关注！数据安全新动态（2023年4月·上篇）

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

数据安全政策与法律法规动态

1.1.国内数据安全政策与法律法规动态

1.1.1.国家互联网信息办公室发布《生成式人工智能服务管理办法（征求意见稿）》公开征求意见的通知

为促进生成式人工智能技术健康发展和规范应用，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《生成式人工智能服务管理办法（征求意见稿）》。依据征求意见稿，提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。用于生成式人工智能产品的预训练、优化训练数据，应符合《中华人民共和国网络安全法》等法律法规的要求；不含有侵犯知识产权的内容；数据包含个人信息的，应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形；能够保证数据的真实性、准确性、客观性、多样性；国家网信部门关于生成式人工智能服务的其他监管要求。

来源：

https://mp.weixin.qq.com/s/2-qP6qc_8NigbP7djv2k0w

1.1.2.《广州市公共数据开放管理办法》发布

4月11日，广州市政务服务数据管理局发布关于印发广州市公共数据开放管理办法的通知。该办法提出在合法有序前提下适度扩大公共数据开放的覆盖面，将具有公共事务管理和公共服务职能的组织纳入数据开放主体范围。其中，行业增值潜力显著、产业战略意义重大、民生紧密相关、社会迫切需要和广州南沙深化粤港澳全面合作相关的公共数据，优先纳入公共数据开放重点。广州市还将建立全市数据开放平台，作为支撑全市公共数据开放的统一载体。

来源：

https://www.gz.gov.cn/gfxwj/sbmgfxwj/gzszffwsjglj/content/post_8920557.html

1.1.3.《广东省数据流通交易管理办法（试行）》系列文件公开征求意见

为规范数据流通交易活动，保护数据要素权益，保障数据安全，促进数据要素自主有序流动、配置高效公平，培育两级数据要素市场，广东省政务服务数据管理局根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《广东省数字经济促进条例》《广东省公共数据管理办法》及有关法律法规，结合工作实际，牵头起草了《广东省数据流通交易管理办法（试行）》系列文件，现公开征求社会各界意见。

来源：

http://zfsg.gd.gov.cn/hdjlpt/yjzj/answer/mobile/27595#/index

1.2.国外数据安全政策与法律法规动态

1.2.1.美国白宫启动推进数据隐私技术和流程的战略

美国白宫科技政策办公室（OSTP）发布了“促进隐私保护数据共享和分析的国家战略”，正式确定了政府的目标，即支持研究、开发、监管和应用数据收集和分析伦理社会技术问题的解决方案——保护隐私数据共享和分析（PPDSA）技术。该战略确立了四项原则:开发保护公民权利的PPDSA技术；在保证公平的同时促进创新；建立技术问责机制；最大限度地减少弱势群体的风险。还确定了五项公共与私营部门的优先推进事项：推进PPDSA技术的治理与引导合理合规使用；推动基础性与应用性研究；加快PPDSA技术应用；建立专业知识体系并促进教育与培训；促进国际合作。

来源：

https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Strategy-to-Advance-Privacy-Preserving-Data-Sharing-and-Analytics.pdf

1.2.2.意大利隐私监管机构以数据泄露为由禁用ChatGPT

意大利政府隐私监管机构表示，在数据泄露事件发生后，意大利将暂时屏蔽人工智能软件ChatGPT，因为它可能违反了严格的欧盟数据保护规定。意大利数据保护局表示，他们正在采取临时行动，“直到ChatGPT尊重隐私”，包括暂时限制该公司处理意大利用户的数据。美国OpenAI公司周五晚间表示，应政府要求，该公司已经关闭了意大利用户的ChatGPT功能。该公司表示，它相信自己的做法符合欧洲隐私法，并希望很快恢复ChatGPT。

来源：

https://apnews.com/article/chatgpt-ai-data-privacy-italy-66634e4d9ade3c0eb63edab62915066f

1.2.3.ChatGPT正在接受加拿大隐私监管机构的调查

加拿大隐私专员办公室正在查一项指控，即OpenAI在未经同意的情况下收集、使用和披露个人信息。“人工智能技术及其对隐私的影响是我办公室的首要任务”，隐私专员菲利普·杜弗雷纳（Philippe Dufresne）表示，“我们需要跟上并领先于快速发展的技术进步，这是我作为专员的主要关注领域之一。” 由于调查正在进行中，加拿大监督机构没有提供进一步信息。

来源：

https://www.siliconrepublic.com/machines/chatgpt-under-investigation-by-canadian-privacy-watchdog

1.2.4.欧盟计划制定公平获取联网汽车数据规则

欧盟委员会正在制定规则，以确保企业和行业公平获取宝贵的汽车数据。目前，行业组织对来自美国和中国科技公司的不公平竞争感到担忧。咨询公司《财富商业洞察》（Fortune Business Insights）表示，到2030年，联网汽车市场的巨大潜力可能增长到4000亿欧元，这引发了汽车制造商和工业用户在获取汽车数据方面的斗争。汽车制造商正寻求将数据驱动的软件产品和订阅服务作为下一个盈利点。“委员会正在编制一份关于车载数据的具体部门提案。它将旨在补充2022年2月发布的《数据法》提案。”欧盟行政部门发言人表示。

来源：

https://europe.autonews.com/automakers/eu-rules-connected-car-data-remain-limbo

个人信息保护政策与法律法规动态

2.1.国内个人信息保护政策与法律法规动态

2.1.1.北京市互联网法院发布个人信息查阅权复制权案件

近日，北京互联网法院发布一则用户行使个人信息查阅复制权的案件，明确《个人信息保护法》第45条中个人信息处理者响应个人信息查阅、复制行权请求的规则。

该案中张某为了解账号使用情况，要求平台将其自注册以来所有的浏览记录以可编辑的xlsx文件形式发送至指定邮箱。视频平台的运营者A公司表示，视频名称、发布者账号名称等既属于张某的个人信息又是视频发布者的个人信息，为避免侵害视频发布者的个人信息权益，A公司采取提供播放链接的方式向张某提供。张某对该提供形式不予认可，将A公司起诉到法院。

法院经审理认为，查阅复制权是个人信息权益的基础性权利，除法定除外情形，个人信息处理者应保障查阅复制权的行使，不能仅以存在他人个人信息的情况就拒绝提供。但考虑到在某信息同属于多主体个人信息的情况下，应充分进行利益衡量：一是充分审核查阅复制主体对个人信息享有的正当利益；二是不应侵害其他主体合法权利，并尽可能对他人个人信息权益影响较小。若查阅、复制内容包含着可分割的个人信息，当事人的请求应限于本人的个人信息；若查阅、复制请求指向多主体的个人信息，应该考虑个人信息处理者的提供行为是否在其已取得同意的范围内或属于依法无需获得同意的情形等。如果提供行为会导致他人个人信息权益遭受重大影响，个人信息处理者未征得他人同意不应直接提供。

来源：

https://mp.weixin.qq.com/s/a-d8FXNnT6Hap-eTBZH5JA

2.1.2.全国信息安全标准化技术委员会发布多项个人信息相关标准需求

4月13日，全国信息安全标准化委员会秘书处发布《关于发布2023年度第一批网络安全国家标准需求的通知》，其中多项标准涉及个人信息，包括《信息安全技术个人信息保护合规审计指南》《信息安全技术个人信息可携带权技术要求》《信息安全技术数据安全和个人信息保护社会责任指南》。

来源：

https://www.tc260.org.cn/front/postDetail.html?id=20230413185511

2.1.3.《快递电子运单》国家标准发布

4月7日，《快递电子运单》（GB/T 41833-2022）获批发布，在2015年《快递电子运单》邮政行业标准制定的基础上进一步规范快递电子运单，并设立专门章节强化消费者个人信息保护。

《快递电子运单》强化了个人信息保护，禁止显示完整的个人信息，推荐对个人信息进行全加密处理，规范个人信息内容的读取权限等。具体如收寄件人姓名应隐藏1个汉字以上，联系电话应隐藏6位以上，地址应隐藏单元户室号；推荐对个人信息进行全加密处理，规范个人信息相关内容的读取权限，仅限于快递企业及其授权的第三方、相关管理部门，使用相关设备合法读取等。

此外，同批发布的邮政快递类国家标准《通用寄递地址编码规则》（GB/T 41832-2022），该标准顺应我国邮政业数字化转型发展需要，提出了通用寄递地址编码的编码原则、编码规则和编码维护要求。

来源：

https://m.thepaper.cn/newsDetail_forward_22609224

2.1.4.《<最高人民法院关于审理个人信息纠纷民事案件适用法律若干问题的解释>学者建议稿及说明》

4月20日，清华大学法学院程啸教授团队发布《<最高人民法院关于审理个人信息纠纷民事案件适用法律若干问题的解释>学者建议稿及说明》，共33条，涉及告知义务履行的证明责任、同意无效的情形、单独同意、不合理的差别待遇、对个人权益有重大影响等的认定，以及共同处理、委托处理、提供个人信息等民事责任，并对个人信息主体查阅复制权、更正补充权、删除权等个人在个人信息处理活动中的权利，以及相应归责原则与赔偿责任作出规定。

来源：

https://mp.weixin.qq.com/s/k4rnVJy4OaRjqVs9GO6LCA

2.1.5.全国首例个人数据合规流转场内交易完成

近日，全国首例个人数据合规流转交易在贵阳大数据交易所场内完成。此次交易是贵阳大数据交易所联合好活（贵州）网络科技有限公司（以下简称“好活”），针对灵活用工就业服务场景，探索个人简历数据流通交易全新商业模式，实现在个人数据授权、采集加工、安全合规、场景应用、收益分配等方面完成交易闭环。

在个人用户知情且明确授权的情况下，贵阳大数据交易所委托好活利用数字化、隐私计算等技术采集求职者的个人简历数据，加工处理成数据产品，确保用户数据可用不可见，保障个人隐私，并通过贵阳大数据交易所“数据产品交易价格计算器”结合好活的简历价格计算模型和应用场景，对个人简历数据提供交易估价参考。

来源：

https://mp.weixin.qq.com/s/z0-nJ_xy4j61DCW-P7df_A

2.2.国外个人信息保护政策与法律法规动态

2.2.1.EDPB发布个人数据泄露通知指南

4月4日，欧盟数据保护委员会（EDPB）发布《通用数据保护条例中个人数据泄露通知的第9/2022号指南2.0》，更新后指南进一步明确非欧盟机构个人数据泄露的通知要求。按照指南要求，在发生数据安全事件时，数据控制者的通知流程包括：①首先确定是否发生了个人数据泄露；②评估个人数据泄露对个人可能造成的风险；③如对个人权利和自由存在风险，应报告主管监管机构；④如对个人权利和自由存在高风险，还应当通知受影响的个人，并根据要求提供信息，说明个人可采取的降低数据泄露影响的措施。

来源：

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en

2.2.2.越南颁布《个人数据保护法》

4月17日，越南颁布《关于保护个人数据的第13/2023/ND-CP号法令》，法令将于2023年7月1日生效，是越南首部综合性个人数据保护法，适用于所有在越南开展数据处理活动的个人和企业。法令区分了个人数据和敏感个人数据，敏感个人数据是指一旦被侵犯，将直接影响个人合法权益的任何个人数据；明确了个人数据处理的八项原则，包括合法性、透明度、目的限制、数据最小化、准确性、完整性、保密性和安全性、存储限制和问责制；数据主体享有知情、查阅、复制、撤回同意、删除、限制或反对数据处理、提起诉讼并要求损害赔偿等权利。同时，法令也明确了强制性违规报告、个人数据保护影响、数据跨境等制度要求。

来源：

https://mp.weixin.qq.com/s/xqc27AZAQSdEhdXVbBCWPw

2.2.3.韩国最高法院判令Google公开用户数据共享情况

4月13日宣布，韩国最高法院宣布，其就Alphabet Inc.旗下的Google LLC和Google Korea Limited（下称“Google”）与一群作为Google服务用户的原告之间的第219232/2017号案件作出裁决。最高法院特别指出，该案涉及Google用户个人信息的使用，原告意在使Google公开其向第三方披露用户数据的行为。

本案中，原告声称Google与美国政府的“PRISM”情报计划共享了其用户的隐私信息，并认为Google遵守美国法律的义务并不能使其在韩国的做法合法化，因为韩国法律规定，在线服务提供商必须遵守个人用户的要求，并提供其个人数据是否以及如何被共享给第三方的记录。最高法院判令Gogole必须披露韩国用户的个人数据是否以及如何与第三方共享信息，并决定此案须发回高等法院重审，待最高法院作出的终审判决后方可生效。

来源：

https://mp.weixin.qq.com/s/xqc27AZAQSdEhdXVbBCWPw

往期回顾

数据安全共同体计划

（data security community）

“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施，推动数据开发利用和数据安全领域的技术推广和产业创新，致力于促进数据安全产业链各环节的交流与合作，推动数据安全政策、技术、人才多要素良性互动，构建数据安全产业生态共同体。

咨询电话：

曹京 15810981762

解伯延 18631643906

联系人邮箱：[email protected]