强数据资源管理、提升指导监督能力、提高数字思维素养、促进人才队伍建设等。同时还鼓励各区级政府在选取有条件的下级单位开展试点工作,积极鼓励各类企业设立首席数据官。
来源:北京市经济和信息化局
15.浙江十一部门联合发布《网络交易平台企业落实主体责任清单》
该清单以厘清和落实平台主体责任、保护网络交易平台参与各方的合法权益为出发点,以75部相关法律法规规章为依据,分类梳理平台通用责任以及直播营销平台、食品交易及餐饮服务平台、旅游服务平台、化妆品网络交易平台、医疗器械网络交易平台、药品网络交易平台等6种常见类型的平台责任清单,涵盖了平台企业的共性责任和特殊性规范要求。
来源:IT之家
16.上海数据交易所发布实施《上海数据交易所数据交易安全合规指引》的通知
涉及主体合规要求、数据安全管理体系、数据来源合法、数据产品的可交易性等多方面。
来源:上海数据交易所
17.上海市消费者权益保护委员会、上海市汽车销售行业协会联合发布《上海市汽车销售行业个人信息保护合规指引》
《上海市汽车销售行业个人信息保护合规指引》(“《指引》”)适用于汽车供应商、汽车经销商、汽车售后服务商、汽车服务或信息平台、保险机构、银行、金融机构等经营者,在提供汽车销售或服务过程中收集、使用、存储、加工、传输、提供、公开、删除个人信息等活动时,应遵守《指引》的规范和要求。
来源:央广网
18.安徽省科学技术厅发布《安徽省通用人工智能创新发展三年行动计划(2023—2025年)》
力争到2025年,充裕智能算力建成、高质量数据应开尽开、通用大模型和行业大模型全国领先、场景应用走在国内前列、大批通用人工智能企业在皖集聚、一流产业生态形成,推动安徽省率先进入通用人工智能时代。
来源:安徽省科学技术厅(安徽省外国专家局)
二、境内监管动态
1.国家数据局正式揭牌
2023年10月25日上午,国家数据局在京正式揭牌。国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
来源:国家数据局
2.国家金融监督管理总局发布《关于警惕利用AI新型技术实施诈骗的风险提示》
该提示指出,面对利用AI新型技术实施诈骗的“拟声”“换脸”等手段,广大金融消费者需注意:网络渠道“眼见”不一定为实,转账汇款务必核验对方身份,保护好照片、声音等个人信息。
来源:国家金融监督管理总局
3.金融监管总局、中国人民银行、中国证监会发布金融消费者权益保护典型案例
此次发布金融消费者权益保护典型案例共28个,覆盖银行、证券、保险、支付等领域。
来源:国家金融监督管理总局
4.工信部关于侵害用户权益行为的APP(SDK)通报(2023年第6批,总第32批)
近期,工信部组织第三方检测机构对群众关注的在线影音、网上购物等移动互联网应用程序APP及第三方软件开发工具包(SDK)进行检查。发现22款APP、SDK存在侵害用户权益行为。上述APP及SDK应按有关规定进行整改,整改落实不到位的,工信部将依法依规组织开展相关处置工作。
来源:工业和信息化部信息通信管理局
5.浙江省通管局通报8款侵害用户权益行为APP(2023年第8批)
近期,浙江省通信管理局组织第三方检测机构对群众关注的本地生活、求职招聘、实用工具等类型APP进行检查,并书面要求违规APP开发运营者限期整改,整改落实不到位的,将视情采取下架、关停、行政处罚等措施。
来源:浙江省通信管理局
6.广东省通管局通报2款未按要求完成整改APP并下架12款APP
广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动。2023年9月15日,广东省通信管理局向社会公开通报了25款存在侵害用户权益和安全隐患问题的APP,截至通报规定时限,经核查复检,尚有12款APP未按照要求完成整改反馈,为严肃处理上述APP的违规行为,广东省通信管理局决定对上述APP予以下架。
来源:微信公众号“广东信息通信业”
7.工信部等五部门公布2023年度虚拟现实先锋应用案例名单
经各地主管部门和有关单位推荐、专家评审和网上公示,工信部等部门确定了70项2023年度虚拟现实先锋应用案例,并要求各地在技术创新、应用落地、政府服务等方面对入选案例加大支持力度,推动优秀成果规模化应用。
来源:中国政府网
8.浙江省网信办依据《数据安全法》对杭州某科技公司作出行政处罚
根据国家网信办移交的问题线索,浙江省网信办依法对杭州某科技公司未履行数据安全保护义务的问题进行立案调查。经查实,该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中,存在未授权访问漏洞,未按要求履行数据安全保护义务,违反《数据安全法》第二十七条之规定。浙江省网信办依据《数据安全法》《行政处罚法》等法律法规,对该公司作出罚款5万元的行政处罚,对该公司直接负责人作出罚款1万元的行政处罚。
来源:微信公众号“网信浙江”
9.因未履行数据安全义务,某企业被南昌市网信办处罚
南昌市网信办接上级网信部门通报,市内南昌县某企业存在数据漏洞风险,疑似出现删库勒索事件。经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明该企业运营的mongodb数据库存在未授权访问安全漏洞,该企业也未采取相应的技术措施和其他必要措施保障数据安全,其运营的数据库被黑客删库并勒索。同时,该企业未加强风险监测,发生删库勒索事件时未采取处置措施和履行主动报告义务。南昌市网信办依据《数据安全法》第四十五条的规定,对该企业作出警告并处罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。
来源:微信公众号“网信南昌”
10.数据泄漏后擅自删库,某科技公司被上海市网信办依法处罚
上海市网信办工作中发现,某科技公司未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,存储了包含用户姓名、身份证号码、手机号在内的大量个人信息的数据库存在未授权访问漏洞,部分数据被窃并传输到境外。上海市网信办将相关情况通报涉事企业并要求立即核查整改,但该科技公司无视数据安全保护责任,未进行及时有效整改且擅自将涉事数据库一删了之,意图逃避处罚。针对以上违法情况,上海市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚。
来源:微信公众号“网信上海”
11.个人信息保护不当,宁夏6家物业公司被处罚
宁夏石嘴山市公安机关在检查中发现,多个物业公司办公电脑存储大量小区业主家庭住址、身份证号码、联系方式等个人信息,且存储数据未经加密处理,办公电脑未设开机密码,对个人信息未实行分类管理、未采取加密及去标识化等技术措施,导致业主个人信息泄露风险。因此,公安机关依据《个人信息保护法》对6家物业公司予以行政警告处罚并责令其限期整改。
来源:公安部网安局
12.电商经营者泄露百万条个人信息获刑,并支付公益损害赔偿金
案件中,5人向他人出售、提供公民个人信息132万余条(姓名、住址、电话等)。其中,90多万条个人信息被用于交换和共享,40多万条被以每万条300元左右的价格出售。法院判决判处各被告有期徒刑三年至一年六个月不等,没收违法所得,并处罚金,并同时判决主犯揭某某等二人(侵犯公民个人信息50万条以上)支付公益损害赔偿金39600元,在国家级媒体上赔礼道歉。
来源:澎湃新闻
13.黑客入侵致近2万条学员信息被泄露!黑客落网,培训机构被处罚
厦门网警进一步检查发现,机构未落实数据安全保护主体责任,未建立人员安全意识教育培训及责任追究制度,未采取信息系统防病毒防网络攻击等技术措施,构成未履行网络安全保护义务的违法行为。因此,厦门网警依据《网络安全法》对该教培机构处以罚款1万元、对直接负责的主管人员处以罚款5000元的行政处罚。
来源:公安部网安局
14.广州互联网法院:电商平台应对虚拟财产交易承担安全保障义务
案件中,原告在被告运营的交易平台上购买虚拟账号过程中,遭受卖家假冒被告客服,登录了原告的账户并骗取了财产。法院认定,被告客服未考虑到平台账号可以在不同设备中同时登录的风险,仅指引原告重新登录,未能有效、及时地防止损失扩大,违反了协议约定,对此存在过错。法院因此判决酌定被告承担原告主张的50%的损失赔偿额。文章认为,电商平台的安全保障义务是法定义务,且是否履行了《网络安全法》法定义务是前述法定义务是否得到履行的重要指标。
来源:广州互联网法院
15.天津滨海新区法院:跳过、屏蔽“青少年模式”入口弹窗功能构成不正当竞争
涉案APP将“青少年模式”弹框自动关闭功能一旦开启,用户打开“腾讯视频”及“腾讯NOW直播”等网络音视频软件时,该APP会自动跳过或屏蔽“青少年模式”的入口弹窗,使得用户无法通过首页提示使用“青少年模式”。法院认定,被诉行为既违反了未成年人保护的相关法律规定,又损害了其他经营者的竞争利益和消费者的合法权益,其跳过、屏蔽“青少年模式”入口弹窗功能也覆盖了网络音视频领域多款第三方应用软件,导致保护未成年人的功能设计落空,破坏了公平竞争的市场秩序和行业生态,构成不正当竞争。
来源:人民法院报
三、境外资讯
1.欧洲数据保护监管机构(EDPS)发布对《人工智能法案》的最终建议,该法案已进入谈判最后阶段
该建议重申,在《人工智能法案》适用之日已经使用的人工智能(AI)系统,包括作为欧盟大型IT系统组成部分的人工智能系统,应遵守《人工智能法案》的要求适用日期,不应免除《人工智能法案》的范围。这些建议还欢迎欧洲人工智能办公室(AIOffice)的成立,并支持人工智能办公室集中执行《人工智能法案》的目标。对此,建议指出,EDPS随时准备与国家监管机构一起开展联合调查。此外,这些建议还要求赋予EDPS作为人工智能办公室管理委员会正式成员的投票权。
来源:EDPS官网
2.欧洲委员会发布个人数据跨境传输示范合同条款C-P模块修订草案
适用于数据控制者(Controller)向数据处理者(Processor)的数据跨境传输场景,草案规定了适当的保障措施,包括数据出口方和进口方的义务、可强制执行的数据主体权利以及有效的法律补救措施等。此外,修订草案增加了与处理透明度相关的要求选项,即数据出口方必须应要求向数据主体免费提供一份条款副本,包括各方填写的附件。此外,修订草案还提供了第二个条款选项,即要求数据处理者按照MCCs(C-C)的相关规定,在数据进口方被迫保存、准许访问、提供或披露从数据出口方向第三方(包括公共机构)传输的个人数据时,及时通知数据主体。(详情请关注“重点法规解读”)
来源:欧洲委员会官网
3.欧盟委员会发布最新人工智能示范合同条款草案
条款草案旨在划定供应商与公共实体之间在以道德、透明和负责任的方式开发人工智能技术方面的责任。条款草案包含人工智能系统和《人工智能法》所涵盖事项的具体规定,但不包括GDPR等相关法律可能产生的其他义务或要求。此外,欧盟委员会指出,公共实体与供应商之间的强化数据共享制度现已纳入条款草案,这项制度将数据分为公共组织数据集、供应商数据集和第三方数据集。欧盟委员会发布了两个版本的条款草案,根据《人工智能法》草案的含义,分别适用于高风险系统和非高风险系统。
来源:欧盟委员会官网
4.EDPS发布关于人工智能责任规则的意见
欧洲数据保护监督员(EDPS)于2023年10月11日发布了其关于欧盟委员会《产品责任指令》(PLD)和《关于将非合同民事责任规则适用于人工智能的指令》(AILD)的第42/2023号意见。两项提案的总体目标是确保因人工智能(AI)遭受损害的受害者享有与未涉及人工智能系统的损害受害人同等的保护水平,EDPS对此表示赞同,同时提出了数条具体建议,并呼吁立法者考虑相关措施,以应对人工智能系统对欧盟和国家责任规则有效性构成的挑战。(详情请关注“重点法规解读”)
来源:EDPS官网
5.法国数据保护局(CNIL)发布关于美国数据跨境传输充分性认定的Q&A
具体问题包括什么是充分性认定、为什么需要对美国适用新的充分性认定、EU-USDPF的关键内容是什么、充分性认定何时生效、有效期多长以及在充分性认定之前提交至CNIL的涉及美国数据传输的投诉如何处理等问题。根据该问答,数据控制者如需依赖充分性认定向位于美国的数据接收方进行数据跨境传输,则应确保该接收方被列入美国商务部公开的清单中,并确保处理的数据类别和涉及的组织在核证范围内。否则,需依赖其他传输机制并进行数据传输影响评估(TIA)。其中,TIA可参考欧盟委员会在新的充分性认定中对美国法律环境的分析。
来源:法国数据保护局
6.英美数据桥生效
当地时间9月21日,英国科学、创新和技术部(DSIT)公布《2023年数据保护(充分性)(美利坚合众国)条例》,确认了英美数据桥(U.K.-U.S.DataBridge)的效力。该条例于10月12日生效,英国企业可以开始根据《英国通用数据保护条例》(UKGDPR)第45条将个人数据传输至获得《欧盟-美国数据隐私框架英国扩展》(UKExtension)认证的美国组织,无需其他机制,也无需进行传输影响评估和实施额外的传输保障措施。不过,英国政府强调,英国企业应注意在必要时更新隐私政策并记录自身的处理活动,以反映其向美国传输个人数据方式的任何变化。
来源:英国政府官网
7.英国DSIT为应用商店运营商和开发人员发布更新的实践守则
DSIT强调行为准则规定了应用商店运营商和应用程序开发商需要遵守的最低安全和隐私要求。为保护用户的安全和隐私,行为准则重申了应用程序商店经营者和应用程序开发者应当遵循的八项原则,这些原则适用于不同的主体,尤其是在确保应用程序安全和数据隐私方面,规定了不同利益相关者的行为和责任。(详情请关注“重点法规解读”)
来源:英国科学、创新与技术部(DSIT)官网
8.美国《纽约儿童数据保护法案》提交议会
该法案是先前提交给参议院的S7695法案的配套法案。该法案以保护18岁以下儿童为立法目的,针对运营商设置规则。该法案中的“运营商”被定义为运营或提供网站、在线服务、在线应用程序、移动应用程序或连接设备,且直接或间接收集和维护个人数据或者允许他人收集与用户有关的个人数据的组织。该法案规定,运营商除非根据《儿童在线隐私保护法》(COPPA)获许,否则不得处理12岁以下用户的个人数据。此外,该法案中还规定了获得知情同意的要求、禁止购买和出售用户个人数据,以及运营商与第三方之间处理协议的条件等。
来源:纽约州参议院官网
9.美国加利福尼亚州州长签署《删除法案》
《删除法案(DeleteAct)》(SenateBillNo.362)将于2026年1月起生效实施。该法案主要规制对象为数据经纪商,对数据经济商的注册登记要求作出了调整,增强了数据经纪商的告知义务,明确了45天响应删除权的法定时限,并要求数据经纪商接受3年一次的外部第三方审计。另外,在消费者提交删除请求且数据经纪商删除消费者数据后,除非消费者另有要求或属于允许出售或分享个人信息的情形,数据经纪人不得出售或分享消费者新的个人信息。(详情请关注“重点法规解读”)
来源:加州立法信息网
10.美国康涅狄格州《在线隐私法》生效
10月1日,康涅狄格州《在线隐私、数据和安全保护法》(简称“《在线隐私法》”)生效,该法案根据《州预算法》第207节的规定,对康涅狄格州《个人数据隐私和在线监控法》(CTPDA)进行修订。《在线隐私法》第1至5节主要涉及CTPDA范围的扩大、对健康信息披露的限制,以及包括消费者健康数据控制者在内的新定义。此外,《在线隐私法》对CTDPA进行了修订,规定有关消费者健康数据和消费者健康数据控制者的条款,适用于在本州开展业务的自然人和法人以及生产针对康涅狄格州居民的产品或服务的自然人和法人。(详情请关注“重点法规解读”)
来源:康涅狄格州议会
(ConnecticutGeneralAssembly)官网
11.美国和新加坡就有关人工智能框架的工作协调发表联合声明
10月13日,新加坡资讯通信媒体发展管理局(IMDA)和美国国家标准与技术研究院(NIST)在美国-新加坡关键与新兴技术对话(CET)上就完成联合映射工作发表了联合声明。该联合工作涉及IMDA人工智能认证框架(AIVerify)和NIST人工智能风险管理框架(AIRMF)。IMDA和NIST强调,该联合映射工作发现AIVerify和AIRMF在促进可信和负责任的人工智能方面具有共同的成果。AIVerify是一个治理测试框架和软件工具包,旨在帮助企业提高其人工智能系统的透明度。AIRMF为使用和部署人工智能系统的组织提供资源,帮助管理和降低因使用人工智能系统而产生的风险,确保负责任地开发和使用人工智能。
来源:DataGuidance
12.韩国PIPC宣布颁布个人信息跨境传输条例
条例于2023年10月16日生效。个人信息保护委员会特别概述了以下内容:第一,有关跨境传输专家委员会的运作事宜,该委员会是一个咨询机构,负责对个人信息的跨境传输进行评估。跨境传输专家委员会是为事先对跨境传输领域的事项进行专业审查(如评估目标传输国的保护水平)而成立的专家委员会。第二,对个人信息跨境传输的新要求已经明确(例如,认可和公布个人信息跨境传输认证的程序和既定评估标准)。此外,还规定了传输目的地国个人信息保护水平的认可程序,以及取消和变更认可的相关事宜。第三,关于个人信息跨境传输的制度安全网--跨境传输中止令的内容,包括了中止令的程序、通知格式、申诉程序和要求。
来源:韩国个人信息保护委员会(PIPC)官网
13.韩国PIPC宣布试行事前适当性审查制度
“事前适当性审查制度”从2023年10月13日起试行,旨在通过预先评估《个人信息保护法》(PIPA)的合规情况,确保在人工智能等新服务和技术中安全使用个人信息。事前适当性审查制度采用三步程序:在规划和准备开发新服务和新技术的过程中,如果企业不能确定其运营是否违反了《个人信息保护法》,可以申请由PIPC进行事前适当性审查;在全面分析企业的个人信息处理环境和数据流后,PIPC讨论并确定PIPA合规计划;以及企业按照商定的合规计划提供服务,而PIPC则有权监督计划的实施。最后,PIPC认为,根据试点运行的结果,全面实施预计将于2024年1月进行。
来源:韩国个人信息保护委员会(PIPC)官网
14.新加坡网络安全局为相关机构发布云安全配套指南
一份针对网络基本要素,另一份针对网络信任,旨在帮助企业更好地了解使用云服务的风险和责任,并形成国家网络安全标准。特别地,上述两份指南是与新加坡三大云服务供应商合作开发的,其中内容包括:明确组织(云服务用户)和云服务供应商之间的责任分工,根据组织规模提供不同的责任模式;为三大云服务供应商提供针对特定供应商的指南;以及解决云服务用户的主要安全问题。
来源:新加坡网络安全局(CSA)官网
15.德国联邦数字化和交通部发布数字战略
数字战略为数字化问题提供了原则化指引,并构成了联邦政府2025年前数字政策的总体框架。包括网络安全、数字主权、关键技术、人工智能、虚假信息和平台监管、消费者权利等诸多方面,并确保数字服务和产品从一开始就以安全、用户友好和数据保护友好的方式设计,使消费者权利更容易得到保护。
来源:德国联邦数字化和交通部(BMDV)官网
16.俄罗斯《联邦信息、信息技术和信息保护法》修正案生效
该修正案聚焦于规范互联网网站和移动应用程序收集、使用用户偏好信息进行推广的行为。修正案规定,互联网网站和移动应用程序所有者不得使用侵犯公民或组织合法权益的推荐技术,不得使用推荐技术提供违反俄罗斯联邦法律的信息。此外,互联网网站和移动应用程序所有者应在网站或应用程序上发布推荐技术规则,确保用户了解推荐技术使用情况。
来源:俄罗斯联邦通信、信息技术和大众传播监督局官网
17.加拿大隐私专员办公室(OPC)与菲律宾共和国国家隐私委员会签署数据保护谅解备忘录
该谅解备忘录重点关注双方在数据保护方面的合作协议,概述了以下几个合作领域(在各自法律的限制内且不违反国家安全的情况下),包括:
• 交换有关调查的信息;
• 在调查违反隐私和数据保护法的行为时相互协助;
• 协调对跨境数据泄露的联合调查;
• 关于隐私和数据保护趋势的知识共享和培训;
• 探索创新和实验性的数据共享方法。
来源:DataGuidance
18.OECD发布《智慧城市的数据治理:挑战与前进之路》报告
报告指出,智慧城市旨在通过数字技术和数据利用提高公民福祉、促进可持续发展、优化公共服务,以人为本地解决城市和区域发展问题。创建有效的数据治理战略、政策和框架,提高数据质量和应用数量,同时在透明框架中保持数据安全和个人隐私,是发展智慧城市的关键。
来源:OECD
四、境外监管动态
1.美国联邦贸易委员会就消费者对人工智能的担忧发布报告
美国联邦贸易委员会(FTC)特别强调了消费者对训练AI模型所需的大量数据的关切,尤其是消费者在互联网上发布的内容可能会在未经其同意的情况下被抓取用于模型的训练,以及随之而来的对消费者保护和市场竞争的影响问题。
此外,FTC还指出了消费者对生物特征数据使用的担忧,特别是用于训练模型或生成“声纹”的通话或录音。最后,FTC指出了消费者对人工智能应用方式的担忧,特别是利用生成式人工智能进行邮件钓鱼、语音诈骗等,可能让一些诈骗陷阱变得更难识别。
来源:DataGuidance
2.加拿大隐私监管机构通过关于年轻人隐私和工作场所隐私的决议
该决议侧重于所有部门的组织有责任通过负责任的措施积极保护年轻人的数据,包括尽量减少跟踪、受监管的数据共享和严格控制商业广告。员工隐私决议解决了最近员工监控软件的激增,以保护工人免受雇主过度侵入的监控。
来源:加拿大隐私专员办公室
3.西班牙数据保护局更新违规咨询工具及违规通知工具
该工具可帮助数据控制者决定是否应向监管机构通知个人数据泄露事件,这有助于数据控制者确定是否通知受违规影响的数据主体。
来源:DataGuidance
4.美国联邦贸易委员会宣布与TransUnion就其违反《公平信用报告法》达成1,500万美元的和解协议
在向联邦法院提起的诉讼中,FTC和消费者金融保护局(CFPB)指控TransUnion Rental Screening Solutions, Inc.及其母公司Trans Union LLC(TransUnion)违反了《公平信用报告法》,未能确保其租户背景筛选报告中所含信息的准确性。
来源:DataGuidance
5.美国多州总检察长联盟就违反《儿童在线隐私保护法》及其他有害儿童的行为起诉Meta
指控其设计和部署对儿童和青少年有害的成瘾功能,并在未事先告知并获得父母同意的情况下收集13岁以下儿童的个人数据。
来源:DataGuidance
6.美国纽约州总检察长与Personal-Touch就数据泄露问题达成35万美元的协议
数据泄露发生在2021年1月20日,源起于一名Personal-Touch员工打开了网络钓鱼电子邮件中附加的恶意文件,此次攻击泄露了约316,845名纽约自然人的个人和医疗信息。总检察长办公室(OAG)的调查确定,Personal-Touch未能采取合理的数据安全保障措施来保护患者和员工数据。Personal-Touch的信息安全和风险管理计划是非正式且不成熟的。其员工的安全培训不足,访问控制不力,缺乏持续监控系统,并且未能对个人和医疗数据进行加密。
来源:DataGuidance
7.美国新泽西州总检察长就数据泄露与Blackbaud达成4,950万美元的和解协议
起因是该公司在发生数据泄露事件后违反了1996年《健康保险可携性和责任法案》(HIPAA)《新泽西州个人信息保护法》《数据泄露通知法》和《消费者保护法》。总检察长调查认定Blackbaud没有实施合理的数据安全措施,也没有对已知的安全泄露事件进行补救,从而允许未经授权的人员访问Blackbaud的网络,并且没有及时或准确地向客户提供有关数据泄露事件的信息。值得注意的是,Blackbaud向个人信息被泄露的客户发出的通知的时间被严重拖延,甚至根本没有发出通知。
来源:DataGuidance
8.因超出管辖权,美人脸识别公司在英上诉成功或免罚750万镑
法院认为,虽然其人脸识别处理活动可能落入《英国通用数据保护条例》的地域管辖范围内,但由于该行为(法律执法活动)不在其实体活动管辖范围内,因此ICO无权依据《英国通用数据保护条例》作出处罚。
来源:[2023]UKFTT819(GRC)
9.法国CNIL因电子营销缺陷对GroupeCanal罚款60万欧元
CNIL认定Groupe Canal+曾与一些公司签订合同,以其名义发送电子邮件营销信息,但Groupe Canal+无法提供证据证明这些公司已获得数据主体的有效同意。其次,CNIL还发现Groupe Canal+存在违反GDPR第12、13和14条规定的情形。
来源:DataGuidance
10.瑞典隐私保护局因H&M违反直接营销规定对其罚款35万瑞典克朗
IMY表示,其处罚原因为H&M没有在合理时间内处理来自多个个人的拒绝直接营销的请求,因此违反了有关GDPR处理个人行权请求及直接营销的规定。
来源:IMY
11.英国信息专员办公室因Snap可能未正确评估隐私风险而对其发布初步执法通知
Snap于2023年2月向英国Snapchat+用户推出了“MyAI”功能,并于2023年4月向英国更广泛的Snapchat用户群推出了该功能。英国信息专员办公室(ICO)暂时认定,Snap在推出“MyAI”之前进行的风险评估没有充分识别和评估生成式人工智能技术带来的数据保护风险,尤其是针对13至17岁儿童的数据保护风险。ICO指出,其通知中的调查结果是临时性的,在作出最终决定之前,其将仔细考虑Snap提出的任何申述。
来源:DataGuidance
12.泄露2.3万名用户个人数据,PayPal在韩被罚逾9亿韩元
韩国隐私监管机构表示处罚原因为Paypal在安全系统管理方面存在疏忽,导致自2021年12月起,发生了三轮数据泄露事件,使约2.3万名用户的个人数据被泄露,并且没有及时向当局报告泄露情况。
来源:PIPC
五、重点法规解读
1.欧洲委员会发布个人数据跨境传输示范合同条款C-P模块修订草案
2023年10月19日,欧洲委员会(The Council of Europe)发布基于《个人数据自动化处理中的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,下称“《第108+号公约》”)的《个人数据跨境传输示范合同条款》修订草案(Model Contractual Clauses for the Transfer of Personal Data,下称“MCCs”)模块二,适用于数据控制者(Controller)[1]向数据处理者(Processor)[2]的数据跨境传输场景(下称“MCCs(C-P)”),规定了适当的保障措施,包括数据输出方[3]和输入方的义务、可强制执行的数据主体权利和有效的法律补救措施。
《第108+号公约》旨在解决与GDPR之间的冲突。该公约允许个人数据在缔约国之间自由流动,但要求在将数据传输到其他国家或地区时,必须满足“适当的个人数据保护水平”的要求。确定适当的保护水平有两种方式:一是通过相关法律(包括可适用的国际条约或协议);二是通过具有法律约束力和可执行性的特设或经批准的标准化保障措施(如签署数据跨境传输标准合同)。由于欧盟成员国多数是该公约的缔约国,并且遵循GDPR的相关规定,因此欧盟成员国之间的个人数据可以根据《第108+号公约》第14条的规定进行自由流动。当欧盟成员国向非缔约国[4]传输个人数据时,优先适用GDPR下的标准合同条款。对于非欧盟成员国的公约缔约国向非缔约国传输个人数据的情形,MCCs可以作为选择,但并非强制性规定,缔约国可以自主决定是否批准其作为数据跨境传输的标准合同。因此,MCCs主要适用于非欧盟成员国的公约缔约国向非缔约国传输个人数据的情形。
“MCCs(C-P)”主要修订了条款第10条、第11条、第13条、第23条。在处理透明度方面,比之前多提供了一个选项,即数据输入方[5]必须按要求向数据主体提供一份完整包含本条款及双方填写的附件的副本;在数据的准确性与最小化上,增加了个人数据[6]与处理目的关系要求;对数据安全中的个人数据性质和数量的处理[7]上,增加了个人数据的范围、背景和目的;为23.1通知(a)多提供了一个选项,如果数据输入方被迫保存、准许访问、提供或披露从数据输出方转移给第三方[8](包括公共机构)的个人数据,数据控制者应立即通知数据主体。
2.EDPS发布关于人工智能责任规则的意见
欧洲数据保护监督员(EDPS)于2023年10月11日发布了其关于欧盟委员会的两项提案,《产品责任指令》(PLD)和《关于将非合同民事责任规则适用于人工智能的指令》(AILD)的第42/2023号意见。
前述两项提案是支持人工智能在欧洲部署的一揽子措施的一部分,其中还包括一项制定人工智能系统横向规则的立法提案(拟议的《人工智能法》)。由于人工智能系统的特征,如不透明、自主性、复杂性、持续适应和缺乏可预测性,可能会给个人寻求补救因使用人工智能系统而造成的伤害造成重大障碍。提案的总体目标是使赔偿责任规则适应数字时代,确保因人工智能(AI)遭受损害的受害者享有与未涉及人工智能系统的受害者享有同等的保护水平。
EDPS完全支持提案的目标。在意见书中,EDPS提出了一些具体建议。包括呼吁联合立法者确保因欧盟机构、机构和机构生产和/或使用的人工智能系统而遭受损害的个人享有与因私人行为者或国家当局生产和/或使用人工智能系统所遭受损害的人同等水平的保护;将AILD提案第3条和第4条规定的程序保障措施应适用于人工智能系统造成的所有损害,无论其分类为高风险或非高风险;以及应明确要求提供商和用户根据AILD提案第3条以可理解和普遍理解的形式披露信息等。EDPS还建议AILD提案明确确认其不损害欧盟数据保护法,以免以任何方式限制个人的潜在补救途径。
最后,EDPS建议立法者考虑进一步减轻举证责任的额外措施,以应对人工智能系统对欧盟和国家责任规则有效性构成的挑战。同样,EDPS建议缩短AILD提案中规定的审查期。
当然,意见书中明确,该意见不排除EDPS未来提出的任何额外意见或建议,特别是在发现进一步问题或获得新信息的情况下。此外,该意见不影响EDPS根据条例(EU)2018/1725行使其权力时可能采取的任何未来行动。
3.英国DSIT为应用商店运营商和开发人员发布更新的实践守则
10月24日,英国科学、创新与技术部(DSIT)更新了应用商店运营商和开发商的行为准则(后简称“行为准则”),行为准则最初于2022年12月9日发布。DSIT强调行为准则规定了应用商店运营商和应用程序开发商需要遵守的最低安全和隐私要求。为保护用户的安全和隐私,行为准则重申了应用程序商店经营者和应用程序开发者应当遵循的八项原则:
• 第一,确保只有符合代码安全和隐私基线要求的应用程序才被允许在应用程序商店上架,这项原则主要适用于AppStore运营商;
• 第二,确保应用程序遵守安全和隐私的基本要求,这项原则主要适用于应用程序开发人员和平台开发人员;
• 第三,实施漏洞披露流程,这项原则主要适用于应用程序开发人员和应用程序商店运营商;
• 第四,保持应用程序更新以保护用户,这项原则主要适用于应用商店运营商、应用开发者和平台开发者;
• 第五,以便捷的方式向用户提供重要的安全和隐私信息,这项原则主要适用于应用商店运营商和应用开发者;
• 第六,为开发者提供安全和隐私指导,这项原则主要适用于AppStore运营商;
• 第七,向开发人员提供明确的反馈,这项原则主要适用于AppStore运营商;
• 第八,确保在发生个人数据泄露时采取合理措施,这项原则主要适用于应用程序开发人员和应用程序商店运营商。
行为准则中对于每项原则都进行了详细讨论,尤其是在确保应用程序安全和数据隐私方面,规定了不同利益相关者的行为和责任。此外,从漏洞披露到数据泄露处理等方面,行为准则对应用程序安全采取了整体方法,强调应用程序开发商和应用程序商店运营商在确保应用程序用户安全和隐私方面的共同责任。为配合行为准则的实施,DSIT表示已将实施期限延长六个月至2024年3月。DSIT强调,其将利用延长的期限增加与开发商和运营商的接触,并扩大其监测和评估活动,以支持政策制定。
4.美国加利福尼亚州州长签署《删除法案》
10月10日,美国加利福尼亚州州长纽森签署了名为《删除法案》的参议院第362号法案,使《删除法案》正式生效。该法案旨在促进加州消费者保护法律(包括2018加州消费者隐私法案(CCPA)、2020加州隐私权益法案(CPRA))下有关消费者信息删除权的行使。《删除法案》将建立一个中心化的数据删除平台机制,要求适用《删除法案》的数据经纪人注册并支付注册费用以建设、维护该平台,并向该平台提供某些信息,从而使该平台成为消费者个人信息删除权的一站式执行机制。
依据《删除法案》,数据经纪人指“在明知的情况下收集,并向第三方出售与本企业无直接关系的消费者个人信息”的企业,但不包括某些征信机构、金融机构、保险机构和医疗机构。同时,有关针对数据经纪人的执法权力将从加州总检察长办公室移交至加州隐私保护局(CPPA),后者将同时负责数据删除平台的建设、维护和管理。前述有关个人信息删除权的一站式执行机制平台将于2026年前建立,各数据经纪人有义务在2026年8月1日起,每45天访问一次该删除机制以审查和处理消费者的删除权,并在收到删除请求后45天内完成数据删除。《删除法案》还规定了一系列针对数据经纪人的披露、监督、审计机制。
《删除法案》的生效,将使加州成为第一个制度化个人信息删除权行使的司法辖区。虽然该一站式删除权机制的适用范围相对较窄(满足适用条件的数据经纪人),但该法案仍然会对加利福尼亚州的消费者隐私权发展产生极大促进。美国的广告商协会表示《删除法案》将减少由数据驱动的广告需求,并使第一方大型科技公司(例如Meta等)获得优惠待遇,对在线广告行业产生深远影响。
5. 美国康涅狄格州《在线隐私法》生效
2023年10月1日,康涅狄格州《在线隐私法》(全称“康涅狄格州《在线隐私、数据和安全保护法》,the Connecticut Act Concerning Online Privacy,Data,and Safety Protections”)生效,该法案根据《州预算法》第207节的规定,对康涅狄格州《个人数据隐私和在线监控法》(CTPDA)进行修订。
《在线隐私法》第1至5节主要涉及CTPDA范围的扩大、对健康信息披露的限制,以及包括消费者健康数据控制者在内的新定义。具体而言,《在线隐私法》对CTDPA的修订体现在,规定任何人不得从事以下行为:
• 允许任何雇员或承包商访问消费者健康数据,除非该雇员或承包商有合同或法定的保密义务;
• 向任何数据处理者提供对消费者健康数据的访问权限,除非数据处理者遵守《康涅狄格州法典》第42-521条的规定;
• 在任何精神健康设施、生殖健康设施或性健康设施的一千七百五十英尺范围内使用地理围栏技术建立虚拟边界,以识别、跟踪、收集消费者的数据,或向其发送有关消费者健康数据的任何通知;或
• 在未事先征得消费者同意的情况下,出售或提议出售消费者健康数据。
此外,《在线隐私法》对CTDPA的适用范围进行了修订,规定有关消费者健康数据和消费者健康数据控制者的条款,适用于在本州开展业务的自然人和法人以及生产针对康涅狄格州居民的产品或服务的自然人和法人。
注释