网络安全与数据合规法律动态速递（2023年第8期）

（一）境内资讯

2023年10月11日，全国信息安全标准化技术委员会发布《生成式人工智能服务 安全基本要求》的征求意见稿（以下简称"《要求》"）。《要求》提出了包括语料安全、模型安全、安全措施、安全评估等的生成式人工智能服务安全相关的基本要求。在语料安全方面，《要求》从语料来源、内容及标注方面进行了明确规定。其中，生成式人工智能服务提供者在语言来源管理时，应建立语料来源黑名单，不使用黑名单来源的数据进行训练且应对各来源语料进行安全评估，单一来源语料内容中含违法不良信息超过5%的，应将该来源加入黑名单。《要求》的发布，不仅有助于面向境内公众提供生成式人工智能服务的提供者提高服务安全水平，同时还可为相关主管部门评判生成式人工智能服务的安全水平提供参考。

2023年10月18日，习近平主席在第三届“一带一路”国际合作高峰论坛开幕式上宣布，中方将提出《全球人工智能治理倡议》。同日，中央网信办发布《全球人工智能治理倡议》。该倡议聚焦人工智能的发展、安全与治理，提出了11条倡议，关注以人为本、尊重他国主权并遵守他国法律、智能向善、坚持相互尊重和平等互利原则、建立风险等级测试评估体系、建立健全法律和规章制度、坚持公平性和非歧视性原则、坚持伦理先行、坚持加强国际合作和对话、积极发展用于人工智能治理的相关技术开发与应用、关注发展中国家在人工智能全球治理中的代表性和发言权等。该倡议的提出正是呼应全球人工智能治理的中国强音，为全球人工智能治理提供了中国方案。

2023年10月24日，工业和信息化部发布了《工业互联网安全分类分级管理办法（公开征求意见稿）》（以下简称"《管理办法》"），《管理办法》包括总则、企业分类分级、网络安全管理、支持与保障及附则共五章二十一条。《管理办法》中明确了工业互联网企业的分类，主要分为应用工业互联网的工业企业、工业互联网平台企业及工业互联网标识解析企业三个类别。除明确企业分类外，《管理办法》还就工业互联网企业的自主定级、定级核查、分级防护、符合性评测及安全整改进行了规定，旨在落实企业网络安全主体责任、提升工业互联网安全防护水平及促进工业互联网深度的融合应用。

2023年10月24日，国务院发布《未成年人网络保护条例》（以下简称"《条例》"）。《条例》设立专章规定未成年人的个人信息网络保护工作，旨在保障未成年人合法权益。《条例》要求处理未成年人个人信息的行为应限于国家规定的必要范围内；要求保障未成年人查阅、复制、更正、补充、删除其个人信息的权利；要求个人信息处理者以最小授权为原则，控制未成年人个人信息知悉范围等。此外，《条例》聚焦可能影响未成年人身心健康的信息，要求政府、学校、监护人、网络产品和服务提供者、个人信息处理者、新闻媒体等多社会主体履行各自职责，坚持最有利于未成年人的原则，协力营造有利于未成年人身心健康的网络环境。

2023年10月24日，上海市消费者权益保护委员会、上海市汽车销售行业协会共同印发《上海市汽车销售行业个人信息保护合规指引》（以下简称"《指引》"）。《指引》明确了在收集、使用、处理、储存消费者个人信息时所应遵守的要求，旨在引导上海汽车销售行业加强对消费者信息的保护，维护汽车消费者的个人信息安全。《指引》规定在收集消费者个人信息时，不得采用默认勾选同意隐私政策的方式；在收集个人敏感信息、服务中变更收集个人信息范围时，应取得消费者的单独同意；在处理消费者个人信息时，目的应与提供驾驶安全等服务直接相关。

2023年10月30日，杭州市司法局面向社会各界公开征集《直播电商产业合规指引（征求意见稿）》，该指引系杭州市为打造良好的法治化营商环境而拟编制系列重点产业合规指引的一部分。该指引在第二部分对合规及风险防范要点进行了细致规定，包括主体、直播账号、商品及服务、直播营销、知识产权、消费者权益保护、数据合规、税务合规等全方位多角度的合规要求。此举为促进直播电商产业健康发展、增强直播电商从业人员的风险预防及应对能力等提供了具有实践性的指引。

2023年10月31日，在《中华人民共和国个人信息保护法》施行两周年之际，广东省高级人民法院发布了7例个人信息保护典型案例，本次公布的案例涉及互联网平台收集和处理个人信息的标准认定、算法运行错误导致个人信息不实的责任主体认定、未经同意发送商业短信、个人信息认定标准“可识别性”的适用、非法采集人脸图像、大规模个人信息侵权中不特定损害的判定、危害公共利益的个人信息侵权行为的司法认定等。此举有助于强化个人信息权益保护、打造良好法治化营商环境、促进互联网行业和数字经济健康发展。

2023年10月5日，克罗地亚个人数据保护局（Croatian Personal Data Protection Agency）对债务催收机构 EOS Matrix处以547万欧元的行政罚款。克罗地亚个人数据保护局在调查中发现，EOS Matrix作为数据控制方，在数据处理系统中未采取足够的技术措施，以识别异常活动；违法处理非债务人的个人信息；违法记录债务人的健康状况信息；对数据的处理流程不透明。克罗地亚个人数据保护局认为其上述行为违反了《通用数据保护条例》第6条（处理的合法性）、第9条（特殊类别个人数据的处理）、第12条（保证数据主体权利的行使）、第13条（收集数据主体个人数据时应提供的信息）、第32条（处理的安全性）等规定。

2023年10月17日，瑞典隐私保护局（Swedish Agency for Privacy Protection）对H&M处以35万克朗的罚款。瑞典隐私保护局在其处罚决定中表示，H&M忽视了用户诉求，没有立即停止对投诉用户投放直接营销，也没有为用户建立足够的系统和程序使得其更容易行使反对直接营销的权利，故瑞典隐私保护局认为其行为违反了《通用数据保护条例》第6条（处理的合法性）、第12条（保证数据主体行使权利的透明度等）、第21条（拒绝权）之规定。

2023年10月30日，美国总统拜登发布关于安全、可靠、值得信赖的人工智能的行政命令，旨在建立人工智能（AI）安全和保障的新标准，同时促进创新和竞争。该行政命令要求开发最强大的AI系统的开发者需与美国政府分享其安全测试结果和其他关键信息、提出建立检测人工智能生成内容的标准及先进的网络安全计划等。同时，该行政命令提出要保护美国人的隐私，为开发隐私保护技术提供联邦的支持等以推动隐私保护技术的快速发展。在关注人工智能发展的同时，该行政命令也着眼于人工智能可能带来的隐私保护等方面的风险，并提出了有针对性的行动要求。

本期编辑：何为、侯宛辰、陈舒婷、肖博