全球数据立法&监管月报|2024年6月刊

科技 2024-07-06 10:00 广东

国内数据法规政策动态

中德共同签署《关于中德数据跨境流动合作的谅解备忘录》

2024年6月26日，中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行，双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。

庄荣文表示，今年4月，习近平主席与到访的朔尔茨总理深入交流，为双边关系和各领域务实合作指明了方向、作出了规划。中方愿同德方一道，落实好两国领导人合作共识，以签署《关于中德数据跨境流动合作的谅解备忘录》为契机，推进中德网络空间交流合作取得更多成果。

维辛表示，德方高度重视数据跨境流动、人工智能等领域工作，将与中方进一步加强交流合作，积极推动落实《关于中德数据跨境流动合作的谅解备忘录》。

中国国家互联网信息办公室将与德国数字化和交通部在《关于中德数据跨境流动合作的谅解备忘录》框架下，建立“中德数据政策法规交流”对话机制，加强在数据跨境流动议题上的交流，为两国企业营造公平、公正、非歧视的营商环境。

来源：中国网信网

《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》公开征求意见

2024年6月11日，全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》（以下称为《指南》）向公众征求意见。《指南》旨在指导个人信息处理者识别敏感个人信息，规范敏感个人信息处理、出境和保护活动。

《指南》提出了敏感个人信息识别方法，给出了常见敏感个人信息类别和示例，如生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息等。可用于指导各组织识别敏感个人信息范围，也可为敏感个人信息处理、出境和保护工作提供参考。

《指南》强调了个人信息处理者在处理敏感个人信息时需遵守的法律法规，如《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》。

来源及全文链接：全国网络安全标准化技术委员会

https://www.tc260.org.cn/upload/2024-06-11/1718109653748092450.pdf

中国民航局关于征求《民航数据管理办法》《民航数据共享管理办法》意见的通知

2024年6月4日，中国民航局发布征求《民航数据管理办法》（以下简称《管理办法》）、《民航数据共享管理办法》（以下简称《共享管理办法》）意见的通知。两部办法旨在为落实数字中国建设整体部署，进一步加强和规范民航数据管理，保障数据安全，促进数据共激发数据价值，提升行业治理能力和服务水平，更好支撑民航高质量发展。

《管理办法》涵盖了总则、职责与分工、数据资源目录、数据采集与治理、数据共享、数据应用、数据安全、监督保障和附则等九章共四十四条，该办法明确了民航数据的定义、分类和处理主体，建立了民航局统一领导的数据管理组织机制，规定了数据资源目录的统一管理，数据采集与治理要求，数据共享的模式和机制，以及数据应用、数据安全和监督保障的具体措施，确保了数据管理工作的系统性和有效性。

《共享管理办法》分为七章共三十条，明确了民航数据共享的目标、原则、适用范围及各方职责，规定了数据共享的三种类型：无条件共享、有条件共享和不予共享。同时，该办法还涵盖了数据资源目录的管理和更新、数据归集的原则和方式、数据获取与使用的流程、以及保障监督机制。

来源及全文链接：中国民用航空局

《民航数据管理办法》

http://www.caac.gov.cn/HDJL/YJZJ/202406/P020240604604896796432.pdf

《民航数据共享管理办法》

http://www.caac.gov.cn/HDJL/YJZJ/202406/P020240604604897601904.pdf

关于征求《数据安全技术数据安全和个人信息保护社会责任指南》（征求意见稿）等2项国家标准意见的通知

2024年6月20日，全国网络安全标准化技术委员会秘书处发布《数据安全技术数据安全和个人信息保护社会责任指南》（以下简称“指南”）和《网络安全技术关键信息基础设施安全保护能力指标体系》（以下简称“体系”）的征求意见稿并面向社会公开征求意见。

《指南》旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。该指南适用于数据处理组织和第三方评价机构，包含组织治理、合规性、创新性、用户权益保护等五大主题，以及附录中的评价方法、实践案例和报告模板。它强调了数据安全和个人信息保护的重要性，指导组织如何在遵守法律法规的基础上，实现更高的社会价值和可持续发展，同时建议组织根据自身特点制定具体的实施策略，并定期进行自我评估和公开披露履行情况。

《体系》是借鉴美国、欧盟等国家在关键信息基础设施安全评估方面的相关标准、评估方法和实施经验，并结合我国网络安全等级保护、云服务安全、工控安全等相关标准，研究制定适用于我国关键信息基础设施领域的安全保护能力评价方法，旨在指导关键信息基础设施的运营者和网络安全服务机构对关键信息基础设施的安全性和可能存在的风险进行检测评估，从而帮助关键信息基础设施运营者提高其安全保护水平。

来源及全文链接：全国网络安全标准化技术委员会

《网络安全技术关键信息基础设施安全保护能力指标体系》

https://www.tc260.org.cn/file/2024-06-18/e0a333e1-142c-450b-a485-cc666bc61a40.doc

《数据安全技术数据安全和个人信息保护社会责任指南》

https://www.tc260.org.cn/file/2024-06-11/cd3f2f68-c498-4f0a-90e8-27b8e9b6dc27.docx

《网络安全标准实践指南— 一键停止收集车外数据指引（征求意见稿）》公开征求意见的通知

2024年6月24日，全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南— 一键停止收集车外数据指引（征求意见稿）》公开征求意见（以下称为《指引》）。《指引》旨在减少由于车载摄像头和雷达设备持续开启造成的重要数据和敏感个人信息违规收集、处理等安全问题，使汽车的辅助驾驶功能更好地应用。

《指引》适用于汽车制造企业以及相关零部件或服务提供商设计、开发、制造具有车外数据收集功能的汽车，不适用于主驾无人的高级别自动驾驶汽车。

《指引》提出一种较为便捷的停止收集车外数据功能的实践指引，一方面通过设置按键的方式关闭各类车载摄像头、雷达等传感器，实现一键停止收集车外数据的功能；另一方面通过汽车的车外状态标识，向敏感区域的管理人员告知汽车处于暂停收集车外数据的安全状态，降低其管理难度。

来源及全文链接：全国网络安全标准化技术委员会

https://www.tc260.org.cn/upload/2024-06-24/1719196611263024551.pdf

《2024年广州市数字经济工作要点》印发

2024年6月3日，广州市政务服务和数据管理局联合市工业和信息化局正式印发《2024年广州市数字经济工作要点》（下称《工作要点》），对2024年全市数字经济工作进行系统部署，大力促进数实融合、产城融合，加快建设具有全球影响力的数字经济引领型城市。

《工作要点》以数字经济发展基础更加夯实、数据赋能效应更加凸显、数实融合更加深入、数据治理体系更加健全为目标，提出了6个方面共计33项重点工作任务，着力推动广州数字经济持续健康发展。

在数字基础设施建设方面，《工作要点》提出要提升数字信息枢纽及网络基础设施能级，优化算力资源布局，推动传统基础设施升级改造，并大力发展智慧城市及智能网联汽车等融合基础设施。为优化算力资源布局，稳步提升算力综合供给能力，广州将推动国家超级计算广州中心、人工智能公共算力中心等提质扩容，支持建设智能算力协同调度平台，着力实现全市算力资源统筹调度和高效供给。

在推进数据资源开发利用方面，《工作要点》部署了强化数据基础制度供给、推动公共数据开发利用、加强数据资产管理、开展“数据要素X”行动等工作任务，着力加强数据要素生态建设。根据《工作要点》的安排，作为省级数据要素集聚发展区之一，今年广州将大力招引数据要素型企业，加快发展行业数据空间，培育一批数据商和第三方专业服务机构。

在深化数实融合方面，《工作要点》对于发展数字农业、数字制造、数字建造、数字贸易、数字金融等进行了安排，不仅要推动物联网、大数据、人工智能、区块链等数字技术在产业领域广泛应用，也将持续打造软件与信息服务、数字内容、数字平台、跨境电商、数据服务等数字贸易优势领域。

在推动数字产业创新发展方面，《工作要点》要求通过推动科技创新平台建设，推动软件与信息技术服务业、人工智能产业、低空经济等领域高质量发展。尤其在数字关键技术研发方面，将在人工智能、汽车、轨道交通等领域开展核心技术攻关，完善产业需求“揭榜挂帅”体系。同时，加大对eVTOL等航空器整机及核心零部件研发制造领军企业招商引资力度，推动低空经济特色产业集聚。

在推动公共服务数字化方面，《工作要点》聚焦政务服务、应急指挥、智慧交通、生态环境、市场监管等领域，一方面，通过完善公共安全、城市管理智能化感知设备，提升一体化应急指挥能力，持续增强城市治理效能。另一方面，通过政务服务标准化、规范化、便利化建设，提升数字化服务质效，不断提高企业群众满意度。

为保障各项目标任务顺利完成，《工作要点》还提出了加强统筹协调、强化资金要素支持等措施，有力保障数字经济发展。

来源及全文链接：广州工信

上海市国有资产监督管理委员会发布《上海市国有企业数据资产评估管理工作指引（试行）》

2024年6月14日，上海市国有资产监督管理委员会发布《上海市国有企业数据资产评估管理工作指引（试行）》（简称《指引》），旨在为加强国有资产评估监管，规范本市国有企业数据资产的评估管理工作。

指引适用于上海市国有及国有控股企业和国有实际控制企业的各级子企业，要求企业在涉及数据资产评估的经济行为中，必须维护国有资产权益，进行评估和核准备案。《指引》强调了选聘具有资质的中介机构进行评估、建立专家评审机制、公示流程等关键步骤，并要求企业建立健全数据资产评估管理制度。

《指引》详细列出了数据资产评估项目报告应包含的内容，如评估目的、数据资产基本信息、数据质量评价、应用场景、宏观经济和行业前景等，并要求报告附件与评估目的、方法和结果紧密相关。

此外，《指引》规定了数据资产评估核准、备案审核过程中的联审机制，明确了审核关注点，并要求企业在评估备案前完成公示。

对于违规行为，指引规定了相应的处理措施，并指出本指引由市国资委负责解释，自印发之日起试行。

来源及全文链接：上海市国有资产监督管理委员会

https://www.gzw.sh.gov.cn/gzjgwj_zcpg/20240624/0942896e6d04403ba53fcce6585ff36a.html

《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》公开征求意见

2024年6月27日，中共海南省委网络安全和信息化委员会办公室发布《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》意见的通告（以下称为《条例》），旨在促进海南自由贸易港国际数字产业发展和数据跨境安全有序流动，推进高水平对外开放合作，支持数字经济高质量发展。

在数据合规方面，《条例》规定了在海南自由贸易港开展国际数据中心业务，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

1. 仅对在境外收集和产生的数据进行存储、加工、交易等数据服务，服务过程中没有引入境内个人信息或者重要数据；

2. 向境外提供海南自由贸易港数据出境负面清单以外的数据。

此外，《条例》还规定了在国家数据分类分级保护制度框架下，海南自由贸易港按照《促进和规范数据跨境流动规定》制定海南自由贸易港数据出境负面清单，建立健全负面清单管理制度。同时，海南省人民政府及相关部门应当设立数据出境综合服务平台，为国际数据中心业务运营者提供数据分类分级指导、数据出境自评估、数据合规咨询等服务，推动国际数据中心业务运营便利化。

《条例》还规定了国际数据中心业务运营者可以自主选择使用可信、安全的国内外云服务、AI 算力芯片、AI大模型等开展国际数据中心业务，以及海南省人民政府及相关部门应当在金融服务、土地利用、电力保障、基础设施建设等方面为国际数据中心业务提供支持。

来源及全文链接：江苏网信

https://www.jswx.gov.cn/dongtai/qita/202406/t20240627_3425268.shtml

北京发布《关于加强本市数据资产管理的通知》

2024年6月11日，北京市财政局发布《关于加强本市数据资产管理的通知》（简称<通知》），旨在加强数据资产管理、确保数据安全合规并推动数据资产价值实现。

《通知》强调了数据资产在推动数字中国建设和数字经济发展中的战略重要性，其主要内容包括：

1. 提高政治站位，充分认识加强数据资产管理的重要意义，积极探索创新数据资产管理的方式方法，充分释放数据资产价值，推动数据资产赋能数字经济高质量发展。

2. 夯实各方责任，确保数据资产管理全过程的安全合规，确保数据资产管理全生命周期的安全合规，强化数据资产安全风险综合研判，深度分析数据资产风险环节，及时识别潜在风险事件。实施数据资产分类分级管理，建立数据资产安全管理制度和监测预警、应急处置机制，明确数据资产全生命周期各环节防护要求。加强数据安全技术防护，筑牢数据资产安全保障防线。

3. 坚持稳妥有序，积极探索数据资产化管理的有效路径，明晰数据资产权责关系，逐步完善数据资产使用管理、开发利用、价值评估、收益分配、安全保密、信息披露等方面的工作，探索形成适合本行业领域的数据资产化管理的有效路径。

4. 鼓励先行先试，稳步推动数据资产的开发利用，支持开展数据资产管理试点，按“先试点、后推开”的工作思路，及时总结经验并推广。

来源：北京市财政局

https://czj.beijing.gov.cn/zwxx/tztg/202406/t20240611_3709724.html

深圳市财政局关于加强企业数据资源相关会计处理的通知

2024年6月12日，深圳市财政局发布了《关于加强企业数据资源相关会计处理的通知》（以下简称《通知》），旨在规范企业对数据资源的会计处理，强化会计信息披露，以推动数据经济的发展。

《通知》强调，企业应严格按照企业会计准则，对数据资源进行确认、计量和报告。对于不符合资产定义和确认条件的数据资源，不得作为资产确认，以避免虚增资产。同时，要求企业在编制资产负债表时，增设“数据资源”项目，反映其期末账面价值。

此外，《通知》还要求企业充分认识信息披露的重要性，自愿披露数据资源的应用场景、业务模式、原始数据类型来源等相关信息。这将有助于报表使用者更好地理解财务报表，揭示数据资源的价值。

同时，《通知》强调企业要加强数据资产使用管理，对所持有或控制的数据资产定期更新维护、建立健全全流程数据安全管理机制，提升安全保护能力。不断完善数据资产全流程合规管理。规范数据资产销毁处置。对经认定失去价值、没有保存要求的数据资产，进行安全和脱敏处理后及时有效销毁。

深圳市财政局还指导市注册会计师协会和市资产评估协会组建“云咨询”专家志愿服务团队，为企业提供数据资源会计处理及资产评估的专业咨询服务，助力企业数据资源入表、加强管理和使用。

来源：广东市人民政府

https://sqzc.gd.gov.cn/sqzc/m/cms/policy/policyinfo/nfsheqizcyw11350453

境外数据法规政策动态

纽约州发布《纽约儿童数据保护法》

2024年6月7日，纽约立法机构通过了针对儿童使用在线服务或产品的法案《纽约儿童数据保护法》，旨在保护儿童上网并解决由社交媒体引发的青少年心理健康危机。

由于很少有针对未成年人的在线隐私保护措施，儿童的个人数据（包括位置数据）很容易在他们不知情或未经其同意的情况下被使用或出售给第三方。在许多情况下，这些数据被用于向未成年人投放高度定向的广告。

《纽约儿童数据保护法》将禁止所有在线网站收集、使用、共享或出售18岁以下人士的个人数据，除非他们获得知情同意，或者这样做对网站的目的是绝对必要的。对于13岁以下的用户，知情同意必须来自父母。该法案授权OAG执行该法律，并可禁止或寻求损害赔偿或民事处罚，每次违法最高可达5,000美元。

来源及全文链接：纽约州总检察长办公室

https://zh.ag.ny.gov/press-release/2024/attorney-general-james-applauds-passage-legislation-protect-children-online

韩国个人信息保护委员会发布《2024年个人信息处理政策评估计划（草案）》

2024年6月13日，韩国个人信息保护委员会（PIPC）发布《2024年个人信息处理政策评估计划（草案）》（以下称为《评估》），旨在通过评估和反馈机制加强个人信息处理的透明度和责任性，以提升个人信息保护水平。《评估》依据的是《个人信息保护法》第30条第2款和相关总统令。评估内容包括政策的适当性、易懂性、可获得性，并考虑多种因素如个人信息处理者的类型、处理信息的类型、法律依据等。

《评估》计划将针对7个与国民生活密切相关且信息处理较为复杂的领域：大型科技（Big Tech）、在线购物、在线平台服务、医疗机构、在线视频服务（OTT）、娱乐（游戏、网络漫画）、以及使用人工智能（AI）的雇佣领域。

《评估》还提到了个人信息处理政策的具体评估指标，如处理目的、信息项、处理及保管期限、第三方提供、信息处理委托、国外收集及转移、儿童信息处理、信息主体权利、个人信息保护负责人、国内代理人、权益侵害补救机构、安全措施、敏感信息处理、匿名信息、自动信息收集装置等。

来源及全文链接：韩国个人信息保护委员会

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=10251#LINK

土耳其个人数据保护局宣布《个人数据保护法》修正案生效

2024年6月1日，土耳其个人数据保护局（KVKK）通过LinkedIn宣布，2024年3月12日批准的《个人数据保护法》修正案于2024年6月1日生效。

KVKK强调了修正案的主要内容，包括：

1. 处理特殊类别数据的具体条件，以及处理此类数据时需要采取适当的措施；

2. 国际数据传输条件与《通用数据保护条例》（GDPR）一致，允许在保护数据主体权利的同时，采用新的方法将个人数据传输到国外。

来源：LinkedIn

全球数据监管执法动态

广东某公司违规使用爬虫软件窃取数据，构成不正当竞争，被罚没2578万元

近期，广东圣千科技有限公司（下称“圣千公司”）因违规使用“爬虫”软件，违反了《中华人民共和国反不正当竞争法》第二十一条，被番禺区市监局共计罚没款2578.88万元。

信用广东官网信息显示，2020年12月始，圣千公司安排技术人员编写客户数据采集（爬虫）应用工具，2021年11月15日至12月21日期间多次使用掌握的授权账号密码登陆他人OA系统，利用爬虫程序窃取该系统内3275863条客户信息数据，这些客户信息数据属于商业秘密；并导入自己办公系统，分配给当事人控制的销售团队和其他销售团队使用。

来源：信用广东

广东高院披露全国首例非法调用服务器API接口获取数据交易转卖案

2024年6月12日，广东省高级人民法院首次发布一批“促进新质生产力发展”知识产权保护典型案例。

这批案例涉及高端芯片、开源软件、大数据、5G技术等前沿领域，包括严惩非法调用服务器API接口获取数据并交易、依法保护芯片设计专有权、认定违反开源软件协议构成侵权、从严追究侵害植物新品种权等多个热点难点问题。

在此次发布iDataAPI抓取和交易数据案中，微某公司作为新浪微博的经营者，对微博数据拥有合法的管控权和经济利益。简某公司通过其iDataAPI网站非法调用微博服务器的API，抓取并售卖微博后台数据，违反了公平竞争原则，损害了微某公司的合法权益。

裁判结果显示，广东省高级人民法院认定简某公司的行为构成不正当竞争，判决简某公司赔偿微某公司2000万元，并刊登声明消除影响。本案裁判贯彻落实国家政策文件精神，明确认可和保护数据资源持有权，并基于数据“有力保护”与“有序流通”的平衡关系深入阐述数据权益保护边界。

来源：广州法院网

证监会要求曹操出行出具境外上市备案补充材料，涉及数据安全、协议控制架构等方面

2024年6月17日，证监会网站最新发布境外发行上市备案补充材料要求公示，最近一周（2024年6月7日—2024年6月13日），国际司共对包括曹操出行在内的3家企业出具补充材料要求。

证监会要求曹操出行补充说明的事项主要围绕协议控制架构、股权变动以及规范运作三个方面。

其中，在规范运作方面，证监会要求曹操出行补充说明公司业务开展过程中收集及储存的数据信息类型、规模、来源、使用情况，是否涉及向第三方、向境外提供个人用户信息，上市前后个人信息保护和数据安全的安排或措施。

来源：中国证券报

R.R. Donnelley&Sons Co.因违反网络安全相关控制措施被美国证券交易委员会指控

2024年6月18日，美国证券交易委员会(SEC)宣布，全球商业通信和营销服务提供商R.R.Donnelley&SonsCompany（RRD）同意支付超过210万美元，以解决与2021年末网络安全事件和警报相关的披露和内部控制失败指控。

根据SEC的命令，数据的完整性和保密性对RRD的业务至关重要，但RRD未能设计有效的披露控制和程序，以向负责披露决策的管理团队报告相关的网络安全信息，也未能及时谨慎地评估并响应异常活动的警报。SEC进一步发现，RRD未能制定和维护足够的网络安全相关的内部会计控制系统，以合理保证只有经过管理层授权才能访问RRD的资产——其信息技术系统和网络。

SEC指出RRD违反了1934年《证券交易法》第13(b)(2)(B)节和《交易法规则》第13a-15a节的规定。RRD既没有承认也没有否认SEC的调查结果，同意停止违反这些规定的进一步行为，并支付212.5万美元的民事罚款。

来源：美国证券交易委员会

Meta因其未充分告知个人信息使用目的被意大利反垄断机构竞争与市场管理局罚款350万欧元

2024年6月5日，意大利反垄断机构竞争与市场管理局宣布，以不正当商业活动为由，对Meta公司处以350万欧元罚款。

竞争与市场管理局认为，在Instagram注册过程中，Meta没有告知关于将用户个人数据用于商业目的的明确信息。管理局发现，Meta违反了《消费者法典》第20、21和22条，没有立即通知在Instagram上注册的用户将其个人数据用于商业目的的情况。

此外，管理局发现，Meta没有准确管理其用户的Facebook和Instagram账户的暂停。当用户账户被暂停时，Meta没有说明其如何（利用自动化审查或人工审查）决定暂停账户，也没有向用户说明与暂停账户相关的争议解决的途径。最后，它规定了消费者在很短的时间内（30天）对暂停提出质疑。

来源：意大利反垄断机构竞争与市场管理局

美国加利福尼亚州总检察长就2020年数据泄露事件向Blackbaud公司索赔675万美元

2024年6月1日，美国加利佛尼亚州发布消息，加州总检察长罗伯·邦塔（Rob Bonta）今天宣布与总部位于南卡罗来纳州的软件公司Blackbaud达成和解，该公司因违反了与其非法数据安全做法相关的消费者保护和隐私法必须支付675万美元的罚款，并遵守加强其数据安全和违规通知实践的要求。

Blackbaud为非营利组织提供数据管理软件，允许存储姓名、社会安全号码、银行账户信息和医疗信息等。Blackbaud未能实施合理的数据安全性，导致2020年发生数据泄露。Blackbaud随后就其数据安全工作在违规前的充分性以及其非营利性客户和公众的违规程度做出了误导性陈述。这些行为违反了《合理数据安全法》、《反不正当竞争法》和《虚假广告法》。

和解协议要求Blackbaud遵守严格的数据安全维护措施，以防止未来的违规行为，包括：

1. 要确定包含个人信息的数据库备份文件将被存储到所需的最小范围内，然后确保数据库备份文件的安全处置。

2. 要实施密码保密性和密码轮换或身份验证协议（例如，多因素身份验证）策略。

3. 加强安全基础设施的政策和程序，包括网络分段要求以及对可疑活动的监控和警报。

来源：加利福尼亚州司法部

END

全球数据立法&监管月报|2024年5月刊

享法互联网JoyLegal

懂法，更懂办法！享法，还有想法！