1.国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》
2.财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法(征求意见稿)》
3.国家卫健委:强化医疗健康数据保护
4.国家发改委价格监测中心配合价格司开展公共数据定价研究工作
5.市场监管总局就《网络交易执法协查暂行办法(征求意见稿)》公开征求意见
6.公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》征求意见
征求意见稿共19条,主要包括惩戒原则、惩戒对象、惩戒措施、分级惩戒、惩戒程序、申诉核查6个方面内容,遵循依法认定、过惩相当、动态管理原则,明确个人和单位纳入惩戒对象的范围,规定金融、电信网络、信用惩戒的具体措施,根据惩戒对象违法行为分级适用惩戒,规范审核认定、惩戒期限和告知等程序,明确申诉、受理、核查、反馈和解除的程序和时限。(详情请点击阅读原文查看“重点法规解读”)
7.工信部等四部委关于开展智能网联汽车准入和上路通行试点工作的通知
8.工信部办公厅就组织开展2023年工业互联网试点示范项目申报工作发布通知
《通知》指出,将围绕新技术类、工厂类、载体类、园区类、网络类、平台类、安全类7大类27个具体方向,遴选一批工业互联网试点示范项目,试点示范期为2年。通知称,优先支持符合以下一项或多项条件的工业互联网项目:一是在国家新型工业化产业示范基地、工业稳增长和转型升级成效明显市(州)中的项目;二是完成工业互联网创新发展工程验收的项目;三是革命老区的项目;四是在绿色低碳、安全生产、国际合作、军民融合等方面有显著成效的项目。
9.工信部办公厅印发《“5G+工业互联网”融合应用先导区试点工作规则(暂行)》以及其试点建设指南
《工作规则》包括总则、试点要求、申报程序、评审程序、批复程序、跟踪评价程序、附则等七章20条内容,旨在深入实施工业互联网创新发展战略,加强“5G+工业互联网”融合应用先导区试点管理工作,发挥先导区试点引领带动效应,促进“5G+工业互联网”规模化发展。《建设指南》提出,鼓励各地以城市(地级及以上城市)为单位开展先导区试点建设,为开展先导区试点建设提供了发展政策先导、基础设施先导、行业应用先导、产业生态先导、公共服务先导等5方面16条参考内容。
10.信安标委就《网络安全标准实践指南——网络安全产品互联互通资产信息格式(征求意见稿)》公开征求意见
该实践指南规范了网络安全产品互联互通资产信息的描述格式,适用于网络安全产品互联互通的设计、开发、应用和测试。
11.《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见
该标准适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动,规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求。所谓大湾区内个人信息处理者,是指注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,以及香港特别行政区的个人信息处理者。(详情请点击阅读原文查看“重点法规解读”)
12.北京市经济和信息化局发布《数据清洗、去标识化、匿名化业务规程(试行)》
13.北京市经信局等鼓励企业开展数据交易及数据资产入表活动,将给予补贴
北京市经济和信息化局和北京市财政局联合发布《2023年北京市高精尖产业发展资金实施指南(第三批)》。本批次将重点对机器人未定型创新产品首试首用、重点共享开源平台、数据要素市场示范进行奖励。鼓励企业开展数据资产入表活动,对于数据资产首次实现入表且入表金额大于100万元的,可以对企业为实现数据资产入表所发生的数据质量评价、数据资产评估和第三方审计等服务费用予以30%的补贴,同一企业数据资产入表补贴最高不超过50万元。
14.十大政策先行先试北京数据基础制度先行区启动运行
15.《杭州市数字贸易促进条例(草案)》发布,全球首部数字贸易领域地方性法规提交审议
11月6日,《杭州市数字贸易促进条例(草案)》提交杭州市十四届人大常委会第十四次会议审议。该草案分为7章42条,结合杭州数字贸易发展实际,围绕数字贸易基础制度、业态模式、主体培育、数字营商环境、开放与合作、保障措施等方面作了规定。
16.广东省出台22条措施:加快推进“数字湾区”建设,探索数据跨境双向流通机制
重点提出22条政策举措,力争在算力、算法、数据、产业、生态等方面取得重大突破,探索打造“粤港澳大湾区数据特区”,建立湾区内数据流通规则体系和运营机制。
17.广东省办公厅印发《“数字湾区”建设三年行动方案》
提出“数字湾区”建设目标,即“六通一融”。通过“数字湾区”建设,牵引带动大湾区全面数字化发展,《方案》提出推动数据要素合规高效、安全有序流通;建设互通的数据要素网络;建设数据要素统一大市场;打造数字化人才聚集高地;推动大湾区要素市场化等5项内容,并提出探索建设“港澳数据特区”。
18.上海仲裁委员会发布《上海仲裁委员会数据仲裁指引》
该指引针对特定适用范围内的仲裁案件作出了仲裁文件送达、数据交易所/服务商在调查取证等方面的程序性特别规定。《仲裁指引》的适用范围为“数据资源、数据资产、数据产品等标的在生成、采集、加工、存储、交易、评估等过程中产生的合同或其他财产类纠纷案件”。
19.浙江首个数据知识产权所有权转让项目落地
近日,来自浙江云匠数字建造技术研究院有限公司的“智慧工地环境管理分析数据”项目,通过浙江知识产权交易中心挂牌交易完成了所有权转让。这也是浙江首个数据知识产权所有权转让项目。该项目以28.8万元的成交价格出让给桐乡市振兴城建档案服务有限公司,实现了数据知识产权的应用和流通,为企业带来了实实在在的经济利益。
20.贵州省大数据局印发《贵州省数据要素登记服务管理办法(试行)》
其中明确,本办法所称数据要素登记,是指登记服务机构将数据要素内容和其他法定事项记录于登记凭证的行为。
21.广西壮族自治区人民政府办公厅印发《广西数据要素市场化发展管理暂行办法》
其中提出,自治区按照国家规定设立数据交易场所,建立和完善数据流通交易规则,政务部门、财政资金保障运行的公共服务组织应当通过依法设立的数据交易场所开展数据交易。
鼓励数据处理者在依法设立的数据交易场所开展数据交易,培育壮大场内交易。支持数据处理者依法依规开展场外数据流通交易活动,建立健全场外交易规则,规范场外交易管理。
23.中国互联网金融协会正式发布《金融数据资产管理指南》等9项团体标准
二境内监管动态
1.国家安全部依法查处非法采集和跨境传输气象数据行为
2.公安部:今年第三季度共办理网络和数据安全行政执法案件1.4万起
其中,网络运营者不履行网络安全保护义务的案件占86%。公安机关是网络安全监管的重要职能部门,负责指导、监督网络运营者落实法定义务,落实防范黑客攻击入侵和窃取数据的安全管理制度和技术措施。当前,黑客犯罪的重点目标是重要信息系统,公安机关主要开展了四个方面的常态化工作:一是开展执法监督检查;二是加大网络和数据安全行政执法力度;三是开展一案双查;四是加强警示教育。
3.工信部就《工业和信息化领域数据安全行政处罚裁量指引(试行)》公开征求意见
对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定,细化了《数据安全法》与《工业和信息化领域数据安全管理办法(试行)》监管框架下的相应合规要求,并明确列举了相应违法事由的处罚裁量基准和裁量尺度,为受监管企业与个人提供了工业和信息化领域数据安全合规指引,增加了工信部门执法活动的可预测性。(详情请点击阅读原文查看“重点法规解读”)
4.国家网信办开展“清朗·网络戾气整治”专项行动
专项行动为期1个月,围绕社交、短视频、直播等重点平台类型,聚焦网络戾气容易滋生的重点环节版块,从严打击恶意攻击谩骂、挑起群体对立、宣泄极端情绪等突出问题,坚决惩治一批违规账号、群组和网站平台,有力遏制网络戾气传播扩散。
5.北京市监局开展优化平台协议规则专项行动
7.广东高院、北京互联网法院发布个人信息保护典型案例
据了解,围绕APP非法收集和泄露个人信息、公开个人信息处理、死者个人信息保护、个人信息查阅复制权行使等问题,此次通报会一共通报了8起个人信息保护典型案例,并对案件裁判规则和典型意义进行了介绍。
8.杭州互联网法院十大典型司法建议
涉及个人信息保护、算法模型优化升级、人工智能换脸、网上销售食品、酒水资质审查、产品售后服务、平台内自治规则统一、网络著作权保护、跨境电子商务等领域。被建议单位均及时反馈整改,并在行业内形成示范带动效应,起到了持续优化网络消费环境,从源头上强化对消费者权益保护力度;依法支持、引导平台规范开展自治,从源头上促进平台经济持续健康发展;从源头上遏制网络侵权行为及电信诈骗犯罪,营造健康清朗网络环境的重要成效。
9.北京高院发布《侵犯公民个人信息犯罪审判白皮书》
包括侵犯公民个人信息犯罪审理情况、基本特点、犯罪成因分析、治理对策建议、典型案例五个部分。涉案公民个人信息类型中有关人身、财产安全的信息占比突出,手机号码、身份证件占比最大,且个人信息数量日渐庞大,犯罪手段越发隐蔽,与其他犯罪具有较强的关联性。北京高院建议强化个人信息处理单位的保管与保障责任,加强行业协会、行政机关的监管责任,完善个人信息被侵害后的追责与赔偿机制,架构起分级分类的保护体系,建立覆盖民事、行政、刑事打击的一体化保护制度。
10.上海市通信管理局公布2023年上海市电信和互联网行业首席数据官备案结果(第一批)
11.北京市市场监督管理局开展优化平台协议规则专项行动
12.“内鬼”盗卖数据,某大药房被罚!
浙江温州网安部门发现,某大药房数据分析师利用工作便利将大量交易数据导出并售卖。进一步侦查发现,该大药房因未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的技术措施和其他必要措施保障数据安全,最终导致大量敏感数据泄露。温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定,对该公司处罚款110万元,对该大药房直接负责的主管人员处罚款10万元。
13.中国某跨境电商暴露数百万用户隐私数据,部分含身份证照片
三境外资讯
1.联合国教科文组织公布社交媒体平台监管行动计划,治理虚假信息和仇恨言论
2.中美欧等二十八个国家和地区联合签署《布莱切利宣言》
3.国际:EDPS和ICO签署谅解备忘录
4.美国总统拜登发布《关于安全、稳定和可信的人工智能行政令》
5.美国放弃在WTO的跨境数据自由流动主张
6.美国国土安全部发布人工智能路线图
8.美国司法部隐私与公民自由办公室宣布指定数据保护审查法庭(DPRC)的首批法官
9.欧洲理事会通过《数据法案》
10.EDPB通过关于澄清《电子隐私指令》适用技术范围的指南草案
11.欧盟法院:数据主体有权对国家监管机构关于个人数据处理的决定提出上诉
11月16日,欧盟法院裁定,在向数据主体通报核查结果时,监管机构通过的具有法律约束力的决定必须接受司法审查,以便数据主体能够对监管机构就数据处理的合法性所作的评估以及是否采取纠正措施的决定提出质疑,并决定是否向有管辖权的法院提起诉讼。在出于公共利益目的的情况下,向数据主体披露的信息可以仅限于最低限度,但必须确保具有管辖权的法院为了检查限制信息的理由是否充分,可以权衡所追求的公共利益目的和保障公民遵守其诉讼权利的必要性。
12.欧洲与非洲、加勒比和太平洋国家组织签署新的合作协议,涉及数据保护和AI合作
13.ICO就医疗与社会保障领域透明度指南征求意见
14.英国科学、创新和技术部公布《2023年数据保护(基本权利和自由)(修正案)条例》
该条例将修订英国数据保护立法中有关“基本权利和自由”的定义,使其指的是英国法律承认的权利,而不再是保留的欧盟法律权利。修订后将由《欧洲人权公约》下的权利取代原有欧盟的定义,这些权利和自由已根据1998年《人权法》载入英国的国内法律。这一修订将为受数据保护立法约束的组织提供确定性,并将建立一套明确的基本权利和自由以供参考。
15.西班牙数据保护局发布关于使用生物识别数据进行呈现和访问控制的指南
16.韩国个人信息保护委员会宣布即将对《个人信息保护法执行令》进行修订
17.新加坡金融管理局制定生成式人工智能风险框架,涵盖七大方面
七个风险维度包括:(a)问责和治理;(b)监测和稳定;(c)透明度和可解释性;(d)公平和偏见;(e)法律和监管;(f)道德和影响;以及(g)网络和数据安全。该项目还开发了一个GenAI参考体系结构,提供了组织可用于创建强大的企业级GenAI技术能力的构件和组件清单。在下一阶段,MindForge将扩大其范围,使保险和资产管理行业的金融机构参与进来。详细介绍风险框架的白皮书将于2024年1月发布。
18.芬兰数据保护机构发布关于数据泄露通知义务的指南
芬兰数据保护监察员办公室提醒数据控制者在个人数据泄露时,必须评估数据主体个人数据泄露的严重程度,这些针对组织的指示涉及评估对数据主体影响的严重程度、通知数据主体、补充通知和遵守的最后期限。
19.泰国个人数据保护委员会发布数据传输条例草案并向公众征求意见
《2019年个人数据保护法》(PDPA)第28条涉及将个人数据传输到被认为具有适当数据保护标准的目的地国家或国际组织,草案明确该适当性原则上将根据某些因素来确定,包括目的地国家或国际组织是否存在不低于泰国规定的法律措施或机制。关于第29条的数据传输条例草案则规定,如果个人数据发送者或传输者和个人数据接收者在同一附属企业或同一企业集团中制定了个人数据保护政策(政策),并经PDPC审查和认证,那么位于泰国的数据控制者或数据处理者可以将个人数据发送或传输给位于外国的个人数据接收者。PDPC应评估其个人数据保护政策的内容和实质。此外,草案规定,在将个人数据传输给那些尚不具备“适当性认定”的目的地国家或国际组织前提下,数据控制者或数据处理者可以在执行相应的保障措施的条件后完成传输活动。
四境外监管动态
1.欧洲数据保护委员会宣布紧急约束性决定,将Meta的行为营销禁令扩大到整个欧盟/欧洲经济区
2.美国纽约州金融服务署修订网络安全法规以加强基于风险的控制
4.泰国:MDES宣布采取措施解决个人数据泄露、交易和高风险网络系统问题
2023年11月21日,泰国数字经济和社会部(MDES)的Prasert部长透露,有1,158个机构的数据被泄露,其中21个机构的网络系统存在高风险。为此,MDES制定了6项措施加急解决这一问题,分为紧急30天期限、6个月期限、12个月期限。其中包括其将与特别调查部一起,通过起诉和逮捕罪犯,加快阻止非法交易个人信息的工作。MDES还鼓励使用可靠的政府中央云系统,以防止和减少个人信息泄露。
5.澳大利亚信息专员办公室(OAIC)因数据泄露对澳大利亚临床实验室(ACL)提起民事处罚诉讼
6.澳大利亚电信巨头奥普图斯通信故障导致客户无法使用支付系统
7.年内5次服务宕机,新加坡星展银行被暂停非必要业务6个月
8.法国:CNIL宣布10项执法决定,总额为97,000欧元
2023年11月7日,法国数据保护机构(CNIL)宣布,作为2022年实施的简化制裁程序的一部分,已实施10项执法决定。CNIL强调,简化的执行程序涉及不存在特殊困难的处理活动,最高可处以20,000欧元的罚款。CNIL指出,其对公共和私人行为者的违规行为进行了总计97,000欧元的处罚,其中包括:未能回应CNIL的要求;未能提供有关所实施的处理活动及其目的的信息;未能尊重个人权利并回应请求。
9.工行美国子公司遭勒索软件攻击,致部分系统中断
10.瑞典:IMY因数据安全失败对Indecap处以500,000瑞典克朗的罚款
2023年11月8日,瑞典隐私保护机构(IMY)发布了其决定书DI-2021-3422,该决定书对违反《通用数据保护条例》(GDPR)的行为进行了处罚,罚款为瑞典克朗500,000元(约合45,980美元),原因是接到了客户投诉,称在2021年1月20日,Indecap发送了一封包含错误信息的电子邮件,其中包含其他客户的个人财务数据。在其调查后,IMY称,错误的文件包含了52,364名注册用户的个人数据,并发送给了2,813人。IMY认定,由于对数据主体的自由和权利构成的高风险,包括对值得保护的信息的保密性的丧失,Indecap违反了GDPR的第32(1)条。
11.瑞典:委员会要求YouTube、TikTok必须在11月30日之前详细说明儿童保护措施
12.TikTok和Meta因“数字看门人”规则对欧盟委员会提出上诉
11月17日,TikTok和Meta针对欧盟将其列为“数字看门人”(Gatekeeper)的决定提起上诉。TikTok在诉讼中指出,欧盟将其指定为“数字看门人”的做法并不严谨,同时还将阻碍其未来发展。根据欧盟规定,“数字看门人”需满足市值至少为750亿欧元或年营业额75亿欧元,每月活跃用户超过4500万。但是TikTok指出,其并未达到这一门槛,欧盟是基于其母公司抖音集团的市值评估的,而TikTok的全球收入也更多来自欧洲以外市场。此外,TikTok还认为,欧盟委员会在将其指定为看门人前并未进行市场调查。
13.TikTok同意越南政府对该平台实施新的儿童隐私限制,包括删除13岁以下用户的账户和视频
14.Meta被美国42州指控社交媒体功能危害儿童和青少年
11月27日消息,纽约州检察长LetitiaJames及32位州检察长向联邦法院提起诉讼,控告Meta利用年轻用户心理弱点来设计其社交媒体产品,危害年轻人的心理健康,并以此牟利。与此同时,另有9名检察长在各自的州提起诉讼,至少有42个州对Meta采取了行动。Meta一份2020年的内部PPT显示,“当涉及‘感觉良好’的多巴胺效应时,青少年是永远不会满足的”。PPT指出,该公司的现有产品已经非常适合提供能够触发这种强效神经递质的刺激。“每当我们的青少年用户发现一些意想不到的东西时,他们的大脑就会分泌出多巴胺。”诉讼者认为,Meta曾试图利用年轻用户“容易冲动、受到同伴压力和出现潜在有害危险行为”的心理特点来设计其社交媒体产品。
五重点法规解读
1.联合国教科文组织公布社交媒体平台监管行动计划
在40多页的篇幅中,行动计划详细介绍了所有利益攸关方(包括政府、监管机构、民间社会和平台本身)应遵守的原则,以及应由其各自落实的具体措施。其中七项必须遵守的基本原则包括:
教科文组织总干事阿祖莱同时提醒,所有这些工作应当以一项核心要求为指导,即必须始终维护表达自由和所有其他人权。为此,教科文组织特别提出,各平台应有人员充足、能应对本平台所有主要语言的合格运营团队,以对线上发布内容进行可靠而有效的监管。平台必须确保审核过程透明,包括通过算法实现的自动审核。此外,还必须以其业务所在国的所有主要语言为使用者提供服务,并报告用户投诉。
此外,UNESCO还将支持成员国将这一监管行动计划纳入本国的法律法规,并正在为此筹集专项资金。
2.美国总统拜登发布《关于安全、稳定和可信的人工智能行政令》
10月30日,美国总统拜登签署《安全、可靠、值得信赖地开发、使用人工智能的行政命令》(ExecutiveOrderontheSafe,Secure,andTrustworthyDevelopmentandUseofArtificialIntelligence)。该行政令共分为12个章节,包含8个目标,为AI安全提出了诸多新要求:
(1)建立人工智能安全和安保的新标准
(2)保护美国民众的隐私
为了更好地保护美国民众的隐私,行政令呼吁国会通过两党数据隐私立法,并指示联邦政府采取优先支持加快开发使用隐私保护的技术、增强隐私保护的技术研究、评估各机构收集和使用商业信息行为以及为联邦机构制定指导方针等。
(3)促进公平和公民权利
滥用AI将会导致司法、医疗和住房领域歧视现象的进一步加深。为确保AI促进公平和公民权利,行政令要求向联邦福利计划、联邦承包商和业主提供明确指导,提升和解决人工智能算法歧视问题,确保整个刑事司法系统的公平性。
(4)维护消费者、患者和学生权益
AI在为大众带来方便、高效的同时也潜藏着增加误解、误导和伤害美国民众的风险,为了保护消费者,同时确保AI能让民众生活得更好。行政令重点要求在医疗保健领域负责任地使用AI,开发更加廉价亲民的药物,并要求卫生与公众服务部制定一项安全计划,以接收涉及AI的伤害或不安全医疗行为的报告,并采取行动予以补救。此外,政府也应通过创造资源来支持教育工作者部署AI教育工具,从而发挥AI改变教育的潜力。
(5)保护劳动者
为了降低工作场所的风险,提高劳动者集体谈判能力,促进劳动者的培训和发展。行政令鼓励制定原则和最佳实践,通过解决工作岗位流失问题,减轻AI对劳动者的伤害并最大限度地提高其利益,并要求联邦政府研究和制定方案,以保护面临失业风险的劳动者。
(6)促进创新和竞争
美国在AI创新方面已经领跑全球,2022年在美国融资的AI初创企业数量超过了身后7个国家总和。为确保美国继续在AI创新领域保持领先地位,该行政令提出建立“国家AI研究资源”(NationalAIResearchResource)的试点,以促进全美的AI研究。此外,指令提出要为小型开发者提供技术援助和资源,协助其实现AI的商业化突破,鼓励联邦贸易委员会建立公平、开放和有竞争力的AI生态系统。另外,要优化签证流程,吸引优秀外国人才留美学习、居留和工作。
(7)提升美国在海外的领导力
(8)确保美国政府负责任地有效使用AI
AI将有助于美国政府更好地服务美国民众,扩大各机构的监管、治理和福利发放,还可以降低成本、提高政府机构信息系统的安全性。但使用AI也会带来一系列风险,为了确保政府有效部署人工智能,促进联邦政府的人工智能基础设施现代化,行政令要求采取多项措施,如发布各机构使用人工智能的指南;更高效地签订合同和加快招聘AI专业人才等。
3.欧洲理事会通过《数据法案》
4.欧盟:EDPB通过《电子隐私指令》下的追踪技术指南草案
11月15日,欧盟数据保护委员会(EDPB)通过了有关《电子隐私指令》(ePrivacyDirective)第5(3)条技术范围的拟议指南。这一拟议指南的目的在于明确该指令的范围,特别是对于新兴的跟踪技术,以提供更大的法律确定性,同时为数据控制者和个人提供指导。目前将进入为期六周的公众咨询阶段。
第5(3)条规定了在用户同意的情况下,才允许在用户终端设备中存储信息或获取已存储信息的要求(无论是否包含个人数据),除非满足法定例外情形。该条款明确了这不应阻止为通信传输或用户明确要求的信息社会服务提供者提供服务而绝对必要的技术存储或访问。
尽管第5(3)条通常被称为“Cookies规则”,但拟议指南清楚地表明,其权力范围涵盖更广泛的跟踪技术,而不仅仅是Cookies。该指南的一个关键观点是,在大多数情况下,跟踪技术需要用户的同意。
EDPB主席AnuTalus指出:“追踪用户的在线活动会严重损害人们的隐私,这已不是什么秘密。”当前,由于新技术的出现,以及《电子隐私指令》第5(3)条适用范围的不明确,产生了新的隐私风险。该指南探讨了多种解决方案,例如跟踪链接和像素、本地处理和唯一标识符,以确保不会规避该条款规定的同意义务。
为了明确第5(3)条的范围,该拟议指南分析了其中涉及的关键概念,如“信息”“用户或使用者的终端设备”“电子通信网络”“获取”和“存储的信息/储存”等。EDPB对前述“信息”的种类作出了极宽的解释,其认为除了大众较为熟悉的Cookies技术,数据埋点、通过API本地处理信息、IP地址追踪、物联网(IoT)设备涉及的报告技术及唯一标识符技术都应适用《电子隐私指令》。此外,该指南还提供了一系列以常用追踪技术为特色的实际使用案例。