月刊主编:杨洪泉、沈飏
01中国法律观察
立法追踪
MEASURES FOR DATA SECURITY MANAGEMENT IN BANKING AND INSURANCE INSTITUTIONS
《银行保险机构数据安全管理办法》
2024年12月27日,国家金融监督管理总局发布《银行保险机构数据安全管理办法》(以下简称《办法》)。《办法》旨在规范银行业和保险业的数据处理活动,确保数据及金融安全,促进数据的合理使用,并保护社会公共利益和金融消费者的合法权益。《办法》共9章81条,强调了数据治理的顶层设计、分类分级管理、强化数据安全管理体系、加强个人信息保护以及完善风险监测处置机制等关键措施,以保障数据全生命周期的安全。该规定的出台体现了国家对强化金融监管和防控金融风险的重视,将指导银行保险机构提升数据安全管理能力,确保客户信息和金融交易数据的安全性。
来源:
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1192305&itemId=915
VEHICLE DATA COLLECTION OFF-SWITCH GUIDELINES
《网络安全标准实践指南—一键停止收集车外数据指引》
2024年12月19日,网安标委发布了《网络安全标准实践指南—一键停止收集车外数据指引》。为应对智能网联汽车可能在不经意间收集大量重要数据和敏感个人信息的问题,该指南提出了一种较为便捷的一键停止收集车外数据的功能实践指引。该指引建议通过设置物理按键来关闭车载摄像头、雷达等传感器,实现一键停止数据收集,并通过车外状态标识告知管理人员车辆已暂停收集数据,从而降低管理难度。此方案主要针对配备高清摄像头、激光雷达、4D毫米波雷达等高精度传感器的智能网联汽车,而对于不具备此类精准收集和分析能力的车辆,则仅作为参考。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20241219144541
DRAFT TECHNICAL REQUIREMENTS FOR MINOR MODE IN MOBILE INTERNET
《网络安全标准实践指南——移动互联网未成年人模式技术要求(征求意见稿)》
2024年12月17日,网安标委发布了《网络安全标准实践指南——移动互联网未成年人模式技术要求(征求意见稿)》,指导应用程序提供者、移动智能终端提供者和移动应用程序分发平台提供者开展未成年人模式的研发和应用。例如,支持一键启动及退出,家长可管理应用权限和查询使用情况,建立健全防沉迷制度等。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20241206173342
DRAFT EMERGENCY RESPONSE GUIDELINES FOR GENERATIVE AI SECURITY INCIDENTS
《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》
2024年12月17日,网安标委发布了《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》,给出安全事件分类分级建议,明确应急响应各阶段管理措施、技术方法与协同建议,还提供典型案例供参考。例如,按照GB/T 20986将生成式人工智能服务安全事件分为信息内容安全事件、数据安全事件、网络攻击事件等10类,依据事件影响对象重要程度、业务损失和社会危害严重程度,将安全事件分为四级。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20241217090747
DRAFT-GOVERNMENT SECRUITY GUIDELINES
《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》公开征求意见
2024年12月2日,网安标委发布国家标准《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》征求意见稿,向社会公开征求意见,反馈意见的截止日期为2025年1月31日。该征求意见稿作为《基于互联网电子政务网络安全实施指南》的总则部分,给出基于互联网电子政务的参考模型、网络安全技术体系、体系实施原则及两种安全体系实施架构,适用于地市级(含以下)不涉及国家秘密的电子政务网络安全建设,供管理人员和工程技术人员参考。
来源:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20241202105809&norm_id=20240806164135&recode_id=57766
GUIDELINES FOR THE DIGITAL TRANSFORMATION OF MANUFACTURING COMPANIES
三部门印发《制造业企业数字化转型实施指南》
2024年12月17日,工业和信息化部、国务院国有资产监督管理委员会、中华全国工商业联合会联合印发《制造业企业数字化转型实施指南》,旨在为企业数字化转型提供指引,主要内容包括总体要求、分步实施、场景突破、分类推进和政策保障等方面,同时附件提供了典型场景参考。
来源:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_a277e626fcdb4082918e838e6d042bb3.html
典型案例
DATA IP REGISTRATION CERTIFICATE RECOGNISED IN LITIGATION
北京互联网法院全国首例《数据知识产权登记证》效力认定案入选2024年度AIPPI中国分会版权十大热点案件
2024年12月7日,2024年度AIPPI中国分会版权十大热点案件发布,北京互联网法院全国首例涉“车联网”著作权侵权案、全国首例《数据知识产权登记证》效力认定案入选。在《数据知识产权登记证》效力认定案中,北京某科技公司录制大量语音数据,发现被告非法获取并传播,法院认定原告收集行为合法,其提交的登记证有证明作用。该案件为我国数据知识产权登记实践提供了有力司法支撑。
来源:
https://mp.weixin.qq.com/s/PBm_QvLr72JwEzFwzR2DuA
COMPANY PENALISED FOR NETWORD SECURITY FAILINGS
浙江某软件科技公司因数据库存在安全漏洞被公安机关行政处罚
2024年12月25日,国家网络安全通报中心对浙江某软件科技公司因数据库存在安全漏洞被公安机关行政处罚进行通报。浙江台州公安机关发现浙江某软件科技公司受托搭建的数据库有安全漏洞,致大量电子政务数据面临泄露风险,该公司未履行数据安全保护义务,违反《中华人民共和国数据安全法》。台州公安机关对涉事公司及负责人行政罚款,责令整改,并约谈涉事政府部门负责人,要求强化数据安全管理,严防泄露。
来源:
https://mp.weixin.qq.com/s/BctEJlN1Ij2THHykjaW3FQ
官方通告
MIIT'S 10TH BATCH OF APPS (SDKS) VIOLATING USER RIGHTS IN 2024
工信部发布第2024年第10批侵害用户权益行为的APP(SDK)通报
2024年12月27日,工信部通报2024年第10批侵害用户权益行为的APP及SDK,被通报的问题包括超范围收集个人信息、APP强制、频繁、过度索取权限、信息窗口“摇一摇”乱跳转、违规收集个人信息、APP频繁自启动和关联启动、信息窗口点击乱跳转、信息窗口无法关闭、SDK信息公示不到位等。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_fef6519189194ecca6b524421b213831.html
RECTIFICATION CAMPAIGN AGAINST ILLEGAL FINANCIAL INFORMATION
国家网信办集中整治网上金融信息乱象
2024年12月11日,国家网信办发文称,今年以来,国家网信办落实部署,会同多部门严打网上金融信息乱象,处置违规账号、清理违规信息、处罚无资质网站账号,要求助贷平台规范营销,后续将持续整治以规范传播秩序、保障群众财产安全。网信部门提示,当前非法金融活动形式多样隐蔽,打着各类幌子开展网络传销活动,提醒网民树立正确投资观,增强风险意识。
来源:
https://www.cac.gov.cn/2024-12/11/c_1735611541882325.htm
ACTION PLAN FOR EMPOWERING SMALL AND MEDIUM-SIZED ENTERPRISESTHROUGH DIGITALISATION (2025-2027)
四部门印发《中小企业数字化赋能专项行动方案(2025—2027年)》
2024年12月12日,工业和信息化部等四部门联合发布《中小企业数字化赋能专项行动方案(2025—2027年)》,明确总体要求,到 2027 年达成一系列中小企业数字化转型目标,初步构建转型生态。方案部署重点任务,含 “百城” 试点、分类梯次开展数字化改造、推进链群融通转型、人工智能赋能、数据要素激活、供给质效提升、公共服务能力提高等方面工作。
来源:
https://www.gov.cn/zhengce/zhengceku/202412/content_6992542.htm
MIIT/TC1: THE AI STANDARDISATION TECHNICAL COMMITTEE ESTABLISHMENT
工业和信息化部决定成立人工智能标准化技术委员会
2024年12月13日,工业和信息化部公告决定成立人工智能标准化技术委员会,编号为 MIIT/TC1,主要负责人工智能评估测试、运营运维、数据集、基础硬件、软件平台、大模型、应用成熟度、应用开发管理、人工智能风险等领域行业标准制修订工作。
来源:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/gg/art/2024/art_1ca46d8078f846108c155c77fb420028.html
02出海法律观察
聚焦欧洲
EDPB就AI模型的个人数据处理问题发表意见
2024年12月,欧盟数据保护委员会(EDPB)应爱尔兰数据保护当局的要求,就AI模型的个人数据处理问题及所涉及的GDPR合规性发表了意见。该意见涵盖了三个主要领域:1)AI模型的匿名性评估、2)合法利益作为开发和部署AI模型的法律依据评估,以及3)非法处理数据对AI模型部署合法性的影响评估。EDPB的意见为监管机构提供了评估AI模型处理个人数据合规性的框架,强调了数据保护原则在AI技术中的重要性。
来源:
https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en
爱尔兰DPC罚款Meta2.51亿欧元
2024年12月,爱尔兰数据保护委员会(DPC)对Meta Platforms Ireland Limited(Meta)作出了处罚决定,命令其支付总计2.51亿欧元的行政罚款。此决定基于爱尔兰DPC针对Meta于2018年9月报告的个人数据泄露事件所开展的两次深入调查,有关数据泄露事件波及全球约2900万个Facebook账户,其中欧盟/欧洲经济区内的受影响账户数量约为300万个,泄露的数据涵盖了用户全名、电子邮件地址、宗教等个人数据。Meta的具体违规行为包括:在泄露通知中未能包含GDPR第33(3)条所要求的全部必要信息;未严格按照GDPR第33(5)条的规定记录泄露情况及采取的补救措施,未能以允许监管机构验证合规性的方式进行记录;未能确保处理系统的设计中充分融入数据保护原则(违反GDPR第25(1)条);未确保在默认情况下仅处理为特定目的所必需的个人数据(违反GDPR第25(2)条)。
来源:
https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-meta-eu251-million
荷兰DPA罚款Netflix475万欧元
2024年12月,荷兰数据保护局(Dutch DPA)对Netflix施以475万欧元的罚款,因其在2018年至2020年间未能向客户充分告知其对客户个人数据的处理情况。荷兰DPA认为Netflix的未能清晰告知以下事项:收集和使用个人数据的目的和法律依据;与其他方共享个人数据的情况及原因;数据存储期限;在将个人数据传输到欧洲以外的国家时如何确保数据安全。Netflix已更新其隐私声明,并对罚款提出了异议。
来源:
https://www.autoriteitpersoonsgegevens.nl/en/current/netflix-fined-for-not-properly-informing-customers
EDPS裁定欧盟委员会的政治定向广告行为非法
欧洲数据保护监督机构(EDPS)对欧盟委员会在社交媒体平台X/Twitter上发布政治微定向广告的行为进行了裁决,认定该行为违法。欧盟委员会此前为了试图在荷兰影响政治观点,以推动一项备受争议的聊天控制法规(该法规可能破坏所有加密的在线通信,使当局能够阅读在线聊天内容),在X/Twitter上发布了帖子间接宣传该法规。欧盟委员会不仅发布了这些政治信息,且其所使用关键词明显只定向政治自由派或左派用户,而不是保守派或右翼用户。通过这种方式,欧盟委员会构成了处理欧盟公民个人数据以定向广告的非法行为。EDPS认为欧盟委员会是控制者,对平台上的非法定向负全责。EDPS对此仅发出训诫(即正式认定行为非法并发出正式警告),欧盟委员会已停止了前述非法行为。
来源:
https://noyb.eu/en/political-microtargeting-eu-commission-illegal
英国Ofcom发布《在线安全法》实践守则
2024年12月16日,英国通信办公室(Ofcom)依据《在线安全法》(Online Safety Act)正式发布了关于非法内容的实践守则。根据该法案规定,所有提供用户对用户(user-to-user)服务及搜索服务的受监管企业,均承担有保护用户免受非法侵害的法定义务。自2025年3月17日起,这些服务提供商必须遵循实践守则中明确的安全措施,或采取其他同等有效的措施,以确保用户免受非法内容和活动的侵扰。具体措施包括:积极采取适当手段防止用户接触非法内容;有效减轻并管理服务中存在的风险;根据非法内容风险评估结果,妥善降低与管理风险;一旦发现非法内容,应立即删除,并尽最大努力缩短其在服务中的存在时间;在服务条款中清晰阐述将采取的具体措施;为用户提供便捷的非法内容举报渠道,并确保投诉程序顺畅运行。
来源:
https://www.ofcom.org.uk/online-safety/illegal-and-harmful-content/guide-for-services/
北美观察
美国数据跨境规则限制受关注国家获取美国数据
美国司法部发布了《防止受关注国家或涵盖人员访问美国敏感个人数据和政府相关数据的规定》(以下简称“《最终规则》”),该规则旨在严格限制古巴、伊朗、朝鲜、俄罗斯和委内瑞拉等六个特定受关注国家获取美国数据,并明确禁止或限制美国实体与这些国家或相关涵盖人员之间传输大量敏感个人数据或政府相关数据。《最终规则》界定了禁止和限制交易的具体类别,明确了禁止或限制交易分别涉及的数据门槛。同时,该规则还规定了例外的豁免情况,建立了监管部门的许可流程,以授权其他原本被禁止或限制的交易。《最终规则》规定了交易记录的保存和报告要求,以便为司法部的调查、执法和监管工作提供必要的信息支持。《最终规则》已于2025年1月8日刊登于《联邦公报》,并将在刊登后的90天内正式生效。
来源:
https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-us-sensitive-personal-data-and-government-related-data-by-countries-of-concern
美国CISA发布国家网络事件响应计划更新草案(征求意见稿)
2024年12月16日,美国网络安全和基础设施安全局(CISA)正式宣布发布国家网络事件响应计划(National Cyber Incident Response Plan, NCIRP)的更新草案,并面向公众公开征求意见。NCIRP的核心内容涵盖资产响应、威胁响应、情报支持以及受影响实体的响应措施,规划网络事件响应生命周期的协调机制、关键决策节点以及优先级活动,为应对网络事件提供了全面的指导。此次NCIRP拟更新:为非联邦利益相关者提供明确参与和协调网络事件响应的途径;简化内容、调整操作生命周期;影响机构角色和职责的相关法律和政策变化;明确NCIRP未来的更新周期。
来源:
CISA Publishes Draft National Cyber Incident Response Plan for Public Comment | CISA
美国HHS对某违反HIPPA企业罚款119万美元
美国卫生与公众服务部(Department of Health and Human Services,简称HHS)下属的民权办公室(Office for Civil Rights,简称OCR)对Gulf Coast Pain Consultants, LLC处以119万美元的罚款。此次罚款的原因是,该公司的一名前员工在未经许可的情况下,擅自进入了公司的电子病历系统,导致大约34,310人的个人健康信息受到影响。美国OCR经过深入调查,发现该公司存在多项违规行为:未能进行全面的风险分析,未定期审查系统活动记录,未及时终止前员工对个人健康信息的访问权限,以及未能妥善管理员工对信息系统的访问。
来源:
https://public3.pagefreezer.com/browse/HHS.gov/02-01-2025T05:49/https://www.hhs.gov/about/news/2024/12/03/hhs-ocr-imposes-penalty-against-gulf-coast-pain-consultants.html
洞悉亚太
马来西亚MCMC发布通讯及多媒体行业网络安全指引
2024年12月8日,马来西亚通信和多媒体委员会(MCMC)发布了《通信和多媒体行业信息和网络安全指南》,旨在提高信息和网络安全以及通信和多媒体行业(INSG)的弹性。该指南适用于所有服务提供商,除非明确获得MCMC的豁免。《通信和多媒体行业信息和网络安全指南》包括信息和网络安全治理、信息和网络基础设施、信息和网络安全、消费者保护、向MCMC报告和通知、预防犯罪和调查协助等主要内容。
来源:
Malaysian Communications And Multimedia Commission (MCMC) | Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) - Guidelines on Information and Network Security for the Communications and Multimedia Industry (INSG)
日本发布中小企业个人信息泄露预防手册
2024年12月5日,日本个人信息保护委员会(PPC)发布了一份针对中小企业的个人信息泄露预防手册。手册中载明在2024年的泄漏报告中,约有30%是未经授权的访问造成的(2024年上半年),大约2%的中小企业在前述期间遭受了对其服务器和网站的未经授权的访问。PPC建议中小企业采取以下措施,加强密码;确保操作系统和软件为最新版本;安装防病毒软件并及时更新。
来源:
https://www.ppc.go.jp/files/pdf/241205_chuushou_leaflet.pdf
环球拾遗
巴西ANPD禁止X使用未成年人数据训练AI
2024年12月17日,巴西国家数据保护局(ANPD)向X. Corp发出指令,要求其暂停使用18岁以下未成年人的数据进行生成式AI训练。ANPD要求为GAI训练的目的,18岁以下未成年人账户中的“不处理”信息和个人数据应包含在隐私政策或平台的“帮助中心”部分中(但需要在隐私政策中明确引用此部分)。此外,X. Corp还应禁用18岁以下用户为GAI训练目的共享个人数据的选项。X. Corp需修改其使用条款和隐私政策:删除使用条款中“出于任何目的”的模糊表述;以更明确具体的方式明确数据使用目的,并向个人数据主体清晰阐述这些目的如何影响其个人数据的保护情况。
来源:
https://www.gov.br/anpd/ptbr/assuntos/noticias/anpd-determina-adocao-de-medidas-preventivas-a-x-corp
月刊概览
往期推荐
点击“阅读原文”查看月刊全部内容。
声 明
文章仅代表作者观点,不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
