1.《网络数据安全管理条例(草案)》经国务院审议通过
8月30日,国务院常务会议审议通过《网络数据安全管理条例(草案)》。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
2.北京自贸区数据出境负面清单发布
8月30日,北京市互联网信息办公室、北京市商务局和北京市政务服务和数据管理局三部门共同发布了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》和《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(统称“负面清单”)。负面清单主要适用于在北京自贸试验区内登记注册并从事数据跨境活动的企业。这些企业在满足条件的情况下,可以通过遵循规定的负面清单制度来简化数据出境流程。负面清单明确了数据处理者的责任,详细规定了申请流程及审核期限,包括如何提交申请、所需材料、审核流程以及后续备案结果的通知,同时也列明了在特定情况下备案可能需要更新或终止的具体情形。
3.上海市临港新片区第二批数据跨境场景化操作指引(一般数据清单)新增再保险、航运、证券3个领域
4.全国网安标委就《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》公开征求意见
《指南》旨在规范互联网平台在停服时的数据处理行为,确保数据安全,保护个人和组织的合法权益,维护国家安全和公共利益。对于互联网平台停服时的数据处理,《指南》规定了基本的安全措施和义务,要求互联网平台运营者区分核心数据、重要数据和一般数据,并采取相应的安全措施。《指南》详细列出了个人信息处理的要求,包括发布个人信息处置公告、转移个人信息、继续保存个人信息、委托处理个人信息及个人信息删除等内容。对掌握重要数据、1000万人以上个人信息的互联网平台运营者,《指南》规定了遵守重要数据处置方案报告和重要数据删除等要求。
6.北京市市场监督管理局发布《北京市直播带货合规指引》
7.全国旅游标准化技术委员会就旅游行业标准《旅游大数据安全与隐私保护要求》(征求意见稿)公开征求意见
《旅游大数据安全与隐私保护要求》(征求意见稿)(以下简称“《旅游大数据安全要求》”)从数据收集、传输、存储、使用、公开到退役的整个生命周期全面规范了旅游大数据的安全管理和隐私保护。《旅游大数据安全要求》特别强调了对游客个人敏感信息的保护,通过实施数据分级管理,根据数据的重要程度及对个人可能产生的影响,将旅游大数据划分为五个等级,并针对每一级别制定了相应的保护措施。此外,还要求旅游大数据管理机构建立健全的安全管理制度,执行严格的权限控制,确保数据在使用、传输、存储等过程中的机密性、完整性和可用性。针对旅游移动应用、信息收集设备以及二次数据利用等典型场景,提出了具体的安全措施,这些措施旨在防范数据泄露和不当使用,切实维护游客的隐私权益,为旅游业的数据安全构筑起坚实的屏障。
8.湖南省委网信办发布《关于发布政务信息系统网络安全评估报告模板的通知》
10.安徽省财政厅发布关于规范和加强行政事业单位数据资产管理的通知
《通知》提出:健全体制机制,推动数据资产管理协同共治;规范全程管理,有效促进数据资产赋能增值;严格安全监管,确保数据资产全过程安全合规;统筹推进实施,积极探索数据资产管理路径。要求以数据资产合规高效流通使用、赋能实体经济为主线,规范和加强行政事业单位数据资产全流程管理,依法依规推动用于公共治理、公益事业的数据资产有条件无偿使用,支持用于产业发展、行业发展的数据资产有条件有偿使用,为保障行政事业单位履职和事业发展、赋能数字经济高质量发展提供更加坚实的基础。
11.全国网安标委就《数据安全技术数据接口安全风险监测方法(征求意见稿)》公开征求意见
8月2日,全国网安标委就《数据安全技术数据接口安全风险监测方法》公开征求意见。文件给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点,适用于指导各类组织开展的数据接口安全风险监测活动。
12.《汽车整车信息安全技术要求》等三项国家强制性标准发布
8月23日,全国标准信息公共服务平台公布《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》、《智能网联汽车自动驾驶数据记录系统》3项强制性国家标准,标准将于2026年1月1日实施。标准对智能网联汽车产品的网络安全能力提出强制性要求,也为车企开展网络安全及信息安全建设提供了有效指导。
二、境内监管动态
1.上海市发布生成式人工智能服务登记信息公告(8月30日)
根据《生成式人工智能服务管理暂行办法》要求,上海市有序开展生成式人工智能服务备案工作。截至8月30日,上海市新增包括公济小壹A1就医助理、Healthcare-Agent、智能理财助理蚂小财、罗塞塔编程助手、万能小in、智工问答等已完成登记的生成式人工智能服务10款,累计已完成30款生成式人工智能服务登记。已上线的生成式人工智能应用或功能被要求在显著位置或产品详情页面标明所取得的上线编号。
2.国家网信办发布《第七批深度合成服务算法备案信息》
8月5日,国家互联网信息办公室发布第七批境内深度合成服务算法备案信息,备案清单显示,中国法研法律服务内容生成算法、嘉之亨内容生成算法、ChatGript图生图算法、大明白大语言模型算法、智己多模态AI视觉图像生成式算法等487款境内深度合成服务算法完成备案,取得备案编号。
3.广州互联网法院“个人信息跨境案”判决
广州互联网法院判决认为,某国际酒店向旗下所有商业合作伙伴及营销部门人员共享消费者个人信息的行为,超出履行合同必需,对个人权益具有潜在风险,应当承担民事侵权责任。该案的审理明确了个人信息跨境处理的“合同所必需”规则审查标准,推动提升个人信息出境活动规范化水平。
4.浦东新区检察院办理的全国首例人工智能领域侵犯商业秘密案审结
A公司是一家从事人工智能芯片研发及销售的企业,机房内存储了包含该公司芯片研发核心代码在内的大量保密数据。A公司调查发现,公司股东郭某将服务器中存储的包含芯片研发核心代码在内的大量保密数据复制传输至非公司所有电脑并上传到云端。经专业鉴定机构鉴定,涉案技术信息具有非公知性,郭某窃取的核心技术信息代码与A公司主张的代码具有同一性。经评估,涉案两项技术信息的合理许可使用费共计230余万元。今年2月,浦东新区检察院以涉嫌侵犯商业秘密罪对郭某提起公诉。日前,法院开庭审理了此案,以侵犯商业秘密罪依法判处被告人郭某有期徒刑二年,缓刑二年,并处罚金10万元。
5.中央网信办启动“清朗·网络直播领域虚假和低俗乱象整治”专项行动
为督促网络直播平台落实主体责任,强化网络主播行为管理,推动网络直播行业健康有序发展。中央网信办在全国范围内部署开展为期1个月的专项行动,围绕网络直播领域虚假和低俗乱象,重点整治五类突出问题:一是编造虚假场景人设,无底线带货营销;二是“伪科普”“伪知识”混淆视听;三是传播“软色情”信息;四是扰乱社会秩序,侵犯他人权益;五是欺骗消费者,销售假冒伪劣商品。要求各级网信部门通过开展专项行动,督促指导属地网站平台,加强网络主播规范管理,强化用户行为规范,优化推荐机制。
6.全国首笔“数据资产挂钩抵押贷款”在重庆落地
西部数据交易中心与华夏银行重庆分行合作,成功发放全国首笔“数据资产挂钩抵押贷款”,金额达130万元。该贷款模式允许企业以数据资产为抵押,降低银行风险,并将利率与数据价值挂钩,激励企业盘活数据资源,为小微企业融资提供了新途径。
7.济宁市签发全国第一张数据资产入表保险单
8.上海警方纵深推进打击整治网络谣言专项行动
9.上海市网信办就诱导“刷脸”支付、自动售货机违规收集个人信息约谈申通地铁等企业
上海市网信办联合多部门约谈申通地铁及三家自动售货机企业,就诱导刷脸支付、违规收集个人信息等问题提出整改要求,强调企业使用人脸识别技术应遵循合法、正当、必要和诚信原则,并获得消费者单独同意。下一步,有关部门将开展现场检查和“回头看”,督促企业真正筑牢个人信息保护安全“防线”。
10.湖北省知识产权局为4家企业颁发全省首批7张数据知识产权登记证书
11.中国民航信息集团有限公司出台新规收紧“民航数据”访问权限
三、境外资讯
1.美国加州议会表决通过《前沿人工智能模型安全可靠创新法案》
2.美国联邦航空管理局(FAA)发布首版《人工智能安全保障路线图》
3.联合国网络犯罪问题特设委员会通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》
8月8日,联合国网络犯罪问题特设委员会一致投票通过首个网络犯罪条约——《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》,建立了全球层面的网络犯罪和数据访问法律框架。《联合国打击网络犯罪公约》强调加强国际合作,打击利用信息和通信技术系统实施的某些犯罪,并共享严重犯罪的电子形式证据。《联合国打击网络犯罪公约》除序言外,共九章,包括总则、刑事定罪、管辖权、程序措施和执法、国际合作、预防措施、技术援助和信息交流、实施机制。
4.新加坡网络安全局(CSA)发布加强人工智能安全的新指南并公开征求意见
7月31日,新加坡网络安全局(CSA)发布了《保护人工智能系统指南》(以下简称“《指南》”)和《保护人工智能系统配套指南》(以下简称“《配套指南》”)。《指南》倡导“安全设计”和“默认安全”(securebydesignandsecurebydefault),帮助系统所有者确保AI在整个生命周期的安全,免受潜在风险的影响,包括现有的网络安全风险(如供应链攻击)和新兴风险(如对抗性机器学习)。《配套指南》则用于补充《指南》,是非强制性的开放协作资源,旨在提供基于行业最佳实践、学术见解以及其他资源制定的有用措施和控制建议。
5.巴西数据保护机构发布数据跨境传输新规及标准合同文本
8月23日,巴西数据保护机构(ANPD)正式批准《国际数据传输规则》及标准合同条款(SCC)。《国际数据传输规则》中对于适用范围、具体规则、国际数据传输的有效机制进行了明确。其中,国际数据传输的有效机制包括:ANPD针对提供与《巴西通用数据保护法》(LGPD)规定的个人数据保护水平相当的国家或国际组织发布的充分性决定;法规中规定的SCC、具有约束力的公司规则(BCR)或特定合同条款;以及LGPD第33(III)-(IX)条规定的具体例外情况。
6.香港发布《身份证号码及其他身份代号实务守则:资料使用者指引》
7.香港金融管理局(HKMA)发布关于生成式人工智能应用时保护消费者的通函
8月19日,香港金融管理局(HKMA)发布了面向消费者的应用程序中使用生成人工智能的指导原则,系对2019年发布的《认可机构就应用大数据分析及人工智能(BDAI)的消费者保障》通告中指导原则的拓展与细化。新增内容包括:(1)认可机构董事局及高级管理层须对所有以GenAI推动的决定及程序负责,并通过适当的委员会,全面考虑GenAI应用程序对客户的潜在影响;(2)认可机构应确保GenAI模型能为客户提供客观、一致、秉持道德操守及公平的结果;(3)认可机构应透过向客户作出妥善、准确及易于理解的披露,就GenAI应用程式提供予客户适当的透明度;(4)认可机构应实施有效的客户资料保障措施,遵守《个人资料(私隐)条例》《开发及使用人工智能道德标准指引》及《人工智能(AI):个人资料保障模范框架》)。
四、境外监管动态
1.新加坡个人数据保护委员会(PDPC)因数据泄露对新加坡消费者协会处以20,000新元的罚款
8月12日,欧盟普通法院以“欧委会所捍卫的利益优于同方威视的利益”为由,驳回了中国安防公司清华同方威视(Nuctech)的暂停措施申请。此前,欧盟委员会在未作事先通知、未作立案通告的情况下,于4月23日直接突袭搜查同方威视在欧盟的两处场所(位于波兰和荷兰),就怀疑同方威视违反《外国补贴条例》接受扭曲性外国补贴的问题进行检查;同方威视于5月29日向欧盟普通法院提起诉讼并申请临时措施,请求欧盟普通法院责令欧委会暂停执行有争议的决定,包括暂停要求同方威视提供存储在中国境内的数据。欧盟普通法院指出,此次驳回的具体依据在于同方威视没有解释为什么信息存储在中国的服务器上这一事实会涉及中国法律条款的适用,并会阻止欧委会获得在欧盟成立并在欧盟境内开展活动的实体所获取的信息。
3.欧洲数字权利中心(NOYB)投诉希腊超市AlfaVita违反GDPR隐私权,呼吁希腊数据保护局进行调查并处以重罚
8月13日,希腊超市连锁品牌AlfaVita(AB)因未能遵守《通用数据保护条例》规定的基本权利,遭到欧洲数字权利中心(NOYB)投诉。NOYB要求希腊数据保护局(DPA)对其进行调查并建议对其处以最高4%的年营业额罚款。NOYB指出,尽管欧盟法院曾明确裁定公司需提供所有持有的个人数据及其接收者的名单,但在顾客请求行使其数据访问权时,AB却拒绝完整提供其所需个人信息;此外,AB将数据访问权作为会员专属功能,要求顾客升级会员以行使访问权。上述行为显然违反了GDPR。
4.英国信息专员办公室(ICO)因Advanced公司泄露8万多人个人信息拟对其处以609万英镑罚款
由于2022年的勒索软件攻击导致英国国家医疗服务系统(NHS)和社会医疗服务中断,英国信息专员办公室(ICO)8月7日发布公告,对软件供应商Advanced公司处以600万英镑的罚款。公告指出,尽管数据处理者(Dataprocessors)根据其客户(即数据控制者,Datacontroller)的指示行事,但是Advanced这样的数据处理者公司仍有义务采取适当的技术和组织措施,包括采取步骤评估和降低风险,如定期检查漏洞、实施多因素身份验证和使用最新的安全补丁更新系统等,以确保个人信息的安全。
5.丹麦数据保护局(Datatilsynet)对Vejen市政府因未加密便携设备处以20万丹麦克朗罚款
8月14日,丹麦数据保护局(Datatilsynet)宣布由于Vejen市政府未能妥善保护个人数据安全,对其处以20万丹麦克朗(约合29,514美元)的罚款。据报告,Vejen市政府的五台未加密笔记本电脑被盗,导致个人数据面临风险。Datatilsynet调查发现,该市政府拥有多达300台未加密的电脑,这些设备同样存在被滥用的风险。Datatilsynet指出,加密是相对简单且成本低廉的基本安全措施,呼吁所有市政府尽快对便携设备进行加密。
6.意大利数据保护局(Garante)因CreditAgricoleAutobank非法处理客户个人数据对其处以100万欧元罚款
7.意大利对东风汽车新建工厂提出网络安全与数据保护要求
中国东风汽车公司正在与意大利政府就在欧洲国家建立一家工厂以供应当地市场进行初步谈判。知情人士称,意大利要求东风汽车同意网络安全和数据保护措施,以此作为支持中国汽车制造商建设新工厂的条件,意大利还敦促东风汽车为每辆车在当地采购至少45%的零部件。但东风否认了这一传闻。
8.荷兰数据保护局因Uber违规将欧洲司机数据传输至美国对其处以2.9亿欧元罚款
8月26日,荷兰数据保护局(AP)对Uber公司因违反GDPR而处以2.9亿欧元的巨额罚款。AP发现,Uber将欧洲司机的个人数据未经充分保护传输至美国,此行为严重违反了GDPR规定。Uber传输的数据包括账户信息、驾驶执照、位置数据、照片、支付信息、身份信息,甚至部分司机的犯罪记录和医疗数据。AP表示,Uber在2021年8月之后未使用合规的标准合同,未能提供足够的个人数据保护。这是AP对Uber的第三次处罚,Uber表示将对该决定提出异议。
9.美国联邦贸易委员会(FTC)针对国外某短视频平台违反COPPA提起诉讼
10.Enzo因未能保护健康数据与纽约州总检察长达成450万美元和解
11.美国外国投资委员会(CFIUS)因数据违规通知不当对T-Mobile处以6000万美元罚款