1.网信办等四部门开展“清朗·网络平台算法典型问题治理”专项行动
专项行动通知于2024年11月24日发布。此次专项行动旨在进一步深化互联网信息服务算法综合治理,行动聚焦网络平台算法典型问题,针对“推荐类算法”和“决策类算法”展开治理,治理内容主要包括同质化推送营造“信息茧房”、违规操纵干预榜单炒作热点、盲目追求利益侵害新就业形态劳动者权益、利用算法实施大数据“杀熟”以及算法向上向善服务缺失侵害用户合法权益等。通知附件《算法专项治理清单指引》列明了具体的核验项目、核验要点、核验内容。
2.网信办发布《我国数据出境合规指引》
2024年11月19日发布的《我国数据出境合规指引》具体内容包括:我国数据出境管理法律依据、数据出境行为三类情形、数据出境安全管理对象仅限于重要数据(针对国家而言)和个人信息。数据出境合规路径的详解图示包括了数据出境安全评估申报和个人信息出境标准合同备案两类合规路径。符合6类豁免情形的,免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。同时,针对常见出境困惑,指引提供了6个方面的合规小贴士供参考。
3.国家互联网信息办公室发布《移动互联网未成年人模式建设指南》
4.国家密码管理局就《关键信息基础设施商用密码使用管理规定(征求意见稿)》公开征求意见
2024年11月15日发布的《关键信息基础设施商用密码使用管理规定(征求意见稿)》旨在规范关键信息基础设施商用密码使用,确保关键信息基础设施安全。《管理规定》要求运营者遵循国家商用密码管理、网络安全等级保护等制度要求,使用商用密码保护关键信息基础设施。运营者采购涉及商用密码的网络产品和服务,影响或者可能影响国家安全的,应当按照《网络安全审查办法》进行网络安全审查。
5.国家数据局印发《可信数据空间发展行动计划(2024—2028年)》
2024年11月23日发布的《可信数据空间发展行动计划(2024—2028年)》旨在引导和支持可信数据空间的发展,促进数据要素的规模化流通和共享使用,加快构建以数据为关键要素的数字经济。计划提出到2028年,建成100个以上可信数据空间,初步形成与我国经济社会发展水平相适应的数据生态体系。行动计划主要包括能力建设、培育推广和筑基三大行动。
6.《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》发布
2024年11月21日,《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》由全国网络安全标准化技术委员会和香港个人资料私隐专员公署共同制定和发布,该要求规定了粤港澳大湾区(内地、香港)个人信息处理者或者接收方,在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求,适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。
7.《国家数据基础设施建设指引(征求意见稿)》发布
《国家数据基础设施建设指引(征求意见稿)》于2024年11月22日发布,征求意见稿明确了数据基础设施的概念内涵、发展愿景和建设目标,力争指导推进数据基础设施建设,畅通数据资源循环,促进数据应用开发,培育全国一体化数据市场,夯实数字经济发展基础,为数字中国建设提供有力支撑。
8.最高法发布“法信法律基座大模型”研发成果
2024年11月15日,“法信法律基座大模型”研发成果新闻发布会召开。根据新闻发布会内容,“法信法律基座大模型”已完成在网信部门的生成式人工智能服务备案,是国家级法律人工智能基础设施。模型基于海量、权威和高质量法律大数据预训练后形成,具备法律语义理解、逻辑推理、融合搜索、内容生成等基础能力,同司法审判工作深度融合,有利于提升法律文书处理质效,保障法律正确统一实施。法律大模型将在司法工作各环节、行政执法、公共法律服务方面发挥作用。
9.上海市知识产权局、上海市数据局联合制定《上海市数据产品知识产权登记存证暂行办法》
《办法》旨在推进数据产品知识产权登记试点工作,办法所称数据产品知识产权,是指自然人、法人或者非法人组织对其合法获取的数据资源,经过实质性加工和创新性劳动后形成的具有智力成果属性和商业价值的数据加工集合、数据加工产品、数据技术算法等数据产品享有的权益。办法明确了数据产品知识产权登记的申请方式、材料和流程,办法自2024年12月8日起施行。
10.湖南省人民政府办公厅印发《湖南省加强数据资产管理工作方案》
2024年11月14日,湖南省人民政府办公厅印发《湖南省加强数据资产管理工作方案》。《工作方案》提出了分阶段工作目标,提出到2026年底,培育和引进数据企业100家;推动100家企业完成数据资产入表工作,数据资产总规模达到3亿—5亿元;力争通过数据资产质押、增信等金融化手段,实现数据资产价值转换突破5亿元。工作方案明确了“建立数据资产管理机制、推动数据资产开发利用、加强数据资产管理协同共治、开展数据资产管理试点和加强数据资产风险防控”五大工作任务。
11.《湖北省数据产权登记管理办法(试行)》公开征求意见
2024年11月1日,《湖北省数据产权登记管理办法(试行)》公开征求意见。《湖北省数据产权登记管理办法(试行)》旨在规范湖北省内的数据产权登记服务,保护市场主体权益,建立数据持有权、使用权、经营权结构性分置的数据产权运行机制,促进数据合规流通和利用。根据《办法》,自然人、法人或非法人组织可作为登记申请人,以合法取得的数据资源或数据产品为登记对象发起登记申请,进行数据产权登记。取得的登记凭证,可作为数据交易、数据资产入表、质押融资、数据要素型企业认定、会计核算、争议仲裁的可信依据。
二、境内监管动态
1.国家互联网信息办公室关于发布第八批深度合成服务算法备案信息的公告
2024年11月1日,国家互联网信息办公室关于发布第八批深度合成服务算法备案信息的公告,联想、金山、声通等企业所开发的509项算法完成备案,取得备案编号。《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者、服务技术支持者,应当履行备案手续。
2.北京互联网法院首例“搜索提示词”算法侵权案宣判
3.人工智能生成图片著作权纠纷第二案宣判
4.工业和信息化部通报第44批侵害用户权益行为的APP(SDK)
2024年11月13日,工业和信息化部通报,经抽查发现27款APP及SDK存在侵害用户权益行为。所涉问题包括APP频繁自启动和关联启动、违规收集个人信息、信息窗口“摇一摇”乱跳转或误导用户滑动乱跳转、信息窗口未提供关闭或退出标识等违法违规行为。
5.国家计算机病毒应急处理中心监测发现13款违规移动应用
6.中消协:建议开展不明链接跳转问题整治行动,维护消费者网络权益
7.2024年“5G+工业互联网”融合应用试点城市建设启动
2024年11月19日,以“实数融合智造翘楚”为主题的2024中国5G+工业互联网大会开幕。大会开幕式上,工业和信息化部正式发布2024年“5G+工业互联网”融合应用试点城市名单,南京、武汉、青岛、深圳、苏州、上海、宁波、广州、沈阳、成都上榜首批“10大试点城市”。试点城市将为全国“5G+工业互联网”融合应用构建新范式。
8.全国首次交通运输行政事业单位数据资产运营交易落地
青岛市交通运输局深入推进公共数据从资源到资产的全链条改革试点任务。数据资源管理方面,开展数据资源普查,组织第三方机构评估开展全方位评估,推进确权登记工作,率先完成数据资产入账入表。数据资产运营方面,先后与10余家数商开展座谈对接,并明确以“智慧化综合交通分析业务”场景开发数据产品,最终于11月11日完成公共数据的运营与交易,形成收益。
9.全球首张ISO55013数据资产管理体系认证证书颁发
2024年11月7日,在第七届中国国际进口博览会期间,国际公认的测试、检验和认证机构SGS为广东德生科技股份有限公司颁发了“ISO55013数据资产管理体系认证”证书,标志着SGS该体系全球首张证书正式落地广州天河。该体系涵盖了数据的定义、收集、存储、分析、使用、保护等各环节,包括数据资产的识别与分类、评估、治理等方面。
10.全国首例污水处理监测数据资产入表落地盐城大丰
2024年11月1日,全国首例污水处理监测数据资产入表落地盐城大丰。盐城市大丰区沪城污水处理有限公司与专业公司合作研讨,成功在广州数据交易所完成“盐城市大丰区污水处理出水监测数据应用”数据资产的登记,获得了广州数交所的数据资产登记凭证,并实现了数据资产会计入表。据报道,该类污水处理监测数据资产登记入表在全国尚属首例。
11.吐鲁番市网信部门查处曝光2起网络违法违规典型案例
三、境外资讯
1.欧盟发布通用人工智能行为准则初稿
2.欧洲数据保护委员会(EDPB)发布关于欧盟—美国数据隐私框架的首次审查报告
11月4日,EDPB发布对欧盟—美国数据隐私框架(DataPrivacyFramework,DPF)的首次定期审查报告,详细评估了框架的执行情况,并在隐私保护和数据安全方面提出了进一步的改进建议。报告指出,DPF为跨大西洋数据流动提供了新机制,但在商业合规监督、数据再流动责任分配、人力资源数据定义范围、政府访问数据合规等方面仍需加强。
3.欧盟委员会发布《规定网络平台提供商透明度报告义务模板实施条例》
11月4日,欧盟委员会发布了《规定网络平台提供商透明度报告义务模板实施条例》(简称《实施条例》),为适用《数字服务法》(DSA)的中介服务提供者细化了透明度报告义务。《实施条例》重点针对透明度报告的格式及内容、报告周期、保存期限等作出规定,解决了之前中介服务提供商发布的报告标准不一致的问题。
4.瑞士国家网络安全中心(NCSC)发布国家半年度网络安全报告
5.美国加州隐私保护局(CPPA)通过《数据经纪人注册法规》,同时推进涉自动决策技术规则制定
11月8日,CPPA委员会宣布投票通过了拟议的数据经纪人注册法规(proposeddatabrokerregistrationregulations),其中包括:明确注册要求;定义与消费者有“直接关系”的具体含义、“未成年人”和“生殖保健”等术语的内涵;要求数据经纪人披露有关豁免数据收集行为的具体信息。同时,CPPA委员会还投票决定将保险、网络安全审计、风险评估和自动决策技术(ADMT)的拟议法规纳入正式规则制定。
6.欧盟发布《网络弹性法案》全文
11月20日,欧盟发布了《网络弹性法案》,该法案将于2024年12月10日生效,并于2027年12月11日起全面适用(制造商报告义务将提前于2026年9月11日起适用)。该法案旨在确保具有数字功能的产品(例如“物联网”(IoT)产品)安全可用并抵御网络威胁。法案引入了强制性的网络安全要求,适用范围涵盖具有数字元素的产品,以及制造或提供这种产品的制造商、进口商、分销商等,并制定了类似GDPR的高额处罚制度。
7.英国信息专员办公室(ICO)发布《预防欺诈数据共享指南》
11月22日,ICO发布《预防欺诈数据共享指南》,帮助各类组织在遵守英国GDPR和2018数据保护法(DPA)的前提下共享个人数据以预防欺诈。该指南强调组织需开展数据保护影响评估(DPIA)、制定数据共享协议,并明确共享数据的合法性基础和共享数据的类型。同时,遵守公平性、透明性、数据最小化、安全性和问责制的数据保护原则,采用“设计和默认保护”的方法,以确保数据共享过程中的合规性和安全性。
8.美洲开发银行(IDB)与美洲数字政府网络(GEALC)共同启动“南方共同市场数字公民”计划
四、境外监管动态
1.华盛顿州检察长发布报告,提出加强数据防泄露措施
华盛顿州11月26日发布的年度数据泄露报告建议,应缩短数据泄露通知的提交期限至三天内,要求在非英语语言中发送泄露通知,扩大“个人信息”的定义范围,包括姓名与部分隐去的社保号码组合,以及个人税号。同时,报告呼吁企业识别并尊重消费者的“全球退出”选择,减轻手动退出数据共享的负担。此外,报告还建议对数据经纪人和收集者实施年度报告、州许可和监管费用等透明度要求。这些措施旨在保护华盛顿州居民的数据安全,降低数据泄露风险。
2.美国司法部携手38位州检察长,力图打破谷歌搜索引擎垄断
4.美国人工智能安全研究所发布了关于透明度和合成内容的NISTAI100-4
美国国家标准与技术研究院(NIST)下属的人工智能安全研究所于11月20日发布了《NISTAI100-4》报告,旨在减少合成内容带来的风险。该报告提出了一系列自愿性的技术方法,以提高数字内容的透明度,包括内容认证、水印技术、合成内容检测和防止有害AI生成内容的措施。报告强调,确保有效的技术手段和用户与数字内容的互动至关重要,并引用了《行政命令14110》和《NISTAI风险管理框架》中的定义和概念。报告还深入探讨了合成内容的创建、发布和消费流程,讨论了数字水印、元数据记录等透明度工具的优势与考虑因素。
5.美国卫生与公共服务部因未能及时提供患者记录而对心理健康中心罚款10万美元
6.欧盟委员会要求就互联网治理磋商提供反馈意见
7.芬兰数据保护监察专员因非法处理个人数据而对Posti公司处以240万欧元的罚款
8.印度竞争委员会因WhatsApp的2021年隐私政策更新而对Meta处以213.14亿卢比罚款
9.韩国个人信息保护委员会因个人信息泄露罚款两所大学
韩国个人信息保护委员会(PIPC)近日对顺天乡大学处以1.93亿韩元罚款,对庆星大学处以4280万韩元罚款,原因是两所大学因网络安全漏洞导致个人信息泄露。顺天乡大学主网站遭黑客攻击,超过500人的个人信息泄露;庆星大学的综合信息系统同样遭破坏,影响2000名学生。两所大学均未从2017年10月起安装关键安全补丁,且未采取足够的安全措施,如网络应用防火墙。PIPC已下令采取纠正措施,包括安装入侵预防和检测系统、应用安全补丁,并对个人数据加密。
10.违反HIPAA安全规则,OCR与私人医疗保健提供商达成50万美元罚款和解
美国卫生与公共服务部民权办公室(OCR)与南达科他州整形外科协会达成和解,后者因违反健康保险便携与责任法案(HIPAA)安全规则,在勒索软件攻击中泄露了10229人的健康信息,被处以50万美元罚款。OCR调查发现,该公司未能进行风险评估、实施适当的安全措施、审查系统活动以及处理安全事件。因此,该公司现在必须实施纠正行动计划,包括风险评估、风险管理计划、安全事件程序,以及对员工进行HIPAA政策的培训。
11.荷兰数据保护局发现DUO在教育中使用算法具有歧视性
荷兰数据保护局(AP)发现,教育执行机构(DUO)使用算法监控学生助学金滥用行为存在歧视性,并违反了通用数据保护条例(GDPR)。该算法基于学生的教育、与父母的地理距离、年龄和非荷兰背景不公平地分配了更高的风险评分。从2013年至2022年,大约有21500名学生被检查是否存在滥用行为。
12.加拿大隐私专员办公室(OPC)宣布对世界反兴奋剂机构关于生物样本处理的调查
加拿大隐私专员于11月12日宣布,针对世界反兴奋剂机构(WADA)启动调查。调查将重点审查WADA在监控体育运动中药物使用方面收集、使用和披露个人信息方面的做法是否符合加拿大《个人资料保护及电子文件法》(PIPEDA)。WADA总部设在魁北克省蒙特利尔市,自2015年起因国际压力而纳入PIPEDA管辖范围,旨在确保其持有的大量敏感个人信息受到适当监督。
13.韩国因收集和处理没有法律依据的个人数据而对Meta处以216亿韩元罚款
14.法国数据保护局因司法部和内政部不当使用犯罪记录而对其制裁
法国国家信息和自由委员会(CNIL)对司法部和内政部进行了制裁,原因是两部门违反了《信息与自由法案》第97条、第104条、第55条、第106条等有关规定,未能更新或删除在作出无罪或案件撤销后的犯罪记录,并且没有通知个人其记录的更新情况;未能确保犯罪记录中个人数据的准确性和及时性,也未告知数据主体其数据的处理情况。CNIL要求两部门更正或删除不准确的数据,保障数据主体个人信息权利。