文 | 数据合规及数字化转型
(暨人工智能与数字经济) 业务组
目录
一、热点法规
1. 《网络数据安全管理条例》正式公布
2. 《网络安全标准实践指南——敏感个人信息识别指南》发布
3. 网安标委制定1.0版人工智能安全治理框架
4. 国家密码管理局出台《电子政务电子认证服务管理办法》
5. 10月1日起智能网联汽车等领域一批重要国家标准正式实施
6. 五部门公布个人求助网络服务平台管理办法
7. 国家网信办发布2023年《国家信息化发展报告》
8. 市场监管总局提出16条意见 推动网络交易平台企业落实合规管理主体责任
9. 国家税务局发布《跨境电商出口海外仓出口退(免)税操作指引》
10. 国家网信办与澳门签署合作备忘录 促进粤港澳大湾区数据跨境流动
11. 四部门联合发文 推动车网互动规模化应用试点
12. 《人工智能生成合成内容标识办法》征求意见
13. 上海拟发布《车联网数据分类分级指南》
14. 《杭州市数据流通交易促进条例(草案)》提交审议
15. 粤港澳大湾区个人信息跨境流动标准合同实施指引公布
二、新闻与交易
1. 国家数据局会同多部门联合发布第二批“数据要素×”典型案例
2. 工信部发布2024年版中小企业数字化水平评测指标
3. 国家数据局发布城市全域数字化转型典型案例
4. 公安部公布10起典型案例 打击整治网络暴力违法犯罪
5. 智能网联汽车驾驶辅助安全标准稳链经验交流现场推进会召开
6. 中央网信办开展专项行动 整治违规开展互联网新闻信息服务行为
7. 工信部印发2024年版《智能制造典型场景参考指引》
8. 广州知产法院发布涉数据权益知识产权司法保护典型案例
9. 医药行业首个数字化标准指南在浦东发布
10. 爱尔兰监管机构调查谷歌人工智能数据隐私保护措施
11. 英国将数据中心列为“关键国家基础设施”
三、案例解析
1.欧盟法院最新裁定:禁止网络平台无节制使用个人数据用于定向广告
3. 邦信阳万波律师参与上海财经大学第一届中德财经法学论坛并与谈
1. 《网络数据安全管理条例》正式公布
9月30日,中国政府网公布《网络数据安全管理条例》,自2025年1月1日起施行。《条例》共九章六十四条
《条例》共9章64条,主要提出网络数据安全管理总体要求和一般规定,细化个人信息保护规定,要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求,完善重要数据安全制度,明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务,规定网络数据安全管理机构和网络数据安全负责人的责任,优化网络数据跨境安全管理规定,明确网络平台服务提供者义务,等等。
9月18日,网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》。
敏感个人信息的识别问题至关重要。《个人信息保护法》就敏感个人信息处理规定了诸多合规义务,如要求具有特定的目的和充分的必要性、采取严格保护措施、向个人告知处理敏感个人信息的必要性以及对个人权益的影响、获得单独同意(如以“同意”为合法性基础)、开展个人信息保护影响评估(PIA)等。同时,敏感个人信息的识别及其出境量级的计算,也是确定数据出境机制的关键环节。
根据《个人信息保护法》第28条,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《敏感个人信息识别指南》遵循该定义,进一步细化了敏感个人信息定义中明确的识别标准。
9月9日,网安标委网站公布《人工智能安全治理框架》1.0版。
《框架》共包括六部分:1. 人工智能安全治理原则;2. 人工智能安全治理框架构成;3. 人工智能安全风险分类;4. 技术应对措施;5. 综合治理措施;6. 人工智能安全开发应用指引。其中,在综合治理措施方面,《框架》提出10项措施,主要包括实施人工智能应用分类分级管理、建立人工智能服务可追溯管理制度、完善人工智能数据安全和个人信息保护规范、构建负责人的人工智能研发应用体系、强化人工智能供应链安全保障、推进人工智能可解释性研究。
9月10日,国家密码管理局网站公布《电子政务电子认证服务管理办法》,自11月1日起施行。
《办法》共六章四十二条,明确取得电子政务电子认证服务机构资质应当符合的其方面条件,以及申请资质应当提交的八方面材料;《电子政务电子认证服务机构资质证书》有效期5年,禁止转让、出租、出借、伪造、变造、冒用、租借;电子政务电子认证服务机构应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项,等等。
10月1日,市场监管总局消息显示,一批重要国家标准于10月1日开始实施,其中包括智能网联汽车运行安全测试技术要求国家标准、智能家具通用技术要求国家标准等。
其中,《智能网联汽车运行安全测试技术要求》(GB/T 43766—2024)推荐性国家标准,规定了智能网联汽车测试车辆、测试主体、测试驾驶人或安全员、测试运行主体、测试安全管理等相关要求,将助力智能网联汽车道路运行安全测试活动有序开展,提升智能网联汽车运行安全水平。
近日,民政部网站公布《个人求助网络服务平台管理办法》。
《办法》共三十二条,明确个人求助网络服务平台,应当经民政部指定;未经指定,任何组织或者个人不得以个人求助网络服务平台的名义开展活动,不得从事求助信息发布和捐助资金归集、管理、拨付等个人求助网络服务;明确对求助信息的真实性进行查验是个人求助网络服务平台的法定义务;规定平台应当明确告知求助人、信息发布人对求助信息的真实性负责,明确告知求助人、信息发布人不得通过虚构、隐瞒事实等方式骗取救助。《办法》还对捐助资金管理、平台监督管理、法律责任等方面内容做出规定。
9月6日,中国网信网公布《国家信息化发展报告(2023年)》,梳理总结2023年各地区、各部门信息化发展情况。
《报告》提出,2024年,要聚焦高水平科技自立自强,增强信息化发展关键能力;聚焦发展新质生产力,进一步发挥信息化对经济高质量发展的驱动引领作用;聚焦保障和改善民生,持续深化信息惠民为民服务;聚焦提高党的领导水平和长期执政能力,加快以信息化推进国家治理体系和治理能力现代化;聚焦统筹高质量发展和高水平安全,不断优化信息化发展环境。
9月9日,市场监管总局网站公布《关于公开征求<关于推动网络交易平台企业落实合规管理主体责任的指导意见(征求意见稿)>意见的公告》,意见反馈截止时间为9月16日。
《指导意见》为网络交易平台企业建立健全合规管理制度、落实合规管理责任提出具体要求,共五部分十六条,主要包括合规管理组织、合规管理人员、合规管理能力、合规风险处置、合规负责人职责、合规管理员职责、建立定期排查整改调度机制、风险排查、问题整改、工作调度、动态管理、履职保障、培训指导、监督管理、激励机制、组织保障等方面具体内容。
国家税务总局货物和劳务税司日前发布《跨境电商出口海外仓出口退(免)税操作指引》,切实落实《商务部等9部门关于拓展跨境电商出口推进海外仓建设的意见》。
《指引》旨在为跨境电商出口海外仓企业提供详实办税指导,帮助企业深入准确理解出口退(免)税政策规定,熟练掌握出口退(免)税业务办理操作流程,更好地适应行业发展新形势,促进跨境电商出口海外仓业态蓬勃发展。《指引》包括基本概述、出口退(免)税操作、参考文件三部分内容。
9月9日,在2024年国家网络安全宣传周网络安全技术高峰论坛主论坛期间,国家互联网信息办公室与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,以促进内地与澳门数据跨境安全有序流动,推动粤港澳大湾区高质量发展。
9月10日,国家发改委网站公布《关于推动车网互动规模化应用试点工作的通知》。
《通知》部署以下重点任务:(一)发挥电力市场的激励作用。(二)完善价格与需求响应机制。(三)加强智能有序充电应用推广。(四)促进V2G技术与模式协同创新。(五)强化工作保障和有效引导。《通知》明确,将逐步完善车网互动资源聚合参与电力市场的交易规则,推动充电负荷规模化、常态化参与电力市场交易,支持探索负荷聚合商参与电力市场的商业模式,推动电力市场各类新业态主体培育,逐步形成模式清晰、发展稳定、具备推广条件的负荷聚合商业模式;支持有关企业联合开展V2G项目申报,鼓励车企和电池企业完善电池质保体系和提升电池技术。
为规范人工智能生成合成内容标识,国家网信办起草发布《人工智能生成合成内容标识办法(征求意见稿)》,9月14日起向社会公开征求意见,意见反馈截至10月14日。
根据《征求意见稿》,提供网络信息内容传播平台服务的服务提供者应当采取措施,规范生成合成内容传播活动。应当核验文件元数据中是否含有隐式标识,对于含有隐式标识的,应当采取适当方式在发布内容周边添加显著的提示标识,明确提醒用户该内容属于生成合成内容。
近日,上海市监局网站公布《关于对上海市地方标准<车联网数据分类分级指南>公开征求意见的通知》,意见反馈截止时间为10月19日。
《指南》提供了车联网数据分类分级管理的前提条件、基本方法、分类过程、分级过程以及特殊管理过程的实施指南,适用于车联网数据相关的组织及个人开展车联网数据分类分级管理工作。
为了加快推进数据要素市场化配置改革,全面激活数据要素潜能,8月30日,《杭州市数据流通交易促进条例(草案)》提交市十四届人大常委会第十九次会议审议。
《草案》共九章四十三条,主要内容涵盖数据流通交易的基本原则、部门职责,数据权益与主体、数据授权运营、数据定价及分配、数据生态培育、数据产业引导以及保障措施等。《草案》结合落实“数据二十条”,探索细化数据产权分置机制,建立数据流通交易的系列规则,进一步培育数据市场生态,营造有序健康的发展环境。
9月10日,国家网信办联合澳门特区经济及科技发展局、个人资料保护局发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》。
《指引》共十四条,并随附件发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》。《指引》明确,任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局投诉、举报。
1. 国家数据局会同多部门联合发布第二批“数据要素×”典型案例
近日,国家数据局会同科技部、农业农村部、文化和旅游部、中国科学院、中国工程院、国家文物局、国家中医药局等部门在2024中国国际大数据产业博览会上发布第二批28个“数据要素×”典型案例。
第二批典型案例在注重发挥以数据解行业发展难题、促行业效益提升作用的同时,更加突出数据来源合规、治理有效以及依靠先进适用技术保障数据安全流通等内容,充分展示了现代农业、商贸流通、交通运输等领域数据要素开发利用的典型经验做法。
9月9日,工信部网站公布《关于发布中小企业数字化水平评测指标(2024年版)的通知》。
《指标》延续 2022年版整体架构,从数字化基础、经营、管理、成效四个维度综合评估中小企业数字化发展水平,并对评测方式进行了调整优化,其中,数字化基础、管理和成效三个维度采用评分的方式确定等级,数字化经营部分用场景等级判定的方式确定等级。
9月12日,国家数据局首次发布城市全域数字化转型典型案例,涉及北京、上海、重庆等地50个典型案例,涵盖数据流通交易、居民碳普惠等一大批新场景。
据介绍,此次发布的50个典型案例,是从全国各地推荐报送的293个案例中遴选而出,主要分为4个大类及10个细分领域。在这些典型案例中,北京市制定智慧城市四级规划管控体系,将“京通、京办、京智”作为统一入口,以“七通一平”作为全市统一共性基础设施,确保各领域数字化建设基于统一规划和统一平台。上海市重点围绕政务服务“一网通办”、城市运行“一网统管”建设,构建全市时空“一张图”底座,支撑超大城市精细化运行管理。
9月14日,公安部网站公布打击整治网络暴力违法犯罪10起典型案例。
在案例二中,公安机关查明,犯罪嫌疑人石某某等人为牟取非法利益,发布广告提供“有偿代骂”服务,通过录制辱骂视频、实施电话短信“轰炸”等方式攻击辱骂他人。目前,该团伙6名犯罪嫌疑人已被依法采取刑事强制措施。
9月26日,市场监管总局在广东省深圳市召开智能网联汽车驾驶辅助安全标准稳链经验交流现场推进会暨国家标准发布会。
会议现场发布了《智能网联汽车 组合驾驶辅助系统技术要求及试验方法 第1部分:单车道行驶控制》等6项智能网联汽车驾驶辅助推荐性国家标准,以及《汽车整车信息安全技术要求》等3项强制性国家标准。
近日,中央网信办印发通知,部署开展为期3个月的“清朗·整治违规开展互联网新闻信息服务”专项行动。
本次专项行动集中整治五类突出问题。一是编发虚假不实新闻信息,使用与新闻信息内容严重不符的夸张标题,或者恶意篡改、断章取义、拼凑剪辑、合成伪造新闻信息。二是借舆论监督名义,通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段,威胁、要挟他人提供财物、开展商业合作,谋取不正当利益。三是仿冒、假冒新闻网站、报刊社、广播电视机构、通讯社等新闻单位,或者擅自使用“新闻”“报道”等具有新闻属性的名称、标识开设网站平台、注册账号、发布信息。四是未经许可或超越许可范围开展互联网新闻信息采编发布服务、转载服务、传播平台服务。五是伪造、倒卖、出租、出借、转让互联网新闻信息服务许可资质。
9月29日,工信部网站公布《关于印发<智能制造典型场景参考指引(2024年版)>的通知》。
《指引》共包括15个环节40个智能制造典型场景,涉及工厂建设、产品设计、工艺设计、计划调度、生产作业、质量管控、设备管理、仓储物流、安全管控、能碳管理、环保管理、营销与售后、供应链管理、信息基础设施、多环节模式创新等。
9月25日,广州知识产权法院公布一批涉数据权益知识产权保护典型案例,主要涉及不正当竞争、著作权等内容。
此次共发布6个案例,涉及不同类型数据权益归属规则等数据权益保护核心问题及数据不当获取行为、数据不当使用行为、数据妨碍行为、数据污染行为等各类数据侵权形式。在天某公司诉锐某公司不正当竞争纠纷案中,法院认为涉案软件“一键”爬取天猫及淘宝平台上发布的商品数据并上架至其他电商平台无货源商家开设的店铺且加以特别推荐的行为,窃取了合法运营主体就商品数据享有的竞争优势,构成不正当竞争。该案系全国首例认定大数据搬家软件构成不正当竞争的案例。
9月12日,上海生物医药数字化运营标准创新联合体在浦东发布行业首个标准——《生物医药数字化运营合规发展指南》,为生物医药产业的数字化转型提供坚实支撑,填补了产业级标准缺失的空白。
《指南》包含服务评价体系、内容标准、流程标准、价格标准、数据标准,覆盖了药企、医生、患者、平台等,它的发布是产业标准化创新发展的重要里程碑,也为医药产业的数字化转型提供了明确的方向和规范。通过产业级数据标准的建立,可以更好地沉淀数据资产,充分释放应用数据资产价值;通过发布《指南》,也让产业生态中各角色都能明确合规边界,在筑牢企业合规基石的基础上,更好地追求创新发展,重塑产业格局。
近期,爱尔兰数据保护委员会(DPC)已开始调查Alphabet旗下的谷歌在开发人工智能模型时是否遵守了欧盟隐私法律规定。
DPC2024年9月12日在一份声明中表示,本次调查将研究谷歌在基础模型中使用欧盟居民个人数据前是否按照欧盟《通用数据保护条例》(GDPR)的要求进行了数据保护影响评估。谷歌的YouTube也是爱尔兰监管机构调查的目标平台之一,调查内容是其是否有效地处理了网络非法内容。谷歌爱尔兰发言人在一封电子邮件中说:"我们认真对待GDPR规定的义务,并将与DPC开展建设性合作,回答他们的问题。
9月12日,英国科学、创新和技术大臣彼得•凯尔宣布,政府现已将英国数据中心(存储英国产生的大部分数据的建筑)列为“关键国家基础设施(CNI, Critical National Infrastructure)”。自太空和国防部门于2015年被列为CNI以来,这是近十年来首次新列CNI项目。
政府将数据中心置于与水、能源和紧急服务系统同等重要的地位,意味着政府将为数据中心在突发事件恢复和预测等方面提供更大支持,提振该行业信心,助力经济增长。在被列为CNI之后,将成立一个由高级政府官员组成的专门的CNI数据基础设施团队,负责监控和预测潜在威胁,为包括国家网络安全中心在内的安全机构提供优先访问权,并在发生事故时协调应急服务访问。获得CNI地位还将阻止网络犯罪分子以数据中心为目标,从而最大限度减少对人民生活、国家医疗服务体系和经济的干扰。此外,将数据中心列为CNI或将有助于加强(业界)与政府更好地协调与合作,打击网络犯罪和突发事件。
2024年10月4日,欧盟法院最新裁定认为,在线社交网络等平台不能无限制地、不分类型地使用收集的所有个人数据用于定向广告。
【案件背景】
案件最初于 2014 年提起,于 2020 年在奥地利首次全面审理,涉及Max Schrems认为Meta大量违反 GDPR 的行为。为了本案,奥地利最高法院将包括本案在内系列案件的四个规则模糊问题,于 2021 年向欧洲法院(CJEU)提出解释法律的要求,以寻求对GDPR条款的释明。2024年10月4日,欧洲最高法院对涉本案相关的两个重要问题作出了解释性裁定。
【争议焦点一】
问题一:“《通用数据保护条例》第5条第1款第(c)项(数据最小化)是否应解释为意味着,平台(如本诉中所述的Meta)所持有的所有个人数据(特别是从数据主体收集或平台内外第三方提供的数据)可以不受时间或数据类型限制地汇总、分析和处理,用于定向广告?”
Meta Platforms Ireland收集Facebook用户的个人数据,包括Max Schrems在内,这些数据涉及用户在该社交网络内外部的活动,特别是包括在线平台访问和第三方网站及应用程序的数据。为此。Meta Platforms Ireland在相关网站上嵌入“cookies”、“社交插件”和“像素”。
Facebook 的社交插件是由(第三方)网站运营商选择嵌入到其页面中的,其中最常用的是 Facebook 的“赞”按钮。每当访问包含该按钮的网站时,存储的 cookies、访问页面的 URL 以及各种日志数据(例如 IP 地址、时间数据)都会被传输到 Meta Platforms Ireland。在这方面,用户不必点击“赞”按钮,仅仅加载带有此类社交插件的页面就足以将这些数据传输到 Meta Platforms Ireland。类似于社交插件,像素可以被嵌入网站中,以便收集有关访问过这些网站的用户的详细信息,例如,为了衡量和优化其上的广告。例如,当网站运营商将 Facebook 像素集成到自己的网站中时,他们可以从 Meta Platforms Ireland 那里收到报告,了解有多少人看到了他们在Facebook上的广告,然后随后访问或购买运营商的网站。
本案中,Max Schrems认为,Meta将所有个人数据都汇聚进入了一个大的“数据池”,并且可以无限期地用于个人广告——没有任何限制——这似乎明显违反了数据最小化原则。在某些情况下有明确的删除限制(例如,当保留记录的法律义务结束时),因此Meta 必须制定数据管理协议,逐步删除不需要的数据或停止使用它们。
到目前为止,Meta不间断地在使用其所收集的所有个人数据进行广告。例如,Facebook 用户数据可以追溯到2004年,包括用户输入的数据、其他用户输入的数据或通过在线跟踪或移动应用跟踪收集的数据。
为了防止此类做法,GDPR 在第五条第一款(c)中确立了“数据最小化”原则,要求仅处理严格必要的数据。到目前为止,Meta和在线广告领域的许多参与者都忽视了这一规定,没有预见任何基于个人数据类型的删除期限或限制。“数据最小化原则”的应用极大地限制了个人数据用于广告的使用。数据最小化原则适用于处理所依据的法律基础,因此,即使用户同意个性化广告,其个人数据也不能无限期地被使用。
Max Schrems的代理人认为,“Meta公司已经积累了20年的用户大数据池,并且每天都在增长。然而,欧盟法律要求‘数据最小化’。根据裁决,Meta的数据池中只有一小部分可以用于广告——即使用户同意广告。这一裁决也适用于任何没有严格数据删除实践的在线广告公司。”
最终,欧盟法院的裁定认为,Meta “不得无限制和无限期地使用”其收集的所有个人数据用于定向广告。
【争议焦点二】
问题二:“根据《通用数据保护条例》第5条第1款第(b)项以及第9条第2款第(e)项的规定,在公开场合讨论个人性取向的信息,是否允许平台采集,基于与其性取向相关的其他数据进行数据聚合和分析,用于个性化广告?”
事情起因于2019年2月12日,在维也纳举行的一次面向公众的圆桌讨论会上,应欧洲委员会奥地利代表处的邀请,Max Schrems在会上提及了自己的性取向,以批评Facebook处理个人数据的行为,包括处理他自己的数据。该圆桌讨论会进行了直播,随后将圆桌讨论的录音作为播客发布,并上传至委员会的YouTube 频道。然而,Max Schrems从未在他的Facebook个人资料中提及过他个人生活的这一方面。
尽管Max Schrems从未在账户中公开过自己的性取向,但在一次圆桌讨论中公开了这个事实,之后不久就收到了有针对性的广告。
根据《通用数据保护条例》第9条第2款(c),当“数据处理与已经由数据主体明明显公开的个人相关”时,对“特定自然人的性生活或性取向的数据进行处理”的特殊种类个人信息的处理,将作为禁止处理的豁免。
最终,欧盟最高法院在裁定中支持了Max Schrems,认为“在公开场合讨论中关于个人性取向的陈述时,并不授权在线社交网络平台处理与他性取向相关的其他数据”,即社交媒体公司Meta不能将在其平台之外获得的有关用户性取向的公开信息用于个性化广告。
BOSS & YOUNG
作者介绍
本文作者为数据合规及数字化转型(暨人工智能与数字经济) 业务组。
邦信阳数据合规及数字化转型(暨人工智能与数字经济) 业务组成员由精通国内外数据保护法律,具备丰富的实务经验的人员组成,能够为不同行业的客户提供定制化、全方位的法律服务。团队专注于银行金融、医疗健康、农业数字化、信用修复、汽车制造、不正当竞争与反垄断、公共与企业数据、电子商务等众多领域,紧跟行业动态和监管趋势,致力于帮助企业实现数据合规,构建合法、高效的数字化商业运营模式。
万波 业务组负责人
联系方式:wanbo@boss-young.com
王斌 农业数字化团队牵头人
联系方式:thomas_wang@boss-young.com
陆希立 信用修复团队牵头人
联系方式:luxili@boss-young.com
杨涛 不正当竞争及反垄断团队牵头人
联系方式:yangtao@boss-young.com
陈斌寅 医疗健康团队牵头人
联系方式:chenbinyin@boss-young.com
沈越 公共与企业数据团队牵头人
联系方式:shenyue@boss-young.com
陈敏 委员
联系方式:chenmin@boss-young.com
顾炜程 委员
联系方式:guweicheng@boss-young.com
蒋莉 委员
联系方式:jiangli@boss-young.com
陈艺聪 委员
联系方式:chenyicong@boss-young.com
曹天鸣 秘书
联系方式:caotianming@boss-young.com
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。