网络安全与数据合规法律动态速递（2023年第4期）

（一）境内资讯

5月23日，北京市人民政府办公厅发布《北京市促进通用人工智能创新发展的若干措施》（以下简称"《若干措施》"），《若干措施》提出21项具体措施，主要针对提升算力资源统筹供给能力、提升高质量数据要素供给能力、系统构建大模型等通用人工智能技术体系、推动通用人工智能技术创新场景应用及探索营造包容审慎的监管环境五大方向。其中，在推动通用人工智能技术创新场景中强调了政务服务、科学研究、金融、自动驾驶、医疗、城市治理六大领域的应用，旨在推动北京市通用人工智能实现创新引领和理性健康发展。

5月21日，北京市人民政府发布《北京市加快建设具有全球影响力的人工智能创新策源地实施方案（2023-2025年）》（以下简称"《方案》"），《方案》明确了工作目标，围绕着突破关键技术、夯实底层基础、构建产业方阵、推动场景建设、构建创新生态五大方向，提出16项主要任务，并强调保障措施，旨在高水平建设北京国家新一代人工智能创新发展试验区和国家人工智能创新应用先导区。

5月21日，网信办在其官网宣布，因美光公司在华销售的产品存在较为严重的网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全，故依法作出不予通过网络安全审查的结论。根据《网络安全法》第六十五条的规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用、处以罚款等。因此，国内关键信息基础设施的运营者应停止采购美光公司产品。

5月10日，湖北省人民政府发布了《湖北省数字经济促进办法》（以下简称"《办法》"），旨在加快发展数字经济，促进数字经济和实体经济深度融合，打造全国数字经济发展高地，自2023年7月1日起施行。《办法》共八章，主要围绕数字基础设施建设、数字产业化、产业数字化、数据资源开发利用保护、数字技术创新及保障和监督等方面进行部署。《办法》的发布明确了湖北省各地各部门发展数字经济的重点任务和职责分工，有助于优化数字经济发展环境。

5月8日，科技部等印发了《深入贯彻落实习近平总书记重要批示 加快推动北京国际科技创新中心建设的工作方案》的通知（以下简称"《工作方案》"），明确到2025年，北京国际科技创新中心基本形成，成为世界科学前沿和新兴产业技术创新策源地、全球创新要素汇聚地”的发展目标。为达成前述目标，《工作方案》指出了包括形成国家实验室体系、加快建成世界级重大科技基础设施集群、支持新型研发机构创新发展、加强基础研究和应用基础研究、加快建设中关村世界领先科技园区等在内的22项重点任务。同时，《工作方案》强调，从政策保障层面，应加快北京国际科技创新中心建设条例立法工作，形成专项法规和制度保障；从组织保障层面，应按照党中央的部署和要求，进一步优化北京国际科技创新中心建设的领导体制与运行机制；从经费保障层面，进一步优化财政科技经费支出结构，加强资金和项目的统筹，积极支持北京国际科技创新中心建设的战略性、关键性领域。通过多方协同发力，有力支撑科技强国和中国式现代化建设。

5月6日，北京互联网法院发布近期审结的一起个人信息保护纠纷案。该案系该院自《个人信息保护法》颁布后审理的首例近亲属对死者个人信息行使权利的案件。本案中，李某的近亲属在李某意外去世后，发现无法登录其个人账号查阅李某的考勤记录等个人信息，故李某的四位近亲属将曾处理过李某上述个人信息的四个主体列为被告，要求四被告提供李某的相关个人信息，并承担相应的侵权责任。北京互联网法院认为，四原告作为死者李某的近亲属，虽然有权对死者李某的相关个人信息行使查阅、复制等权利，但是手段应当必要、正当，无权采取直接登录死者生前个人账号的方式行使。网络服务提供者虽然停用李某账号，但是未排除四原告通过其他合理途径行使权利，同时四被告也并未控制四原告主张的个人信息，不构成侵权。最终，法院判决驳回四原告的全部诉讼请求，双方均未提起上诉，目前该案判决已生效。

5月1日，国家标准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》正式实施。本文件规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。同时明确了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的三项基本原则，并提出了111条安全要求，意在指导运营者对关键信息基础设施进行全生存周期安全保护，也为关键信息基础设施安全保护的其他相关方提供参考。

5月22日，欧洲数据保护委员会（以下简称"EDPB"）官网发布，爱尔兰数据保护局（IE DPA）对Meta Platforms Ireland Limited（原 Facebook Ireland Limited，以下简称"Meta IE"）处以12亿欧元的罚款。该笔罚款是目前依据《通用数据保护条例》（以下简称"GDPR"）做出的数额最高的罚款。原因是Meta IE自2020年7月以来基于标准合同条款持续将欧盟用户的个人数据传输到美国。此外，Meta IE还被命令整改其数据转移的操作以符合GDPR的规定。

5月17日，EDPB通过了《执法部门使用人脸识别技术指南》（以下简称"《指南》"）的最终版本。《指南》为欧盟国家立法者和执法部门规范使用人脸识别技术提供了指导。《指南》强调，执法部门必须始终在执法指令（Law Enforcement Directive）和欧盟基本权利宪章规定的范围内使用人脸识别工具。此外，EDPB在《指南》中再次呼吁在公共场所对个人进行生物识别、使用人工智能技术推断自然人情绪等特定情况下禁止使用人脸识别技术。

5月16日，英国信息专员办公室（Information Commissioner's Office，以下简称"ICO"）官网发布，ICO决定对Ice Telecommunications Ltd和UK Direct Business Solutions Limited两家公司处以总额为18万英镑的罚款。原因是该两家公司向已登记为“请勿来电”的公司反复、持续地拨打了累计数量约48万通的非法营销电话。ICO此前已根据投诉内容数次致函该两家公司，但他们仍未停止违法行为。ICO侦查部长Andy Curry表示“法律明确规定，在拨打任何营销电话之前，必须根据‘请勿来电’登记表对号码进行筛选。本次罚款也是向藐视法律的公司发出一个明确的信息——我们将采取行动确保英国公众和企业免受不必要的骚扰。”

5月16日，法国数据保护局（以下简称"CNIL"）发布了人工智能（以下简称"AI"）行动计划（Artificial Intelligence ('AI') Action Plan），内容分为四个方面：（1）了解AI系统的运作方式及其对个人的影响；（2）允许和规范尊重个人数据的AI的发展；（3）集成和支持法国和欧洲AI系统中的创新者；（4）审计和监控AI系统，并保护个人。CNIL强调了以往就算法和AI的伦理问题所采取的措施，也同时说明了由于生成性人工智能的发展迅速，以往措施在功能性、可能性和局限性上的理解以及法律、伦理和技术等问题均有待商榷。

本期编辑：何为、查歆雅、侯宛辰、吴桐