首页 > 新闻动态> 北源资讯 | 数据合规资讯月刊(2024年4月)
北源资讯 | 数据合规资讯月刊(2024年4月)
2024-05-08

国内数据合规资讯

最新法规

  • 国家数据局就《深化智慧城市发展 推进城市全域数字化转型的指导意见》公开征求意见
  • 《信息安全技术 基于个人请求的个人信息转移要求(征求意见稿)》发布
  • 《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》发布
  • 《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)》发布
  • 《济南市公共数据开放利用管理办法(征求意见稿)》发布
  • 重庆三部门联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》
  • 工信部办公厅发布《网络安全保险典型服务方案目录》
  • 商务部《关于实施数字消费提升行动的通知》发布
  • 工业和信息化部发布《关于开展增值电信业务扩大对外开放试点工作的通告》
  • 《杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见(征求意见稿)》发布
  • 石家庄就公共数据开发利用安全管理及产品合规审查、运营纠纷管理3份文件征求意见
  • 《网络安全技术 网络安全运维实施指南(征求意见稿)》发布
  • 人社部、国数局等九部门联合发布数字人才培育方案
  • 福建省发展和改革委员会发布关于印发福建省促进数据要素流通交易若干措施的通知
  • 《杭州市数据流通交易促进条例(征求意见稿)》发布
  • 安徽九部门印发《安徽省数据知识产权登记办法(试行)》
  • 湖北省数据局发布《湖北省数据条例(草案)(征求意见稿)》

热点案例

  • 杭州互联网法院审理一起非法买卖、使用新生儿信息案件
  • 全国首例AI声音侵权案件一审宣判,原告获赔25万元

监管执法

  • 衡阳市发布网络管理执法2024年第一季度情况通报及典型案例
  • 山东省通信管理局发布关于APP侵害用户权益问题的通报(2024年第3批)
  • 上海网信办部署开展“清朗浦江·e企同行” 优化营商网络环境专项行动
  • 江西公安机关发布网络安全行政执法典型案例
  • 国家网信办发布第二批应用程序分发平台备案编号的公告
  • 上海网信办公告生成式人工智能服务备案信息
  • 国家网信办公告第五批深度合成服务算法备案信息
  • 公安部公布10起打击整治网络谣言违法犯罪典型案例
  • 常德市发布网络管理执法2024年第一季度情况通报
  • 国家网信办发布关于开展“清朗·整治‘自媒体’无底线博流量”专项行动的通知
  • 青岛市委网信办根据举报线索依法查处违法违规网站平台18家


国际数据合规资讯

立法活动

  • 美国加州隐私保护局发布首个关于《加州消费者隐私法案》的执法建议
  • 美国议员公布《美国隐私权力法案》草案
  • 韩国个人信息保护委员会发布指南指导外国企业如何遵守《个人信息保护法》
  • 欧盟通过新的GDPR程序规则
  • 新西兰隐私专员办公室就生物识别技术规则草案公开征求意见
  • 欧洲议会通过关于建立欧洲健康数据空间的机构间协议

监管动态

  • 英国ICO与Global CAPE签署国际多边协议
  • 加拿大隐私专员办公室宣布加入隐私执法全球合作协议
  • 因违法使用披露敏感个人信息,美国联邦贸易委员会(FTC)将对一远程保健公司处以700万罚款
  • EDPB就大型在线平台“同意或付费”模式发表意见
  • 欧盟委员会要求字节跳动提交关于TikTok Lite的DSA风险评估报告

安全快讯

  • 美国国土安全部发布2023年Microsoft Online Exchange网络安全事件报告
  • Kaiser Permanente 数据泄露影响 1340 万患者
  • SpaceX 泄露近150GB数据,以及三千份图纸
  • 美国富国银行向其客户通报数据泄露事件



一、国内数据合规资讯

最新法规

01 国家数据局就《深化智慧城市发展 推进城市全域数字化转型的指导意见》公开征求意见

4月2日,国家数据局网微公布《深化智慧城市发展 推进城市全域数字化转型的指导意见》(下称“《指导意见》”),面向社会公开征求意见,意见征求截至2024年4月8日。《指导意见》提出加快推进城市数据安全体系建设,依法依规加强数据收集、存储、使用、加工、传输、提供、公开等全过程安全监管,落实数据分类分级保护制度,压实数据安全主体责任。推进建设有韧性的城市数据可信流通体系,健全数据要素流通领域数据安全实时监测预警、数据安全事件通报和应急处理机制。

来源:https://mp.weixin.qq.com/s/9EzBrWE0SWUDWecaIPsfHw


02《信息安全技术 基于个人请求的个人信息转移要求(征求意见稿)》发布

2024年4月3日,全国网络安全标准化委员会发布《信息安全技术 基于个人请求的个人信息转移要求(征求意见稿)》,征求意见截止于2024年6月2日。本文件规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。本文件适用于个人信息处理者响应个人信息主体转移信息请求的全流程,也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。

来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403144959&norm_id=20231220162250&recode_id=54528



03《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》发布

2024年4月3日,全国网络安全标准化委员会发布《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》,征求意见截止于2024年6月2日。本文件规定了生成式人工智能在预训练和优化训练过程中,对所使用数据的通用安全要求、数据处理方面的安全要求,以及评价方法。

其中,预训练指的是使用大规模数据使生成式人工智能模型获得通用知识的训练过程。预训练数据指所有用于生成式人工智能预训练的各类数据。优化训练指的是使用专门领域数据使生成式人工智能模型获得一定面向领域服务能力的训练过程。优化训练数据指所有用于生成式人工智能优化训练的各类数据。

来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403111339&norm_id=20231220160618&recode_id=54516


04《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)》发布

2024年4月3日,全国网络安全标准化委员会发布《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)》,征求意见截止于2024年6月2日。 为落实《生成式人工智能办法》的相关要求,本文件针对生成式人工智能产品研制中的数据标注环节,对数据标注基础安全要求、数据标注规则制定、标注实施安全、标注质量及安全性核验要求、标注人员安全管理要求、过程安全控制要求、安全证实方法等方面提出规范指引。

来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403111401&norm_id=20231220160952&recode_id=54518


05《济南市公共数据开放利用管理办法(征求意见稿)》发布

为促进和规范本市公共数据开放利用,提升政府治理能力和公共服务水平,推动数字经济发展,根据相关法律法规,借鉴其他城市的先进经验,济南市大数据局牵头起草了《济南市公共数据开放利用管理办法(征求意见稿)》及说明,并向社会公开征求意见。

来源:http://www.jinan.gov.cn/art/2024/4/3/art_112948_2221.html


06 重庆三部门联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》

4月7日,国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局三部门联合发布了《关于促进金融服务类App个人信息保护合规经营能力提升的通知》(下称“《通知》”)。《通知》进一步压实了银行保险机构、地方金融组织、相关App运营者个人信息保护主体责任,明确了金融机构在个人金融信息收集、存储、使用、加工等环节的规范和流程,推动辖内金融行业形成个人信息保护长效机制,不断提升金融服务类App合规经营能力和管理水平。

来源:https://www.cbirc.gov.cn/branch/chongqing/view/pages/common/ItemDetail.html?docId=1157409&itemId=1982


07 工信部办公厅发布《网络安全保险典型服务方案目录》

4月9日,工业和信息化部办公厅发布《网络安全保险典型服务方案目录》,供各单位结合目录积极组织开展网络安全保险服务试点工作,探索建立网络安全保险服务模式。

来源:https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_75e0130e77554ba9ba3987649b9b82c7.html


08 商务部《关于实施数字消费提升行动的通知》发布

商务部印发《关于实施数字消费提升行动的通知》(以下简称“《通知》”)。《通知》立足数字消费特点与发展趋势,以满足人民群众日益增长的美好生活需要为根本目的,从供给、消费、载体、业态4个方面提出具体举措,加快促进数字消费领域形成更高水平供需动态平衡。

来源:http://www.mofcom.gov.cn/article/gztz/202404/20240403502883.shtml


09 工业和信息化部发布《关于开展增值电信业务扩大对外开放试点工作的通告》

2024年4月10日,国家工业和信息化部发布通告表示,为推进高水平对外开放,主动对接国际高标准经贸规则,持续优化外资营商环境,将开展增值电信业务扩大对外开放试点工作。对于此次试点扩大电信领域对外开放,国家工业和信息化部希望能形成可复制可推广的经验和模式,服务构建新发展格局。

来源:https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tg/art/2024/art_2326271e1b424e09b6e5924ad2948863.html


10《杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见(征求意见稿)》发布

为深化数据要素市场化配置改革,大力发展新质生产力,打造杭州数字经济新引擎、产业发展新地标、制度创新新高地,杭州市数据资源管理局牵头起草了《杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见(征求意见稿)》,该文件自2024年4月10日至5月9日公开向社会征求意见。

来源:https://mp.weixin.qq.com/s/2FhIkCNyOwtJROGqufK87g?scene=25#wechat_redirect


11 石家庄就公共数据开发利用安全管理及产品合规审查、运营纠纷管理3份文件征求意见

为深化数据要素市场化配置改革,加快推动公共数据社会化应用,助力经济社会高质量发展,市数字政府建设领导小组办公室起草了《石家庄市公共数据开发利用安全管理办法(征求意见稿)》《石家庄市公共数据产品合规审查管理办法(征求意见稿)》《石家庄市公共数据运营纠纷管理办法(征求意见稿)》。该3份文件于4月10日发布,并向社会公开征求意见。

来源:https://www.sjz.gov.cn/columns/e049a954-a3f1-4db2-bc37-8c5a2070b783/202404/23/38c41821-8345-4070-8b65-2b92e36cbba5.html


12《网络安全技术 网络安全运维实施指南(征求意见稿)》发布

4月15日,全国网络安全标准化技术委员会发布《网络安全技术 网络安全运维实施指南(征求意见稿)》。本文件提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型,给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容,适用于网络安全运维提供方、网络安全运维需求方。

来源:https://www.tc260.org.cn/file/2024-04-16/b800f568-bfd0-4e2d-bcb3-476d6de8713f.pdf


13 人社部、国数局等九部门联合发布数字人才培育方案

4月17日,人力资源社会保障部联合中共中央组织部、中央网信、 国家发展改革委、教育部、科技部、工业和信息化部、财政部、国家数据局九个部门共同发布《加快数字人才培育支撑数字经济发展行动方案(2024-2026年)》。旨在满足数字产业化和产业数字化的发展需求,用3年左右时间,扎实开展数字人才育、引、留、用等专项行动,激发数字人才创新创业活力,增加数字人才有效供给,形成数字人才集聚效应。部署了数字技术工程师培育项目、数字技能提升行动、数字人才国际交流活动、数字人才创新创业行动、数字人才赋能产业发展行动、数字职业技术技能竞赛活动等6个重点项目。

来源:http://www.mohrss.gov.cn/xxgk2020/fdzdgknr/qt/gztz/202404/t20240416_516887.html


14 福建省发展和改革委员会发布关于印发福建省促进数据要素流通交易若干措施的通知

为深入贯彻落实党中央、国务院关于数据要素工作的决策部署,发挥数据要素乘数效应,促进数据合规高效流通使用,加快培育我省数据要素市场,助力数字福建高质量发展,福建省发展和改革委研究制定了《福建省促进数据要素流通交易的若干措施》。

来源:https://fgw.fujian.gov.cn/zfxxgkzl/zfxxgkml/bwgfxwj/202404/t20240423_6438021.htm


15《杭州市数据流通交易促进条例(征求意见稿)》发布

为促进数据要素市场化配置改革,加快建立数据流通交易制度体系,优化数据流通交易市场环境,促进数据产业高质量发展,杭州市将《杭州市数据流通交易促进条例》列入2024年立法计划。为提高立法的科学性和民主性,杭州市数据资源管理局于4月22日发布了征求意见稿,截止日期为4月30日。

来源:https://mp.weixin.qq.com/s/bI6B0kKOPj6WO6C9r3Oa1g?scene=25#wechat_redirect


16 安徽九部门印发《安徽省数据知识产权登记办法(试行)》

日前,由安徽省市场监督管理局(安徽省知识产权局)、中共安徽省委金融办、安徽省高级人民法院等九部门联合制定的《安徽省数据知识产权登记办法(试行)》正式发布,标志着安徽数据知识产权试点工作迈出了坚实的一步。目前,安徽省数据知识产权登记平台已正式上线运行,首批9张数据知识产权登记证书审核通过并正式颁发。

来源:https://amr.ah.gov.cn/xwdt/sjyw/149382141.html


17 湖北省数据局发布《湖北省数据条例(草案)(征求意见稿)》

为了规范数据处理活动,加强数据资源管理,保障数据安全,保护自然人、法人和非法人组织的合法权益,加快培育数据要素市场,推动形成新质生产力,湖北省数据局于4月28日发布了《湖北省数据条例(草案)(征求意见稿)》。该条例主要适用于湖北省行政区域内的数据发展和管理、数据权益保障、数据资源开发利用、数据要素市场建设、数据安全管理等活动。

来源:https://sjj.hubei.gov.cn/hdjl/dczj/202404/t20240428_5174284.shtml


热点案例

01 杭州互联网法院审理一起非法买卖、使用新生儿信息案件

2024年4月16日上午,杭州互联网法院公开开庭审理公益诉讼起诉人杭州市萧山区人民检察院诉李某、某摄影公司、某创意公司个人信息保护民事公益诉讼案,当庭判令三被告在国家级媒体上公开赔礼道歉并支付公益损害赔偿金29万余元。上述公益损害赔偿金用于个人信息保护或者妇女儿童权益保护等公益事项。

来源:https://mp.weixin.qq.com/s/vtlTcxC4HU3_TV90mbj0tA


02 全国首例AI声音侵权案件一审宣判,原告获赔25万元

4月23日上午,北京互联网法院对全国首例“AI声音侵权案”进行一审宣判,认定作为配音师的原告,其声音权益及于案涉AI声音,被告方使用原告声音、开发案涉AI文本转语音产品未获得合法授权,构成侵权,书面赔礼道歉,并赔偿原告各项损失25万元。

来源:https://mp.weixin.qq.com/s/ALDM6Rm0Mcu6tgnSh_TAlA


监管执法

01 衡阳市发布网络管理执法2024年第一季度情况通报及典型案例

2024年第一季度,衡阳市网信系统持续深入推进网络生态治理,坚持依法管网治网,加强网络执法力度,着力营造风清气正的网络空间。其中,删除或修改文章329篇,约谈12人,取消网站许可、备案6家,依法关停违法违规账号10个,警告网站3家,对网站平台罚款2家,向有关部门移送线索8件(行政处罚7人)。

来源:https://mp.weixin.qq.com/s/L7jOxNdk5pp64hEPMV2vOA


02 山东省通信管理局关于APP侵害用户权益问题的通报(2024年第3批)

为保护人民群众的合法权益,山东省通信管理局依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照工业和信息化部《关于进一步提升移动互联网应用服务能力的通知》要求,持续开展APP侵害用户权益专项整治工作,常态化组织专业机构对我省各类APP、小程序进行合规性检测,对违规APP、小程序书面要求限期整改。截至4月2日,有26款存在问题并被我局通知限期整改的APP、小程序未按要求在限期内完成整改,故予以通报。

来源:https://mp.weixin.qq.com/s/4HXsHRUjRU9yMz9QvYforA?scene=25#wechat_redirect


03 上海网信办部署开展“清朗浦江·e企同行” 优化营商网络环境专项行动

根据“网信上海”4月3日消息,为进一步整治涉企侵权乱象,切实维护企业合法权益,根据中央网信办有关工作部署,上海市网信办向哔哩哔哩、小红书、东方财富网、大智慧、证券之星等属地90多家网站平台部署开展“清朗浦江·e企同行”优化营商网络环境专项行动,要求网站平台切实落实内容管理主体责任,加强涉企侵权信息举报专区建设,规范受理处置涉企信息举报工作;强化热搜榜单等重点环节管理,严格要求相关“自媒体”账号、MCN机构不得炒作营销涉企侵权信息。

来源:https://mp.weixin.qq.com/s/xfWGlFfQixtF_Em_nb4B2Q?scene=25#wechat_redirect


04 江西公安机关发布网络安全行政执法典型案例

2024年,江西公安机关加大网络安全行政执法工作力度,发现并查处了一批典型网络安全案事件,对多家不履行网络安全保护义务和数据安全保护义务的单位依法予以处罚,江西公安机关于2024年4月9日公开发布了十起典型案例。

来源:https://mp.weixin.qq.com/s/7Pf5O7N7t09IPYDRUgAgyg?scene=25#wechat_redirect


05 国家网信办发布第二批应用程序分发平台备案编号的公告

2022年8月1日《移动互联网应用程序信息服务管理规定》正式实施以来,国家互联网信息办公室依法依规组织开展应用程序分发平台备案管理工作。2024年4月8日公开发布了第二批23家应用程序分发平台名称及备案编号。根据《移动互联网应用程序信息服务管理规定》有关要求,备案仅是对应用程序分发平台提供分发服务行为的确认,不代表对该平台服务能力和其在架应用程序的认可,任何平台和个人不得用于任何商业目的,不得违规从事其他业务。

来源:https://mp.weixin.qq.com/s/I7DQrMUXDbwRtoWSxEYOtg?scene=25#wechat_redirect


06 上海网信办公告生成式人工智能服务备案信息

上海市互联网信息办公室于4月9日在其官方微信账号上对在上海市已备案的生成式人工智能服务进行了公告。对生成式人工智能服务的备案是基于2023年8月15日起实施的《生成式人工智能服务管理暂行办法》(下称“《办法》”)中的要求。该《办法》明确规定,提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当开展安全评估并进行备案。根据国家互联网信息办公室《关于发布生成式人工智能服务已备案信息的公告》,这类生成式人工智能服务的主体应通过属地网信部门履行备案程序,属地网信部门则应及时将已备案信息对外公开发布。

来源:https://mp.weixin.qq.com/s/1KzHJdpVCut07CtRQKIovQ


07 国家网信办公告第五批深度合成服务算法备案信息

2024年4月11日,国家网信办根据《互联网信息服务深度合成管理规定》,公开发布第五批境内深度合成服务算法备案信息 。《互联网信息服务深度合成管理规定》第十九条规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。

来源:https://www.cac.gov.cn/2024-04/11/c_1714509267496697.htm


08 公安部公布10起打击整治网络谣言违法犯罪典型案例

公安部高度重视打击整治网络谣言工作,去年12月以来,部署全国公安机关统一开展打击整治网络谣言专项行动。截至目前,公安机关累计排查网络谣言线索8万余条,侦办网络谣言类案件1万余起,抓获犯罪嫌疑人1500余名,行政处罚10700余人,开展公开辟谣等4200余次。据此,公安部于4月12日公布了10起打击整治网络谣言违法犯罪典型案例。

来源:https://mp.weixin.qq.com/s/dWIPzkGeqNRzlvl6PFBFkg?scene=25#wechat_redirect


09 常德市发布网络管理执法2024年第一季度情况通报

2024年第一季度,常德市网信系统联合相关部门协同治理、综合发力,集中整治群众反映强烈的各类网络生态乱象,依法加强网络空间治理,共约谈指导网站平台账号21人次,注销网站或停止网站域名解析9家,责令整改25家单位,劝离、关闭在公众场所不文明直播行为5次,下架违法违规应用程序61个,向有关部门移交案件线索28条。

来源:https://mp.weixin.qq.com/s/fPca1Nd5V_msahpNy2RLIQ?scene=25#wechat_redirect


10 国家网信办发布关于开展“清朗·整治‘自媒体’无底线博流量”专项行动的通知

为遏制“自媒体”摆拍造假风,压缩无底线博流量行为空间,提升“自媒体”发布信息可信度,压紧压实网站平台信息内容管理主体责任,切断“毒流量”吸粉变现利益链,扩大优质信息内容触达范围,营造风清气正网络空间,国家网信办于4月23日发布了关于开展“清朗·整治‘自媒体’无底线博流量”专项行动的通知,将在全国范围内开展为期两个月的“清朗·整治‘自媒体’无底线博流量”专项行动。

来源:https://mp.weixin.qq.com/s/vzV3pWv9AZJQLOioa1CGsA?scene=25#wechat_redirect


11 青岛市委网信办根据举报线索依法查处违法违规网站平台18家

青岛市委网信办积极推进2024年“清朗”系列专项行动,不断畅通网络举报渠道,集中整治群众反映强烈、涉及广大网民合法权益的互联网违法和不良信息,重点清理色情低俗、赌博诈骗和网络侵权等有害内容,有效规范网络传播秩序。今年以来,根据举报线索,联合各区市党委网信办等部门依法查处含有涉赌博、淫秽色情、低俗等信息的违法违规网站平台18家。

来源:https://mp.weixin.qq.com/s/_0c8Solo1momiaZ-irc_dw?scene=25#wechat_redirect



二、国际数据合规资讯

立法活动

01 美国加州隐私保护局发布首个关于《加州消费者隐私法案》的执法建议

4月2日,美国加州隐私保护局(California Privacy Protection Agency,CPPA)发布首个关于《加州消费者隐私法案》(California Consumer Privacy Act,CCPA)的执法建议《将数据最小化原则应用于消费者请求》(Applying Data Minimization to Consumer Requests),明确“数据最小化”为 CCPA 的基本原则,并要求信息处理者在收集信息以及回复消费者请求时收集的信息不应超出必要范围。

来源:https://cppa.ca.gov/announcements/2024/20240402.html


02 美国议员公布《美国隐私权力法案》草案

2024年4月7日,美国众议院能源与商务委员会主席凯西·麦克莫里斯·罗杰斯(Cathy McMorris Rodgers)与参议院商务委员会主席玛丽亚·坎特韦尔(Maria Cantwell)一同公布了《美国隐私权力法案》草案(下称“《法案》”)。该《法案》旨在弥合美国各州数据隐私法的参差,设立数据隐私权力和保护的国家标准,并建立能有力打击违法者的执行机制。

来源:https://d1dth6e84htgma.cloudfront.net/American_Privacy_Rights_Act_of_2024_Discussion_Draft_0ec8168a66.pdf


03 韩国个人信息保护委员会发布指南指导外国企业如何遵守《个人信息保护法》

2024年4月4日,韩国个人信息保护委员会发布《外国企业适用个人信息保护法指南》,旨在为外国企业如何遵守韩国2023年修订的《个人信息保护法》以保护韩国公民的个人信息提供综合指导。

来源:https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10056


04 欧盟通过新的GDPR程序规则

4月10日,欧盟议会以329票赞成、213票反对、79票弃权通过了与执行《通用数据保护条例》(General Data Protection Regulation,GDPR)相关的附加程序规则的谈判立场。该规则旨在促进各个成员国数据保护机构(Data Protection Authorities,DPAs)之间的合作,完善争议解决机制,协调某些程序规则和权利。

来源:https://www.europarl.europa.eu/news/en/press-room/20240408IPR20292/position-on-strengthening-the-enforcement-of-data-protection-rules


05 新西兰隐私专员办公室就生物识别技术规则草案公开征求意见

4月10日,新西兰隐私专员办公室(Office of the Privacy Commissioner of New Zealand,OPC)发布有关如何使用生物识别技术的规则草案,并面向社会公开征求意见。意见征求范围包括比例判断、透明度要求以及限制范围等。新西兰OPC相关人员表示,尽管生物识别技术受《2020年隐私法案》规制,但在某些特殊情形下可能需要特殊保护。

来源:https://www.privacy.org.nz/publications/statements-media-releases/kiwis-asked-to-have-their-say-on-new-draft-rules-for-using-biometrics/


06 欧洲议会通过关于建立欧洲健康数据空间的机构间协议

4月24日,欧洲议会以445票赞成、142票反对、39票弃权通过了关于建立欧洲健康数据空间的机构间协议。该协议将赋予患者以电子方式访问其在不同成员国的健康数据的权利,并允许医疗专业人员在征得患者同意的情况下,从其他欧盟国家查阅患者档案。相关电子健康记录将包括病人摘要、电子处方、医疗图像和化验结果。

来源:https://www.europarl.europa.eu/news/en/press-room/20240419IPR20573/eu-health-data-space-more-efficient-treatments-and-life-saving-research


监管动态

01 英国ICO与Global CAPE签署国际多边协议

4月4日,英国信息专员办公室(Information Commissioner's Office, ICO)与全球隐私执法合作安排组织(Global Cooperation Arrangement for Privacy Enforcement,Global CAPE)签署了一项新的国际多边协议,以在跨境数据保护和隐私执法方面进行深入合作。在成为Global CAPE成员后,ICO 将在隐私执法领域提供调查协助并与成员国共享信息,而无需与每个国家签署单独的备忘录。

来源:https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/04/ico-joins-global-data-protection-and-privacy-enforcement-programme/


02 加拿大隐私专员办公室宣布加入隐私执法全球合作协议

4月9日,加拿大隐私专员办公室(The Office of the Privacy Commissioner of Canada, OPC)宣布其已加入隐私执法全球合作协议(Global Cooperation Agreements for Privacy Enforcement),以在跨境数据保护和隐私执法方面与其他成员开展合作。在该协议下,OPC 将能够在调查方面提供协助,并与成员国共享信息,而不必与每个国家分别签订谅解备忘录。

来源:https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/an_240409/


03 因违法使用披露敏感个人信息,美国联邦贸易委员会(FTC)将对一远程保健公司处以700万罚款

4月15日,美国FTC向法院提交诉状及行政命令,指控远程保健Cerebral Inc.及其前CEO Kyle Robertson未遵守法律规定保护敏感个人健康数据。对以上违法行为,FTC做出行政命令要求Cerebral支付510万美元,用于向受其欺骗性退出做法影响的消费者提供部分退款,以及1000万美元的民事罚款,但由于公司的支付能力有限,这笔罚款将在公司支付200万美元后将被暂停。此外,命令还永久禁止Cerebral将消费者个人和健康信息用于大多数营销或广告目的,要求公司在披露此类信息给第三方之前获得消费者的同意,并要求公司实施全面隐私和数据安全计划。

来源:https://www.ftc.gov/news-events/news/press-releases/2024/04/proposed-ftc-order-will-prohibit-telehealth-firm-cerebral-using-or-disclosing-sensitive-data


04 EDPB就大型在线平台“同意或付费”模式发表意见

4月17日,EDPB就荷兰、挪威及德国汉堡数据保护监管部门此前向其联名咨询大型在线平台“同意或付费”模式是否符合GDPR规定,于全体会议上发表意见。EDPB认为大多数情况下,若平台在向用户要求投放定向广告时,对用户仅提供“同意”或“付费”两个选项,将很难被认定遵守了GDPR关于“有效同意”的规定。

来源:https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en


05 欧盟委员会要求字节跳动提交关于TikTok Lite的DSA风险评估报告

4月17日,欧盟委员会根据《数字服务法》(Digital Services Act,DSA),要求字节跳动在24小时内针对新部署的应用程序TikTok Lite提供风险评估报告。

据悉,TikTok Lite中的“奖励计划”功能允许用户通过完成任务的方式获得积分以兑换奖励。欧盟委员会认为,此种设计可能会导致成瘾性行为,从而对年轻人的心理健康产生负面影响。在要求字节跳动提供风险评估报告之外,欧盟委员会还要求其说明为降低此类风险所采取的相关措施。

来源:https://digital-strategy.ec.europa.eu/en/news/commission-sends-request-information-tiktok-regarding-launch-tiktok-lite-france-and-spain



三、全球数据安全快讯

01 美国国土安全部发布2023年Microsoft Online Exchange网络安全事件报告

4月2日,美国国土安全部(U.S. Department of Homeland Security,DHS)在对2023年Microsoft Exchange Online被入侵事件进行独立审查后,发布了网络安全审查委员会(Cyber Safety Review Board,CSRB)的调查结果和建议。CSRB 表示,此前的入侵事件可被预防,且本不该发生,并建议所有云服务提供商和政府合作伙伴立即采取行动,以提高安全性并增强抵御攻击的能力。

来源:https://www.dhs.gov/news/2024/04/02/cyber-safety-review-board-releases-report-microsoft-online-exchange-incident-summer


02 Kaiser Permanente 数据泄露影响 1340 万患者

Kaiser Permanente 是一个综合管理式医疗联盟,也是美国最大的非营利性健康计划之一。Kaiser Permanente 已确定,当会员和患者访问其网站或移动应用程序时,以前安装在其网站和移动应用程序上的某些在线技术可能已将个人信息传输给第三方供应商 Google、Microsoft Bing 和 X (Twitter)。Kaiser Permanente表示,这些追踪器是在自愿内部调查后被发现并删除的,而现在已经实施了防止类似事件再次发生的额外措施。

来源:https://securityaffairs.com/162347/data-breach/kaiser-permanente-data-breach.html


03 SpaceX 泄露近150GB数据,以及三千份图纸

SpaceX 据称遭遇了一起网络安全事件。据报道,该事件与黑客组织 Hunters International 有关,该组织发布了 SpaceX 数据泄露的样本。此次泄露的数据为SpaceX 相对较旧的数据,Hunters International 在此次勒索事件中采用了 “指名道姓 ”的策略施加勒索压力。有趣的是,在 SpaceX 于 2023 年初面临的一次数据泄露事件中,也涉及到了这些样本,当时的泄露事件据称与 LockBit 勒索软件组织有关。

来源:https://www.freebuf.com/news/399567.html


04 美国富国银行向其客户通报数据泄露事件

美国跨国银行富国银行(Wells Fargo)已向其客户通报了数据泄露事件。涉及的信息包括客户姓名和抵押贷款帐号。富国银行发言人表示,一名员工违反公司政策,将信息发送到他的个人帐户。此人已不再受雇于富国银行,并且有两名客户收到了有关数据泄露的通知。目前尚不清楚攻击何时发生,以及未经授权的个人可能访问了这些敏感信息多长时间。

来源:https://cybernews.com/news/wells-fargo-suffers-data-breach