网络安全与数据合规法律动态速递（2023年第7期）

（一）境内资讯

2023年8月10日，中央网信办发布《网站平台受理处置涉企网络侵权信息举报工作规范》（以下简称"《规范》"）。《规范》共29条，旨在规范境内网站平台对涉企网络侵权信息的举报工作，更好维护企业和企业家网络合法权益。《规范》明确了举报的原则和标准，包括网站平台应当依法受理举报、重点处理仿冒性信息、误导性信息、谣言性信息、侮辱性信息、泄密性信息和恶意干扰企业正常生产经营的信息；规定了举报的必备条件和审核标准，明确了对不同类型信息的处理措施，包括删除信息、限时加私、设置争议标记和提供澄清回应服务等；同时明文禁止网站平台滥用举报处置权利，禁止实施有偿删帖等谋取不正当利益的行为。

2023年8月16日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 基于个人信息的自动化决策安全要求》的征求意见稿（以下简称"《征求意见稿》"）。《征求意见稿》明确了“自动化决策”的定义和环节；明确了自动化决策处理活动的基本安全原则；规定了个人信息处理者在自动化决策处理活动不同环节中的安全要求，包括在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。

2023年8月21日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 数据安全风险评估方法》的征求意见稿（以下简称"《征求意见稿》"）。《征求意见稿》提出了数据安全风险评估基本概念、要素关系、分析原理、实施流程、评估内容和分析与评价方法，明确了评估的各阶段实施要点和工作方法。《征求意见稿》能够有效指导数据处理者和第三方评估机构进行数据安全风险评估，同时也可为相关监管部门在数据安全检查评估时提供参考。

2023年8月25日，全国信息安全标准化技术委员会发布国家标准《网络安全标准实践指南——生成式人工智能服务内容标识方法》（以下简称"《指南》"），提供了生成式人工智能服务提供者对生成内容进行标识的方法，包括显式水印标识和隐式水印标识，要求人工智能生成内容的显示区域中应包含实体文字或显式水印，要求人工智能生成的图片、音频、视频中应包含隐式水印标识（人类无法直接感知、但可通过技术手段从内容中提取的标识）。该《指南》对大众分辨AI生成内容、辨别网络虚假内容、追溯虚假信息出处等方面具有显著帮助。

2023年8月25日，全国信息安全标准化技术委员会发布《信息安全技术 重要数据处理安全要求》的征求意见稿（以下简称"《征求意见稿》"）覆盖了数据处理活动的全周期，对数据收集、存储、使用与加工、传输与提供、公开、删除活动规定了详细的安全要求和措施。《征求意见稿》还着眼于组织与人员管理，要求数据处理者委任数据安全负责人、成立数据安全管理机构、建立重要数据安全风险评估体系等，确保重要数据在数据处理活动全周期中的安全。

2023年8月25日，全国信息安全标准化技术委员会发布《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》的征求意见稿（以下简称"《征求意见稿》"）规定了大型互联网企业建立和运行个人信息保护监督机构的要求，包括个人信息保护监督机构的设置、职责、工作规则，以及个人信息保护监督机构的成员构成等。《征求意见稿》要求大型互联网企业应在六个月内成立个人信息保护监督机构，该机构应由七至十五名成员组成，其中外部成员占比不低于三分之二，内部成员不超过三分之一。《征求意见稿》是对《个人信息保护法》第五十八条规定的细化，对于推动大型互联网企业建立合规制度体系具有积极作用。

2023年8月25日，全国信息安全标准化技术委员会发布《信息安全技术 数据交易服务安全要求》的征求意见稿（以下简称"《征求意见稿》"）相较于旧版国家标准（GB/T 37932—2019）引入了“数据交易所”的概念；将数据交易服务分为场内交易和场外交易两种模式；规定了数据交易服务安全要求，包括数据交易参与方、交易对象、交易平台及交易过程的安全要求。《征求意见稿》是对《数据安全法》第十九条规定的“建立健全数据交易管理制度，规范数据交易行为”的进一步落实，有助于规范数据交易活动，也有助于监管部门、评估机构对数据交易服务安全进行监督、管理、评估。

2023年9月1日，国家互联网信息办公室针对知网（CNKI）运营的手机知网、知网阅读等14款App存在的违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为，对知网（CNKI）依法作出网络安全审查相关行政处罚的决定，责令其停止违法处理个人信息行为，并处5000万元人民币罚款。本次处罚为各类电子平台敲响警钟，数据合规已成为了电子商务从业主体无法忽视的重要事项。

2023年9月11日，在2023年深圳市网络安全宣传周启动活动上，深圳市人民检察院、深圳市互联网信息办公室、深圳市发展和改革委员会、深圳市司法局、深圳数据交易所联合发布《深圳市企业数据合规指引》（以下简称"《合规指引》"）。《合规指引》首次将数据合规激励机制引入监管领域，检察机关可以参考评估结论依法作出不批准逮捕、变更强制措施、不起诉的决定，或提出从宽处罚的量刑建议；若符合行政处罚法规定条件的，检察机关可以根据具体情况酌情向有关主管部门提出从轻或减轻的建议、意见。

国家互联网信息办公室为保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动，依据有关法律，起草并于2023年9月28日发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称"《数据跨境规定》"）。《数据跨境规定》对于不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形进行了列举，主要包括：不是在境内收集产生的个人信息向境外提供；预计一年内向境外提供不满1万人个人信息的；为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。若该规定能够获得通过，将有利于降低企业在高频数据出境场景项下的数据合规负担，有利于促进数据的安全流动。

2023年8月3日，韩国个人信息保护委员会发布了《人工智能时代安全使用个人信息的政策方向》（以下简称"《政策方向》"）。个人信息保护委员会指出，AI的应用引发了公众对个人信息安全的担忧，《政策方向》旨在指导相关方在AI的开发过程中正确处理个人信息，以减小个人隐私遭受侵犯的风险。《政策方向》提供了如何在AI环境下解释和适用韩国《个人信息保护法》的规则，还提出要通过政府和私营部门的合作，共同设计监管系统。强调要制定基于原则的纪律以解决具有不确定性的风险；明确AI开发和服务阶段的个人信息处理标准；制定各行业的指南；健全国际合作体系。 

2023年8月10日，美国联邦通信委员会宣布了关于美国网络信任标志计划拟议规则的制定通知（NOPR）。这是一项自愿参与的网络安全标识计划，预计将于2024年启动，旨在帮助美国消费者更轻松地选择安全、不易受网络攻击的智能设备。该计划将通过在包装上显示U.S. Cyber Trust标志以及可扫描的二维码，使消费者能够轻松辨认那些符合通用安全和隐私标准的智能设备和产品。美国联邦通信委员会指出，预计随着时间的推移、消费者对易于识别的可信赖智能产品需求的增长，会有越来越多的制造商参与该计划。

2023年8月30日，西班牙数据保护局发布了对西班牙通用物流系统公司（以下简称"GLS物流"）的罚款决定。起因是消费者从一家零售商购买了手机，使用GLS物流将手机邮寄回家。然而，在未经该消费者同意的情况下，GLS物流允许其他人代为领取了该手机。西班牙数据保护局认定GLS物流未经该消费者同意擅自处置、未将手机送达消费者指定地点等行为，违反了GDPR第6条的规定，决定对GLS物流处以14万欧元的罚款。

鉴于1Health.io超范围共享消费者未经加密的健康、遗传和其他个人信息等敏感数据、未能及时销毁消费者的DNA样本等，美国联邦贸易委员会要求其必须支付75,000美元（该笔款项拟用于向消费者退款）、要求其销毁保留超过180天的所有消费者DNA样本、禁止其在未获得消费者明确同意的情况下与第三方分享健康数据，包括在其2020年隐私政策变更前后消费者提供的信息；要求其报告未经授权披露消费者个人健康数据的事件；并实施全面的信息安全计划，解决投诉中概述的安全失误问题。

本期编辑：何为、侯宛辰、肖博