1.李强签署国务院令公布《网络数据安全管理条例》
2.国家网信办发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》
3.国家网信办就《人工智能生成合成内容标识办法(征求意见稿)》公开征求意见
9月14日,国家网信办公布《人工智能生成合成内容标识办法(征求意见稿)》,旨在规范人工智能生成合成内容的标识,保护公民和组织合法权益,维护社会公共利益。适用本办法的服务提供者需对通过人工智能技术生成的文本、图片、音频、视频等信息进行显式或隐式标识。显式标识需明显提示用户,隐式标识则通过技术手段添加至文件数据中。服务提供者须确保下载或复制的内容包含显式标识,并在文件元数据中添加隐式标识。此外,服务提供者应规范内容传播,核验隐式标识,并在必要时添加提示标识。违反标识规定的,将依法受到处罚。
4.国家网信办就《终端设备直连卫星服务管理规定(征求意见稿)》公开征求意见
9月27日,国家网信办发布《终端设备直连卫星服务管理规定(征求意见稿)》,以促进和规范终端设备直连卫星服务健康发展。征求意见稿包含总则、发展与促进、设备设施与服务管理、监督管理和法律责任、附则五个部分,适用于向中华人民共和国境内提供终端设备直连卫星服务,以及在中华人民共和国境内生产、组装、提供、销售和使用支持直连卫星服务的终端设备。征求意见稿一方面明确了终端设备直连卫星产业的发展与促进措施,另一方面将分散于其他法律、行政法规和部门规章中的有关管理规定进行整合,明确了对于终端设备、终端设备直连卫星服务和有关基础设施的管理要求。
5.国家数据局就《关于促进数据产业高质量发展的指导意见》公开征求意见
国家数据局于9月27日就《关于促进数据产业高质量发展的指导意见》公开征求意见。其中提到研究制定《国家数据标准体系建设指南》,加快推动数据资源、数据技术、数据流通利用数据基础设施等标准规范研制。加强国际国内数据标准衔接,积极参与国际数据治理规则制定。
6.国家数据局就《关于促进企业数据资源开发利用的意见》公开征求意见
《意见》提出,完整、准确、全面贯彻新发展理念,着力推动高质量发展,统筹数据发展和安全,以深化数据要素市场化配置改革为主线,以激发企业创新活力为关键,以健全企业数据权益实现机制为重点,充分发挥企业主体作用,分类推进企业数据资源开发利用,提升企业竞争力,赋能产业数字化转型,助力提升治理效能和公共服务能力,为培育新质生产力、推动高质量发展提供有力支撑。
7.工信部印发《关于推进移动物联网“万物智联”发展的通知》及其解读
8.外交部发布《人工智能能力建设普惠计划》
9月25日,外交部长王毅在人工智能能力建设国际合作高级别会议上发表了《推动普惠发展,弥合智能鸿沟》的致辞,宣布了中国的《人工智能能力建设普惠计划》,围绕全球南方普遍期待的“五大愿景”,积极开展“十项行动”。主要内容包括促进人工智能和数字基础设施联通、推进“人工智能+”赋能千行百业、加强人工智能素养和人才培训、提升人工智能数据安全和多样性、确保人工智能安全可靠可控等,倡议成立“人工智能能力建设国际合作之友小组”。
9.自然资源部就《智能网联汽车时空数据传感系统安全基本要求》(征求意见稿)和《智能网联汽车时空数据安全处理基本要求》(征求意见稿)等2项强制性国家标准公开征求意见
9月20日,自然资源部发布《智能网联汽车时空数据传感系统安全基本要求》(征求意见稿)和《智能网联汽车时空数据安全处理基本要求》(征求意见稿)等2项强制性国家标准,以规范智能网联汽车时空数据的获取与处理活动,保障国家地理信息安全、促进智能网联汽车产业的健康发展。前者旨在确保智能网联汽车时空数据传感系统测绘功能和行为的安全、合规,后者旨在确保智能网联汽车时空数据的安全、合规与有效利用,同时兼顾智能网联汽车技术发展的数据需求。
10.民政部等部门联合发布《个人求助网络服务平台管理办法》及其解读
11.国家金融监管总局明确小程序、公众号被纳入金融机构全面风险管理体系
9月12日,国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》,旨在规范金融机构移动互联网应用程序(移动应用)的管理。《通知》明确,金融机构需将移动应用纳入数字化转型规划,明确管理职责,建立台账和准入退出机制,控制移动应用数量,并优化或终止低效应用。需明确移动应用的管理部门及责任人,并通过合同明确与第三方合作的责任义务。
12.市场监管总局就《关于推动网络交易平台企业落实合规管理主体责任的指导意见(征求意见稿)》公开征求意见
9月9日,市场监管总局发布《关于推动网络交易平台企业落实合规管理主体责任的指导意见(征求意见稿)》,旨在引导网络交易平台企业加强合规管理,提升依法依规经营管理水平。意见明确了网络交易平台企业的合规管理职责,要求企业建立健全合规管理组织,明确合规负责人和管理员的岗位职责,提升合规管理能力。企业需建立合规风险管控动态管理机制,定期排查、整改、调度工作制度。市场监督管理部门将加强指导和监督,支持企业开展合规培训,并定期进行监督抽查考核,确保企业合规管理落实。
13.市场监管总局就《防范外卖餐饮浪费规范营销行为指引(征求意见稿)》公开征求意见
14.国家数据局就《关于促进企业数据资源开发利用的意见》公开征求意见
9月27日,国家数据局发布《关于促进企业数据资源开发利用的意见(征求意见稿)》,以培育全国一体化数据市场,促进企业数据资源合规高效开发利用。《意见》围绕企业数据资源开发利用提出健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境等举措,要求各行业主管部门结合本领域数据资源开发利用实际,分业分类施策,细化落实方案。
15.国家数据局就《关于促进数据产业高质量发展的指导意见》公开征求意见
9月27日,国家数据局发布《关于促进数据产业高质量发展的指导意见(征求意见稿)》,以深化数据要素市场化配置改革、构建以数据为关键要素的数字经济。《意见》明确,数据产业是利用现代信息技术对数据资源进行产品或服务开发,并推动其流通应用所形成的新兴产业,包括数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等,并从加强数据产业规划布局、培育多元经营主体、加快数据技术创新、提高数据资源开发利用水平、繁荣数据流通交易市场、强化基础设施支撑、提高数据领域动态安全保障能力、优化产业发展环境等方面提出具体措施。
16.全国网安标委发布《人工智能安全治理框架》1.0版
9月9日,全国网安标委发布《人工智能安全治理框架》1.0版,旨在确保人工智能技术的安全、可靠、公平和透明,同时促进其健康发展与规范应用。框架遵循“以人为本、智能向善”的原则,强调发展与安全并重,倡导全球共治共享。内容涵盖人工智能安全治理原则、框架构成、风险分类、技术与管理应对措施、安全开发应用指引等。框架特别指出人工智能内生安全风险和应用安全风险,并提出相应的技术对策和综合治理措施,以实现对人工智能安全风险的有效治理。
17.全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》
18.全国网安标委就《数据安全技术二手电子产品信息清除技术要求》(征求意见稿)公开征求意见
8月30日,全国网安标委发布《数据安全技术二手电子产品信息清除技术要求》(征求意见稿),根据二手电子产品可用程度分级思路,规定了二手电子产品信息清除各个环节应遵循的技术要求,对电子产品厂商和二手电子产品经销者制定要求。同时,从信息清除环境、过程和管理方面,引导二手电子产品经销企业建立信息安全管理体系和信息技术服务管理体系。
19.工信部发布《电信网和互联网安全等级保护实施指南》等19项通信行业标准报批公示
9月18日,工信部发布19项通信行业标准的报批稿,包括《面向云计算的零信任体系第4部分:数据保护能力要求》《电信网和互联网安全等级保护实施指南》《电信网和互联网灾难备份及恢复实施要求》《移动通信网安全防护要求》《电信网和互联网第三方安全服务能力评定准则》《移动应用商店恶意程序的监测与处置接口技术要求》等。
20.福建平潭发布《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》
8月26日,平潭综合实验区发布《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》,以提升数据处理者数据跨境活动便利性。该清单适用于在平潭自贸片区范围内登记注册的,且在平潭自贸片区内开展数据跨境流动活动的数据处理者,但不适用于关键信息基础设施运营者。数据处理者向境外提供清单内数据,被传输数据在境内运营中收集和产生,并且数据出境行为符合本清单传输要求的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。该清单详细列举了跨境旅游、跨境电商、国际航运、跨境直播等领域的场景化一般数据清单,包括数据类别、典型示例和说明以及传输要求。
21.天津市数据局就《天津市深化数据要素市场化配置改革实施方案(征求意见稿)》公开征求意见
9月8日,天津市数据局发布《天津市深化数据要素市场化配置改革实施方案(征求意见稿)》,目标到2027年建立顺畅的数据要素市场体系,培育数据型企业和数字产业集群。方案提出增加公共数据供给、激励企业数据供给、保护个人信息数据、构建数据产权体系、完善数据流通机制、强化数据应用、保障数据安全等措施。
23.湖南省市监局等十一部门印发《湖南省数据知识产权登记管理办法(试行)》
9月19日,《湖南省数据知识产权登记管理办法(试行)》公开发布。该《办法》共二十四条,以“数据二十条”为依据,在厘清数据知识产权内涵的基础上,明确数据知识产权保护的对象和主体,从而确定数据知识产权的登记对象和申请登记主体。沿着“登记什么-谁来登记-如何登记”的逻辑,对数据知识产权的登记对象、申请登记主体、登记机关、登记流程、登记效力、证书运用和登记的监督管理进行了规定。
二、境内监管
1.中央网信办公布中国互联网联合辟谣平台2024年8月网络谣言辟谣榜
9月10日,网信中国发布中国互联网联合辟谣平台2024年8月辟谣榜,就“房屋养老金”需业主额外缴费、全国12315平台发布“行政处罚退费公告”、广东深圳劳动仲裁“熔断”、湖南宁乡劳动局向企业发送“高风险名单”、湖南博物院的辛追夫人曲裾式素纱单衣被盗、内蒙古呼和浩特市公租房可办理到个人名下等内容进行辟谣。
2.公安部公布10起打击整治网络暴力违法犯罪典型案例
9月14日,公安部公布10起通过网络实施侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力违法犯罪活动,包括北京公安机关侦破赵某、成某某实施“开盒”网络暴力案、辽宁大连公安机关侦破石某某等人实施“有偿代骂”网络暴力案、四川成都公安机关侦破万某等人非法利用信息网络案、浙江杭州公安机关侦破杨某等人侵犯公民个人信息案等。
4.公安部公布5起打击整治“移花接木”拼接网络谣言违法犯罪典型案例
9月19日,公安部公布打击整治“移花接木”拼接网络谣言违法犯罪5起典型案例,包括广东公安机关侦办的张某某拼接虚假字幕谣言案、江苏公安机关侦办的徐某某拼接“高速公路交通事故55人死亡”网络谣言案、湖北公安机关办理的袁某拼接“公安交警与部队人员发生冲突”谣言案、江苏公安机关办理的马某某拼接“南京机场女子排队中暑进大厅休息被安检员拒绝”网络谣言案、青海公安机关办理的童某某拼接“网约车罢工”网络谣言案等。
5.北京互联网法院发布十起个人信息保护典型案例
6.拜耳医药保健有限公司首个通过北京数据出境负面清单备案审核
拜耳医药保健有限公司于9月11日通过中国(北京)自由贸易试验区高端产业片区亦庄组团负面清单备案审核,成为全市首家通过自贸试验区数据出境负面清单政策实现数据合规出境的企业。本次负面清单备案从申报使用负面清单到取得备案结果仅用时5个工作日,负面清单的申报审核流程相较于负面清单政策出台前企业须履行的合规要求大幅简化。
7.上海市发布生成式人工智能服务已备案信息公告
截至9月9日,上海市新增喜马拉雅音模等7款已完成备案的生成式人工智能服务,累计已完成41款生成式人工智能服务备案。备案信息包括模型名称、备案单位备案号和备案日期。已上线的生成式人工智能应用或功能,应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况,注明模型名称及备案号。
8.上海市场监管局公示宁波森浦信息技术有限公司滥用市场支配地位案的处罚决定
9月6日,上海市市场监督管理局公示了关于宁波森浦信息技术有限公司实施滥用市场支配地位行为的行政处罚书,对森浦公司处以人民币4532782.9元罚款。森浦公司滥用其在债券声讯经纪实时交易数据市场中的支配地位,拒绝与其他金融信息服务商进行交易,限制了市场的公平竞争。此案是我国金融数据领域的第一起滥用市场支配地位案,监管部门明确了对数据滥用市场支配地位行为的打击方向,具有重要的法律和市场示范意义。
9.浙江省启动打击网络侵权盗版“剑网2024”专项行动
10.内蒙网警通报7起不履行网络安全保护义务处罚案例
9月13日,内蒙古内蒙网警通报7起不履行网络安全保护义务处罚案例,主体包括内蒙古呼和浩特市某博物馆、内蒙古锡林郭勒盟某公司、内蒙古通辽某热电公司、内蒙古鄂尔多斯市某事业单位、内蒙古某供应链企业、内蒙古鄂尔多斯市某酒店、内蒙古赤峰市某培训学校。
11.南昌市网信办因某校个人信息未开展脱敏或去标识化处理对其作出行政处罚
南昌市某学校未采取技术措施和其他必要措施,对网站公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理,导致信息泄露风险。9月12日,南昌市网信办依据《中华人民共和国网络安全法》第六十四条第一款的规定,对该学校作出警告的行政处罚。
12.江西某公司因为不履行网络安全保护义务被处罚
13.重庆某公司因个人信息保护不力被梁平区网信办处罚
14.中国网络空间安全协会发布“关于发布完成个人信息收集使用合规整改App清单的公告”
9月10日,中国网络空间安全协会发布“关于发布完成个人信息收集使用合规整改App清单的公告”,称共10类62款App运营方已在应用商店上架合规版本,APP涉及网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务等领域,包括但不限于京东、淘宝等。
15.深圳市成立网络数据合规与流通促进会
9月14日,深圳市网络数据合规与流通促进会成立大会暨数据合规与流通专题活动在深圳交易集团总部大楼举行。促进会在市互联网信息办公室的指导下,由深圳交易集团作为主要发起单位,联合中国联通深圳分公司、深圳数据交易所、华为技术有限公司、广东广和律师事务所等47家具有行业代表性的大型国企、科技企业、金融机构、数据服务商、律师事务所共同发起成立。
三、境外资讯
1.美英欧等国正式签署全球首个人工智能国际公约
9月5日,美国、欧盟、英国等10个国家和组织于立陶宛举办的欧洲委员会司法部长会议上共同签署了全球首个具有法律约束力的国际人工智能条约《人工智能(AI)框架公约》(以下简称《公约》)。《公约》旨在应对人工智能技术可能带来的风险,要求签署国对人工智能系统造成的任何有害和歧视性后果负责。《公约》还要求各国采取行动打击超出参数范围的技术活动,解决对公共服务构成威胁的人工智能模型滥用问题。值得一提的是,《公约》没有清晰的执行和惩罚机制,对签署各国的约束力相对较弱。
2.G20通过关于人工智能、虚假信息和全球互联网自由接入的宣言
3.全球移动通信系统(GSMA)发布负责任的人工智能成熟度路线图
9月17日,全球移动通信系统(GSMA)发布首个跨行业的负责任人工智能成熟度路线图(ResponsibleAIMaturityRoadmap),旨在为电信运营商提供必要的工具和指导,以帮助电信运营商来测试和评估其是否负责任地使用人工智能(AI)技术。据了解,该倡议得到了Axiata集团、德国电信、Orange、西班牙电信和澳洲电讯的支持。路线图以五个核心基本维度为基础:(1)组织的愿景、价值观和战略目标;(2)其运营模式以及如何在所有运营中维护人工智能治理;(3)符合监管要求的技术控制;(4)与第三方生态系统合作;(5)企业变革管理和沟通策略。
4.欧盟委员会发布《数据治理法案》(DGA)实施指引文件
5.欧盟委员会计划就《通用数据保护条例》下的标准合同条款进行公众咨询
7.美国参议院向国会提交《数据实践现代化以改善政府法案》
9月23日,美国参议员GaryPeters和ToddYoung宣布,参议院关于《数据实践现代化以改善政府法案》(ModernizationDataPracticestoImproveGovernmentAct)的5109号法案已提交至美国国会。该法案概述了在2025年的初始到期日之后将首席数据官(CDO)委员会延长七年的目标,要求管理和预算办公室(OMB)提供一份报告,建议如何澄清和加强CDO在政府中的作用,包括确定支持联邦机构数据治理和人工智能(AI)采用所需的资源和技能。该法案还要求CDO委员会向OMB报告机构的关键数据治理问题,包括确保机构数据可靠、透明、高质量的最佳做法,并保护个人的隐私和个人身份信息。此外,该法案要求对阻碍各机构采用人工智能的数据挑战进行评估。CDO委员会还需要在采购人工智能时就数据所有权和保留政策提出建议,以及机构应如何定义和使用人工智能系统创建的合成数据。
8.美国商务部颁布《建立高级人工智能模型和计算集群开发报告要求》拟议规则
9月9日,美国商务部工业与安全局(BureauofIndustryandSecurity,简称BIS)发布了《建立高级人工智能模型和计算集群开发报告要求》拟议规则,规定先进人工智能模型和计算集群开发者有向联邦政府提供报告之义务。报告内容包括开发活动、网络安全措施和红队测试结果。红队测试涉及测试危险能力,例如协助网络攻击的能力或降低非专家开发化学、生物、放射或核武器的准入门槛的能力。BIS指出,拟议规则要求收集的信息对于确保技术符合安全性和可靠性的严格标准、抵御网络攻击以及限制技术被外国对手滥用的风险而言至关重要。
9.美国参议员向参议院提交AI民权法案
9月24日,美国参议员EdMarkey宣布向美国参议院提交《人工智能民权法案》(AICivilRightsAct)。该法案禁止开发者或部署者提供、许可、推广、销售或使用可能导致不平等影响或歧视的算法,规定了开发者和部署者应遵守的标准,包括进行预先部署评估和后期部署影响评估。在透明度方面,该法案要求开发人员和部署人员以通俗易懂、清晰、醒目、不误导、易于阅读和易于获取的方式公开披露,详细准确地说明开发人员或部署人员在法案要求方面的做法。该法案由联邦贸易委员会(FTC)和州总检察长负责执行。
11.美国拟禁止智能网联车使用中国软硬件,以防止中国企业收集敏感数据
12.美国加州州长批准了为儿童数据隐私提供进一步保护的法案
13.俄罗斯423个组织签署《人工智能道德准则》
9月18日,俄罗斯联邦政府下属的国家人工智能发展中心宣布,423个组织在国际技术大会上签署了《人工智能道德准则》。《人工智能道德准则》规定了参与人工智能领域活动的人员(人工智能参与者)应遵循的一般道德原则和行为标准,包括以人为本、承认人类的自主性和自由意志、遵守法律、非歧视以及评估风险和人道主义影响等。《人工智能道德准则》强调,人类始终对人工智能系统应用的后果负责,这意味着人工智能参与者应确保人工智能系统的全面监督,不应允许将道德选择的责任转移到人工智能系统,也不应将决策后果的责任委托给人工智能系统。
14.挪威政府宣布2030年国家数字化战略
15.澳大利亚拟立法禁止儿童使用社交媒体
16.沙特发布《沙特王国个人数据跨境传输条例》修订版以及标准合同条款模板
9月,沙特数据和人工智能管理局(SDAIA)相继发布《境外个人数据传输条例》(以下简称《条例》)修订版以及配套《个人数据传输的标准合同条款》和个人数据传输约束通用规则指南,旨在基于沙特《个人数据保护法》向数据控制者阐明个人数据跨境传输的详细规定和程序。《条例》重点条款内容包括向境外传输或披露个人数据的目的、评估境外个人数据保护水平的程序和标准、数据控制者免于遵守同等保护水平和最低个人数据传输要求的例外情况、跨境传输或披露个人数据的风险评估等。此前,沙特《个人数据保护法》《沙特王国个人数据跨境传输条例》于2023年9月14日一并正式生效。
17.阿根廷数据保护局(AAIP)发布人工智能透明度和个人数据保护指南
9月16日,阿根廷数据保护局(AAIP)发布了针对公共和私营实体的《人工智能透明度和个人数据保护指南》。指南侧重于探讨基于自动决策系统的技术,特别是结合人工智能(AI)的技术对基本权利的影响,以及如何从监管和机构角度应对这些挑战。指南指出透明度和个人数据保护是确保人工智能负责任使用的关键要素,并为AI系统全生命周期中的个人数据保护和透明度确保提供了建议。
18.新加坡拟立法禁止选举期间使用深度伪造技术
19.韩国个人信息保护委员会发布《关于自动决策的数据主体权利指南》
9月26日,韩国个人信息保护委员会(PIPC)发布《关于自动决策的数据主体权利指南》。该指南强调,并非所有由自动化系统做出的决策都被视为自动化决策,如果在做出最终决定之前建立并运行了人类判断程序,则不被视为自动决定。数据主体可以要求对其权利或义务产生重大影响的自动决策进行解释或审查。根据该指南,企业和组织必须采取提供简洁而有意义解释信息、提前在公司网页上披露标准和程序等措施。
20.越南发布《个人数据保护法(草案)》
9月24日,越南公安部(MPS)就《个人数据保护法(草案)》(PersonalDataProtectionLaw)面向社会公开征求意见。该草案预计在年底提交国民议会,并预计于2026年1月1日生效。该法律草案规定了个人信息的处理原则,包括透明度、目的限制、数据最小化、安全性、存储限制和数据主体的同意等。此外,该法律草案详细规定了与个人数据有关的禁止行为以及数据主体的权利。值得注意的是,该法律草案规定了个人数据保护专家或数据保护官(DPO)的必要资格,其负有完成数据保护影响评估(DPIA)和个人数据传输影响评估(TIA)的责任。
四、境外监管
1.欧盟法院公布对个人数据泄露案件中DPA纠正权力的判决
2.美国联邦通信委员会就供应商数据泄露问题与AT&T达成1300万美元和解
9月17日,美国联邦通信委员会(FCC)公布了一项于9月16日通过的同意令,宣布与AT&TServicesInc.达成1300万美元的和解协议。这项和解源于FCC对AT&T涉嫌违反《通信法》的调查。FCC指出,2023年1月,AT&T因使用的一家供应商的云环境发生数据泄露,未能确保客户信息在不再需要时被销毁或返还。FCC认定AT&T未能保护客户专有网络信息(CPNI),并存在不当使用、披露客户信息的情况。根据和解协议,AT&T将支付1300万美元,并需改进隐私和数据安全措施,包括限制供应商访问敏感信息、建立信息安全计划、加强供应商管理,并进行年度合规审计。
3.美国德克萨斯州AG就人工智能的使用问题与PiecesTechnology达成和解
9月18日,德州司法部长宣布,已与PiecesTechnology公司就其生成式人工智能产品可能违反《德州欺骗性贸易行为与消费者保护法》(DTPA)的问题达成和解。PiecesTechnology为医疗机构开发并推广AI产品,帮助医生和护士进行临床总结、生成图表等操作。然而,司法部长指控该公司的产品宣传具有误导性,未充分说明某些关键指标的含义。根据和解协议,PiecesTechnology需在产品描述中明确解释使用的指标和测试方法,并禁止虚假或未经证实的陈述。此外,PiecesTechnology还需向客户提供关于其产品潜在风险和用途的完整文件,以确保正确使用和避免误用。
4.加拿大联邦上诉法院裁定Facebook违反PIPEDA法规
9月9日,加拿大隐私专员办公室(OPC)发布新闻稿,宣布联邦上诉法院支持了OPC的决定,认定Facebook违反了《个人信息保护与电子文件法》(PIPEDA)。OPC指控Facebook在2013至2015年间通过“thisisyourdigitallife”应用程序未经有效同意便与第三方共享用户及其好友的信息。起初,联邦法院裁定OPC未能证明Facebook违反PIPEDA,驳回了诉讼。然而,OPC提起上诉后,加拿大联邦上诉法院确认Facebook的行为违反了PIPEDA的规定,包括未能获得用户及其好友的有效同意(违反PIPEDA第4.3条和第6.1条),以及未能采取适当措施保护用户个人信息安全(违反PIPEDA第4.7条)。最终,法院要求Facebook在90天内与OPC达成补救措施的协议,并期望Facebook提出合规方案。
5.英国信息专员办公室叫停领英将英国用户数据用于人工智能培训
近日,领英(LinkedIn)更改了其隐私政策,使用“选择退出”设置来使用客户数据训练其内部人工智能模型。公司表示使用用户数据将有助于改善生成式人工智能功能。英国信息专员办公室(ICO)对此举表示担忧,指出选择退出的方法不足以保护用户隐私。该变更同样引发了社交媒体用户的强烈反对,数字权利活动家敦促用户选择退出该计划。目前,领英已暂停将英国用户数据用于人工智能训练。
6.德国柏林数据保护机构发布2023年度工作报告
9月17日,德国柏林数据保护和信息自由专员MeikeKamp发布了其2023年度工作报告,详细介绍了监管机构在地方、国家和欧洲层面的工作内容。报告指出,2023年其对私营企业的罚款接近55万欧元,接收的数据泄露事件报告达1,129起,接收的数据主体咨询与投诉达5,537件,共发出139次警告和2项命令。同时,报告中总结了三个典型案例,包括因某银行未能履行自动化个人决策的透明度义务对其处以300000欧元的罚款、因公司处理员工不必要信息等违规事项对其处以共计215000欧元的罚款、因公司对员工进行秘密视频监控对其处以4,00欧元的罚款等。
7.法国数据保护机构对CEGEDIMSANTé非法处理健康数据的行为处以罚款80万欧元
8.爱尔兰数据保护委员会宣布Supermac's因违规发送营销邮件被判捐款
9月6日,数据保护委员会(DPC)宣布了对Supermac'sIrelandLimited在高威地区法院提起的诉讼结果。DPC指出,Supermac'sIreland对其在客户通知公司不再接收此类邮件后仍发送未经请求的营销邮件的五项指控认罪。此前,DPC曾在2023年2月,根据先前提交的投诉进行调查后发出警告。作为定罪和罚款的替代,Fahy法官要求Supermac'sIreland捐赠3500欧元,这笔款项将平均分配给GalwaySimonCommunity和COPEGalway两个组织。
9.爱尔兰数据保护委员会对谷歌人工智能模型展开调查
9月12日,数据保护委员会(DPC)宣布,根据《2018年数据保护法》第110条,启动对Google爱尔兰有限公司的调查。此次调查旨在查明Google在开发人工智能基础模型PathwaysLanguageModel2(PaLM2)过程中,是否依照《通用数据保护条例》(GDPR)第35条的要求,在处理欧盟/欧洲经济区数据主体的个人数据前,进行了数据保护影响评估(DPIA)。DPC强调,DPIA旨在确保当处理活动可能带来高风险时,能够充分考虑并保护个人的基本权利和自由。根据GDPR第35条,当处理活动的性质、范围、上下文及其目的可能导致个人权利和自由面临高风险,尤其是使用新技术时,必须进行DPIA。
10.爱尔兰数据保护委员会因密码存储违规对Meta处以9100万欧元罚款
11.荷兰数据保护机构因Clearview非法收集用于面部识别的数据对其处以罚款
9月3日,荷兰数据保护局(AP)宣布,已于同年5月16日对ClearviewAIInc.公司开出了3050万欧元的罚单,原因是该公司违反了《通用数据保护条例》(GDPR)。根据荷兰数据保护局的调查,ClearviewAI未经许可处理了大量荷兰公民的个人数据,其中包括从公开网络及社交媒体平台收集的超过300亿张照片。调查结果表明,ClearviewAI的行为触犯了GDPR的多项条款,具体包括未经合法基础处理生物识别信息、未能向数据主体提供必要的信息、未在欧盟地区指定代表,以及没有响应来自荷兰数据主体的数据访问请求。除了上述罚款之外,荷兰数据保护局还要求ClearviewAI立即停止对荷兰公民个人数据的处理活动,并删除所有非法获取的信息。若ClearviewAI未能遵循这一指令,将可能被追加处以最高510万欧元的罚款。
12.波兰数据保护局对国家检察院违规披露个人数据处以8.5万兹罗提罚款
13.比利时数据保护局对Mediahuis非法使用Cookie的行为处以日罚25,000欧元
14.比利时数据保护局对违规处理生物数据的公司处以45,000欧元罚款
15.挪威数据保护局因阿格德大学在使用MicrosoftTeams时缺乏访问控制对其处以150,000挪威克朗罚款
16.克罗地亚个人数据保护局因数据保护违规行为开出12项罚款,金额达270,700欧元
17.意大利数据保护局对HERACOMM违规使用客户数据处以500万欧元罚款
9月13日,意大利数据保护局(Garante)在其第527期通讯中公布了编号为440的决定,对HERACOMMS.p.A.处以500万欧元罚款,原因是该公司违反了《通用数据保护条例》(GDPR)。此次处罚源于Garante收到的多起投诉,投诉者指出HERACOMM处理了不准确和过时的客户个人数据,并且在未经客户同意的情况下激活了能源供应合同。此外,HERACOMM还被指延迟回应数据主体的权利请求。Garante调查后认定HERACOMM违反了GDPR的多项条款,包括未能采取适当的技术和组织措施防止上门代理非法使用客户数据。因此,除了罚款外,Garante还要求HERACOMM实施纠正措施,如定期审计代理工作,并确定合理的客户数据保留期限。
18.意大利数据保护局因Nomodidattica侵犯未成年人隐私对其处以10,000欧元罚款
19.希腊HDPA因违反访问权和透明度规定对EKAB处以30,000欧元罚款
20.韩国个人信息保护委员会对韩国社会福利委员会和Techlab分别处以4.874亿韩元和2.24亿韩元罚款