竞天公诚网络安全与数据合规团队
本期编辑团队:梁天翔、张燕、张宜轩、刘瑞华 、莫昌浩、牛博雅、林泽坤
资讯速递
一
1.中美举行人工智能政府间对话首次会议
双方介绍了各自对人工智能技术风险的看法和治理举措以及推动人工智能赋能经济社会发展采取的措施。中方强调人工智能技术是当前最受关注的新兴科技,中方始终坚持以人为本、智能向善理念,确保人工智能技术有益、安全、公平。中方支持加强人工智能全球治理,主张发挥联合国主渠道作用,愿同包括美方在内的国际社会加强沟通协调,形成具有广泛共识的全球人工智能治理框架和标准规范。中方就美方在人工智能领域对华限制打压表明严正立场。双方均认识到人工智能技术发展既面临机遇也存在风险,重申继续致力于落实两国元首在旧金山达成的重要共识。
来源:外交部
2.中国和法国发布关于人工智能和全球治理的联合声明
中法两国元首深信两国之间持续对话对于为全球挑战提供持久解决方案的重要性,决定加强中法关系作为全球挑战国际治理推动力的作用。为此,在2023年4月7日《中法联合声明》达成共识的基础上,于2024年5月6日,发布《中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明》,在人工智能方面达成十点共识。
来源:中国政府网
3.中国加入《数字经济伙伴关系协定》(DEPA)工作组举行第五次首席谈判代表会议
5月7日,中国加入《数字经济伙伴关系协定》(DEPA)工作组第五次首席谈判代表会议在新西兰奥克兰举行,中方同智利、新西兰、新加坡、韩国等就中国加入谈判进程及相关议题深入交换意见。《数字经济伙伴关系协定》主要由16个模块构成,包括:初始规定和一般定义、商业和贸易便利化、数字产品即相关问题的处理、数据问题、广泛的信任环境、商业和消费者信任、数字身份、新兴趋势和技术、创新与数字经济、中小企业合作、数字包容、联合委员会和联络点、透明度、争端解决、例外和最后条款。其中,商业和贸易便利化、数字产品即相关问题的处理、数据问题、新兴趋势和技术四个领域为核心模块。
来源:商务部
4.反洗钱法修订草案首次提请十四届全国人大常委会审议:完善反洗钱义务规定
修订草案完善了反洗钱义务规定。一是规定金融机构反洗钱义务,主要包括:建立健全反洗钱内控制度并有效实施;开展客户尽职调查,了解客户身份、交易背景和风险状况;保存客户身份资料和交易记录;有效执行大额交易报告制度和可疑交易报告制度。二是规定特定非金融机构反洗钱义务,要求其在从事本法规定的特定业务时,应当参照金融机构履行反洗钱义务。三是规定单位和个人不得从事洗钱活动或者为洗钱提供便利,应当配合金融机构和特定非金融机构依法开展客户尽职调查等。此外,修订草案还规定了该法的域外适用效力,完善了法律责任规定,加大了对违法行为的处罚力度。
来源:中国人大网
5.全国人大常委会发布2024年度立法工作计划,安排审议《网络安全法》修改案
《十四届全国人大常委会立法规划》贯彻落实党的二十大战略部署,对本届立法工作作出统筹安排。结合分解落实立法规划,与中央有关方面的工作要点、计划相衔接,对2024年度法律案起草和审议等工作作如下安排:......修改网络安全法。
来源:中国人大网
6.《国务院2024年度立法工作计划》发布,含网络数据安全管理条例
经党中央、国务院同意,国务院办公厅日前印发《国务院2024年度立法工作计划》,拟提请全国人大常委会审议法律案21件,拟制定、修订行政法规30件,预备提请全国人大常委会审议法律案26件,其中涉及网络安全的,包括预备提请审议人工智能法草案,拟制定网络数据安全管理条例,预备修订互联网信息服务管理办法。
来源:国务院
7.国务院常务会议审议通过《制造业数字化转型行动方案》《公平竞争审查条例(草案)》
国务院总理李强5月11日主持召开国务院常务会议,研究有效降低全社会物流成本有关工作,审议通过《制造业数字化转型行动方案》,部署在全国全面实施三大粮食作物完全成本保险和种植收入保险政策,审议通过《公平竞争审查条例(草案)》和《国务院关于修改〈国家科学技术奖励条例〉的决定(草案)》。
来源:新华社
8.国家监察委员会等联合发布《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定(试行)》,涉及刑事证据数据出境
规定要求中国境内的机构、组织和个人为维护自身权益等目的,需要主动向外国提供证据的,应当遵守保守国家秘密、数据安全、个人信息保护等有关法律规定,并向工作机制办公室提交书面申请。
来源:司法部
9.《会计师事务所数据安全管理暂行办法》发布
《暂行办法》主要包括五方面内容,一是总则,主要明确制定依据、适用对象、责任主体;二是数据管理,主要包括总体责任、责任人员、数据分类分级、日志管理、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、数据出境等内容;三是网络管理,主要包括网络管理制度、资源投入、访问控制、系统账户管理等内容;四是监督检查,主要包括信息共享、日常检查、重点检查对象、安全审查、行政监管措施、行政处罚等内容;五是附则。
来源:国家互联网信息办公室
10.国家网信办发布《互联网政务应用安全管理规定》
对互联网政务应用从开办、建设,到运营中涉及的信息安全、网络和数据安全、电子邮件安全及监测应急处置等事项做了全面的规定,旨在构建一个全面、系统的互联网政务应用安全管理框架。此外,通过设定明确的责任追究机制,进一步增强了规定的执行力度,有助于提升互联网政务应用的整体安全水平。
来源:国家互联网信息办公室
11.司法部就《中华人民共和国保守国家秘密法实施条例(修订草案送审稿)》公开征求意见
《条例》修订草案送审稿共6章73条,新增表彰奖励的有权主体和具体适用情形,新增绝密级国家秘密载体、密品管理、保密要害部门部位、用于保护国家秘密的安全保密产品和保密技术装备专门条款,压实机关、单位信息系统、信息设备日常保密管理责任,强化涉密信息系统运行维护要求,细化风险评估标准,细化网络运营者信息管理、配合保密行政管理部门依法履职及报告义务,对机关、单位工作人员使用互联网、新媒体和智能终端设备提出保密管理要求,强化涉外保密管理,等等。
来源:司法部
12.工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)》
该细则明确了数据安全风险评估的适用对象、评估内容、评估频次、评估报告的提交与管理等关键环节,为工业和信息化领域的数据安全风险评估提供了具体的操作指南。需要关注的是,细则第十八条明确“对一般数据处理者数据处理活动开展的数据安全风险评估可参照本细则实施”。这意味着工业和信息化领域的一般数据处理者,也可关注此细则中的相关规定,完成数据安全风险评估。
来源:工信部
13.工信部等发布《制造业企业供应链管理水平提升指南(试行)》
指南以推进制造业高端化、智能化、绿色化发展为导向,从6个方向引导制造业企业提升供应链管理水平。在加快企业供应链数字化转型方向中,明确供应链数字化的主要内涵,提出制定有效的供应链数字化策略、加强供应链管理系统建设、提高供应链数字化运用能力等3条具体措施。
来源:工业和信息化部
14.工信部发布《工业互联网专项工作组2024年工作计划》
工作计划提出,探索工业互联网在重点领域的新发展模式。加速工业互联网与人工智能融合创新,探索5G、大模型与面向特定场景小模型的协同应用模式。引导行业龙头企业联合人工智能企业,加速能源资源、交通等重点领域的行业大模型与工业互联网融合,推动生产级运用示范项目落地。大力推广数字化研发、智能化生产、网络化协同、个性化定制、服务化延伸、精益化管理等新模式新业态。推进智能制造试点项目建设。
来源:工业和信息化部
15.《工业领域重要数据识别指南》《工业企业数据安全防护要求》等3项通信行业标准报批公示
《工业企业数据安全防护要求》规定了工业企业数据安全防护的总体要求、基础性数据安全防护要求、数据全生命周期安全防护要求,适用于指导工业企业开展数据安全防护工作,也可为开展数据安全风险评估工作提供参考。
《工业领域重要数据识别指南》给出了工业数据处理者开展工业领域重要数据识别的基本原则、流程和考虑因素,适用于工业数据处理者开展工业领域重要数据识别工作,也可为行业监管部门制定工业领域重要数据目录提供参考。
来源:工业和信息化部
16.市场监管总局发布《网络反不正当竞争暂行规定》
要求经营者不得利用互联网、大数据、算法等技术手段,通过影响用户选择或者其他方式,实施流量劫持、干扰、恶意不兼容等行为,妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行。
来源:国家市场监督管理总局
17.市场监管总局等发布《关于促进网络拍卖规范健康发展的指导意见》
首次明确了网络拍卖平台经营者的主体责任,包括:全面落实《中华人民共和国电子商务法》《网络交易监督管理办法》等法律法规关于平台责任的要求,履行对平台内网络拍卖经营者信息的核验、登记义务,并明确对违规拍卖信息的依法处置、报告责任等。
来源:国家市场监督管理总局
18.市场监管总局就《市场监督管理信用修复管理办法(征求意见稿)》公开征求意见
办法扩大了修复范围:第二条、第九条、第十条中,将实践中广受关注的经营异常名录列入移出记录、自主公示行政处罚信息、抽查检查结果相关负面信息等纳入修复范围。为了做好规章修订衔接,第十九条对其他部门提请列入严重违法失信名单的相关经营主体信用修复作出规定。为支持重整企业重塑信用,第二十条对重整企业信用修复作出规定。
来源:国家市场监督管理总局
19.商务部印发《数字商务三年行动计划(2024—2026年)》
计划强调坚持数据赋能。深度挖掘商务领域数据要素价值,加强数据对流通、消费、外贸、吸引外资、对外投资、国际合作等领域深度赋能,切实发挥数据要素对商务领域提质、降本、增效的支撑作用,打造商务高质量发展的数字化新引擎。
来源:商务部
20.自然资源部就强制性国标《智能网联汽车时空数据安全处理基本要求》《智能网联汽车时空数据传感系统安全基本要求》公开征求意见
《智能网联汽车时空数据安全处理基本要求》拟适用于面向社会销售且在中国境内运行的智能网联汽车,具体规定了智能网联汽车对时空数据进行保密处理,以及存储、传输等环节进行地理信息安全处理的基本要求。其中,时空数据特指智能网联汽车产生的具有时间、空间特征的地理信息数据。
《智能网联汽车时空数据传感系统安全基本要求》特别适用于搭载了时空数据传感系统、面向社会销售且在中国境内运行的智能网联汽车,并规定了智能网联汽车安装、集成涉及时空数据感知与处理等功能的安全要求、检测要求、同一型式判定条件以及实施过渡期。
来源:全国标准信息公共服务平台
21.自然资源部等发布《关于规范移动互联网应用程序中登载使用地图行为的通知》
通知要求,从事互联网地图服务的APP主办者应按照相关法律法规,向自然资源主管部门、电信主管部门履行地图审核程序、ICP备案手续。地图内容发生变化或者进行更新的,应依法重新履行地图审核程序。
来源:自然资源部
22.中国人民银行等发布《受益所有人信息管理办法》
管理办法规定了哪些主体应当备案受益所有人信息,设置了承诺免报条款,明确了受益所有人识别标准,限定了备案信息查询使用条件等,更好地规范公司等主体备案受益所有人相关信息处理活动。
来源:中国人民银行
23.16项网络安全国家标准获批发布
根据2024年4月25日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第6号),全国网络安全标准化技术委员会归口的16项国家标准正式发布。其中包括《网络安全技术 信息技术安全评估方法》《数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》等。
来源:全国标准信息公共服务平台
24.《网络安全技术 关键信息基础设施边界确定方法(征求意见稿)》发布
给出了关键信息基础设施边界确定的方法,包括基本信息梳理、关键信息基础设施功能识别、关键业务链与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设施要素识别和边界确定的流程、步骤等内容,适用于指导关键信息基础设施运营者确定关键信息基础设施边界,也可为关键信息基础设施安全保护的其他相关方使用。
来源:全国网络安全标准化技术委员会
25.全国网安标委发布2024年度第一批网络安全国家标准需求
为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国网络安全标准化技术委员会秘书处坚持问题导向,调研国家网络安全重点工作和技术产业发展需求,研究形成了2024年度第一批网络安全国家标准需求清单,包含云计算服务数据安全要求、小型个人信息处理者个人信息保护要求、匿名化处理指南、生成式人工智能内容标识方法等。
来源:全国网络安全标准化技术委员会
26.全国网安标委就《网络安全技术 生成式人工智能服务安全基本要求(征求意见稿)》公开征求意见
《要求》规定了生成式人工智能服务在安全方面的基本要求,包括训练数据安全、模型安全、安全措施等,并给出了安全评估参考要点,旨在帮助服务提供者明确生成式人工智能服务网络安全基线、提高服务安全水平,适用于服务提供者开展安全评估,也可为相关主管部门提供参考。
来源:全国网络安全标准化技术委员会
27.全国网安标委下达《数据安全技术 个人信息保护合规审计要求》等5项网络安全推荐性国家标准计划
包括《网络安全技术 网络安全试验平台 体系构架》《网络安全技术 网络安全 第7部分:网络虚拟化安全》《网络安全技术 数字水印技术实现指南》《网络安全技术 网络空间安全图谱要素表示要求》和《数据安全技术 个人信息保护合规审计要求》。其中《数据安全技术 个人信息保护合规审计要求》由中国电子技术标准化研究院牵头制定。
来源:全国网络安全标准化技术委员会
28.北京市高级别自动驾驶示范区工作办公室发布关于指定政策先行区自动驾驶车辆测试道路及测试区域的通告
自动驾驶车辆应当依照北京市智能网联汽车政策先行区政策要求取得相应资格,并在指定的区域和时段进行测试,对于违反试车规定的测试车辆由公安交管部门依法进行处罚。
来源:北京市高级别自动驾驶示范区工作办公室
29.天津自贸区数据出境管理负面清单印发
这是《促进和规范数据跨境流动规定》实施以来,首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境管理负面清单。此次发布的负面清单列明了天津自贸试验区企业向境外提供数据需要申报的数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。
来源:中国(天津)自由贸易试验区管理委员会
30.上海自贸区临港新片区数据跨境场景化一般数据清单发布
清单涵盖智能网联汽车、公募基金、生物医药的11个场景,适用于在上海自贸区和临港新片区范围内登记注册、且在临港新片区开展数据跨境流动相关活动的数据处理者。今年4月,上海市委网信办与临港新片区管委会共同成立临港新片区数据跨境服务中心,作为一般数据清单操作落地的实体窗口,为企业数据出境提供咨询、辅导、初审、备案等全流程服务。临港新片区还同步制定了清单的配套操作指南,帮助企业应用一般数据清单高效合规地开展数据跨境流动。
来源:中国(上海)自由贸易试验区临港新片区管理委员会
31.上海修订发布《上海市科学技术进步条例》
新修订的《条例》立足上海国际科创中心建设的战略使命和龙头带动、示范引领功能,凸显时代性、创新性和引领性。新修订的《条例》共十一章四十七条。《条例》规定市、区人民政府相关部门应当加强空间、算力等资源保障,支持重大科技项目部署、科技成果转化等活动。建立公共数据开放共享机制,支持企业依法共享数据。
来源:上海市人民代表大会常务委员会
32.河北工信厅发布《河北省工业领域数据安全能力提升工作方案(2024—2026年)》
就提升工业企业数据保护能力、强化数据安全产业支撑能力、提高数据安全监管能力等方面提出具体要求。
来源:河北省工业和信息化厅
33.海南工信厅就《海南自由贸易港数字经济促进条例(征求意见稿)》公开征求意见
《条例》明确引进跨国公司和大型互联网企业在海南自由贸易港建设数据中心,探索发展国际数据中心,支持开展跨境数据处理、算力租售等服务。《条例》支持设立海南自由贸易港国际数据交易场所;积极融入全球数字经济体系,在数字身份跨境认证、跨境电子支付、数据制度、数据跨境流动等领域先行先试,率先构建与高标准经贸规则相衔接的制度体系。同时,海南自由贸易港应当在国家数据跨境传输安全管理制度框架下,建立数据跨境流动管理机制,探索推行数据跨境流通“负面清单”制度,加快实现医疗、航天、深海、贸易、投资、教育、旅游、金融等领域数据跨境安全有序流动。
来源:海南省工业和信息化厅
34.湖北省数据局发布《湖北省数据条例(草案)(征求意见稿)》
条例草案的目的是规范数据处理活动,加强数据资源管理,保障数据安全,保护个人和组织的合法权益,加速数据要素市场培育,推动新质生产力的形成。该条例适用于湖北省内的数据发展和管理、数据权益保障、数据资源开发利用、数据要素市场建设和数据安全管理等活动。条例强调了数据的分类分级管理、公共数据的汇聚和开放、数据交易的合规性和安全性、数据安全责任的落实等方面的要求。
来源:湖北省数据局
35.山西省发布《山西省数据工作管理办法(征求意见稿)》
《办法》(征求意见稿)旨在加快山西省的数据基础制度建设,推动数据资源整合共享和开发利用,促进数字山西、数字社会建设,构建以数据为关键要素的数字经济。该办法规定了政府和部门的职责,包括数据管理、数据基础设施建设、数字山西建设、数字经济发展等方面。此外,还强调了数据安全的重要性,要求建立安全保障措施和应急预案。
来源:山西省发展和改革委员会
36.湖南省工信厅印发《湖南省工业和信息化领域网络安全和数据安全管理支撑服务工作管理办法(试行)》
办法旨在加强网络安全和数据安全管理,规范发展支撑服务工作,培育支撑机构。该办法适用于工信部门和支撑机构为企业提供相关服务与工作,包括宣贯培训、资产清查、安全评估等。同时,办法规定了管理考核机制,确保支撑工作的质量和效率。
来源:湖南省工业和信息化厅
37.浙江省政府办公厅发布《关于深化数据知识产权改革推动高质量发展的意见》
意见旨在深化数据知识产权改革,推动高质量发展。意见提出到2024年底,数据知识产权登记总量突破1万件,运用价值超50亿元,赋能产业25个以上。意见要求建设数据知识产权登记中心,提高登记质效,共享登记信息,强化权益保护,推动行业自律。提升企业数据创新能力,促进产业数据跨界融合,加强公共数据开发利用,推动科学数据开放共享。
来源:浙江省政府办公厅
38.浙江首份《引导企业数据健康发展行为指引》发布
《行为指引》聚焦市场主体在大数据产业发展中的热点和难点问题,具有积极推动企业数据赋能、不断强化企业数据合规管理、有效应对当前数据安全形势的特点。《行为指引》共分为数据收集与存储、数据开发利用与加工处理、数据交易、数据出境、数据风险识别与安全保护、附则六大部分内容。
来源:杭州互联网法院
39.广东省交通厅印发《广东省交通运输领域数据治理发展规划(2024—2030年)》
《规划》旨在构建一体化数据治理体系,推动数据资源汇聚、整合、共享和应用,提升治理能力和水平现代化。规划明确了发展基础、困难挑战、总体要求、总体框架和重点任务,提出到2030年建成完备的数据治理体系,支撑交通运输治理现代化。重点任务包括打造数据枢纽、数字化梳理、数据资源整合、质量管理、安全保护、合规监管、数据开放共享和创新应用等。
来源:广东省交通厅
二
1.中国气象局印发实施方案 加快推进“气象数据要素×”行动
《实施方案》明确,到2026年底,打造30个以上示范性强、显示度高、带动性广的典型应用场景,推出50个以上满足典型应用场景需求的高价值气象数据产品,形成一批以实时数据流驱动运转为特征的业务新机制、新模式,探索培育若干创新能力强、成长性好的气象数据商和第三方专业服务机构,实现“需求牵引产品研发、数据支撑场景运转、交易释放数据价值”的良性循环,推动数据要素成为气象高质量发展的重要驱动力量。
来源:中国气象局
2.市场监管总局公布2023年知识产权执法十大典型案件
市场监管总局通过选取公布2023年十大案例,展示了市场监管总局推动构建全链条知识产权执法机制,依法严厉打击商标侵权、假冒专利、恶意申请商标注册和违法开展商标专利代理等行为,强化特殊标志、官方标志专有权保护,有力保护经营者和消费者的合法权益,维护创新发展的良好环境的执法成绩。
来源:国家市场监督管理总局
3.国家互联网应急中心发布关于汽车数据处理4项安全要求检测情况的通报(第一批)并附检测标准与方法
中心依据《汽车数据安全管理若干规定(试行)》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等法规标准有关规定,按照企业自愿送检原则,2023年11月起组织对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况(车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求)进行检测。
来源:国家互联网应急中心
4.国家计算机病毒应急处理中心公布近期监测发现10款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现10款移动App存在隐私不合规行为,包括在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,或以默认选择同意隐私政策等非明示方式征求用户同意。个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法定内容。
来源:新华社
5.工信部发布关于侵害用户权益行为的APP(SDK)通报(2024年第3批)
工业和信息化部组织第三方检测机构进行抽查,共发现50款APP及SDK存在侵害用户权益行为并通报。所涉问题包括:违规收集个人信息;APP强制、频繁、过度索取权限;弹窗关不掉、乱跳转;SDK使用说明不完整等问题。
来源:工业和信息化部通信管理局
6.江苏省开展全省数据出境情况摸底调查
江苏省内数据处理者如涉及数据出境活动,应通过线上形式填报数据出境有关信息,此次摸底调查所面向的对象为江苏省内数据处理者,即在境内开展数据处理活动并向境外提供数据的省内各党政部门、企事业单位、社会组织等,其中省内企业应是独立法人,外商投资企业、港澳台商投资企业在境内仅有分公司的除外。
来源:江苏省互联网信息办公室
7.苏州数据资源法庭揭牌成立
法庭将聚焦数据采集、存储、处理、销毁等全生命周期合规需求,通过数据资源类案件的管辖集中化、案件类型化、审理专业化的优势,不断为数据收集、开发、开放全过程明确行为规范和责任体系,探索数据产权制度应用和数据纠纷优化处理,激励数据创新,合理界分数据权利,促进数据流通利用,维护数据使用秩序,为营造开放、健康、安全的数字生态提供有力司法保障。
来源:苏州日报
8.北京市数据出境“绿色通道”首家试用企业数据出境场景全部获批
由北京自贸试验区(大兴)数据跨境服务中心支撑完成的拜耳(中国)有限公司数据出境安全评估项目已顺利通过国家互联网信息办公室的出境批准。这是我国首个外资生物医药行业企业获批的数据出境安全评估案例,也是北京市打造跨国药企数据出境“绿色通道”首例成功案例。
来源:北京市大兴区融媒体中心
9.北京针对停车、餐饮、商超等10大领域扫码缴费违规收集个人信息开展清朗行动
在停车扫码缴费领域,北京市682家停车场已实现“安心码”改造,提供了直接缴费渠道,用户扫码后只需要输入车牌号、点击缴费2个步骤,就可以完成缴停车费,有效避免商家诱导或强制收集消费者个人信息等违规行为。下一步,北京市将针对餐饮、商超、酒店、影院等涉及群众日常生活消费的领域扫码缴费场景,扎实开展“清朗长安”个人信息保护行动。
来源:北京发布
10.北京市通信管理局发布关于问题APP的通报(2024年第四期)
北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。近期,对存在“违反必要原则收集个人信息”、“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题的6款APP予以公开通报,并对11款未按要求整改或整改不到位的APP予以全网下架处置。
来源:北京市通信管理局
11.上海网信办召开“咖啡消费场景下个人信息保护”合规指导会
会上,上海市网信办围绕咖啡企业强制或默认消费者同意隐私政策,隐私政策缺失、不实或不完整,强制或频繁诱导收集精准位置信息,诱导收集手机号码或关注公众号,未提供关闭定向推送,未提供删除个人信息渠道等6大类违法违规问题以案释法,开展普法教育。市市场监管局结合消费者权益保护领域的典型案例,解读了消费者权益保护相关法律法规。
来源:上海市互联网信息办公室
12.上海网信办发布《涉企侵权信息处理服务包1.0》
作为上海市2024年开展“清朗浦江·e企同行”优化营商网络环境专项行动的一项重要举措,《服务包》通过举报指引、流程图解、案例解析等,指导属地企业如何通过多渠道有效提交举报线索,进一步提升涉企侵权信息的举报受理实效,为属地企业做好侵权信息处理服务。
来源:上海市互联网信息办公室
13.重庆网信办发布数据出境安全评估及标准合同备案通过案例
近日,西部航空有限责任公司通过国家网信办数据出境安全评估,是重庆市首家通过评估的企业。此次通过评估为其他企业数据出境安全评估工作提供参考经验。截至目前,重庆市已正式完成数据出境安全评估企业1家,通过个人信息出境标准合同备案6家,标志着重庆市在智能制造、物流等领域形成行业数据出境合规示范案例。
来源:重庆市互联网信息办公室
14.阿里巴巴拟于越南建设自有数据中心,满足当地数据本地存储要求
目前,阿里巴巴在越南的数据存储依赖于当地政府所拥有的设施。阿里巴巴相关负责人表示,之所以建设自有数据中心,除了出于成本考虑,也是为了确保阿里巴巴更高的安全性和对其信息的控制权。相关人士分析称,在未来,阿里巴巴等大型云计算公司的投资将使东南亚国家的数据中心市场规模以每年超过15%的速度扩张。
来源:日经亚洲
15.广东省通信管理局公开通报7款未按要求完成整改APP,并下架1款侵害用户权益APP
广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动。对存在“违规收集个人信息”、“APP强制、频繁、过度索取权限”、“超范围收集个人信息”、“APP频繁自启动和关联启动”等问题但未按要求完成整改的7款APP予以通报,要求被通报的APP在5月10日前完成整改及反馈工作。
来源:广东省通信管理局
16.浙江省通信管理局通报15款侵害用户权益行为的APP
浙江省通信管理局持续开展APP侵害用户权益治理工作。对存在“违规收集个人信息”、“APP强制、频繁、过度索取权限”、“APP频繁自启动和关联启动”等问题但未按要求完成整改的15款APP予以公开通报。要求相关APP开发运营者在5月13日前完成整改落实工作,整改落实不到位的,将视情采取下架、关停、行政处罚等措施。
来源:浙江省通信管理局
17.安徽省通信管理局发布关于侵害用户权益APP的通报(2024年第3批)
安徽省通信管理局对经复测依然存在“违规收集个人信息”、“超范围收集个人信息”、“强制、频繁、过度索取权限”、“频繁自启动和关联启动”等问题的9款省内APP予以通报,要求相关APP企业在2024年5月8日前落实整改要求,逾期不整改的,将依法依规组织开展相关处置工作。
来源:安徽省通信管理局
18.安徽通管局发布关于下架1款侵害用户权益APP的通报
安徽省通信管理局持续开展APP侵害用户权益专项整治行动。5月21日,安徽省通信管理局组织对1款逾期未完成整改的APP进行下架,要求相关应用商店在通报发出后,立即对该应用软件进行下架处理。
来源:安徽省通信管理局
19.广州市政务服务和数据管理局指导某市属国企完成跨境数据资产入表
作为广州市属国有企业首例数据资产入表项目,“离岸易”数据产品经过数据资源权属论证、合规确权、资产论证、成本归集和分摊等技术工作,选择以存货作为数据资产核算类型,计入相应会计科目,并于近期获得广州数据交易所颁发的数据资产登记凭证,旨在为新型国际贸易发展搭建综合服务平台,赋能贸易企业和金融机构。
来源:广州日报
20.南昌某集团公司大量数据疑遭境外窃取,被罚10万元
南昌市网信办查明:南昌某集团有限公司未履行数据安全保护义务,未履行风险监测、补救处置等义务,导致大量数据疑似泄露或被境外窃取,相关行为违反《数据安全法》第27条、第29条的规定。依据《数据安全法》第45条规定,对南昌某集团有限公司处以警告、罚款10万元,对直接负责的主管人员处以罚款2万元的行政处罚。
来源:南昌市互联网信息办公室
三
1.《首尔人工智能安全科学国际合作意向声明》《推进安全、创新和包容的人工智能部长级声明》发布
5月21日,第二届人工智能安全峰会在韩国首尔召开,本届峰会议题为“安全、创新、包容”。《合作意向声明》重申安全是促进负责任AI创新的一个关键因素,并表示各方打算采取措施促进对AI安全方面的国际科学共识。《部长级声明》确认各方有必要采取协作的国际方法来应对AI技术的快速进步及其对社会和经济的影响,各方承诺在“安全”、“创新”、“包容性”方面采取相应措施,以在应对AI风险的同时解锁其益处。
来源:英国政府
2.欧洲理事会正式批准《人工智能法案》
《法案》具有广泛的域外效力,作为世界范围内第一部AI立法,其为AI监管提供了全球标准。《法案》遵循“基于风险”(risk-based)的监管方法,对AI系统进行分类,并涉及GPAI的利用。此外,欧盟委员会内部设立AI Office保障《法案》的实施。
来源:欧洲理事会
3.欧洲委员会宣布已通过人工智能与人权、民主及法律规则的框架性公约
这是欧洲委员会有史以来第一个通过的具有法律约束力的国际条约,旨在构建涵盖人工智能系统整个生命周期的法律框架,并解决其中可能存在的风险,包括但不限于人类健康和环境、就业和劳动力等方面,确保使用人工智能(AI)系统时尊重人权、民主与法治。
来源:欧洲委员会
4.欧盟成立人工智能办公室以加强在AI领域的全球领导地位,人员包含律师、经济学家、技术专家等
人工智能办公室旨在促进人工智能的发展、部署和使用,在降低风险的同时,促进社会经济效益和鼓励创新。该办公室将在实施欧盟《人工智能法》的过程中发挥关键作用,特别是在通用人工智能模型方面。办公室包括监管与合规部、人工智能安全部、人工智能和机器人部、人工智能造福社会部和人工智能创新和政策协调部,共5个部门。
来源:欧盟委员会
5.美国议会两党联盟推出针对AI的《加强海外关键出口国家框架法案》
美国众议院外交事务委员会主席迈克尔-麦考尔、美国与中共战略竞争问题特别委员会主席约翰-穆莱纳尔、排名委员拉贾-克里希纳莫尔西和苏珊-维尔德众议员提出了“加强海外关键出口国家框架法案”(ENFORCE Act)。这项两党法案通过赋予商务部工业与安全局(BIS)对人工智能(AI)和其他与国家安全相关的新兴技术(未来可能被“我们”的敌人所利用)使用出口管制的权力,对《2018年出口管制改革法案》(ECRA)进行了现代化。
来源:英国政府
6.美国政府发布《关于关键基础设施安全和复原力的国家安全备忘录》
美国白宫5月1日宣布,拜登总统签署了一份国家安全备忘录(NSM),以确保和增强美国关键基础设施部门的弹性。《国家安全备忘录22》(NSM-22)旨在完善和明确联邦政府在关键基础设施安全、复原力和风险管理方面的作用和责任,同时努力根据风险确定和优先考虑关键基础设施安全和复原力,并实施协调一致的国家方法来评估和管理特定部门和跨部门风险。
来源:美国政府
7.美国网络安全和基础设施安全局联合多部门发布民众网络安全指南
5月14日,美国网络安全局与国土安全部、联邦调查局和英国、加拿大、日本等盟友合作,发布了《利用有限资源减轻网络威胁:公民社会指南》,该文件为民间社会组织和个人提供了降低网络入侵风险的建议行动和缓解措施。此外,该指南还鼓励软件制造商积极实施并公开承诺 “安全设计”实践。
指南认为由非营利组织、宣传组织、文化组织、信仰组织、学术组织、智库组织、记者组织、持不同政见者组织和散居国外者组织等各类组织和个人组成的民间社会,以及参与捍卫人权和民主的社区为高风险社区。这些组织及其员工经常成为国家支持的威胁分子的攻击目标,这些威胁分子试图破坏西方价值观和利益。
来源:美国网络安全和基础设施安全局
8.美国国土安全部发布情况说明将促进联邦政府、关键基础设施以及美国经济中的安全负责任AI部署
国土安全部将采取多项措施,包括保护关键基础设施例如水资源供应、通信等关键领域免受AI的风险,将在保护国家安全领域使用AI技术以及确保经济安全和AI领域创新的合理竞争。
来源:美国国土安全部
9.白宫基于14110行政令发布180天关键AI行动
计划旨在管理人工智能的安全风险,保护美国公民隐私,促进公平和公民权利,保护消费者和工人,促进创新和竞争,提升美国在全球的领导地位。具体的措施包括出台针对关键基础设施所有者和操作者的AI安全指南、建立AI安全委员会和提升部署在医疗卫生领域的AI效率等。
来源:白宫
10.马里兰州签署在线数据隐私法、儿童法
5月9日,马里兰州州长韦斯·摩尔(Wes Moore)签署了两项旨在加强在线个人数据保护的法律,其中一项为《2024年马里兰州在线数据隐私法》(Maryland Online Data Privacy Act of 2024),要求企业履行保护个人信息的职责,允许消费者控制和限制针对性广告和个人资料的收集。该法使马里兰州成为美国第17个拥有综合性隐私与个人信息保护法律的州,该法将于2025年10月生效。
另一项法律是马里兰州儿童法典(Maryland Kids Code),旨在限制在线收集儿童数据的范围,并保护他们免受有害内容的影响。为了应对潜在的法律挑战,该法案吸收了案例法和消费者保护措施。该法将于2024年10月生效。
来源:The National Law Review
11.英国《自动驾驶汽车法案》正式出台
到2026年,自动驾驶汽车将出现在英国的道路上。法律要求自动驾驶汽车至少达到与谨慎、称职的人类驾驶员同等的安全水平,并在上路前接受严格的安全检查。英国政府认为通过自动驾驶可以大大减少人为失误造成的道路安全事件并激励自动驾驶行业发展,释放大量岗位。
来源:英国政府
12.英国人工智能安全研究所发布人工智能安全评估平台
旨在加强和加速全球AI安全评估。Inspect允许从初创企业、学术界、AI开发者到国际政府的测试者评估个别模型的特定能力,并根据测试结果生成得分。该平台可以用于评估模型在多个领域的性能,包括它们的核心知识、推理能力和自主能力。这一平台的发布标志着由国家支持的机构首次将AI安全测试平台公开发布,供更广泛地使用。
来源:英国人工智能安全研究所
13.英国科学创新和技术部启动关于软件供应商实务守则的公众咨询
业务守则规定了对开发人员的要求,以使其的人工智能和软件产品能够抵御篡改、黑客攻击和破坏。其中的人工智能网络安全业务守则包括技术安全建议,还概述了开发者、系统运营商、数据控制者和最终用户的责任,提供了指导安全人工智能开发、部署和维护的具体安全原则。另一个软件安全业务守则旨在指导企业实施安全开发实践、维护安全环境、管理漏洞以及就安全相关问题与客户进行有效沟通。
来源:英国科学创新和技术部
14.英国通信办公室就《儿童安全行为守则》草案展开公众咨询
包括在线服务必须防止儿童接触到与自杀、自残、饮食失调和色情内容相关的最有害内容,同时减少儿童接触暴力、仇恨或虐待性材料、欺凌内容以及危险挑战的推广内容。列举了超过40项安全措施,强有力的年龄检查、更安全的算法、有效的内容审核等。
来源:英国通信办公室
15.法国国家信息自由委员会就健康数据处理标准发布公开问卷
由于欧洲多个新法规的实施,以及国家健康数据系统(SNDS)数据处理、人工智能发展和卫生危机对数字化和研究的影响,一些处理标准需要调整。涉及的处理标准包括MR-001至MR-008,涵盖健康数据仓库、卫生警戒管理、早期和同情的用药获取,以及简化访问SNDS样本数据的处理标准。此外,CNIL还将举办一个网络研讨会,以解答有关咨询的问题,并促进讨论。这次咨询旨在促进创新,同时确保数据处理尊重相关个人的隐私。
来源:法国国家信息自由委员会
16.德国数据保护会议就研究中二次利用基因数据问题发布立场性文件
由于遗传数据的高敏感性,它们可能涉及个人及其生物亲属的健康风险和遗传疾病,因此需要严格的数据保护措施,处理遗传数据需要数据主体的明确同意。德国数据保护会议的这项决议强调了在遗传数据研究中平衡科学利用与个人数据保护权的重要性,并提出了一系列具体的法律和技术要求以确保这种平衡。
来源:德国数据保护会议
17.德国数据保护会议发布《人工智能和数据保护指南》
旨在帮助组织在符合数据保护法规的前提下使用AI应用。重点讨论了大型语言模型(LLM)的使用,但也适用于其他AI模型和应用。手册提供了数据保护法的准则概览,并可作为选择、实施和使用AI应用的指导。内容涵盖了从AI应用的概念设计、实施到使用的全过程,包括确保数据保护合规性、合法性、透明度和个人数据的处理等。此外,还讨论了特殊情况下个人数据的处理,如敏感数据,并要求对AI生成的结果进行准确性和非歧视性检查。
来源:德国数据保护会议
18.荷兰数据保护局发布人脸识别应用指南
尽管人脸识别在大多数情况下被禁止,但存在一些例外。新的法律框架提供了关于在这些例外情况下使用人脸识别的具体指导,并强调必须先进行数据保护影响评估(DPIA)。AP还明确了在确认个人身份时的禁令适用性,并定义了“个人或家庭使用”的条件。此外,AP还发布了面向消费者的信息,帮助他们了解人脸识别的工作原理以及何时使用是允许或禁止的,以便他们更好地维护自己的隐私权利。
来源:荷兰数据保护局
19.西班牙数据保护局等发布Wi-Fi跟踪技术指南
旨在为数据控制者提供如何在使用Wi-Fi追踪技术时遵守数据保护法规的具体建议。Wi-Fi追踪技术可以检测设备在特定区域的存在并识别其移动模式,但这种技术对隐私构成严重风险。该指南分析了Wi-Fi追踪技术的技术细节和法律含义,识别了与之相关的风险,并提供了确保负责任使用、符合数据保护法规的具体建议。文件强调,在考虑部署此类技术时,应优先考虑人们的隐私权。
来源:西班牙数据保护局
20.葡萄牙国家网络安全中心发布网络安全事件通知指南
该文件旨在支持组织在发生网络安全事件时,与相关方进行有效和适当的沟通。它为制定沟通计划提供指导,确定危机沟通团队的基本要素和职能,并通过回顾分析促进沟通计划的持续改进。该框架是定义战略和计划的参考,而不是规范。它适用于所有组织,尤其适用于那些在网络安全通信方面内部能力较低的组织。
来源:葡萄牙国家网络安全中心
21.新加坡议会通过网络安全修正案
《网络安全修正法案2024》旨在对2018年的新加坡《网络安全法》进行重要修订。主要变更包括:重新定义“关键信息基础设施”为“特定计算机或计算机系统的网络安全相关人员”,引入新的类别如“第三方拥有的关键信息基础设施”、“临时网络安全关注系统”、“特殊网络安全利益实体”和“主要基础数字基础设施服务提供商”,并对这些类别的监管框架进行扩展。法案还提供了对违规行为进行处罚的条款,增加了对网络安全事故的报告要求,强化了监管机构的权力。此外,修正案还涉及对现有法律框架的更新,包括对监管机构的授权和对受监管实体的合规要求。
来源:新加坡议会
22.波兰个人数据保护办公室就就业数据处理指南、应对个人数据泄露指南征求公众意见
对于2018年发布的《工作场所个人数据保护指南》和2019年发布的《数据泄露时管理员应采取的措施》,波兰个人数据保护办公室(UODO)正在寻求公众反馈,以评估和更新这些文件,以提高这些指南的透明度和实用性,确保它们符合当前的法律要求并解决现实挑战。UODO将分析收到的意见,并可能根据这些反馈更新手册。参与者的姓名和意见将被公布在UODO网站上,除非他们不同意公开。
来源:波兰个人数据保护办公室
23.乌拉圭个人数据监管和控制机构发布中小微企业数据保护指南
旨在促进遵守商业领域的数据保护法规。该文件考虑了管理和控制个人数据单位(Urcdp)的建议,包括简化数据管理的工具,如示范条款、虚拟课程和其他资源。它提供了相关的概念,评估公司在数据保护方面的状况,指导负责和负责数据处理的人的义务,以及个人数据持有人的权利。该指南还强调,数据保护是第18.331号法律承认的一项人权,是有助于风险和质量管理的企业的附加价值。
来源:乌拉圭个人数据监管和控制机构
24.新西兰议会提出消费者与产品数据法案
旨在建立一个覆盖全经济范围的框架,以增强企业和消费者对消费者与产品数据的访问及共享。该法案通过赋予消费者更大的数据控制权,促进创新和竞争,并提供安全、标准化和高效的数据服务。它要求持有指定客户数据的企业(数据持有者)向客户和授权的第三方提供数据,同时确保个人隐私和信息保密性得到保护。法案还规定了合规性和执行权力,包括对愿意遵守的企业的支援和对不合规者的处罚。该法案将逐步应用于不同的行业领域,首先从银行业开始。
来源:新西兰议会
25.土耳其个人数据保护局发布关于向国外传输个人数据的程序和原则的法规草案
制定了关于个人数据跨境传输的程序和原则的法规草案,并已于5月9日公开征求公众意见。现在,根据5月16日的决议,该局进一步就标准合同和集团公司规则草案公开征求意见,以确保数据传输的安全性。公众可在5月27日前通过电子邮件提交反馈。
来源:土耳其个人数据保护局
26.韩国个人信息保护委员会发布关于起草数据处理政策的指南
该指南强调了个人信息处理的基本原则,包括目的明确、最小化数据收集、合法处理、保障数据准确性和完整性、安全管理、公开透明以及尊重信息主体的权利。指南分为四个主要部分:概述、个人信息处理政策的基本事项、撰写方法和公开方法。此外,指南还提供了关于如何向公众公开个人信息处理政策的具体建议。该指南的目的是提高个人信息处理的透明度,保障信息主体的知情权和控制权,同时促进组织和个人对个人信息的合法、安全和负责任地处理。
来源:韩国个人信息保护委员会
27.韩国个人信息保护委员会发布两份自动化决策指南草案
该草案旨在明确当信息主体对使用人工智能(AI)等技术做出的自动化决策行使权利时应采取的具体措施。草案中,PIPC具体化了信息主体在自动化决策中要求解释或审查时,个人信息处理者应考虑的详细事项。此外,草案还提出了个人信息处理者拒绝信息主体要求的“正当理由”的判断标准,并具体化了处理者采取行动的时间框架。
来源:韩国个人信息保护委员会
四
1.欧盟委员会根据DSA对Meta提起关于未成年人保护的正式诉讼
欧盟委员会已对Meta公司启动正式程序,以评估其旗下社交平台Facebook和Instagram是否违反了数字服务法案(DSA)中关于未成年人保护的规定。委员会担忧这些平台的系统和算法可能诱发儿童的行为成瘾,并产生所谓的“兔子洞效应”。此外,还对Meta公司的年龄验证和保证措施表示关注。此举基于Meta在2023年9月提交的风险评估报告、对委员会信息请求的回复、公开报告以及委员会的分析。
来源:欧盟委员会
2.欧盟数据保护委员会:ChatGPT的“数据准确性”仍未达标
欧盟数据保护委员会表示,ChatGPT仍然没有达到数据准确性的标准。作为欧盟的隐私监管机构,他们对此表示担忧。ChatGPT是一种人工智能聊天机器人,由OpenAI开发。虽然它在许多方面表现出色,但数据保护委员会认为它还没有达到欧盟的数据保护要求。这意味着ChatGPT可能无法保护用户的隐私和数据安全。因此,欧盟用户在使用ChatGPT时应谨慎,并注意可能的数据保护风险。
来源:路透社
3.欧洲数字版权中心就OpenAI数据保护问题向奥地利DPA进行投诉
欧洲数字版权中心指控ChatGPT捏造了错误出生日期,并要求OpenAI删除该信息。OpenAI回应称无法单独删除错误信息,否则会影响到其他信息的展示,并声称公众人物的信息公开受限会侵犯其言论自由。投诉方认为OpenAI违反了GDPR中的访问权和数据准确性原则,并要求监管机构进行调查并采取相应措施。
来源:欧洲数字版权中心
4.欧盟多国工会呼吁:调查亚马逊工作监控系统隐私侵权
欧洲多个工会联合呼吁数据保护机构调查亚马逊的员工监控系统,认为其使用的手持扫描器、活动监控软件、摄像头和GPS设备等对员工的心理和身体健康造成负面影响。此前,法国对亚马逊开出3200万欧元罚单,指其监控系统过于侵入性。亚马逊对此表示强烈反对,并已提出上诉,称其系统符合行业标准且旨在保障安全和效率。工会要求各国仿效法国,采取行动保护员工隐私权。
来源:euronews
5.美国联邦贸易委员会发布关于收集消费者汽车数据的博客
美国联邦贸易委员会(FTC)讨论了汽车联网技术带来的消费者数据收集和隐私问题。随着汽车越来越多地连接到互联网,它们能够收集大量包括生物识别和地理位置在内的敏感数据。FTC强调,这种数据的非法收集和使用对消费者的隐私和财务安全构成威胁,并且已经采取了多项执法行动来应对这些问题。文章呼吁汽车制造商和相关企业在收集数据时应优先考虑消费者隐私,并尽量减少敏感数据的收集。
来源:美国联邦贸易委员会
