竞天公诚网络安全与数据合规团队
本期编辑:张燕、梁天翔、张宜轩、向镇、李嘉骜、刘瑞华、董硕
资讯速递
一
1.国家网信办发布第三批境内深度合成服务算法备案信息
天翼智能助理(中国电信)、手机淘宝、抖音、网易跨境AI助手等129款算法入选备案名单。至此,我国累计有280款算法完成深度合成服务算法备案,包含了大模型、图像生成以及识别、智能客服等各个算法对应的应用场景。
来源:工业互联网周刊
2.十七部门印发《“数据要素×”三年行动计划(2024—2026年)》
(1)实施“数据要素×”行动,就是要发挥我国超大规模市场、海量数据资源、丰富应用场景等多重优势,培育基于数据要素的新产品和新服务,开辟经济增长新空间。
(2)先期选取工业制造、现代农业、商贸流通、绿色低碳……12个行业和领域,明确发挥数据要素价值的典型场景。
(3)到2026年底,打造300个以上示范性强、显示度高、带动性广的典型应用场景,数据产业年均增速超过20%,数据交易规模倍增。
来源:国家数据局
3.财政部印发《关于加强数据资产管理的指导意见》
提出以下几个方面的主要任务:依法合规管理数据资产;明晰数据资产权责关系;完善数据资产相关标准;加强数据资产使用管理;稳妥推动数据资产开发利用;健全数据资产价值评估体系;畅通数据资产收益分配机制;规范数据资产销毁处置;强化数据资产过程监测;加强数据资产应急管理;完善数据资产信息披露和报告;严防数据资产价值应用风险。
来源:财政部
4.交通部发布《铁路关键信息基础设施安全保护管理办法》
自2024年2月1日起施行。《办法》共6章30条,包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。主要内容包括:明确铁路关键信息基础设施管理体制;压实运营者主体责任;加强对铁路关键信息基础设施的监督管理和保障。
来源:微信公号网络安全和信息化
5.工信部印发《工业控制系统网络安全防护指南》
《防护指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
来源:工信微报
6.工信部科技司就《国家人工智能产业综合标准化体系建设指南》(征求意见稿)公开征求意见
人工智能标准体系框架主要由基础共性、基础支撑、关键技术、智能产品与服务、行业应用、安全/治理等6个部分组成。
来源:工信部
7.工信部办公厅发布《关于组织开展网络安全保险服务试点工作的通知》
本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类。试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品,以及网络安全服务类保险。
来源:工信部
8.广东省网信办发布关于落实《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的通知
注册于广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市的个人信息处理者及接收方,可以通过订立《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称“大湾区标准合同”)的方式进行粤港澳大湾区内地和香港之间的个人信息跨境流动。个人信息处理者及接收方应在大湾区标准合同生效之日起10个工作日内进行备案。为提高工作效率,备案工作采取电子版预审与纸质版查验相结合的方式。备案事宜咨询电话020-87100793。
来源:广东省网信办
9.广东省人大常委会通过《南沙深化面向世界的粤港澳全面合作条例》
《条例》支持在南沙探索建设国际光缆登陆站,并支持在南沙合作设立的教育机构、科研机构等平台建设专用科研网络,实现科学研究数据依法跨境互联互通。
来源:中国政府网
10.上海浦东新区发布标准化指导性技术文件《公共数据授权运营可信环境技术规范》
该地方标准确立了公共数据授权运营可信环境的通用要求、业务流程、总体架构、技术要求、应用场景等相关要求,并在其附录中列举了如群租房管理、智慧保险、金融风控及临床试验受试者匹配等公共数据授权运营可信环境典型应用场景。
来源:上海市浦东新区人民政府
11.四川省大数据中心等单位印发《关于推进数据要素市场化配置综合改革的实施方案》
《方案》提出落实国产密码应用要求,加强数据安全存储、可信传输、数据存证等方面的国产化数据安全基础设施建设。同时,《方案》探索推动行业建立个人信息长效保护机制,健全个人信息安全事件投诉、举报、报告和责任追究制度。
来源:四川省大数据中心
12.江苏印发《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》
《意见》提倡建立健全数据要素登记及披露机制,防范大数据“杀熟”、算法歧视、算法滥用、数据垄断等破坏市场公平性的行为。鼓励企业和科研机构开展身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等数据技术攻关和产品研发。
来源:江苏省委新闻网
13.江苏省知识产权局等四部门印发《江苏省数据知识产权登记管理办法(试行)》
《办法》适用于依法获取的,经过一定规则或算法加工处理,具有实用价值和智力成果属性的数据提供数据知识产权登记活动,包括设立登记、变更登记和注销登记。设立登记涉及个人数据的,应提交依法获取的证明。同时,申请者还需说明应用场景、算法规则、存证情况等内容。
来源:江苏省知识产权局
14.厦门市政府印发《厦门市公共数据共享开放管理暂行办法》
《暂行办法》适用于在厦门市行政区域内对于公共数据的汇聚、共享、开放及其监督管理活动。《暂行办法》规定由市大数据主管部门设立公共数据资源平台,作为全市公共数据汇聚、共享、开放的统一基础设施,并规定各政务部门编制公共数据资源目录。
来源:厦门市人民政府
二
1.广东高院二审宣判全国首例非法调用服务器API接口获取数据予以交易转卖案件,认定构成不正当竞争
广东高院查明,被告在每次抓取微博(原告)数据时,均通过变换IP地址和微博用户账号等技术手段,以规避微博服务器的反抓取数据防护措施,其经营的网站对外售卖的微博数据调用次数高达21.79亿余次,有违公平、诚信原则和商业道德,扰乱了数据市场竞争秩序,严重损害了原告和消费者合法权益,构成不正当竞争行为。
来源:广东省高级人民法院
2.杭州中院二审宣判全国首例“虚拟数字人”侵权案,认定“虚拟数字人”形象构成美术作品
杭州某网络公司通过网络发布视频,居中位置使用魔珐公司发布的相关视频内容,片头片尾替换有关标识,并添加虚拟数字人课程的营销信息。其中一段视频还添加有杭州某网络公司的注册商标,并将其他虚拟数字人名称写入标题。魔珐公司认为杭州某网络公司的行为构成侵权,诉至法院。杭州互联网法院一审认定虚拟数字人的人物形象构成美术作品,涉诉两段视频分别构成视听作品和录像制品,原告享有相关著作权及邻接权,遂判决被告消除影响并赔偿经济损失12万元。杭州中院二审维持原判。
来源:中国政府网
3.广州互联网法院宣判全国首例电商平台数据“搬家”案,认定擅自搬运商品数据进行非法利用构成不正当竞争
广州互联网法院认为,天猫公司、淘宝公司有权对天猫、淘宝平台内的商品数据请求保护。被控搬家软件主要是为第三方平台经营者复制天猫平台、淘宝平台内单个或整店商品数据从事经营活动,提供技术支持。此种行为扰乱了网络零售市场竞争秩序,损害了经营者的合法权益,属于不正当竞争行为。
来源:广州互联网法院
4.北京互联网法院发布2023年度十大典型案件,“AI文生图”著作权、邮箱数据权属等案件入选
在案“AI文生图”著作权案中,法院坚守著作权主体认定的“人类中心主义”,首次认可自然人对其利用AI绘画大模型生成图片在符合一定条件下享有著作权,明确涉案AI制作图片符合作品的定义,属于作品;使用大模型生成图片的原告是作者,享有涉案图片著作权;认定被告未经许可在个人账号使用涉案图片配图并去除署名水印侵犯原告信息网络传播权与署名权,判决被告赔礼道歉并赔偿原告500元。
来源:北京互联网法院
5.杭州互联网法院发布网络知识产权十大典型案例,虚拟数字人、NFT数字作品等案件入选
NFT数字作品案件中法院认为:(1)FT数字作品所有权转让结合了区块链和智能合约技术,NFT数字作品通过铸造被提供在公开的互联网环境中,交易对象为不特定公众,每一次交易通过智能合约自动执行,使公众可以在选定的时间和地点获得NFT数字作品,故NFT数字作品交易符合信息网络传播行为的特征。(2)应结合NFT数字作品的特殊性及NFT数字作品交易模式、技术特点、平台控制能力、营利模式等方面综合评判NFT数字作品交易服务平台的责任边界。
来源:杭州互联网法院
6.成都铁路运输中级法院宣判全国首例公共交通领域使用人脸识别技术引发的个人信息侵权案,认定不构成侵权但建议完善告知义务
铁路部门基于履行维护公共安全的法定义务,处理乘客人脸信息,符合个人信息保护法不需取得乘客个人同意的情形,但是取得同意义务的免除并不免除告知义务,成都铁路局未对采集乘客人脸信息的目的、方式、信息处理等事项履行告知义务,存在告知缺陷。综合考量成都铁路局为乘客提供人工通道选择权、多方广告告示、未过度使用人脸信息以及告知义务缺陷对汪某某的影响和损害小等因素,告知缺陷亦不足以单独构成侵权,成都铁路运输中级法院对汪某某请求判令成都铁路局停止违法采集人脸信息、赔礼道歉、赔偿损失800元等诉讼请求不予支持。案件宣判后,成都铁路运输中级法院向中国国家铁路集团有限公司发送司法建议,建议在互联网以及车站进站口以多种方式对个人信息处理进行明确告知。
来源:央视网
7.国家金融监督管理总局公布2024年首批罚单,多家银行涉信息安全风险等被罚
违法违规事实主要涉及重要信息系统安全防护不完善、信息安全事件定级与报告不符合要求、信息科技外包管理不审慎、网络安全域未开展安全评估、数据中心安全防护风险等。
来源:国家金融监督管理总局
8.证监会发布多批境外发行上市备案补充材料要求,多家公司被要求补充个人信息保护和数据安全措施
证监会对企业数据安全和用户隐私保护问题进行了“追问”,要求这些企业说明(1)开发、运营的网站、APP、小程序等产品情况,收集和存储用户信息规模;(2)数据收集使用情况;(3)信息内容安全保护措施;(4)是否存在向第三方提供信息的情形;(5)是否已建立有效的数据安全管理制度、数据安全保护措施;(6)在向境外控制主体提供相关数据前,是否依法依规开展数据出境安全评估;(7)在加强数据收集、传输、存储、提供、委托处理等全生命周期安全保护的具体措施,以及(8)上市前后个人信息保护和数据安全的安排或措施等。
来源:中国证监会
三
1.世界卫生组织(WHO)发布多模态大模型人工智能伦理和管理问题指导文件
指导文件列出了供政府、技术公司和卫生保健机构考虑的40多项建议,以确保适当使用多模态大模型增进和维护人民健康,其中包括:政府应该投资或提供非营利的公共基础设施,包括算力和公共数据集,供公共、私人和非营利部门的开发人员访问,这要求用户遵守道德原则和价值观,以换取访问权限。在大规模部署大模型时,应该由独立第三方实施强制性的审计和影响评估,包括数据保护和人权方面的评估等。
来源:世界卫生组织(WHO)
2.欧盟《数据法案》正式生效
该法案鼓励数据的使用,并确保数据的共享、存储和处理完全符合欧洲规则。法案使得公共部门能够获取和使用私营部门掌握的数据,以帮助应对公共紧急情况。它还将保护欧洲企业免受数据共享合同中不公平合同条款的影响,从而使小企业能够更积极地参与数据市场。
来源:欧盟委员会
3.欧盟《网络安全条例》正式生效
该条例规定了为每个欧盟实体建立内部网络安全风险管理、治理和控制框架的措施,并设立了一个新的机构间网络安全委员会(IICB),以监测和支持欧盟实体的实施。根据《条例》规定的时间表,欧盟各实体将建立内部网络安全治理流程,并逐步落实《条例》预见的具体网络安全风险管理措施。
来源:欧盟委员会
4.欧盟委员会发布关于成立欧盟人工智能办公室的决定,将推动实施《人工智能法案》
欧洲人工智能办公室(AI Office)将作为通信网络、人工智能内容和技术总局行政架构的一部分,具体任务包括开发用于评估通用人工智能模型能力的工具、方法和基准;监测通用人工智能模型和系统规则的实施和应用;调查可能违反通用人工智能模型和系统规则的行为等。
来源:欧盟动态(Euractive)
5.欧盟委员会提出促进欧盟委员会开发和使用合法、安全、可信的人工智能系统战略愿景
根据该愿景,在使用或部署人工智能时,欧盟委员会将:制定内部业务指导方针,为工作人员提供关于如何操作这些系统的明确指导;评估和分类委员会正在使用或计划使用的人工智能系统;避免使用被认为不符合欧洲价值观或对人民的安全、安保、健康和基本权利构成威胁的人工智能系统;建立组织结构,履行委员会在AI方面的义务。
来源:欧盟委员会
6.美国FTC宣布加入隐私执法全球合作安排(CAPE)
1月17日,FTC签署了隐私执法全球合作安排(CAPE),以加强在隐私和数据安全执法方面的合作,提供调查方面的协助,并与世界各地参与该安排的其他隐私权机构分享信息。CAPE是为了补充亚太经合组织跨境隐私规则(APEC CBPR)而设立的,该规则促进了亚太经合组织国家之间在隐私和数据安全调查方面的合作与协助。新的安排将允许亚太地区以外的国家参与。
来源:美国联邦贸易委员会(FTC)
7.美国NIST宣布针对沉浸式技术和隐私问题的研究计划
根据计划,NIST将在接下来的几个月里研究沉浸式技术的现状,从利益相关者社区收集关于网络安全和隐私考虑的见解和反馈。这项工作将包括征求利益攸关方的反馈意见,举办研讨会,并发布一份最终报告,概述下一步的结果和建议。
来源:美国标准与技术研究院(NIST)
8.美国NIST发布《企业网络安全评估与改善指南(草案)》
该指南提供了开发有效计划的指导,以及开发信息安全措施以满足组织业绩目标的灵活方法。其可与任何风险管理框架一起使用,如NIST的网络安全框架或风险管理框架,旨在帮助组织从有关风险水平的一般性陈述转向基于硬数据的更加一致的图景。NIST在给审核人员的说明中提议建立一个利益共同体(CoI),让那些对信息安全测量感兴趣的人共同努力,分享专业知识,完善知识和资源体系,并确定增长和改进的机会。
来源:美国标准与技术研究院(NIST)
9.英国中央数字与数据办公室(CDDO)发布《HMG生成式人工智能框架》
该框架涉及政府组织公务员和个人安全可靠地使用生成式人工智能的问题,共定义了十项共同原则,以指导政府组织安全、负责和有效地使用生成式人工智能,具体包括了解什么是生成式人工智能及其局限性;合法、合乎道德和负责任地使用生成式人工智能;知道如何保证生成式人工智能工具的安全;在适当的阶段进行有意义的人工控制等。
来源:DataGuidance
10.英国政府发布《网络治理实践准则》,并公开征求企业意见
准则分为五章,分别是技术时代的治理、标准和指导格局、监管环境、当前的英国网络治理、提议的方法:网络治理实践准则,以及附件A:网络治理实践守则和附件B:征求意见调查问题。征求意见的范围围绕三个问题:网络治理实践守则的设计、政府如何推动使用和遵守准则,以及针对本准则的保证流程的优点和需求。
来源:英国政府网站
11.英国BSI发布支持负责任人工智能管理指南
该指南详细规定了如何建立、实施、维护和持续改进人工智能管理系统,重点关注安全保障措施。它是一个基于影响的框架,提供了促进基于情境的人工智能风险评估的要求,并详细介绍了内部和外部人工智能产品和服务的风险处理和控制措施。该出版物在英国政府的国家人工智能战略中被引用。
来源:英国标准协会(BSI)
12.英国ICO发布关于儿童法规年龄保证的最新意见
更新后的意见就可能被儿童访问的在线服务必须采取何种行动提供指导,并反映了该领域的技术发展,同时解释了立法的进展,并说明组织如何在履行其数据保护义务的同时遵守2023年《在线安全法》。该意见还规定了信息专员期望在线服务如何应用适合其使用儿童数据的年龄保证措施。
来源:英国信息专员办公室(ICO)
13.英国国家网络安全中心(NCSC)发布人工智能对网络安全近期影响的报告
该报告特别评估了人工智能对网络威胁的影响,并预测未来两年人工智能将显著增加网络攻击的数量和影响。报告强调,这种影响将是不平衡的,主要是不断发展和增强现有的战术、技术和程序(TTPs)。展望2025年,该报告指出,犯罪和商业市场中人工智能功能的商品化可能会增强网络犯罪和国家行为者可用的能力。此外,该报告预测,通过改进检测和设计安全性,使用人工智能来增强网络安全弹性,预计将抵消人工智能对网络威胁的一些影响。
来源:DataGuidance
14.法国数据保护局(CNIL)发布《传输影响评估(TIA)指南(草案)》并征求公众意见
指南分为六个不同的步骤,并规定执TIA时应遵循这些步骤:(1)了解您的传输活动;(2)记录所使用的传输工具;(3)评估数据目的地国家的立法和实践以及传输工具的有效性;(4)确定并采取补充措施;(5)实施补充措施和必要的程序步骤;(6)在适当的时间间隔重新评估数据保护水平,并监控可能影响数据保护水平的潜在发展。
来源:法国数据保护局(CNIL)
15.西班牙数据保护机构(AEPD)提出《未成年人、数字健康和隐私全球战略计划》
AEPD表示,其计划包括优先行动方针,以促进有效保护儿童和青少年使用互联网及其服务。该战略将这些措施分为三大类,包括监管合作、加强未成年人权利和行使对有害做法的调查权。该战略考虑了两大合作,重点是教育、数字健康和福祉。
来源:DataGuidance
16.澳大利亚网络安全中心(ACSC)发布《参与人工智能》新指南,指导组织安全使用人工智能系统
其中总结了与人工智能系统相关的一些重要威胁,包括AI模型的数据中毒、输入操作攻击、生成式人工智能幻觉、隐私和知识产权问题、模型窃取攻击等。指南提示组织在管理风险的同时,可以采取哪些措施来参与人工智能。指南还提供了一些缓解措施,以帮助使用自托管和第三方托管人工智能系统的组织。
来源:澳大利亚网络安全中心(ACSC)
17.日本内阁府(MIC)与经济、贸易与工业省(METI)发布了《人工智能业务指南(草案)》,并征求公众意见。
指南草案指出,开发、提供或使用人工智能的企业应努力:优先考虑以人为本的人工智能开发和使用,符合重视人类尊严的理念;创造价值、解决社会问题,同时确保安全和公平,降低与人工智能相关的社会风险;保护隐私并防止滥用个人数据,并保护人工智能系统免受漏洞和外部威胁等。
来源:DataGuidance
18.新加坡资讯通信媒体发展局(IMDA)发布《生成式人工智能的模型人工智能治理框架(草案)》并征求公众意见
《框架(草案)》提出九个维度,支持建立全面可信的人工智能生态系统。其核心要素建立在基于AI做出的决策应当是可解释、透明和公平的原则之上。这九个维度包括:建立责任制、保证数据质量、可信的开发与部署、建立事件报告制度、加入第三方测试和保证、保障安全性、标明内容来源、安全和协调研究与开发、AI促进公共利益。
来源:IMDA
四
1.欧盟委员会完成对现行11项数据跨境流动“充分性决定”的审查并公布国别报告
审查结果显示,此前对安道尔、阿根廷、加拿大、法罗群岛等11个国家和地区通过的“充分性决定”继续有效,欧盟个人数据可自由流向这些国家和地区。国别报告则显示,自通过“充分性决定”以来,11个国家和地区改革其隐私立法,并采取措施保障政府出于刑事执法和国家安全目的而获取与使用来自欧盟的个人数据的权限。
来源:欧盟委员会
2.欧盟委员会根据《数字服务法》向17个超大型在线平台和搜索引擎发出正式信息请求
要求17个超大型在线平台(VLOPs)和搜索引擎(VLOSEs)提供更多信息,说明在没有不当延迟的情况下,其采取了哪些措施,来保障符合条件的研究人员对其在线平台可公开数据的访问权限。
来源:DataGuidance
3.美国联邦贸易委员会(FTC)因Response Tree非法电话营销对其罚款700万美元
美国FTC调查发现,Response Tree LLC通过其网站欺骗诱导消费者提供个人信息,并将获取的信息在未经同意的情况下出售给电话营销人员,用于联系全国范围内的消费者,该行为违反了《联邦贸易委员会法》和《电话营销销售规则》,拟议对其罚款700万美元。
来源:DataGuidance
4.美国联邦贸易委员会(FTC)与XCast Labs公司就其未采取措施屏蔽非法机器人电话达成和解协议
拟议的和解协议要求网络协议通话技术(VoIP)供应商XCast Labs公司停止支持非法电话营销活动,并对其现有客户和潜在客户进行筛选,确保他们满足FTC电话营销规则的要求。此外,XCast Labs还需支付1000万美元的民事罚款。
来源:美国联邦贸易委员会
5.美国联邦贸易委员会(FTC)与X-Mode Social及Outlogic就其出售敏感位置数据达成和解协议
和解协议禁止数据服务商X-Mode Social和Outlogic共享或出售消费者敏感位置数据,并要求其销毁除此前已获得消费者同意或去识别化外的所有数据以及基于这些数据生产的产品,并要求制定供应商评估计划,确保其提供的位置数据已获得消费者同意。此外,还要求为消费者提供简单易得的方式来撤回此前对收集、使用其位置数据的同意。
来源:JDSUPRA
6.美国联邦贸易委员会(FTC)敦促“模型即服务”(model-as-a-service)公司遵守隐私和保密承诺
“模型即服务”公司开发和托管AI模型供那些没有资源自行研发此类模型的第三方使用。这些AI模型通过终端用户界面或API接口来获取,“模型即服务”公司可能通过API接口从使用其模型的第三方推断出一系列商业数据。因此,FTC敦促“模型即服务”公司遵守对客户的隐私承诺,确保充分披露相关事实。
来源:DataGuidance
7.美国联邦贸易委员会(FTC)启动对生成式人工智能企业的投资与合作伙伴关系的调查
FTC向Alphabet、亚马逊、Anthropic、微软和OpenAI五家公司发出命令,要求其提供有关生成式人工智能和主要云服务提供商的近期投资与合作关系的信息,以加深对生成式人工智能开发者与云服务提供商投资合作关系及其对竞争格局影响的理解,为下一步行动提供指示。
来源:美国联邦贸易委员会
8.加州总检察长敦促涉嫌违反《加州消费者隐私法》的流媒体服务提供商保障消费者退出权
1月26日,加州总检察长Rob Bonta宣布对流媒体服务提供商遵守《加州消费者隐私法》(CCPA)的情况进行调查。此次调查的重点是流媒体服务提供商是否遵守了CCPA中与“退出权”相关的规定——出售个人数据或共享个人信息用于定向广告的企业必须允许消费者以简单清晰的机制享有“退出权”。
来源:加州总检察长办公室
9.荷兰阿姆斯特丹上诉法院判决Criteo必须停止在未获得同意的情况下设置Cookies的行为
1月4日,荷兰阿姆斯特丹上诉法院公布了于近期发布的判决,针对Criteo的上诉,维持了阿姆斯特丹法院的原判,裁定Criteo必须停止在未经用户同意的情况下在个人的计算机和/或其他设备上放置cookie的行为。Criteo不能直接通过第三方网站在其设备上放置cookie,而是需要确保以合法有效的方式获得用户的事前同意。
来源:DataGuidance
10.荷兰数据保护局因信用卡公司未依法开展数据保护影响评估(DPIA)对其罚款15万欧元
International Card Services B.V.(ICS)在2019年开始对荷兰客户的个人数据进行大规模使用,涉及约150万人的姓名、地址、电话及照片等。在此之前,它没有进行法律所要求的DPIA(数据保护影响评估),违反了《通用数据保护条例》(GDPR)。1月15日,荷兰数据保护局对ICS公司罚款15万欧元。
来源:荷兰数据保护局
11.丹麦数据保护机构(Datatilsynet)建议对Netcompany公司的数据安全措施不足处以1500万丹麦克朗的罚款
1月12日,丹麦数据保护机构(Datatilsynet)宣布,它已向警方举报Netcompany公司,并建议对其处以1500万丹麦克朗(约合220万美元)的罚款,原因是该公司违反了《通用数据保护条例》(GDPR),在开发数字邮件服务“mit.dk”时未能实施适当的安全措施,导致用户可以在未经授权的情况下访问其他用户的邮件。
来源:DataGuidance
12.德国联邦网络局(Bundesnetzagentur)宣布对未经授权的电话广告处以 143.5 万欧元的罚款
1月19日,德国联邦网络局(Bundesnetzagentur)宣布,其2023全年对未经授权的电话广告共处以143.5万欧元的罚款,罚款金额较2022年的115万欧元有所增加。2023年罚款金额居高的原因是许多公司或公司代表故意无视法律规定,导致许多极端案例的产生。与往年一样,大多数罚款针对能源供应公司及其委托的呼叫中心。
来源:DataGuidance
13.韩国个人信息保护委员会(PIPC)将从今年开始评估1,600个公共机构的个人数据保护情况
1月18日,韩国个人信息保护委员会(PIPC)宣布,根据新修订的《个人信息保护法》,将从今年3月起实施 “公共机构个人信息保护等级评估制度”。接受评估的公共机构数量将大幅增至1600多家,处理敏感和大规模个人信息或发生过泄密事件的公共机构将被纳入评估范围。PIPC还将提升评估的力度和可靠性,并引入相关处罚措施。
来源:韩国个人信息保护委员会
14.韩国个人信息保护委员会(PIPC)因违反闭路电视使用规定向15家企业发出警告
1月25日,韩国个人信息保护委员会(PIPC)向15家违反《个人信息保护法》(PIPA)的企业发出纠正令和警告,因为它们没有安装详细说明闭路电视使用情况的标志。在2023年9月PIPA修订之前,若未安装相关标志会被立即罚款,但修法后企业获得了自愿纠正的机会,即只有在收到纠正令且不遵守的情况下才会被处以罚款。
来源:韩国个人信息保护委员会
15.韩国个人信息保护委员会(PIPC)因泄露个人信息对KEIS和韩国留学基金会处以共计1680万韩元的罚款
2023年6至7月,因未能提供足够的安全措施以及缺乏对唯一识别码的加密,有人使用证书填充技术进入韩国就业信息服务局和韩国奖学金基金会的网站,导致约268万人的个人信息遭到泄露。1月25日,韩国个人信息保护委员会(PIPC)根据《个人信息保护法》(PIPA)对两机构处以总额为1680万韩元(约合6285美元)的罚款。
来源:韩国个人信息保护委员会
团队为您准备了详细解读,若需订阅请填写表单订阅。
