竞天公诚网络安全与数据合规团队
本期编辑团队:张宜轩、张燕、梁天翔、刘瑞华、林泽坤、向镇、孙永欣、金梦开
资讯速递
一
1.国家互联网信息办公室等四部门公布《网络暴力信息治理规定》
6月12日,国家网信办联合公安部、文旅部和国家广电总局制定的《网络暴力信息治理规定》正式公布,自2024年8月1日起施行,旨在治理网络暴力信息,营造良好网络生态,保障公民合法权益,维护社会公共利益。《规定》全文共有七章34条,从明确网络信息内容管理主体责任、建立健全预防预警机制、规范网络暴力信息和账号处置、强化用户权益保护、加强监督管理、明确法律责任等方面,建立起了一整套针对网络暴力信息综合治理的法律体系。
来源:国家网信办
2.《网络安全标准实践指南——大型互联网平台网络安全评估指南》发布
6月25日,全国网安标委发布了《网络安全标准实践指南——大型互联网平台网络安全评估指南》正式稿,从影响或者可能影响社会稳定和公共利益的角度,提出了对大型互联网平台开展网络安全评估的内容和方法,并提供了大型互联网平台年度网络安全评估报告模板。
来源:全国网安标委
3.《网络安全标准实践指南 敏感个人信息识别指南(征求意见稿)》发布
6月11日,全国网安标委发布《网络安全标准实践指南 敏感个人信息识别指南(征求意见稿)》,旨在指导个人信息处理者识别敏感个人信息,规范敏感个人信息处理、出境和保护活动。《征求意见稿》包括范围、术语与定义、敏感个人信息识别、常见敏感个人信息和附录常见敏感个人信息类别示例等内容,提出了敏感个人信息识别方法,给出了常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息范围,也可为敏感个人信息处理、出境和保护工作提供参考。
来源:全国网安标委
4.《网络安全技术 关键信息基础设施安全保护能力指标体系(征求意见稿)》国家标准征求意见
6月20日,全国网安标委发布通知就国家标准《网络安全技术 关键信息基础设施安全保护能力指标体系》公开征求意见。《指标体系》参考国际相关标准,并结合我国实际情况进行调整和扩充,采用“安全域-能力域-安全实践”三维评估体系和“能力保护级别-能力指标-安全度量”三级指标体系,提供了能力指标的计分方法和自评示例,以帮助运营者对安全保护能力进行量化评估和持续改进。《指标体系》对于全面评估关键信息基础设施的安全防护能力,指导关键信息基础设施运营者建设和评估安全保护能力,为保护工作部门、国家监管部门以及第三方评估机构等提供参考具有重要意义。
来源:全国网安标委
5.国家网信办官员署名文章发布数据出境统计情况
6月6日,国家互联网信息办公室网络数据管理局局长胡啸在《中国网信》2024年第5期上发表文章,其中包含数据出境管理统计数据。统计显示,截至2024年5月8日,国家网信办收到各省、自治区、直辖市网信办报送的数据出境安全评估申报项目262个,依法受理243个,已完成评估项目234个,其中232个出具评估结果(通过或部分通过评估的206个、不通过评估的26个),2个终止评估,不通过率为11.1%。各省、自治区、直辖市网信办共备案个人信息出境标准合同760余个,备案数量位于前列的为上海、北京、江苏、广东等地。
来源:中国网信杂志
6.国家标准《数据安全技术 数据安全和个人信息保护社会责任指南》公开征求意见
6月20日,全国网安标委就国家标准《数据安全技术 数据安全和个人信息保护社会责任指南》公开征求意见。该指南结合国内应用实践和标准编制组的科研成果,并借鉴国外立法和标准的研究,旨在为组织理解数据安全和个人信息保护的社会责任以及实施相关活动提供指南,适用于处理数据的组织以及评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构。
来源:全国网安标委
7.《电力网络安全事件应急预案》印发
5月16日,国家能源局印发《电力网络安全事件应急预案》,以规范各单位电力网络安全事件应急处置工作,完善电力网络安全事件应对工作机制,有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响,保障电力系统安全稳定运行和电力可靠供应。《应急预案》的主要内容包括电力网络安全事件应对工作的适用范围、工作原则、事件分级、职责分工、监测预警等多个方面,明确了各级机构及电力企业在电力网络安全事件应对中的职责和角色,强调了预防为主、快速反应、科学处置的工作原则,并规定了电力网络安全事件的分级标准。
来源:国家能源局
8.海南省委网信办发布《海南自由贸易港国际数据中心发展条例(公开征求意见稿)》
6月26日,海南省委网信办组织起草的《海南自由贸易港国际数据中心发展条例(公开征求意见稿)》公布,旨在促进海南自由贸易港国际数字产业发展和数据跨境安全有序流动。所谓国际数据中心业务,是指企业在海南自由贸易港内利用高速便捷的跨境数据专用通道,仅面向境外提供数据存储、加工、交易等国际数据服务业务。注册地、服务设施(含租用、购买等设施)在海南自由贸易港内的企业(含外商投资企业)可向海南省省级基础电信运营商提出申请,按程序批准后,可以利用高速便捷跨境数据专用通道,开展国际数据中心业务。征求意见稿中针对国际数据中心业务运营者需要遵循的基本规则及各政府部门的职责进行了明确。
来源:海南省委网信办
9.全国网安标委发布《网络安全标准实践指南—一键停止收集车外数据指引(征求意见稿)》
6月21日,全国网安标委编制的《网络安全标准实践指南— 一键停止收集车外数据指引(征求意见稿)》面向社会公开征求意见,旨在指导汽车数据安全相关单位探索便捷的停止收集车外数据方法,减少由于车载摄像头和雷达设备持续开启造成的重要数据和敏感个人信息违规收集、处理等安全问题,使汽车的辅助驾驶功能更好地应用。《征求意见稿》提出了一种较为便捷的停止收集车外数据功能的实践指引,一方面通过设置按键的方式关闭各类车载摄像头、雷达等传感器,实现一键停止收集车外数据的功能;另一方面通过汽车的车外状态标识,向敏感区域的管理人员告知汽车处于暂停收集车外数据的安全状态,降低其管理难度。
来源:全国网安标委
10.贵州省市场监管局发布《贵州省数据知识产权登记管理办法(征求意见稿)》
6月4日,为推进贵州省数据知识产权地方试点,贵州省市场监管局草拟了《贵州省数据知识产权登记管理办法(征求意见稿)》,并面向社会公开征求意见建议。《征求意见稿》明确由贵州省市场监管局(知识产权局)负责数据知识产权的登记和管理工作,通过指定或政府购买服务等方式确定数据知识产权登记机构,并对数据知识产权的登记主体与对象、登记申请方式、登记程序、证书有关内容及登记变动、管理监督等方面问题做出了详细规定。
来源:贵州省市场监管局
11.中国民用航空局发布《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》
6月4日,为进一步加强和规范民航数据管理,智慧民航建设领导小组办公室组织编制的《民航数据管理办法》《民航数据共享管理办法》发布。其中《民航数据管理办法》旨在规范民航数据管理的总体机制与要求,统一民航数据管理相关重要概念的认识,明确数据管理组织分工,规范了数据资源目录、数据采集、数据共享、数据应用、数据安全等各方面数据管理思路、要求和机制。《民航数据共享管理办法》坚持政府主导、多元参与的原则,加强行业主管部门调控能力和引导作用,针对数据共享过程中目录管理、数据归集、数据的获取与使用各个环节,落实具体操作流程和要求,明确了相关具体工作,提高了办法的可执行性。
来源:智慧民航建设领导小组办公室
12.北京市经济和信息化局发布《北京市自动驾驶汽车条例(征求意见稿)》公开征求意见
6月30日,为推动自动驾驶汽车产业高质量发展,助力打造全球数字经济标杆城市,北京市经济和信息化局会同相关部门起草的《北京市自动驾驶汽车条例(征求意见稿)》公布,其所称自动驾驶汽车包括具备有条件自动驾驶、高度自动驾驶、完全自动驾驶功能的汽车。《征求意见稿》坚持市场主导、创新驱动、开放合作、公平竞争的原则,着力加强京津冀协作,并鼓励汽车相关行业协会等社会组织开展行业自律管理,针对产业创新发展、基础设施规划建设、创新活动规范、安全保障等问题作出了详细规定。
来源:北京市经济和信息化局
13.北京市十六届人大常委会第十次会议表决通过《北京市外商投资条例》
5月31日上午,北京市十六届人大常委会第十次会议表决通过了《北京市外商投资条例》,自7月1日起施行。《条例》明确提出,北京将依法促进外商投资企业研发、生产、销售等数据跨境安全有序流动,支持外商投资企业与总部数据流动,探索形成可自由流动的一般数据清单。
来源:北京市人民代表大会常务委员会
14.中共广东省委办公厅等部门印发《关于构建数据基础制度推进数据要素市场高质量发展的实施意见》
6月,中共广东省委办公厅等部门印发《关于构建数据基础制度推进数据要素市场高质量发展的实施意见》,从数据产权、流通交易、收益分配、数据治理、数据赋能高质量发展、粤港澳大湾区数据协同发展等方面构建数据基础制度,提出20条政策举措。力争到2025年,数据基础制度体系和配套政策逐步建立,协同高效、安全有序的数据要素市场体系初步建成,数据基础运营体系基本构建,公共数据与社会数据融合效益明显,数据产品和服务更加丰富。
来源:广东省人民政府
二
1.工信部本月两次通报违规APP/SDK
根据工信部发布的关于侵害用户权益行为的APP(SDK)通报,2024年第4批和第5批共计46款APP及SDK被发现存在违规收集个人信息、超范围收集个人信息、过度索取权限、开屏信息窗口“摇一摇”或误导用户点击乱跳转、强制用户使用定向推送功能、信息窗口未提供关闭或退出标识、APP频繁自启动和关联启动、SDK使用说明不完整等侵犯用户权益行为。这些违规行为违反了《个人信息保护法》《网络安全法》《电信条例》以及《电信和互联网用户个人信息保护规定》等相关法律法规。工信部要求这些APP及SDK进行整改,如果整改不到位,将依法依规进行处置。
来源:工信部
2.上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》(一)
上海市网信办发布的《咖啡消费场景违法违规收集使用个人信息案例解析》(一)通过实际案例,揭示了在咖啡消费领域个人信息保护方面存在的三类主要违法违规行为:首先是强制或默认同意隐私政策的问题,如小程序未提供拒绝阅读隐私政策的选项,或在支付页面默认勾选同意服务协议;其次是隐私政策的缺失、不实或不完整问题,例如使用不相关的第三方隐私政策模板,或隐私政策与实际操作不符;最后是强制或频繁诱导收集消费者精准位置信息的问题,即使这些信息并非服务所必需。上海市网信办强调,企业必须严格自查并整改,遵循收集个人信息的“最小必要”和“告知同意”原则,切实履行个人信息保护义务。同时,网信办将进行后续的“回头看”检查,对整改不力或问题严重的企业将依法从严查处,确保个人信息保护法规得到有效执行。
来源:网信上海
3.上海市通管局发布《关于纵深推进“浦江护航”数据安全专项行动的通知》
上海市通信管理局发布了《关于纵深推进“浦江护航”数据安全专项行动的通知》,旨在响应工业和信息化部“数安护航”专项行动,深化电信和互联网行业的数据治理,提升企业的数据安全管理水平,促进数据要素的高效流通和利用。该通知依据《数据安全法》等法律法规,面向上海市电信和互联网行业数据处理者,特别是在电信和互联网行业运营重要网络信息系统或处理100万人以上个人信息等重要数据的电信业务经营者,提出了七项重点任务和四项保障措施。
来源:上海市通信管理局
4.安徽省通管局印发《关于开展2024年电信和互联网行业“江淮护航”网络和数据安全专项行动的通知》
安徽省通管局发布了《关于开展2024年电信和互联网行业“江淮护航”网络和数据安全专项行动的通知》,旨在全面提升电信和互联网行业的网络和数据安全管理水平。该通知涵盖了完善安全管理机制、网络安全保护、数据识别与备案、监测预警体系构建、风险评估、全生命周期管理以及安全能力建设等七个方面,确保通过高质量的数据安全管理来支持数字经济的高质量发展。通知强调了企业在网络安全和数据保护方面的责任,要求企业自查整改并接受监督检查,同时鼓励技术创新和标准建设,以营造一个安全的网络环境。
来源: 安徽省通管局
5.某银行因数据安全管理不足等被罚160万元
某银行因在安全测试、运行管理、数据安全管理以及灾备管理方面存在薄弱环节和漏洞,被国家金融监督管理总局于2024年6月3日依据《中华人民共和国银行业监督管理法》第46条及相关审慎经营规则处以160万元人民币的罚款。
来源:国家金融监督管理总局
6.博主短视频被“换脸”后制作成“AI换脸”付费模板 法院:构成对个人信息权益的侵犯
6月20日,北京互联网法院宣判了两起涉及AI换脸技术的侵权案件。案件中,两位国风短视频博主的出镜视频在未经他们授权的情况下,被一款换脸APP的运营者用于制作付费换脸模板。尽管法院认定换脸后的模板视频不具有肖像意义上的识别性,因此不构成对原告肖像权的侵害,但被告的行为被认定为侵犯了原告的个人信息权益。法院认为,被告未经原告同意,擅自收集、使用并分析原告的个人信息,包括人脸特征等,违反了《中华人民共和国个人信息保护法》。最终,法院判决被告向原告赔礼道歉并赔偿精神损失及经济损失。目前案件尚在上诉期,一审判决未生效。
来源:北京互联网法院
7.浙江省通信管理局通报27款侵害用户权益行为的APP
浙江省通信管理局组织第三方检测机构对实用工具、用车服务、网络社区等类型的APP进行了检查,并要求违规的APP开发运营者限期整改。目前,有27款APP未按要求完成整改,管理局对此进行了通报,并要求这些APP在4月4日前完成整改,否则将采取下架、关停、行政处罚等措施。违规问题包括违规收集个人信息、APP频繁自启动和关联启动、超范围收集个人信息、APP强制、频繁、过度索取权限等。
来源:浙江省通信管理局
8.安徽省通信管理局发布关于侵害用户权益APP的通报(2024年第4批)
安徽省通信管理局根据《中华人民共和国网络安全法》和《中华人民共和国个人信息保护法》等法律法规,对省内APP进行了检测,发现26款APP存在违法违规收集使用个人信息的问题。管理局已于2024年5月13日向违规APP企业下达了责令改正通知书,要求限期完成整改。目前,有13款APP未完成整改,相关APP企业被要求在2024年6月11日前落实整改要求。逾期不整改的APP将面临省通信管理局依法依规的处置。附表中列出了这些APP的名称、开发者、来源、版本以及具体问题项,包括违规收集个人信息、超范围收集个人信息、APP强制频繁过度索取权限、欺骗误导强迫用户、APP频繁自启动和关联启动等。
来源:安徽省通信管理局
9.九龙坡区网信办依法对属地一互联网企业作出行政处罚
九龙坡区网信办近期对某科技有限公司运营的某“AI写作”网站进行了行政处罚。该网站因未尽审核管理义务、履行主体责任不到位,违规生成了法律法规禁止的信息,违反了《中华人民共和国网络安全法》和《生成式人工智能服务管理暂行办法》等相关法律法规。依据《网络安全法》第六十八条的规定,九龙坡区网信办给予该公司行政警告,并责令其限期全面整改,包括加强信息内容审核、健全信息安全管理相关制度,并暂停网站信息更新及AI算法生成式写作功能15日。公司负责人承诺将严格按照整改要求进行即时整改,并持续加强互联网法律法规学习,坚持依法办网。
来源:网信重庆
三
1.EDPS发布生成式人工智能指南
《指南》旨在供欧盟机构、团体、办公室和机关等具有“公共服务职能”的主体在使用生成式人工智能时充分遵守欧盟数据保护法,尤其是第(EU)2018/1725号条例(EUDPR)中规定的数据保护义务,对欧盟境内个人或企业等私主体具有一定参考价值。《指南》以问答的形式给出生成式人工智能数据合规的指引,主要对于14个问题作出阐释,包括何为生成式人工智能;EUIs在何种条件下可以使用生成式人工智能;如何判断生成式人工智能是否涉及处理个人数据;数据保护官(DPO)在生成式人工智能开发和部署过程中需承担何种角色等内容。
来源:EDPS
2.欧盟委员会启动金融领域AI应用针对性咨询
欧盟委员会金融稳定、金融服务和资本市场联盟总局启动《咨询》,以公司和消费者协会等金融服务利益相关者为征询对象,涵盖AI发展的一般问题、金融服务中AI应用的具体用例、与金融领域相关的AI Act问题三个部分。利益攸关方的意见将支持委员会各部门评估与人工智能相关的市场发展和风险,从而更好地为金融部门法律和《人工智能法》服务。根据取得的进展,委员会将发表一份调查结果报告,并分析在金融服务中使用人工智能应用程序所产生的主要趋势和问题。
来源:欧盟委员会
3.中德签署数据跨境流动合作的谅解备忘录
中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行,双方共同签署《关于中德数据跨境流动合作的谅解备忘录》,在其框架下建立“中德数据政策法规交流”对话机制,加强中德两国在数据跨境流动议题上的交流,为两国企业营造公平、公正、非歧视的营商环境,推进中德网络空间交流合作取得更多成果。
来源:中国网信
4.《保护美国人数据免受外国对手侵害法案》生效
《法案》是对《2018年出口管制改革法案》的修订。《法案》要求对美国国民和在美国的个人的某些个人数据实施出口管制,主要内容聚焦在通过授权美国联邦贸易委员会(FTC)来规制美国的数据经纪人(即买卖个人信息的第三方实体),限制数据经纪人通过出售、出租、转让等形式向所谓“外国对手”提供美国公民“个人敏感数据”。
来源:美国国会
5.美国国会议员提出《互联网应用程序完整性和披露法案》
联邦贸易委员会(FTC)将负责执行《互联网应用程序完整性和披露法案》,要求任何维护由中国共产党或位于中华人民共和国境内的非国有实体全部或部分拥有的互联网网站或销售或分销移动应用程序的人,向下载或以其他方式使用该网站或应用程序的任何个人披露这一事实。
来源:美国国会
6.纽约州通过法律保护儿童免受成瘾性信息侵害
纽约州已签署成为法律的法案《儿童停止上瘾信息(SAFE)法案》,将要求社交媒体公司限制其平台上针对18岁以下用户的上瘾信息。第二项已签署成为法律的法案《纽约儿童数据保护法》将禁止在线网站收集、使用、共享或出售任何未满18周岁的人的个人数据,除非他们获得知情同意或这样做对网站的目的而言是绝对必要的。通过这项新签署的立法,纽约建立了全美最严格的保护措施,以保障儿童在社交媒体上的安全。
来源:纽约州总检察长办公室
7.韩国PIPC发布关于个人信息安全措施标准的指引
修订后的个人信息保护法(“PIPA”)以及随后的PIPA的执行令将于9月15日生效。PIPA的修订引入了广泛的变化,特别是跨领域和行业处理个人数据的标准方面。修订后的PIPA反映了跨领域和部门的各利益攸关方多年来深入讨论的结果,在强调确保数据主体的权利的同时,还显著简化了线上和线下业务的数据处理标准的不一致性,从而为整个行业更好地进行全面的数字化转型做好准备。
来源:PIPC
8.香港私隐专员公署发布《人工智能 (AI):个人资料保障模范框架》
《模范框架》基于一般业务流程,向采购、实施及使用任何种类的AI系统的机构,就保障个人资料私隐方面提供有关AI管治的建议及最佳行事常规,以协助机构在采购、实施及使用AI(包括生成式AI)时亦保障个人资料隐私。《模范框架》涵盖以下四个范畴的建议措施:制定AI策略及管治架构、进行风险评估及人为监督、实行AI模型的定制与AI系统的实施及管理及促进与持份者的沟通及交流。
来源:香港私隐专员公署
9.美国:财政部发布对华投资拟议规则
6月21日,美国财政部发布了《关于实施对外投资行政命令的拟议规则》(《拟议规则》)。《拟议规则》以维护国家安全为名,限制美国人在受关注国家的半导体和微电子、量子信息技术以及人工智能等关键领域的投资。中国大陆及港澳地区于《行政命令》附件中被列为受关注国家。《拟议规则》的内容主要包括以下几部分:美国人在涉及相关交易时的义务、相关交易与豁免情形的具体类别、技术和产品之规制范围、美国人须向财政部提供的信息、在交易前所需进行的合理及勤勉审查标准、被视为违反《拟议规则》的行为以及相应的处罚措施。
来源:美国财政部
10.美国:罗德岛州批准数据透明度和隐私保护法案
为了保障客户对个人数据收集、分享或出售方式的知情权,以便适当地保护客户的隐私、人身安全和财务安全,《法案》为个人数据处理设定了原则,包括建立、实施和维护合理的行政、技术和物理数据安全措施,主要适用于在罗德岛州开展业务的营利性实体,或生产面向罗德岛州居民产品或服务的营利性实体。数据控制者必须对其处理活动进行数据保护评估,并记录处理活动中存在的高风险情形;数据主体拥有包括知情权、访问权、纠正权、删除权、数据可携权以及选择退出定向广告、自动化决策等各项权利。
来源:Legiscan
四
1.美国联邦贸易委员会起诉TikTok违反《儿童在线隐私保护法》
美国联邦贸易委员会对TikTok提起的诉讼再次将公众视线聚焦于儿童隐私保护这一重要议题。TikTok作为全球知名的短视频社交平台,拥有庞大的用户群体,其中不乏大量儿童用户。然而,其涉嫌违反《儿童在线隐私保护法》的行为,无疑是对这些儿童用户隐私权的严重侵犯。美国联邦贸易委员会的起诉,不仅是对TikTok的一种法律约束,更是对所有互联网企业的一种警示。在数字经济时代,数据已成为企业的核心资产,但数据的收集、使用必须遵循法律法规,尊重用户权益。对于涉及儿童隐私的数据,更应加倍小心,确保儿童的健康成长不受侵害。
来源:美国联邦贸易委员会
2.韩国某电商平台因涉嫌操纵搜索算法被罚1400亿韩元
韩国某电商巨头因操纵搜索结果以优先展示自有品牌,被韩国公平交易委员会处以高达140亿韩元(约合1.02亿美元)的罚款。这一严厉处罚不仅揭示了该公司在市场竞争中的不当行为,更引发了公众对电商平台公平性和透明度的深切关注。韩国公平交易委员会不仅开出了巨额罚单,还决定将此事诉诸法律,这无疑是对该公司及其子公司的一次重大打击,也是对整个电商行业的一次警示。
来源:Korea JoongAng Daily
3.NOYB投诉谷歌浏览器在未获得有效同意的情形下追踪用户
Google宣布逐步淘汰Chrome浏览器中的第三方Cookie,本应是响应日益增长的隐私保护呼声的一大步。然而,其随后推出的所谓的“广告隐私功能”,实则是Google在浏览器内部进行的另一种形式的跟踪,且未充分获得用户的知情同意。NOYB的投诉,不仅是对谷歌的一种法律约束,更是对所有互联网企业的一种警示。数据追踪必须建立在用户充分知情和同意的基础上,任何未经授权的追踪行为都是不可接受的。
来源:NOYB
4.意大利竞争与市场管理局就Meta违反《消费者法》对其处以350万欧元的罚款
Meta因在数据收集和使用、账户管理及用户服务等方面未能充分保障用户权益,被处以350万欧元的罚款。这一决定不仅体现了意大利对消费者保护的严格态度,也反映出全球范围内对数据隐私和用户权益日益增强的关注。
来源:AGCM
5.英国高等法院明确数据主体访问权利边界
6月7日,英国高等法院在Harrison v. Cameron & Another 一案的判决中认为,根据英国《一般数据保护条例》(UK GDPR)的规定,数据主体有权获知其个人数据接收者的具体身份,而不仅仅是接收者的类别。同时,法院强调,如果访问权利要求(DSAR)明显过度,或披露信息会损害接收人的利益和权利,控制人可以不披露这些信息。法院裁定,数据主体访问其个人数据的权利必须与可能受此类披露影响的其他个人的权利和自由相平衡。
来源:英国高等法院