网络安全与数据合规法律动态速递（2024年第3期）

（一）境内资讯

2024年3月19日，中华人民共和国国务院对外发布《中华人民共和国消费者权益保护法实施条例》（以下简称"《实施条例》"），《实施条例》自2024年7月1日施行。《实施条例》共7章53条，主要内容包括：细化和补充了经营者义务相关规定、完善了网络消费相关规定、强化了预付式消费经营者义务、规范了消费索赔行为和明确了政府消费者权益保护工作职责等。本次发布的《实施条例》亮点在两个方面：在网络消费方面，《实施条例》规定了经营者不得利用技术手段，强制或者变相强制消费者购买商品或者接受服务、不得在消费者不知情的情况下，对同一商品或者服务在同等交易条件下设置不同的价格或者收费标准；在个人信息保护方面，《实施条例》规定了经营者在提供商品或者服务时，不得过度收集消费者个人信息，不得采用一次概括授权、默认授权等方式，强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。此次《实施条例》的发布，进一步加大了消费者权益保护力度，对今后维护消费者合法权益、规范经营者经营行为、促进经济发展具有重要意义。

2024年3月21日，全国网络安全标准化技术委员会发布了《数据安全技术数据分类分级规则》（以下简称"《规则》"），《规则》规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南。《规则》指出，数据的分类应按照“先行业领域分类、再业务属性分类”的思路进行；数据的分级则需通过确定分级对象、分级要素识别、数据影响分析、综合确定级别四个步骤进行。同时，《规则》还提供了包括基于描述对象与数据主体的数据分类、个人信息分类、数据分级要素识别常见考虑因素、安全风险常见考虑因素、影响对象考虑因素以及一般数据分级等的参考示例。《规则》的发布为各行业领域、各地区、各部门和数据处理者开展数据分类分级工作起到清晰的指引作用。

2024年3月22日，国家互联网信息办公室发布《促进和规范数据跨境流动规定》（以下简称"《跨境规定》"）。《跨境规定》共14条，旨在保障数据安全，保护个人信息权益，促进数据依法有序自由流动。《跨境规定》第二条至第六条规定了可以免于申报数据出境安全评估、免于订立个人信息出境标准合同或免于通过个人信息保护认证的各种情形。前述安排有利于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的落地实施，对于数据有序跨境流动具有积极的促进作用。同时，《跨境规定》也强调了应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形；细化了数据出境安全评估结果的有效期；明确了各地网信部门应当加强对数据处理者数据出境活动的指导监督与监管。在推动数据有序跨境流动的过程中，《跨境规定》重申了保护数据安全、维护个人信息权益的重要性。

2024年3月22日，国家互联网信息办公室发布《数据出境安全评估申报指南（第二版）》（以下简称"《申报指南》"）和《个人信息出境标准合同备案指南（第二版）》（以下简称"《备案指南》"），旨在指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。

根据两文件的内容，数据处理者因业务需要向境外提供重要数据和个人信息，符合数据出境安全评估适用情形的，按照《申报指南》申报数据出境安全评估；通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的，按照《备案指南》向所在地省级网信部门备案。两文件对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，并对数据处理者需要提交的相关材料进行了优化简化。

2024年3月22日，国家金融监督管理总局发布《银行保险机构数据安全管理办法（公开征求意见稿）》（以下简称"《银保数据办法（征求意见稿）》"）向社会公开征求意见。《银保数据办法（征求意见稿）》共9章81条，旨在规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益。《银保数据办法（征求意见稿）》主要内容包括：明确数据安全治理架构、建立数据分类分级标准、强化数据安全管理、健全数据安全技术保护体系、加强个人信息保护、完善数据安全风险监测与处置机制、明确监督管理职责。

2024年3月22日，自然资源部发布《自然资源领域数据安全管理办法》（以下简称"《自然资源数据办法》"）。《自然资源数据办法》共7章37条，旨在规范自然资源领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用。《自然资源数据办法》主要内容包括：要求对数据实行分类分级管理，将数据分为一般数据、重要数据、核心数据；要求数据处理者对数据处理活动安全负主体责任，在数据的收集、存储、处理、传输等流程中，对各类数据分级采取保护措施并进行数据安全风险监测；要求行业监管部门建立自然资源领域数据安全风险监测机制、开展自然资源领域数据安全风险评估等工作、开展自然资源领域数据安全事件应急处置工作等。

2024年3月13日，欧洲议会批准了具有开创性意义的《人工智能法案》（以下简称"《法案》"），旨在保护基本权利、民主和环境可持续性，同时促进创新。《法案》禁止了某些威胁公民权利的高风险人工智能应用，如生物特征分类和工作场所的情感识别；同时，《法案》对执法部门使用生物识别身份证明实行严格监管，并对人工智能系统提出了透明度要求；另外，《法案》通过设立监管沙盒和面向中小企业的实地测试的方式以支持创新。目前，《《法案》仍在接受法律语言学家审查的阶段，最终采纳还需经过勘误程序以及理事会批准程序，此后一旦公布，将于20天后生效，并在生效后24个月内全面实施。

2024年3月18日，英国信息专员办公室（the Information Commissioner's Office，以下简称"ICO"）发布了《数据保护罚款指南》（以下简称"《指南》"），阐明了该机构如何决定罚款的发出以及罚款的计算。《指南》为各组织提供了更大的透明度，让他们了解ICO如何运用其罚款权。《指南》的发布遵循了去年的磋商结果，磋商以广泛收集的对于草案的意见为基础。此前对ICO罚款通知的规定见于2018年11月发布的ICO《监管行动政策》，而《指南》的发布代替了这部分内容，并对赋予ICO罚款权力的法律框架、ICO将如何处理关键问题，例如识别控制者或处理者所属的更广泛的“企业”或经济实体，以及ICO将使用的计算罚款适当金额的方法做出了解释。

欧盟委员会与欧洲研究区（ERA）的国家和利益相关方共同发布了《在研究中负责任地使用生成式人工智能的指南》，以促进在研究中负责任地使用生成式人工智能（AI）。该指南以研究诚信原则为基础，为研究相关主体提供指导，以应对人工智能在各个领域的快速应用所带来的机遇和挑战，并为欧洲提供一个一致性的解决方法。该指南的要点包括：（1）研究人员应避免在敏感活动中使用生成式人工智能；（2）研究组织应促进生成式人工智能负责任地使用，并对其开发和使用进行监控；（3）研究资助者应确保申请人透明地使用生成式人工智能。随着生成式人工智能的不断发展，该指南会也根据反馈定期更新。

2024年3月21日，联合国大会通过了一项历史性决议，呼吁抓住人工智能带来的机遇，促进可持续发展。这是联合国首次就监管人工智能通过决议，此决议由美国提交，得到了120多个国家的支持。该决议强调了对安全、可靠、值得信赖的人工智能系统的需求，以及在整个生命周期内尊重人权和基本自由。根据该决议，各国被敦促不使用不符合国际人权法的人工智能系统，尤其是对弱势群体的系统。该决议还指出，人工智能在线下享有的权利也应在线上得到保护。为了推动安全可靠的人工智能系统，各国及利益相关方应制定相应的监管和治理框架。同时，决议还呼吁弥合国家间和国内的人工智能鸿沟，促进数字化转型的包容性和公平性。

本期编辑：肖博、陈舒婷、张明旻