网络安全与数据合规法律动态速递（2023年第9期）

（一）境内资讯

2023年11月2日，财政部会同国家互联网信息办公室发布了《会计师事务所数据安全管理暂行办法（征求意见稿）》（以下简称"《办法》"）。根据《办法》的起草说明，《办法》共5章36条，定位为会计师事务所数据安全管理顶层设计，一是全面对接数据安全法要求、二是构建注册会计师行业数据安全监管体系、三是明确数据管理要求。同时，《办法》重点从明确适用范围、数据定义和各方主体、加强会计师事务所数据管理、完善会计师事务所网络保障、加强监督检查等四个方面入手，旨在加强会计师事务所数据安全管理，规范会计师事务所数据处理活动。

2023年11月3日，国家互联网信息办公室（以下简称"国家网信办"）公布了各地省级网信部门接收申报材料、备案材料的办公地址和联系电话，便于更好地指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。

自2023年5月30日国家网信办公布《个人信息出境标准合同备案指南（第一版）》以来，多地省级网信办陆续发布当地标准合同备案的具体工作指引，鉴于各地网信办对备案流程设置或有不同，现符合条件的企业可以在备案前根据国家网信办已公布的联系方式先电话咨询明确详细报送信息，以切实履行个人信息出境标准合同备案义务。

2023年11月14日，中国信息通信研究院产业与规划研究所、北京国际大数据交易所在北京市经济和信息化局指导下联合编制、发布了《数据清洗、去标识化、匿名化业务规程（试行）》（以下简称"《业务规程》"），《业务规程》是国内首个数据清洗、去标识化、匿名化处理相关的流程方法。《业务规程》从处理目标及相互关系、数据处理原则、数据清洗规程、数据去标识化规程、数据匿名化规程及数据处理环境要求六个方面作出指引，同时结合常见直接标识符和准标识符示例、常见标识符的去标识化或匿名化参考及部分数据处理技术方法应用建议三个附件，为规范行业主体开展相关数据处理行为提供参考，为数据共享、交易、开放等流通活动合规、有序进行提供支撑以及为数据要素市场的激活等奠定良好基础。

2023年11月23日，工业和信息化部发布了《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》（以下简称"《裁量指引》"），《裁量指引》由正文及附件组成，其中包括正文五章二十六条及附件十四条。《裁量指引》除明确适用范围和行政处罚裁量权的概念外，还就行政裁量的管辖、行政处罚的情形以及行政处罚裁量权的适用规则进行了规定。另外，在附件《工业和信息化领域数据安全行政处罚裁量基准》中，还明确了不予处罚、从轻处罚、减轻处罚、从重处罚的裁量阶次以及结合危害程度等因素细化了各项行政处罚的适用条件等作为数据安全行政处罚的裁量参考。《裁量指引》的出台，有助于推动工业和信息化领域数据安全行政处罚工作制度化及规范化，保障数据安全及促进数据开发利用。

2023年11月30日，《中华人民共和国反电信网络诈骗法》实施一周年之际，最高人民检察院发布检察机关依法惩治电信网络诈骗及其关联犯罪典型案例11件。

在王某某等人诈骗、侵犯公民个人信息案中，被告人王某某利用物流公司内部人员出售的公民个人信息“盲发快递”进而实施电信网络诈骗。检察机关在本案中不仅通过公益诉讼实现了对公民个人信息的维护，还向物流公司制发了切实可行的检察建议，拓宽综合治理路径、能动履职提升检察综合治理效能。物流公司根据检察建议，对个人信息等敏感数据查询予以实时监测与管控，规范了员工账号权限，通过提升技术识别能力和处置效率、引入客户黑名单制度等加强对“盲发快递”的风险防控，切实履行物流公司保护公民个人信息的社会责任。

2023年11月23日，西班牙数据保护局（AEPD）发布了《关于生物识别数据在出勤和门禁控制中的使用指南》。该指南为生物识别技术在工作和非工作目的的门禁控制中的使用制定了标准，明确了必须考虑的措施，以确保使用这项技术进行的个人数据处理符合《通用数据保护条例》（GDPR）等法规。该指南将用于识别和身份验证的生物识别数据的处理均视为高风险。该指南同时强调，在工时登记和门禁控制等与就业相关的活动中，仅仅依靠同意本身无法使得使用生物识别数据的行为合法。

继欧洲议会于2023年11月9日批准后，欧盟理事会于2023年11月27日通过《数据法》（The Data Act）。该法将在欧盟官方公报上公布，并将于公布之日起20日后正式生效。此后，《数据法》的大部分规定将在其生效之日起20个月后施行。

《数据法》目的是简化数据处理服务提供商之间的切换，制定防止非法数据转移的保障措施，并为数据在不同行业之间的再利用制定了互操作性标准。《数据法》通过强化数据主体（个人和企业）对于自身数据的控制权，旨在推动数据价值的公平分配。

本期编辑：何为、侯宛辰、查歆雅、陈舒婷、肖博