网络安全与数据合规法律动态速递（2023年第5期）

（一）境内资讯

2023年6月9日，最高人民法院、最高人民检察院、公安部起草并公布了《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》（以下简称"《意见稿》"），意见反馈已于2023年6月25日截止。《意见稿》明确将诽谤罪、侮辱罪、侵犯公民个人信息罪、故意毁坏财物罪、寻衅滋事罪及拒不履行信息网络安全管理义务罪等作为网络暴力案件可以适用的罪名，且强调了罪与非罪的认定标准。此外，《意见稿》还明确了法律救济途径、各执法司法部门相关工作要求，旨在促进网络暴力治理长效机制的不断健全完善，从而助力于根本上减少网络暴力的发生。

2023年6月15日，国家市场监督管理总局发布《优化平台协议规则专项行动工作方案》，专项行动时间为2023年6月至10月。本次专项行动旨在敦促平台企业进行全面自查、指导平台企业补充完善协议规则、组织对平台协议规则进行评审、推动平台企业对协议规则进行优化，以期有效规范平台协议规则不公平、不合理问题，充分保障消费者、平台内经营者和平台企业合法权益，推动平台经济高质量发展。

2023年6月16日，公安部网安局公布了浙江温州公安网安部门查处的一起涉数据安全违法案件。在该案件中，浙江温州公安机关发现，浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

2023年6月20日，国家互联网信息办公室公布《关于发布深度合成服务算法备案信息的公告》，并将境内深度合成服务算法备案清单作为附件。该清单是自《互联网信息服务深度合成管理规定》（以下简称"《深度合成管理规定》"）生效以来首批备案清单，主要内容包括算法名称、角色、主体名称、应用产品、主要用途以及备案编号，涉及26家企业、共41项深度合成类算法。根据《深度合成管理规定》第19条，深度合成服务提供者以及深度合成服务技术支持者均需要进行深度合成类算法的备案。

2023年6月21日，贵州省人民政府办公厅通过贵州省人民政府官方网站发布了《贵州省政务数据资源管理办法》（以下简称"《办法》"）。该《办法》共十一章，对适用于政府部门非涉密政务的数据目录、数据采集、数据存储、数据共享、数据开放、数据授权运营、数据调度、数据安全等行为及其相关管理活动进行了详细说明。在数据授权运营方面，《办法》指出，在依法利用和保障安全的原则下，各级大数据主管部门统一授权具备条件的市场主体运营本级政务数据，开发形成不涉及国家秘密、商业秘密、个人隐私的数据服务和产品，并通过贵阳大数据交易所进行交易。同时，《办法》支持行业企业、互联网平台企业与政务数据运营机构合作，建设行业数据服务平台，依法推动政府和企业数据融合应用。

2023年6月21日，上海市文化和旅游局在全国率先发布《上海市打造文旅元宇宙新赛道行动方案（2023-2025年）》（以下简称"行动方案"）。行动方案提出到2025年文旅元宇宙新赛道建设的主要目标，明确未来三年上海文旅要集中在“数字文旅新基建”“技术工具新突破”“文旅元宇宙新场景”“数字艺术品新赛道”“沉浸互动新内容”等方面开展专项行动。行动方案的发布为新时空带来的场景变革和新技术推动的产业变革指引方向，有助于为构建文旅元宇宙创新生态赋能。

2023年6月8日，英国和美国联合发布《二十一世纪美英经济伙伴关系大西洋宣言》，聚焦数据合作、人工智能合作与隐私增强技术（PETs）的合作。新的“数据桥梁”将会促进英国和美国之间的个人数据自由流动，与跨大西洋伙伴合作和共享数据，这将有助于推动跨大西洋的研究和创新，将助力于生命科学等领域的研究与创新。英国还与包括韩国的其他几个重要伙伴国家建立了类似的合作。

2023年6月12日，瑞典隐私保护局（以下简称"IMY"）宣布对Spotify处以5800万瑞典克朗的罚款。经IMY调查发现，Spotify会根据个人要求向用户提供其处理过的个人数据，但是Spotify提供的关于其如何处理用户个人数据以及处理目的等信息应更加具体。此外，如果披露的个人数据涉及难以理解的内容，例如技术性质的数据，则Spotify不仅需要用英语作出说明，还需使用用户的母语进行解释。在综合考虑Spotify注册用户数量以及其营业额等因素后，IMY以违反GDPR第15条等为由决定对Spotify处以5800万瑞典克朗的行政罚款。

2023年6月14日，欧盟的立法机关—欧洲议会以499票赞成，28票反对和93票弃权通过了《<人工智能（AI）法案>的谈判授权草案》，《人工智能（AI）法案》随后将进入立法程序的最后阶段。该草案旨在确保在欧洲开发和使用的人工智能完全符合欧盟安全、透明等价值观，其要求：

（1）全面禁止存在“不可接受风险水平”的AI系统（Prohibited AI practices），例如：在公共场合进行“实时”或“后期”的远程生物识别技术；利用种族、民族、政治倾向等敏感信息从事生物识别分类；预测性警务系统；在执法、边防、工作场所和教育机构中使用情绪识别系统；和从互联网或闭路电视录像中无目标地抓取面部图像，以创建面部识别数据库等行为。

（2）受到严格监管和准入的高风险AI系统（High-risk AI），例如：对可能对健康、安全、基本权利或环境造成重大伤害的AI系统、用于影响选民和选举结果的AI系统，以及用户数量超过4500万的社交媒体平台所使用的推荐系统。

（3）基础AI系统（general purpose AI）需遵守的义务：AI基础模型的提供者，在产品进入欧盟市场发布前，需要评估并减轻可能存在的风险，并在发布前完成在欧盟数据库的注册。诸如ChatGPT这样的生成式AI系统，将需要遵守透明度要求，包括披露内容是由AI生成的、帮助区分所谓的深度伪造图像和真实图像等。

2023年6月15日，法国数据保护局对在线效果类数字营销厂商CRITEO处以4000万欧元的罚款。该公司主要为广告主提供大规模、个性化的效果类广告。其受到处罚的原因是未能在处理个人信息时征得用户同意、未能履行信息和透明度的义务、未能尊重访问权、侵害用户撤销同意和删除数据的权利。法国数据保护局特别考虑到该公司在欧盟境内拥有大约3.7亿个标识符相关的数据，并且该公司收集了大量与互联网用户消费相关的数据，结合其依赖于向互联网用户投放个性化广告等因素，确定罚款金额为4000万欧元。

本期编辑：何为、查歆雅、侯宛辰、陈舒婷、肖博