网络安全与数据合规法律动态速递（2023年第2期）

（一）境内资讯

3月28日，国务院新闻办公室举行新闻发布会介绍表示，国家互联网信息办公室2023年“清朗”系列专项行动将以“推动形成良好网络生态”为工作目标，重点开展整治“自媒体”乱象，打击网络水军操纵信息内容，规范重点流量环节网络传播秩序，优化营商网络环境、保护企业合法权益，整治生活服务类平台信息内容，整治短视频信息内容导向不良问题，整治网络戾气等9方面专项行动。

3月24日，南京市鼓楼区人民法院公开开庭审理全国首例全链条打击侵犯公民停车信息案，并当庭判决。本案被告人与另案被告人谢某等围绕“寻车”业务，分别负责程序开发、数据查询、联系客户、安装定位跟踪设备等，上下游之间环环相扣，形成了一条完整的产业链条。法院认为，公民车辆即时位置信息、轨迹信息，系能够反映、识别特定自然人活动情况的信息，该信息与公民行动自由、人身安全等刑法保护法益紧密关联，属于公民个人信息。谢某等13人均以侵犯公民个人信息罪判处，判决均已生效。

3月23日，国家互联网信息办公室公布《网信部门行政执法程序规定》，自2023年6月1日起施行。该规定对《互联网信息内容管理行政执法程序规定》进行了全面修订，明确了“一事不二罚”原则。该规定规范了网信部门行政执法程序，明确了行政处罚的执行与监督，对于规范网信部门行政执法行为具有重要意义。

3月22日，《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定实施细则》正式发布，标志着上海浦东新区智能网联汽车创新应用迈入无人驾驶新时代。该细则为企业开展无驾驶人智能网联汽车创新应用活动提供了操作指引，明确了企业如何申请开展创新应用活动等，为科技企业在创新应用过程中开展收费的商业试运营活动打开了通道。

3月16日，全国信息安全标准化技术委员会（以下简称“信安标委”）网站公布《关于征求国家标准<信息安全技术个人信息跨境传输认证要求>意见的通知》，意见反馈截止时间为5月15日。该标准规定了个人信息处理者跨境提供个人信息的基本原则、基本要求和个人信息主体权益保障要求，适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证。

3月16日，工信部针对“3·15”晚会报道的部分破解版APP违法违规收集用户个人信息问题立即组织核查，并依法进行严厉查处。工信部对部分破解版APP违法违规收集用户个人信息问题采取了排查处置非法下载链接、处理违法违规主体、组织专业检测机构对APP及软件开发工具包（SDK）开展专项检测等措施。工信部表示将继续采取有效措施，进一步筑牢安全防线，切实强化电信和互联网用户个人信息保护。

3月15日，工信部网站公布《关于印发<电信领域违法行为举报处理规定>的通知》（以下简称“《规定》”），自2023年6月1日起施行。《规定》共四章二十五条，主要包括：（一）明确举报处理基本要求。（二）规定受理要求，以防止恶意举报，并详细规定受理条件和不予受理的情形等。（三）完善办理程序。将办理程序划分为初步审核和调查两个基本环节。（四）规范分类处理要求。要求电信主管部门自收到举报之日起60日内，根据调查情况作出分类处理。（五）细化答复、移送等处理要求。《规定》将规范电信领域违法行为举报处理工作，维护电信市场秩序，保护电信用户合法权益。

3月15日，公安部网站公布8起典型案例，依法严厉打击侵犯公民个人信息犯罪。本批公布的典型案例涉及利用木马程序窃取物流寄递信息、非法入侵部分停车场收费平台系统获取公民车辆位置信息、非法获取中老年人信息并推销假冒伪劣保健品、非法获取公民人脸信息解封网络账号、非法获取支付软件用户信息并在境外出售、窃取用电居民房产信息等违法行为处理。

3月10日，第十四届全国人民代表大会（以下简称“全国人大”）一次会议表决通过了关于国务院机构改革方案的决定，批准了《国务院机构改革方案（2023）》。该方案决定组建国家数据局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，由国家发展和改革委员会管理。

3月3日，自然资源部印发《关于发布<智能汽车基础地图标准体系建设指南（2023版）>的公告》。该建设指南主要对智能汽车基础地图标准化提出原则性指导意见，解决智能汽车基础地图深度应用的迫切需求，为我国智能汽车、智慧交通、安全出行及新型智慧城市等智能汽车基础地图相关行业领域技术发展及产业落地提供标准支撑。

3月1日，《苏州市数据条例》（以下简称“《条例》”）正式实施，《条例》是国内目前唯一涵盖了公共数据、企业数据、个人数据的综合性地方法规。《条例》共八章七十条，对数据资源、发展和应用、数据要素市场、促进和保障、数据安全、法律责任等方面作出规定，并回应了数据产权分置运行、大数据“杀熟”、个人数据维权等问题。

3月24日，欧洲消费者组织发布了关于协调和优化欧盟《通用数据保护条例》（以下简称“GDPR”）法域下数据跨境传输程序性规则的建议性文件。该建议性文件列举性描述了三类GDPR项下开展数据跨境传输活动所面临的程序性现实困境，包括重复投诉、程序性权利不对等以及投诉处理效率低等问题，并据此向欧洲数据保护委员会（以下简称“EDPB”）提出了三点立法建议。

根据EDPB于2023年3月21日在其官方网站的报道，芬兰数据保护监管机构（以下简称“SA”）对Suomen Asiakastieto Oy（芬兰较大的征信公司）处以44万欧元的行政罚款。此前，SA曾要求该公司删除其在信用信息登记簿中记载的基于民事案件判决的信息（即该等信息不应作为付款违约情形），但该公司并未遵从。鉴于此，SA根据欧盟GDPR第83条第6款规定，对该公司违反其命令的行为，在最高两千万欧元的行政罚款或最高施加前一年全球总营业额4%的罚款（以较高者为准）的范围内，对其施加行政处罚。

3月16日，美国版权局（以下简称“USCO”）发布《版权登记指南：包含人工智能生成材料的作品》（以下简称“《指南》”），澄清其审查和登记含AIGC作品的实践。USCO重点强调了只有当作品包含人类创作因素（Human Authorship Requirement）时，该作品才能够受到版权保护。《指南》表示，USCO在审查时会对AI工具在作品产生过程中的使用和运行情况进行个案判断。其中，如果人类仅发出指令（Prompt），对AI系统如何解读和生成内容没有施加最终的包含创造性的干预，则无法取得版权保护。这也意味着，仅有指令的输入并不满足人类创作因素的要求。

根据EDPB于2023年3月15日在其官方网站的报道，EDPB已经启动了2023年的协调执法行动。在这一年中，欧洲经济区的26个数据保护机构将参加2023年协调执法行动（以下简称“CEF”）。CEF旨在协调数据保护机构之间的执法和合作。继2022年以公共部门对云服务的使用作为首次协调执法行动的议题后，在2023年的CEF中，欧洲数据保护委员会将重点关注数据保护官员的指派和职责，即评估数据保护官是否具有GDPR第37条至第39条所要求的职能以及开展工作所需的资质等。

3月3日，英国监管数据保护和信息自由的独立机构信息专员办公室和澳大利亚通信与媒体管理局（以下简称“ACMA”）签署了一份谅解备忘录，承诺在保护人们免受不受欢迎的骚扰电话和垃圾信息方面进行合作。ACMA主席Nerida O’Loughlin表示：“不受欢迎的电话、短信和诈骗是国际问题，跨境合作是解决方案的重要组成部分。该协议将使我们与英国同行合作，打击涉及跨境问题的非法电话和信息。”

本期编辑：何为、侯宛辰、吴桐