竞天公诚网络安全与数据合规动态提报(2024年7月)
时间:2024-08-07

竞天公诚网络安全与数据合规团队

本期编辑团队:张燕、梁天翔、张宜轩、刘瑞华、金梦开、胡月奕、孙永欣、向镇、丁煜

 

资讯速递

 

境内资讯

 

1.《人工智能全球治理上海宣言》发表

 

7月4日,2024世界人工智能大会发布《人工智能全球治理上海宣言》,强调人工智能的潜力与挑战并存,呼吁全球合作确保技术发展的安全、可靠、公平与可控。宣言提出促进AI在医疗、教育等多领域应用,加强数据安全与隐私保护,构建全球治理机制,加强社会参与和提升公众素养。同时,宣言倡导AI赋能可持续发展,提升生活品质与社会福祉,期待全球各方携手推动AI健康发展,共创智能向善的未来。

 

来源:外交部

 

2.《数据安全技术 个人信息保护合规审计要求(征求意见稿)》公开征求意见

 

7月12日,全国网安标委针对国家标准《数据安全技术 个人信息保护合规审计要求》公开征求意见,截止日期为9月11日。该标准提出了个人信息保护合规审计的原则和实施要求,适用于个人信息处理者进行合规审计,也为相关机构提供参考。标准内容涵盖审计流程、证据管理、审计人员要求等,强调审计应遵循合法性、独立性、客观性、全面性、公正性和保密性原则。个人信息处理者需建立审计体系,制定相关制度,确保审计的独立性和有效性。审计人员需具备专业能力,保持独立性和客观性,确保审计证据的真实、完整、有效。审计流程包括审计准备、实施、报告、整改和归档管理,确保审计的全面性和系统性。

 

来源:全国网络安全标准化技术委员会

 

3.国务院公布修订后的《中华人民共和国保守国家秘密法实施条例》

 

《保守国家秘密法实施条例》是对《保守国家秘密法》有关制度规定、实施举措的进一步细化和落实,主要规定了国家秘密的确定、变更和解除的程序,保密工作的管理与监督,以及违反保密法的责任追究等内容。本次《条例》的修订对新时代的国家保密工作提出了更加精细、严密的法律要求,主要包括四个方面,一是细化党管保密原则,健全党管保密体制机制;二是在修订后的《保守国家秘密法》制度框架下细化、完善相关制度,如定密管理制度、涉密人员管理等;三是聚焦保密工作面临的新情况新问题,总结提炼近年来保密工作行之有效的经验做法和成熟制度,如保密科学技术创新和防护、网络信息和数据保密管理等;四是强化责任追究机制,加大了对泄密行为的惩处力度。

 

来源:国务院

 

4.自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》

 

7月26日,自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》,旨在维护国家测绘地理信息安全,促进智能网联汽车健康发展。《通知》明确了智能网联汽车测绘活动属于《测绘法》规定的测绘活动,要求依法管理涉测绘行为,严格涉密、敏感地理信息数据管理,加强导航电子地图审核,确保地理信息数据存储于境内并符合安全保密要求。同时,鼓励地理信息安全应用探索,优化地理信息公共服务,营造安全发展环境,促进智能网联汽车健康发展。

 

来源:自然资源部

 

5.《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见

 

7月26日,公安部、国家网信办发布《国家网络身份认证公共服务管理办法(征求意见稿)》,旨在加快实施网络可信身份战略,通过国家统一建设的网络身份认证公共服务平台,为自然人提供网号、网证申领及身份核验服务。《办法》强调数据安全和个人信息保护,明确了国务院公安部门、国家网信部门的监管职责及各部门推广应用责任。同时,《办法》鼓励互联网平台自愿接入公共服务,用以支持用户使用网号、网证进行身份验证,减少明文身份信息的使用。

 

来源:公安部

 

6.最高检等印发《关于办理跨境电信网络诈骗等刑事案件适用法律若干问题的意见》

 

7月26日,最高人民法院、最高人民检察院、公安部联合印发《关于办理跨境电信网络诈骗等刑事案件适用法律若干问题的意见》,旨在全面贯彻习近平法治思想,严厉打击跨境电信网络诈骗犯罪。《意见》明确了惩治跨境电信网络诈骗等犯罪活动的总体要求和法律适用规则,要求公安机关、检察院、法院全面加强追赃挽损。

 

来源:最高人民检察院

 

7.北京市人民检察院发布《关于人工智能产业发展刑事合规风险提示》

 

北京市人民检察院在2024全球数字经济大会上发布了《关于生成式人工智能的刑事合规风险提示》,聚焦知识产权保护、个人信息保护、信息系统安全等领域,通过风险示例,详细剖析了企业在人工智能应用中可能面临的法律问题,如商业秘密泄露、非法获取个人信息、黑客攻击、系统入侵、算力资源滥用、电信诈骗及网络淫秽物品贩卖等。《提示》旨在引导企业加强合规管理,尊重知识产权,保护用户信息,维护网络安全,促进人工智能产业健康有序发展。

 

来源:北京市人民检察院

 

8.中国人民银行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》公开征求意见

 

7月26日,中国人民银行发布《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》,截止日期为8月25日。本次修订旨在加强征信信息安全管理,响应《数据安全法》和《个人信息保护法》等法律要求。修改要点包括健全征信信息人工查询与自动触发查询的合规管理、建立征信信息安全监管走访机制等内容。

 

来源:中国人民银行

 

9.台湾地区发布人工智能基本法草案

 

7月15日,我国台湾地区发布人工智能基本法草案。草案提出了包括人工智能定义、研究发展及应用的基本原则、政府推动重点、法规调适、创新实验环境建设、公私合作与国际合作、人才培育、违法应用防止、风险分级、人为可控性、应用负责机制、劳工权益保障、个资隐私保护、资料利用性与国家文化价值提升、公务使用原则等在内的多项内容。草案旨在通过立法明确台湾地区推动人工智能技术与应用发展的方向,构建良好的运作环境,为人工智能技术的规范与发展提供法律基础。

 

来源:台湾地区科学与技术委员会

 

10.山西省人民政府发布《山西省数据工作管理办法》

 

《办法》旨在规范和管理山西省数据管理工作,促进数据资源的有效整合、共享和利用,实现山西省数字化转型,提高政府治理效能和社会服务水平。《办法》明确了数据管理的基本原则,组织架构,数据采集、共享、开放、安全和监督等方面的内容。强调了政府各部门在数据工作中的职责与协作,推动跨部门数据共享,提升数据治理水平。《办法》要求重视数据安全和个人信息保护,确保数据合法合规使用。

 

来源:山西省人民政府

 

11.北京市商务局发布《北京市深化服务业扩大开放促进外商投资实施方案》

 

7月16日,北京市商务局发布《北京市深化服务业扩大开放促进外商投资实施方案》,旨在落实《支持北京深化国家服务业扩大开放综合示范区建设工作方案》,推进外商投资领域扩大开放。《方案》提出了健全外商投资准入管理、推动电信领域外资企业申请资质、提升数据跨境流动便利化水平、加大医疗领域开放力度、鼓励绿色低碳发展、提升外商投资法治化保障水平、打造更高能级总部经济、深化跨境投融资外汇管理试点、鼓励人力资源领域合作、优化外籍员工停居留政策等15项任务和措施。

 

来源:北京市人民政府

 

12.湖北省通管局发布《公共互联网网络和数据安全风险监测与处置办法实施细则》

 

《实施细则》进一步明确了网络和数据安全风险类型,包括恶意资源、恶意程序、漏洞隐患、安全事件、数据违规等五类风险;在充分发挥行业主管部门和基础电信企业监测技术手段作用的同时,遴选网络安全企业作为风险报送单位,整合各方资源共同发现风险隐患;完善网络和数据安全风险处置机制,对信息通信行业企业、党政机关、事业单位和工业、金融等重点行业企业采取不同的通报与处置方式;进一步规范风险报送与通报内容要素和格式,制定了风险信息报送模板和风险通报处置通知模板。

 

来源:湖北省通信管理局

 

13.贵州省大数据局就《贵州省公共数据授权运营管理办法(试行)(征求意见稿)》公开征求意见

 

7月5日,贵州省大数据局发布《贵州省公共数据授权运营管理办法(试行)(征求意见稿)》,对公共数据授权及运营、授权运营主体和开发利用主体的行为规范和各级部门的安全监管职责作出细致规定。《办法》明确公共数据授权运营应遵循依法依规、统分结合、安全可控、稳妥有序的原则,按照“原始数据不出域、数据可用不可见”“谁授权谁负责、谁运营谁负责、谁使用谁负责”的要求,在保护个人信息、商业秘密和确保公共安全的前提下,推动公共数据有序流动与应用。

 

来源:贵州省大数据发展管理局

 

14.中国信通院发布《人脸识别产业法律治理研究报告》

 

7月25日,中国信通院在中国人工智能产业发展联盟(AIIA)第十二次全体会议上正式发布《人脸识别产业法律治理研究报告》。《报告》立基于产业生态治理思路,强调综合“人—技术—社会”三维视角,对人脸识别技术进行整全性治理。一是以产业生态参与各方的角色分工为切入,将主体类型化为:作为源头活水的技术提供者、作为中心枢纽的人脸产品/服务提供者、作为最后关卡的人脸识别产品/服务使用者。二是从数据安全、个人信息保护、算法治理、产品质量等各维度,细化不同主体的系统性义务与责任。三是结合我国对深度合成算法、生成式人工智能等专项法律规定,特别关注生成合成应用场景下的人脸识别治理问题。

 

来源:中国信通院

 

15.上海市互联网协会发布《上海市移动互联网应用程序个人信息和用户权益保护合规指南》

 

7月15日,上海市互联网协会发布《上海市移动互联网应用程序个人信息和用户权益保护合规指南》。《指南》共5篇,提出了移动互联网应用程序用户个人信息全生命周期权益保护,就常见侵害用户权益的行为给出相应测评要求,并为构建与完善移动互联网应用程序个人信息和用户权益保护制度提供指引,同时规定了移动互联网应用程序个人信息和用户权益保护评估实施流程和评估要点,引导企业全面落实APP个人信息和用户权益保护合规要求。

 

来源:上海市互联网协会

 

境内监管动态

 

1.最高检发布检察机关依法惩治利用网络暴力侵犯企业合法权益典型案例

 

7月28日,最高人民检察院公布五起检察机关依法惩治利用网络暴力侵犯企业合法权益典型案例,包括敲诈勒索,损害商业信誉、商品声誉和寻衅滋事等犯罪案件,提示注重发挥电子数据的重要作用,构建指控犯罪完整证据体系,全链条整治“网络水军”,净化互联网营商环境,依法惩处网上蹭炒热点扰乱网络空间公共秩序相关犯罪。

 

来源:最高人民检察院

 

2.最高法司法案例研究院发布侵犯公民个人信息罪相关案例裁判要旨汇总

 

7月15日,最高人民法院司法案例研究院汇总梳理了“人民法院案例库”中有关侵犯公民个人信息罪的案件裁判要旨,包含2起指导性案例和16起参考案例。相关案例对涉案信息是否属于公民个人信息提供了判断方式,为刑法第二百五十三条之一第一款和第三款有关侵犯公民个人信息罪的正确适用提供经验。

 

来源:最高人民法院司法案例研究院

 

3.中国审计署发布《中央部门单位2023年预算执行等情况审计结果》,政府机关利用政务数据牟利被通报

 

2023年11月至2024年2月,审计署重点审计了41个部门及所属346家单位财政预算拨款5824.04亿元,关注行政事业性国有资产管理使用情况。明确指出“利用政务数据牟利成为新苗头”。按照要求,相关部门应有序开放所掌握的全国性政务和公共数据,降低社会公众获取成本。但一些部门监管不严,所属系统运维单位利用政务数据违规经营收费,审计署查处4个部门所属7家运维单位未经审批自定数据内容、服务形式和收费标准,依托13个系统数据对外收费2.48亿元。要求各部门进一步规范所属企事业单位、主管社会团体的业务经营活动,严禁其利用部门影响力、数据资源等牟利。

 

来源:审计署

 

4.北京知产法院审结全国首例涉已获数据知识产权登记证书的数据竞争案件

 

6月28日,上诉人隐木(上海)科技有限公司与被上诉人数据堂(北京)科技股份有限公司不正当竞争纠纷一案在北京知识产权法院审结。法院认定:数据堂公司就涉案数据集取得的《数据知识产权登记证》可作为证明数据堂公司享有涉案数据集相关财产性利益、涉案数据集收集行为或数据来源合法的初步证据,涉案数据属于反不正当竞争法所保护的合法权益。

 

来源:北京知识产权法院

 

5.工信部向新设立国际通信业务出入口局颁发许可

 

7月10日,工业和信息化部组织召开国际通信业务出入口局工作座谈会,向中国电信、中国移动、中国联通颁发许可,批复在广西南宁、山东青岛、云南昆明、海南海口设立国际通信业务出入口局。会上强调,国际通信业务出入口局作为连通全球网络的国际通信枢纽,是我国对外交流的重要信息基础设施,应以新设国际通信业务出入口局为契机,拓宽对外互联通道。

 

来源:工业和信息化部

 

6.工信部、中央网信办开展“网络去NAT”专项工作,深化IPv6部署应用

 

7月10日,工业和信息化部办公厅、中央网信办秘书局发布《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知》,部署基础电信企业认真摸排NAT44设备部署应用情况并建立NAT44设备信息台账,制定“网络去NAT”工作方案和时间表,有序推进全网NAT44设备使用规模逐步降低,增加IPv6互联网专线产品供给,新增互联网专线默认开通IPv6功能;要求基础电信企业集团公司对开展“网络去NAT”试点工作的子(分)公司给予必要政策倾斜和资金保障;互联网企业深化应用服务IPv6升级改造,优化放量引流策略,实现注册、登录、使用全链条支持IPv6,提升固网环境下IPv6流量占比;基础电信企业、互联网企业要科学合理推进“网络去NAT”专项工作,进一步强化网络日常运行维护管理,加强重要指标监测。

 

来源:工信部

 

7.中央网信办启动“清朗·2024年暑期未成年人网络环境整治”专项行动

 

7月13日,中央网信办启动“清朗·2024年暑期未成年人网络环境整治”专项行动,重点整治短视频和直播平台、社交平台、应用商店、儿童智能设备、未成年人模式6个环节利用“网红儿童”牟利、对未成年人实施“人肉开盒”、传播违法不良信息、诱导未成年人过度消费、提供“虚假未成年人模式”等突出问题,要求各地网信部门密切关注涉未成年人问题新特点新表现,对各类违规行为保持高压态势,从严处置违规平台、账号及相关MCN机构,压实平台主体责任,健全平台未成年人网络保护机制,共同维护良好网络生态。

 

来源:中国网信网

 

8.国家网信办“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动公开曝光第二批典型案例

 

7月2日,国家网信办“清朗·优化营商网络环境一整治涉企侵权信息乱象”专项行动公开曝光第二批典型案例,包括以下五种散布虚假不实信息、谋取非法利益等涉企违法违规类型:一是“王悟空说车”等账号发布虚假不实信息,诋毁企业形象声誉;二是“丽尔摩斯”等账号以发布负面信息为名,要挟企业开展商业合作;三是“晋商俱乐部”等账号发布“标题党”文章,恶意抹黑企业;四是“国际能源网”等账号发布不实信息,干扰企业正常经营;五是“润谈润语”等账号发布谣言信息,抹黑诋毁企业、企业家形象。

 

来源:中国网信网

 

9.工业制造领域全国首单最大额度数据资产入表融资在赣州落地

 

近日,江西省赣州银行与赣州市智能产业创新研究院借助深圳数据交易所平台,成功完成江西省首笔工业制造领域的数据资产入表。该数据资产入表项目创下全国工业制造领域全国首单最大额度,构建了数据要素从资产向资本转化的坚实桥梁。以此次数据资产入表项目为契机,赣州银行建立了数据资产估值体系,通过“数据资产质押”模式,向企业授信高达2500万元。数据资产质押贷款的落地,不仅展现出了数据要素所拥有的直接价值,增强了潜在的数据供需双方对数据资产价值的认识,更标志着我国金融服务、数字技术与传统产业的深度融合、数字经济与实体经济的深度融合,进一步释放出以数据要素为代表的新质生产力。

 

来源:中国银行保险报网

 

10.上海市网信办对属地21款App收集使用个人信息情况开展专项检查

 

2024年4月至7月,上海市网信办对属地下载量较大及投诉较多的46款App开展了收集使用个人信息专项检查,共发现隐私政策内容不完整、强制收集非必要个人信息等80余项问题。经过通报和跟进指导,截至目前,各App运营单位均已完成问题整改。

 

来源:网信上海

 

11.南昌市网信办启动“洪城亮剑·个人信息权益保护”专项治理行动

 

江西省南昌市网信办会同行业主管部门聚焦餐饮外卖、房屋租售、酒店服务、用车服务等领域开展个人信息权益保护专项治理行动,重点整治违反必要原则,超范围收集、频繁索取个人信息等8类问题。专项治理行动将采取举报监督、执法检查、跟踪问效、媒体曝光等多种措施,惩戒针对个人信息“过度采、强制要、诱导取、违规用”等问题。

 

来源:网信南昌

 

12.重庆市网信办依法查处网上各类违法违规行为

 

2024年上半年,重庆市网信部门大力查处网上各类违法违规行为,依法关闭违法网站142家,约谈整改网站平台101家,依法依约关闭违法违规账号29个,下架移动应用程序21个,开展行政处罚案件11起。针对生成式人工智能服务的监管,市网信部门对“灵象智问AI”等未经安全测评备案便违规提供服务的网站进行了执法约谈,并责令停止相关服务。市网信部门还重点关注了网络安全保护义务履行情况、网络传播秩序维护、自媒体领域乱象整治、个人信息保护领域违法行为整改、互联网安全管理加强等多个领域。

 

来源:网信重庆

 

13.河南多地网信、公安等部门通报4起网络谣言典型案例

 

近日,河南多地网信、公安等部门聚焦汛期强降雨期间传播谣言、炒作旧闻、博取关注蹭流量等网络违法违规行为进行重点整治,并通报四起典型案例,包括:将其他城市暴雨视频移花接木为郑州编造谣言、不经核实转发涉汛期不实视频、“无中生有”编造洪灾造成人员伤亡、村庄受涝等。

 

来源:网信郑州

 

14.广东省网信办通报第二季度网络举报处置与执法情况

 

2024年第二季度,广东省网信系统受理处置网络举报线索1.2万余件,持续加大网络执法力度,依法约谈网站平台84家,警告27家,罚款处罚14家,下架移动互联网应用程序24款,会同省通信管理局等部门依法处置违法违规网站19家。典型案例包括网站假冒“学校OA系统”混淆视听、某APP违规收集个人信息未按要求完成整改、某微信公众号为非法金融活动引流、被撤销后虚假宣传等。

 

来源:网信广东

 

15.广东省教育厅通报93款逾期未整改安全威胁的教育APP

 

近日,广东省教育厅组织力量对教育App进行安全监测,通过广东省校外培训政务邮箱、办公电话等途径通知存在安全威胁问题、未备案的教育App提供者进行整改。截至目前,仍有93款App未按要求及时完成整改,并存在个人隐私采集违规、漏洞等安全威胁问题。通报要求有关教育App提供者须在2024年7月31日前完成整改。若未完成整改的App不再继续运营,需提供停止运营说明文件,并将说明文件发送至政务邮箱或直接在备案平台上传并撤销备案。

 

来源:广东省教育

 

16.长沙市网信系统通报2024年上半年网络管理执法情况

 

2024年上半年,长沙市网信系统在省网信办的指导和大力支持下,共警告约谈网站平台账号86个,注销网站备案或停止网站域名解析48家,关闭自媒体账号30个,下架违法违规应用程序99个,对6家网站平台予以行政处罚罚款,向有关部门移交案件线索30条。典型案例包括某公司不履行网络数据安全管理义务、某公司不履行网络信息安全管理义务、短视频账号昵称不合规且违规直播、利用个人账号发布不实信息。

 

来源:网信长沙

 

17.济南市大数据局公开遴选第一批公共数据授权运营单位

 

7月8日,济南市大数据局公开遴选济南市第一批公共数据授权运营单位。本次遴选出的运营单位为试点运行,由济南市大数据局与运营单位签订授权运营协议,协议期一年。根据《济南市公共数据授权运营管理办法》,用于公共治理、公益事业的公共数据有条件无偿使用,用于产业发展、行业发展的公共数据有条件有偿使用。试点运行期间对运营单位暂不收取公共数据使用费。

 

来源:济南市大数据局

 

境外资讯

 

1.欧盟委员会正式发布《人工智能法案》

 

7月12日,欧盟官方公报上公布《法案》全文最终版本。作为世界首部综合性人工智能监管法律,《法案》采取风险分级监管模式,旨在促进人工智能在欧盟内部市场的运用,强调确保欧盟核心价值观不受损害的前提下支持人工智能创新发展。《法案》正文部分共113条,包括以下7个方面的内容:(1)人工智能系统(AI System)在欧盟市场上的投放、服务和使用的统一规则;(2)禁止某些人工智能行为;(3)对高风险人工智能系统的具体要求以及此类系统运营商的义务;(4)某些人工智能系统的统一透明度规则;(5)通用人工智能模型投放市场的统一规则;(6)关于市场监测、市场监督治理和执法的规则;(7)支持创新的措施。《法案》于2024年8月1日起生效,并确定了对具体条款分阶段实施的时间表。

 

来源:欧盟委员会

 

2.欧盟委员会发布《人工智能公约》草案

 

《人工智能公约》草案以《人工智能法案》于2024年8月1日正式生效为背景,旨在寻求行业对《人工智能法案》的自愿遵守承诺并推动其在法定期限届满前实施法案要求。草案主要包括两部分:其一,鼓励参与《人工智能公约》的企业之间交流最佳实践,提供有关《人工智能法案》实施过程的实用信息;其二,鼓励人工智能系统提供商和部署者提前准备,并采取行动,以遵守《人工智能法案》所规定的要求和义务。

 

来源:欧盟委员会

 

3.欧盟数据保护委员会(EDPB)发布欧美数据隐私框架FAQ

 

本次发布的欧美数据隐私框架FAQ包括《面向欧洲企业的欧美数据隐私框架FAQ》和《面向欧洲个人的欧美数据隐私框架FAQ》,旨在帮助该等主体更好地理解和利用欧美数据隐私框架(“DPF”)。其中,《面向欧洲企业的欧美数据隐私框架FAQ》介绍了欧美数据隐私框架的定义、能够加入欧美数据隐私框架的美国公司资格门槛、在向欧美数据隐私框架认证的美国公司转移个人数据前的相应操作等;《面向欧洲个人的欧美数据隐私框架FAQ》回答了欧美数据隐私框架的定义、个体从欧美数据隐私框架中所获何等惠益、如何提出投诉、欧盟国家数据保护机构(“DPA”)针对投诉的处理流程等问题。

 

来源:欧盟数据保护委员会

 

4.欧盟与日本关于跨境数据流动的协议正式生效

 

2022年10月,欧盟和日本开始谈判,计划将跨境数据流动规则纳入欧盟-日本经济伙伴关系协定(EU-Japan Economic Partnership Agreement, EPA)。今年7月1日,这一跨境数据流协议生效。该协议将有利于金融服务、运输、机械和电子商务等大多数行业的企业,这些公司可以在可预测的法律环境中更有效地处理数据,而无需繁琐的管理或存储要求。协议的生效也促进了“数据自由流动与信任”的概念,体现出数据流动中的国际合作,对数字贸易的开展具有借鉴意义。

 

来源:欧盟委员会

 

5.美国国家标准与技术研究院(NIST)发布《两用基础模型滥用风险管理指南草案》并征求公众意见

 

7月24日,美国NIST根据《关于安全、可靠和值得信赖的人工智能(AI)开发和使用的第14110号行政命令》发布了《两用基础模型滥用风险管理指南草案》,为提高两用基础模型的安全性和可信度提供了指导方针。草案侧重于管理“此类模型被故意滥用造成伤害”的风险,其以AI风险管理框架为基础,确定了从基础模型中规划、衡量、管理和治理滥用风险的最佳实践,以及组织如何提供管理这些风险的透明度,为识别、衡量和降低整个AI生命周期中的相关风险提供了基础。

 

来源:美国国家标准与技术研究院(NIST)

 

6.美英欧监管机构签署关于人工智能竞争的联合声明

 

7月23日,欧盟、英国和美国的竞争监管机构发布联合声明,承诺致力于在人工智能竞争中维护公平、开放和竞争性市场,确保消费者和企业的公平和诚实待遇。声明指出,当前人工智能竞争中面临着少数公司集中控制关键输入、现有大型公司在人工智能相关市场中巩固或扩大市场力量、涉及关键参与者的安排放大风险等问题,提出了公平交易、人工智能的互操作性及企业和消费者在人工智能生态系统竞争中的选择权的原则。声明中还针对共享竞争敏感信息、利用算法实施价格歧视或排斥竞争等与AI相关的竞争风险和与AI相关的消费者风险等提出行动建议。

 

来源:欧盟委员会

 

7.美国议员提出《内容来源保护及防止编辑和深度伪造媒体完整性法案》(COPIED ACT)

 

7月11日,美国参议员提出了《内容来源保护及防止编辑和深度伪造媒体完整性法案》(COPIED ACT),以打击有害深度伪造行为。为保护记者、演员和艺术家等免受人工智能驱动的盗窃,该法案将要求美国国家标准与技术研究院(NIST)为标记、验证和检测人工智能生成的内容制定新的联邦透明度指南,以识别内容是否由人工智能生成或操纵,以及人工智能内容的来源,追究违法者的侵权责任,并要求用于生成创意或新闻内容的人工智能工具提供商允许该内容的所有者(如记者、报纸、艺术家、词曲作者和其他人)将来源信息附加到内容上,禁止删除和篡改。该法案同时授权联邦贸易委员会(FTC)和州总检察长执行该法案,以及个人起诉违法者的权利。

 

来源:美国参议院商务委员会

 

8.法国数据保护局公布关于欧盟AI法案和GDPR的常见问题

 

欧盟的《人工智能法案》于2024年8月1日逐步生效。为澄清该法案以及GDPR等适用中的问题,7月12日,法国数据保护局(CNIL)发布公告进行了阐释。内容包括《人工智能法案》规定了什么、谁将监督《人工智能法案》在欧盟和法国的应用,以及《人工智能法案》对GDPR有何影响、是否取代了GDPR的要求、如何将法案要求与GDPR的要求联系起来等问题。CNIL强调,《人工智能法案》并不会取代GDPR,而是通过制定开发和部署可信人工智能系统所需的条件来补充GDPR的要求。

 

来源:法国数据保护局

 

9.英国政府宣布将推出《数字信息和智能数据法案》

 

7月17日,英国新一届议会正式开幕,英国国王查尔斯三世发表演讲,公布了工党新政府的政策方向,其中涉及了约40项新法案。其中提出,政府将推出《数字信息和智能数据法案》,使数据的新创新用途得以安全开发和部署,并通过改革数据共享和标准使公共服务更好地运作,从而改善人们的生活;同时通过赋予监管机构(ICO)新的、更强大的权力和更现代化的结构,确保人们的数据得到很好的保护。

 

来源:英国政府

 

10.德国汉堡数据保护和信息自由专员办公室(HmbBfDI)发布关于《通用数据保护条例》(GDPR)和大型语言模型(LLM)之间关系的讨论文件

 

7月15日,德国汉堡数据保护和信息自由专员办公室发布文件,讨论了GDPR(德语缩写为DSGVO)与大型语言模型(LLM)之间的关系。文件解释了LLM的相关技术,并在欧盟法院(ECJ)的判例法背景下,评估了个人相关案例,并阐明了由此产生的实践后果,提出了三个基本结论,包括仅存储LLM并不构成GDPR第4条第2款意义上的处理、GDPR的数据主体权利可能无法以模型本身为对象、涉及个人数据的LLM训练必须符合数据保护要求。

 

来源:德国汉堡数据保护和信息自由专员办公室(HmbBfDI)

 

11.新加坡个人数据保护委员会(PDPC)发布《合成数据生成指南》

 

7月15日,新加坡个人数据保护委员会(PDPC)发布《合成数据生成指南》,对合成数据(Synthetic data)的处理提出要求。合成数据指使用专门构建的数学模型或算法生成的人工数据,通过在源数据集上训练模型(或算法)来模拟源数据的特征和结构。虽然合成数据通常是虚构的数据,本身可能不被视为个人数据,但仍然存在重新识别风险。因此,该指南提出了组织可以采用的良好实践来生成合成数据,以最大限度地降低风险。该指南还包括一套生成合成数据的风险评估/考虑因素,以及治理控制、合同流程和减轻剩余风险的技术措施。

 

来源:新加坡个人数据保护委员会(PDPC)

 

12.韩国个人信息保护委员会(PIPC)发布《人工智能(AI)开发和服务中公开个人信息的处理指南》

 

7月17日,韩国个人信息保护委员会(PIPC)发布《人工智能(AI)开发和服务中公开个人信息的处理指南》,以便在现行个人信息监管体系内合法、安全地处理人工智能(AI)发展所必需的开放数据。所谓开放数据是任何人都可以在互联网上合法访问的数据,如维基百科、博客、网站等上的数据。开放数据常被抓取用作训练数据的来源,用于开发ChatGPT等生成式人工智能。其中可能包括各种个人信息,例如地址、唯一身份证号码和信用卡号等,但是现行的《个人信息保护法》并未对此类公开披露的个人信息的处理提供明确的标准。因此,PIPC希望通过该指南明确收集和使用披露个人信息的法律标准,并提出了公司可以参考的最低标准,说明在人工智能(AI)的发展和服务阶段应采取哪些安全措施,以尽量减少使用公共个人信息的公司个人信息侵权问题。

 

来源:韩国个人信息保护委员会(PIPC)

 

境外监管动态

 

1.欧盟委员会根据《数字服务法案》向亚马逊发出信息请求(RFI)

 

7月11日,欧盟委员会官网发布公告,称欧盟委员会已向亚马逊发出信息请求(RFI),要求亚马逊提供更多信息说明该平台为遵守与推荐系统及其参数的透明度有关的《数字服务法案》(DSA)义务,以及关于维护广告库及其风险评估报告的规定而采取的措施。亚马逊必须提供有关亚马逊商店广告库在线界面的设计、开发、部署、测试和维护的更多信息,以及有关其风险评估报告的支持文件。根据DSA第74(2)条,欧盟委员会可以对回应RFI的不正确、不完整或误导性信息处以罚款。

 

来源:欧盟委员会(EU)

 

2.美国联邦贸易委员会(FTC)重申哈希后的数据不是匿名数据

 

7月24日,美国联邦贸易委员会(FTC)在官网发布文章,再次强调哈希(Hashing)后的数据不是匿名数据,警告“不要依赖哈希来降低数据敏感性”。FTC指出,只有当数据永远无法与某人相关联时,数据才是匿名的。如果数据可用于唯一识别或针对用户,它仍然可能对该人造成伤害。虽然哈希可能会掩盖用户标识符的显示方式,但仍然会创建一个独特的签名,可以随着时间的推移跟踪个人或设备。FTC要求公司不应采取行动或声称,对个人信息进行哈希处理会使其匿名化。FTC列举了多个相关的案例,表示将持续开展监管,并在公司提出的隐私声明可能具有欺骗性时采取措施。

 

来源:美国联邦贸易委员会(FTC)

 

3.美国联邦贸易委员会对NGL Labs就NGL APP侵犯个人信息等行为发布拟议决定

 

NGL Labs旗下的一款社交应用NGL App是一项匿名消息服务,允许人们从朋友和社交媒体关注者那里接收匿名消息。7月9日,联邦贸易委员会(FTC)宣布了一项针对NGL Labs及其联合创始人的拟议命令,该命令基于NGL App被指控针对儿童和未成年人进行误导性营销,并且围绕应用中的人工智能防止网络欺凌功能进行了虚假宣传。FTC发现NGL App通过虚假信息和其他旨在增加付费用户数量的策略欺骗用户,没有充分披露其高级功能NGL Pro的经常性收费并获得同意,存在误导性的收费做法。此外,尽管收到关于网络欺凌的投诉,NGL Labs并未对其应用的设计进行改进,并且在未经父母同意的情况下收集了13岁以下儿童的个人信息,违反了《儿童在线隐私保护法规则》(COPPA规则)。NGL App对自身的人工智能内容审核计划做出的声明也是虚假的。因此,FTC提议对NGL Labs处以总计500万美元的罚款,并要求实施年龄验证措施,禁止做出虚假陈述,并获取明确的知情同意。

 

来源:美国联邦贸易委员(FTC)

 

4.美国联邦贸易委员会与Avast公司达成协议,禁止Avast出售披露或授权网络浏览数据用于广告,并要求其支付1,650万美元

 

联邦贸易委员会(FTC)最终确定了对软件提供商Avast的1,650万美元和解协议。该和解源于2024年2月FTC提出的投诉,指控Avast及其子公司在2014年至2020年间收集用户浏览数据并出售给第三方用于广告定位,违反了其向用户做出的承诺。FTC称,Avast通过其子公司Jumpshot出售了超过8,000TB的用户浏览数据,供广告技术服务商使用,并未充分告知用户这一行为。作为和解的一部分,Avast同意支付罚款并承担一系列合规义务,包括禁止出售浏览数据、获取用户明确同意、删除已转移的数据及相关算法、通知受影响用户,并实施全面的隐私计划。此外,Avast的隐私计划将在未来20年内每两年接受一次独立审查。

 

来源:美国联邦贸易委员(FTC)

 

5.美国联邦贸易委员会起诉数据代理商Kochava公司,指控其出售个人移动设备地理位置信息

 

7月15日,联邦贸易委员会(FTC)宣布对Kochava Inc.及其子公司Collective Data Solutions, LLC(CDS)提起诉讼,指控其违反《联邦贸易委员会法》第5(a)条。FTC最初于2022年8月对Kochava提起诉讼,但被爱达荷州地方法院驳回。FTC指出,Kochava作为数据经纪人,出售了数亿人的地理位置数据,这些数据可用于追踪个人在敏感地点的活动。2023年7月左右,Kochava将部分数据经纪业务转移至CDS,后者收集、使用并披露大量个人信息,并提供精确定位的数据源。FTC认为,作为Kochava的全资子公司,CDS受其控制和影响,并继续在未经消费者同意的情况下使用其精确定位数据。

 

来源:美国联邦贸易委员会(FTC)

 

6.美国联邦通信委员会与Caption Call达成和解,以解决数据保留不当的问题

 

7月9日,美国联邦通信委员会(FCC)宣布与Caption Call及其母公司达成和解,以终止有关非法保留通话数据等问题的调查。Caption Call是一款为听障人士提供字幕电话服务的应用,被指控违反了美国联邦《通信法》中关于电信中继服务(TRS)的规定,非法保留了TRS服务用户的通话内容长达三年。为达成和解,Caption Call需制定合规计划,包括隐私和数据保护措施,并定期向FCC报告违规行为。此外,Caption Call还需投资400万美元用于TRS用户的隐私和数据保护,支付500万美元的民事罚款,向TRS基金偿还1200万美元,并放弃超过1360万美元的IP CTS报销申请。

 

来源:美国联邦通信委员会(FCC)

 

7.TracFone支付1600万美元以解决美国联邦通信委员会的网络和隐私调查

 

美国联邦通信委员会(FCC)宣布,Verizon旗下的TracFone Wireless将支付1600万美元的民事罚款,以结束针对其未能保护消费者数据导致三次数据泄露的调查。FCC表示,这些泄露是由于恶意使用应用程序接口(API)造成的,这些接口通常用于获取网站上的客户信息。调查发现,TracFone的网络信息、个人身份信息以及多次未经授权的端口迁移受到了影响。作为和解协议的一部分,TracFone需加强其API安全性,创建符合国家标准与技术研究所(NIST)和开放全球应用程序安全项目(OWASP)标准的信息安全计划,更改其SIM卡和端口迁移的安全措施,接受年度第三方评估,并培训员工和合作方以更好地理解隐私和安全要求。

 

来源:美国联邦通信委员会(FCC)

 

8.某国外短视频平台因提供不准确的安全控制数据被英国通信管理局(Ofcom)罚款187.5万英镑

 

7月24日,英国通信管理局(Ofcom)宣布对某国外短视频平台(“某平台”)罚款187.5万英镑,原因是其未能准确回应关于其家长控制功能“家庭配对”(“Family Pairing”)使用情况的信息请求,导致Ofcom的儿童安全透明度报告发布延迟。Ofcom调查发现,某平台的数据治理存在多项缺陷,未能及时发现并报告数据错误,影响了监管工作和公众信息透明度。某平台最终在2024年3月28日提供了部分准确数据,距离最初截止日期已有七个多月。Ofcom认为,作为大型企业,某平台应更加重视数据提交的准确性和及时性。尽管这是某平台首次违反规定,并主动报告了错误,但其仍未完全履行法定义务,因此被罚款187.5万英镑。

 

来源:英国电信监管机构Ofcom(Office of Communications)

 

9.某头部跨境电商平台因违规跨境传输用户信息被韩国个人信息保护委员会(PIPC)罚款19.78亿韩元

 

韩国个人信息保护委员会(PIPC)于7月24日的第13次全体会议上,决定对某头部跨境电商平台(“某平台”)处以19亿7800万韩元的罚款及780万韩元的罚金,并发布整改命令和改进建议。此前,PIPC发现,某平台在处理韩国用户的个人信息时,未充分告知用户信息转移的国家及接收方的详细信息,也未在合同中纳入必要的个人信息保护措施。同时,用户注销账号的流程复杂且部分页面仅提供英文版本,导致用户行使权利困难。某平台表示,已采取自愿纠正措施,包括按法定要求获取用户同意、公开国内代理人的详细信息,并修订了个人信息处理政策。个人信息委要求该公司继续完善信息透明度、加强实际的个人信息保护措施,特别是在处理投诉和提供救济方案方面,确保用户能够充分行使其个人信息自决权。

 

来源:韩国个人信息保护委员会(PIPC)

 

10.巴西数据保护局暂时禁止Meta使用用户个人数据训练人工智能

 

7月2日,巴西数据保护局(ANPD)发布第20/2024/PR/ANPD号决议,宣布因调查发现Meta平台公司在未经充分告知的情况下,使用用户在Facebook、Messenger和Instagram上发布的公开信息来训练其人工智能,违反了《巴西通用个人数据保护法》(LGPD),决定暂时禁止Meta处理个人数据用于AI训练。ANPD发现Meta使用了不适当的依据,并未提供明确、准确和易于获取的信息,且限制了数据主体的反对权,特别是在处理儿童和青少年数据方面缺乏适当保障。Meta的隐私政策和数据使用被立即暂停,若不遵守,每日罚款5万巴西雷亚尔(约8870美元)。7月10日,ANPD在收到Meta的复议请求后,确认了暂停决定,并给予Meta额外五天时间证明其遵守该决定。

 

来源:巴西数据保护局(ANPD)

 

11.巴西联邦检察官办公室和消费者保护研究所要求Whatsapp支付17.33亿雷亚尔损害赔偿金

 

7月,巴西联邦公共部(MPF)和消费者保护协会(Idec)对Whatsapp提起公共民事诉讼,要求其支付17.33亿雷亚尔的集体精神损害赔偿金,原因是其在2021年未充分告知用户隐私政策的变更,强制用户接受新规则,导致个人数据被滥用,与Meta旗下其他平台共享。诉讼还要求Whatsapp停止与Meta其他公司共享个人数据,并提供简便途径让用户拒绝隐私政策的变更或取消已同意的条款。MPF和Idec指出,Whatsapp的行为违反了《巴西通用个人数据保护法》(LGPD)、《互联网民事框架法》和《消费者保护法》,并批评了巴西数据保护局(ANPD)在处理该案时的缺乏透明度和合作。

 

来源:巴西联邦检察官办公室(MPF)

 

12.土耳其个人数据保护局宣布Uber公司发生数据泄露事件

 

7月2日,Uber Technologies Inc.向土耳其个人数据保护委员会(KVKK)报告了一起数据泄露事件,称收到一封表明可能会公开Uber个人数据的电子邮件。数据泄露的具体时间和来源尚未确定,调查仍在进行,受影响的包括Uber用户(乘客和订餐者)以及司机和配送人员,可能泄露的数据有姓名、电子邮件、电话号码、头像、注册日期、评分、驾驶执照、保险、身份证和车辆登记等信息。具体受影响的数据和人数尚不明确。7月10日,KVKK决定将此次数据泄露公告在其官方网站上公布。

 

来源:土耳其个人数据保护局(KVKK)

 

13.尼日利亚对Meta处以2.2亿美元罚款,指控其窃取个人数据、滥用市场主导地位等

 

7月19日,尼日利亚联邦竞争与消费者保护委员会(FCCPC)宣布对Meta Platforms罚款2.2亿美元。调查发现,Meta在未经用户同意的情况下滥用尼日利亚用户数据,利用市场主导地位强加剥削性隐私政策,并对尼日利亚用户与其他有类似法规的地区的用户采取了歧视性待遇。Meta的行为违反了当地的消费者、数据保护和隐私法。

 

来源:尼日利亚联邦竞争和消费者保护委员会(FCCPC)

 

微信公众号 ×

使用“扫一扫”即可添加关注