竞天公诚网络安全与数据合规动态提报(2024年4月)
时间:2024-05-23

 

竞天公诚网络安全与数据合规团队

本期编辑团队:张燕、梁天翔、张宜轩、刘瑞华、董硕、莫昌浩、牛博雅、林泽坤

 

资讯速递 

 

境内资讯

 

1.工信部发布《关于开展增值电信业务扩大对外开放试点工作的通告》

 

根据《通告》,京、深、琼、沪四地特定区域将试点取消互联网数据中心(IDC)、内容分发网络(CDN)、互联网接入服务(ISP)、在线数据处理与交易处理,以及信息服务中信息发布平台和递送服务(互联网新闻信息、网络出版、网络视听、互联网文化经营除外)、信息保护和处理服务业务的外资股比限制。拟在试点地区开展前述业务的外资电信企业,应向工信部申请取得电信业务经营试点批复。

 

来源:工业和信息化部

 

2.《人工智能示范法2.0(专家建议稿)》发布

 

《示范法》是人工智能治理的中国经验,共七章80条。2.0版在1.0版基础上,沿用建立负面清单制度的治理思路,实施许可与备案分类管理;新增税收抵免优惠条款;提出设立人工智能特区,以及在国家和地方层面成立人工智能伦理专家委员会;新增开源人工智能法律责任减免规则等。

 

来源:网络与信息法学会

 

3.国务院反垄断反不正当竞争委员会颁布新修订的《经营者反垄断合规指南》

 

新《指南》共六章41条,设立了合规管理组织章节,明确不同层级机构在合规管理中的具体职责;细化合规风险管理内容,增加对反垄断合规风险识别的“场景化”指导,新增与行政机关滥用行政权力排除、限制竞争相关的垄断行为风险;新增反垄断合规审查、合规咨询、监督机制等运行机制条款;新增“合规激励”专章,引入反垄断合规激励机制,明确适用情形及申请程序。

 

来源:国务院反垄断反不正当竞争委员会

 

4.中国人民银行就《非银行支付机构监督管理条例实施细则(征求意见稿)》公开征求意见

 

《实施细则》共八章80条,细化了支付机构设立、变更与终止等行政许可事项的申请条件、材料、审批程序及时限要求;细分储值账户运营、支付交易处理业务为I类、II类,分段阶梯式设置支付机构净资产与备付金日均余额比例,明确用户资料及交易记录保管时限至少5年;明确《条例》关于重大事项和风险事件报告、现场检查和非现场检查适用的程序和制度要求;明确央行分支机构处罚权限及处罚措施。

 

来源:中国人民银行

 

5.国家安全部发布《国家安全机关行政执法程序规定》

 

《规定》共七章140条,自7月1日起施行。根据《规定》,任何公民和组织均应履行反间谍安全防范义务;紧急情况下,国家安全机关可以对电子设备等当场查验;国家安全机关执法应坚持正当程序原则,非法获取的证据不得作为定案根据,对违法嫌疑人询问时间一般不得超过8小时,查封、扣押的期限一般不得超过30日,保障嫌疑人陈述、申辩、听证、行政复议和提起行政诉讼的权利。

 

来源:国家安全部

 

6.市场监管总局印发《市场监督管理行政执法电子数据取证暂行规定》

 

《暂行规定》对于解决市场监管执法中电子数据取证难题有重要意义,其所称的电子数据是指“与案件相关,以数字化形式存储、处理、传输,能够证明案件事实的信息”,共列举了七类常见类型,明确了收集提取电子数据的三种方法和相关要求,以及电子数据检查分析笔录的内容要素和记录要点,有效保障了电子数据取证证据效力。

 

来源:国家市场监督管理总局

 

7.杭州市数据资源管理局就《杭州市数据流通交易促进条例》公开征求意见

 

《条例》共九章43条,提出:建立数据资源持有权、数据加工使用权、数据产品经营权等分置的数据产权运行机制;探索建立公共数据、企业数据和个人信息数据授权运营制度机制;提出构建多维度数据价值评估体系和共同富裕反哺机制;提出建立常态化沟通机制、专家智库,加强政策支持和人才培养系列保障措施等。

 

来源:杭州市政府

 

8.《杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见(征求意见稿)》发布

 

《意见》共八条20项,旨在深化数据要素市场化配置改革,发展新质生产力,积累杭州经验。提出:构建包括数据交易立法、确权登记、流通体系等在内的数据制度体系;优化数据基础布局,加快数据基础设施建设;推动公共数据、企业数据、个人信息数据高效供给;集聚数据市场产业,推动数据跨域、跨境交易流通;开展“数据要素×示范场景”行动,构建全方位保障体系。

 

来源:杭州市政府

 

9.福建省发改委印发《福建省促进数据要素流通交易若干措施》

 

4月20日,福建省发改委印发《福建省促进数据要素流通交易若干措施》,主要涉及强化数据高质量供给、促进数据要素流通、创新数据应用赋能三方面内容,并对相应责任单位进行了明确划分。该文件提出要建立公共数据资源开发利用快审机制,推动公共数据按政府指导定价有偿使用,并进一步支持建设完善数据流通交易、数据资产登记等数据流通基础设施。

 

来源:福建省发展和改革委员会

 

10.《信息安全技术 基于个人请求的个人信息转移要求》等7项国家标准公开征求意见

 

4月3日,全国网络安全标准化技术委员会就关于生成式人工智能、个人信息转移等领域的七项国家标准公开征求意见,其中包括:《信息安全技术 生成式人工智能预训练和优化训练数据安全规范》《信息安全技术 生成式人工智能数据标注安全规范》《信息安全技术 基于个人请求的个人信息转移要求》等。

 

来源:全国信息安全标准化技术委员会秘书处

 

11.《汽车企业数据安全管理体系要求》团体标准正式发布

 

4月1日,由中国汽车工业协会数据分会组织制定的团体标准T/CAAMTB 189-2024《汽车企业数据安全管理体系要求》正式进入实施阶段。该标准充分参考了GB/T 22080-2016,ISO/IEC 27001:2013两个标准的要求,可以为车企的数据安全管理实践提供有益指导;同时,该标准在维护个人隐私权益和提升行业数据安全管理能力方面也将发挥重要作用。

 

来源:中国汽车工业协会

 

12.全国网安标委印发《全国网络安全标准化技术委员会2024年度工作要点》

 

4月7日,全国网安标委印发了《全国网络安全标准化技术委员会2024年度工作要点》,主要内容包括:强化顶层设计,加强网络安全战略规划与标准前瞻研究;围绕中心工作,加快推进重点领域网络安全国家标准制修定;拓展宣贯渠道,有效提升网络安全国家标准实施应用成效;聚焦关键领域,强化国际标准提案研究与人才储备;完善工作机制,提高网络安全标准化高质量发展保障能力。

 

来源:网安标委

 

 

境内监管动态

 

1.国务院新闻办就《消费者权益保护法实施条例》举行国务院政策例行吹风会

 

4月9日,国务院新闻办举行政策例行吹风会,邀请国家市场监管总局、国家网信办等多部门相关负责人介绍《消费者权益保护法实施条例》有关情况,并答记者问。为落实《个人信息保护法》要求,此次《条例》特别规定了经营者保护消费者个人信息的义务,如应当遵守以“告知—同意”为核心的个人信息处理规则;处理敏感个人信息的,应当符合有关法律、行政法规的规定;以及保障消费者在个人信息处理活动中的知情权、决定权等。

 

来源:国务院新闻办

 

2.国家互联网信息办公室发布生成式人工智能服务已备案信息

 

4月2日,国家网信办发布了2024年3月生成式人工智能服务已备案信息,其中共包含长虹云帆、AndesGPT-LVM、YOYO助理等六个模型。已上线的生成式人工智能应用或功能,应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况,注明模型名称及备案号。

 

来源:国家互联网信息办公室

 

3.全国首例AI声音侵权案一审宣判

 

4月23日,北京互联网法院一审开庭宣判全国首例AI生成声音人格权侵权案,明确认定在具备可识别性的前提下,自然人声音权益的保护范围可及于AI生成声音。AI生成声音可识别性的认定应综合考虑行为人使用情况,并以相关领域普通听众能否识别作为判断标准。

 

来源:北京互联网法院

 

4.山东省启动全省网络安全和信息化建设专项审计调查

 

为贯彻落实省委、省政府关于数字强省建设部署要求,山东省审计厅于4月6日前后启动全省网络安全和信息化建设专项审计调查,范围涉及省本级及16市有关党政机关、重要行业领域主管或监管部门、关键信息基础设施运营者,重点关注政策落实和任务完成、资金资产管理使用、项目建设管理、网络和数据安全制度执行等方面内容。

 

来源:山东省审计厅

 

5.取消酒店强制刷脸!上海杭州等地调整政策,公安部已就此发文

 

上海市公安工作人员确认,目前上海已在全市严禁酒店强制刷脸,且该市局表示这是自去年就已开展的专项工作部署,近期又进行了重申和强调。除上海之外,杭州、湖北宜昌等地开始取消酒店入住“强制刷脸”的要求。据悉,公安部曾下发一份指导意见,就不再强制刷脸提出要求,但各地执行情况不一。为规范人脸识别技术应用,国家网信办尝试作出红线。2023年8月8日,国家网信办发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,明确只有在具有“特定的目的”和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息,还提出了“实现相同目的或者达到同等业务要求,应当优先选择非生物特征识别技术方案”。2024年7月1日施行的《消费者权益保护法实施条例》第23条也指出,经营者在提供商品或服务时,不得过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。未来要求采集人脸信息的行为将会受到更为严格的监管。

 

来源:南方都市报

 

6.杭州互联网法院:严惩非法买卖、使用新生儿信息

 

公益诉讼起诉人在履职中发现,2020年下半年至2022年2月期间,李某通过非法渠道陆续购入多地新生儿个人信息3万余条,包括新生儿出生日期、性别、父母姓名及联系方式等。某摄影公司、某创意公司为拓展婴童摄影业务,先后向李某购买交易并使用上述信息,李某从中非法获利29万余元。4月16日,杭州互联网法院公开开庭审理公益诉讼起诉人杭州市萧山区人民检察院诉李某、某摄影公司、某创意公司个人信息保护民事公益诉讼案,当庭判令三被告在国家级媒体上公开赔礼道歉并支付公益损害赔偿金29万余元。

 

来源:杭州互联网法院

 

7.公安部公布10起打击整治网络谣言违法犯罪典型案例

 

2023年12月以来,公安部部署全国公安机关统一开展打击整治网络谣言专项行动。截至目前,公安机关累计排查网络谣言线索8万余条,侦办网络谣言类案件1万余起,抓获犯罪嫌疑人1500余名,行政处罚10700余人,开展公开辟谣等4200余次。4月12日,公安部公开了本次专项中包括浙江、江苏公安机关查处“寒假作业丢巴黎”摆拍引流案在内的十起网络谣言违法犯罪典型案例。

 

来源:公安部网安局

 

8.中央网信办部署开展“清朗·打击违法信息外链”专项行动

 

中央网信办专门印发通知,在全国范围内部署开展为期2个月的“清朗·打击违法信息外链”专项行动。中央网信办有关负责人表示,本次专项行动聚焦违法信息外链问题易发多发的8个重点环节开展整治:账号环节、评论环节、群圈环节、直播、短视频环节、生活服务环节、浏览器、搜索引擎环节、电商环节和涉未成年人版块环节。

 

来源:网信中国

 

9.北京互联网法院数据权益巡回审判庭开庭审理第一案

 

4月23日,北京互联网法院在该院经济技术开发区数据权益巡回审判庭依法公开开庭审理天津某信息技术公司与北京A科技公司、北京B科技公司侵害作品信息网络传播权纠纷一案。审判庭判决在本案中原告旨在向用户提供能够匹配用户使用场景、帮助用户防范风险的合同文本构成作品,被告侵害原告的信息网络传播权。被告赔偿原告经济损失1214400元及合理开支100000元。但本案仍在上诉中,一审判决尚未生效。

 

来源:北京互联网法院

 

10.国内首个基层数据跨境服务中心在上海临港启用

 

4月8日,全国首个由网信部门和地方政府共同建设运营的数据跨境服务中心——临港新片区数据跨境服务中心启用。中心将致力于为数据处理者提供全方位、全流程数据跨境服务,包括材料受理、业务咨询等环节,在自贸区一线打造数据跨境流动的“绿色通道”。临港跨境数科已经向数据跨境服务中心提交了便捷访问的试点申请,在数据出境方面,也已经有不少企业提交了申请。对提出申请的场景,没有发现敏感和重要数据的,临港新片区管委会就能备案通过;即使发现了重要数据或较难判断的场景,也可交由平台共建方上海市委网信办进一步分析评估。而且,临港新片区数据跨境服务中心不仅服务临港企业,还面向全市企业开放,更像是专精于数据跨境这一垂类的行政服务中心,真正做到了全方位、全流程的一站式服务。

 

来源:解放日报

 

境外资讯

 

1.欧盟委员会发布《数据法》指南

 

指南主要包括了八个主要章节:BtoB和BtoC的数据共享;企业间数据共享;不公平合同条款;企业对政府的数据共享;数据处理服务之间的切换;关于第三国政府非法访问数据;交互操作条款和《数据法》执行。指南进一步地明确了《数据法》实施过程中的各种细节。

 

来源:欧盟委员会

 

2.欧洲数据保护委员会发布欧盟-美国数据隐私框架救济流程指南

 

指导文件包括问答信息、向美国国家情报总监办公室公民自由保护官投诉的模板表格以及向欧盟数据保护机构投诉的商业相关投诉模板表格。

 

来源:IAPP

 

3.《欧盟官方公报》发布欧洲数字身份框架

 

旨在为整个欧盟的公共和私营部门提供安全和统一的数字身份系统,确保电子身份识别服务在欧盟范围内的安全水平,以促进自然人和法人行使访问在线公共和私人服务的权利,包括跨境访问。该条例于2024年5月20日生效。与EUDI钱包和电子属性认证相关的第一批执行行为的发布截止日期定于2024年11月21日,而与所有其他信任服务相关的其他执行行为的发布截止日期定于2025年5月21日。

 

来源:OneTrust DataGuidance

 

4.《欧洲互操作法案》(Interoperable Europe Act)正式生效

 

旨在促进跨境数据交换,加速欧盟公共部门的数字化转型。该法案对实现欧盟“数字十年”目标至关重要,包括到2030年实现所有关键公共服务在线化。它将通过建立多层次合作框架、引入强制性互操作性评估、创建“互操作性欧洲门户”和加强创新与政策支持机制等关键措施来实施。预计每年可节省高达50亿欧元。该法案适用于包括欧盟机构在内的所有公共部门机构,并通过“数字欧洲计划”提供资金支持。

 

来源:欧盟委员会

 

5.英美达成全球首个涉AI安全双边协议

 

4月2日,英国和美国政府签署了关于人工智能(AI)安全合作的谅解备忘录(MoU)。该备忘录总结了两国政府在AI安全方面的合作要点。MoU为两国在实现AI安全共同目标方面提供了更详细的合作基础,两国AI安全研究所将紧密合作,开发一个可互操作的工作计划和安全研究方法,以实现他们在AI安全方面的共同目标。通过两国研究所之间的AI安全伙伴关系,双方将继续识别和发展新的合作机会。

 

来源:英国政府

 

6.英国国家网络安全中心(NCSC)发布最新版本的网络评估框架(CAF)

 

CAF为组织提供了一种系统性的方法,用以评估其管理对关键功能构成网络风险的程度。该框架围绕以下四个目标构建:管理安全风险、防御网络攻击、检测网络安全事件以及最小化网络安全事件的影响。CAF承认了人工智能(AI)技术在自动功能和自动化决策过程中带来的网络安全挑战,并表示将在未来的CAF版本中更详细地考虑AI的影响。

 

来源:OneTrust DataGuidance

 

7.美国数据隐私立法草案——《美国隐私权法案》公布

 

4月7日,美国参议院商务、科学和交通委员会主席和美国众议院能源和商务委员会主席共同公布了《美国隐私权法案》(American Privacy Rights Act)的草案。该法案为美国人民提供了基本的、可执行的数据隐私权利,使人们能够控制自己的数据,并消除了各州法律的不一致性。法案旨在建立一个全国性的数据隐私和安全标准,赋予人们控制个人信息的权利,并通过私人诉讼权等强有力的执行机制,追究违规者的责任。法案还特别关注了AI技术在自动化功能和决策过程中带来的隐私挑战,并强调了保护消费者权利的重要性。

 

来源:U.S. Senate Committee on Commerce, Science and Transportation

 

8.美国国会提出新的AI法案

 

4月9日,美国众议院提出了《2024年生成性人工智能版权披露法案》(H.R. 7913)。该法案要求生成性AI系统的创作者向版权局提交通知,详细列出用于生成AI系统数据的训练数据集中包含的所有受版权保护的作品。H.R. 7913旨在通过告知版权持有者其作品在AI系统数据集中的使用情况来增强透明度。尽管法案要求披露版权内容的URL,但这可能导致仅仅是URL列表,而不是具体使用的具体版权作品的详细报告。

 

来源:BYU Copyright Licensing Office

 

9.美国发布工作场所人工智能应用相关风险的指南

 

4月29日,美国劳工部工资和工时司(WHD)发布了2024-01号现场援助公告,题为《工作场所下的人工智能和自动化系统》。公告指出,用于监控员工生产力、休息时间、等待时间和地理位置的人工智能(AI)系统往往无法提供符合《公平劳动标准法》(FLSA)等事项的合规记录。公告还解释了AI软件测量和捕获的数据通常与“工作时间”等FLSA概念不一致,详细说明了如果雇主依赖AI系统而没有适当的人为干预以确保遵守法律,可能会在遵守《家庭和医疗假法》《哺乳母亲促进法案》(PUMP Act)和其他联邦休假法律方面出现问题。

 

来源:SWACCA

 

境外监管动态

 

1.英国ICO发布2024-2025年儿童在线个人信息保护的优先事项

 

4月3日,信息专员办公室(ICO)呼吁社交媒体和视频分享平台改善其数据保护实践,以保护儿童在线安全。2024至2025年,儿童守则战略将重点关注:默认隐私和地理定位设置;针对儿童的定向广告;在推荐系统中使用儿童信息;使用13岁以下儿童的信息,需要父母同意,并使用年龄验证技术。ICO还将与其他英国监管机构如Ofcom以及国际同行合作,以提高全球数据保护标准。

 

来源:英国ICO

 

2.欧洲数据保护委员会(EDPB)发布2023年年度报告

 

2023年,EDPB继续提供数据保护法和塑造数字环境的关键法律原则的重要共同解释,并采取一系列措施加强执法合作,通过了关于草案立法的重要意见,并为小型企业推出了数据保护指南。国家数据保护机构(DPAs)在2023年共同发出了超过19亿欧元的罚款。EDPB通过两项具有约束力的决定和一项紧急决定,解决了Meta和TikTok的数据传输和处理争议,并发布了针对社交媒体平台的欺骗性设计模式和执法领域面部识别技术使用的指南。EDPB还进行了年度调查,以审查其活动并确定其指导对解释GDPR条款的有用性。

 

来源:欧洲数据保护委员会(EDPB)

 

3.英国FCA公布人工智能监管方法

 

4月22日,英国金融行为监管局FCA发布了人工智能监管方法的更新,详细介绍了在英国政府发布对人工智能监管白皮书咨询的回应后,FCA更新的对人工智能的监管方法。FCA强调,该监管方法侧重于识别和降低风险,而非禁止特定技术。该监管方法包括评估人工智能、区块链和云基础设施等技术对金融市场和消费者保护的影响。此次更新遵循一种基于结果的监管方法,允许公司灵活地进行创新和适应技术变革,同时确保能够保护消费者免受新出现的危害。

 

来源:FCA官网

 

4.谷歌将删除数十亿条数据记录作为诉讼和解的一部分

 

4月2日,根据CNN报道,谷歌将删除数十亿条浏览器记录,以和解2020年对其提起的诉讼。该诉讼指控谷歌不当跟踪隐身模式下用户的数据。和解协议要求谷歌删除这些记录,更新披露信息,允许用户阻止第三方cookie,并停止跟踪隐身模式下的用户。和解没有涉及赔偿,但原告可单独提起损害赔偿诉讼。

 

来源:CNN

 

5.意大利数据保护机构允许OpenAI在满足GDPR的条件后在意大利重新激活

 

4月28日,意大利数据保护机构Garante允许OpenAI在满足特定合规条件后,在意大利重新激活ChatGPT。OpenAI承诺提供年龄验证工具,提高隐私政策可见度,并为欧盟公民提供新的退出表单以拒绝使用其个人数据。此前,ChatGPT因被指违反隐私规则而在意大利下线。Garante将继续调查ChatGPT并与其他监管机构合作。

 

来源:路透社

 

6.欧盟根据《数据服务法》认定Shein为超大型在线平台

 

4月26日,欧盟委员会根据《数字服务法》正式将快时尚在线零售商Shein指定为超大型在线平台(VLOP),要求Shein在2024年8月底前遵守更严格的监管规则,包括进行外部独立审计、公布广告存储库、允许研究人员访问公开数据、定期发布透明度报告,并指定合规职能部门。此举意味着Shein将面临更严格的数据和消费者保护义务,欧盟委员会将与爱尔兰数字服务协调员合作监督Shein的遵守情况。

 

来源:欧盟委员会

 

7.谷歌以6200万美元达成位置隐私信息集体诉讼的和解

 

4月19日,联邦法官批准了一项集体诉讼和解协议,要求谷歌支付6200万美元,以解决其涉嫌收集和存储试图保护隐私的智能手机用户的位置数据的指控。和解协议规定,谷歌需向包括哈佛大学伯克曼克莱因互联网与社会中心、自由出版社等在内的十多个学校和组织支付约4200万美元,而提起诉讼的律师团队将获得约2000万美元,个人用户不会获得补偿。

 

来源:MediaPost

 

8.欧盟依据《数据服务法》对TikTok Lite开启正式调查

 

4月23日,欧盟对TikTok展开了第二次正式调查,欧盟委员会宣布怀疑该视频分享平台违反了欧盟的《数字服务法》(DSA)。欧盟委员会还表示,在调查TikTok Lite应用程序对用户造成精神健康风险的担忧期间,它打算采取临时措施,迫使该公司暂停在欧盟境内访问TikTok Lite应用。

 

来源:欧盟委员会

 

9. “TikTok剥离法案”及“防止受关注国家侵害美国人数据法案”生效

 

4月24日,美国总统拜登签署了名为H.R.815的一揽子法案,其中包括3月中旬引起极大关注的“TikTok剥离法案”即《保护美国人免受外国敌对势力控制应用侵害法案》,以及2月底以行政命令形式发布,现以法案形式生效的《2024年保护美国人数据免受外国敌对势力侵害法案》。法案的正式生效,将对希望开拓美国市场的中国企业造成巨大的不确定性。

 

来源:美国国会

 

10.捷克法院判决人工智能生成图片不满足著作权主体与客体要件

 

4月10日,捷克布拉格市法院在一项判决中裁定,由人工智能生成的图片不满足著作权法规定的主体和客体要件,因此不属于著作权法保护的对象。案件中,原告使用DALL-E程序生成一张图片并发布在自己的网站上,后被告在自己的网站上使用了该图片。原告声称自己为图片的作者并要求被告删除图片,但法院认为由于人工智能不是自然人,不能成为著作权法下的作者,同时原告没有提供足够的证据证明其对图片的创作有独创性贡献,因此该图片不构成著作权法意义上的作品。

 

来源:知识产权创新与竞争研究中心CUPL

 

微信公众号 ×

使用“扫一扫”即可添加关注