月刊主编:杨洪泉、沈飏
01 中国法律观察
立法追踪
Standard Contract for Personal Information Transfers Between 9 Cities in Guangdong and Macao
《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》
2024年9月10日,国家网信办、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局联合发布了《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》,该《实施指引》自发布之日起生效。《实施指引》同2023年出台的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的内容基本一致,即注册于或位于粤港澳大湾区的9个内地城市与澳门特别行政区的个人信息处理者与接收方,可通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动,但被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
来源:
https://www.cac.gov.cn/2024-09/10/c_1727567893741986.htm
Draft Specification on Accessing the National Network ID Authentication Platform
《网络安全技术网络身份认证公共服务应用接入规范》公开征求意见
2024年9月12日,网安标委发布国家标准《网络安全技术网络身份认证公共服务应用接入规范》征求意见稿,向社会公开征求意见,反馈意见的截止日期为2024年1月7日。为支持《国家网络身份认证公共服务管理办法》的实施落地,该标准明确了不同应用接入国家网络身份认证公共服务平台时应遵循的接入流程、安全要求以及测试要求,以预防接入过程中可能产生的网络安全、数据泄露问题。
来源:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240912163417888977&norm_id=20231220114028&recode_id=56894
Draft AI-generated Content Labelling Measures
《人工智能生成合成内容标识办法(征求意见稿)》
2024年9月14日,国家网信办发布《人工智能生成合成内容标识办法(征求意见稿)》向社会公开征求意见,反馈意见截止时间为2024年10月14日。《办法》规定,深度合成服务提供者应在生成合成的内容或者交互场景界面中,以文字、声音、图形等方式添加可被用户明显感知到的显式标识,同时还应在生成合成内容的文件元数据中添加不易被用户明显感知到的隐式标识。此外,提供网络信息内容传播平台服务的服务提供者也需要核验平台内容中是否存在未标识的生成合成内容,并采取适当方式在内容周边添加显著标识以提示用户该内容可能为生成合成内容。
来源:
https://www.cac.gov.cn/2024-09/14/c_1728000676244628.htm
Guidelines on Sensitive Personal Information Identification
《网络安全标准实践指南——敏感个人信息识别指南》
2024年9月18日,网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》,《指南》在《个人信息保护法》的基础上,进一步明确了识别敏感个人信息的规则,同时提供了常见敏感个人信息类别的详细示例。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20240918084858
Regulations on Cyber Data Security Management
《网络数据安全管理条例》
2024年9月30日,《网络数据安全管理条例》正式发布,将自2025年1月1日起施行。《条例》共包含9章64条,明确了网络数据安全管理的一般规定,也进一步细化和澄清了个人信息保护、重要数据安全管理、网络数据跨境安全管理、网络平台服务提供者义务等方面的具体要求。
来源:
https://www.cac.gov.cn/2024-09/30/c_1729384452307680.htm
典型案例
Jiangxi Company Fined for Cybersecurity Protection Failure
江西某公司因不履行网络安全保护义务被处罚
2024年9月20日,江西省吉安市公安局发现某公司系统登录页面被植入违法信息图片。经调查,该公司既没有制定、落实网络安全管理制度,也没有部署网络安全技术措施,未尽到网络运营者应履行的安全保护义务,故公安机关依据《网络安全法》对该公司处以罚款1万元,并对直接负责的主管人员处以罚款5000元。
来源:
https://mp.weixin.qq.com/s/4tvryTopQlVjK_wXMTDvtA
Typical Cases of IP-related Data Rights Protection
广州知识产权法院发布涉数据权益知识产权保护典型案例
2024年9月26日,广州知识产权法院发布6起数据权益相关的知识产权保护典型案例,涉及不同类型数据权益归属规则等核心问题以及数据不当获取行为、数据不当使用行为、数据妨碍行为、数据污染行为等各类数据侵权形式,包括全国首例涉电商平台商品大数据不正当竞争案、网络直播领域首例涉虚假实名认证服务不正当竞争纠纷案等典型案例。
来源:
https://mp.weixin.qq.com/s/8ZLACeN-RywHlbieaBLXug
官方通告
Notice on Mobile Applications in the Banking and Insurance Industries
金融监管总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》
2024年9月12日,金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》,旨在规范提供金融服务的移动应用程序,包括但不限于APP、小程序、公众号等,要求作为前述移动应用程序运营方的金融机构完善内部管理制度,将网络安全、个人信息及消费者权益保护等方面的合规要求落实到业务需求、产品研发、推广和运营的各个环节。针对银行业保险业移动应用程序数量庞杂、功能重复、用户满意度和活跃度低等问题,通知要求金融机构将移动应用管理纳入全面风险管理体系,以提升安全保障水平和金融服务水平。
来源:
https://www.gov.cn/zhengce/zhengceku/202409/content_6974749.htm
02 出海法律观察
聚焦欧洲
欧盟发布对人工智能责任指令提案的补充影响评估
2024年9月19日,欧洲议会研究局(EPRS)发布了关于《关于使非合同民事责任规则适应人工智能的指令提案》(即AILD)的补充影响评估。该补充影响评估指出了2022年影响评估中的关键缺陷,尤其是在严格责任制度方面不完整的监管政策研究和过于简化的成本效益分析。补充影响评估比较了AILD、欧盟《产品责任指令》(PLD)和欧盟《人工智能法》之间的关系,并建议AILD应将使用“高影响人工智能系统”的概念来表述其适用范围,包括生成式人工智能系统和《人工智能法》没有充分涵盖的通用人工智能系统。该补充影响评估还探讨了将AILD从指令转变为法规的可能性和必要性,以实现在整个欧盟范围内的统一法律标准,防止市场分裂,并提高数字单一市场的清晰度和创新。
来源:
https://www.europarl.europa.eu/thinktank/en/document/EPRS_STU(2024)762861
欧盟宣布首个关于人工智能的国际条约开放签署
2024年9月5日,欧洲委员会(CoE)宣布全球首个具有法律约束力的人工智能国际框架公约《人工智能与人权、民主与法治框架公约》(《公约》)开放签署。该公约已于2024年5月17日在斯特拉斯堡的欧洲委员会部长委员会第133届会议上获得了通过,核心目标是确保人工智能系统的开发与应用严格遵循人权、民主和法治的原则,为人工智能的全生命周期提供了一个全面的法律框架。公约全文由序言、八章36条构成,但是没有设置罚款等处罚措施,而是通过建立缔约方官方代表组成的缔约方会议来监督公约的实施。目前,美国、英国、加拿大、澳大利亚、日本以及许多欧洲委员会成员国已经签署了公约。
来源:https://rm.coe.int/1680afae3c
多家科技公司签署欧盟《人工智能契约》
2024年9月25日,欧盟委员会公布了《人工智能契约》(AI Pact)的首批100多家签署方名单。该契约是欧盟委员会根据欧盟《人工智能法》制定的自愿性合作框架,旨在促进和支持组织提前遵守即将出台的《人工智能法》的要求。该契约注重促进信息共享,使签署方能够互相帮助,积极开发最佳实践。目前已经有超过100家公司成为契约的首批签署方,包括IBM、谷歌、亚马逊、微软、OpenAI、Palantir、三星、SAP、Salesforce、Snap、空客、保时捷、联想和高通等知名企业,涵盖了IT、电信、医疗保健、银行、汽车和航空等多个领域。签署方需要履行的主要承诺包括:(1)制定人工智能治理策略;(2)识别高风险人工智能系统;(3)提高员工的人工智能素养和意识。签署方需在12个月后报告其承诺实施的结果。
来源:
https://digital-strategy.ec.europa.eu/en/policies/ai-pact
欧盟发布《数据法案》的解释说明和常见问题解答
2024年9月6日,欧盟发布了《数据法案》的解释说明材料以及常见问题解答(FAQ),帮助利益相关方对该法案有清晰的理解。《数据法案》目的是促进数据流通,通过具体的机制设计排除使用互联产品或相关服务(例如物联网、工业机械)生成的数据在不同主体间流通中的障碍,提供公平的访问和共享框架,以充分释放潜在的数字经济价值,是实现“欧洲数据战略”的重要立法。该法案将于2025年9月12日生效。解释说明材料介绍了《数据法案》的立法目标及其在实践中的实施路径,而FAQ回答了《数据法案》与GDPR以及其他法律之间的互动关系,并解释了相关方如何在物联网环境下访问和使用数据。
来源:
https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained ;
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
克罗地亚发布关于存放员工身份证的指南
2024年9月9日,克罗地亚个人数据保护局(AZOP)发布了根据《雇主保存员工记录的内容和方法条例》收集员工身份证的指南,并指出它收到了有关此事的几项询问。AZOP表示,该条例并未指定雇员身份证副本作为雇主有义务保护、存储和保存的文件或行为之一。根据GDPR第6条第(1)款第(c)项规定,雇主保留员工身份证的副本不能被视为雇主根据该条例的法律义务。AZOP还指出,雇主有义务确保员工个人数据的充分安全,而存储员工身份证副本会增加未经授权或非法处理的风险。如果雇主决定存储身份证,雇主应删除或涂黑身份证副本上的所有其他与处理目的不相关个人数据。
来源:
https://azop.hr/prikupljanje-preslike-osobne-iskaznice-radnika-od-strane-poslodavca-pravilnik-o-sadrzaju-i-nacinu-vodenja-evidencija-o-radnicima/
荷兰发布针对在线服务提供商的DSA指南
2024年9月12日,荷兰消费者和市场管理局(ACM)发布了针对在线服务提供商的《数字服务法》(DSA)指南。此前,该机构于2024年1月就DSA指南进行了公开咨询。该指南明确了DSA为在线中介服务规定的义务,具体包括:(1)内容审核;(2)确保可访问性和沟通;(3)不得通过暗黑模式和广告影响客户;(4)保护未成年人等。
来源:
https://www.acm.nl/system/files/documents/leidraad-dsa-zorgvuldigheidsverplichtingen-tussenhandeldiensten.pdf
比利时发布《人工智能系统和GDPR:数据保护视角》指南
2024年9月19日,比利时数据保护局(DPA)发布《人工智能系统和GDPR:数据保护视角》指南。该指南主要探讨了在数据保护背景下人工智能系统与《通用数据保护条例》(GDPR)之间的关系,并提供了与《人工智能法》(AI Act)的相关要求。该指南的适用范围涵盖了人工智能系统在开发、部署和使用过程中需要遵守的GDPR和《人工智能法》的规定,特别是处理个人数据时的合规要求。
来源:
https://www.gegevensbeschermingsautoriteit.be/publications/information-brochure-on-artificial-intelligence-systems-and-the-gdpr.pdf
Meta因违反数据存储保护义务被罚款9100万欧元
2024年9月26日,爱尔兰数据保护委员会(DPC)对Meta Platforms Ireland Limited(Meta)处以9100万欧元(约7.12亿人民币)罚款,原因是Meta在其内部系统中未加密存储社交媒体用户的密码。事件起因于2019年3月,Meta向DPC报告称无意中将用户密码以明文形式存储,并被约2000名工程师查询超过900万次。经过多年调查,DPC发现Meta违反了GDPR规定,未及时通知用户数据泄露,未记录泄露事件,且未采取适当措施保护用户密码安全。DPC强调,数据控制者必须实施适当安全措施,评估存储密码的风险,并在发生泄露时立即通知监督机构。2024年6月,DPC向其他监督机构提交了处罚决定草案,未收到反对意见。最终,DPC对Meta发出了谴责和罚款决定。
来源:
https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta
爱尔兰数据保护委员会对谷歌人工智能模型展开调查
2024年9月12日,爱尔兰数据保护委员会(DPC)宣布对Google Ireland Limited(谷歌)进行调查,以确定其在开发人工智能大模型Pathways Language Model(PaLM2)时是否遵守了GDPR第35条关于数据保护影响评估(DPIA)的义务。DPC作为谷歌在欧洲的主要监管机构,负责监管谷歌处理欧洲用户个人数据的行为。DPC的调查是其与欧盟/欧洲经济区(EEA)监管机构合作,监督在开发AI模型和系统过程中处理个人数据的更广泛工作的一部分。值得注意的是,谷歌曾在2024年3月因在使用数据训练人工智能模型过程中违反了与欧盟知识产权规则相关的规定被法国竞争监督管理局处以2.5亿欧元罚款。
来源:
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-launches-inquiry-google-ai-model
北美观察
美国商务部工业与安全局发布《联网车辆供应链安全拟议规则》
2024年9月23日,美国商务部工业与安全局(BIS)发布了一份《联网车辆供应链安全拟议规则》(Notice of Proposed Rulemaking to Secure Connected Vehicle Supply Chains from Foreign Adversary Threats),该公告提议禁止销售或进口整合了与中国或俄罗斯具有足够关联的特定硬件和软件的联网车辆,或单独销售这些组件。该拟议规则目前处于公开征求意见阶段,利益相关方可以在公告发布后的30天内提交意见。该拟议规则主要集中于车辆连接系统(Vehicle Connectivity System)和自动驾驶系统(Automated Driving System)中集成的硬件和软件。BIS强调,这些措施是为了保护美国的关键基础设施和数字经济免受潜在的破坏性影响,并确保美国在人工智能领域的领先地位,确保联网车辆供应链的安全性和可靠性。
来源:
https://public-inspection.federalregister.gov/2024-21903.pdf
美国白宫成立AI数据中心
2024年9月12日,美国白宫宣布,将成立智算中心基础设施特别工作组(Task Force on AI Datacenter Infrastructure)协调政府各部门政策,以确保美国在全球人工智能领域的领先地位。该工作组将由国家经济委员会、国家安全委员会和白宫副幕僚长办公室领导,并包含多为行业专家,包括英伟达、OpenAI、微软、谷歌、亚马逊等科技巨头的领导人,以及政府高级官员,共同讨论了支持人工智能发展的政策措施,如清洁能源、许可证和劳动力需求。此外,美国能源部还将创建智算中心合作团队,利用各种项目来支持智算中心的发展,并将提供资源,包括贷款、赠款、税收抵免和技术援助,以帮助数据中心获取清洁能源。
来源:
https://www.whitehouse.gov/briefing-room/statements-releases/2024/09/12/readout-of-white-house-roundtable-on-u-s-leadership-in-ai-infrastructure/
美国加州州长否决《人工智能法案》
2024年9月30日,加利福尼亚州州长Gavin Newsom否决了加州首个S1047人工智能法案(Safe and Secure Innovation for Frontier Artificial Intelligence Models Act)。该法案由参议员斯科特·维纳在2024年2月7日提出,旨在为先进的人工智能模型建立全面的规定,重点关注安全性、责任性和风险评估。该法案要求高成本、高运算能力的模型开发者实施安全和防护协议以预防不安全修改和确保可关闭性,进行风险评估以避免造成重大伤害的风险,自2026年起每年进行第三方合规审计,向总检察长提交合规声明并报告人工智能安全事件等。2024年8月31日,加州议会和加州参议院先后通过该法案。加州州长在否决信中表达了对人工智能技术快速发展的担忧,强调了监管的必要性,但同时指出了法案的不足之处。
来源:
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB1047
洞悉亚太
澳大利亚发布《政府负责任使用人工智能政策》
2024年8月16日,澳大利亚数字化转型局(DTA)发布了《政府负责任使用人工智能政策》,旨在促使澳大利亚政府在安全、负责任地使用人工智能方面发挥领导作用。该政策已于2024年9月1日生效,相关政府机构应在政策生效后90天内指定责任官员(Accountable Officials)以负责该政策的落地实施,同时还应在政策生效后6个月内按照DTA的要求就其使用人工智能的情况发表公开声明。
来源:
https://www.digital.gov.au/policy/ai/policy
澳大利亚新南威尔士州发布人工智能影响评估指南
2024年9月5日,澳大利亚新南威尔士州的信息和隐私委员会(IPC)发布了新的《对人工智能系统和项目进行隐私影响评估指南》,以征求意见和反馈。IPC强调,该指南的制定是为了帮助机构在进行隐私影响评估(PIA)时了解、评估和减轻与使用人工智能系统和项目有关的隐私风险。此外,IPC解释说,该指南还支持机构根据新南威尔士州人工智能评估框架(AIAF)和政府人工智能保证国家框架进行隐私相关评估。
来源:
https://www.ipc.nsw.gov.au/sites/default/files/2024-08/Guide_A_guide_to_undertaking_Privacy_Impact_Assessments_on_AI_systems_and_projects_August_2024_CONSULTATION_DRAFT.pdf
新加坡最高法院发布《法院用户使用生成人工智能工具指南》
2024年9月23日,新加坡最高法院、家事法庭、州法院联合发布了《法院用户使用生成人工智能工具指南》,该指南自2024年10月1日起生效。这是全球首个国家级司法机关发布的关于生成式人工智能在司法领域应用的指导文件,不仅适用于司法人员,也适用于所有诉讼参与人。指南明确了法院对生成式人工智能的中立态度,不禁止其使用,但同时强调了使用者需对使用人工智能工具后的责任和后果负责。指南解释了生成式人工智能的工作原理,指出其输出虽看似连贯,但可能不准确,因此不能依赖其提供法律建议。指南还强调了保护知识产权和保密或敏感信息的重要性,要求用户在使用人工智能工具时不披露未经授权的信息,并遵守相关法律。
来源:
https://www.singaporelawwatch.sg/Portals/0/Notices%20&%20Directions/RC%20No%201%20of%202024%20(Guide%20on%20the%20use%20of%20Gen%20AI%20for%20Court%20Users).pdf
环球拾遗
沙特修订《沙特王国个人数据跨境传输条例》
2024年9月1日,沙特数据和人工智能管理局(SDAIA)发布了修订后的《沙特王国个人数据跨境传输条例》(Regulation on Personal Data Transfer Outside the Kingdom),以及相关的标准合同条款(SCC)和约束性通用规则指南(BCR)的补充信息。该条例自发布之日起在官方公报上生效,具有法律效力。该条例基于沙特《个人数据保护法》制定,旨在确保跨境传输的个人信息得到适当保护。条例详细规定了数据传输条款和程序,包括评估境外保护水平、传输目的、免责情况、后续传输及风险评估等内容。对在沙特市场经营的企业而言,新条例提出了新的合规要求,企业需关注风险评估和免责情况下的合规措施,确保数据处理和传输政策符合新的标准。
来源:
https://www.spa.gov.sa/en/N2163905
卡塔尔中央银行(QCB)发布《人工智能指南》
2024年9月4日,卡塔尔中央银行(QCB)发布了《人工智能指南》,规范持牌实体对人工智能的使用,并于同日生效。这份全面的指南提供了一个框架,确保人工智能技术在金融服务领域的应用既创新又安全。它涵盖了人工智能的风险管理、合规性、数据治理和监控等方面,以促进人工智能的负责任使用。指南强调了对人工智能模型的透明度和可解释性的要求,确保用户能够理解人工智能决策过程。同时,它还提出了对人工智能系统进行定期评估和测试的建议,以确保其性能和安全性。
来源:
https://www.qcb.gov.qa/Services/Financial%20Technology/QCB_Artificial_Intelligence_Guideline.pdf
月刊概览
点击“阅读原文”查看月刊全部内容。
声 明
文章仅代表作者观点,不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
