天达共和数据合规资讯月报（No. 09）2024

立法动态

介绍2024年8月26日至2024年9月25日期间及前后境内外数据保护立法动态，并针对部分立法动态提供简要评论。

执法司法聚焦

介绍2024年8月26日至2024年9月25日期间及前后境内外部分典型执法司法案例，并针对部分执法司法活动提供简要评论。

行业新闻

精选2024年8月26日至2024年9月25日期间及前后互联网及相关行业与网络安全和数据保护有关的新闻资讯，并针对部分行业新闻提供简要评论。

团队动态

2024年9月，由天达共和数据合规团队合伙人叶鹏律师及天达共和数据合规团队曾祥瑞律师共同撰写的专业文章《网络反不正当竞争场景下不合理差别待遇的风险和防范——以<网络反不正当竞争暂行规定>第二十条为引入》，在中华全国律师协会主办的《中国律师》学术杂志最新一期上刊载。

热点评述

本期资讯月报的热点评述为您带来天达共和数据合规团队数据要素研究系列数据资源入表主题的收官篇，随着本主题文章的圆满结束，我们希望您已对数据资源入表有了更深入的理解和认识，尤其是数据资源入表中的法律合规要求的确认和评估，贯穿了数据资源入表的全流程，需要予以关注。

虽然现阶段各个企业基于不同的目的、认识所开展的数据资源入表工作，层次参差，良莠不齐，导致社会上对数据资源入表工作实质意义也存在不同看法，但考虑到数据不仅是信息时代的基石，更是推动社会进步和创新的动力，随着人工智能、大数据和云计算等技术的发展，数据要素的作用将愈发显著。我们也相信，在未来，在真正关注法律合规前提下，与市场需求、商业目的紧密结合所形成的数据资源入表工作，其价值将会进一步凸显。

DATA

• 8月26日，北京市互联网信息办公室等三部门印发《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（下称“《管理办法》”）、《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（下称“《负面清单》”），《管理办法》重点围绕负面清单的制定流程、职责分工、使用管理、安全监管等方面进行深化设计，是制定负面清单和开展日常监管的基本规范，并同步完善了重要数据识别规则，提出13类41子类数据分类分级参考规则，助力企业提升识别能力；《负面清单》综合考虑数据出境需求迫切的重大场景、全市重点产业布局等因素，首批选择汽车、医药、零售、民航、人工智能等5个领域率先制定，详细列明23个业务场景和198个具体字段，便于企业准确识别判断。

（https://zwfwj.beijing.gov.cn/zwgk/2024zcwj/202408/t20240830_3785261.html）

简评：该办法引入了更灵活的行业管理机制，主要亮点体现在个人信息出境要求的放宽和备案流程的简化。不同于全国统一的严格规定，新版负面清单根据行业特点对数据出境的要求进行了差异化调整。特别是在医药和零售等行业，敏感个人信息的出境门槛大幅降低，医药行业在临床试验、药物研发等场景下，允许更多数据通过标准合同或认证形式出境，极大降低了企业的合规压力。同时，该管理办法大幅简化了企业的数据出境备案流程。企业可通过在线平台提交备案申请，审核周期缩短至5个工作日内。这种简化的流程减少了数据出境操作的繁琐步骤，提升了企业跨境业务的效率。在负面清单制度下，企业只需确认其数据是否属于清单范围，从而决定是否需要进行数据出境安全评估或备案。总体而言，这一管理办法为自贸区内企业提供了更为清晰的合规指引，使数据出境操作更具可预见性和可操作性。

• 8月26日，北京市互联网信息办公室等三部门印发《北京市数据跨境流动便利化服务管理若干措施》（下称“《若干措施》”）。此次出台的《若干措施》从畅通数据合规出境通道、细化服务举措、优化监管措施、强化保障措施等四个方面提出了18项具体措施。《若干措施》明确，高效开展数据出境安全评估，优化评估流程；着力提升标准合同备案的备案质量和效率，压缩备案时长；推动落实个人信息保护认证，开设认证服务办理网点。

（https://www.beijing.gov.cn/zhengce/zhengcefagui/202409/t20240902_3787659.html#:~:text=%E4%B8%BA%E8%BF%9B%E4%B8%80%E6%AD%A5%E6%8F%90%E5%8D%87%E5%8C%97%E4%BA%AC）

• 9月4日，工信部正式发布《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》和《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准，2026年1月1日起开始实施。其中，《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求，以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法。《智能网联汽车 自动驾驶数据记录系统》规定了智能网联汽车自动驾驶数据记录系统的数据记录、数据存储和读取、信息安全、耐撞性能、环境评价性等方面的技术要求和试验方法。《汽车软件升级通用技术要求》规定了汽车软件升级的管理体系要求，以及用户告知、版本号读取、安全保护、先决条件、电量保障、失败处理等车辆软件升级功能方面的技术要求和试验方法。

（https://mp.weixin.qq.com/s/sLPjXtu3P596AfiwODiPtw）

• 9月5日，民政部等五部门联合公布《个人求助网络服务平台管理办法》（下称“《办法》”）。根据《办法》，个人求助网络服务平台，是指专门为因疾病等原因导致家庭经济困难的个人，提供求助信息发布和捐助资金归集、管理、拨付等服务的网络平台。《办法》共三十二条，明确个人求助网络服务平台，应当经民政部指定；未经指定，任何组织或者个人不得以个人求助网络服务平台的名义开展活动，不得从事求助信息发布和捐助资金归集、管理、拨付等个人求助网络服务；明确对求助信息的真实性进行查验是个人求助网络服务平台的法定义务；规定平台应当明确告知求助人、信息发布人对求助信息的真实性负责，明确告知求助人、信息发布人不得通过虚构、隐瞒事实等方式骗取救助。《办法》还对捐助资金管理、平台监督管理、法律责任等方面内容做出规定。

（https://xxgk.mca.gov.cn:8445/gdnps/pc/gzk/content.jsp?id=1662004999980001328）

• 9月9日，网安标委网站公布《人工智能安全治理框架》1.0版。《框架》共包括六大部分：1. 人工智能安全治理原则；2. 人工智能安全治理框架构成；3. 人工智能安全风险分类；4. 技术应对措施；5. 综合治理措施；6. 人工智能安全开发应用指引。其中，在综合治理措施方面，《框架》提出10项措施，主要包括实施人工智能应用分类分级管理、建立人工智能服务可追溯管理制度、完善人工智能数据安全和个人信息保护规范、构建负责人的人工智能研发应用体系、强化人工智能供应链安全保障、推进人工智能可解释性研究。

(https://mp.weixin.qq.com/s/vaFo4eMqHA_U0WFPhJEFcQ）

• 9月14日，国家网信办起草发布《人工智能生成合成内容标识办法（征求意见稿）》（下称“《征求意见稿》”），向社会公开征求意见。根据《征求意见稿》，除生成合成服务提供者自身应当对其生成合成内容添加相关标识外，提供网络信息内容传播平台服务的服务提供者也应当采取措施，规范生成合成内容传播活动，例如应当核验文件元数据中是否含有隐式标识，对于含有隐式标识的，应当采取适当方式在发布内容周边添加显著的提示标识，明确提醒用户该内容属于生成合成内容；此外，互联网应用程序分发平台也负有核验义务。同日，网信办官网发布《关于征求<网络安全技术 人工智能生成合成内容标识方法>强制性国家标准（征求意见稿）意见的通知》，适用于规范生成合成服务提供者和内容传播服务提供者对人工智能生成合成内容开展的标识活动。

(https://www.cac.gov.cn/2024-09/14/c_1728000676244628.htm)

(https://www.cac.gov.cn/2024-09/14/c_1728000680671017.htm)

简评：随着人工智能技术的广泛应用，各类生成式内容（如图像、视频、音频等）日益增多，但相关内容缺乏明确的标识，使公众难以区分哪些内容由AI生成，进而引发了虚假信息传播、版权侵权等问题。目前，AI生成内容的标识乱象主要体现在内容生成方不主动标识、标识不清晰或容易被篡改，导致信息不透明，甚至误导公众。本征求意见稿在《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》基础上进一步明确了人工智能生成内容的标识要求。

该办法的亮点之一在于明确了两类标识方式，即“显式标识”和“隐式标识”。显式标识要求在用户能够明显感知的地方对人工智能生成的内容进行标注，适用于文本、图片、视频等直接面向用户的场景。隐式标识则通过元数据等形式嵌入生成内容中，便于追溯和核查。这种双重标识体系不仅细化了不同场景下的标识要求，也增强了内容的可追溯性和管理的精确性。此外，办法还对标识部署的位置和形式提供了具体指导，使得相关责任主体可以更明确地履行标识义务。

另一重要变化是将网络信息内容传播平台也纳入了标识义务的范畴。平台服务提供者不仅要对生成合成内容进行核验，还需要根据核验结果或用户声明在内容发布时添加显著标识。这一要求强化了平台在人工智能内容传播中的责任，形成了从内容生成到传播的全链条管理。此外，平台还需完善元数据，增强生成合成内容的可追溯性，进一步确保信息传播的安全性和规范性。这一新增义务凸显了平台在管理人工智能生成内容中的关键作用，同时对网络内容的合规性提出了更高要求。

• 9月14日，国家金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》（下称“《通知》”），要求开展移动应用全生命周期管理。《通知》从四方面提出18条工作要求。其中，第13、14条特别提及，金融机构应明确移动应用数据安全管理责任，结合移动应用特点强化数据安全措施，有效防范数据泄露、篡改和勒索攻击等风险，并应在委托外包过程中严格落实信息科技外包风险监管要求，严格控制外包服务提供商数据访问权限，督促其加强数据安全管理，防范数据泄露。

（https://www.cbirc.gov.cn/cn/view/pages/governmentDetail.html?docId=1179186&itemId=&generaltype=1）

• 9月18日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》。该指南为相关组织提供了敏感个人信息的识别规则、常见类别和示例，旨在帮助组织更好地识别、处理和保护敏感个人信息，为后续的个人信息保护工作提供参考。

(https://mp.weixin.qq.com/s/os43_VyKcGd2HRPogs_cVA)

简评：《网络安全标准实践指南——敏感个人信息识别指南》的发布，是中国在加强个人信息保护领域的又一重要举措。指南详细列出了敏感个人信息的种类，包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人个人信息以及其他敏感个人信息。指南不仅列出了敏感个人信息的类别，还提供了典型示例和注释，增强了《个人信息保护法》等配套制度的可操作性。相较于征求意见稿，正式稿中对各类信息的描述更加详尽，如增加了对精准定位信息的注释，明确了通过手机精准位置权限采集的位置信息属于精准定位信息，而通过IP地址等测算的粗略位置信息不属于精准定位信息。同时，我们注意到指南相较于《个人信息安全规范》，并未将身份证号作为敏感个人信息列示，其在后续将如何影响执法和司法实践还有待进一步观察。

此外，指南提出了“单项识别+综合判断+法规规定”的识别规则，企业可利用多种方式识别敏感个人信息，在一般情况下，企业对照《识别指南》附录A并根据企业所在的行业属性参考本行业的相关规范对自身收集处理的个人信息字段进行排查；对于特殊或复杂的业务场景，企业可进一步综合考量自身掌握的多项一般个人信息汇聚或融合后的整体属性。这为组织提供了一个结构化的路径来识别敏感个人信息，有助于企业更系统地评估和处理个人信息，提升了企业识别个人信息的准确性，减少合规风险。最后，指南还指出，如果法律法规有更具体的规定，应优先遵守法律法规，以此确保指南与现行法律的一致性。

• 9月24日，《网络数据安全管理条例》（下称“《条例》”）由国务院第40次常务会议通过，自2025年1月1日起施行。《条例》共9章64条，主要提出网络数据安全管理总体要求和一般规定，细化个人信息保护规定，要求网络数据处理者提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求，完善重要数据安全制度，明确制定重要数据目录职责要求，规定网络数据处理者识别、申报重要数据义务，规定网络数据安全管理机构和网络数据安全负责人的责任，优化网络数据跨境安全管理规定，明确网络平台服务提供者义务，等等。

(https://www.gov.cn/zhengce/content/202409/content_6977766.htm）

简评：《条例》在《网络安全法》《数据安全法》和《个人信息保护法》的基础上，进一步明确了网络数据处理活动的监管框架，为网络数据安全保护提供了更为细致的指导。首先，《条例》强化了网络数据处理者的责任和义务，要求他们在数据处理过程中采取更加严格的安全措施，并对可能的安全风险进行及时的报告和处理。其次，《条例》对个人信息保护和重要数据保护提出了更具体的合规要求，如“双清单”告知制度、人工智能训练数据合规、自动化采集合规、“可携带权”的部分实现、不得在个人明确表示不同意处理其个人信息后频繁征求同意等，这有助于提升个人信息保护的透明度和可操作性。同时，《条例》对平台的监管提出了新的要求，特别是对于处理大规模个人信息的平台，要求其遵守更为严格的安全保护规定。

对于部分在数据三法中已所规定，但实践中企业难以实施或实施成本过高的合规要求，《条例》也进行了适度放宽。例如，《个人信息保护法》要求个人信息处理者在隐私政策中向个人告知个人信息存储期限，然而实践中，在处理个人信息前准确预测存储期限本身存在较大难度——高度复杂化的业务场景、委托或将个人信息提供给第三方处理、使用云存储/SaaS服务等第三方数据存储服务、法律法规及监管要求的变化、相关个人提起法律程序等均可能导致企业无法预测实现相应处理目的的最短期限。鉴于上述情况，《条例》第21条第（四）款特别规定个人信息“保存期限难以确定的，应当明确保存期限的确定方法”，就个人信息存储难以明确具体期限的情形予以放宽，使得企业的合规成本更加匹配其所处的实际经营环境及客观状况。

此外，相较于征求意见稿，正式出台的《条例》在某些方面减轻了企业的合规负担，如网络安全审查、网络平台服务提供者的义务、网络数据安全事件的上报规则等，这有助于企业更加灵活地进行数据管理和业务运营。《条例》的实施将促使企业加强内部合规管理，推动企业建立更加规范的数据安全管理体系。

《条例》的出台反映了中国监管机构在数据监管方面的趋势变化，即在确保数据安全的同时，也考虑到企业的实际操作性和合规成本。随着《条例》的实施，预计将进一步推动中国网络数据安全和个人信息保护的规范化和法制化进程。

• 8月28日，印度数据安全委员会 （DSCI） 发布了一份关于印度企业网络安全和数据隐私战略和见解的报告。该报告内容包括检测和缓解新型网络威胁的策略、《数字个人数据保护法》的具体内容分解以及实务中企业的合规策略。根据报告，企业的合规策略包括绘制数据流转图、审查数据流、任命数据保护官，以及加强同意管理和用户数据控制界面等。该报告还概述了数据生命周期管理、跨境数据流治理和隐私管理工具的最佳操作方式。

（来源：Data Guidance）

(https://www.dataguidance.com/news/india-dsci-publishes-report-cybersecurity-and-data)

• 8月29日，加利福尼亚州立法机构通过了1949 号关于收集18岁以下消费者个人信息的法案。该法案经加州议会批准并登记后，现需由加州州长签署。该法案规定，如果企业实际知悉消费者未满18岁，则禁止企业收集、使用或披露消费者的个人信息；除非消费者（年龄在13岁至18岁之间）或其父母或监护人（消费者年龄在13岁以下）明确授权收集个人信息。

(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240AB1949)

• 9月5日，澳大利亚新南威尔士州信息和隐私委员会（IPC）发布了新的《对人工智能系统和项目进行隐私影响评估指南》，以征求意见和反馈。IPC强调，该指南的制定是为了帮助机构在进行隐私影响评估（PIA）时了解、评估和减轻与使用人工智能系统和项目有关的隐私风险。此外，IPC解释说，该指南还支持机构根据新南威尔士州人工智能评估框架（AIAF）和《在政府中负责任地使用人工智能的政策》进行隐私相关评估。

（https://www.ipc.nsw.gov.au/sites/default/files/2024-08/Guide_A_guide_to_undertaking_Privacy_Impact_Assessments_on_AI_systems_and_projects_August_2024_CONSULTATION_DRAFT.pdf）

• 9月9日，克罗地亚个人数据保护局（AZOP）发布收集雇员身份证的指南。AZOP表示，《雇主保存工人记录的内容和方法条例》（“Ordinance on Content and Method of Keeping Records on Workers”）并未强制要求雇主保存雇员的身份证副本。雇主有义务确保雇员个人数据的充分安全，而存储雇员身份证副本会增加个人信息被非法处理的风险。AZOP强调，雇主存储身份证信息的行为须有法律依据，如雇主确需存储，应删除或遮盖与收集和保存身份证副本的目的无关内容。

（来源：Data Guidance）

(https://www.dataguidance.com/news/croatia-azop-issues-guidance-storing-employee-identity)

• 9月17日，拉脱维亚数据国家监察局（DVI）发布了一份关于终止雇佣关系后个人数据处理的指南。该指南解决了个人对前雇主作为数据控制者的责任的担忧，强调雇主只能在有效法律的依据下继续处理个人数据，并在雇佣关系结束后删除任何不必要的数据。DVI强调，一旦雇佣合同终止，姓名、联系方式和职位等个人数据必须从公司网站上删除，因为它们不再具有处理的法律依据。雇主可以暂时保留前雇员的工作电子邮件，以确保与客户的顺利沟通，但他们必须在内部政策中指定这段时间的持续时间。DVI 强调，员工的隐私权在离职后仍然有效，如果个人数据被不当处理，相关个人可以通过 DVI 进行追索。

（来源：Data Guidance）

(https://www.dataguidance.com/news/latvia-dvi-publishes-guide-termination-employment-and)

• 9月25日，日本人工智能安全研究所（AISI）发布《人工智能安全评估指南》（以下简称“指南”）。《指南》旨在帮助人工智能系统的提供商和参与开发和提供人工智能系统的人员进行人工智能安全评估，该指南指出，为提高人工智能安全性，人工智能相关实体应在整个人工智能供应链中关注六项重要因素，即以人为本、安全、公平、隐私、安全、透明度，此外，该指南提供了10种安全评估视角，包括限制有害信息输出、防止虚假信息输出/诱导、公平性和包容性、高风险/目的外使用对策、隐私保护、安全保障、可解释性、鲁棒性、数据质量、可验证性。

(https://aisi.go.jp/effort/effort_information/240918_2/）

• 9月25日，日本个人信息保护委员会（PPC）发布了一份指导文件，旨在指导医院、诊所和药店正确处理个人数据，以防止数据泄露。文件提出了多项措施，包括提高员工对数据保护的意识、确保文件移交安全、定期培训员工、制定问答清单、在高峰时段增加人手、优化操作系统以减少人为错误，以及在前台通过核实患者全名和年龄来确认身份。

(https://www.ppc.go.jp/news/careful_information/240925_alert_hospitals_clinics_pharmacies/）

DATA

• 本月，在APP监管方面：

✓ 8月27日，工信部通报21起APP及SDK存在侵害用户权益的行为，包括违规使用个人信息，超范围收集个人信息，开屏信息窗口“摇一摇”乱跳转，APP强制、频繁、过度索取权限等，工信部持续整治APP侵害用户权益的违规行为，本次为2024年第7批。

✓ 9月20日，浙江省通信管理局通报了19款未按要求完成整改的侵害用户权益行为的APP，包括违规收集、使用个人信息，APP强制、频繁、过度索取权限，强制用户使用定向推送，APP频繁自启动和关联启动等，要求相关开发运营者在9月30日前完成整改，否则将采取下架、关停或行政处罚等措施。

(https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_93a1b8bbf8ff491490afc9115d267fcf.html）

(https://mp.weixin.qq.com/s/lyzDIfjq_OT86D7ugh3aiQ）

• 9月2日，广州互联网法院发布了跨境数据纠纷十大典型案例（第一期），这些案例涵盖了个人信息保护、国际域名权属、作品信息网络传播权、知识产权保护以及跨境电商不正当竞争等多个方面，例如，王某与某咨询公司、某国际酒店公司的个人信息保护纠纷明确了个人信息跨境处理的合法性审查标准，法院判决指出，被告公司为消费者预订域外酒店服务收集、向境外提供个人信息，属于履行合同必需，无需取得单独同意；但基于商业营销目的的个人信息超出履行合同必需，应当向个人告知并取得单独同意。

(https://mp.weixin.qq.com/s/iAgo-W6qe2-VO-ZpEbLKdg）

• 9月9日，上海市网信办公布了最新一批生成式人工智能服务备案信息。为促进生成式人工智能的创新和规范应用，上海市新增7款生成式人工智能服务完成备案，累计已完成41款服务备案。所有上线的生成式人工智能应用需在显著位置公示已备案服务的模型名称及备案号，以便公众知悉相关信息。

(https://mp.weixin.qq.com/s/DAPnNsiQo2DjkJvDUW78JA）

• 9月10日，中国网络空间安全协会发布了62款已完成个人信息收集使用合规整改的App清单。这些App涉及网上购物、地图导航、浏览器等10个类别，运营方根据相关法律法规进行了整改，解决了超范围收集个人信息、过度调用敏感权限等问题。这些App的合规版本已在应用商店上架，并承诺持续保持合规。

(来源：中国经济周刊）

(https://mp.weixin.qq.com/s/p8eBKl7_aWUWevtdxMYblw）

• 9月12日，南昌市网信办对某学校因个人信息泄露问题作出行政处罚。南昌市网信办查明该校未对公示信息中的学生姓名、身份证号等4000多条明文个人信息进行脱敏或去标识化处理，违反了《中华人民共和国网络安全法》第四十二条第二款的规定，依法对该学校作出警告处罚，学校已承认问题并承诺整改。

(https://mp.weixin.qq.com/s/-mUv923MRji1AmKK-gsMIA）

• 9月13日，北京经济技术开发区宣布，拜耳医药保健有限公司成为全市首家通过自贸试验区数据出境负面清单备案的企业。此次备案审核仅用了5个工作日，极大简化了数据出境的合规流程，为企业提供了更便捷的合规支持。据悉，《北京市数据跨境流动便利化服务管理若干措施》发布后，北京亦庄率先出台了全市首个数据出境负面清单实施文件，并可通过数据跨境服务中心为企业提供一站式服务，推动数据有序跨境流动。

(https://mp.weixin.qq.com/s/mS5GRQfz-bsuWMmy3bCtmA）

• 9月25日，国家计算机病毒应急处理中心通报13款移动App存在隐私不合规行为，涉及隐私政策缺失或难以访问、个人信息收集不规范、未建立并公布个人信息安全投诉和举报渠道、敏感信息处理不当等问题，并提醒用户谨慎下载和使用。

(https://h.xinhuaxmt.com/vh512/share/12206411?d=134da1d&channel=weixin）

• 8月26日，荷兰数据保护局（DPA）公布其于今年7月22日作出的决定，即在调查后对违反《通用数据保护条例》（GDPR）的Uber Technologies Inc.和Uber B.V. 处以2.9亿欧元的罚款。DPA在法国司机向法国人权组织Ligue des droits de l'Homme（LDH）提交了170多起投诉后启动了这项调查。AP评估称，Uber处理的Uber司机个人数据包括账户数据、位置数据、付款证明、身份证件、刑事犯罪和健康数据等在内的敏感数据，由于Uber已于2021年8月停止使用标准合同条款（SCC），在2021年8月6日至2023年11月27日期间，Uber在未建立或使用其他个人数据跨境传输机制的情况下将欧洲司机的个人数据传输到美国的行为，违反了GDPR第44条。

(https://autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us）

• 8月28日，新加坡个人数据保护委员会（PDPC）公布了其第DP-2210-C0303和DP-2306-C1172号案件的决定，在调查后对新加坡消费者协会（CASE）处以20000新元（约合15334美元）的罚款。PDPC 调查发现，有5205封网络钓鱼电子邮件被发送到CASE拥有的消费者邮箱地址，消费者的个人数据被泄露，某些消费者甚至遭受了金钱损失。该事件源于恶意行为者使用非法获得的登录凭据访问CASE员工帐户。PDPC认为，CASE未能通过做出合理的安全安排来防止未经授权的访问、收集、使用、披露、复制、修改或处置，从而保护其拥有的个人数据，违反了PDPA第24条。

(https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/commissions-decisions/gd_consumers-association-of-singapore_09072024.pdf）

• 8月30日，巴西数据保护局（ANPD）撤销了对Meta Platforms Inc.使用个人数据训练人工智能的禁令。此前，ANPD因怀疑Meta违反了《通用个人数据保护法》（LGPD）而暂停了其相关政策。Meta随后提出上诉并提交了合规计划，ANPD批准了该计划并暂停了对Meta的措施。Meta需在五个工作日内提交实施合规计划的时间表，并承诺在ANPD做出最终决定前，不使用18岁以下用户的数据训练AI模型。

(来源：Data Guidance）

(https://www.dataguidance.com/news/brazil-anpd-suspends-ban-metas-use-personal-data-train）

• 9月6日，比利时数据保护局（Belgian DPA）发布了第114/2024号决定，其中对一家未具名的公司处以45,000欧元的罚款，原因是该公司违反了《通用数据保护条例》（GDPR）。Belgian DPA认为，该公司收集员工的指纹用于打卡登记，是对个人敏感数据的处理行为，但该公司不具有处理生物识别数据所依赖的法律依据。此外，该公司没有告知员工存储方式和保留期限，也没有告知个人数据向第三方的传输情况，无法证明该公司获得公司员工同意的真实性以及合法性。

(https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-114-2024.pdf）

• 9月11日，挪威数据保护局（Datatilsynet）公布其对24/00793-9案件的决定，其中发现阿格德尔大学（UiA）在使用Microsoft Teams时未采取适当措施保护个人数据安全后，向UiA处以150,000挪威克朗（约合13,855美元）的罚款。Datatilsynet 指出，包含UiA员工、学生和外部人员的个人数据文档存储在UiA员工可以访问的开放Teams文件夹中，涉及的信息包括姓名、社会安全号码、安排考试的信息、考试尝试次数、特殊安排、难民身份、联系信息和居留身份。UiA没有采取适当的技术和组织措施确保上述个人数据的安全，特别是未设置访问控制措施，同时内部例程和员工培训不足，违反了《通用数据保护条例》（GDPR）第24条和第32条。

(来源：Data Guidance）

(https://www.dataguidance.com/news/norway-datatilsynet-fines-university-agder-nok-150000）

• 9月17日，英国信息专员办公室（ICO）宣布，汽车租赁公司Leaseline Vehicle Management Ltd一名前销售顾问因非法保留并出售3600多条客户个人信息而被判违反了英国2018年《数据保护法案》（Data Protection Act 2018）第170条，罚款1200英镑，并需支付300英镑诉讼费用。据悉，该顾问在辞职前从公司数据库中窃取信息，并声称这些数据属于自己，然后将信息出售给竞争对手。

(https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/09/guilty-car-salesman-fined-for-retaining-and-selling-data-to-competitors/)

DATA

• 8月27日，中欧数据跨境流动交流机制第一次会议以视频方式举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德出席开幕式并致辞，正式宣布建立中欧数据跨境流动交流机制。会议就双方企业关于数据跨境流动的具体问题以及数据跨境流动监管框架进行了坦诚、深入、富有建设性的交流。

(https://mp.weixin.qq.com/s/crrgHeseQIcT3zO7K4PZCg）

• 8月27日，国家数据局计划于今年内出台两份关于公共数据和企业数据资源开发利用的文件，同时正在加紧研究个人数据资源开发利用的相关政策。这些文件旨在推动企业和市场对数据开发利用的感知，进一步释放企业数据资源的价值潜力。国家数据局表示，未来将加强对企业合法数据权益的保护，促进数据共享开放，特别是推动中小企业创新用数，并提升数据合规治理效能，以推动全国一体化数据市场的建立。

(https://mp.weixin.qq.com/s/412uJFcKeGgJKoCQ9qq7zA）

简评：国家数据局发布的顶层设计文件为企业在数据资源开发利用上带来了几项实质性的新变化。首先，公共数据资源登记平台的建立将使企业能够更清晰地查找和获取相关数据资源，解决了过去数据分散、获取困难的问题。这一平台的标准化和电子化管理，将大幅降低企业数据获取的成本和难度。其次，文件明确了公共数据授权运营的规则，包括运营期限、收益分配和安全保护等细则，企业可以通过合法授权获取高质量数据进行商业开发，拓展新的产品和服务领域。此外，文件强化了对数据安全和个人隐私保护的要求，特别是在数据采集、处理、流通等环节加强了风险评估和脱敏处理，这为企业在确保合规的前提下，有效利用数据资源提供了更加安全的环境。

• 9月3日，2024年中国网络文明大会正式发布《生成式人工智能行业自律倡议》。该倡议由中国网络空间安全协会人工智能安全治理专委会联合多家产学研单位共同发起，旨在应对生成式人工智能技术快速发展带来的风险与挑战。倡议从数据和算法模型安全合规、内容生态建设、技术创新与质量提升、价值观与伦理道德标准、以及促进交流合作等五个方面发出行业倡导，强调行业单位承担主体责任，推动人工智能产业健康、可持续发展，保障社会公众利益。

（来源：清华大学智能法治研究院）

（https://mp.weixin.qq.com/s/PJncMpNYWle6qS8WoXqT9A）

• 9月9日，在2024年国家网络安全宣传周网络安全技术高峰论坛主论坛期间，国家互联网信息办公室与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》（“《备忘录》”），以促进内地与澳门数据跨境安全有序流动，推动粤港澳大湾区高质量发展。

(https://mp.weixin.qq.com/s/2VX34wucJIGEtaw11Vt3Bg）

简评：早在2023年6月，网信办就与香港特区政府创新科技及工业局签署了《备忘录》。两次签署的《备忘录》均旨在推动数据要素安全有序流通，促进数字经济的发展，加强内地与香港、澳门的数据跨境流动，同时均伴随关于个人信息跨境流动标准合同实施指引的发布。在适用主体、适用范围、主要义务等方面，本次澳门版本的《备忘录》与实施指引与此前签署的香港版本基本一致，仅根据澳门相关法律规定对部分细节进行了微调。

与此前签署的香港版本相同，本次签署的澳门版本《备忘录》与实施指引相较于中国境内由《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等法律法规构建的数据出境框架，在数据出境程序上更为简便，有效降低了大湾区企业的出境合规成本，具体而言，包括免除了中国境内关于个人信息出境数量级的要求，简化了标准合同备案所需的材料，简化了个人信息影响评估报告中的评估内容且免除提交报告的义务，免除了标准合同订立时需考虑境外接收方所在地国家或者地区个人信息保护政策和法规对合同履行影响的要求等。

• 9月19日，美国民权委员会（USCCR）发布《联邦使用面部识别技术（FRT）对民权的影响》报告。报告特别强调，联邦对于合法使用FRT的指导方针和监督均落后于现实场景中的应用，公共和私人实体均已广泛使用FRT。报告指出，没有法律明确规范联邦政府对FRT或其他人工智能的使用，也没有关于其使用的宪法规定。根据该报告的具体举例，司法部联邦调查局最常使用FRT来获取刑事调查线索，国土安全部使用包括FRT在内的生物识别技术来执行作战任务。

(https://www.usccr.gov/files/2024-09/civil-rights-implications-of-frt_0.pdf）

• 9月19日，美国国家标准与技术研究所（NIST）宣布启动一项新计划，旨在管理与采用人工智能相关的网络安全和隐私风险。据NIST称，该计划将以NIST现有的人工智能风险管理框架为基础，该框架旨在管理与人工智能相关的广泛风险，包括与安全、透明度和问责制相关的风险。新计划将专注于制定标准、指南、工具和实践，以改善人工智能时代的网络安全和隐私风险管理，同时还将解决合法使用人工智能进行网络安全和隐私保护的问题，并探索如何防御人工智能攻击。

(https://www.nist.gov/blogs/cybersecurity-insights/managing-cybersecurity-and-privacy-risks-age-artificial-intelligence）

• 9月24日，法国数据保护局（CNIL）发布了针对移动应用的建议，旨在帮助相关方遵守《通用数据保护条例》（GDPR）。这些建议不仅适用于移动应用，也可能适用于智能手表、智能扬声器、联网车辆、连接的医疗设备、IoT设备和个人计算设备。CNIL强调，任何通过电子通信网络在用户设备上进行的读写操作都必须通知用户并获取同意，除非这些操作对于提供用户明确要求的在线通信服务是必要的。此外，如果处理是由用户控制的第三方提供，且在隔离环境中进行，没有第三方干预，也不需要用户同意。

(https://www.cnil.fr/en/mobile-applications-cnil-publishes-its-recommendations-better-privacy-protection）

• 9月25日，非营利组织“与你无关”（NOYB）向奥地利数据监管机构（DSB）提起投诉，指控Mozilla公司可能违反了《通用数据保护条例》（GDPR）。NOYB指出，Mozilla在最新版本的Firefox浏览器中默认启用了Privacy Preserving Attribution（PPA，隐私保护归因）功能，而未事先通知用户或征得他们的同意。NOYB认为，启用PPA后，Firefox浏览器控制了对用户广告互动信息的跟踪，而不是由单个网站收集信息。网站需要请求Firefox保存用户的广告互动数据，以便接收聚合的用户数据。NOYB要求Mozilla应向用户披露数据处理行为，实施一个用户选择加入的机制，并清除所有未经授权处理的数据。

(https://noyb.eu/en/firefox-tracks-you-privacy-preserving-feature）

DATA