全球数据立法&监管月报|2024年7月刊
科技
2024-08-05 18:43
广东
中共中央:加快构建促进数字经济发展体制机制完善促进数字产业化和产业数字化政策体系2024年7月21日,《中共中央关于进一步全面深化改革 推进中国式现代化的决定》(以下简称《决定》)正式发布,旨在加快构建促进数字经济发展体制机制,完善促进数字产业化和产业数字化政策体系。《决定》强调要加快构建促进数字经济发展体制机制,完善促进数字产业化和产业数字化政策体系。加快新一代信息技术全方位全链条普及应用,发展工业互联网,打造具有国际竞争力的数字产业集群。促进平台经济创新发展,健全平台经济常态化监管制度。建设和运营国家数据基础设施,促进数据共享。加快建立数据产权归属认定、市场交易、权益分配、利益保护制度,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。https://paper.xinmin.cn/html/xmwb/2024-07-22/3/189144.html自然资源部:加强地理信息数据全流程监管,地理信息数据必须存储于境内2024年7月26日,自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》(以下简称《通知》),旨在维护测绘地理信息安全,促进智能网联汽车发展。《通知》明确,智能网联汽车在运行、服务和测试过程中,对车辆及周边道路设施的空间坐标、实景影像(视频和影像等环境感知数据)、点云及其属性信息等地理信息数据(含道路拓扑数据)进行采集、存储、传输和处理的行为,属于《中华人民共和国测绘法》规定的测绘活动,应依照测绘法律法规进行规范和管理。《通知》提出,加强智能网联汽车涉测绘行为管理,严格涉密、敏感地理信息数据管理,从严审核把关导航电子地图,落实地理信息数据存储和出境要求,强化地理信息安全监管。智能网联汽车使用的基础地图、高级辅助驾驶地图、高精度地图、自动驾驶地图等属于导航电子地图。对智能网联汽车回传的地理信息数据进行收集、存储、传输、处理以及地图制作等活动应由具有导航电子地图制作等测绘资质的单位承担。各地要依法监督测绘资质单位采取必要措施,强化对属于国家秘密的导航电子地图、实景影像、点云等实测成果,以及智能网联汽车采集、收集、存储、传输和处理的包含涉密、敏感内容的地理信息数据(含场景库)管理,不得擅自提供涉密或敏感地理信息。强化对导航电子地图制作测绘资质单位和车企的指导监督,确保地图通过审核后才能提供使用。地图新增地理信息内容必须进行安全审校,并及时备案。同时,加强地理信息数据全流程监管,确保智能网联汽车采集、收集的用于导航相关活动以及地图制作、更新的地理信息数据,直接传输至具备导航电子地图制作测绘资质的单位管理,其他单位或个人不得接触。地理信息数据必须存储于境内,所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求。申请向境外提供地理信息数据的,必须严格履行对外提供审批或地图审核程序,并落实数据出境安全评估等有关规定。健全智能网联汽车地理信息安全风险防控体系,组织研发地理信息保密处理、及时预警与处置等技术,建立完善分类分级、安全风险评估等管理制度和地理信息安全风险监测预警机制。https://m.mnr.gov.cn/gk/tzgg/202407/t20240729_2853731.html公安部 国家互联网信息办公室发布《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见2024年07月26日,公安部 国家互联网信息办公室发布《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称“征求意见稿”)公开征求意见,旨在强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略。征求意见稿的起草说明指出,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务,自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。由此,可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。征求意见稿明确使用“网号”“网证”进行网络身份认证方式,并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。征求意见稿明确公共服务平台采集个人信息的“最小化和必要性原则”,明确公共服务平台处理用户个人信息时的解释告知、数据保护等义务,充分保障用户知情权、选择权、删除权等个人信息相关权利。《数据安全技术 个人信息保护合规审计要求(征求意见稿)》发布全国网络安全标准化技术委员会发布国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿(以下简称《审计要求》),旨在明确开展个人信息保护合规审计时应满足的审计原则、总体要求等,规范个人信息处理者开展个人信息保护合规审计的行为。《审计要求》主要内容有:1.给出了个人信息保护合规审计的审计原则、审计总体要求,针对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求。2.具体落地《个人信息保护法》第五十四条规定的个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。为更好得提供落地性指导,本标准附录给出了个人信息保护合规审计流程、个人信息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合规审计底稿模板、个人信息保护合规审计报告模板等参考。3.附录C个人信息保护合规审计内容和审计方法主要根据中央网信办年月发布的《个人信息保护合规审计管理办法(征求意见稿)》确定审计内容,在此基础上,补充了对收集个人信息最小必要要求的审计内容,和依据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容。针对个人信息出境的内容,则根据《促进和规范数据跨境流动规定》进行了修改。https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772深圳市互联网信息办公室公布《深圳市数据出境安全评估申报工作指引》和《深圳市数据出境风险自评估指引》2024年7月14日,深圳市互联网信息办公室今日公布《深圳市数据出境安全评估申报工作指引》(简称“工作指引”)和《深圳市数据出境风险自评估指引》(以下简称“自评估指引”),旨在更好地指导和帮助数据处理者规范开展数据出境活动,确保数据跨境传输的安全性和合规性。工作指引明确了适用主体、申报情形、申报方式、流程以及重新评估的要求,同时强调了数据处理者在数据出境活动中的责任,包括开展风险自评估、准备相应的申报材料、确保材料的真实性,并在必要时进行整改或重新申报。自评估指引涵盖了自评估的适用范围、术语定义、自评估的目的和原则、自评估方式以及详细的自评估流程。它要求数据处理者全面收集信息、客观分析风险、制定改进措施,并编制自评估报告。浙江省通信管理局发布《关于开展2024年电信和互联网行业网络和数据安全检查的通知》2024年7月2日,浙江省通信管理局发布《关于开展2024年电信和互联网行业网络和数据安全检查的通知》。为进一步提升浙江省电信和互联网行业网络安全和数据安全防护水平,护航电信和互联网行业高质量发展,按照工业和信息化部、省委省政府总体部署,浙江省通信管理局决定组织开展2024年电信和互联网行业网络和数据安全检查工作。有关事项通知如下:
此次检查对象为相关企业建设运营的网络、系统、平台、应用、业务,重点检查电信和互联网行业重要网络单元及承载的信息系统。https://mp.weixin.qq.com/s?__biz=Mzg3ODI0NDYxOA==&mid=2247545350&idx=1&sn=f45a40edfa6bdf96c72a2f7f995d84b9&scene=21#wechat_redirect
上海互联网协会发布《上海市移动互联网应用程序个人信息和用户权益保护合规指南》2024年7月15日,上海互联网协会重磅发布了《上海市移动互联网应用程序个人信息和用户权益保护合规指南》(下称“指南”),旨在帮助上海地区移动互联网应用程序开发者和运营者更加深入地理解国家关于移动互联网应用程序用户权益保护的法律规定,熟悉用户权益保护工作的背景和现状,了解用户权益保护自评估工作的流程和评估报告规范,切实落实好用户权益保护自评估工作。指南不仅是对上海地区移动互联网应用程序个人信息和用户权益保护工作的有力支撑,更是上海市互联网协会响应政府的号召、服务企业,展现行业责任的具体行动。指南明确了App的定义、敏感数据、必要个人信息的概念,以及运营者、服务端、隐私政策和定向推送的界定,为App开发者提供了明确的合规指导。2024年7月25日,欧盟和新加坡结束了数字贸易协定(DTA)的谈判。该协议是欧盟首个此类协议,反映了欧盟成为数字贸易规则和跨境数据流动全球标准制定者的愿望。DTA将补充2019年欧盟-新加坡自由贸易协定,进一步连接两个经济体,并使希望参与数字贸易的企业和消费者受益。它还将提供具有约束力的规则,建立消费者信任,确保企业的可预测性和法律确定性,并消除和防止出现不合理的数字贸易壁垒。此外,它还将解锁新的经济机会,同时确保安全的在线环境。3.加强对数字贸易的信任,包括通过强有力的垃圾邮件规则。该协议使欧盟和新加坡处于数字政策制定的全球前沿,同时维护开放和公平的数字经济。它有力地推动了欧盟构建以人民及其权利为核心的数字和数据规则的策略,并确保欧盟和新加坡保留政策空间,以制定和实施应对数字经济新挑战所需的政策。https://ec.europa.eu/commission/presscorner/api/files/document/print/en/statement_24_3983/STATEMENT_24_3983_EN.pdf2024年7月25日,欧盟委员会发布了关于《通用数据保护条例》(GDPR)实施的第二份报告。该报告是根据GDPR第97条的规定编制的,旨在评估GDPR自2018年实施以来的效果,并提出进一步改善的建议。主要内容包括GDPR的执行情况、成员国的实施情况、数据主体的权利、组织面临的机遇和挑战、GDPR对欧盟数字政策的影响、国际转移和全球合作等方面。1.执行与合作机制:欧盟委员会提出了新的程序规则以提高跨境数据处理的效率,并增强了数据保护当局之间的合作。2.成员国实施:成员国在实施GDPR时存在差异,导致一些法律碎片化,委员会通过多种方式进行监测和指导。3.数据主体权利:公众对GDPR有较高的认知度,数据主体正在积极行使他们的权利,如数据访问和投诉。4.中小企业挑战:中小企业在理解GDPR合规性方面需要更多支持,数据保护当局应提供更具体的指导和工具。5.数字政策基石:GDPR作为欧盟数字政策的基础,支持了诸如数字服务法和人工智能法等新立法。6.国际转移和合作:GDPR提供了多种工具以支持国际数据传输,欧盟正在与多个国家和地区进行充分性协议的谈判和合作。https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=COM:2024:357:FIN&trk=public_post_comment-text欧洲数据保护委员会通过《欧盟-美国数据隐私框架》常见问题解答2024年7月16日,欧盟数据保护委员会(EDPB)发布了《欧州-美国数据隐私框架》(DPF)常见问题解答(以下简称“FAQ”),旨在帮助欧洲个人和企业更好地理解欧美数据隐私框架如何影响数据的跨境传输以及个人数据的保护。对于欧洲个人来说,FAQ着重于解答个人数据在DPF框架下传输至美国时的权益保护,包括DPF的功能、个人如何受益、投诉途径及投诉处理程序。对于欧洲企业而言,这些FAQ解释了哪些美国公司有资格加入DPF:在将个人数据传输给经过DPF认证的美国公司之前该怎么做,以及在哪里可以找到进一步的指导。这些FAQ文件反映了欧盟与美国在跨大西洋数据保护领域持续合作与对话的成果,期望在严格的数据保护要求与实际的商业及安全需求之间找到平衡点。https://www.edpb.europa.eu/system/files/2024-07/edpb_dpf_faq-for-individuals_en_0.pdfhttps://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en德国汉堡数据保护和信息自由专员办公室发布关于《通用数据保护条例》和大型语言模型的讨论文件2024年7月15日,汉堡数据保护和信息自由专员(HmbBfDI)发布了一份关于《通用数据保护条例》(GDPR)与大型语言模型(LLMs)之间关系的讨论文件(以下简称《文件》)。《文件》旨在支持公司和当局解决与LLM技术相关的数据保护问题。《文件》根据欧洲法院关于GDPR下个人数据概念的相关判例法,详细解释了技术方面及其评估LLMs。根据将于2024年8月2日生效的《人工智能条例》,HmbBfDI将LLM区分为人工智能模型(如GPT-4o)和人工智能系统组件(如 ChatGPT)。1.仅仅存储LLMs并不构成GDPR第4条第2款所指的处理,因为LLMs中不存储个人数据。如果个人数据在LLM支持的AI系统中被处理,那么这些处理操作必须符合GDPR的要求,尤其是这种AI系统的输出。2.由于LLMs中没有存储个人数据,GDPR中的数据主体权利不能与模型本身有关。然而,关于信息访问、删除或更正的请求至少可以与负责任的提供者或运营商的AI系统的输入和输出有关。3.使用个人数据训练LLMs必须符合数据保护法规,并在此过程中维护数据主体的权利。但是,LLMs训练阶段的潜在违规行为不会影响在AI系统中使用此类模型的合法性。https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/240715_Diskussionspapier_HmbBfDI_KI_Modelle.pdf巴西关于修订适用于电信行业的网络安全法规的提案批准通过2024年7月4日,巴西《电信行业网络安全法规修订提案》(2020年12月21日第740号决议)(以下简称“修订提案”)被批准通过。在获批后,所有涉及集体利益的电信服务提供商,无论规模大小都必须遵守法规第8条,该条旨在减少提供给电信服务消费者的设备中存在的漏洞。修订提案引入第2-B条,扩大了受事前控制的实体范围,包括国际海底电缆运营商、拥有自己网络的个人移动服务供应商以及在提供流量的网络运营商等。这些实体的加入是因为它们所运营的服务和基础设施的相关性和关键性。此外,为了加强监管实体之间的透明度和协调,修订提案规定,所有供应商必须按照第2-C条的规定,当需要采取强制性措施时向国家数据保护局(ANPD)通报安全事件。另一项重要修改涉及鼓励行业创新的条款,供应商在遵守第7条第3款和第4款的法规下,允许其雇用初创企业,而无需遵守某些网络安全要求。这为创新技术公司开辟了空间,可以在不受法规合规要求的限制下进行新的实验。同时,这些更熟悉这些网络安全义务的提供商也能够控制相关风险。https://informacoes.anatel.gov.br/legislacao/resolucoes/2020/1497-resolucao-7402024年7月1日,魁北克省尊重卫生和社会服务信息及修正各种立法规定法案》的大部分条款以及两项相关法规生效。该法案为魁北克省的健康和社会服务(HSS)信息构建了一个全面的隐私框架,类似于加拿大其他省份和地区的健康信息隐私立法。该法案要求HSS提供商和机构承担现代化的隐私义务,并遵守类似于第25号法律生效后根据魁北克省关于私营部门个人信息保护的法案(魁北克私营部门法案)对私营部门企业实施的执法制度。重要的是,该法案还包含与魁北克HSS实体服务提供商(如医疗软件即服务提供商)签订合同时适用的具体义务。该法案是魁北克政府通过简化HSS信息流来提高卫生服务质量的努力的一部分。因此,该法案废除了关于共享某些健康信息的法案,并建立了管理HSS信息的新法律框架,旨在保护HSS信息并优化其在医疗保健系统中的使用。https://www.assnat.qc.ca/en/travaux-parlementaires/projets-loi/projet-loi-3-43-1.html工信部通报17款存在侵害用户权益行为的APP及SDK2024年7月29日,工信部通报17款存在侵害用户权益行为的APP及SDK,涉及文字控、喵眼精灵、电子红包、中国地图集、早鸟学生机票、财乎、万金油司机端、医点医滴、阳光高考网等。https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2024/art_a5fd96742080424a83dc63ed0a27f397.html
全国首例涉《数据知识产权登记证》效力认定案作出二审判决2024年7月26日,近日,北京知识产权法院二审审结全国首例涉及取得《数据知识产权登记证》的数据竞争案件,认定《数据知识产权登记证》在司法程序中具备初步证据效力,对于数据知识产权登记的稳定推进具有重要意义。该案一审原告、二审被上诉人数据堂(北京)科技股份有限公司(下称数据堂公司)成立于2010年,经营范围包括数据处理、人工智能系统服务、互联网信息服务、技术开发等。2021年,数据堂公司发布了“AI数据开源计划1505小时中文普通话语音数据”,并在2023年获得了《数据知识产权登记证》。2021年,数据堂公司向北京互联网法院起诉隐某公司非法获取并传播其“aidatatang200zh”数据集(1505小时数据集的子集),侵犯了其数据财产权、著作权、商业秘密,并构成不正当竞争。两审法院均认可涉案数据集具备法律保护的财产性利益。两审判决结果的差异,则主要在涉案数据集是否属于商业秘密的认定问题。一审法院(北京互联网法院)认为涉案数据集构成商业秘密,并认可数据堂公司对涉案数据集的财产性利益。二审法院(北京知识产权法院)纠正了一审法院关于商业秘密的认定,认为涉案数据集因主动公开而丧失秘密性。在数据堂公司案件中,两审法院均认可《数据知识产权登记证》的证明效力,认为它可以作为数据处理者享有数据权益的初步证据。一审法院将其作为原告享有商业秘密的证明,而二审法院虽在商业秘密认定上与一审有分歧,但仍支持该证书作为原告享有涉案数据集财产性利益的初步证据,并指出其也可证明数据集收集行为的合法性,若无相反证据,可认为收集行为未违反法律规定。全球速卖通因违规跨境传输用户信息被韩国个人信息保护委员会罚约20亿韩元2024年7月24日,韩国个人信息保护委员会(PIPC)在其举行的第13次全体会议上,决定对违反个人信息保护法规跨境传输用户个人信息的Alibaba.com Singapore E-Commerce Private Limited(以下简称“全球速卖通”)处以19亿7800万韩元的罚款和780万韩元(合计约人民币一千万元)的滞纳金,以及责令整改并提出改进建议。据调查,全球速卖通平台在处理韩国消费者的订单时,将个人信息透露给了其注册的海外卖家,主要是中国卖家,涉及人数超过18万。在这个过程中,全球速卖通并未向消费者明确告知他们的个人信息会被传输到的国家、接收者的身份和联系方式。违反了韩国《个人信息保护法》中个人信息处理者不得将个人信息提供至境外,除非从信息主体获得关于境外转移的单独同意的规定。同时,全球速卖通的销售条款也未包含必要的数据保护措施。此外,平台的设计使得用户难以找到取消会员的选项,而账户删除页面仅以英文提供,这增加了韩国用户访问和理解的难度。为了促进韩国数据主体的隐私保护,PIPC提出了以下改进建议:1.向韩国用户通报透明、易读的个人数据处理程序,并及时更新任何变更;2.努力实施指定国内代理的计划,以促进隐私保护,并实施与个人数据处理相关的补救机制;3.尽量减少收集的个人数据,以符合PIPA,加入国内电子商务实体运营的公私核心监管,或提供同等水平的数据保护。Whatsapp因违反巴西《通用数据保护法》被要求支付17.33亿雷亚尔损害赔偿金2024年7月16日,巴西联邦检察院(Ministério Público Federal,以下简称“MPF”)与消费者保护协会(Instituto Brasileiro de Defesa do Consumidor,以下简称“IDEC”)向法院提起公益诉讼,要求判令WhatsApp赔偿因其违规变更隐私政策等行为对巴西用户造成的集体精神损害17.34亿雷亚尔(折合约3.09亿美元),并承担其他民事责任。据调查,WhatsApp在2021年1月更新了隐私政策,MPF和IDEC认为这些变更用词模糊、界面设置具有诱导性,强迫用户同意,且收集和处理的数据远超正常运营所需范围。此外,WhatsApp与Meta集团旗下的其他平台如Facebook和Instagram共享用户的数据。WhatsApp的这些行为违反了巴西的《通用数据保护法》和《消费者保护法》,尤其是在政策变更通知和数据处理透明度方面。鉴于WhatsApp的上述行为,MPF和IDEC在巴西国家数据保护局(Autoridade Nacional de Proteção de Dados,以下简称ANPD)不履行其监管义务的情况下向法院起诉,要求WhatsApp停止不当数据分享、提供用户退出机制以保障数据权利,以及支付至少17.34亿雷亚尔的集体精神损害赔偿。美国电信运营商美国电话电报公司被黑客窃取大量用户通话和短信记录2024年7月12日,美国电信运营商美国电话电报公司(AT&T)表示,黑客窃取了几乎所有手机客户通话和短信的记录,包含2022年5月1日至2022年10月31日的数据,以及2023年1月2日的电话和短信记录。AT&T表示尽管泄露的数据不包含电话或短信内容、个人信息(如社会安全号码)、出生日期或其他个人身份信息。数据中也没有客户姓名,但有可能通过公开的在线工具找到与电话号码关联的姓名。AT&T正在与执法部门合作追查并逮捕肇事者,至少已有一人被捕。公司将通知受影响用户,并设立网页供客户查询是否受影响。2024年7月10日,土耳其个人数据保护局(KVKK)披露了Uber Technologies Inc.的数据泄露事件。KVKK称Uber已根据第6698号《个人数据保护法》第12(5)条的要求上报了数据泄露事件。Uber Technologies Inc.作为数据控制者,于2024年7月2日收到一封电子邮件,发件人透露他们打算公开可能来自优步的个人数据。目前尚未确定数据泄露发生的时间以及泄露的来源,调查正在进行中。此次数据泄露事件将波及Uber用户,包括乘客、订餐者、司机、送餐员等。受影响的Uber用户数据包括姓名、电子邮件地址、电话号码、个人资料照片、注册日期和评分信息。受影响的Uber平台上的合作车主和/或派送员的数据包括驾驶执照、保险、身份证、车辆登记和注意义务范围内的检查等文件。
