网络安全与数据合规法律动态速递（2024年第4期）

（一）境内资讯

2024年4月3日，全国信息安全标准化技术委员会发布《信息安全技术 生成式人工智能数据标注安全规范（征求意见稿）》（以下简称"《数据标注规范（征求意见稿）》"），旨在为生成式人工智能人工标注活动提供安全指南，提升生成式人工智能人工标注实施及应用安全性。

《数据标注规范（征求意见稿）》主要针对生成式人工智能产品研制中的人工标注环节，对人工标注规则制定、标注实施安全、标注质量及安全性核验要求、标注人员安全管理要求、过程安全控制要求、安全证实方法等方面提出规范指引，也为《生成式人工智能服务管理暂行办法》规定的数据标注制度的实施落地提供了相关配套标准。

2024年4月8日，工业和信息化部办公厅发布关于公布《网络安全保险典型服务方案目录》（以下简称"《方案目录》"）的通知，要求各相关单位和部门结合目录积极组织开展网络安全保险服务试点工作，探索建立网络安全保险服务模式。《方案目录》显示，共有49份网络安全保险典型服务方案入围公示，企业类方案36份，产品服务类方案13份。其中，保险公司、再保险公司牵头申报的方案中有23份方案入围。按照工业和信息化部办公厅于2023年12月14日发布的《关于组织开展网络安全保险服务试点工作的通知》，工业和信息化部将组织召开试点工作启动部署会，明确工作目标要求，此次《方案目录》的公布正是对此前开展的网络安全保险服务试点工作的响应。

为规范网络安全运维工作、明确网络安全运维国家标准，2024年4月15日，全国网络安全标准化技术委员会秘书处发布了《网络安全技术 网络安全运维实施指南（征求意见稿）》（以下简称"《网安运维指南（征求意见稿）》"）。《网安运维指南（征求意见稿）》提出了网络安全运维参考框架、网络安全运维所需条件及网络安全运维效果评估模型与效果度量指标，规范了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容。待《网安运维指南（征求意见稿）》定稿并正式对外发布，将对于网络安全运维过程中人员、平台、工具及流程的统筹协调问题，以及如何度量评估网络安全运维工作效果的问题提供解决方案，同时也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。

2024年4月4日，电子零售商HUBSIDE.STORE被处以52.5万欧元的罚款。法国数据保护执法机构调查发现，HUBSIDE.STORE从数据经纪人处购买潜在用户个人数据，并通过电话和短信营销的形式推广其销售的笔记本电脑、手机等产品。法国数据保护执法机构认为，因数据经纪人在收集数据时使用的收集表单具有误导性而使其未能获得有关个人自愿作出的有效同意，进而导致HUBSIDE.STORE使用收集到的用户信息并开展电话营销的行为没有有效法律基础，违反了《通用数据保护条例》（以下简称"GDPR"）第6条关于处理的合法性的要求。同时，HUBSIDE.STORE因在开展电话营销时未能向个人告知其身份和联系方式、数据的使用目的、存储期限、数据的来源等，而违反了GDPR第14条关于履行通知义务的要求。

2024年4月7日，美国对外公布了《美国隐私权法案（草案）》（American Privacy Rights Act，以下简称"APRA（草案）"）。APRA（草案）在国会两院获得通过并由总统签署后方能生效，其为美国人设定了明确的国家数据隐私权和保护措施，消除了各州数据隐私法规的碎片化状态，并建立了包含个人诉讼权在内的强有力的执法机制以追究违法者的责任。

APRA（草案）生效后将赋予美国人控制其信息去向和出售者的权利。它对大型科技公司进行约束，禁止它们在未经人们知情和同意的情况下跟踪、预测和操纵人们的行为来牟利。

2024年4月17日，欧盟委员会发布《数据法》指南（Data Act explained），全面阐述了《数据法》的目标和运作方式。该指南指出，《数据法》在加强欧盟数据经济、促进竞争性数据市场、赋予联网产品用户更大的数据控制权的同时，保持对数据技术投资者的激励、提高云市场的公平性和竞争性，并保护企业免受不公平合同条款的影响。虽然欧盟委员会在该指南结尾明确指出该指南不应被视为欧盟委员会官方意见，但该指南详细解释了《数据法》的各章节内容，包括物联网数据共享、企业数据共享、不公平合同条款等，仍旧有助于各主体更好地理解和遵循相关规定。

本期编辑：何为、侯宛辰、肖博、张明旻、孙钰卿