1.国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》

《方案》结合电信、健康医疗、金融、文化教育、专业服务等行业领域发展需要，从6个方面，提出170余项试点任务。《方案》提出要坚持先立后破，制定完善重点产业开放实施方案和监管措施，进一步完善文化、金融、生物、数据流动等重点领域的风险评估预警机制及管控处置机制，提升开放监管能力，增强风险防控能力，牢牢守住不发生系统性区域性风险底线。《方案》尤其提到电信服务领域研究建设国家新型互联网交换中心。在北京取消信息服务业务（仅限应用商店，不含网络出版服务）、互联网接入服务业务（仅限为用户提供互联网接入服务）等增值电信业务外资股比限制，研究适时进一步扩大增值电信业务开放。（详情请点击阅读原文查看“重点法规解读”）

来源：新华网

2.财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法（征求意见稿）》

该办法定位为在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务，或者开展跨境审计的会计师事务所数据安全管理的顶层设计（非审计业务数据管理亦可参照执行），重点从四个方面进行了说明：一是明确适用范围、数据定义和各方主体。二是加强会计师事务所数据管理。三是完善会计师事务所网络保障。四是加强监督检查。其中明确提出审计工作底稿及相关数据应在境内存储且不得境外备份，业务约定书或类似合同中不得包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。（详情请点击阅读原文查看“重点法规解读”）

来源：财政部

3.国家卫健委：强化医疗健康数据保护

国家卫生健康委规划司司长毛群安在新闻发布会上强调，全国医疗机构信息互通共享三年攻坚行动除了做好服务之外，还应把重点的精力放在如何进一步强化网络和数据安全上，强化医疗健康数据保护“防泄露”，要求各级卫生健康行政部门要建立完善的符合医疗健康信息互通共享场景的网络与信息安全相关管理制度。医疗机构要加强数据安全管理，依法依规对数据的产生、传输、存储、使用、共享、销毁等实行全生命周期安全管理，提高数据安全防护能力和个人隐私的保护力度。运用加密二维码技术，通过授权访问机制，来保护患者隐私，加强医疗健康数据管理“防滥用”。

来源：国家卫生健康委员会

4.国家发改委价格监测中心配合价格司开展公共数据定价研究工作

为贯彻落实《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》精神，国家发展改革委价格司会同国家数据局筹备三组召开座谈会，听取相关方面对加快建立健全符合公共数据要素特性的价格形成机制，推动用于数字化发展的公共数据按政府指导定价有偿使用等问题的意见。下一步，国家发展改革委、国家数据局将会同有关方面，加快研究建立公共数据价格形成机制和有关制度规定，促进公共数据合规高效流通使用。

来源：国家发展和改革委员会

5.市场监管总局就《网络交易执法协查暂行办法（征求意见稿）》公开征求意见

该办法共19条，其中提出，市场监督管理部门可以根据法律法规规定，要求平台经营者提供平台内经营者身份信息、商品或者服务信息、支付记录、物流快递、退换货以及售后等交易信息及相关标准化字段。市场监督管理部门因案件办理需要，确需平台提供标准化字段以外特殊信息的，平台经营者应当提供。（详情请点击阅读原文查看“重点法规解读”）

来源：国家市场监督管理总局

6.公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》征求意见

征求意见稿共19条，主要包括惩戒原则、惩戒对象、惩戒措施、分级惩戒、惩戒程序、申诉核查6个方面内容，遵循依法认定、过惩相当、动态管理原则，明确个人和单位纳入惩戒对象的范围，规定金融、电信网络、信用惩戒的具体措施，根据惩戒对象违法行为分级适用惩戒，规范审核认定、惩戒期限和告知等程序，明确申诉、受理、核查、反馈和解除的程序和时限。（详情请点击阅读原文查看“重点法规解读”）

来源：公安部

7.工信部等四部委关于开展智能网联汽车准入和上路通行试点工作的通知

《通知》明确，通过开展试点工作，引导智能网联汽车生产企业和使用主体加强能力建设，在保障安全的前提下，促进智能网联汽车产品的功能、性能提升和产业生态的迭代优化，推动智能网联汽车产业高质量发展。基于试点实证积累管理经验，支撑相关法律法规、技术标准制修订，加快健全完善智能网联汽车生产准入管理和道路交通安全管理体系。

来源：中国新闻网

8.工信部办公厅就组织开展2023年工业互联网试点示范项目申报工作发布通知

《通知》指出，将围绕新技术类、工厂类、载体类、园区类、网络类、平台类、安全类7大类27个具体方向，遴选一批工业互联网试点示范项目，试点示范期为2年。通知称，优先支持符合以下一项或多项条件的工业互联网项目：一是在国家新型工业化产业示范基地、工业稳增长和转型升级成效明显市（州）中的项目；二是完成工业互联网创新发展工程验收的项目；三是革命老区的项目；四是在绿色低碳、安全生产、国际合作、军民融合等方面有显著成效的项目。

来源：工业和信息化部

9.工信部办公厅印发《“5G+工业互联网”融合应用先导区试点工作规则（暂行）》以及其试点建设指南

《工作规则》包括总则、试点要求、申报程序、评审程序、批复程序、跟踪评价程序、附则等七章20条内容，旨在深入实施工业互联网创新发展战略，加强“5G+工业互联网”融合应用先导区试点管理工作，发挥先导区试点引领带动效应，促进“5G+工业互联网”规模化发展。《建设指南》提出，鼓励各地以城市（地级及以上城市）为单位开展先导区试点建设，为开展先导区试点建设提供了发展政策先导、基础设施先导、行业应用先导、产业生态先导、公共服务先导等5方面16条参考内容。

来源：工业和信息化部

10.信安标委就《网络安全标准实践指南——网络安全产品互联互通资产信息格式（征求意见稿）》公开征求意见

该实践指南规范了网络安全产品互联互通资产信息的描述格式，适用于网络安全产品互联互通的设计、开发、应用和测试。

来源：全国信息安全标准化技术委员会

11.《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见

该标准适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动，规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求。所谓大湾区内个人信息处理者，是指注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内的个人信息处理者，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，以及香港特别行政区的个人信息处理者。（详情请点击阅读原文查看“重点法规解读”）

来源：全国信息安全标准化技术委员会 

12.北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程（试行）》

该规程在《个人信息保护法》《数据安全法》《北京市数字经济促进条例》《北京市数字经济全产业链开放发展行动方案》等法规政策框架下，体系性地明晰了数据清洗、去标识化、匿名化处理的技术特点、相互关系和落地方式，总结了各项处理活动的目的、流程、技术方法及环境要求，可适用于广义的数据范畴，包括但不限于个人数据、企业数据、物联网数据等，以期为企业等主体开展相关数据处理活动和相应测试评估提供参考，支撑数据共享、交易、开放等流通活动合规、有序进行。（详情请点击阅读原文查看“重点法规解读”）

来源：北京经济和信息化局

13.北京市经信局等鼓励企业开展数据交易及数据资产入表活动，将给予补贴

北京市经济和信息化局和北京市财政局联合发布《2023年北京市高精尖产业发展资金实施指南（第三批）》。本批次将重点对机器人未定型创新产品首试首用、重点共享开源平台、数据要素市场示范进行奖励。鼓励企业开展数据资产入表活动，对于数据资产首次实现入表且入表金额大于100万元的，可以对企业为实现数据资产入表所发生的数据质量评价、数据资产评估和第三方审计等服务费用予以30%的补贴，同一企业数据资产入表补贴最高不超过50万元。

来源：北京市经济和信息化局

14.十大政策先行先试北京数据基础制度先行区启动运行

11月10日，北京数据基础制度先行区正式启动。在启动仪式上，北京市经济和信息化局发布了《北京数据基础制度先行区政策清单》，政策清单聚焦数据先行区范围内的市场主体，率先享受数据价值合规实现、数据供需高效匹配等政策红利及相关公共服务；探索将先行区入驻的市属国有企业数据资产纳入国有资产保值增值机制的模式；支持中央企业、互联网平台企业等，在数据先行区成立数据集团、数据公司或数据研究院；出台数据匿名化、去标识化技术处理规程，在人工智能大模型训练、科学研究、临床医疗和新药研发以及公共服务领域数据产品研发中率先实践“避风港”原则；对于开展数据资产首登记、首交易、首入表、首开放等活动，将利用高精尖资金给予政策支持。

来源：北京日报、新京报

15.《杭州市数字贸易促进条例（草案）》发布，全球首部数字贸易领域地方性法规提交审议

11月6日，《杭州市数字贸易促进条例（草案）》提交杭州市十四届人大常委会第十四次会议审议。该草案分为7章42条，结合杭州数字贸易发展实际，围绕数字贸易基础制度、业态模式、主体培育、数字营商环境、开放与合作、保障措施等方面作了规定。

来源：杭州人大发布

16.广东省出台22条措施：加快推进“数字湾区”建设，探索数据跨境双向流通机制

重点提出22条政策举措，力争在算力、算法、数据、产业、生态等方面取得重大突破，探索打造“粤港澳大湾区数据特区”，建立湾区内数据流通规则体系和运营机制。

来源：广东省新闻办

17.广东省办公厅印发《“数字湾区”建设三年行动方案》

提出“数字湾区”建设目标，即“六通一融”。通过“数字湾区”建设，牵引带动大湾区全面数字化发展，《方案》提出推动数据要素合规高效、安全有序流通；建设互通的数据要素网络；建设数据要素统一大市场；打造数字化人才聚集高地；推动大湾区要素市场化等5项内容，并提出探索建设“港澳数据特区”。

来源：广东省人民政府

18.上海仲裁委员会发布《上海仲裁委员会数据仲裁指引》

该指引针对特定适用范围内的仲裁案件作出了仲裁文件送达、数据交易所/服务商在调查取证等方面的程序性特别规定。《仲裁指引》的适用范围为“数据资源、数据资产、数据产品等标的在生成、采集、加工、存储、交易、评估等过程中产生的合同或其他财产类纠纷案件”。

来源：上海仲裁委员会

19.浙江首个数据知识产权所有权转让项目落地

近日，来自浙江云匠数字建造技术研究院有限公司的“智慧工地环境管理分析数据”项目，通过浙江知识产权交易中心挂牌交易完成了所有权转让。这也是浙江首个数据知识产权所有权转让项目。该项目以28.8万元的成交价格出让给桐乡市振兴城建档案服务有限公司，实现了数据知识产权的应用和流通，为企业带来了实实在在的经济利益。

来源：数据要素社

20.贵州省大数据局印发《贵州省数据要素登记服务管理办法（试行）》

其中明确，本办法所称数据要素登记，是指登记服务机构将数据要素内容和其他法定事项记录于登记凭证的行为。

本办法所称数据要素，是指数据资源、算法模型、算力资源以及综合形成的产品等。省人民政府数据主管部门负责数据要素登记服务管理工作，指导登记服务机构制定实施相关标准，推动数据要素登记服务活动有序开展。鼓励有条件的市州数据管理部门申请数据要素登记OID子节点，组织本行政区域内的登记主体开展数据要素登记活动。

来源：贵州省大数据局

21.广西壮族自治区人民政府办公厅印发《广西数据要素市场化发展管理暂行办法》

其中提出，自治区按照国家规定设立数据交易场所，建立和完善数据流通交易规则，政务部门、财政资金保障运行的公共服务组织应当通过依法设立的数据交易场所开展数据交易。

鼓励数据处理者在依法设立的数据交易场所开展数据交易，培育壮大场内交易。支持数据处理者依法依规开展场外数据流通交易活动，建立健全场外交易规则，规范场外交易管理。

来源：广西壮族自治区人民政府

22.《公共数据授权运营平台技术要求》团体标准正式发布

本标准由中国电子商会归口管理，近60家单位共同研制，于2023年12月10日起正式实施。本标准定义了公共数据授权运营平台参考架构，围绕数据登记、授权、流通全流程，从功能、性能、运维、安全和互联互通等5个方面明确了平台相关技术要求。本标准的发布推出，对规范公共数据授权运营平台建设、激发公共数据要素价值、促进数字经济健康发展具有一定积极作用。

来源：国家工业信息安全发展研究中心

23.中国互联网金融协会正式发布《金融数据资产管理指南》等9项团体标准

本次发布的9项标准的主题聚焦金融数据治理、数字化转型、数字征信，以及金融科技应用和自律管理等领域，标准规划设计的主要依据为《金融标准化“十四五”发展规划》《金融科技发展规划（2022-2025年）》和金融管理部门发布的相关政策规定和监管要求。

来源：中国互联网金融协会

1.国家安全部依法查处非法采集和跨境传输气象数据行为

中国国家安全部在微信公众平台上发文称，今年以来，国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理，调查境外气象设备代理商10余家，检查涉外气象站点3000余个，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份，对我国家安全造成风险隐患。

文章称，气象数据作为基础数据，常见的种类有日常观测数据、卫星数据、雷达资料等，是信息安全和资源安全的构成元素，与军事安全、粮食安全、生态安全、气候变化、公共利益密切相关，非法采集和跨境传输气象数据的行为危害我国家主权、安全、发展利益，已违反《涉外气象探测和资料管理办法》《数据安全法》等相关规定。国家安全机关联合气象、保密部门，依法对相关非法活动进行查处，及时阻断气象数据出境的违法行为。

来源：环球网

2.公安部：今年第三季度共办理网络和数据安全行政执法案件1.4万起

其中，网络运营者不履行网络安全保护义务的案件占86%。公安机关是网络安全监管的重要职能部门，负责指导、监督网络运营者落实法定义务，落实防范黑客攻击入侵和窃取数据的安全管理制度和技术措施。当前，黑客犯罪的重点目标是重要信息系统，公安机关主要开展了四个方面的常态化工作：一是开展执法监督检查；二是加大网络和数据安全行政执法力度；三是开展一案双查；四是加强警示教育。

来源：中国新闻网

3.工信部就《工业和信息化领域数据安全行政处罚裁量指引（试行）》公开征求意见

对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定，细化了《数据安全法》与《工业和信息化领域数据安全管理办法（试行）》监管框架下的相应合规要求，并明确列举了相应违法事由的处罚裁量基准和裁量尺度，为受监管企业与个人提供了工业和信息化领域数据安全合规指引，增加了工信部门执法活动的可预测性。（详情请点击阅读原文查看“重点法规解读”）

来源：工业和信息化部

4.国家网信办开展“清朗·网络戾气整治”专项行动

专项行动为期1个月，围绕社交、短视频、直播等重点平台类型，聚焦网络戾气容易滋生的重点环节版块，从严打击恶意攻击谩骂、挑起群体对立、宣泄极端情绪等突出问题，坚决惩治一批违规账号、群组和网站平台，有力遏制网络戾气传播扩散。

来源：人民网

5.北京市监局开展优化平台协议规则专项行动

专项行动统筹发展与安全，聚焦平台协议规则中存在的突出问题，形成“一查、二补、三评、四改”工作机制。以经营规模较大、与消费者日常生活密切相关的平台企业为重点，督促指导平台企业对自身协议规则进行全面自查。针对部分平台协议规则关键条款缺失的现象，围绕平台内经营者权益保护、消费者权益保护等重点方面，指导平台企业补充完善协议规则。充分发挥各地合同监管专家评审委员会作用，组织业务骨干及法律专家，对平台协议规则进行集中评审，制作问题清单，及时反馈平台企业。推动平台企业结合问题清单，对协议规则进行修改优化，切实保护消费者、平台内经营者等各方合法权益。

来源：国家市场监督管理总局

6.微信、微博、快手、抖音接连发布关于近期引导头部“自媒体”账号进行前台实名展示的公告

7月10日，网信中国微信公众号发布《关于加强“自媒体”管理的通知》。其中要求，强化“自媒体”的资质认证展示。对从事金融、教育、医疗卫生、司法等领域信息内容生产的“自媒体”，网站平台应当进行严格核验，并在账号主页展示其服务资质、职业资格、专业背景等认证材料名称，加注所属领域标签。对未认证资质或资质认证已过期的“自媒体”，网站平台应当暂停提供相应领域信息发布服务。

来源：江苏新闻

7.广东高院、北京互联网法院发布个人信息保护典型案例

据了解，围绕APP非法收集和泄露个人信息、公开个人信息处理、死者个人信息保护、个人信息查阅复制权行使等问题，此次通报会一共通报了8起个人信息保护典型案例，并对案件裁判规则和典型意义进行了介绍。

来源：澎湃新闻

8.杭州互联网法院十大典型司法建议 

涉及个人信息保护、算法模型优化升级、人工智能换脸、网上销售食品、酒水资质审查、产品售后服务、平台内自治规则统一、网络著作权保护、跨境电子商务等领域。被建议单位均及时反馈整改，并在行业内形成示范带动效应，起到了持续优化网络消费环境，从源头上强化对消费者权益保护力度；依法支持、引导平台规范开展自治，从源头上促进平台经济持续健康发展；从源头上遏制网络侵权行为及电信诈骗犯罪，营造健康清朗网络环境的重要成效。

来源：杭州互联网法院

9.北京高院发布《侵犯公民个人信息犯罪审判白皮书》

包括侵犯公民个人信息犯罪审理情况、基本特点、犯罪成因分析、治理对策建议、典型案例五个部分。涉案公民个人信息类型中有关人身、财产安全的信息占比突出，手机号码、身份证件占比最大，且个人信息数量日渐庞大，犯罪手段越发隐蔽，与其他犯罪具有较强的关联性。北京高院建议强化个人信息处理单位的保管与保障责任，加强行业协会、行政机关的监管责任，完善个人信息被侵害后的追责与赔偿机制，架构起分级分类的保护体系，建立覆盖民事、行政、刑事打击的一体化保护制度。

来源：京法网事微信公众号

10.上海市通信管理局公布2023年上海市电信和互联网行业首席数据官备案结果（第一批）

2023年10月30日，根据《上海市通信管理局关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知》相关部署，按照《上海市电信和互联网行业首席数据官制度建设指南（试行）》有关标准，经企业报送、材料初审和专家评审等环节，市通信管理局通过了首批57家电信和互联网企业的首席数据官备案材料。

来源：网信上海微信公众号

11.北京市市场监督管理局开展优化平台协议规则专项行动

针对平台企业服务协议和交易规则中群众反映强烈的问题，督促企业自查、补充、完善协议规则，有效规范协议规则不公平、不合理问题，现已指导平台企业累计修改优化协议规则135个。目前，首都平台企业已经实现多项协议规则的优化。比如，在系统消息推送、商业信息接收方面进行优化，增加撤回接受商业信息同意的路径，通过协议内容明确用户可自主决定是否接受该类商业信息；在投屏播放和运营商免流服务上，优化收集用户个人信息的相关条款，去除不必要采集的信息并告知用户；优化隐私协议，精简内容，便于用户理解和阅读；修改服务付费权益条款，明确协议中关于退费情况的说明，增加可以支持用户退费的场景等。

来源：北京市市场监督管理局

12.“内鬼”盗卖数据，某大药房被罚！

浙江温州网安部门发现，某大药房数据分析师利用工作便利将大量交易数据导出并售卖。进一步侦查发现，该大药房因未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施保障数据安全，最终导致大量敏感数据泄露。温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定，对该公司处罚款110万元，对该大药房直接负责的主管人员处罚款10万元。

来源：浙江网警微信公众号

13.中国某跨境电商暴露数百万用户隐私数据，部分含身份证照片

据外媒TechCrunch报道称，云安全公司CloudDefense.ai的安全研究员发现，由于一家中国电商店铺的数据库暴露在互联网上，数百万中国公民的隐私数据遭到泄露，这些数据包括了客户送货地址、电话号码、身份证号码及身份证照片等。云安全公司的安全研究员Viktor Markopoulos表示，该数据库包含了2015年至2020年之间超过330万订单，但没有受到密码保护。

来源：搜狐网

1.联合国教科文组织公布社交媒体平台监管行动计划，治理虚假信息和仇恨言论

为遏制虚假信息和仇恨言论在网上蔓延，联合国教科文组织公布了一项经世界各国广泛磋商而制定的行动计划，同时发布的全球民意调查结果则凸显出采取这一行动的紧迫性。这份行动计划经过全球广泛协商，提出的基本原则包括：在全球广泛设立职责明确且有足够资源履行其使命的独立公共监管机构；独立监管机构密切协作，以防各国监管差异被某些企业利用；在所有地区和所有语言中，一定规模的内容审核应可行且有效；平台的算法应公开透明且负责任，避免过度注重吸引力而损害可信度；监管机构和平台应在选举、危机等敏感时期强化其措施等。（详情请关注下文中“重点法规解读”）

来源：新华社

2.中美欧等二十八个国家和地区联合签署《布莱切利宣言》

11月1日，首届人工智能安全峰会于英国布莱切利公园开幕，包括中国在内的参会国共同签署了《布莱切利宣言》，该宣言是全球第一份针对人工智能的国际性声明，旨在确保人工智能技术的安全开发和使用。《布莱切利宣言》提出，解决前沿人工智能风险的工作重点将在于识别共同关注的人工智能安全风险，制定基于风险的政策，并酌情开展合作，支持建立一个具有国际包容性的前沿人工智能安全科学研究网络。

来源：澎湃新闻

3.国际：EDPS和ICO签署谅解备忘录

11月8日，英国信息专员办公室（ICO）和欧洲数据保护监管局（EDPS）签署谅解备忘录，旨在加强国际合作以巩固两个组织的共有的维护个人数据保护与隐私权利的使命。谅解备忘录规定了双方将如何继续分享经验和最佳实践；就受共同关注的项目开展合作；分享信息或情报以支持其监管工作以及促进数据保护机构和其他数字监管机构之间的对话。

来源： 英国信息专员办公室

4.美国总统拜登发布《关于安全、稳定和可信的人工智能行政令》

10月30日，美国总统拜登发布了《关于安全、稳定和可信的人工智能行政令》，以确保美国在把握人工智能（AI）的前景和管理其风险方面处于领先地位。该行政命令规定了人工智能安全和有保障的新标准，保护美国人隐私，促进公平和公民权利，维护消费者和劳动者的利益，促进创新和竞争等内容。（详情请关注下文中“重点法规解读”）

来源：美国驻华大使馆

5.美国放弃在WTO的跨境数据自由流动主张

10月25日，在世界贸易组织电子商务联合声明倡议会议期间，美国贸易代表凯瑟琳-戴办公室声明，美国在世界贸易组织谈判中放弃该国长期以来坚持的部分数字贸易主张，其中包括关于跨境数据自由流动的要求，以规制大型科技公司。同时，美国亦将撤回在2019年主张的禁止数据本地化要求以及审核源代码的要求。

来源：路透社

6.美国国土安全部发布人工智能路线图

2023年11月14日，美国国土安全部（DHS）下属网络安全和基础设施安全局（CISA）发布第一版人工智能路线图，旨在保障人工智能安全开发和落地实施。美国国土安全部在确保美国人工智能安全和安保方面发挥着至关重要的作用。该路线图概述了五个战略工作重点：一是负责任地使用人工智能支持CISA的工作。CISA将使用人工智能软件来加强网络防御，支持关键基础设施运行；二是评估和保证人工智能系统安全。CISA将评估并协助不同利益相关者使用安全的人工智能软件，并制定安全、弹性的人工智能技术开发与使用指南提供相关指导；三是保护关键基础设施免遭人工智能的恶意使用；四是与机构、国际合作伙伴和公众就关键人工智能技术进行沟通和协作；五是扩大员工队伍的人工智能专业知识。此外，CISA将致力于利用人工智能的潜力来改善美国网络防御。

来源：美国国土安全部

7.美国Build Back Better（BBB）国家计划发布元宇宙中针对儿童的定向广告和隐私防护报告

该报告特别强调了公司开发针对儿童的虚拟体验、负责任地与儿童在线互动以及遵守现有广告和隐私立法的建议。关于现行指南，该报告概述了它与联邦贸易委员会 (FTC) 报告“保护儿童免受儿童媒体隐形广告的影响”中包含的指南一致。更具体而言，该报告的最佳实践包括：透明度和可识别广告；了解内容何时是广告、何时不是；了解何时、如何以及多久披露广告，包括影响者和认可；根据1998年《儿童在线隐私保护法》（COPPA）保护儿童隐私；了解每个广告平台的隐私政策；和对州级和国际隐私法规的认识。

来源：DataGuidance

8.美国司法部隐私与公民自由办公室宣布指定数据保护审查法庭（DPRC）的首批法官

数据保护审查法院是根据《关于加强美国信号情报活动保障措施的行政令》第3条设立的，该条授权总检察长（AG）颁布条例，设立数据保护审查法院，作为行政令规定的补救机制。具体地，国家情报局局长办公室公民自由保护官（“ODNI CLPO”）对个人通过适当的公共当局发出的合格投诉（指控美国在开展信号情报活动时违反了法律要求）作出裁定，DPRC将对ODNI CLPO作出的这些裁定进行独立审查。

来源：DataGuidance

9.欧洲理事会通过《数据法案》

《数据法案》介绍了一系列有关共享、访问及再使用数据的规定，并同时对数据共享协议，公共紧急状态下的数据访问，云服务商的可切换义务及数据可携带权作出了相关规定。《数据法案》的立法目的是促进服务提供者之间的数据共享，并鼓励创新，着重强调数据价值分配的公平性。（详情请关注下文中“重点法规解读”）

来源：欧洲理事会

10.EDPB通过关于澄清《电子隐私指令》适用技术范围的指南草案

要求企业在向终端用户设备上存储信息或获取已存储的信息（无论是否包含个人数据）时获取事前同意，除非满足法定例外情形。在《指南》中，EDPB讨论了《电子隐私指令》第5(3)条对不同技术方案所对应信息的适用性，旨在明确哪些信息属于《电子隐私指令》的适用范围。（详情请关注下文中“重点法规解读”）

来源：EDPB

11.欧盟法院：数据主体有权对国家监管机构关于个人数据处理的决定提出上诉

11月16日，欧盟法院裁定，在向数据主体通报核查结果时，监管机构通过的具有法律约束力的决定必须接受司法审查，以便数据主体能够对监管机构就数据处理的合法性所作的评估以及是否采取纠正措施的决定提出质疑，并决定是否向有管辖权的法院提起诉讼。在出于公共利益目的的情况下，向数据主体披露的信息可以仅限于最低限度，但必须确保具有管辖权的法院为了检查限制信息的理由是否充分，可以权衡所追求的公共利益目的和保障公民遵守其诉讼权利的必要性。

来源：欧盟法院

12.欧洲与非洲、加勒比和太平洋国家组织签署新的合作协议，涉及数据保护和AI合作

11月15日，欧盟委员会宣布，欧盟成员国与非洲、加勒比和太平洋国家组织(OACPS)79个成员国签署了《萨摩亚协定》，涵盖可持续发展与增长、人权、和平与安全等议题。在数据保护方面，《萨摩亚协定》规定签署方应制定适当的法律和监管制度和政策，以及实施这些制度和政策的相应行政能力（包括独立的监管机构）。此外，根据《萨摩亚协定》，双方应合作推动促进数据流动的措施，并应解决技术对社会的潜在影响，解决与网络安全相关的问题，并考虑包括人工智能和机器人技术在内的颠覆性技术的影响。《萨摩亚协定》作为继2000年签署的《科托努协议》之后未来20年欧盟与OACPS的总体法律框架，将于2024年1月1日起暂时适用，并经欧洲议会同意和各缔约方即所有欧盟成员国和至少三分之二的OACPS成员批准后正式生效。

来源：欧盟理事会

13.ICO就医疗与社会保障领域透明度指南征求意见

该指南指出，透明度是2018年《数据保护法》和英国GDPR的一项关键原则。由于在卫生和社会保健方面正在开发利用大量个人信息的新技术，以支持直接保健和二级保健目的（如规划和研究）。因此相关机构必须确保人们知道他们的信息将如何被使用，从而就如何行使其信息权利做出明智的选择，这也有助于提高信任水平。该指南针对的是参与向公众提供透明度信息的卫生和社会保健领域的任何组织，要求组织的透明度措施必须与数据处理活动和数据保护对病人、服务使用者、公众的风险相称，同时说明了组织必须、应该和可以做些什么来遵守法律和良好做法，并提供了有关一般透明度要求的更多细节。

来源：英国ICO

14.英国科学、创新和技术部公布《2023年数据保护（基本权利和自由）（修正案）条例》

该条例将修订英国数据保护立法中有关“基本权利和自由”的定义，使其指的是英国法律承认的权利，而不再是保留的欧盟法律权利。修订后将由《欧洲人权公约》下的权利取代原有欧盟的定义，这些权利和自由已根据1998年《人权法》载入英国的国内法律。这一修订将为受数据保护立法约束的组织提供确定性，并将建立一套明确的基本权利和自由以供参考。

来源：英国政府

15.西班牙数据保护局发布关于使用生物识别数据进行呈现和访问控制的指南

该指南指出，生物识别数据的处理，无论是用于身份识别还是身份验证，都是高风险的。因此，根据GDPR的规定，处理这些类别的数据时，必须具有第9（2）条明确的特定的合法性基础，并遵循额外的合规要求。该指南规定了将生物识别技术用于工作和非工作目的的访问控制的标准，确定了应考虑的措施，以便使用该技术的个人数据处理符合GDPR等法规。在员工工时登记和出入控制等与就业相关的活动中，指南强调必须获得专门允许使用生物识别数据的法律授权。指南规定，在开始处理生物识别数据之前，必须进行数据保护影响评估（DPIA），该评估应核实处理是否符合适当性、必要性和相称性三重标准。此外，AEPD还规定了在符合GDPR原则时应采取的一系列措施。

来源：西班牙数据保护局（AEPD）

16.韩国个人信息保护委员会宣布即将对《个人信息保护法执行令》进行修订

韩国个人信息保护委员会（PIPC）声明，将从2023年11月23日至2024年1月2日推出对PIPA执行令的修订，本次将涉及多个领域，包括：建立数据主体对自动决策行使权利的程序；个人信息保护官员的指定和资格；建立评估公共部门个人信息水平的标准和程序；以及改变受保障损害赔偿义务约束或免除该义务的个人范围等内容。根据PIPC的解释，对PIPA执行令的修订计划于2024年3月15日生效。

来源：DataGuidance

17.新加坡金融管理局制定生成式人工智能风险框架，涵盖七大方面

七个风险维度包括：（a）问责和治理；（b）监测和稳定；（c）透明度和可解释性；（d）公平和偏见；（e）法律和监管；（f）道德和影响；以及（g）网络和数据安全。该项目还开发了一个GenAI参考体系结构，提供了组织可用于创建强大的企业级GenAI技术能力的构件和组件清单。在下一阶段，MindForge将扩大其范围，使保险和资产管理行业的金融机构参与进来。详细介绍风险框架的白皮书将于2024年1月发布。

来源：新加坡金融管理局

18.芬兰数据保护机构发布关于数据泄露通知义务的指南

芬兰数据保护监察员办公室提醒数据控制者在个人数据泄露时，必须评估数据主体个人数据泄露的严重程度，这些针对组织的指示涉及评估对数据主体影响的严重程度、通知数据主体、补充通知和遵守的最后期限。

来源：芬兰数据保护监察员办公室

19.泰国个人数据保护委员会发布数据传输条例草案并向公众征求意见

《2019年个人数据保护法》（PDPA）第28条涉及将个人数据传输到被认为具有适当数据保护标准的目的地国家或国际组织，草案明确该适当性原则上将根据某些因素来确定，包括目的地国家或国际组织是否存在不低于泰国规定的法律措施或机制。关于第29条的数据传输条例草案则规定，如果个人数据发送者或传输者和个人数据接收者在同一附属企业或同一企业集团中制定了个人数据保护政策（政策），并经PDPC审查和认证，那么位于泰国的数据控制者或数据处理者可以将个人数据发送或传输给位于外国的个人数据接收者。PDPC应评估其个人数据保护政策的内容和实质。此外，草案规定，在将个人数据传输给那些尚不具备“适当性认定”的目的地国家或国际组织前提下，数据控制者或数据处理者可以在执行相应的保障措施的条件后完成传输活动。

来源：DataGuidance

1.欧洲数据保护委员会宣布紧急约束性决定，将Meta的行为营销禁令扩大到整个欧盟/欧洲经济区

10月31日，欧洲数据保护委员会（EDPB）在其第86次全体会议上决定，将禁止爱尔兰Meta平台有限公司（MetaIE）在其Facebook和Instagram平台上以行为营销为目的处理个人数据的范围扩大到整个欧盟/欧洲经济区。EDPB表示，合同不是Meta为行为广告处理个人数据的合适法律依据，并指示爱尔兰（IE）数据保护委员会（DPC）作为Meta的主要监管机构（LSA），在两周内采取最终措施，并指出禁令将在通知Meta一周后生效。

来源：EDPB

2.美国纽约州金融服务署修订网络安全法规以加强基于风险的控制

新规中，纽约州金融服务署（NYDFS）采用基于风险的方法，以加强将网络安全纳入受监管实体的业务规划、决策和持续风险管理的能力。条例中的主要变化包括：加强管治要求；防止初次未经授权进入信息系统以及防止或减轻攻击蔓延的其他控制措施；需要更经常的风险和脆弱性评估，以及更强大的事件响应、业务连续性和灾后恢复规划；更新通知要求，包括报告勒索软件付款的新要求；更新公司投资于年度培训和网络安全意识项目的方向，以预防社会工程攻击，以及在其他方面与其业务模式和人员相关的内容。

来源：纽约州官网

3.英国信息专员办公室警告各大网站规范个性化广告跟踪（Cookie）政策

通知指出，一些网站没有给用户公平的选择权，允许其决定是否接受个性化广告的跟踪。ICO此前已经发布了明确的指导意见，要求各组织必须让用户像“接受所有”一样方便地“拒绝所有”广告Cookie。当用户拒绝所有跟踪时，网站仍可显示广告，但不得根据浏览者的情况定制广告。ICO声明已经致函经营英国访问量最大的许多网站的公司，并给他们30天时间确保其网站符合法律规定。

来源：英国ICO

4.泰国：MDES宣布采取措施解决个人数据泄露、交易和高风险网络系统问题

2023年11月21日，泰国数字经济和社会部（MDES）的Prasert部长透露，有1,158个机构的数据被泄露，其中21个机构的网络系统存在高风险。为此，MDES制定了6项措施加急解决这一问题，分为紧急30天期限、6个月期限、12个月期限。其中包括其将与特别调查部一起，通过起诉和逮捕罪犯，加快阻止非法交易个人信息的工作。MDES还鼓励使用可靠的政府中央云系统，以防止和减少个人信息泄露。

来源：泰国数字经济和社会部

5.澳大利亚信息专员办公室（OAIC）因数据泄露对澳大利亚临床实验室（ACL）提起民事处罚诉讼

澳大利亚信息专员声称，从2021年5月到2022年9月，ACL未能采取合理措施来保护他们的个人信息免遭未经授权地访问或披露，从而违反了1988年《隐私法》，严重干扰了数百万澳大利亚人的隐私。

来源：澳大利亚信息专员办公室（OAIC）

6.澳大利亚电信巨头奥普图斯通信故障导致客户无法使用支付系统

11月8日凌晨，澳大利亚第二大移动运营商奥普图斯通信公司的通信网络遭遇故障，数以百万计用户无法打电话和上网，相关联的银行支付系统崩溃，部分医院和急救服务也受到影响。故障原因眼下尚未查明，但基本排除网络攻击的可能。据澳大利亚广播公司报道，受影响的不仅包括约1000万个人用户，还有约40万个企业用户以及部分政府机构。

来源：新华社

7.年内5次服务宕机，新加坡星展银行被暂停非必要业务6个月

11月1日，新加坡金融管理局（MAS）发布一则声明，暂停星展银行的非必要活动6个月，以确保该行专注于恢复其数字银行服务的弹性。在此期间，星展银行将不得收购新的企业，也不得缩减其在新加坡的分行和自动提款机（ATM）网络的规模。新加坡金管局之所以会做出这一决定，是因今年星展银行的服务出现多次长期中断，分别出现在2023年3月29日、5月5日、9月26日、10月14日和20日。

来源：第一财经

8.法国：CNIL宣布10项执法决定，总额为97,000欧元

2023年11月7日，法国数据保护机构（CNIL）宣布，作为2022年实施的简化制裁程序的一部分，已实施10项执法决定。CNIL强调，简化的执行程序涉及不存在特殊困难的处理活动，最高可处以20,000欧元的罚款。CNIL指出，其对公共和私人行为者的违规行为进行了总计97,000欧元的处罚，其中包括：未能回应CNIL的要求；未能提供有关所实施的处理活动及其目的的信息；未能尊重个人权利并回应请求。

来源：DataGuidance

9.工行美国子公司遭勒索软件攻击，致部分系统中断

工商银行在美全资子公司工银金融服务有限责任公司（ICBCFS）在官网发表声明称，美东时间11月8日，ICBCFS遭受了勒索软件攻击，导致部分系统中断。声明称，ICBCFS发现攻击后很快中断并隔离受影响的系统。ICBCFS已经展开彻底的调查，并在信息安全专家团队支持下推进恢复工作。ICBCFS表示，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。工商银行及其他国内外附属机构的系统未受此次事件影响，工商银行纽约分行也未受影响。

来源：第一财经

10.瑞典：IMY因数据安全失败对Indecap处以500,000瑞典克朗的罚款

2023年11月8日，瑞典隐私保护机构（IMY）发布了其决定书DI-2021-3422，该决定书对违反《通用数据保护条例》（GDPR）的行为进行了处罚，罚款为瑞典克朗500,000元（约合45,980美元），原因是接到了客户投诉，称在2021年1月20日，Indecap发送了一封包含错误信息的电子邮件，其中包含其他客户的个人财务数据。在其调查后，IMY称，错误的文件包含了52,364名注册用户的个人数据，并发送给了2,813人。IMY认定，由于对数据主体的自由和权利构成的高风险，包括对值得保护的信息的保密性的丧失，Indecap违反了GDPR的第32（1）条。

来源：DataGuidance

11.瑞典：委员会要求YouTube、TikTok必须在11月30日之前详细说明儿童保护措施

11月10日消息，欧盟委员会已根据《数字服务法（DSA）》正式向TikTok和YouTube发出信息请求。委员会要求各公司提供更多信息，说明为履行DSA规定的保护未成年人相关义务而采取的措施，包括与保护在线未成年人的风险评估和缓解措施相关的义务，特别是在以下方面：心理健康和身体健康的风险，以及未成年人使用其服务的风险。TikTok和YouTube必须在2023年11月30日之前向委员会提供所要求的信息。委员会将根据对答复的评估来评估后续步骤，可能需要根据DSA第66条正式启动程序。

来源：IT之家

12.TikTok和Meta因“数字看门人”规则对欧盟委员会提出上诉

11月17日，TikTok和Meta针对欧盟将其列为“数字看门人”（Gatekeeper）的决定提起上诉。TikTok在诉讼中指出，欧盟将其指定为“数字看门人”的做法并不严谨，同时还将阻碍其未来发展。根据欧盟规定，“数字看门人”需满足市值至少为750亿欧元或年营业额75亿欧元，每月活跃用户超过4500万。但是TikTok指出，其并未达到这一门槛，欧盟是基于其母公司抖音集团的市值评估的，而TikTok的全球收入也更多来自欧洲以外市场。此外，TikTok还认为，欧盟委员会在将其指定为看门人前并未进行市场调查。

来源：电商报

13.TikTok同意越南政府对该平台实施新的儿童隐私限制，包括删除13岁以下用户的账户和视频

信息通信部广播电视和电子信息司司长Le Quang Tu Do表示，在与TikTok越南讨论全面检查后，在越南直接管理和运营TikTok服务的TikTok Singapore代表与越南当局举行了工作会议。会后，TikTok新加坡发出书面承诺，将落实当局的要求，特别是保护TikTok环境中儿童的承诺。TikTok新加坡代表承诺遵守越南当局的要求，包括保护TikTok平台上儿童的解决方案。根据承诺，这家社交视频公司将为18岁以下的用户开启一小时的时间限制，以减少青少年在该服务上花费的时间。此外，TikTok将禁止13岁以下儿童的账户。

来源：西贡解放日报

14.Meta被美国42州指控社交媒体功能危害儿童和青少年

11月27日消息，纽约州检察长Letitia James及32位州检察长向联邦法院提起诉讼，控告Meta利用年轻用户心理弱点来设计其社交媒体产品，危害年轻人的心理健康，并以此牟利。与此同时，另有9名检察长在各自的州提起诉讼，至少有42个州对Meta采取了行动。Meta一份2020年的内部PPT显示，“当涉及‘感觉良好’的多巴胺效应时，青少年是永远不会满足的”。PPT指出，该公司的现有产品已经非常适合提供能够触发这种强效神经递质的刺激。“每当我们的青少年用户发现一些意想不到的东西时，他们的大脑就会分泌出多巴胺。”诉讼者认为，Meta曾试图利用年轻用户“容易冲动、受到同伴压力和出现潜在有害危险行为”的心理特点来设计其社交媒体产品。

来源：IT之家

15.三星英国被曝光客户信息遭黑客窃取持续时间长达1年

11月17日消息，三星近日致信英国消费者，表示有黑客在2019年7月1日至2020年6月30日期间，利用第三方业务应用程序（未公布）中的漏洞，窃取了三星英国商店客户的个人信息。三星在信件中表示，在2023年11月13日，也就是3年后才发现系统遭到入侵，受影响用户的姓名、电话号码、邮政地址和电子邮件地址都可能已经外泄。ICO发言人阿黛尔・伯恩斯（Adele Burns）向TechCrunch证实，英国数据保护监管机构已经意识到这一事件，并“将进行调查”。这一事件是三星在过去两年中披露的第三起数据泄露事件。

来源：IT之家

1.联合国教科文组织公布社交媒体平台监管行动计划

为遏制虚假信息和仇恨言论在网上蔓延，联合国教科文组织在11月6日公布了一项经世界各国广泛磋商而制定的行动计划，同时发布的全球民意调查结果则凸显出采取这一行动的紧迫性。这项旨在规范社交媒体平台的行动计划名为《数字平台治理准则：通过多利益相关方参与方式保障言论自由和信息获取》。

在40多页的篇幅中，行动计划详细介绍了所有利益攸关方（包括政府、监管机构、民间社会和平台本身）应遵守的原则，以及应由其各自落实的具体措施。其中七项必须遵守的基本原则包括：

·将对人权的影响作为每个阶段和每个利益相关者的决策指南；

·在世界各地建立独立的公共监管机构，明确其职责，并为其履行职责提供充足的资源；

·这些独立的公共监管机构之间要进行密切协作，以防止各国法规之间的差异被数字公司利用；

·内容审核在所有地区和所有语言中都应当是可行和有效的；

·在社交媒体平台的算法中建立问责制和透明度要求，防止平台以最大限度地提高参与度为目标，而以牺牲信息的可靠性为代价；

·社交媒体平台应采取更多举措，以教育和培训用户进行批判性思考；

·监管机构和社交媒体平台应在选举和危机等特别敏感的时段内采取更有力的措施。

教科文组织总干事阿祖莱同时提醒，所有这些工作应当以一项核心要求为指导，即必须始终维护表达自由和所有其他人权。为此，教科文组织特别提出，各平台应有人员充足、能应对本平台所有主要语言的合格运营团队，以对线上发布内容进行可靠而有效的监管。平台必须确保审核过程透明，包括通过算法实现的自动审核。此外，还必须以其业务所在国的所有主要语言为使用者提供服务，并报告用户投诉。

此外，UNESCO还将支持成员国将这一监管行动计划纳入本国的法律法规，并正在为此筹集专项资金。

2.美国总统拜登发布《关于安全、稳定和可信的人工智能行政令》

10月30日，美国总统拜登签署《安全、可靠、值得信赖地开发、使用人工智能的行政命令》（Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence）。该行政令共分为12个章节，包含8个目标，为AI安全提出了诸多新要求：

（1）建立人工智能安全和安保的新标准

随着AI技术的广泛应用，其安全风险逐步显现，美国致力于保护民众免受AI系统风险的影响。行政令要求最强大的AI系统开发商与美国政府分享其安全测试结果和其他关键信息，并指示美国国家标准与技术研究院（NIST）制定严格的标准，以确保AI的安全性，同时要求国土安全部（DHS）将标准应用于关键基础设施部门。此外，还将在美国政府正在进行的“AI网络挑战”（AI Cyber Challenge）的基础上，建立一个先进的网络安全计划，开发AI工具来查找和修复关键软件中的漏洞。

（2）保护美国民众的隐私

为了更好地保护美国民众的隐私，行政令呼吁国会通过两党数据隐私立法，并指示联邦政府采取优先支持加快开发使用隐私保护的技术、增强隐私保护的技术研究、评估各机构收集和使用商业信息行为以及为联邦机构制定指导方针等。

（3）促进公平和公民权利

滥用AI将会导致司法、医疗和住房领域歧视现象的进一步加深。为确保AI促进公平和公民权利，行政令要求向联邦福利计划、联邦承包商和业主提供明确指导，提升和解决人工智能算法歧视问题，确保整个刑事司法系统的公平性。

（4）维护消费者、患者和学生权益

AI在为大众带来方便、高效的同时也潜藏着增加误解、误导和伤害美国民众的风险，为了保护消费者，同时确保AI能让民众生活得更好。行政令重点要求在医疗保健领域负责任地使用AI，开发更加廉价亲民的药物，并要求卫生与公众服务部制定一项安全计划，以接收涉及AI的伤害或不安全医疗行为的报告，并采取行动予以补救。此外，政府也应通过创造资源来支持教育工作者部署AI教育工具，从而发挥AI改变教育的潜力。

（5）保护劳动者

为了降低工作场所的风险，提高劳动者集体谈判能力，促进劳动者的培训和发展。行政令鼓励制定原则和最佳实践，通过解决工作岗位流失问题，减轻AI对劳动者的伤害并最大限度地提高其利益，并要求联邦政府研究和制定方案，以保护面临失业风险的劳动者。

（6）促进创新和竞争

美国在AI创新方面已经领跑全球，2022年在美国融资的AI初创企业数量超过了身后7个国家总和。为确保美国继续在AI创新领域保持领先地位，该行政令提出建立“国家AI研究资源”（National AI Research Resource）的试点，以促进全美的AI研究。此外，指令提出要为小型开发者提供技术援助和资源，协助其实现AI的商业化突破，鼓励联邦贸易委员会建立公平、开放和有竞争力的AI生态系统。另外，要优化签证流程，吸引优秀外国人才留美学习、居留和工作。

（7）提升美国在海外的领导力

美国支持在全球范围内安全、可靠地部署和使用AI，美国政府将继续与其他国家合作，共同应对AI的全球化挑战。行政令提出扩大双边、多边和多方利益相关者的参与，就AI技术开展合作，牵头建立国际框架和国际标准，确保技术安全、可靠、可信和可互操作。同时行政令要求加强AI在海外进行安全、负责和产权明确的开发和部署，持续减轻关键基础设施面临的危险，以解决和应对全球挑战。

（8）确保美国政府负责任地有效使用AI

AI将有助于美国政府更好地服务美国民众，扩大各机构的监管、治理和福利发放，还可以降低成本、提高政府机构信息系统的安全性。但使用AI也会带来一系列风险，为了确保政府有效部署人工智能，促进联邦政府的人工智能基础设施现代化，行政令要求采取多项措施，如发布各机构使用人工智能的指南；更高效地签订合同和加快招聘AI专业人才等。

3.欧洲理事会通过《数据法案》

11月27日，欧洲理事会正式通过了《有关公平访问和使用数据的一致化规则的条例》（下称“《数据法案》”），并将在其被出版在欧盟官方公报（Official Journal）后20日后正式生效。《数据法案》介绍了一系列有关共享、访问及再使用数据的规定，并同时对数据共享协议，公共紧急状态下的数据访问，云服务商的可切换义务及数据可携带权作出了相关规定。《数据法案》的立法目的是促进服务提供者之间的数据共享，并鼓励创新，着重强调数据价值分配的公平性。

《数据法案》规定，欧盟内部可连接产品（可被一般理解为IoT物联网产品）的制造者以及相关服务的供应者应确保用户（包括个人与企业）能够“依设计即可访问”（access by design）产品数据及相关服务数据，包括相关为了解读与使用前述数据的元数据。如果用户不能直接获得前述数据，数据持有者则应将“容易获取的数据”及必要元数据提供给用户。同时，前述数据应以全面、结构化、通用和机器可读的格式，免费向用户提供，或者在用户请求下，向第三方提供。

出于保护企业正当商业利益的目的，《数据法案》同时规定了某些企业与企业之间共享数据的限制，例如不得将所获取的数据用于开发与数据来源的相关产品相竞争的产品（即数据来源产品），或基于此目的向任何第三方共享数据。但是，可以预期，前述数据共享规定将创建一个全新的欧盟数据二级市场。

《数据法案》作为欧盟在2020年发布的《欧洲数据战略》下的重要立法文件，与已于2022年修订生效的《有关欧盟数据治理的条例》（通常称为《数据治理法案》，DGA）共同构成了有关数据价值创造的欧盟法律框架。《数据治理法案》创建了便利数据价值流通的途径和框架，而《数据法案》则是明确了何种主体可在何种条件下从数据中创造价值。同时，《数据法案》还体现了保护小微企业，限制大型科技公司的立法倾向。我们建议在欧洲市场有商业存在的企业持续关注《数据法案》相关动态，做好企业合规工作。

4.欧盟：EDPB通过《电子隐私指令》下的追踪技术指南草案

11月15日，欧盟数据保护委员会（EDPB）通过了有关《电子隐私指令》（ePrivacy Directive）第5（3）条技术范围的拟议指南。这一拟议指南的目的在于明确该指令的范围，特别是对于新兴的跟踪技术，以提供更大的法律确定性，同时为数据控制者和个人提供指导。目前将进入为期六周的公众咨询阶段。

第5（3）条规定了在用户同意的情况下，才允许在用户终端设备中存储信息或获取已存储信息的要求（无论是否包含个人数据），除非满足法定例外情形。该条款明确了这不应阻止为通信传输或用户明确要求的信息社会服务提供者提供服务而绝对必要的技术存储或访问。

尽管第5（3）条通常被称为“Cookies规则”，但拟议指南清楚地表明，其权力范围涵盖更广泛的跟踪技术，而不仅仅是Cookies。该指南的一个关键观点是，在大多数情况下，跟踪技术需要用户的同意。

EDPB主席Anu Talus指出：“追踪用户的在线活动会严重损害人们的隐私，这已不是什么秘密。” 当前，由于新技术的出现，以及《电子隐私指令》第5（3）条适用范围的不明确，产生了新的隐私风险。该指南探讨了多种解决方案，例如跟踪链接和像素、本地处理和唯一标识符，以确保不会规避该条款规定的同意义务。

为了明确第5（3）条的范围，该拟议指南分析了其中涉及的关键概念，如“信息”“用户或使用者的终端设备”“电子通信网络”“获取”和“存储的信息/储存”等。EDPB对前述“信息”的种类作出了极宽的解释，其认为除了大众较为熟悉的Cookies技术，数据埋点、通过API本地处理信息、IP地址追踪、物联网（IoT）设备涉及的报告技术及唯一标识符技术都应适用《电子隐私指令》。此外，该指南还提供了一系列以常用追踪技术为特色的实际使用案例。

值得注意的是，该《指南》目前仅关注了第5（3）条电子隐私权的适用范围，而不涉及如何收集同意，也不涉及该条款的豁免。

来源：欧盟数据保护委员会（EDPB）、ACG法实务