文章导读
数字经济的飞速发展也伴随数据泄露、个人信息滥用、知识产权侵权和网络暴力等诸多问题,需要法律法规规制与相关机构监管促进整体经济形态向善向好发展。
海润天睿褚轶律师、徐婧媛律师、周永恒律师等精心整理汇总2024年10月领域内相关法规、案例与热点事件以飨读者,帮助相关领域企业及时追踪行业相关法律法规研制动态,促进业务合规发展。
文章关键词:数据安全、个人信息保护、数据合规、案例、热点事件
开始阅读
第一部分 法律法规
一、部门规章及规范性文件
(一)国家数据标准体系建设指南
2024年10月8日,国家发展改革委、国家数据局、中央网信办、工业和信息化部、财政部、国家标准委联合印发《国家数据标准体系建设指南》确认标准体系建设思路,主要包括以下几个方面:顶层设计与协同推进,问题导向与务实有效,应用牵引与鼓励创新,立足国内与开放合作。这些思路共同支持数据标准体系的全面建设,旨在促进数据的高效供给、流通和使用,同时确保数据安全,实现数据要素在经济和社会中的深度应用。
(二)公共数据资源授权运营实施规范(试行)(公开征求意见稿)
2024年10月12日,为规范公共数据资源授权运营,国家数据局会同有关部门研究起草了《公共数据资源授权运营实施规范(试行)》,并公开征求意见。文件围绕方案编制、运营实施、运营管理等方面,提出一系列具体要求。
根据文件,开展授权运营活动,不得滥用行政权力或市场支配地位排除、限制竞争,不得利用数据和算法、技术、资本优势等从事垄断行为。运营机构应依法依规在授权范围内开展业务,不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。鼓励其他经营主体对运营机构交付的公共数据产品和服务再开发,融合多源数据,提升数据产品和服务价值,繁荣数据产业发展生态。
(三)公共数据资源登记管理暂行办法(公开征求意见稿)
2024年10月13日,国家发展改革委发布《公共数据资源登记管理暂行办法(公开征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。《征求意见稿》共六章二十七条,明确了公共数据资源的登记要求、登记程序、登记管理及监督管理等方面的规范要求,旨在促进公共数据资源合规高效开发利用,构建全国一体化公共数据资源登记体系,规范公共数据资源登记工作。
(四)工业和信息化领域数据安全事件应急预案(试行)
2024年10月31日,工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》(以下简称《应急预案》)。《应急预案》根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”,落实数据处理者的数据安全主体责任。坚持充分发挥各方面力量,共同做好数据安全事件应急处置工作。
二、地方性法规及地方规范性文件
(一)上海市推进国际金融中心建设条例
2024年10月1日,《上海市推进国际金融中心建设条例》(以下简称《条例》)施行。《条例》旨在加快建设上海国际金融中心,包括金融体系建设、金融改革开放、金融服务实体经济、金融监管协同与风险防范化解、金融人才环境建设、金融营商环境建设等部分。《条例》规定,市人民政府应当配合国家网信部门、中央金融管理部门,支持中国(上海)自由贸易试验区及临港新片区探索制定金融机构数据跨境流动管理措施;市发展改革、数据、地方金融等部门应当完善本市融资信用服务平台,深化公共数据的开放、共享和应用,支持金融机构提高普惠金融服务能力;市数据、网信、地方金融等部门推动数据要素市场与金融市场联动发展,鼓励金融机构、金融基础设施运营机构、地方金融组织围绕数据资产提供融资、保险等服务。
(二)广东省数据条例(草案征求意见稿)
2024年10月8日,广东省政务服务和数据管理局就《广东省数据条例(草案征求意见稿)》公开征求意见。为了加强数据资源管理,促进数据依法有序流通和应用,保护自然人、法人和非法人组织的合法权益,保障数据安全,发挥数据对实体经济制造业和区域均衡发展的赋能作用,加快形成新质生产力,全面建设数字化发展强省,根据有关法律、行政法规,结合本省实际,制定该条例。
(三)山东省数据交易管理办法(试行)(征求意见稿)
2024年10月15日,山东省大数据局就《山东省数据交易管理办法(试行)(征求意见稿)》(以下简称《征求意见稿》)向社会公开征求意见。《征求意见稿》详细规定了数据交易的合规要求,确保数据合法流通;强调交易应遵循依法合规、安全可控原则,禁止涉及国家安全、个人隐私和商业秘密的非法数据交易。数据提供方需保证数据来源合法,交易机构则承担合规审核、确保交易可追溯的责任。跨境数据交易须进行安全评估,确保个人信息保护。
此外,《征求意见稿》还规定了数据交易的安全技术应用,如隐私计算、区块链等,以防范数据安全风险,推动数据市场规范发展和合规管理。
第二部分 案例执法
一、典型案例
马某与北京某科技有限公司个人信息保护纠纷案
案例:
案情简介:被告北京某科技有限公司运营一款流行语检索软件。原告马某在使用时发现,该软件向用户提供了《服务协议》和《隐私政策》两份协议,在注册过程中,用户点击手机屏幕的任何位置,系统即会自动勾选“已阅读并同意服务和隐私政策”的选项。此外该软件在《隐私政策》中说明需要收集电话号码、设备信息等与词典功能无关的个人信息,在被告新增撤回同意的设置后,原告发现撤回同意后,自己的账号信息虽然不再显示,但账号评论却依然被保留。原告认为,被告的以上行为侵害其个人信息权益,要求被告停止侵害、赔礼道歉、赔偿精神损害抚慰金。被告辩称,涉案软件是社交类应用,可以收集用户的手机号等个人信息,用户点击“拒绝”按钮表示了对《服务协议》和《隐私政策》的拒绝,被告有权拒绝向不接受协议的用户提供服务,用户也可以通过注销账号的方式对同意进行撤回。
法院经审理认为:被告作为个人信息处理者,应保证用户对其预先拟定的个人信息政策充分知情,在此情况下自愿、主动作出“同意”的肯定性动作。被告未设置措施保证用户能够充分知情其隐私政策内容,在用户未实际阅读的情况下,返回界面后自动勾选“已阅读并同意服务和隐私政策”,并未让用户主动自愿作出同意的选择,不符合“自愿”“明确”的要求。涉案软件的官方描述、应用商店中的描述等均指向其词典功能,软件收集用户的手机号码并非使用词典功能的必需信息,超出了实现目的最小范围,应在不提供手机号等信息的情况下,为用户提供基本的查词服务。如果要求用户以注销账号的方式撤回同意,将产生如果不同意收集个人信息则无法继续使用涉案产品的情形,这既不属于《个人信息保护法》第十五条规定的“便捷的撤回方式”,又违反了第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定,因此不宜认定为一种撤回同意的方式。法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息,书面向原告赔礼道歉并赔偿合理开支。一审判决作出后,被告提起上诉,二审法院驳回上诉,维持原判。
裁判要旨:个人信息处理者自动为用户勾选同意隐私政策的,不能视为获得了有效的个人信息处理同意。必要个人信息处理范围,可以结合相关规范性文件、服务的性质、处理必要性等因素予以认定。个人信息处理者仅提供账号注销功能,不能视为提供了撤回个人信息同意的功能。
二、执法活动
中央网络安全和信息化委员会办公室通报违法违规涉军自媒体账号典型案例1
2024年10月28日,中央网络安全和信息化委员会办公室通报违法违规涉军自媒体账号典型案例。典型案例包括:一、捏造军事谣言;二、杜撰军事史实;三、抹黑军队形象;四、曲解军事政策;五、煽动军地对立;六、消费拥军情怀。
第三部分 热点事件
一、中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见
2024年10月9日,中共中央办公厅、国务院办公厅《关于加快公共数据资源开发利用的意见》(以下简称《意见》)发布,这是中央层面首次对公共数据资源开发利用进行系统部署,从扩大资源供给、规范授权运营、鼓励应用创新、营造良好环境、强化组织保障等方面提出了17项具体措施。《意见》鼓励利用公共数据资源进行应用创新,丰富数据应用场景,支持人工智能政务服务大模型开发、训练和应用,这有助于进一步提升政务服务的精细化与智能化水平,以更好满足市民日益多元化、个性化的需求。
二、上海某医疗科技企业因数据泄露被上海网信部门处罚
2024年10月14日,上海市网络安全和信息化委员会办公室接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。经查,涉事医疗科技公司主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号(已采取加密措施)等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。针对以上违法情况,上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告,并处以罚款的行政处罚。
三、上海市网信办全面整治地铁站内自动售货机人脸识别技术滥用问题
2024年10月14日,上海市网络安全和信息化委员会办公室调研发现,上海部分地铁、公园、校园等场景下自动售货机普遍存在滥用人脸识别技术违规收集个人信息现象。对此,上海市网信办以地铁站内自动售货机为突破口,会同相关部门,约谈申通地铁及三家涉事自动售货机运营企业,要求企业立整立改,并指导申通地铁对全市范围地铁站内自动售货机人脸识别技术滥用问题进行全面整治。
下一步,上海市网信办将持续开展“亮剑浦江·2024”人脸专项整治行动,对相关重点场景人脸识别技术运用情况开展现场检查和“回头看”,对于问题严重、屡教不改的企业将予以执法处罚和媒体曝光。
四、某境外企业及某境内测绘公司因非法获取测绘数据被国家安全部处罚
2024年10月16日,国家安全部公布了一则涉非法获取测绘数据的处罚信息,涉案某境外企业A公司通过与我国具有测绘资质的B公司合作,以开展汽车智能驾驶研究为掩护,在我国内非法开展地理信息测绘活动。
本案中,A公司为某国重点敏感领域项目承包商,根据《测绘法》,并不具备在我国内单独开展地理信息测绘活动的资质。A公司以汽车智能驾驶研究为由,将项目多次外包并最终委托具备测绘资质的国内B公司具体实施。为快速大量采集我国测绘数据,A公司购入多辆汽车并加装高精度雷达、GPS及光学镜头等设备,以降低被主管部门发现的风险;为尽可能直接获取原始测绘数据,A公司全程主导测绘项目进展,直接指挥、指导B公司人员在我国内多省份开展测绘,重点把控测绘数据的存储、处理和流转等环节,并指使B公司将测绘所得数据转移出境。
经鉴定,A公司采集的数据多项属于国家秘密。在此事件中,B公司开展测绘活动时忽视了测绘行业相关规定要求,任由境外企业把控数据流向,导致原始测绘数据失控外传。针对以上情况,国家安全机关会同有关部门开展了联合执法活动,对涉事企业和有关责任人员进行了法律追究。
五、北京互联网法院:“搬运”录用名单公示信息侵权
2024年10月18日,北京互联网法院审理了一起网络侵权责任纠纷,案件涉及“搬运”已公示的单位录用名单信息侵犯个人信息权益问题。
被告在其运营的公众号上“搬运”了某企业公示的单位录用名单,该名单可识别出原告姓名、院校、专业与学历信息。原告认为被告行为已构成侵权。
法院审理认为,被告行为不侵害原告的名誉权和隐私权,但被告发布录用名单截图侵害了原告的个人信息权益。在原告已向被告明确拒绝被告处理其个人信息的情况下,被告未举证证明其对涉案文章内容进行修改或者删除处理,被告应对此行为承担侵害原告个人信息权益的民事责任。
六、上海市气象局召开《上海市气象条例》媒体解读会
2024年10月18日,上海市气象局召开《上海市气象条例》(以下简称《条例》)媒体解读会。《条例》涵盖“头顶安全”、数据资产、低空经济等公众关心的热点话题,第五章“公共气象数据开放和应用”明确,上海将促进公共气象数据开放和应用,支持公共气象数据产品服务创新,推动公共气象数据在工业制造、现代农业、商贸流通、交通运输、文化旅游、金融服务等场景下的融合应用。
七、国家数据局发布《关于向社会公开征求<数据领域名词解释>意见的公告》
2024年10月21日,国家数据局发布《关于向社会公开征求<数据领域名词解释>意见的公告》(以下简称《公告》),为进一步凝聚共识,推动社会各界对数据领域术语形成统一认识,就《数据领域名词解释》向社会公开征求意见。此次征求意见的时间是2024年10月21日至11月20日。《公告》对包括数据、数据资源、数据资产在内的41个数据领域的名词做出解释。
八、工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会
2024年10月23日,工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会,正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作。会上,工业和信息化部向北京、上海、海南、深圳四地发放开展试点复文。试点实施后,外资企业可在试点地区独资经营互联网数据中心(IDC)、在线数据处理与交易处理等电信业务,深度参与我国算力、云服务等市场,共促我国数字产业发展。
在试点地区,将取消互联网数据中心、内容分发网络、互联网接入服务、在线数据处理与交易处理等业务的外资股比限制。试点地区内的外资企业,可按照要求进行业务申请。对这些外商投资电信企业,我国将遵循“内外资一致”原则进行管理。引入境外优质的外资电信企业在境内开展经营,将丰富我国增值电信服务市场的产品和服务种类。
注释
1.https://www.cac.gov.cn/2024-10/28/c_1731807220803970.htm
作者介绍
褚轶
海润天睿 合伙人
chuyi@myhrtr.com
褚轶律师,中国人民公安大学法学本科、研究生,美国福特汉姆法学院法学硕士,新加坡管理大学MBA,职场女性奖学金获得者。善于为初创和成长型科技企业提供法律服务。对刑事风险防控和伴随互联网平台经济、大数据发展出现的数据合规、数据交易等各种新型法律问题有丰富经验。
徐婧媛
海润天睿 合伙人
xujingyuan@myhrtr.com
徐婧媛律师,武汉大学国际法硕士。中国优秀知识产权律师榜TOP50、北京市律师协会涉外人才库律师。专业领域为数据合规业务和商标疑难复杂案件处理。徐律师团队的数据合规业务,主要聚焦通信、政务、医疗、金融、电商直播、上市投融资等场景合规,为企业提供数据跨境传输风险评估、个人信息及隐私保护、App隐私政策合规整改等数据合规服务。
周永恒
海润天睿 顾问
zhouyongheng@myhrtr.com
周永恒律师,中国政法大学民商法专业硕士、北京大学物理硕士。专业领域为专利、商业秘密、商标、著作权、不正当竞争等各类知识产权诉讼,知识产权行政投诉及处理,专利申请,知识产权转让、许可交易及合规。对于数据交易与利用与知识产权的交叉领域,如开源软件使用的合规性、联邦建模的知识产权保护、数据爬取与利用的不正当竞争等具有丰富经验,服务客户包括大数据公司、软件公司等。
王新宇律师、刘佩韦律师助理、张喆姝律师助理对本文亦有贡献
往
期
推
荐
1.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年6月汇编,建议收藏!
2.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年7月汇编,建议收藏!
3.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年8月汇编,建议收藏!
4.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年9月汇编,建议收藏!
5.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年10月汇编,建议收藏!
6.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年11月汇编,建议收藏!
7.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2023年12月汇编,建议收藏!
8.专刊速览丨海润天睿数据安全与个人信息保护法规和热点2024年1月汇编,建议收藏!
9.2024年2月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
10.2024年3月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
11.2024年4月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
12.2024年5月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
13.2024年6月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
14.2024年7月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
15.2024年8月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
16.2024年9月刊丨海润天睿数据安全与个人信息保护法规和热点汇编,建议收藏!
以上文章仅作为法律信息评述,不能作为对任何客户或者事件的法律意见。仅代表作者个人观点,不代表其所在机构立场。如需转载或引用文章中的任何内容,请联系海润天睿市场部,邮箱地址:xucong@myhrtr.com。
编辑丨杨玲玲
初审丨徐 聪
复审丨孟 妮
