一、热点法规

1. 《生成式人工智能服务安全基本要求》发布

2024年3月1日，《生成式人工智能服务安全基本要求》正式发布，这一规范文件对《暂行办法》中的合规要求进行了细化，并为生成式人工智能服务提供者在实践中开展安全评估提供了有效路径。《基本要求》的发布旨在推动企业提升生成式人工智能服务的安全能力，并为监管部门评价服务安全水平提供参考标准。

相关规定根据人工智能服务的生命周期可以分为服务阶段安全要求以及研发阶段安全要求。具体而言，以上两个阶段的安全要求又可细分为研发阶段安全要求及服务阶段安全要求。

研发阶段安全要求包括：（1）语料安全要求：涉及语料来源、内容和标注的安全要求。要求服务提供者对语料进行安全评估，确保语料来源合法、内容无违法不良信息，并建立标注规则和审核机制；（2）模型安全要求：包括基础模型的备案要求、生成内容的安全、准确性和可靠性要求。服务提供者应使用已备案的基础模型，并确保生成内容的安全性和质量。

服务阶段安全要求包括：（1）安全措施要求：涵盖模型适用的人群、场合、用途，服务透明度，使用者输入信息的使用，内容标识，计算系统的安全性，接受投诉举报的途径，以及服务的稳定性和持续性；（2）其他要求：包括建立关键词库、生成内容测试题库、拒答测试题库和分类模型等，以提高服务的安全性和可靠性；（3）安全评估要求：提供者在服务上线前及重大变更时应开展安全评估，评估应覆盖《基本要求》的所有条款，并形成评估报告。

2. 《中华人民共和国人工智能法（学者建议稿）》发布

2024年3月16日上午，“AI善治论坛 人工智能法律治理前瞻”专题研讨会在北京友谊宾馆顺利举办，会议发布了《中华人民共和国人工智能法（学者建议稿）》。《建议稿》共九章九十六条，主要内容包括：一般原则、发展与促进、权益保护、安全义务、监督管理、特殊应用场景、国际合作、法律责任等，涵盖未来人工智能治理的主要问题。

《建议稿》以促进产业发展为主要特色。会议主持人张凌寒指出，在目前全球激烈竞争的格局下，“不发展是最大的不安全”。我国人工智能产业“领先的追赶者”的独特国际生态位要求我们在技术和产业的国际竞争中必须以发展为制度设计的主要目标，安全问题也需要通过技术发展来回应和解决。因此《建议稿》中设立“促进与发展”专章，也在监督管理、责任设置等方面对此予以充分考虑，减轻人工智能产品和服务提供者的义务。

3. 《新一代地理信息公共服务平台（天地图）建设总体实施方案》公布

3月11日，自然资源部网站公布《关于印发<新一代地理信息公共服务平台（天地图）建设总体实施方案>的通知》。

《实施方案》明确，新平台建设包括公共服务数据资源体系建设、高度协同智能化服务体系建设、全流程数据在线更新技术体系建设、全国统一的运行支撑体系建设四项主要内容，其中，公共服务数据资源体系建设从数据资源、数据汇聚、整合处理、公共数据产品四个方面对新平台数据资源体系建设进行部署；在数据资源方面，强调汇聚整合多尺度基础地理信息、实景三维、自然资源专题地理信息等数据成果，加强公共服务地名地址库建设。

4. 中国民航局拟出台《民航数据管理办法》

3月11日，中国网信网公布《关于征求<民航数据管理办法（征求意见稿）><民航数据共享管理办法（征求意见稿）>意见的函》，意见反馈截止时间为3月22日。

《民航数据管理办法》共九章四十四条，明确民航数据实行统一目录管理，民航局数据统筹管理部门负责制定民航数据资源目录管理制度，明确数据资源登记与披露机制，统筹编制并发布《民航数据资源目录》，建立目录更新机制。《民航数据资源目录》中各项数据的提供方应按照目录中的更新频率要求、格式要求以及该数据相关标准规范组织开展数据采集工作。民航数据共享包括基于共享平台的行业级数据共享和基于双方协议的点对点数据共享等模式。

5. 《消费者权益保护法实施条例》正式公布

3月19日，中国政府网公布《中华人民共和国消费者权益保护法实施条例》，自2024年7月1日起施行。

《条例》共7章53条，主要对消费者权益保护法规定的保障消费者人身财产安全、缺陷产品处理、禁止虚假宣传、明码标价、使用格式条款、履行质量担保责任、消费者个人信息保护等义务作了细化规定；网络消费方面，规定经营者不得利用技术手段，强制或者变相强制消费者购买商品或者接受服务，不得在消费者不知情的情况下，对同一商品或者服务在同等交易条件下设置不同的价格或者收费标准等；预付式消费方面，除明确货物质量保障与退款等外，还强调经营者出现重大经营风险时应当停止收取预付款等；消费索赔方面，明确标签标识、说明书、宣传材料等存在不影响商品或者服务质量且不会对消费者造成误导的瑕疵的不适用惩罚性赔偿规定。

6. 国家网信办正式出台《促进和规范数据跨境流动规定》

3月22日，中国网信网公布《促进和规范数据跨境流动规定》，规定自公布之日起施行。

《规定》共十四条，明确国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，或是数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，以及满足其他四种规定情形的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。自贸区可在框架下自行制定数据负面清单。

《规定》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年，自评估结果出具之日起计算。同时，增加数据处理者可以申请延长评估结果有效期的规定。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。

《规定》施行前已经通过数据出境安全评估的数据出境活动，数据处理者可以根据申报事项继续开展。《规定》施行前未通过或者部分未通过数据出境安全评估，根据《规定》免予申报数据出境安全评估的数据出境活动，数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案，根据《规定》无需开展上述程序的，数据处理者可以按照原程序进行，也可以向所在地省级网信部门撤回申报、备案。

申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统，网址：https://sjcj.cac.gov.cn。已经通过线下方式提交安全评估申报、标准合同备案材料的，不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统，网址：https://data.isccc.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的，采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

7. 第二版数据出境安全评估申报和个人信息出境标准合同备案指南公布

3月22日，中国网信网公布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

两指南增加了对《促进和规范数据跨境流动规定》规定的引用，调整了对数据出境行为的界定，细化了申报方式及流程，明确个人信息出境标准合同备案应通过数据出境申报系统备案，强化了网信办对申报者情况告知义务方面的表述等。

其中特别值得关注的问题包括：新版指南将数据出境行为囊括了境外处理者的处理活动。数据出境行为新增了第(三)种，即“符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。”《指南(第二版)》对于“数据出境行为”的定义与此前全国信安标委发布的《TC260-PG-20222A 个人信息跨境处理活动安全认证规范V2.0》中给出的定义基本一致。至此，三种数据出境合规路径下对于“数据出境行为”的定义达成统一。

在境外处理境内自然人个人信息的处理者明确成为了数据跨境传输监管主体之一。对于在境外处理境内自然人个人信息，不涉及其他境内主体(如境内受托方、境内处理者等)的情况，是否也属于需要履行相关申报/备案程序，《指南(第二版)》未提供明确的说明；但境外处理者涉及个人信息跨境传输活动的已明确属于监管范围。

针对这项定义的更新，境外数据处理者应谨慎对待，尽快展开涉及中国个人信息的处理情况盘点并分析是否符合需要申报/备案的情形。

8. 国家金融监管总局拟出台《银行保险机构数据安全管理办法》

3月22日，国家金融监管总局网站公布《关于<银行保险机构数据安全管理办法>公开征求意见的公告》，意见反馈截止时间为4月23日。

《办法》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。《办法》要求银行保险机构建立数据安全责任制，明确数据安全治理架构，建立数据分类分级标准，强化数据安全管理，建立数据安全技术架构，按照“明确告知、授权同意”原则处理个人信息，限于最小范围收集个人信息，完善数据安全风险监测与处置机制等。

9. 网络安全国家标准《数据分类分级规则》发布

3月21日，信安标委网站公布《数据安全技术 数据分类分级规则》。

标准规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南，适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。

标准明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。具体而言，数据分类应根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等；数据分级则应根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等。

标准指出，重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据。核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据，主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

10. 自然资源部印发《自然资源领域数据安全管理办法》

3月28日，自然资源部网站公布《关于印发<自然资源领域数据安全管理办法>的通知》。

《办法》共七章三十七条，规定了数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、监督检查、法律责任等方面内容，明确自然资源领域数据分类类别包括但不限于地理信息、自然资源调查监测、国土空间规划、自然资源管理等，明确数据处理者应当对数据处理活动安全负主体责任，对各类数据实行分级防护。

为进一步促进银行业金融机构提升信贷管理能力和金融服务质效，金融监管总局对《固定资产贷款管理暂行办法》（中国银行业监督管理委员会令2009年第2号）、《流动资金贷款管理暂行办法》（中国银行业监督管理委员会令2010年第1号）、《个人贷款管理暂行办法》（中国银行业监督管理委员会令2010年第2号）和《项目融资业务指引》（银监发〔2009〕71号）等信贷管理制度进行了修订，形成《固定资产贷款管理办法》《流动资金贷款管理办法》《个人贷款管理办法》（以下简称“三个办法”），现正式发布，于2024年7月1日起施行。

本次修订的重点内容包括：一是合理拓宽固定资产贷款和流动资金贷款的用途及贷款对象范围，优化流动资金贷款测算要求，满足信贷市场实际需求。二是调整优化受托支付金额标准，适度延长受托支付时限要求，提升受托支付的灵活性。三是结合信贷办理线上需求，明确视频面谈、非现场调查等办理形式，适配新型融资场景。四是明确贷款期限要求，引导商业银行有效防范贷款期限错配风险，进一步优化贷款结构。五是进一步强化信贷风险管控，推动商业银行提升信贷管理的规范化水平。六是将《项目融资业务管理规定》作为专章纳入《固定资产贷款管理办法》。

二、新闻与交易

1. 网信办部署开展2024年“清朗”系列专项行动

3月15日，中国网信网消息显示，中央网信办部署开展2024年“清朗”系列专项行动。

2024年“清朗”系列专项行动将全面覆盖网上重点领域环节，着力研究破解网络生态新问题新风险，重点开展10项整治任务：1.“清朗·2024年春节网络环境整治”专项行动。2.“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动。3.“清朗·打击违法信息外链”专项行动。4.“清朗·整治‘自媒体’无底线博流量”专项行动。5.“清朗·网络直播领域虚假和低俗乱象整治”专项行动。6.“清朗·规范生成合成内容标识”专项行动。7.“清朗·2024年暑期未成年人网络环境整治”专项行动。8.“清朗·规范网络语言文字使用”专项行动。9.“清朗·整治违规开展互联网新闻信息服务”专项行动。10.“清朗·同城版块信息内容问题整治”专项行动。

2. 网信办发布第十四批境内区块链信息服务备案编号

3月15日，中国网信网公布《关于发布第十四批境内区块链信息服务备案编号的公告》。

《清单》显示，本批备案的境内区块链信息服务共247项，包括中国海油能源区块链基础平台、U链供应链金融服务平台、深证金融区块链平台、税务区块链基础平台等。

3. 上海经信委印发《2023年度上海市智能工厂名单》

近日，上海经信委网站公布《关于印发<2023年度上海市智能工厂名单>的通知》。

《名单》共包括77个2023年度上海市智能工厂，其中包括蔡司工业测量技术(上海)有限公司的工业质量解决方案智能工厂、西门子（上海）电气传动设备有限公司的变频器智能制造工厂、上海大众动力总成有限公司的动力总成柔性智能工厂、延锋汽车智能安全系统有限责任公司的汽车安全智能工厂、上海大众联合发展车身配件有限公司的新能源园贸路智能工厂。

4. 北京政策先行区开放智能网联巴士商业化试点申请

近日，《北京市智能网联汽车政策先行区智能网联客运巴士管理细则（试行）》完成内容迭代升级，正式面向企业开放商业化试点申请。企业申请获准后，可在北京市智能网联汽车政策先行区指定路线，提供智能化付费出行服务。

截至目前，北京市智能网联政策先行区已有5家企业获准开展常态化道路测试，累计自动驾驶测试里程超75000公里。其中2家企业已有序步入载人示范应用阶段，累计开放5条服务线路，服务人次近2万，产品技术稳定性与服务专业化得到充分验证。《细则》明确，已进入示范应用阶段的企业，在主体、驾驶人、车辆除符合基本要求情况下，示范应用阶段单车自动驾驶里程不少于2000公里且服务不少于500人次；企业应支持乘客通过移动支付、现金等方式进行购票，可探索数字人民币等新型支付方式。实行明码标价并向社会公开的同时，还应在服务平台通过电子协议向乘客完整、准确公示所有服务相关信息。

5. 上海市监局公布一批个人信息保护及盲盒销售违法典型案例

近日，上海市监局公布一批涉个人信息保护、盲盒销售消费者权益保护典型案例。

本批案例共8件。在案例一中，上海洳娟实业有限公司出于防范盗窃等目的，于2021年4月委托某信息科技公司在超市大门位置安装了一台具有人脸识别功能的摄像头，对进入超市人员进行拍照、人脸识别分析比对，相关数据存储于超市监控系统硬盘内，定期自动覆盖。该公司在经营过程中使用具有人脸识别功能的摄像头收集人脸数据图片未经消费者同意，且经营现场无明示收集脸部信息的目的、方式、范围和收集规则等，侵害了消费者个人信息依法得到保护的权利。该公司后被市场监督部门作出警告并罚款3000元。

6. 最高检发布“3·15”消费者权益保护检察公益诉讼典型案例

3月15日，最高检网站公布《关于印发<“3·15”消费者权益保护检察公益诉讼典型案例>的通知》。

本批典型案例共10件，其中行政公益诉讼案件7件，民事公益诉讼和支持起诉案件3件，聚焦解决消费者关注度高、影响恶劣的食品药品安全问题，紧盯新业态中出现的食品药品安全新问题，主要涉及“人药兽用”、动物血制品非法添加工业用甲醛、短视频平台收费探店视频广告、违规使用生鲜灯、违法销售境外药品、汽车销售公司设置不公平格式条款等侵害消费者合法权益问题。

7. 工信部公示网络安全保险典型服务方案目录

3月18日，工信部网站公布《关于网络安全保险典型服务方案目录的公示》，公示期截至3月25日。

本批公示的方案共49件，其中包括36件企业类方案和13件产品服务类方案。企业类方案主要包括“云上无忧”网络安全保险服务方案、工业供应链网络安全保险服务方案、面向新兴融合应用场景的网络安全保险服务方案、电信和互联网企业网络安全保险服务方案、制造业企业网络安全保险服务方案、车联网网络安全保险服务方案等。

8. 擅用受版权保护内容训练聊天机器人 谷歌再次被法国处罚2.5亿欧元

3月20日，法国市场监管机构宣布，因谷歌未经同意使用法国出版商和新闻机构的内容训练聊天机器人“巴德”，违反欧洲联盟知识产权相关法规，已向谷歌公司开出一张2.5亿欧元的罚单。这并非谷歌首次因著作权侵权问题被法国监管机构处罚。这例处罚使得谷歌成为第一家因大模型训练涉著作权侵权行为而被处罚的公司。

据报道，2019年，法新社等法国多家媒体即向法国竞争管理局投诉，称谷歌擅自使用其版权所有的网络内容；竞争管理局随后对谷歌启动调查，于2020年要求谷歌在3个月内与出版商就内容付费谈判，但谈判未成功；竞争管理局在2021年对谷歌开出5亿欧元罚单，后谷歌放弃上诉，与媒体出版商达成和解协议。但近期法方认为谷歌违反了与媒体出版商所达成协议中7项条款中的4项，包括真诚与涉事出版商展开谈判、提供透明信息等。其中就包括，谷歌2023年推出的聊天机器人“巴德”利用媒体平台和新闻机构的数据作训练，但谷歌方面没有就此告知这些机构或竞争管理局。

三、案例解析

1. 深圳中院：企业数据查询平台对于数据原始主体有数据质量保证义务

【基本案情】

被告金某公司、天某公司共同经营提供企业征信信息查询的大数据平台——“天某”网站。原告长顺达公司向人民法院提起诉讼，指控“天某”平台发布的长某公司的对外持股信息与实际情况不符，造成对其竞争权益的损害，具体被诉不正当竞争行为包括：1. 被告在“天某”网站发布的数据中未包含在深圳联合产权交易所登记的股权信息；2. 被告在“天某”网站发布的长某公司与奥康德公司之间的持股关系与实际情况不符；3.被告在收到长某公司的律师函及附件后，未对“天某”网站中的数据进行修正。原告长顺达公司据此请求判决被告将其列入奥康德公司股东列表、消除影响并赔偿其维权开支。

被告抗辩主张：原被告之间不存在竞争关系，不应当以反不正当竞争法规制；被告在“天某”平台展示的信息来源于公开数据，被告已经尽到合理注意义务；原告不存在其合法权益受损的事实。

【裁判结果】

广东省深圳市罗湖区人民法院于2022年9月8日作出（2022）粤0303民初12172号民事判决，认为本案被诉行为不构成不正当竞争行为，据此驳回原告的全部诉讼请求。一审宣判后，原告提出上诉。

广东省深圳市中级人民法院于2023年7月26日作出（2023）粤03民终4897号民事判决，认定涉案纠纷性质为，大数据生态系统中，数据使用者与数据原始主体之间因数据使用质量引发的纠纷。

涉案数据同时具有公开数据、原始数据、公共数据、征信数据的属性。金某公司、天某公司通过共同经营天某网站，构建了一个具有征信功能的数据生态系统，长某公司与金某公司、天某公司分别以数据原始主体、数据使用主体的身份共处于该生态系统中。二者虽无合同关系，也并非直接的同业竞争者关系，但基于数据的性质、所共处的数据生态系统的功能、运行模式与商业逻辑，金某公司、天某公司使用长某公司的原始数据的行为，必然会对长某公司的权益造成影响。

长某公司作为征信数据系统中的数据原始主体，对于数据使用者对外公布的长某公司的对外持股信息，具有竞争法意义上的竞争权益，数据使用主体与数据原始主体之间的关系应当被纳入反不正当竞争法所规制的范围。数据使用主体对于数据原始主体负有数据质量保证义务，即数据使用主体有义务采取合理措施保证数据质量，以确保数据原始主体的合法权益不受到不恰当的损害。结合本案所涉数据的特有属性，征信数据使用主体应当对征信数据生态系统中的利益相关方负有数据完备性义务、数据准确性义务及合理纠错义务。

本案中，企业征信数据平台经营者的数据完整性义务并不包括在其经营的天某网站中展示深圳联合产权交易所的相关企业数据；基于现有技术阶段下信息偏差存在的客观事实，以及天某平台经营者不存在操纵数据、伪造数据、篡改数据等主观故意或采用明显落后于行业标准的技术手段等重大过失的事实，不宜以信息偏差的存在本身认定数据使用者违反数据准确性义务。

但是，天某平台经营者在收到投诉及相关证明材料后，有义务对相关数据进行核查并进行相应的数据更新，但其未进行任何作为，既未审查投诉所附证明材料的真实性，更未采取合理措施纠正征信数据系统中的数据偏差，违反其合理纠错义务，应当认定为具有不正当性，构成反不正当竞争法所规制的不正当竞争行为，应当承担停止侵害、消除影响等民事责任。

法院遂判决撤销一审判决，判令被告金某公司、天某公司在其经营的天某网站将原告的持股信息列入案外人深圳奥康德集团股份有限公司的股东信息页面，在该网站刊登声明以消除影响，并赔偿原告合理维权开支30880元。

【案例简评】

本案涉及数字经济重大问题，即数据使用者是否对数据原始主体负有法律义务，负有何种法律义务。在法无明文规定的情况下，人民法院基于涉案数据的特定属性，能动司法，在本案司法裁判中创设数据使用主体对于其所使用的数据的原始主体的数据质量保证义务，即数据使用主体有义务采取合理措施保证数据质量，以确保数据原始主体的合法权益不受到不恰当的损害的义务。

本案涉及大数据生态系统中企业征信数据平台的规范运作问题，首次提出在数据质量保证义务项下，征信数据使用主体应当对数据原始主体、数据消费主体等征信数据生态系统中的利益相关方负有三大义务，即数据完备性义务、数据准确性义务、合理纠错义务，并遵循合理性原则，准确界定各项义务的具体内涵与外延。

本案创造性适用反不正当竞争法一般条款，厘清数据原始主体所具有的竞争权益，适当扩张竞争关系外延，充分考量被诉行为发生时征信大数据业态的发展阶段、数据使用主体的商业模式、技术现状等因素，确立判断征信数据平台经营者是否违反数据质量保证义务的司法裁判规则，明晰数据使用者的行为边界。

张月勤

邦信阳律师事务所 专职律师 📍上海

   zhangyueqin@boss-young.com

张律师主要擅长业务领域为数据合规、数字化转型、公司并购与债务重组。