网络安全与数据合规动态提报(2023-12)
时间:2024-01-29

 

 

 

目录

contents

 

 

一、境内资讯

1. 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布

2. 国务院公布《非银行支付机构监督管理条例》

3. 交通运输部印发《自动驾驶汽车运输安全服务指南(试行)》

4. 上海市市监局等印发《上海市网络零售平台合规指引》

5. 上海市市监局印发《上海市网络餐饮服务平台合规指引》

6. 工信部发布《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》

7. 国家网信办就《网络安全事件报告管理办法(征求意见稿)》公开征求意见

8. 国家新闻出版署就《网络游戏管理办法(草案征求意见稿)》公开征求意见

9. 全国信安标委就《网络安全标准实践指南——大型互联网平台网络安全评估指南(征求意见稿)》公开征求意见

10. 中国网络安全审查认证和市场监管大数据中心正式挂牌

11. 北京市网信办关于启动加强未成年人网络保护专项行动的公告

12. 国家数据局发布《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》

13. 工信部等十四部门发布《关于开展网络安全技术应用试点示范工作的通知》

14. 工信部等两部门印发《工业领域数据安全标准体系建设指南(2023版)》

15. 上海市经信委发布 《上海人工智能示范应用清单(2023)》

16. 北京市经信局印发《北京市公共数据专区授权运营管理办法(试行)》

17. 深圳市工信局印发《深圳市算力基础设施高质量发展行动计划(2024-2025)》

18. 海南省政府办公厅印发《海南省培育数据要素市场三年行动计划(2024—2026)》

19. 云南省政府办公厅印发《云南省公共数据管理办法(试行)》

二、境内监管动态

1. 国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理

2. 5家企业获颁首批个人信息保护认证证书

3. 上海高院发布十个服务保障数字经济发展典型案例

4. 工信部通报2023年第9批侵害用户权益行为的APP(SDK)(总第35批)

5. 网信部门公开曝光第三批涉突发案事件、公共政策、社会民生领域网络谣言典型案例

6. 国家网信办公开曝光一批破坏营商网络环境的典型案例

7. 中央网信办通知开展“清朗·整治短视频信息内容导向不良问题”专项行动

8. 最高人民法院发布第39批指导性案例:两起信息网络传播权案

9. 北京四中院:个人信息查阅复制权的边界

10. 北京人民检察院发布删库、暗网交易个人信息、抢号软件挂号等8件网络数据安全案例

11. 重庆两江自贸法院:全国首例认定数据交易买受人商业秘密侵权案

12. 重庆一科技公司因数据泄露被罚10万元

13. 浙江省通信管理局关于侵害用户权益行为9款APP的通报(2023年第10批)

14. 四川多家单位因网络安全管理不到位被处罚

15. 新疆公安机关公布8起网络违法犯罪典型案例

三、境外资讯

1. 美国联邦通信委员会发布《差异化隐私保障评估指南》草案

2. 美国国家网络安全卓越中心发布《基因组数据的网络安全》报告

3. 美国联邦贸易委员会提议修改《儿童在线隐私保护规则》(COPPA规则)

4. 美国联邦贸易委员会向美国版权局提交与人工智能相关的竞争和消费者保护问题的意见

5. 美国联邦通信委员会通过关于机器人电话和机器人短信的新规则

6. 欧盟理事会与欧洲议会就《人工智能法案》达成临时协议

7. 欧盟立法者就《网络弹性法案》达成政治协议

8. 欧盟委员会和议会就《平台用工指令》达成临时协议

9. 欧盟成员国就《网络团结法案》达成共同立场

10. 英国信息专员办公室发布英国约束性公司规则(BCR)附录指南

11. 英国信息专员办公室发布职场数据保护的两份指南草案,聚焦保留雇佣记录以及招聘选拔

12. 俄罗斯对外国网络托管提供商的新要求生效

13. 加拿大隐私专员办公室(OPC)发布负责任、可信赖和保护隐私的生成式人工智能原则

14. 新加坡卫生部发布《医疗健康提供商网络和数据安全指南》

15. 新加坡政府发布《国家人工智能战略2.0》

16. 巴西总统签署制定国家网络安全政策的法令

四、境外监管动态

1. 美国纽约总检察长就Healthplex的安全漏洞与其达成40万美元和解协议

2. 英国爱尔兰银行因客户账户数据不准确而受到谴责

3. 欧盟法院裁定信用评分的创建属于GDPR中的自动决策

4. 欧盟委员会根据《数字服务法》对X启动正式调查

5. 罗马尼亚国家个人数据处理监管机构(ANSPDCP)因数据泄露对Hora Credit IFN罚款24000欧元

6. 美国卫生与公众服务部(HHS)宣布与Lafourche Medical Group就违规行为达成48万美元和解

7. 法国国家信息自由委员会(CNIL)因科鲁市政府未指定数据保护官(DPO)对其处以5000欧元的罚款

8. 韩国个人信息保护委员会(PIPC)因数据安全失误对Kodas Design 和 Speed Auction公司处以罚款

9. 法国国家信息自由委员会(CNIL)宣布六项执法决定,总金额达4.4万欧元

10. 美国纽约总检察长与纽约长老会医院就滥用追踪工具达成30万美元的和解协议

11. 意大利数据保护局(Garante)对未经授权披露个人数据的Cluster公司罚款1.8万欧元

12. 意大利数据保护局(Garante)对亚马逊意大利运输公司罚款4万欧元,原因是其未能回应员工数据主体权利请求

13. 美国蒙大拿州地方法院阻止针对抖音TikTok的全州范围禁令生效

14. 冰岛个人数据保护局因多市非法处理儿童数据对其处以罚款

⬆️ 向上滑动阅览

 

点击文末“阅读原文”查看PDF详细解读版本

 

资讯速递 

 

境内资讯

 

1.《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布

 

对《关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施进行落实。《指引》提出,通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:中国政府网

 

2.国务院公布《非银行支付机构监督管理条例》

 

《条例》适应支付业务发展需要,以能否接收付款人预付资金为标准,将支付业务分为储值账户运营和支付交易处理两类。在网络安全与数据保护方面,《条例》对个人信息处理的合法性基础、网络安全与数据安全管理要求、数据存储、数据对外提供等方面都作出了符合支付行业特点的配套合规要求。(欲查阅我们的详细分析,请点击“阅读原文”欲进一步了解非网络安全与数据合规方面的解读,请见我们的专业评论文章

来源:中国政府网

 

3.交通运输部印发《自动驾驶汽车运输安全服务指南(试行)》

 

《指南》适用于使用自动驾驶汽车在用于社会机动车通行的道路上从事的各类客运、货物运输经营活动。《指南》内容包括适用范围、基本原则、应用场景、自动驾驶运输经营者、运输车辆、人员配备、安全保障和监督管理等八部分。

 

来源:交通运输部

 

4.上海市市监局等印发《上海市网络零售平台合规指引》

 

《指引》聚焦平台主体合规、商户及商品管理、运营管理、消费者权益保护这4个方面,对网络零售平台提出多项要求,包括网络零售平台经营者利用算法技术的合规义务以及个人信息保护义务。

 

来源:上海市人民政府

 

5.上海市市监局印发《上海市网络餐饮服务平台合规指引》

 

《指引》聚焦平台主体合规、餐饮服务经营者及食品安全管理要求、餐饮配送管理要求、运营管理5个方面对网络餐饮平台提出多项要求,包括网络餐饮服务平台经营者利用算法技术的合规义务以及个人信息保护义务。

 

来源:上海市人民政府

 

6.工信部发布《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》

 

征求意见稿旨在推动工业和信息化领域数据安全事件应急处置工作规范化、制度化开展,针对数据安全事件应急管理组织体系、监测与预警、应急响应处置、预防措施、保障措施等提出了细化要求。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:工信部

 

7.国家网信办就《网络安全事件报告管理办法(征求意见稿)》公开征求意见

 

征求意见稿针对在我国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时的报告方法进行了规定,给出了《网络安全事件分级指南》,要求运营者按照《网络安全事件信息报告表》及时报告事件。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:国家网信办

 

8.国家新闻出版署就《网络游戏管理办法(草案征求意见稿)》公开征求意见

 

《草案》明确网络游戏由出版主管部门国家新闻出版署管理,规定网络游戏不得设置每日登录、首次充值、连续充值等诱导性奖励;及网络游戏出版经营单位不得以炒作、拍卖等形式提供或纵容虚拟道具高价交易行为等内容。

 

来源:国家新闻出版署

 

9.全国信安标委就《网络安全标准实践指南——大型互联网平台网络安全评估指南(征求意见稿)》公开征求意见

 

《指南》定义“大型互联网平台”为通过网络技术将个人与个人、商品、信息、服务、线下资源、数据、资金、软件等进行连接,并以此为基础提供业务的较大规模的网络平台。其中“较大规模”指在过去一年期间,在我国累计活跃用户总数不低于5000万。《指南》指出了影响或可能影响社会稳定、公共利益的风险及评估方法。

 

来源:全国信安标委

 

10.中国网络安全审查认证和市场监管大数据中心正式挂牌

 

根据中央编办批复,中国网络安全审查技术与认证中心(CCRC)更名为中国网络安全审查认证和市场监管大数据中心,整建制划入市场监管总局信息中心,同时划入竞争政策与大数据中心部分职能。主要职责是承担网络安全审查与认证相关标准研究和技术支撑、市场监管信息化建设、大数据分析应用、智慧监管建设等工作。

 

来源:北京日报

 

11.北京市网信办关于启动加强未成年人网络保护专项行动的公告

 

自2024年1月1日起,在属地网站平台开展为期3个月的未成年人网络保护专项行动,立足广大网民反映强烈的典型乱象,集中整治内容导向不良、未成年人网络沉迷、个人隐私保护不力3类9个方面影响未成年人身心健康的突出问题。

 

来源:网信北京

 

12.国家数据局发布《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》

 

以推动数据要素高水平应用为主线,以推进数据要素协同优化、复用增效、融合创新作用发挥为重点,强调需求牵引,注重实效;试点先行,重点突破;有效市场,有为政府;安全有序,开放融合等基本原则。

 

来源:国家发改委

 

13.工信部等十四部门发布《关于开展网络安全技术应用试点示范工作的通知》

 

申报主体主要由公共通信和信息服务、人力资源社会保障、水利、卫生健康、应急管理、广播电视、金融、交通运输、邮政等行业领域的企事业单位,以及为其提供网络和数据安全技术、产品、解决方案和服务的企事业单位等组成联合体申报。

 

来源:中国政府网

 

14.工信部等两部门印发《工业领域数据安全标准体系建设指南(2023版)》

 

明确了统筹规划、全面布局;需求引导,多层构建;基础先立,急用先行;注重实效,开放合作的基本原则,以及到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要的建设目标。

 

来源:中国政府网

 

15.上海市经信委发布 《上海人工智能示范应用清单(2023)》

 

示范应用清单共包含三大类21个应用,第一,引领性应用:人工智能大模型、智能机器人、科学智能。第二,深化应用,在工业制造领域:工业智能、智能车间、缺陷检测;在金融领域:智能风控、智能营销;在物流供应链领域:港口智能作业;在能源领域:全自动巡检、智能运维;在教育领域:个性化学习辅导;在健康与养老领域:智能养老;在医疗领域:智能预问诊、智能辅助诊断、智能诊后管理;在文娱领域:虚拟主播;在城市治理领域:城市大客流预警。第三,大型综合应用:大型交通枢纽、大型会展中心、大型地标性景区。

 

来源:上海市经信委

 

16.北京市经信局印发《北京市公共数据专区授权运营管理办法(试行)》

 

其中指出,公共数据专区是指针对重大领域、重点区域或特定场景,为推动公共数据的多源融合及社会化开发利用、释放数据要素价值而建设的各类专题数据区域的统称,一般分为领域类、区域类及综合基础类。公共数据专区采取政府授权运营模式,选择具有技术能力和资源优势的企事业单位等主体开展运营管理。

 

来源:北京市人民政府

 

17.深圳市工信局印发《深圳市算力基础设施高质量发展行动计划(2024-2025)》

 

其总体目标是:到2025年,全市基本形成空间布局科学合理,规模体量与极速先锋城市建设需求相匹配,计算力、运载力、存储力及应用赋能等方面与数字经济高质量发展相适应,绿色低碳和自主可控水平显著提升的先进算力基础设施布局等。

 

来源:深圳政府在线

 

18.海南省政府办公厅印发《海南省培育数据要素市场三年行动计划(2024—2026)》

 

具体任务包括实施数据要素基础创新行动,第一是建立保障权益、合规使用的数据产权制度行动;第二是建立合规高效、场内外结合的数据要素流通和交易制度行动;第三是建立体现效率、促进公平的数据要素收益分配制度行动;第四是建立安全可控、弹性包容的数据要素治理制度行动。

 

来源:海南省人民政府

 

19.云南省政府办公厅印发《云南省公共数据管理办法(试行)》

 

其中规定,省公共数据主管部门统筹规划和建设全省统一的公共数据平台,为公共数据处理活动提供支撑。各州、市、县、区不再建设本级公共数据平台;已建设的,应对接全省统一的公共数据平台并纳入统一管理。

 

来源:云南省人民政府

 

境内监管动态

 

1.国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理

 

地理信息数据是重要的战略性数据资源和新型生产要素,国家安全机关工作发现我国有关重要行业领域使用的境外地理信息系统软件存在搜集外传地理信息数据的情况,对我国家安全构成严重威胁。对此,国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理,指导、协助涉事单位开展清查整改,及时消除安全隐患。

 

来源:国家安全部

 

2.5家企业获颁首批个人信息保护认证证书

 

依据GB/T35273-2020《信息安全技术 个人信息安全规范》等有关国家标准,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。

 

来源:中国网络安全审查认证和市场监管大数据中心

 

3.上海高院发布十个服务保障数字经济发展典型案例

 

典型案例按照“涉个人信息处理或利用网络侵害其他人格权案件”“涉数据形态财产权益及市场竞争秩序保护案件”“涉平台经营者/数据算法运用者法定义务及相关主体权益保护案件”“涉侵害数据形态权益、利用数据技术实施网络犯罪及黑灰产业防治案件”四大分类研究体系梳理而成,涉及刑事、民事、商事、金融、知产等各个审判领域,其中不乏涉及数据流通、算法应用等前沿问题的案件。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:上海发布

 

4.工信部通报2023年第9批侵害用户权益行为的APP(SDK)(总第35批)

 

工信部组织第三方检测机构对群众关注的实用工具、本地生活、网络游戏等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查,发现24款APP、SDK存在侵害用户权益行为,予以通报并要求上述APP及SDK按有关规定进行整改。

 

来源:工信部

 

5.网信部门公开曝光第三批涉突发案事件、公共政策、社会民生领域网络谣言典型案例

 

网信部门指导网站平台持续加大监测查证和处置曝光力度,溯源关闭谣言首发账号,典型案例包括西南大学药学院发生爆炸、兰州某学校有学生失踪、2024年职工医保缴费将不再划入个人账户、杭州宣布禁止直播带货、中储粮决定停止对外收购玉米等谣言。

 

来源:新华社、网信中国

 

6.国家网信办公开曝光一批破坏营商网络环境的典型案例

 

国家网信办根据常态化开展优化营商网络环境工作安排,持续强化网上涉企信息内容管理,针对发布涉企虚假不实信息、恶意集纳企业负面信息、以“舆论监督”旗号谋取非法利益等行为进行查处并曝光。

 

来源:网信中国

 

7.中央网信办通知开展“清朗·整治短视频信息内容导向不良问题”专项行动

 

为集中整治短视频领域价值导向失范和不良内容多发等乱象,督促短视频平台强化内容审核制度,全面规范短视频功能运行,中央网信办开展了为期一个月的“清朗·整治短视频信息内容导向不良问题”专项行动,集中整治短视频传播虚假信息问题、展示不当行为问题和传播错误观念问题。

 

来源:网信中国

 

8.最高人民法院发布第39批指导性案例:两起信息网络传播权案

 

最高人民法院发布第39批指导性案例聚焦知识产权案件裁判,其中案例223号明确了侵害作品信息网络传播权民事纠纷案件确定管辖的规则;案例224号明确了著作权权属存在争议的情况下,不能仅凭水印或权利声明认定作品著作权权属的举证证明规则。

 

来源:最高人民法院

 

9.北京四中院:个人信息查阅复制权的边界

 

裁判要旨指出,个人信息主体向个人信息处理者查阅复制涉及他人个人信息的浏览记录时,个人信息处理者有协助提供的义务,但不应侵害其他个人信息主体的合法权利。根据场景的不同,个人信息处理者提供准确的网络链接地址可以认定履行了协助义务。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:北京四中院

 

10.北京人民检察院发布删库、暗网交易个人信息、抢号软件挂号等8件网络数据安全案例

 

北京市人民检察院发布8件北京市检察机关维护网络安全和数据安全典型案例,选取的案件包括利用抢号软件抢挂医院就诊号、通过软件控制考场电脑屏幕帮助他人考试作弊、以“投资引流”方式帮助实施电信网络诈骗犯罪、通过“暗网交易”非法买卖公民个人信息、假借网络交易平台名义实施新型传销活动等类型,既包含了纯正网络犯罪,也涵盖了利用信息网络实施的传统犯罪。

 

来源:京检在线

 

11.重庆两江自贸法院:全国首例认定数据交易买受人商业秘密侵权案

 

重庆光某摩托车制造有限公司与广州三某摩托车有限公司侵犯商业秘密纠纷一案中,重庆两江新区(自贸区)人民法院依据《中华人民共和国数据安全法》第32条,认定数据交易买受人明知数据涉及他人的商业秘密仍予接收并使用的,应当与数据提供者承担共同侵权责任,为全国首例认定数据交易买受人侵犯商业秘密的案例。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:重庆两江自贸法院

 

12.重庆一科技公司因数据泄露被罚10万元

 

该公司开发运营的某OA信息系统因未履行好网络数据安全保护义务,导致大量数据泄露,情节严重。且该公司作为网络数据处理者,未依法建立健全全流程网络数据安全管理制度,未依法组织开展网络数据安全教育培训,未采取相应的技术措施和其他必要措施等保障网络数据安全。经重庆市网信部门查处,作出责令限期五日改正,给予行政警告并处10万元罚款的行政处罚。

 

来源:网信重庆

 

13.浙江省通信管理局关于侵害用户权益行为9款APP的通报(2023年第10批)

 

浙江省通信局组织第三方检测机构对群众关注的实用工具、网上购物、即时通讯等类型APP进行检查,并书面要求违规APP开发运营者限期整改并通报尚存的9款未按要求完成整改的APP。

 

来源:网信浙江

 

14.四川多家单位因网络安全管理不到位被处罚

 

四川省网信办公布了2家因遭受网络攻击或门户网站遭篡改而受到公安机关处罚的案例。经调查发现,受处罚单位存在未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的违法事实。

 

来源:网信四川

 

15.新疆公安机关公布8起网络违法犯罪典型案例

 

新疆公安机关公布了多起网络违法犯罪典型案例,涉及帮助信息网络犯罪活动、利用网络传播淫秽物品牟利、提供侵入、非法控制计算机信息系统程序、工具、侵犯公民个人信息及网络赌博行为等。

 

来源:公安部网安局

 

境外资讯

 

1.美国联邦通信委员会发布《差异化隐私保障评估指南》草案

 

《指南》将差别隐私定义为一种隐私增强技术(PET),当个人数据出现在一个数据集中时,该技术可量化个人隐私风险。《指南》旨在帮助从政策制定者到IT专家等各利益相关方理解和实施差异化隐私保障。

 

来源:DataGuidance

 

2.美国国家网络安全卓越中心发布《基因组数据的网络安全》报告

 

报告旨在促进基因组数据(包括DNA序列、变异和基因活性)利用的快速增长,概述了可用的网络安全和隐私风险管理资源以及基因组数据生命周期中的风险分类,并提供了对现实生活挑战的模拟和候选的缓解策略,以应对网络安全和隐私挑战。

 

来源:NIST

 

3.美国联邦贸易委员会提议修改《儿童在线隐私保护规则》(COPPA规则)

 

联邦贸易委员会提议强化儿童隐私规则,进一步限制公司利用儿童数据获利的能力。拟议的COPPA规则将要求默认关闭定向广告、限制推送通知、限制学校监控并加强数据安全等。

 

来源: 美国联邦贸易委员会(FTC)

 

4.美国联邦贸易委员会向美国版权局提交与人工智能相关的竞争和消费者保护问题的意见

 

美国联邦贸易委员会在该意见中表达了其“因企业人工智能的使用而对消费者、劳动者、小企业可能造成潜在损害的担忧”,表示将积极利用权力保护美国人民免受欺骗和不公平行为的侵害,维护开放、公平和竞争的市场。

 

来源:中国保护知识产权网

 

5.美国联邦通信委员会通过关于机器人电话和机器人短信的新规则

 

新规则旨在保护消费者免受诈骗短信的侵害。新规则要求移动运营商屏蔽“红色标记”的机器人短信号码,规定“拒收电话名单”保护措施同样适用于短信。新规则明确规定了比价购物网站和潜在客户识别者只有得到消费者同意,才可向其发送商家营销信息,且一次同意仅对单一商家有效。

 

来源:美国联邦通信委员会

 

6.欧盟理事会与欧洲议会就《人工智能法案》达成临时协议

 

临时协议的创新内容可概括为:更新关于未来可能导致系统性风险的高影响通用人工智能模型以及高风险人工智能系统的规则;修订后的欧盟治理体系,赋予欧盟一定的执法权;扩大禁止清单但执法当局可在遵守保障措施的前提下在公共场所使用远程生物识别技术;要求部署者在高风险人工智能系统投入使用前对其进行基本权利影响评估(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:欧盟委员会

 

7.欧盟立法者就《网络弹性法案》达成政治协议

 

《网络弹性法案》是一项立法提案,旨在为从智能玩具到工业机械等联网设备引入安全要求,加强联网产品的网络安全。法案对漏洞处理机制、软件开源以及特殊产品的国家安全豁免等做出了规定。

 

来源:安全内参

 

8.欧盟委员会和议会就《平台用工指令》达成临时协议

 

《平台用工指令》是欧盟首次就工作场所的算法管理制定的规则,旨在确保对平台工作人员的劳动身份正确分类。《指令》要求平台告知工人算法机制,对自动化系统增加人工监督、禁止处理某些个人数据(如个人信仰),并引入雇佣关系推定规则,同时禁止平台利用中介机构规避用工风险和成本。

 

来源:欧洲议会

 

9.欧盟成员国就《网络团结法案》达成共同立场

 

该法草案提出建立“欧洲网络盾牌”——一个由欧盟国家和跨境安全运营中心(SOC)组成的泛欧基础设施,负责检测和应对网络威胁。另外,草案还规定了建立网络应急机制与网络安全事件审查机制,加强欧盟网络安全能力。

 

来源:欧盟委员会

 

10.英国信息专员办公室发布英国约束性公司规则(BCR)附录指南

 

根据该指南,已有经批准的欧盟BCR的组织可以通过将英国BCR附录添加到其经批准的欧盟BCR中来申请英国BCR。这意味着企业不再需要另外创建一套英国BCR,减少了不必要的重复。(欲查阅我们的详细分析,请点击“阅读原文”)

 

来源:英国信息专员办公室(ICO)、DataGuidance

 

11.英国信息专员办公室发布职场数据保护的两份指南草案,聚焦保留雇佣记录以及招聘选拔

 

两份指南旨在帮助雇主了解英国GDPR与DPA(2018)下的数据保护义务。其中,《招聘和选拔指南》详细说明了招聘者在招聘和选拔过程中对应聘者的数据保护合规义务,包括允许索要的信息类型、询问阶段、保留时间等。《保留雇佣记录指南》则详细说明了雇主可以保留的员工数据,要求以“公平”“合法”“透明”的原则使用这些信息,并以必要原则共享员工个人信息。

 

来源:英国信息专员办公室(ICO)

 

12.俄罗斯对外国网络托管提供商的新要求生效

 

根据《俄联邦法第126-FZ号修正案》,外国网络托管提供商有义务到俄罗斯通信管理局注册。其中,对供应商的新要求包括:确保其基础设施中的信息受到保护;与俄联邦国家检测、预防和消除计算机攻击信息资源后果系统合作;当威胁出现时迅速响应,在发现事件后24小时内报告;使用俄境内的国家域名系统和精确时间服务器等。

 

来源:DataGuidance

 

13.加拿大隐私专员办公室(OPC)发布负责任、可信赖和保护隐私的生成式人工智能原则

 

这些原则包括:获得法律授权和同意;用于适当的目的;确定使用生成式人工智能中个人信息的必要性和相称性;公开透明;建立问责制;保障个人访问个人信息的权利;限制收集、使用和披露的范围;保证个人信息的准确性;建立保护个人信息的保障措施等。

 

来源:加拿大隐私专员办公室

 

14.新加坡卫生部发布《医疗健康提供商网络和数据安全指南》

 

指南通过指导医疗健康提供者正确实施网络和数据安全措施,确保其正确存储、访问、使用和共享健康信息。指南中的有关要求最终将纳入到预计于2024年出台的《健康信息法案》(“HIB”)中。

 

来源:新加坡卫生部

 

15.新加坡政府发布《国家人工智能战略2.0》

 

该战略重点关注两大目标:卓越和赋能,并致力于通过三大系统、十项抓手以及十五项行动,支持该国未来3-5年在人工智能领域的雄心。

 

来源:新加坡政府、安全内参

 

16.巴西总统签署制定国家网络安全政策的法令

 

该法令规定国家网络安全领域中的各项举措都必须遵循以下原则:国家主权和国家利益优先;保障基本权利,特别是言论自由、个人数据保护、隐私保护和信息获取;预防网络攻击,特别是针对关键基础设施和基本服务的网络攻击;提高组织对网络攻击的恢复能力;发展网络安全教育和技术,促进公共与私人机构在网络安全问题上的合作;加强网络安全领域的国际技术合作等。

 

来源:CNN巴西、赛博研究院

 

境外监管动态

 

1.美国纽约总检察长就Healthplex的安全漏洞与其达成40万美元和解协议

 

2023年12月8日讯,由于2年前Healthplex遭网络钓鱼攻击,导致黑客获得员工电子邮件账户权限泄露了12年间的邮件内容和被保险人信息。纽约州总检察长批准了与Healthplex的终止保证,要求Healthplex支付40万美元并执行一系列数据隐私和安全合规措施。

 

来源:JDSUPRA

 

2.英国爱尔兰银行因客户账户数据不准确而受到谴责

 

2023年12月15日,爱尔兰信息专员办公室(ICO)谴责英国爱尔兰银行向3284名客户发送贷款账户错误未清余额信息的行为可能对客户造成的负面影响,ICO建议银行继续支持受影响客户,健全流程并定期审查,吸取教训以预防类似问题再次发生。

 

来源:英国ICO办公室

 

3.欧盟法院裁定信用评分的创建属于GDPR中的自动决策

 

欧盟法院2023年12月7日就德国信用评级机构Schufa案裁定,即使最终自动化决策者为第三方(如银行),创建信用评分行为本身即属于GDPR中的自动化决策,需满足相应的合规要求。此判决可能影响利用算法或其他自动化流程来产生评估结果作为主营业务的公司,特别是使其需考虑在开展自动化决策过程中的监管风险和责任问题。

 

来源:欧盟法院、DLA PIPER

 

4.欧盟委员会根据《数字服务法》对X启动正式调查

 

2023年12月18日讯,欧盟委员会正在对X在风险管理、内容审核、黑暗模式、广告透明度和研究人员数据访问方面违反《数字服务法》,尤其是涉及哈马斯非法内容传播展开正式侵权诉讼,可能涉及《数字服务法》第34、16、25、39和40条。

 

来源:欧盟委员会

 

5.罗马尼亚国家个人数据处理监管机构(ANSPDCP)因数据泄露对Hora Credit IFN罚款24000欧元

 

2023年12月7日,罗马尼亚国家个人数据处理监管机构(ANSPDCP)裁定Hora Credit IFN SA因向投诉者的电子邮箱发送了包含其他客户个人数据的文件,违反《通用数据保护条例》(GDPR),处以24000欧元罚款,并要求其采取一系列纠正措施。

 

来源:DataGuidance

 

6.美国卫生与公众服务部(HHS)宣布与Lafourche Medical Group就违规行为达成48万美元和解

 

因违反《1996年健康保险可移植性和责任法案》(HIPAA)未对患者的受保护健康信息(PHI)进行威胁分析及信息系统定期审查,2023年12月7日,美国卫生与公众服务部(HHS)宣布Lafourche Medical Group(LMG)同意支付48万美元纠正其违规问题。

 

来源:DataGuidance

 

7.法国国家信息自由委员会(CNIL)因科鲁市政府未指定数据保护官(DPO)对其处以5000欧元的罚款

 

法国国家信息自由委员会(CNIL)于2023年12月18日指出,科鲁市政府多次未对指定数据保护官(DPO)的通知做出回应违反《通用数据保护条例》(GDPR)第37(1)条,故对其处以5000欧元的罚款,并在通知后的两个月内指定DPO,否则每延误一天将处以150欧元的罚款。

 

来源:DataGuidance

 

8.韩国个人信息保护委员会(PIPC)因数据安全失误对Kodas Design和Speed Auction公司处以罚款

 

2023年12月14日,韩国个人信息保护委员会(PIPC)根据个人信息保护法涉及数据泄露的规定对Kodas Design Co.未能妥善遵守其安全措施义务,导致38209名用户的个人信息泄露和Speed Auction Inc.在黑客利用网站漏洞上传恶意软件后,未限制对数据库的IP地址访问的行为,分别处以总计223.43亿和14.4亿韩元的行政罚款。

 

来源:DataGuidance

 

9.法国国家信息自由委员会(CNIL)宣布六项执法决定,总金额达4.4万欧元

 

2023年12月22日,法国国家信息自由委员会(CNIL)宣布2022年实施的简化执行程序中,共作出了六项主要针对违反数据保护规定的强制执行决定,涉及医疗和政治领域及其他收集不必要的数据和缺乏足够的数据安全措施活动。

 

来源:DataGuidance

 

10.美国纽约总检察长与纽约长老会医院就滥用追踪工具达成30万美元的和解协议

 

因纽约长老会医院在未与接收用户数据的第三方达成协议限制用户健康数据的使用方式,也缺乏内部政策或程序的审查和监管的情形下通过第三方收集用户数据并用于定向广告投放,纽约总检察长于2023年12月27日对该医院进行罚款并要求其删除第三方受保护健康信息。

 

来源:DataGuidance

 

11.意大利数据保护局(Garante)对未经授权披露个人数据的Cluster公司罚款1.8万欧元

 

因Clusterr未采取适当的匿名化措施处理及保护医生编写文件中的数据,致使公民个人数据泄露并在互联网上传播。2023年12月15日,意大利数据保护局(Garante)依据《通用数据保护条例》(GDPR)对其处以1.8万欧元罚款。

 

来源:DataGuidance

 

12.意大利数据保护局(Garante)对亚马逊意大利运输公司罚款4万欧元,原因是其未能回应员工数据主体权利请求

 

因亚马逊意大利运输公司在收到前员工要求获取其个人数据副本的请求后30天内未作出回应,违反了《通用数据保护条例》(GDPR)第12条和第15条,2023年12月15日,意大利数据保护局(Garante)宣布对亚马逊意大利运输公司处以4万欧元罚款。

 

来源:DataGuidance

 

13.美国蒙大拿州地方法院阻止针对抖音TikTok的全州范围禁令生效

 

2023年11月30日,密苏拉地区法院认为旨在禁止使用TikTok的蒙大拿州参议院419号法案(SB 419)违反了宪法第一修正案所保护的言论自由权,并有可能违反美国宪法关于商业权力的规定。故裁定暂时禁止SB 419在2024年1月1日生效,并等待最终审理结果。

 

来源:DataGuidance

 

14.冰岛个人数据保护局因多市非法处理儿童数据对其处以罚款

 

2023年12月,因市政当局在处理儿童数据时存在未遵守隐私立法、未满足处理协议要求等多项违规行为,冰岛数据保护局对科帕沃格尔、雷克雅未克等市进行了罚款处罚,涉及金额从250万到300万ISK不等。

 

来源:DataGuidance

 

微信公众号 ×

使用“扫一扫”即可添加关注