全球数据立法&监管月报|2024年5月刊

科技 2024-06-07 18:39 广东

国内数据法规政策动态

国务院2024年度立法工作计划发布

2024年5月6日，国务院办公厅印发《国务院2024年度立法工作计划》。本年度修订工作围绕推动高质量发展、加强政府自身建设、实施科教兴国、文化强国战略、增进民生福祉、推动绿色发展、健全国家安全法治体系、加强涉外法治建设等七个方面，拟提请全国人大常委会审议《反不正当竞争法修正草案》《民营经济促进法草案》等21件相关草案，拟制定、修订《网络数据安全管理条例》《消费者权益保护法实施条例》等30件行政法规，预备制定《上市公司监督管理条例》《行政执法监督条例》《卫星导航条例》等。预备修订《互联网信息服务管理办法》《保守国家秘密法实施条例》《反间谍法实施细则》等。

此外拟完成的其他立法项目包括：1.全面深化改革、政府职能转变、国家安全急需的立法项目；2.加快国防和军队现代化建设有关立法项目；3.党中央、国务院交办的其他立法项目。

来源及全文链接：中国政府网

https://www.gov.cn/zhengce/content/202405/content_6950093.htm

工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则（试行）》

2024年5月24日，工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则（试行）》的印发通知（以下简称“实施细则”)，旨在引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平，维护国家安全和发展利益。

实施细则提出，重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，开展数据安全风险评估。重点评估以下内容：

一是数据处理目的、方式、范围是否合法、正当、必要；

二是数据安全管理制度、流程策略的制定和落实情况；

三是数据安全组织架构、岗位配备和职责履行情况；

四是数据安全技术防护能力建设及应用情况；

五是数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况；

六是发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件，对国家安全、公共利益的影响范围、程度等风险；

七是涉及数据提供、委托处理、转移的，数据获取方或受托方的安全保障能力、责任义务约束和履行情况；

八是涉及国家法律法规中规定需要申报的数据出境安全评估情形，履行数据出境安全评估要求情况。

实施细则确保数据处理活动合法、安全，并保护个人和组织的合法权益。

来源及全文链接：工业和信息化部

https://www.yn.gov.cn/ztgg/lqhm/lqzc/gbhqwj/202405/P020240527624907301617.pdf

《互联网政务应用安全管理规定》发布

2024年5月15日，中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》发布了（以下称为“规定”）。

规定旨在保障互联网政务应用的安全，确保网络安全与互联网政务应用同步规划、同步建设、同步使用，以及采取必要的技术措施和其他措施来防范风险。

规定涵盖了开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置以及监督管理等多个方面。它要求各级党政机关和事业单位在建设运行互联网政务应用时，遵守相关法律、行政法规的规定以及国家标准的强制性要求。

具体内容包括但不限于：

1.网站和移动应用程序的开办审核和备案工作。

2.域名注册和管理的规定。

3.信息发布审核制度的建立。

4.网络和数据安全检测评估的要求。其中，为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境内，党政机关应当选取通过国家云计算服务安全评估的云平台。

5.个人信息和商业秘密的保护。要确保信息发布的真实性和合法性，转载信息时保护知识产权，定期检查链接的有效性，采取安全保密措施防止信息泄露，对数据进行分类分级管理，重点保护个人信息和商业秘密，确保数据中心和云计算服务设在境内，明确外包单位的网络和数据安全责任，以及对用户进行真实身份信息认证。

6.电子邮件系统的安全管理。

来源及全文链接：网信中国

‍https://mp.weixin.qq.com/s/TLDGo-a0DbWydob7LLP6-Q‍

市场监管总局发布《网络反不正当竞争暂行规定》

2024年5月11日，为预防和制止网络不正当竞争，维护公平竞争的市场秩序，鼓励创新，保护经营者和消费者的合法权益，促进数字经济规范健康持续发展，市场监管总局发布《网络反不正当竞争暂行规定》（以下简称《规定》）。

《规定》具有以下几个特点：

一是坚持鼓励创新。保护企业创新成果，着力促进互联网行业发挥最大创新潜能。

二是着力规范竞争。顺应我国数字经济发展新特点、新趋势、新要求，完善各类网络不正当竞争行为认定标准及规制要求。明确了仿冒混淆、虚假宣传等传统不正当竞争行为在网络环境下的新表现形式，列举了反向刷单、非法数据获取等新型网络不正当竞争行为。并设置兜底条款，为可能出现的新问题新行为提供监管依据。

三是加强消费者权益保护。回应社会关切，对当前我国线上消费中侵害消费者权益的刷单炒信、好评返现、影响用户选择等焦点问题进行规制，为解决线上消费新场景新业态萌发的新问题提供政策支撑。

四是强化平台责任。督促平台对平台内竞争行为加强规范管理，同时对滥用数据算法获取竞争优势等问题进行规制。

五是优化执法办案。针对网络不正当竞争行为辐射面广、跨平台、跨地域等特点，对监督检查程序作出特别规定。创设专家观察员制度，为解决重点问题提供智力支撑和技术支持。

六是明确法律责任。充分发挥市场监管领域法律法规“组合拳”作用，有效衔接反不正当竞争法、电子商务法、反垄断法、行政处罚法等法律。同时，明确了没收违法所得的法律责任，强化监管效果。

来源及全文链接：市说新语

‍https://mp.weixin.qq.com/s/bZYBNV8RK13wO1ZK0B-3DQ‍

财政部及国家网信办关于印发《会计师事务所数据安全管理暂行办法》的通知

2024年5月10日，财政部国家网信办印发了《会计师事务所数据安全管理暂行办法》（简称“办法”），办法旨在加强会计师事务所数据安全管理，规范会计师事务所数据处理活动。

《办法》主要包括五方面内容，一是总则，主要明确制定依据、适用对象、责任主体；二是数据管理，主要包括总体责任、责任人员、数据分类分级、日志管理、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、数据出境等内容；三是网络管理，主要包括网络管理制度、资源投入、访问控制、系统账户管理等内容；四是监督检查，主要包括信息共享、日常检查、重点检查对象、安全审查、行政监管措施、行政处罚等内容；五是附则。

暂行办法主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动，包括：

1.为上市公司以及非上市的国有金融机构或中央企业等提供审计服务；

2.为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务；

3.为境内企业境外上市提供审计服务。

4.会计师事务所未从事前述三类业务，但审计业务涉及重要数据或者核心数据，也应根据暂行办法进行数据处理活动。

数据包括会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

根据暂行办法，审计工作底稿应存储在境内，不得向境外监管机构提供，跨境需求须通过合法合作机制并办理审批。会计师事务所需建立复核机制保障数据安全。

来源：新华社

全文链接：

https://mp.weixin.qq.com/s/B1Tpumxy3vSZ0z0DSEfSZA

国家数据局印发《数字中国建设2024年工作要点清单》

2024年5月21日，国家数据局印发《数字中国建设2024年工作要点清单》(以下简称《工作要点》)，对2024年数字中国建设工作作出部署。

按照《数字中国建设整体布局规划》要求，《工作要点》围绕高质量构建数字化发展基础、数字赋能引领经济社会高质量发展、强化数字中国关键能力支撑作用、营造数字化发展良好氛围环境等四个方面部署重点任务。

主要内容包括：加快推动数字基础设施建设扩容提速，着力打通数据资源大循环堵点，深入推进数字经济创新发展，健全完善数字政府服务体系，促进数字文化丰富多元发展，构建普惠便捷的数字社会，加快推进数字生态文明建设，加强数字技术协同创新运用，稳步增强数字安全保障能力，不断完善数字领域治理生态，持续拓展数字领域国际合作交流空间。

下一步，国家数据局将会同有关部门抓好各项任务落实，深化数据要素市场化配置改革，充分发挥数据要素潜力，全面提升数字中国建设的整体性、系统性、协同性，促进数字经济和实体经济深度融合，进一步赋能经济发展、丰富人民生活、提升社会治理现代化水平。

来源：国家数据局

国家发展改革委等四部门发布《关于深化智慧城市发展推进城市全域数字化转型的指导意见》

2024年5月20日，国家发展改革委、国家数据局、财政部、自然资源部四部门联合发布《关于深化智慧城市发展推进城市全域数字化转型的指导意见》（以下简称“《指导意见》”），指导意见旨在以数据融通、开发利用贯穿城市全域数字化转型建设始终，更好服务城市高质量发展、高效能治理、高品质生活，支撑发展新质生产力，推进中国式现代化城市建设。

《指导意见》提出，到2027年，全国城市全域数字化转型取得明显成效，形成一批横向打通、纵向贯通、各具特色的宜居、韧性、智慧城市，有力支撑数字中国建设。到2030年，全国城市全域数字化转型全面突破，人民群众的获得感、幸福感、安全感全面提升，涌现一批数字文明时代具有全球竞争力的中国式现代化城市。

《指导意见》指出要全领域推进城市数字化转型，包括：建立城市数字化共性基础；培育壮大城市数字经济；促进新型产城融合发展；推进城市精准精细治理；丰富普惠数字公共服务；优化绿色智慧宜居环境；提升城市安全韧性水平。《指导意见》还指出要全方位增强城市数字化转型支撑，包括：建设完善数字基础设施；构建数据要素赋能体系；推进适数化制度创新；创新运营运维模式；推动数字化协同发展。

来源及全文链接：国家数据局

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202405/t20240520_1386326.html

国家知识产权局发布数据知识产权登记十大典型案例

2024年5月24日，国家知识产权局发布数据知识产权登记十大典型案例，以期示范带动企业、产业更好利用数据知识产权制度，推动数据要素市场化配置，推进数字经济创新发展。

十大案例概述如下：

1. 海淀智慧能源城市大脑：国网北京海淀供电公司登记的数据集，支持智慧城市治理和绿色发展目标的制定与实施。实现了大规模数据的资产化，并在数据资产化、产品化、市场化方面取得了显著成效。

2. 隧洞施工现场氨气分析数据：浙江中水数建科技有限公司的数据集，用于监测施工现场氨气浓度，保障施工安全。数据规模庞大，通过持续的数据更新和算法优化，实现了对隧洞施工环境的实时监测。

3. 知识产权大数据分析数据集：北京知产宝网络科技发展有限公司的数据集，覆盖知识产权创新活动全流程，已在北京国际大数据交易所挂牌交易。通过数据知识产权登记，促进了数据库产品的交易，提升了公司在资本市场的估值。

4. microRNA敲除小鼠资源库：广州赛业百沐生物科技有限公司的资源库，支持生物医药基础研究和创新药物研发。建立了广泛的开放共享合作关系，开发的智能系统为生物医药研究提供了高效工具。

5. 江苏省南京市大厂区、六合区企业用水行为分析数据：南京远古水业股份有限公司的数据，为金融机构信贷业务提供支持。作为全国首批数据资产入表案例，推动了传统企业通过数据知识产权登记实现转型升级。

6. 多模态成年人群脑影像数据：由左西年等人登记的数据，用于研究大脑发育和识别神经退行性疾病。作为我国首件数据来源为个人的数据知识产权，展现了数据在科研领域的应用潜力。

7. 船舶实时报位信息数据：浙江同博科技发展有限公司的数据，提高远洋渔船航行的安全性和效率。作为浙江省首批登记的数据知识产权之一，促进了海洋大数据产业的高质量发展。

8. 花边设计图及设备实时日产量衍生数据：福建长乐联达化纤有限公司的数据，用于纺织企业的原创保护和金融风控。通过数据知识产权登记，有效解决了纺织业数据状态的零散、无序问题。

9. 天津市地质钻孔数据集：天津市勘察设计院集团有限公司的数据，支持工程勘察和智慧城市建设。作为天津市首例数据知识产权资产入表案例，展示了如何保护和利用积累的数据资源。

10. 医疗大模型预训练数据集：北方健康医疗大数据科技有限公司的数据，为医疗大模型预训练提供全面数据资源。在医疗大数据领域，通过数据知识产权登记，为医疗AI的发展提供了丰富的数据资源。

这些案例展示了数据知识产权登记在不同领域的广泛应用，通过数据知识产权的登记和应用，不仅促进了数据的确权和流通，还推动了数字经济的创新发展，实现了数据资产的市场化配置和价值变现。

来源：中国知识产权报

《济南市数据登记暂行办法》征求意见稿发布

2024年5月28日，济南市大数据局发布《济南市数据登记暂行办法》（征求意见稿），向社会公开征求意见建议。征求意见稿旨在培育发展数据要素市场，规范数据登记行为，促进数据要素合规开发利用及流通，进一步释放数据要素潜力。

该办法明确了：

1.数据登记的定义，包括数据资源、数据产品和数据资产的登记，以及相关申请主体的资格。

2.数据登记遵循实名制，要求申请主体提供真实合法的材料，并承担数据合法性和真实性的责任。

3.监管与管理方面，市大数据局作为主管部门，负责监督和指导数据登记活动。数据登记证书具有一年有效期，可作为数据交易和融资质押的法律依据。

4.此外，该办法还规定了登记程序、证书使用、监督管理等方面的具体要求，以确保数据的安全、合规流通和利用，同时保护数据权利人的合法权益。试行期为两年，期间将根据国家或上级机关的新规定进行调整。

来源：济南市大数据局

全文链接：

https://mp.weixin.qq.com/s/7IbD2DJc-IoZz7TwB5edUA

关于印发《国家（上海）自由贸易实验区临港新区智能网联汽车领域数据跨境场景化一般数据清单（试行）》的通知

2024年5月17日，中国(上海)自由贸易试验区临港新片区数据跨境场景化一般数据清单及清单配套操作指南对外公布。首批一般数据清单包含智能网联汽车、公募基金、生物医药等三个领域，涉及智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景，具体划分成64个数据类别、600余个字段。

清单着力解决企业数据跨境流动典型场景中需求最为迫切的问题。临港新片区坚持“一般数据清单+负面清单”相结合，从正面入手，结合跨境场景细化至具体字段，编制形成可操作、可落地的一般数据清单，同步迭代拓展更多场景、更多领域，以此为基准凝练形成场景化、精细化、可操作的字段级负面清单。坚持“放得开、管得住”的管理思路，推进数据跨境流动更大力度的开放，在确保企业操作便捷的基础上，同步做好数据跨境流动安全管理工作。

来源：人民日报

全文链接：

https://www.lingang.gov.cn/upload/1/dm/1715929284867.pdf

全国第一个自贸试验区数据出境管理负面清单《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》发布

2024年5月8日，天津市商务局发布《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（以下称为负面清单），负面清单旨在对接国际高标准经贸规则，打造市场化、法治化、国际化一流营商环境，履行天津自贸试验区“为国家试制度”使命，探索具有天津特色的数据领域制度型开放路径。

《负面清单》列明了天津自贸区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。天津自贸区企业向境外提供《负面清单》外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。涉及国家秘密的数据、核心数据、政务数据不纳入《负面清单》管理，相关数据出境按照有关法律、法规和规定执行。

《负面清单》要求要落实数据分类分级管理要求、加强个人信息保护、服务企业高质量发展、规范数据出境行为。

《负面清单》还明确了需要纳入管理的数据清单。在天津自贸试验区企业数据分类分级的基础上，将出境数据分为13大类46子类，每个子类均对数据基本特征作出详细描述，并给出具体示例。

来源及全文链接：天津市商务局

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202405/t20240520_1386326.html

全国第一个自贸试验区数据出境管理负面清单《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》发布

2024年5月7日，深圳市政务服务和数据管理局发布《数据交易合规评估规范（征求意见稿）》（以下简称“意见稿”）向社会公开征求意见。规范旨在要建立合规高效的数据要素流通和交易制度，完善数据全流程合规和监管规则体系，建设规范的数据交易市场。依托数据交易所，进行合规体系与制度的创新。

规范的核心内容是创新性的“3×4”数据交易合规评估体系，它将评估分为主体合规、标的合规与流通合规三个主要环节，并在每个环节中设置合法、安全、诚信与权益保障四个关键维度。这一体系通过量化标准，为市场参与主体提供合规对照，为监管机构提供监督检查的依据，同时便利第三方服务机构进行评估、咨询和认证服务。

特色亮点包括：

1.全国首个三级分类评估标准，适应不同规模和类型的数据交易参与主体，推动法治与信用的动态监管。

2.“矩阵式”递进安全合规框架，将安全要求融入数据交易的全流程，强化数据安全治理。

3.针对性的数据类型分类，对高风险数据类型提出特殊安全要求，实现分类分级的数据治理。

来源及全文链接：深圳市政务服务和数据管理局

https://www.sz.gov.cn/hdjlpt/yjzj/api/attachments/view/d035b2b47c91913ba425cbf6e79f499c

境外数据法规政策动态

中国国家互联网信息办公室与印尼国家网络与密码局续签网络安全领域合作备忘录

2024年5月26日，中华人民共和国国家互联网信息办公室与印度尼西亚共和国国家网络与密码局在印尼登巴萨续签《关于发展网络安全能力建设和技术合作的谅解备忘录》，双方将进一步深化和拓展中印尼网络安全领域合作。

来源：网信中国

西班牙数据保护机构（AEPD）发布Cookie使用的更新指南

2024年5月14日，西班牙数据保护机构（AEPD）发布了一份关于 Cookie 使用的更新指南，来指导网站和应用程序运营者更合法合规地使用Cookie的文件。

指南的主要内容包括对Cookie的定义、分类（基于管理实体、目的和持续时间）以及使用Cookie的法律义务。它强调了透明度和用户同意的重要性，明确了在收集和处理个人数据之前必须向用户提供清晰、完整的信息，并获取他们的同意。指南还讨论了不同类型的Cookie，包括技术Cookie、偏好Cookie、分析Cookie和行为广告Cookie，并提供了关于如何管理用户同意的指导，包括通过设置Cookie管理平台（CMP）来实现。此外，指南还涉及了如何处理特殊类别的个人数据，以及如何确保数据的安全性和隐私性。

AEPD的指南还强调了在特定情况下使用Cookie的例外情况，例如仅用于提供通信服务或用户明确请求的服务。同时，它还提供了关于如何处理未成年人数据的指导，要求采取额外的预防措施来验证用户的法定监护人或监护人是否给予了同意。此外，指南还讨论了数据保护影响评估（DPIA）的重要性，以及在某些情况下与数据保护机构进行事先咨询的必要性。最后，指南提供了关于不同参与方在Cookie使用中的责任，包括网站编辑和第三方，以及他们如何确保遵守数据保护法规的指导。

来源及全文链接：西班牙数据保护机构

https://www.aepd.es/guias/guia-cookies.pdf

美国马里兰州签署了马里兰州2024年在线数据隐私法案

2024 年 5 月 9 日，马里兰州州长 Wes Moore 签署了关于2024 年马里兰州《在线数据隐私法》（MODPA）的第 0541 号参议院法案，该法案将于 2025 年 10 月 1 日生效。该法案将规定控制者或处理者处理消费者个人数据的方式，授权消费者就其个人数据行使某些权利，并要求控制者制定消费者就其个人数据行使权利的方法。

该法案特别强调了消费者的权利，包括确认个人数据是否被处理、访问和更正个人数据、以及要求删除和传输数据。消费者还被赋予了选择退出个人数据销售及用于定向广告或分析的权利，这增强了他们对自己信息的控制能力。

MODPA的适用范围广泛，不仅针对在马里兰州开展业务的实体，还包括向州内居民提供产品或服务的实体。法案中对“敏感个人数据”的定义比其他州的隐私法律更为广泛，包括了能够揭示种族、民族、宗教信仰、性生活或取向等信息的数据。此外，法案还规定了对未成年人个人数据的特别保护措施，要求企业在处理这类数据时必须格外谨慎。通过这些规定，MODPA为消费者的数据隐私提供了全面的保护，同时也要求企业在处理个人数据时必须遵守更高的标准。

来源：JDUPRA

荷兰数据保护机构发布数据抓取指南

2024年5月1日，荷兰数据保护机构发布数据抓取指南护机构（AP）发布了个人和组织数据抓取指南，提供了关于数据抓取（scraping）的法律指导和隐私风险评估，以确保数据处理活动符合GDPR的规定。

该指南明确了数据抓取的定义，包括与网络爬虫的区别，并指出当抓取涉及个人数据时，通常需要遵循GDPR规定。它强调了合法性基础的重要性，尤其是对于私人组织和个人，通常只能依赖于“合法利益”这一基础进行数据抓取。指南还讨论了隐私风险，数据最小化和透明度原则，并对特殊个人数据的额外保护措施进行了强调。

此外，指南建议在进行可能带来高隐私风险的数据抓取前，应进行数据保护影响评估（DPIA），并在必要时与数据保护机构进行事先咨询。它还特别提到了使用抓取数据训练算法时的风险，包括可能导致的歧视和错误信息传播。总而言之，该指南旨在帮助组织和个人评估其数据抓取活动的合法性，确保符合GDPR要求，并采取措施保护个人隐私。

来源：荷兰数据保护机构

https://www.autoriteitpersoonsgegevens.nl/system/files?file=2024-05/Handreiking%20scraping%20door%20particulieren%20en%20private%20organisaties.pdf

全球数据监管执法动态

工业和信息化部通报存在问题的APP(SDK)名单（2024年第3批，总第38批）

2024年5月24日，中国工业和信息化部通报了50款存在侵害用户权益行为的APP及SDK。违规行为包括：

1.违规收集个人信息：15款应用，如i 智行、我奥篮球等。

2.强制、频繁、过度索取权限：27款应用，包括i 智行、全能扫描打印等。

3.违规使用个人信息：2款应用，全能扫描打印和赶点。

4.弹窗问题：存在弹窗关不掉或乱跳转的问题，涉及5款应用，如卫星导航、红豆视频等。

5.开屏弹窗乱跳转：2款应用，Yesoul和小特。

6.超范围收集个人信息：3款应用，包括影音播放器、七七影视大全等。

7.SDK使用说明不完整：7款SDK，如MineLocation Android SDK、UltraSDK等。

8.误导用户下载：2款SDK，懒人广告SDK和猫广告。

9.“摇一摇”乱跳转：3款应用，微趣、星芽免费短剧等。

10.APP频繁自启动和关联启动：赶点APP。

这些违规行为违反了用户隐私和安全的相关法规，需要相关APP及SDK开发者采取相应措施进行整改。

来源：工业和信息化部

南昌某集团有限公司因未履行数据安全保障义务等违法违规行为被处以警告并罚款10万元

2024年5月15日，南昌某集团有限公司因未履行数据安全保障义务等法律违规行为，被南昌市网信办处以警告、罚款10万元，对直接负责的主管人员处以罚款2万元的行政处罚。

近日，接上级网信部门通报，南昌某集团有限公司所属IP疑似被黑客远程控制，频繁与境外通联，向境外传输大量数据。

经过立案调查、现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：

1.该公司未履行数据安全保护义务，未采取相应的技术措施和其他必要措施保障数据安全，所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序，大量数据疑似泄露或被窃取，相关行为违反了《中华人民共和国数据安全法》第二十七条规定；

2.该公司开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。

来源：南昌市网信办

创纪录！韩国互联网巨头Kakao公司因泄露个人数据被处以151亿韩元罚款

2024年5月23日，韩国个人信息保护委员会（PIPC）对韩国互联网巨头Kakao公司处以151亿韩元（约合人民币8020万元）的罚款，原因是该公司泄露了至少65710名用户的个人数据，这是韩国国内公司受到的最高处罚。韩国个人信息保护委员会在全体会议上批准了这一罚款，认为Kakao对用户数据审查和保护措施不严导致了大规模数据泄露。

据PIPC调查，黑客通过Kakao开放聊天服务的数据保护漏洞窃取用户个人信息。Kakao未加密用户的临时ID，也未能在用户反映数据泄露后及时响应和报告。尽管Kakao反驳称仅凭临时ID和序列号无法识别用户身份，且法律未强制要求对序列号加密，但PIPC仍认为Kakao应承担责任。

来源：证券时报

Verkkokauppa因未能明确客户的数据存储期限而被芬兰SA处以856000欧元的行政罚款

2024年5月8日欧盟数据保护局在官网上发布消息，芬兰SA对在线零售商Verkkokauppa.com罚款856,000欧元，因其没能明确客户的数据储存期限。

因一名Verkkokauppa的顾客提出的投诉，芬兰监管机构（SA）对在线零售商Verkkokauppa的活动进行了调查。该控制者要求客户在进行在线购物时先注册为客户，否则无法在该网店购物。

芬兰SA发现，客户账户数据一直被无限期地存储。控制者并未明确规定其在线商店客户账户所收集数据的存储期限。据控制者称，客户可以自己决定其数据的存储期限，因为他们可以要求关闭其账户并删除相关数据。此外，控制者要求创建客户账户以进行在线购物的做法违反了数据保护法。在网上购物不应该以创建客户账号或由此产生的个人数据的存储为前提。

来源：EDPB

Dentalcuadros因对数据缺乏安全措施和具有延迟通知漏洞被西班牙AEPD处以20,000欧元罚款

2024年5月8日，西班牙数据保护机构（以下简称“AEPD”）因Dentalcuadros BCN SLP公司因其对数据缺乏安全措施和具有延迟通知漏洞，对其处以20,000欧元的罚款，在Dentalcuadros使用自愿付款程序并承认其责任后，罚款总额随后减少至 12,000 欧元。

Dentalcuadros于2023年4月遭受勒索软件攻击，影响了患者个人数据的可用性和保密性，这些数据包括患者的联系数据、身份数据和健康数据。

经过调查，AEPD注意到Dentalcuadros没有根据GDPR第32条采取适当的安全措施，包括没有足够强大的杀毒软件和外部服务器的最新备份。特别是，已进行的四次数据保护影响评估包括了一份为降低风险而实施的措施清单。然而，Dentalcuadros无法证明这些措施的执行情况。

此外，AEPD还强调，Dentalcuadros没有遵守GDPR第33条的规定，没有在72小时内向AEPD通报数据泄露事件。通知延迟了22天，且Dentalcuadros无法提供延迟的原因。

最后根据上述违规行为，因违反GDPR第32、33条，AEPD对Dentalcuadros分别处以15,000欧元和5,000欧元罚款。

来源：dataguidance

Sigma Srl因在用户不知情的情况下使用其个人数据被意大利Garante罚款15万欧元

2024年5月3日，意大利数据保护机构（以下简称“Garante”）公布了其对2024年2月22日发布的第159号案件的裁决，Garante对Sigma srl (以下简称“Sigma”)公司处以15万欧元的罚款，理由是其违反了《通用数据保护条例》（以下简称“GDPR”）。

Sigma公司在未经客户同意的情况下，利用不当存储的个人数据激活了1300张SIM卡，并激活未经请求的服务。鉴于此，Garante认定Sigma违反了GDPR第5(1)(a)、5(2)、6、13、24(1)和25(1)条的规定，并处以上述罚款。此外，Garante禁止Sigma进一步处理旨在激活SIM卡、电话和电视服务、销售和收取购买手机和GPS跟踪器费用的客户数据，并通过了一项禁令。

Garante还命令Sigma在接到通知后30天内向其通报为执行上述措施而采取的举措。

来源：dataguidance

END

全球数据立法&监管月报|2024年4月刊

享法互联网JoyLegal

懂法，更懂办法！享法，还有想法！