1、国家网信办就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见
9月28日,国家网信办发布了《规范和促进数据跨境流动规定(征求意见稿)》,向社会征求意见。该规定草案豁免了企业个人信息出境场景下的较多合规义务,限缩了企业申报数据出境安全评估或标准合同备案的合规义务适用范围,体现了监管部门适度放宽数据出境限制、便利企业日常经营中数据出境活动、推动数据有序跨境流动的目的。要了解更详细的内容,请见下文分析。
2、上海市网信办召开部分商超企业个人信息保护合规工作座谈会
3、上海一中院发布《涉公民个人信息类刑事案件的审理思路和裁判要点》
9月18日,上海市第一中级人民法院发布了《涉公民个人信息类刑事案件的审理思路和裁判要点》,对涉公民个人信息类刑事案件的审理思路和裁判要点进行梳理、提炼和总结,其中包括信息类别判断、数量认定、获取个人信息的罪名选择、上下游关联犯罪等问题的分析。
4、北京市网信办发布《扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》
5、三部门联合发文:加强车载音视频管理
9月14日,国家广电总局、工信部和市场监管总局近日联合印发《关于进一步加强车载音视频管理的通知》,规范车载无线广播接收终端管理。通知要求,汽车的车载终端设备应配置符合国家标准和相应行业标准的无线广播接收模块,并遵守无线广播使用频率。要了解更详细的内容,请见下文分析。
6、深圳市发布《深圳市企业数据合规指引》,首次将数据合规激励机制引入监管领域
9月11日,深圳市人民检察院、深圳市互联网信息办公室、深圳市司法局、深圳市发展和改革委员会、深圳数据交易所联合发布了《深圳市企业数据合规指引》,从数据安全合规管理组织体系、制度建设、数据全生命周期合规、数据出境合规等多个方面为企业提供了合规指引,该指引首次明确提出了对于涉案企业合规建设经评估符合有效性标准的,检察机关可以根据具体情况酌情向有关主管部门提出从轻或减轻的建议、意见,将数据合规的激励效果进一步延伸至行政监管领域。
7、国务院常务会议审议通过《未成年人网络保护条例(草案)》
9月20日,《未成年人网络保护条例(草案)》经国务院常务会议审议通过,将送至全国人大(常委会)进一步审议。草案从网络素养培育、网络信息内容规范、个人信息保护与网络沉迷防治等方面,对企业提出了一系列合规要求。
8、“两高一部”出台意见,对“组织‘水军’”“涉性”“深度合成”等网暴情形从重处罚
9月25日,最高人民法院、最高人民检察院、公安部联合发布《关于依法惩治网络暴力违法犯罪的指导意见》。意见对惩治各类形态网络暴力提出了指导性意见,对行为形态对应的犯罪类型、诉讼程序衔接等方面作出了明确规定。意见还发布了依法惩治网络暴力犯罪的典型案例。要了解更详细的内容,请见下文分析。
9、《治安管理处罚法(修订草案)》公布:非法获取、出售或提供个人信息或被行政拘留
10、十四届全国人大常委会立法规划公布:聚焦数据权属和网络治理
9月7日,十四届全国人大常委会发布了立法规划。本届立法规划包括拟提请审议数字经济促进法;继续研究论证数据权属和网络治理方面立法项目。
11、中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》
中央网信办日前印发《关于进一步加强网络侵权信息举报工作的指导意见》,对网络侵权信息举报工作进行系统谋划和整体安排。指导意见明确了涉个人举报处置重点;要求建立网络暴力信息举报快速处置通道,从严处置首发、首转、多发、煽动传播网络暴力信息的账号;加强特殊群体网络合法权益保护,优先保护未成年人网络合法权益。要了解更详细的内容,请见下文分析。
12、央行发布《金融信息系统网络安全风险评估规范》,12月1日实施
8月6日,中国人民银行发布《金融信息系统网络安全风险评估规范》,这是我国首部针对金融行业网络安全风险评估的国家标准,将于2023年12月1日实施。规范中明确,其适用于“金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作”。要了解更详细的内容,请见下文分析。
13、科技部发布《人类遗传资源管理常见问题解答》
14、交通运输部发布《关于推进公路数字化转型加快智慧公路建设发展的意见》
9月20日,交通运输部印发《关于推进公路数字化转型加快智慧公路建设发展的意见》,对公路设计施工、公路养护业务、路网管理服务、公路政务服务等方面的数字化提出了一系列意见与实施要求。
15、中国信通院发布《数据要素白皮书(2023年)》
16、全国信安标委印发关于2023年第一批网络安全国家标准项目立项的通知
8月25日,全国信息安全标准化技术委员会发布了《2023年第一批网络安全国家标准项目立项清单》,其中包括网络安全产品互联互通、互联网信息服务深度合成、个人信息保护合规审计等主题标准。
17、《信息安全技术网络安全服务能力要求》等4项网络安全国家标准获批发布
18、全国信安标委发布征求国家标准《网络关键设备安全技术要求可编程逻辑控制器(PLC)》(征求意见稿)意见的通知
19、全国信安标委征求国家标准《信息安全技术网络安全保险应用指南(征求意见稿)》意见
9月13日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全保险应用指南》(征求意见稿),描述了网络安全保险的概念和作用,并提出网络安全保险应用各阶段的流程和方法。要了解更详细的内容,请见下文分析。
20、中国支付清算协会发布支付机构合规自律指引
9月25日,中国支付清算协会发布了《非银行支付机构业务合规发展自律指引(2023修订版)》,《自律指引》共113条,从金融服务创新、消费者权益保护、信息科技、风险信息共享、反诈拒赌、反洗钱、自律监督等12个方面明确了合规发展自律要求。
21、中评协发布《数据资产评估指导意见》
9月8日,中国资产评估协会发布了《数据资产评估指导意见》,围绕着数据资产的评估对象、评估对象的基本属性和特征、影响价值的关键因素、数据资产评估特有的数据质量评价要求、评估方法和披露要求等的问题进行了指导,为数据资产的评估实务提供了指引。
22、福建版“数据20条”发布
9月20日,福建省数字福建建设领导小组办公室印发了《福建省加快推进数据要素市场化改革实施方案》,推动构建数据基础制度,激活数据要素潜能,加快推进数据要素市场化改革,助力做大做强做优数字经济。方案提到,到2025年,培育100家《数据管理能力成熟度评估模型》贯标单位,打造100个典型数据应用场景。
23、《北京市外商投资条例》(草案征求意见稿):建立数据跨境外企绿色通道与数据自由流动白名单
9月20日,北京市商务局发布了《北京市外商投资条例》(草案征求意见稿),旨在促进本市外商投资,规范外商投资管理,保护外商投资合法权益。条例草案第六章提出,市网信部门应当制定具体措施,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。要了解更详细的内容,请见下文分析。
24、天津市知产局发布《天津市数据知识产权登记办法(试行)(征求意见稿)》
25、《贵州省数据要素登记管理办法(试行)》公开征求意见
8月31日,贵州省大数据发展管理局公开《贵州省数据要素登记管理办法(试行)》草案,向社会征求意见。在数据产权登记方面,相比于其他省份试点文件中的“数据”“数据集”“数据集合”,贵州草案强调范围更大的“数据要素”登记,包括数据资源,算法模型、算力资源以及所形成的产品和服务纳入登记对象,并对每类登记所需的材料进行了详细规定。
二、境内监管动态
2、市场监管总局开展个体工商户信用监管数据质量提升试点
9月5日,市场监管总局官网发布信息称,其印发文件,部署在江西省、广西壮族自治区、广东省中山市、陕西省汉中市、江苏省常熟市、辽宁省沈阳市铁西区等6个地区,开展个体工商户信用监管数据质量提升试点工作。
3、国家互联网信息办公室关于发布第二批深度合成服务算法备案信息的公告
9月1日,国家互联网信息办公室发布了《关于第二批深度合成服务算法备案的信息公告》,公布了第二批110个算法备案信息,涉及360、百度、华为、金山办公等诸多互联网企业。该备案工作源自《互联网信息服务深度合成管理规定》第十九条规定:“具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案”。
4、中央网信办开展“清朗·生活服务类平台信息内容整治”专项行动
9月28日,中央网信办发布通知,决定自即日起在全国范围内启动为期2个月的“清朗·生活服务类平台信息内容整治”专项行动。专项行动覆盖团购评价、婚恋交友、搜索引擎、影视点评、天气日历、旅游出行、网络购物、地图导航、本地生活、运动健康、实用工具等各类生活服务平台,重点整治为线下违法活动引流、搜索环节呈现违法信息、发布违规营销信息、组织操纵刷分控评、重点环节推荐低俗不良信息、传播网络迷信信息、散布炫富拜金、暴饮暴食等不良导向信息等7类信息内容突出问题。
5、永定警方跨省全链条团灭1600余台非法侵入计算机系统终端
6、浙江省通信管理局公布2023年电信和互联网行业网络安全检查名单和迎检要求
7、“清朗·杭州亚运会和亚残运会网络环境整治”专项行动开展
8、上海市网信办对属地46款App收集使用个人信息情况开展专项检查
为规范App个人信息处理活动,保护公民个人信息合法权益,根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,结合12345市民服务热线、市民来信举报等线索,2023年4月至9月,上海市网信办对属地下载量较大及投诉较多的46款App开展了收集使用个人信息专项检查,共发现160余项问题。经过通报和跟进指导,截至目前,各App运营单位均已完成问题整改。
9、上海市一政务信息系统技术服务公司因公民个人信息遭境外披露兜售被行政处罚
10、上海组织140余家金融理财服务类机构开展个人信息保护普法培训
三、境外新规
1、欧盟委员会公布首批6家《数字市场法案》“看门人”企业,涵盖苹果AppStore等22项核心平台服务
2、英美确认个人数据跨境传输“数据桥”,10月12日起正式生效
9月21日,英国正式确认“英美数据桥”(UK-USdatabridge)已于10月12日生效,届时英国的组织将能够将个人数据传输到获得“欧盟-美国数据隐私框架的英国扩展”认证的美国组织,而无需进一步的保护措施,例如英国GDPR中规定的国际数据跨境传输协议或有约束力的公司规则。
3、东盟正式启动《东盟数字经济框架协议》谈判
4、ISO发布关于“同意记录”的技术规范
5、美国加州参众两院通过《删除法案》
6、英国ICO发布共享信息以保护儿童或青少年的10步指南
7、英国信息专员办公室发布关于发送包含敏感个人信息的电子邮件的指南
8月30日,英国信息专员办公室(ICO)发布了《电子邮件与安全指南》。在该指南中,ICO建议组织实施技术和组织措施,以降低通过电子邮件发送个人信息时涉及的风险。此外,该指南还提醒各组织在发送敏感个人信息时不要仅使用电子邮件密件抄送功能。
8、加州隐私保护局发布《网络安全审计条例》和《风险评估条例》草案
8月28日,加州隐私保护局(CPPA)发布《风险评估条例(草案)》(DraftRiskAssessmentRegulations)和《网络安全审计条例(草案)》(DraftCybersecurityAuditRegulations)。其中,《网络安全审计条例》中对“网络安全审计”等重要术语进行了定义,并对服务提供商和承包商因个人信息收集所产生的网络安全审计义务进行了详细的规定,例如配合企业完成第九条中的网络安全审计的充分性和独立性、网络安全审计的适用范围等等。《风险评估条例》给出了“人工智能”和“自动决策技术”的定义,以及对服务提供商和承包商的风险评估要求、对消费者依据CCPA提出的请求进行响应、协助企业向消费者提供有关其自动决策技术的有意义的信息等等。
9、瑞士新修订的《联邦数据保护法》及实施条例9月1日生效
9月1日,瑞士新修订的《联邦数据保护法》(FederalActonDataProtection,FADP)及其实施条例生效,一同生效的还有《FADP实施条例》以及修订后的《数据保护认证条例》。修订后的FADP适用范围与GDPR一致,适用于自然人个人数据的处理,不再包含法人实体的数据。敏感数据定义已扩展至包括遗传和生物识别数据。
10、瑞士数据保护机构发布《数据保护影响评估情况说明》
8月31日,瑞士联邦数据保护机构发布《数据保护影响评估情况说明》(MerkblattzurDatenschutz-Folgenabschtzung),为数据保护影响评估目的、保护对象、适用情形以及可能的结构提供指南。个人数据处理行为是否会对数据主体基本权利带来高风险,应当结合数据处理的性质、范围、目的、情况等因素确定。数据保护影响评估可能涵盖包括负责人、数据处理情况、潜在的高风险、风险降低措施、所采取措施对潜在的高总风险的影响、评估结果等内容。
四、境外监管动态
1、美国加利福尼亚州总检察长宣布与谷歌就其地理位置隐私实践达成9,300万美元的和解协议
2、ChatGPT制造商OpenAI再次被指控存在系列违反GDPR数据保护行为
8月30日,波兰隐私研究人员LukaszOlejnik向波兰数据保护机构提出详细投诉,指控ChatGPT制造商OpenAI在合法基础、透明度、公平性、数据访问权和隐私设计(PbD)等多个方面违反了欧盟的《通用数据保护条例》(GDPR)。该投诉认为OpenAI还忽视了GDPR中与监管机构进行事先协商的要求,在发现人们权利面临高风险的时候,没有采取相应的缓解措施,也没有与监管机构接触。如果OpenAI的行为最终被确认违反GDPR,可能会受到高达全球年营业额4%的处罚。
3、访问权限设置错误!微软AI团队38TB数据泄露,涉员工电脑备份和服务密码
9月18日,云安全公司WizResearch发布公告称,在微软AI的GitHub存储库中发现了一起数据泄露事件:微软AI研究团队在GitHub上发布大量开源培训数据时,意外暴露了38TB的额外私人数据,其中还有两名员工工作站的磁盘备份,包括了机密信息、私钥、密码和超过30000条内部MicrosoftTeams消息。这一切是由一个配置错误的SAS(共享访问签名)令牌引起。
4、德克萨斯州地方法院对非法自动呼叫行为处以超过一亿四千六百万美元的罚款
5、谷歌因违法收集用户数据被荷兰消费者协会告上法庭
9月,荷兰的两家非营利组织——保护隐私利益基金会(FPPI)以及荷兰消费者协会(Consumerntenbond)代表成千上万的用户将谷歌告上法庭。谷歌被指控在未获得许可的情况下,在提供服务的过程中大规模收集用户的网络行为、位置数据等,涉嫌严重侵犯用户隐私。原告要求谷歌停止跟踪和共享数据,并向每位用户支付750欧元的赔偿。面对这一指控,目前谷歌发言人拒绝置评。
6、爱尔兰数据保护委员会对TikTok侵犯儿童隐私罚款3.45亿欧元
9月15日,爱尔兰数据保护委员会(DPC)宣布,对TikTok的调查已达成最终决定,宣布对其处以3.45亿欧元的罚款,以解决其因处理儿童用户的个人数据不当(儿童用户的个人资料默认设为公开;“家庭配对”设置允许非儿童账户与儿童账户配对,但TikTok无法验证非儿童用户否是儿童的父母或监护人;TikTok没有向儿童用户提供足够的透明度信息;TikTok在隐私设置上采用了“黑暗模式”,即在注册和发布视频时引导用户选择更加公开隐私的选项)而涉嫌违反欧盟《通用数据保护条例》(GDPR)的问题,同时还命令TikTok在三个月内改正其违规数据处理行为。
重点法规解读
一、国家网信办就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见
2023年9月28日,国家互联网信息办公室起草的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境新规》”)面向社会公开征求意见。
根据《数据跨境新规》,国际贸易、学术合作、跨国生产制造和市场营销等活动中不包含个人信息或者重要数据的数据出境;境外数据入境再出境;为订立、履行个人作为一方当事人的合同所必需而向境外提供个人信息的,以及按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理必须向境外提供内部员工个人信息等情形下,均不再需要申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。此外,预计一年内向境外提供不满1万人个人信息的情形也受到上述豁免。但应注意,《数据跨境新规》并未豁免出境中的个人同意。
当然,《数据跨境新规》在对一般的企业和机构涉及的数据出境活动“松绑”的同时,仍然强调了对事关国家安全的数据出境活动的强监管立场,在涉及国家安全的数据出境上仍应严格按照适用法律法规和部门规章的要求履行数据出境安全评估和其他义务。
整体来看,《数据跨境新规》大大豁免了企业个人信息出境申报数据出境安全评估或个人信息出境标准合同备案的义务范围,体现了监管部门在遵守法律所确立的数据出境监管框架前提下,适度放宽数据出境限制、便利企业日常经营中数据出境活动、推动数据有序跨境流动的目的,对企业来说是重大利好。但需要注意的是,《数据跨境新规》在第九条重申“数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告”。总之,企业无论属于何种数据出境情形,均应继续现有法律法规要求的数据安全责任和义务,例如出境个人信息的应依照《个人信息保护法》的规定开展事前进行个人信息保护影响评估等。
二、央行发布《金融信息系统网络安全风险评估规范》,12月1日实施
三、“两高一部”联合发布《关于依法惩治网络暴力违法犯罪的指导意见》暨典型案例
2023年9月20日,为依法惩治网络暴力违法犯罪活动,有效维护公民人格权益和网络秩序,根据刑法、刑事诉讼法、民法典、民事诉讼法、个人信息保护法、治安管理处罚法及《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》等法律、司法解释规定,结合执法司法实践,最高人民法院、最高人民检察院、公安部印发了《关于依法惩治网络暴力违法犯罪的指导意见》。(以下简称“《意见》”)
《意见》要求夯实网络信息服务提供者的主体责任:(1)网络服务提供者基于蹭炒热度、推广引流等目的,利用互联网用户公众账号等推送、传播有关网络暴力违法犯罪的信息,符合刑法第二百八十七条之一规定的,以非法利用信息网络罪定罪处罚;(2)对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播或者有其他严重情节,符合刑法第二百八十六条之一规定的,以拒不履行信息网络安全管理义务罪定罪处罚;(3)依照刑法和司法解释规定,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。实施网络侮辱、诽谤等网络暴力行为,尚不构成犯罪,符合治安管理处罚法等规定的,依法予以行政处罚。
为规避法律风险,履行网站平台主体责任,我们建议网络平台企业切实加大网暴治理力度,参照《关于切实加强网络暴力治理的通知》和《网络暴力信息治理规定(征求意见稿)》的要求履行相应合规义务。
四、《信息安全技术网络安全保险应用指南》公开征求意见
2023年9月13日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全保险应用指南》(征求意见稿)(以下简称“《应用指南》”),描述了网络安全保险的概念和作用,并提出网络安全保险应用各阶段的流程和方法。
五、三部门联合发文:加强车载音视频管理
从事车载网络音视频服务应取得相应许可。车载网络音视频服务机构应向广播电视主管部门申领《信息网络传播视听节目许可证》,取得车载网络音视频服务资质,向工业和信息化主管部门履行移动互联网应用程序(APP)备案手续;
通过普及无线广播接收模块或预装车载网络音视频APP等方式形成主流声音在车辆空间传播保障机制,建立中央主流媒体直达传输通道;
将中央广播电视总台“中国之声”广播节目、“新闻频道CCTV-13”电视节目作为公共服务节目源优先向公众免费提供,车载网络音视频APP应在显著位置提供接入通道,以便公众清晰获取、快速接入;
持续打击治理“黑广播”、擅自冠名“电台”等名称的违法、违规活动;
要求广播电视主管部门加强对车载音视频服务机构的准入管理和日常监督,并建立车载音视频内容监听监看机制,确保车载音视频系统传输内容健康有益。
六、中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》
2023年9月15日,中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》(以下简称“《指导意见》”),对网络侵权信息举报工作进行系统谋划和整体安排。《指导意见》明确网络侵权信息举报工作两大任务。一是切实保护公民个人网络合法权益。要求各地网信部门把握举报受理重点内容和重点领域;建立网络暴力信息举报快速处置通道,从严处置首发、首转、多发、煽动传播网络暴力信息的账号;加强特殊群体网络合法权益保护,优先保护未成年人网络合法权益。二是切实维护企业网络合法权益。要求开设线上涉企举报专区,健全举报查证机制,强化举报政策指导,重点受理处置侵害企业及企业家名誉的虚假不实信息、违法网站和账号,优化网上营商环境,支持各类企业做大做优做强。
为实现以上重点任务,《指导意见》要求压紧压实网站平台主体责任。我们认为各级网信部门可能于近期开展相应监管行动,因此企业应及时对照《指导意见》要求开展平台内网络侵权信息自查与处置工作,并采取“限时加私”“争议标签”等措施,切实保障个人、组织合法权益。
9月6日,国家互联网信息办公室官网发布消息,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
八、《北京市外商投资条例》:建立数据跨境外企绿色通道与数据自由流动白名单
9月20日,北京市商务局牵头起草并发布了《北京市外商投资条例》(草案征求意见稿,以下简称“《条例》”),旨在促进本市外商投资,规范外商投资管理,保护外商投资合法权益,推动首都开放型经济高质量发展。现就上述文件向社会公开征求意见,并就文件内容是否具有排除、限制竞争效果(公平竞争审查)征求社会公众意见。
九、欧盟委员会公布首批6家《数字市场法案》“看门人”企业,涵盖苹果AppStore等22项核心平台服务
根据法案,“看门人”企业指提供社交网络、搜索引擎等核心平台服务的大企业,其市值至少为750亿欧元或年营业额75亿欧元,还需在欧盟每月至少有4500万终端用户,每年有1万名商业用户。法案确保这些企业不会滥用自己的地位。《数字市场法案》规定了大型在线平台的义务,这些公司必须允许商业用户访问他们在平台上生成的数据,允许他们推广自己的产品。
此外,欧盟委员会还将在12个月内完成对苹果iPadOS的市场调查。该委员会还认为,尽管Gmail、Outlook.com和三星互联网浏览器达到了法案规定的“看门人”资格门槛,但Alphabet、微软和三星提供了充分合理的论据,表明这些服务不符合“看门人”的资格。因此,欧盟委员会决定不将Gmail、Outlook.com和三星互联网浏览器指定为核心平台服务。三星并未被指定为任何核心平台服务的“看门人”。