竞天公诚网络安全与数据合规动态提报（2024年3月）

一

境内资讯

1 . 国家互联网信息办公室公布发布《促进和规范数据跨境流动规定》

《规定》主要对下列内容进行了规定：一是明确重要数据出境安全评估申报标准。二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。三是设立自由贸易试验区负面清单制度。四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。（欲查阅我们的详细分析，请点击 “ 揭晓数据出境新图景：《促进和规范数据跨境流动规定》新规解读及企业合规提示 ” 了解详情）

来源：国家网信办

2. 《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》发布

数据处理者因业务需要向境外提供重要数据和个人信息，符合数据出境安全评估适用情形的，按照新版申报指南申报数据出境安全评估；通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的，按照新版备案指南向所在地省级网信部门备案。两份《指南》对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

来源：国家网信办

3.国家标准《数据安全技术 数据分类分级规则》发布

该标准给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导，明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。具体而言，数据分类应根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等；数据分级则应根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等。

来源：全国网络安全标准化技术委员会、合规PLUS

4.自然资源部印发《自然资源领域数据安全管理办法》

《办法》鼓励自然资源领域数据依法共享开放和开发利用。自然资源部所属的数据处理者应当将本单位重要数据和核心数据目录向自然资源部报备，国家林业和草原局所属的数据处理者应当将本单位重要数据和核心数据目录向国家林业和草原局报备，其他数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门报备。

来源：自然资源部、数据观资讯平台

5.国务院公布《消费者权益保护法实施条例》

《条例》细化、补充了《消费者权益保护法》的各项规定，要求经营者应当依法保护消费者的个人信息。经营者在提供商品或者服务时，不得过度收集消费者个人信息，不得采用一次概括授权、默认授权等方式，强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。

来源：国务院

6.国家金融监督管理总局关于《银行保险机构数据安全管理办法》公开征求意见

共九章八十一条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任；制定数据分类分级保护制度，并采取差异化的安全保护措施。

来源：国家金融监督管理总局

7. 《民航数据管理办法（征求意见稿）》《民航数据共享管理办法（征求意见稿）》发布

对数据管理的适用范围、原则、定义、处理主体、职责与分工、数据资源目录、数据采集与治理、数据共享、数据应用、数据安全、监督保障等方面进行明确规定。在数据应用方面，提出“民航各级行政机关、企事业单位应当加强数据应用，拓展应用场景，开展民航专业领域大模型训练，积极推进民航数据在决策支持、安全监管、生产运行、服务保障等领域中的应用，充分发挥数据要素乘数效应”，并对各场景提出方向性要求。

来源：中国民航局

8 .《生成式人工智能服务安全基本要求》发布

提出生成式人工智能服务提供者需遵循的安全要求，包括语料安全、模型安全、安全措施等。同时，作为《生成式人工智能服务管理暂行办法》的支撑文件，也为《暂行办法》第十七条规定的“安全评估”确立了明确的评估标准。生成式人工智能服务提供者在按照有关要求履行算法备案手续时，需按照《基本要求》进行安全评估，并提交评估报告。

来源：全国网络安全标准化技术委员会

9. 《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》发布

车外画面局部轮廓化处理，是指将汽车从车外采集的视频、图像中包含人脸、车牌等信息的区域删除，或者将这些区域替代为无法关联个人信息主体且不可复原的其他图像(例如，与人脸、车牌颜色不同的纯色色块)的过程。《实践指南》给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证指标，为汽车数据处理者及有关机构验证车外画面局部轮廓化处理效果提供了参考。

来源：全国网络安全标准化技术委员会

10.《江苏省关于促进数据安全产业发展的实施意见》发布

《实施意见》明确了江苏省在2025年以前和2035年以前数据安全产业发展的整体目标，并提出6项重点任务，即提高产业创新能力、打造数据安全产品体系、提升数据安全服务层次、打造产业发展高地、深化各行业领域应用、优化产业发展生态。下一步，江苏省工信厅将会同有关部门，加强组织领导，加大政策支持和深化开放合作，推动数据安全产业高质量发展。

来源：江苏省工信厅

11. 《无锡市公共数据授权运营管理办法（试行）》印发

《办法（试行）》旨在加快无锡市公共数据开发利用，规范公共数据授权运营，培育数据要素市场。《办法（试行）》共7章33条，明确了公共数据授权运营管理应遵循的原则，提出了建立市级公共数据授权运营管理工作协调机制，明确了运营单位的确定与退出方式、权利与义务。此外，对于公共数据授权运营的安全管理、利益分配机制、产品流通也作出了规定。

来源：无锡市大数据管理局

12. 《全国公共信用信息基础目录（2024年版）》和《全国失信惩戒措施基础清单（2024年版）》发布

《目录》旨在规范界定公共信用信息纳入范围，共纳入了包括登记注册基本信息、司法裁判及执行信息、行政管理信息、职称和职业信息、经营（活动）异常名录（状态）信息、严重失信主体名单信息等13类公共信用信息。《清单》旨在规范界定失信惩戒措施的种类及其适用对象，所列失信惩戒措施共14项，根据措施实施主体不同及是否涉及减损信用主体权益或增加其义务而被分为三类。

来源：国家发展改革委

13.《统筹融资信用服务平台建设提升中小微企业融资便利水平实施方案》发布

《实施方案》就更好统筹融资信用服务平台建设，完善以信用信息为基础的普惠融资服务体系作出部署。《实施方案》明确，要优化信息归集共享机制，明确信用信息归集共享范围。将企业主要人员信息、各类资质信息、进出口信息等纳入信用信息归集共享清单。同时，充分发挥地方融资信用服务平台作用，依法依规加大清单外信用信息归集共享力度。同时，要深化信用数据开发利用，完善信息查询服务。

来源：国务院办公厅

14.《新一代地理信息公共服务平台（天地图）建设总体实施方案》发布

2011年正式上线的地理信息公共服务平台（天地图）是县级以上自然资源主管部门向社会提供各类在线地理信息公共服务、推动地理信息数据开放共享的政府网站。《实施方案》旨在加快建设新平台，推动天地图转型升级，明确了新平台建设的总体架构和技术架构，并提出“公共服务数据资源体系、高度协同智能化服务体系、全流程数据在线更新技术体系、全国统一的运行支撑体系”四项建设内容和各自的具体建设方案。

来源：自然资源部

二

境内监管动态

1.金融监管总局办公厅下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》

《通报》指出，通过银行保险机构自查和监管部门抽查，在个人信息处理具体执行层面发现五大主要问题：（1）个人信息收集方面存在强制同意、扩大授权、笼统授权等问题；（2）个人信息存储管理不严、传输方式不安全；（3）存在违规查询账户信息、不当使用客户信息情况；（4）个人信息提供和删除方面，存在未经授权对外提供、未及时删除等问题；及（5）个人信息第三方合作方面，存在对外合作机构管控失效等问题。

来源：中国经济网、每日商报、蓝鲸财经

2.上海市通信管理局开展“铸盾车联”2024年车联网网络和数据安全专项行动

适用于车联网企业，包括智能网联汽车生产、车载终端软硬件生产、车联网服务运营平台、自动驾驶相关服务等企业。行动列明了主要任务，即落实网络和数据安全主体责任、保障车联网网络设施和系统安全、智能网联汽车产品安全、车联网平台和应用服务安全、车联网数据安全等，并列明了保障措施，如开展实车实网网络攻防检验等。

来源：网信上海

3. 62款APP及SDK因存在侵害用户权益行为被通报

工信部对用户反映突出的“摇一摇”乱跳转、信息窗口“关不掉”以及违规收集使用个人信息等问题进行检查，在既往常见的“违规收集个人信息”、“欺骗误导强迫用户”等问题之外，同时发现了“信息窗口‘摇一摇’乱跳转，误导用户”、“信息窗口未提供关闭或退出标识”等侵害用户权益行为。

来源： 工信部

4. 河南网信办依法关闭5个违规网络账号

公布了涉及网络谣言、假冒仿冒官方账号、发布虚假信息的5个案件。相关账号皆已被账号信息服务平台依法依约予以关闭。行政处罚依据为《互联网用户公众账号信息服务管理规定》及《网络信息内容生态治理规定》。

来源：网信河南

5. 安徽省通信管理局通报8款未完成问题整改APP

安徽省通信管理局近期对省内APP进行了拨测检查，检测发现27款APP存在违法违规收集使用个人信息的问题，并于2月22日对上述违规APP企业下达了责令改正通知书。截至3月14日，尚有8款APP未完成问题整改，相应问题项主要涉及：违规收集个人信息，超范围收集个人信息，强制、频繁、过度索取权限以及频繁自启动和关联启动。

来源：安徽省通信管理局

6.上海市市场监管局公布一批个人信息保护典型案例

3月14日，上海市市场监管局集中公布一批个人信息保护领域的典型案例，包括：上海洳娟实业有限公司未经消费者同意擅用人脸识别设备收集个人信息案、上海中原物业顾问有限公司侵害消费者个人信息依法得到保护的权利案、上海那嘎的餐饮管理有限公司闵行分公司非法处理个人信息案、深圳市三宅商事贸易有限公司上海三宅贸易分公司未以显著方式公示随机商品抽取概率案等，共计8则案例。

来源：上海市场监管

7.北京市网信办联合多部门现场指导商家提升扫码服务水平

今年2月份以来，北京市网信办联合13部门开展打击整治强制扫码乱象专项行动，突出治理扫描二维码方式提供服务过程中强制关注公众号、过度收集个人信息等乱象。3月7日，北京市网信办会同多部门赴2家大型停车场、2家连锁餐饮企业进行现场检查指导，针对授权使用后未设置注销功能、寻车功能未弹出隐私政策等新问题，指导商家进一步完善功能设置，推动扫码服务全流程合规，保护消费者个人信息合法权益。

来源：网信北京

8 .中国远东国际招标有限公司存在严重失泄密风险隐患被取消装备采购招标代理资格

3月12日，中央军委装备发展部科研订购局查实，中国远东国际招标有限公司在承担战略支援部队某单位招标代理任务时，存在违规通过微信、互联网邮箱等转发传递大量采购公告资料、在非涉密电脑存储大量涉密文件资料等情形，保密管理处于失管失控状态，存在严重失泄密风险隐患。依据《装备采购招标代理服务工作管理办法》等有关规定要求，取消中国远东国际招标有限公司装备采购招标代理资格。

来源：全军武器装备采购信息网

三

境外资讯

1.欧洲议会通过《人工智能法案》（EU AI Act）

3月13日，欧洲议会通过了《人工智能法案》（Artificial Intelligence Act），是世界范围内第一部全面规制人工智能的立法。所有在欧盟境内将人工智能系统或者通用人工智能模型投入市场使用的实体都受这部法案规制。法案分为13章，共113条。主要内容是将人工智能按照其对用户和社会的潜在影响分为不可接受风险类、高风险类、有限风险类和最小风险类并对不同类型的人工智能制定了对应权利义务、管理方式和识别规则。除此之外还包括了激励创新的措施、治理、上市后检测、市场监督、行为准则、程序性规定和处罚等内容。

来源：European Parliament

2. 美众议院全票通过《保护美国人数据免受外国对手侵害法案》

3月20日，美国国会众议院全体一致通过《保护美国人数据免受外国对手侵害法案》，该法案是美国历史上第一个在美国两院之一中通过的联邦数据隐私国会立法。该法案禁止数据经纪人向外国对手或由这些外国对手控制的实体出售信息，外国对手包括了中国、俄罗斯、伊朗和朝鲜。法案赋予联邦贸易委员会对实施上述行为的主体采取至少50000美元的民事处罚。涵盖的数据与《美国数据隐私和保护法案》中规定的“敏感涵盖数据”基本相同（待最终立法确定），包括遗传信息、生物识别技术、财务账户、电话和短信日志等类型。

来源：美国国会

3. 联合国大会通过了首个有关人工智能（AI）的全球决议草案

3月21日第78届联合国大会通过了题为“抓住安全、可靠和值得信赖的人工智能系统带来的机遇，促进可持续发展”的决议。决议内容包括在人工智能系统的发展过程中必须要以人为本，符合道德、具有包容性；要加快人工智能系统的设计、开发、部署和使用；探索适当的治理办法以满足发达国家和发展中国家不同的需求和能力；促请会员国与发展中国家合作并提供援助等内容。

来源：联合国

4. 新加坡个人数据保护委员会（PDPC）发布了《人工智能推荐和决策系统中个人数据使用咨询指南》

3月1日，新加坡个人数据保护委员会（PDPC）发布了《人工智能推荐和决策系统中个人数据使用咨询指南》。《指南》的目的旨在帮助组织确定在AI系统的开发、测试、监控和部署过程中如何合理的收集和使用个人数据，还讨论了商业改进例外和研究例外的使用条件等内容。

来源：PDPC、The Straits Times

5. 土耳其数据保护机构（KVKK）对《个人数据保护法》（PDPL）进行多项修订

3月12日，土耳其数据保护机构（KVKK）对《数据保护法》进行了多项修订。其中包括：（一）规定了禁止处理敏感个人数据的原则和在数据主体明确表示同意或者符合例外情形的条件下可以处理敏感数据。雇主可以保留前雇员的健康数据以便在可能的诉讼中行使辩护权；（二）对数据跨境传输的情形进行了修改。通过签署标准合同可以无需单独授权即可进行数据跨境传输；（三）规定了在没有根据合同协议做出适当性决定的情况下作出传输通知可被执行5万至100万土耳其里拉的罚金。

来源：Mondaq

6.世界知识产权组织（WIPO）发布了《生成式人工智能:知识产权导航》

世界知识产权局（WIPO）发布《生成式人工智能：知识产权导航》（Generative AI: Navigating Intellectual Property），旨在帮助采用生成式人工智能工具的组织了解知识产权风险及对策。报告中，WIPO制定了指导原则和清单，帮助企业了解知识产权风险，并考虑潜在的保障措施。可能的法律风险包括合同条款差异、训练数据问题、不当或非法输出等。

来源：WIPO

四

境外监管动态

1. 美国交通部将审查十大航空公司的个人数据交易业务

美国交通部长皮特·布蒂吉格宣布将对美国十大航空公司进行首次行业范围的隐私审查，以查看这些航空公司收集、处理、维护和使用乘客个人信息的政策。审查还将调查航空公司是否不公平或欺诈性地将数据货币化或与第三方共享。此次审查是交通部确保航空公司妥善保护敏感乘客数据的新举措的一部分。

来源：U.S. Department of Transportation

2 .法国竞争管理局对谷歌处以2.5亿欧元的罚款

法国监管机构对谷歌罚款2.5亿欧元，因其未经法国出版商和新闻机构同意的情况下，擅自使用其内容训练其旗下的聊天机器人“巴德”（Bard）。作为和解条件，谷歌公司承诺对违规行为不作辩解，并提出一系列措施修正产品和服务缺陷。此为AI领域数据版权问题首例重罚，或成法律风向标。谷歌此前已因类似问题受罚，但其对版权问题重视不足。

来源：新华社

3. 美国将对内嵌中国ICTS的联网汽车启动国家安全审查

2024年2月29日，美国商务部针对联网汽车的信息通信技术服务（ICTS）供应链发布预先通知提案规则制定（ANPRM）。此行动针对特定国家制造的汽车技术，旨在调查联网汽车对美国国家安全的威胁。该提案指出，外国政府通过联网汽车获取的数据可能对国家安全和公民隐私构成严重风险。美国商务部寻求反馈，包括定义、ICTS交易对国家安全的潜在风险、实施机制，以及创建公众请求批准流程的可能性。

来源：U.S. Department of Commerce

4.欧盟委员会因使用Microsoft 365违反数据保护规定被采取纠正措施

2024年3月11日，欧洲数据保护监督机构（EDPS）发布了一份新闻稿，指出欧盟委员会在使用Microsoft 365时违反了欧盟的数据保护规定。主要违规行为包括：数据处理目的不明确、个人数据跨境转移缺乏适当保障措施、未经授权披露个人数据。EDPS要求欧盟委员会从2024年12月9日起暂停所有Microsoft 365数据流动，并采取合规措施以确保数据处理活动符合规定。

来源：EDPS

5.日本电报电话公司（NTT）总裁由于客户数据泄露事件引咎辞职

2024年3月1日，NTT West总裁Masaaki Moribayashi宣布将于3月底辞职，以对2023年10月曝光的涉及928万客户的大规模数据泄露事件负责。NTT West公司在2022年曾接到潜在泄露的警告，但内部调查未能发现问题，并提供了错误的安全措施信息。涉事员工已于2024年2月被捕并起诉。为防止类似事件，NTT West承诺加强信息安全，增加100名信息安全人员，并投入100亿日元（约合6650万美元）用于监控升级。

来源：The Register

6.欧盟委员会根据《数字服务法》对速卖通启动正式调查程序

在2024年3月14日的新闻发布中，欧盟委员会宣布对AliExpress启动正式程序，以评估该公司是否违反了《数字服务法案》（DSA）。调查的重点领域包括风险管理与缓解、内容审核、内部投诉处理机制、广告和推荐系统的透明度、交易者的可追溯性，以及为研究人员提供数据访问。

来源：欧盟委员会