【韬安前沿观察】《网络数据安全管理条例》公布 美加州州长否决具有里程碑意义的AI法案

1.  加利福尼亚州州长否决具有里程碑意义的AI法案

北京时间2024年9月30日，美国加利福尼亚州州长加文·纽森否决了《前沿人工智能模型安全与创新法案》（Senate Bill 1047，SB 1047），这是一项备受瞩目的法案，该法案将规范AI的开发。该法案由州参议员斯科特·维纳起草，将要求开发AI模型的公司负责实施安全协议，以防止“关键伤害”。规则将仅适用于在训练期间成本至少为1亿美元、使用10^26 FLOPS（浮点运算次数）的模型。

SB 1047遭到硅谷许多人的反对，包括OpenAI等公司、像Meta的首席AI科学家杨·勒昆这样的知名技术专家，甚至包括像美国国会议员罗·汗纳这样的民主党政治家。该法案也根据AI公司Anthropic和其他反对者的建议进行了修订。在否决声明中，纽森说：“虽然出于好意，但SB 1047并没有考虑到AI系统是否部署在高风险环境中，是否涉及关键决策或敏感数据的使用。相反，该法案对即使是最基本的功能也适用严格的标准——只要大型系统部署它。我不相信这是保护公众免受技术真正威胁的最佳方法。”原众议院议长南希·佩洛西也批评该法案是“出于好意但信息不足”。否决宣布后，她赞扬纽森“认识到我们所有人都有责任和机会，使小企业家和学术界——而不是大科技——占据主导地位。”在同样的声明中，纽森的办公室指出，在做出否决之前的30天里，他已经签署了17项关于AI技术监管和部署的法案，并表示他已经请费·费·李、蒂诺·奎利亚尔和詹妮弗·图尔·沙耶斯等专家“帮助加州为部署GenAI制定可行的防护措施”。（来源：首席人工智能官）

2.  9国14个监管机构联合发布网络安全原则

2024年10月2日，澳大利亚牵头发布了一份《运营技术网络安全原则》，阐述了指导创建和维护安全、可靠的关键基础设施OT环境的六项原则。该文件由澳大利亚信号局网络安全中心（ASD的ACSC）撰写，并与美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、多州信息共享与分析中心（MS-ISAC）、英国国家网络安全中心（NCSC-UK）、加拿大网络安全中心（Cyber Centre）、新西兰国家网络安全中心（NCSC-NZ）、德国联邦信息安全办公室（BSI Germany）、荷兰国家网络安全中心（NCSC-NL）、日本网络安全事件准备与战略国家中心（NISC）及国家警察厅（NPA）、大韩民国国家情报院（NIS）及NIS国家网络安全中心（NCSC）共同发布。

关键基础设施组织为公众提供至关重要的服务，包括清洁水、能源和交通。这些组织依赖运营技术（OT）来控制和管理提供这些关键服务的物理设备和流程。因此，关键服务的连续性依赖于关键基础设施组织确保其OT的网络安全和安全性。由于OT在关键基础设施组织技术环境中的广泛集成，以及这些环境的复杂结构，很难确定业务决策如何影响OT的网络安全，包括特定决策带来的风险。决策可能包括向环境引入新系统、流程或服务；选择支持技术环境的供应商或产品；以及制定业务连续性和安全相关计划和手册。该文档旨在帮助组织在设计、实施和管理OT环境时做出决策，以确保其既安全又可靠，同时确保关键服务的业务连续性。（图文来源：清华大学智能法治研究院）

1.  英国ICO对北爱尔兰警察局员工信息泄露事件作出75万英镑罚款

英国个人信息保护机构（ICO）2024年10月3日发布信息称，已对北爱尔兰警察局（PSNI）处以75万英镑的罚款，原因是PSNI泄露了全体员工的个人信息，导致许多人担忧自身安全。

ICO的调查发现，如果采取一些简单易行的程序，本可以避免这次严重的泄露事件。在这次泄露中，一个作为信息自由请求部分而发布的电子表格中的隐藏数据，暴露了PSNI所有9,483名警员和工作人员的姓氏、名字首字母、职级及职务。

考虑到PSNI当前的财务状况，以及不希望将公共资金从需要的地方转移，ICO专员行使其裁量权，在此案中采用了公共部门处理方式。若非如此，罚款本将达到560万英镑。

ICO的调查得到了人们的投诉协助，他们坦诚地分享了此次泄露事件给他们带来的焦虑和困扰。

“这次泄露事件对我造成了什么影响？我晚上无法入睡。每当夜里听到外面有动静，我都会起来检查是否一切正常。由于信息泄露，我花费了超过1000英镑在家中安装现代监控设备和照明设施。”

北爱尔兰警察局首席警官乔恩·布彻表示：

“上述个人证词再次严峻地提醒我们，数据丢失对警员和工作人员造成了多大影响，我知道这将再次成为他们心头的重担。我们警队如今已处于不同的状态，我们一直在不懈努力，通过为警员和工作人员引入一系列措施来降低泄露数据集的价值。我们通过在线工具、咨询诊所和家访，为警员和工作人员及其家人提供了大量的犯罪预防建议。”

“我们将继续推进ICO提出的建议，以及独立审查小组在2023年12月发布的调查结果中提出的建议，包括设立副首席警官作为高级信息风险负责人（SIRO），以及成立战略数据委员会和数据交付小组，确保信息安全和数据保护事项得到它们至关重要的支持和关注。”

“我们正在努力确保采取一切可行措施，以降低未来再次发生此类泄露事件的风险。”（来源：清华大学智能法治研究院）

2.  USA: OCR imposes $240,000 civil penalty against Providence Medical Institute after ransomware attacks；

On October 3, 2024, the U.S. Department of Health and Human Services (HHS) Office for Civil Rights (OCR) announced the notice of final determination, dated July 1, 2024, in which it finalized a civil penalty of $240,000 against Providence Medical Institute for potential violations of the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rules, following a ransomware attack breach report investigation.

Background to the decision

The OCR stated that in July 2016, Providence acquired the Center for Orthopedic Specialistsand initiated a two-year transition plan intending to fully implement the Center for Orthopedic Specialists into Providence's IT environment. The OCR stated an investigation was initiated following the receipt of a breach report filed by Providence in April 2018. The OCR noted that the breach report concerned the unauthorized access and encryption of the Center for Orthopedic Specialists' systems on three separate occasions, including February 18, 2018, February 25, 2018, and March 4, 2018. The attacks compromised the electronic protected health information (ePHI) of 85,000 individuals and included:

names;

addresses;

dates of birth;

driver's license numbers;

Social Security Numbers (SSNs);

lab results;

medication;

treatment information;

credit card information;

bank account numbers; and

other financial information.

Findings of the OCR

The OCR stated that the investigation determined that Providence did not have a proper business agreement with the IT vendor of the Center for Orthopedic Specialists as required during its acquisition of the Center for Orthopedic Specialists. The investigation also determined that Providence failed to implement required technical policies and procedures for Center for Orthopedic Specialists systems that maintain ePHI to prevent unauthorized access. The OCR stated that it issued a Notice of Proposed Determination on March 29, 2024, to which Providence did not contest the OCR's findings and waived its right to a hearing.

Outcomes

In light of the above violations, the OCR imposed a civil penalty of $240,000 on Providence with no right to appeal.（来源：DataGuidance）

美国OCR对普罗维登斯医学研究所处以24万美元民事罚款

2024年10月3日，美国卫生与公众服务部 (HHS) 民权办公室 (OCR) 宣布了2024年 7月1日作出的最终裁定通知，在勒索软件攻击违规报告调查之后，最终对普罗维登斯医疗研究所处以24万美元的民事罚款，原因是其可能违反了1996年《健康保险流通与责任法案》(HIPAA) 安全规则。

决策背景：

2016年7月，普罗维登斯收购了骨科专家中心，并启动了一项为期两年的过渡计划，旨在将骨科专家中心全面纳入普罗维登斯的 IT 环境。

OCR在收到普罗维登斯于2018年4月提交的违规报告后启动调查。OCR指出，违规报告涉及骨科专家中心系统在三次不同时间遭到未经授权的访问和加密，包括2018年2月 18日、2018年2月25日和2018年3月4日。这些攻击危及了85,000名个人的受保护电子健康信息 (ePHI)，包括：姓名、地址、出生日期、驾驶执照号码、社会安全号码 (SSN)、实验室结果、药物、治疗信息、信用卡信息、银行账户号码，以及其他财务信息。

OCR 的调查结果：

OCR 表示，调查确定普罗维登斯在收购骨科专家中心期间没有与骨科专家中心的 IT 供应商达成适当的业务协议。调查还确定，普罗维登斯未能为维护 ePHI 的骨科专家中心系统实施所需的技术政策和程序，以防止未经授权的访问。OCR 表示，它于 2024 年 3 月 29 日发布了一份拟议裁定通知，普罗维登斯没有对 OCR 的调查结果提出异议，并放弃了其听证权。

鉴于上述违规行为，OCR对普罗维登斯处以24万美元的民事罚款，且不准上诉。（韬安翻译）

1.  德国联邦卡特尔局认定微软对跨市场竞争具有重要意义

2024年9月30日，德国联邦卡特尔局发布了一份新闻稿，表示其已根据德国《反限制竞争法》第19a条，认定微软对跨市场竞争具有重要意义。据此，德国联邦卡特尔局将对微软及其子公司进行特殊规制，以防止其从事滥用市场支配地位的行为。

德国联邦卡特尔局局长Andreas Mundt表示：“我们的决定适用于微软整体，而不仅仅是微软的个别产品或服务。作为欧盟《数字市场法》下的“守门人”（gatekeeper），微软需符合欧盟的特殊监管要求。在现阶段，DMA仅针对微软的Windows操作系统和LinkedIn网络适用。但是，基于此次决定，德国联邦卡尔局可阻止微软从事未被DMA涵摄的反竞争行为。”（来源：武大知识产权与竞争法）

2.  美国联邦贸易委员会和司法部共同参加G7峰会探讨人工智能竞争挑战

2024年10月3日至4日，美国联邦贸易委员会和司法部反垄断部门参加了七国集团竞争管理机构和政策制定者峰会，讨论如何确保人工智能（AI）相关技术、产品和应用的竞争。峰会结束时，联邦贸易委员会主席Lina M.Khan和其他七国集团竞争管理机构代表和政府政策制定者发表了一份公报，强调了人工智能相关市场中潜在的竞争问题，并确定了确保人工智能市场公平竞争的指导原则。

《公报》强调了竞争管理机构和政策制定者在应对竞争威胁方面的重要作用。正如《公报》所述，需要谨慎防范人工智能相关市场的集中市场力量以及可能利用人工智能技术进行的共谋或不当信息共享，并及时采取有力的竞争执法措施。七国集团竞争管理机构和政策制定者重申，他们正在努力确保数字市场和人工智能的公开和公平竞争，并寻求确保人工智能的好处得到充分实现并在整个社会广泛普及。

此次峰会由七国集团工业、技术和数字部长宣言召集，由意大利竞争管理局（Autorità Garante della Concorrenza e del Mercato）在意大利担任七国集团轮值主席国期间在罗马主办。（来源：中原经济法治研究、FTC）

# 韬安地址 #