竞天公诚网络安全与数据合规动态提报（2024年11月）

1. 网信办等四部门开展“清朗·网络平台算法典型问题治理”专项行动

来源：国家网信办

2024年11月19日发布的《我国数据出境合规指引》具体内容包括：我国数据出境管理法律依据、数据出境行为三类情形、数据出境安全管理对象仅限于重要数据（针对国家而言）和个人信息。数据出境合规路径的详解图示包括了数据出境安全评估申报和个人信息出境标准合同备案两类合规路径。符合6类豁免情形的，免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。同时，针对常见出境困惑，指引提供了6个方面的合规小贴士供参考。

2024年11月15日发布的《移动互联网未成年人模式建设指南》旨在引导未成年人科学、合理使用网络，预防和干预网络沉迷。《指南》主要面向移动智能终端、移动互联网应用程序及应用程序分发平台（“三方主体”），包括使用时段、时长、内容和功能等方面，适用于未成年人模式的研发、建设、运营和管理。《指南》要求三方主体通过必要接口和数据共享，实现联动，提供未成年人模式时间管理、内容管理、权限管理等功能；要求未成年人模式应当坚持最有利于未成年人的原则；三方主体应当根据不同年龄阶段未成年人身心发展特点和认知能力，为未成年人用户提供适龄产品和服务。

2024年11月15日发布的《关键信息基础设施商用密码使用管理规定（征求意见稿）》旨在规范关键信息基础设施商用密码使用，确保关键信息基础设施安全。《管理规定》要求运营者遵循国家商用密码管理、网络安全等级保护等制度要求，使用商用密码保护关键信息基础设施。运营者采购涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查。

2024年11月23日发布的《可信数据空间发展行动计划（2024—2028年）》旨在引导和支持可信数据空间的发展，促进数据要素的规模化流通和共享使用，加快构建以数据为关键要素的数字经济。计划提出到2028年，建成100个以上可信数据空间，初步形成与我国经济社会发展水平相适应的数据生态体系。行动计划主要包括能力建设、培育推广和筑基三大行动。

2024年11月21日，《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》由全国网络安全标准化技术委员会和香港个人资料私隐专员公署共同制定和发布，该要求规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。

《国家数据基础设施建设指引（征求意见稿）》于2024年11月22日发布，征求意见稿明确了数据基础设施的概念内涵、发展愿景和建设目标，力争指导推进数据基础设施建设，畅通数据资源循环，促进数据应用开发，培育全国一体化数据市场，夯实数字经济发展基础，为数字中国建设提供有力支撑。

2024年11月15日，“法信法律基座大模型”研发成果新闻发布会召开。根据新闻发布会内容，“法信法律基座大模型”已完成在网信部门的生成式人工智能服务备案，是国家级法律人工智能基础设施。模型基于海量、权威和高质量法律大数据预训练后形成，具备法律语义理解、逻辑推理、融合搜索、内容生成等基础能力，同司法审判工作深度融合，有利于提升法律文书处理质效，保障法律正确统一实施。法律大模型将在司法工作各环节、行政执法、公共法律服务方面发挥作用。

《办法》旨在推进数据产品知识产权登记试点工作，办法所称数据产品知识产权，是指自然人、法人或者非法人组织对其合法获取的数据资源，经过实质性加工和创新性劳动后形成的具有智力成果属性和商业价值的数据加工集合、数据加工产品、数据技术算法等数据产品享有的权益。办法明确了数据产品知识产权登记的申请方式、材料和流程，办法自2024年12月8日起施行。

2024年11月14日，湖南省人民政府办公厅印发《湖南省加强数据资产管理工作方案》。《工作方案》提出了分阶段工作目标，提出到2026年底，培育和引进数据企业100家；推动100家企业完成数据资产入表工作，数据资产总规模达到3亿—5亿元；力争通过数据资产质押、增信等金融化手段，实现数据资产价值转换突破5亿元。工作方案明确了“建立数据资产管理机制、推动数据资产开发利用、加强数据资产管理协同共治、开展数据资产管理试点和加强数据资产风险防控”五大工作任务。

2024年11月1日，《湖北省数据产权登记管理办法（试行）》公开征求意见。《湖北省数据产权登记管理办法（试行）》旨在规范湖北省内的数据产权登记服务，保护市场主体权益，建立数据持有权、使用权、经营权结构性分置的数据产权运行机制，促进数据合规流通和利用。根据《办法》，自然人、法人或非法人组织可作为登记申请人，以合法取得的数据资源或数据产品为登记对象发起登记申请，进行数据产权登记。取得的登记凭证，可作为数据交易、数据资产入表、质押融资、数据要素型企业认定、会计核算、争议仲裁的可信依据。

2024年11月20日，《重庆市公共数据资源登记管理实施办法（试行）》《重庆市公共数据资源授权运营管理实施办法（试行）》公开征求意见。其中，《授权运营管理办法》明确了重庆市的授权模式为市人民政府统一授权运营，先行采取整体授权模式，逐步探索分领域授权、依场景授权等模式。同时，规定了公共数据授权程序、运营规则、数据供给等内容；《登记管理办法》明确市数据主管部门指定所属事业单位担任全市统一登记机构，负责全市公共数据资源登记办理。同时，规定了登记要求、登记程序和监督管理等内容。

2024年11月1日，国家互联网信息办公室关于发布第八批深度合成服务算法备案信息的公告，联想、金山、声通等企业所开发的509项算法完成备案，取得备案编号。《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者、服务技术支持者，应当履行备案手续。

2024年11月1日，北京互联网法院首例“搜索提示词”算法侵权案宣判。本案中，被告一在被告二某信息服务公司运营的网络平台发布十余篇涉案文章、视频，含有侵犯原告深圳某科技公司名誉权的内容。法院认为，被告一言论用词不当，超出了一般批评的范围，侵犯原告的名誉权；原告没有作出有效通知，被告二作为网络服务提供者不与被告一承担连带责任，被告二提供的搜索提示技术服务不侵犯原告名誉权。本案合理确定了搜索服务提供平台的注意义务，以及在司法程序过程中承担针对算法技术的解释说明义务。

江苏省常熟市人民法院审理的人工智能生成图片著作权纠纷案判决书于2024年11月中旬左右公布。该案中，法院认为，原告利用Midjourney和Photoshop制作而成的《伴心》图，在场景、环境、色彩、光影、角度及其排列组合等方面，体现了作者独特的选择与安排，具备独创性，构成著作权法意义上的美术作品，应受到著作权法的保护，被告擅自通过互联网络向公众提供权利作品，侵害了原告的作品信息网络传播权。该案因认可的AIGC作品的可版权性而受到巨大争议。

2024年11月13日，工业和信息化部通报，经抽查发现27款APP及SDK存在侵害用户权益行为。所涉问题包括APP频繁自启动和关联启动、违规收集个人信息、信息窗口“摇一摇”乱跳转或误导用户滑动乱跳转、信息窗口未提供关闭或退出标识等违法违规行为。

2024年11月1日，国家计算机病毒应急处理中心近期通过互联网监测发现13款移动App存在隐私不合规行为，涉及电商等领域。涉案App存在首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，未声明App运营者的基本情况、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等，未提供有效的更正、删除个人信息及注销用户账号功能等违法违规行为。

2024年11月1日，中消协针对消费者普遍反映的不明链接跳转问题发表观点，指出消费者在付款时遭遇链接内容不符、被迫跳转至广告页面，以及在应用软件中遭遇难以关闭的弹窗广告等问题，侵害了消费者的自主选择权和正常使用网络权益。一些经营者无底线收集消费者个人信息，通过精准推送广告，形成“信息茧房”，限制了消费者的视野和自由选择。

2024年11月19日，以“实数融合 智造翘楚”为主题的2024中国5G+工业互联网大会开幕。大会开幕式上，工业和信息化部正式发布2024年“5G+工业互联网”融合应用试点城市名单，南京、武汉、青岛、深圳、苏州、上海、宁波、广州、沈阳、成都上榜首批“10大试点城市”。试点城市将为全国“5G+工业互联网”融合应用构建新范式。

青岛市交通运输局深入推进公共数据从资源到资产的全链条改革试点任务。数据资源管理方面，开展数据资源普查，组织第三方机构评估开展全方位评估，推进确权登记工作，率先完成数据资产入账入表。数据资产运营方面，先后与10余家数商开展座谈对接，并明确以“智慧化综合交通分析业务”场景开发数据产品，最终于11月11日完成公共数据的运营与交易，形成收益。

2024年11月7日，在第七届中国国际进口博览会期间，国际公认的测试、检验和认证机构SGS为广东德生科技股份有限公司颁发了“ISO 55013数据资产管理体系认证”证书，标志着SGS该体系全球首张证书正式落地广州天河。该体系涵盖了数据的定义、收集、存储、分析、使用、保护等各环节，包括数据资产的识别与分类、评估、治理等方面。

2024年11月1日，全国首例污水处理监测数据资产入表落地盐城大丰。盐城市大丰区沪城污水处理有限公司与专业公司合作研讨，成功在广州数据交易所完成“盐城市大丰区污水处理出水监测数据应用”数据资产的登记，获得了广州数交所的数据资产登记凭证，并实现了数据资产会计入表。据报道，该类污水处理监测数据资产登记入表在全国尚属首例。

2024年11月2日，吐鲁番市网信部门公开了2起网络违法违规典型案例。案例中，吐鲁番市网信部门对网民地某未经许可从事互联网新闻信息服务和某单位未按要求落实三级信息系统等级保护测评的违法违规行为依法查处。根据有关法律规定，从事互联网新闻信息服务应当取得互联网新闻信息服务许可，未经许可制作、复制、传播新闻信息属于违法行为。网络信息系统的运营、使用单位应当依据国家相关技术标准，定期对信息系统安全状况开展相关测评。

2024年11月14日，欧盟AI办公室发布了《通用AI模型行为准则初稿》（以下简称“准则”）。该准则旨在帮助通用人工智能模型（GPAI）的提供者（开发者）有效遵守将于2025年8月2日生效的欧盟AI法案下的义务。作为首个针对GPAI模型的详细规则制定文件，准则涵盖四个针对GPAI模型关键领域：(i)透明度和版权相关规则；(ii)系统性风险的识别与评估；(iii)系统性风险的技术缓解；(iv)系统性风险的治理缓解。

11月4日，EDPB发布对欧盟—美国数据隐私框架（Data Privacy Framework, DPF）的首次定期审查报告，详细评估了框架的执行情况，并在隐私保护和数据安全方面提出了进一步的改进建议。报告指出，DPF为跨大西洋数据流动提供了新机制，但在商业合规监督、数据再流动责任分配、人力资源数据定义范围、政府访问数据合规等方面仍需加强。

11月4日，欧盟委员会发布了《规定网络平台提供商透明度报告义务模板实施条例》（简称《实施条例》），为适用《数字服务法》（DSA）的中介服务提供者细化了透明度报告义务。《实施条例》重点针对透明度报告的格式及内容、报告周期、保存期限等作出规定，解决了之前中介服务提供商发布的报告标准不一致的问题。

报告显示，2024年上半年，瑞士国内的网络安全事件数量显著上升，主要涉及欺诈、钓鱼攻击和垃圾信息。其中，欺诈占安全事件总量的三分之二，以假冒政府电话诈骗为主。同时，钓鱼事件也出现了明显增长，通常以虚假的包裹通知和退款邮件进行诈骗。此外，该报告还关注数据泄露、社会工程攻击及网络间谍活动等威胁，并强调需加强数据安全和跨部门合作，以应对日益复杂的网络威胁。

11月8日，CPPA委员会宣布投票通过了拟议的数据经纪人注册法规（proposed data broker registration regulations），其中包括：明确注册要求；定义与消费者有“直接关系”的具体含义、“未成年人”和“生殖保健”等术语的内涵；要求数据经纪人披露有关豁免数据收集行为的具体信息。同时，CPPA委员会还投票决定将保险、网络安全审计、风险评估和自动决策技术（ADMT）的拟议法规纳入正式规则制定。

11月20日，欧盟发布了《网络弹性法案》，该法案将于2024年12月10日生效，并于2027年12月11日起全面适用（制造商报告义务将提前于2026年9月11日起适用）。该法案旨在确保具有数字功能的产品（例如“物联网”（IoT）产品）安全可用并抵御网络威胁。法案引入了强制性的网络安全要求，适用范围涵盖具有数字元素的产品，以及制造或提供这种产品的制造商、进口商、分销商等，并制定了类似GDPR的高额处罚制度。

11月22日，ICO发布《预防欺诈数据共享指南》，帮助各类组织在遵守英国GDPR和2018数据保护法（DPA）的前提下共享个人数据以预防欺诈。该指南强调组织需开展数据保护影响评估（DPIA）、制定数据共享协议，并明确共享数据的合法性基础和共享数据的类型。同时，遵守公平性、透明性、数据最小化、安全性和问责制的数据保护原则，采用“设计和默认保护”的方法，以确保数据共享过程中的合规性和安全性。

11月26日，IDB与GEALC共同启动了“南方共同市场数字公民”计划，旨在支持阿根廷、巴西、巴拉圭和乌拉圭四国的公民利用本国的数字身份证进行跨国政府事务处理。该计划的第一阶段已在巴西和乌拉圭率先实施，目前已成功开展了39项服务，如巴西公民现在可以通过GOV.BR数字身份登录乌拉圭的服务平台来办理相关业务。该计划旨在简化跨境公共服务流程，减少行政壁垒，促进区域一体化。

华盛顿州11月26日发布的年度数据泄露报告建议，应缩短数据泄露通知的提交期限至三天内，要求在非英语语言中发送泄露通知，扩大“个人信息”的定义范围，包括姓名与部分隐去的社保号码组合，以及个人税号。同时，报告呼吁企业识别并尊重消费者的“全球退出”选择，减轻手动退出数据共享的负担。此外，报告还建议对数据经纪人和收集者实施年度报告、州许可和监管费用等透明度要求。这些措施旨在保护华盛顿州居民的数据安全，降低数据泄露风险。

11月21日，伊利诺伊州检察长夸梅·劳尔与其他37位州检察长以及美国司法部合作，推出一系列措施，旨在终结谷歌在互联网搜索市场的非法垄断，促进市场竞争，保护消费者利益。这些措施包括限制谷歌的搜索分发合同和收入分享协议，禁止谷歌通过支付成为默认搜索引擎，并要求谷歌向竞争对手共享数据，以增强消费者选择。此外，还提议剥离谷歌的Chrome浏览器和Android操作系统，以防止谷歌通过这些平台进一步巩固其市场地位。相关补救措施的听证会定于2025年春季举行。

美国联邦贸易委员会（FTC）针对GGL Projects Inc（企业评级和在线评论平台Sitejabber的运营商）发布了一项拟议命令，指控该公司在消费者购买时提前收集评价和评论，并在其AI驱动的评价平台上使用这些信息，人为提高客户平均评分和评论数量，同时在谷歌和其他搜索结果中展示这些夸大的评分。拟议命令禁止Sitejabber误导消费者评价和评论，并禁止其向他人提供手段进行此类误导。

美国国家标准与技术研究院（NIST）下属的人工智能安全研究所于11月20日发布了《NIST AI 100-4》报告，旨在减少合成内容带来的风险。该报告提出了一系列自愿性的技术方法，以提高数字内容的透明度，包括内容认证、水印技术、合成内容检测和防止有害AI生成内容的措施。报告强调，确保有效的技术手段和用户与数字内容的互动至关重要，并引用了《行政命令14110》和《NIST AI风险管理框架》中的定义和概念。报告还深入探讨了合成内容的创建、发布和消费流程，讨论了数字水印、元数据记录等透明度工具的优势与考虑因素。

美国卫生与公共服务部（HHS）民权办公室（OCR）近日宣布，对一家心理健康中心处以罚款，原因是该中心未能及时提供患者的医疗记录。根据调查结果，尽管患者要求获取其医疗记录，该中心未能在规定的时间内提供相关信息，违反了《健康保险可携带性与责任法案》（HIPAA）中的相关规定。此次罚款旨在强调医疗服务提供者在确保患者权利方面的责任，并敦促各医疗机构遵守法律要求，保障患者的知情权和隐私权。

11月13日，欧盟委员会启动了关于互联网治理的针对性咨询，此举是为2025年联合国峰会（WSIS+20）做准备，届时将审视互联网治理架构。此次咨询旨在响应理事会关于多方利益相关者互联网治理的欧盟战略请求，目的是在国际论坛上确保欧盟立场的一致性，并致力于打造一个开放、自由、可负担、中立、安全且全球互联的互联网环境。

芬兰数据保护监察专员办公室于2024年11月15日宣布，对Posti Group公司处以240万欧元的罚款，原因是该公司违反了通用数据保护条例（GDPR）。这一决定是在2024年11月13日作出的，起因是2018年7月收到的一起投诉，指控Posti未经授权创建OmaPosti在线邮箱，并上传了患者文件和发票。监察专员发现，Posti未能充分告知客户邮箱的创建情况，并在接收实体信件的选择上误导了客户，因此作出了罚款决定，并要求该公司纠正这些问题。

印度竞争委员会（CCI）于11月18日完成了对WhatsApp 2021年隐私政策更新的调查，决定对这家隶属于Meta的即时通讯巨头处以213.14亿卢比的罚款。调查聚焦于WhatsApp隐私政策更新的实施方式，该更新导致用户数据被强制分享给Meta旗下的其他平台，如Facebook和Instagram。CCI发布停止令，包括禁止在五年内使用WhatsApp数据用于广告、详细解释数据共享情况、为用户提供退出选项，并要求所有未来政策更新遵守规定。Meta公司表示将提起上诉。

韩国个人信息保护委员会（PIPC）近日对顺天乡大学处以1.93亿韩元罚款，对庆星大学处以4280万韩元罚款，原因是两所大学因网络安全漏洞导致个人信息泄露。顺天乡大学主网站遭黑客攻击，超过500人的个人信息泄露；庆星大学的综合信息系统同样遭破坏，影响2000名学生。两所大学均未从2017年10月起安装关键安全补丁，且未采取足够的安全措施，如网络应用防火墙。PIPC已下令采取纠正措施，包括安装入侵预防和检测系统、应用安全补丁，并对个人数据加密。

美国卫生与公共服务部民权办公室（OCR）与南达科他州整形外科协会达成和解，后者因违反健康保险便携与责任法案（HIPAA）安全规则，在勒索软件攻击中泄露了10229人的健康信息，被处以50万美元罚款。OCR调查发现，该公司未能进行风险评估、实施适当的安全措施、审查系统活动以及处理安全事件。因此，该公司现在必须实施纠正行动计划，包括风险评估、风险管理计划、安全事件程序，以及对员工进行HIPAA政策的培训。

荷兰数据保护局（AP）发现，教育执行机构（DUO）使用算法监控学生助学金滥用行为存在歧视性，并违反了通用数据保护条例（GDPR）。该算法基于学生的教育、与父母的地理距离、年龄和非荷兰背景不公平地分配了更高的风险评分。从2013年至2022年，大约有21500名学生被检查是否存在滥用行为。

加拿大隐私专员于11月12日宣布，针对世界反兴奋剂机构（WADA）启动调查。调查将重点审查WADA在监控体育运动中药物使用方面收集、使用和披露个人信息方面的做法是否符合加拿大《个人资料保护及电子文件法》（PIPEDA）。WADA总部设在魁北克省蒙特利尔市，自2015年起因国际压力而纳入PIPEDA管辖范围，旨在确保其持有的大量敏感个人信息受到适当监督。

韩国个人信息保护委员会（PIPC）对Meta Platforms Inc.处以216亿韩元罚款，原因是该公司违反了个人信息保护法（PIPA），未经同意不当收集和使用约980,000用户的敏感个人数据。此次调查是由用户投诉和数据泄露的报告引发的。PIPC发现，Meta的隐私政策在行为信息分析与广告商共享方面表述含糊。因此，PIPC还向Meta下达了纠正命令，要求其建立数据处理的法律依据，加强数据安全，并改善用户数据访问。

法国国家信息和自由委员会（CNIL）对司法部和内政部进行了制裁，原因是两部门违反了《信息与自由法案》第97条、第104条、第55条、第106条等有关规定，未能更新或删除在作出无罪或案件撤销后的犯罪记录，并且没有通知个人其记录的更新情况；未能确保犯罪记录中个人数据的准确性和及时性，也未告知数据主体其数据的处理情况。CNIL要求两部门更正或删除不准确的数据，保障数据主体个人信息权利。

数据隐私与网络安全专栏往期文章