竞天公诚网络安全与数据合规动态提报（2024年2月）

1 . 新修订的《保守国家秘密法》今年5月1日起施行

此次修订吸收了一些工作实践中定密和解密的成熟做法，包括：明确保密事项范围的确定应当遵循必要、合理原则，科学论证评估，并根据情况变化及时调整；完善定密责任人制度和定密授权机制，并 对密点标注作出原则规定，进一步推动定密精准化、科学化；完善国家秘密审核制度，将定期审核修改为每年审核 ，并明确了未履行解密审核责任造成严重后果的法律责任，进一步压实定密机关、单位主体责任，便利信息资源合理利用。

来源： 新华社

2. 国务院国资委印发《关于优化中央企业资产评估管理有关事项的通知》

《通知》在现行制度的原则和框架下，集中解决了一批中央企业资产评估管理工作面临的实际问题，《通知》明确 数据资产流转 时，应首选资产评估或估值的方式对资产价值进行评定估算；评估或估值确有难度的，可以通过挂牌交易、拍卖、询价、协议等方式确定交易价格。针对企业进一步提高相关制度的针对性和可操作性的诉求，《通知》对询价、协议等各种定价方式的原则、路径等予以明确。

来源： 国务院国有资产监督管理委员会

3. 国家数据局五大司局名称确定

据国家公务员局官网，《国家数据局2024年公务员录用面试公告》显示，国家数据局下设的五个司局名称目前已经正式确定为： 综合司、政策规划司、数据资源司、数字经济司、数字科技和基础设施建设司 。

来源： 国家公务员官网

4. 国家互联网信息办公室发布第四批深度合成服务算法备案信息

具体信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。

来源： 网信办

5. 国家互联网信息办公室开展全国数据资源调查

调查对象为 省级数据管理机构、工业和信息化主管部门、公安厅（局），各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室 等单位， 中央企业，行业协会商会 以及 国家信息中心 。根据要求，各单位登录全国数据资源调查管理平台，填报相关调查表。全国数据资源调查工作开展时间为2024年2月18日00:00至3月5日24:00。

来源： 网信办

6. 国家邮政局网站公布《关于公开征求〈寄递服务用户个人信息安全管理办法（征求意见稿）〉意见的通知》

征求意见稿体现了国家邮政局对2023年发布的《寄递服务用户个人信息安全管理规定》的多处修改，并更好地衔接了《个人信息保护法》的相关规定。征求意见稿明确，寄递企业的个人信息保护主管部门包括邮政管理部门，并 要求寄递企业对处理用户个人信息的活动每年开展合规审计活动 。征求意见稿还明确了某些具体违反个人信息保护义务行为的罚则条款， 后果包括没收违法所得、暂停或终止提供服务 等。

来源： 国家邮政局

7. 财政部发布《关于加强行政事业单位数据资产管理的通知》

《通知》明确， 行政事业单位数据资产是各级行政事业单位在依法履职或提供公共服务过程中持有或控制的，预期能够产生管理服务潜力或带来经济利益流入的数据资源 。《通知》规定， 行政事业单位不得利用数据资产进行担保，新增政府隐性债务。严禁借授权有偿使用数据资产的名义，变相虚增财政收入 。

来源： 财政部

8. 工业和信息化部印发《工业领域数据安全能力提升实施方案（2024—2026年）》

《方案》以2026年底基本建立工业领域数据安全保障体系为总体目标，并 要求将数据分类分级保护工作覆盖年营收在各省（区、市）行业排名前10%的规上工业企业 。《方案》还计划加强数据安全风险防控，面向重点行业开展“数安护航”专项行动，定期组织“数安铸盾”应急演练。

来源： 工业和信息化部

9. 自然资源部发布《对外提供涉密测绘成果管理办法（征求意见稿）》

征求意见稿适用于在对外交往与合作中向境外机构、组织、人员及外商投资企业提供涉密测绘成果的活动，并明确了 涉密测绘成果是指按照《测绘地理信息管理工作国家秘密范围的规定》所确定的属于国家秘密事项的测绘成果 。征求意见稿还具体规定了申请对外提供涉密测绘成果的条件、应当提交的材料和不予批准的情形。

来源： 自然资源部

10. 信安标委就《信息安全技术 云计算服务安全能力评估方法》（征求意见稿）公开征求意见

征求意见稿给出了依据GB/T 31168－2023《信息安全技术 云计算服务安全能力要求》，开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。前述文件是落实《云计算服务安全评估办法》与《网络安全审查办法》有关采购云计算服务是否可能带来国家安全风险的评估活动的主要支撑标准。

来源： 信安标委

11. 上海市政府印发《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》的通知

在规范和促进数据跨境流动方面，支持上海自贸试验区按照数据分类分级保护制度，率先 制定重要数据目录，指导数据处理者开展数据出境风险自评估，探索建立合法安全便利的数据跨境流动机制 。实施数据安全管理认证制度，引导企业通过认证提升数据安全管理能力和水平。 允许金融机构在国家数据跨境传输安全管理制度框架下向境外传输日常经营所需的数据 。

在促进数据开放共享方面，建立健全数据共享机制，支持企业依法依规共享数据，促进大数据创新应用。支持探索开展数据交易服务，创建数据要素流通创新平台，制定数据、软件资产登记凭证标准和规则。试点扩大政府数据开放范围，鼓励开发以数据集为基础的产品和服务。

来源： 上海市人民政府

12. 《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》发布

将跨境数据分为核心数据、重要数据、一般数据3个级别进行分级管理。临港新片区将按照“从企业到行业、从案例到清单、从正面到负面”的原则， 率先围绕智能网联汽车、金融理财、高端航运等重点领域，开展一般数据清单和重要数据目录的编制工作，3月有望发布第一批清单 。

来源： 上海市人民政府

13. 建行上海市分行发放首笔基于“数易贷”服务的数据资产质押贷款

这笔基于“数易贷”服务的首单，实现了数据资产“确权-评估-质押-贷款”全流程贯通，是建行上海分行在数据要素金融化领域“零的突破”，开创了建行系统内及当地国有行基于可信数据资产凭证（DCB）进行数据资产质押融资的先例。

来源： 新闻晨报

14. 天津市商务局等印发《中国（天津）自由贸易试验区企业数据分类分级标准规范》

适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级， 将企业数据分成13大类40子类，从高到低分为核心、重要、一般3个级别，明确了重要数据的识别标准 。

来源： 天津市商务局

15. 贵州省大数据局印发《贵州算力券管理办法（试行）》

算力提供方与数据提供方应在贵州省内注册独立法人。需求方和提供方均可申领算力券， 但算力提供方不得申领 。同一业务只能一方申领。算力券仅限于申领方自己使用，不得转让、赠送、买卖、质押、出借、重复使用等 。 需求方购买贵州算力服务或数据交易产品时，可按合同成交金额的3%给予现金券的激励，同一主体年度累计兑现额度最高不超过200万元。实物券由平台服务方和相关企业提供，可用于申购有关平台特色商品，具体活动方案由平台服务方制定 。实物券不得与现金券重复申领。

来源： 贵州省大数据局

16. 中国电子信息行业联合会发布《数据合规审计 指南》系列团体标准

以全面数据合规审计的鉴证业务为核心，规范了审计计划、审计实施、沟通与报告、期后事项各阶段的内容、步骤和要求；明确了数据合规审计领域中各项审计要素的内容和要求，为数据合规审计人员提供执行标准，同时为数据合规审计报告和结果的使用者提供必要的参考信息。

来源： 中国电子信息行业联合会

1. 全球AIGC平台侵权首案判决

广州互联网法院近日生效了一起生成式AI服务侵犯他人著作权的判决，这也是全球范围内首例生成式AI服务侵犯他人著作权的生效判决。该案认为， 被告（某人工智能公司）在提供生成式人工智能服务过程中侵犯了原告对案涉奥特曼作品所享有的复制权和改编权 ，并应承担相关民事责任。

来源： 21世纪经济报道

2. 多地通管局通知：4月1日起，未备案APP、小程序将下架关停

今年4月1日前，移动互联网应用程序（含APP、小程序、快应用等）需履行备案手续，逾期未履行备案手续的APP等将依法依规采取下架、关停、限制更新等处理措施 ，以保障互联网行业规范健康发展，维护网络安全和公众利益。按照备案相关要求，网络接入服务提供者、应用分发平台、智能终端生产企业不得为未履行备案手续的应用程序提供网络接入、分发、预置等服务。

来源： 各地通信管理局

3. 上海网信办约谈违规收集个人信息的企业

某餐饮连锁企业在消费者扫码点餐过程中，微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。2月2日下午，上海市网信办依法约谈企业负责人，要求企业立即整改，对照问题举一反三自查自纠，切实把个人信息保护置于企业运营的重要位置。

来源： 上海网信办

4. 湖北省通信管理局通报（2024年第一批）侵害用户权益行为APP

经检测发现35款APP存在“违规收集个人信息”“超范围收集个人信息”“强制用户使用定向推送功能”等相关问题，湖北省通信管理局对相关违规单位发出《整改通知》，责令APP运营者限期完成整改。截至目前，尚有4款APP未按期完成整改，其所涉问题包括未明示收集使用个人信息的目的、方式和范围、违规收集用户个人信息、账号注销难等。

来源： 湖北省通信管理局

5. 广东省通信管理局公开通报6款未按要求完成整改APP

广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动，发出《违法违规APP处置通知》责令APP运营者限期整改，并通知相关应用商店协助督促APP运营者整改。截至目前，尚有6款APP未完成整改，所涉问题包括违规收集个人信息、APP频繁自启动和关联启动等。

来源： 广东省通信管理局

6. 北京网警通报5起不履行网络安全保护义务处罚案例

近期，北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度，对未定期开展网络漏洞扫描、未采取防范计算机病毒和网络侵入的技术措施、未建立网络安全管理制度、不履行网络信息安全管理义务等的多家违法企业依法给予行政处罚，切实压紧压实网络运营者的主体责任。

来源： 公安部网安局

7. 重 庆通信管理局下架侵害用户权益APP

2月26日，重庆市通信管理局通报一批未按前期要求完成整改的存在侵害用户权益行为的APP名单，要求相关应用商店和平台对名单中应用软件作下架处理。被下架的5款APP所涉问题主要有：APP强制、频繁、过度索取权限；违规收集个人信息；未明示个人信息处理规则。

来源： 重庆市通信管理局

8. 浙江省通信管理局通报12款侵害用户权益行为的APP（2024年第1批）

2月27日，浙江省通信管理局通报12款侵害用户权益的APP，要求APP开发运营者在3月6日前完成整改落实工作，否则将视情况采取下架、关停、行政处罚等措施。这12款APP所涉问题主要有：违规收集或使用个人信息；超范围收集个人信息；APP频繁自启动和关联启动；APP强制、频繁、过度索取权限。

来源： 浙江省通信管理局

1. 美总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令

根据该行政令，美国司法部与国土安全部等部门应联合起来，保护美国人个人敏感数据（包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据及特定类型的个人身份信息）与美国政府相关数据不被“受关注国家”实体通过商业交易手段访问和利用。美国司法部同时发布了执行该行政令的“拟议规则制定的预通告”（Advance Notice of Proposed Rulemaking），就行政令的关键问题进行进一步阐释。

来源： 白宫

2. 美国或将对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全审查

美国商务部发布的《确保ICTS供应链的安全：联网汽车》拟议规则制定的预通告针对智能网联汽车中的信息和通信技术与服务（Information and Communications Technology and Services，“ICTS”，例如车载导航系统等）供应链安全相关信息进行调研，包括有关数据存储、网络安全方面的问题，并向公众广泛征求意见。该规则的目的即为出台一份与前述ICTS监管框架相配套的法律——可能将限制智能网联汽车供应商采用来自中国的某些ICTS产品。

来源： 美国商务部

3. 美国司法部任命首位首席科技顾问与首席人工智能官

Jonathan Mayer作为美国司法部首席科技顾问，将负责向司法部领导层提供专业建议，并与各部门展开合作，主要涉及网络安全、人工智能和其他新兴技术领域的专业问题。同时，作为首席人工智能官，他将在司法部内部和跨部门就人工智能相关问题开展工作。Mayer将在司法部法律政策办公室办公。

来源： 美国司法部

4. 欧盟议会委员会批准《人工智能法》

该法规旨在保护基本权利、民主、法治和环境可持续性免受高风险人工智能的影响；同时促进创新，使欧洲成为人工智能领域的领导者。其主要内容包括：禁止某些威胁公民权利的人工智能应用，原则上禁止执法部门使用生物特征识别系统，为其他高风险人工智能系统商定明确义务，对GPIA系统的训练设定透明度要求，以及支持创新和中小企业等。目前该法规尚需等待议会全体会议的正式通过和理事会的最终批准。

来源： 欧盟委员会

5. 欧盟《数字服务法》正式对欧盟所有平台生效

《数字服务法》主要用于监管在线中介机构和平台，如市场、社交网络、内容共享平台、应用商店以及在线旅游和住宿平台，其主要目标是防止网上非法有害活动以及虚假信息的传播。 自2023年8月底以来，它已经适用于在欧盟拥有超过4500万用户的指定平台，即所谓的超大型在线平台（VLOPs)或超大型在线搜索引擎（VLOSEs) 。自2024年2月17日起，它正式适用于欧盟所有在线平台。

来源： 欧盟委员会

6. 欧盟委员会成立欧洲人工智能办公室

欧洲人工智能办公室负责实施《人工智能法案》并执行通用人工智能规则。其在欧盟委员会内设立，是通信网络、人工智能内容和技术总局行政架构的一部分。办公室的主要任务包括：开发用于评估通用人工智能模型能力的工具、方法和基准；监测通用人工智能模型和系统规则的实施和应用；监测由通用人工智能模型产生的不可预见的风险；调查可能违反通用人工智能模型和系统规则的行为等。

来源： 欧盟委员会

7. 欧盟推出首个数字产品网络安全认证计划

该计划全称“基于欧洲通用标准的网络安全认证计划”（EUCC），它提供了一整套规则， 以确保ICT产品在其生命周期内的可信度 。ICT产品指以电子形式访问、处理、存储、传输或获取信息的商品。欧盟期待通过EUCC引入一个更快、更有效的认证机制，使欧盟范围内的企业能够在国家、欧盟和全球层面展开竞争；计划实施的第一阶段将持续约一年，重点是建立公共和私人的合格评定机构（CABs）。

来源： 欧盟

8. 韩国个人信息保护委员会（PIPC）发布个人信息泄露应对手册

该手册就如何及时应对个人信息泄露事件以最大限度地减少损失的扩散提供了建议。手册还强调，在个人信息丢失、被盗或泄露的情况下，应迅速做出反应并采取行动，为数据主体提供救济；具体应用将根据处理的个人信息类型、处理方法、处理环境和数据主体的特征而有所不同。手册提供了敏感或独特个人信息泄露以及因非法访问导致信息泄露时的具体应对程序，以及处理个人信息泄露的流程概览示例。

来源： 韩国个人信息保护委员会

9. 美国弗吉尼亚州搁置旨在改进儿童数据保护法案的修订提案

2024年2月5日，众议院搁置了旨在修订《弗吉尼亚州消费者数据保护法》（CDPA）中与儿童保护相关内容的第707号提案。该法案包含了有关儿童数据处理的更新内容，并 规定了数据保护评估（DPA）的要求 。

来源： DataGuidance

10. 韩国互联网安全局（KISA）和科学与信息通信技术部（MSIT）发布数据储存安全指南

2024年2月28日，韩国互联网与安全局和科学与信息通信技术部发布了一份关于使用网络附属存储服务器的用户数据安全指南，提出了包括使用加密技术、访问限制和权限管理在内的8项基本安全规则。

来源： DataGuidance

11. 德国联邦数据保护与信息自由专员办公室（BfDI）就CSA法规草案发表声明

2024年2月14日，联邦数据保护和信息自由专员就欧洲议会对《打击网络儿童性虐待条例草案》（CSA条例）的修正案发表声明。欧洲议会的提案规定要更有针对性地检测网络儿童性虐待行为。但 对阅读私人通信是否可以扩展到特定嫌疑人之外的问题保持开放态度 。

来源： 德国联邦数据保护与信息自由专员办公室

12. 澳大利亚信息专员办公室发布关于应申报数据泄露的报告，强调供应链风险

2024年2月22日，澳大利亚信息专员办公室（OAIC）公布了一份关于2023年7月至2023年12月期间应申报数据泄露（NDB）的报告。 报告显示，大多数被通报的多方数据泄露事件都是由于云或软件供应商的数据泄露造成的，这凸显了将个人信息的处理外包给第三方的风险。报告还指出医疗和金融行业是数据泄露最严重的行业 。

来源： 澳大利亚政府

1. 欧盟委员会决定根据《数字服务法》对TikTok启动正式调查

欧盟委员会已启动正式调查程序，评估TikTok在未成年人保护、广告透明度、数据访问和成瘾设计等方面是否违反了欧盟《数字服务法》。调查包括对TikTok的风险评估报告和对欧盟委员会信息请求的回复进行分析。如果违反规定，TikTok可能面临高额罚款。欧盟将重点调查TikTok的系统设计对未成年人可能产生的负面影响，还将关注广告透明度和研究人员数据访问等方面。

来源： 第一财经

2. 美国联邦贸易委员会（FTC）拟对Avast出售浏览数据用于广告目的处以1650万美元罚款

美国联邦贸易委员会责令杀毒软件巨头Avast停止销售用户浏览数据，同时支付1650万美元的罚款。据调查， Avast利用所开发的杀毒软件及浏览器扩充程序来搜集用户的浏览资料，不仅无限期地储存这些用户数据，还在未经用户同意且未告知的情况下，将它们通过子公司Jumpshot出售给全球超过100家的第三方数据掮客，用以开展定向广告营销 。

来源： 美国联邦贸易委员会

3. 香港数据监管部门完成28家机构关于人工智能对个人信息影响的审查

香港私隐专员公署从2023年8月至2024年2月期间对28家本地机构进行了审查，审查结果显示，多数机构已在日常运营中采用AI技术，并建立了内部AI治理框架来监督AI产品或服务的开发与使用。其中，只有一部分机构在使用AI产品和服务时收集了个人数据，且多数机构采取了适当的安全措施来保护个人数据，如仅允许授权人员访问个人数据、对静态和传输中的个人数据进行加密、定期进行安全漏洞评估和渗透测试、以及向员工提供书面指导和培训。

来源： 香港个人资料私隐专员公署

4. 西班牙数据保护机构（AEPD）：Oney因数据不准确罚款50,000欧元

西班牙数据保护机构因奥尼金融服务公司（Oney）违反了通用数据保护条例（GDPR）而对其处以5万欧元罚款。此案的背景是，一名投诉人因与奥尼公司之间所声称的信用卡债务而提起法律诉讼，法院宣布该债务无效，但奥尼还是将投诉人的数据转给了第三方，该第三方随后又将数据转给了国家信贷金融机构协会（ASNEF）。在调查后，AEPD发现奥尼违反了GDPR第5条第1款（d）项下的准确性原则，因为它 分享了关于尚存司法争议且随后被宣布无效的债务数据 。

来源： DataGuidance

5. 新加坡数据保护机构（PDPC）：对Carousell数据泄露事件罚款58,000新元

Carousell因未能采取合理的安全措施来保护其持有或控制下平台用户的个人数据，被PDPC处以58,000新元的财务罚款。Carousell还被要求审查其软件测试程序、流程，以及记录软件功能和技术规格的程序，并纠正审查中发现的所有问题。

来源： 新加坡数据保护机构

6.法 国国家信息自由委员会（CNIL）：对Viamedis和Almerys展开数据泄露调查

2024年2月7日，法国国家信息自由委员会宣布，对健康保险补充计划进行第三方支付管理的服务提供商Viamedis和Almerys遭到网络攻击，超过3300万人的数据遭到泄露。对此，CNIL迅速展开调查，以验证这些运营商的安全措施是否符合其义务，并呼吁所有使用Viamedis和Almerys服务的补充健康保险公司直接通知所有受到数据泄露影响的保险持有人，并确保这一过程“在最短时间内”完成。

来源： 法国国家信息自由委员会

7. 美国：美国联邦贸易委员会发布针对Blackbaud数据安全失误的执法决定

美国联邦贸易委员会声称， Blackbaud虚假承诺已采取适当措施保护个人信息，但实际上未能实施。2020年初，黑客利用这些漏洞，未被检测地获取了大量敏感数据。Blackbaud在发现后支付了赎金，但未验证数据是否被删除，且未及时通知受影响的客户 。执法决定要求Blackbaud删除不必要的数据，禁止其在数据安全政策中出现误导性描述，并要求其建立全面的信息安全策略。

来源： 美国联邦贸易委员会

8. 日本（个人信息保护委员会）PPC就数据安全措施向NTT Docomo和NTT Nexia发布行政指南

2024年2月15日，日本个人信息保护委员会宣布，已就NTT Docomo公司和NTT Nexia公司遵守《个人信息保护法》（APPI）第23条规定的数据安全要求向其发布行政指导。此前， PPC已裁定Docomo将客户信息管理服务外包给Nexia而双方均未采取适当的安全措施导致596万人的个人数据泄露的行为违反了《APPI》第23条 。

来源： 日本个人信息保护委员会

合伙人简介