数据安全新动态（2023年11月·上篇）

来源：

https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_2fb5b9dff755480284099f08eebdfa1e.html

来源：

https://mp.weixin.qq.com/s/T_gsv3bV24XP931tvD4wMA

1.2.1.法国电信监管机构Arcep成立数据和云服务部门

11月28日消息，法国电信管理局Arcep启动新的“数据和云服务”部门职位招聘工作，该部门将负责解决新立法和欧盟数据治理法案规定的额外监管需求，职权范围将涵盖根据目前议会正在讨论的关于更安全和更公平的数字服务的法律，确保云行业的公平竞争环境。

1.2.2.经合组织发布《数据本地化措施的性质、演变和潜在影响》报告

11月10日，经合组织（OECD）发布报告，探讨了数据本地化措施的性质和演变及其对业务活动的影响。数据本地化呈现以下趋势：数据本地化需求不断增长，且要求越来越严格；到2023年，超过三分之二的数据本地化措施中提出了本地存储和处理要求；非经合组织国家是采取更严格限制措施的主要推动者。报告建议，持续监控不断变化的监管环境，以掌握最新趋势，探索尽可能采用限制性较小的数据本地化措施，同时，与监管机构、贸易政策制定者和其他利益相关者对话，就数据本地化问题开展合作，加强监管制度的协同，制定解决数据本地化问题的全球规则。

2.1.1.北京高院发布《侵犯公民个人信息犯罪审判白皮书》

11月15日，北京高院发布《侵犯公民个人信息犯罪审判白皮书》，对近5年来全市法院审结的侵犯公民个人信息罪案件进行调研统计和实证分析，包括侵犯公民个人信息犯罪的审理情况、基本特点、成因分析、治理对策建议和典型案例等主要内容。

从审理情况来看，北京法院审结侵犯公民个人信息罪的总体数量呈波动状态，今年有所攀升。整体刑罚程度较轻，服判息诉情况整体较好，大部分案件适用了认罪认罚从宽制度。从犯罪基本特点来看：涉案公民个人信息类型中有关人身、财产安全的信息占比突出；涉案信息要素中手机号码、身份证件占比最大；涉案公民个人信息的数量规模日渐庞大；五成案件的被告人有较为固定的工作单位或职业；侵犯手段越发隐蔽。就犯罪成因分析，包括行业“内鬼”等团队化作案模式愈加成熟、外部监督体系缺乏和技术升级提升信息获取的速读和体量等原因。就下一步侵犯公民个人信息犯罪治理对策建议，北京高院从行业治理、能动司法、科技护航三个方面提出对策建议。

2.1.2.北京互联网法院发布个人信息保护典型案例

11月1日，北京互联网法院召开新闻发布会，通报个人信息保护案件的审理情况和典型案例，提出对加强个人信息保护的工作建议。

从整体情况看，自2018年9月至2023年9月，北京互联网法院共受理58件个人信息保护案件。经调研，此类案件侵权主体以互联网企业为主，侵权形态主要涉及个人信息的知情权与决定权，涉诉个人信息类型多样化特征显著。从案件反映出的问题来看，个人信息保护的法律适用有待进一步明晰，权利人诉讼能力和举证能力较为薄弱，个人信息处理者行为规范有待提升。对此，北京互联网法院提出建议，应尽快出台个人信息保护司法解释，促进平台严格落实个人信息保护主体责任，同时加强普法宣传和诉讼指引工作，凝聚个人信息保护的社会共识。

从典型案例看，八起个人信息保护纠纷典型案例，包括“关联产品间共享用户数据应获有效同意”“搜索引擎服务提供者处理公开个人信息‘通知删除’规则的适用”“APP登录界面收集用户画像信息未设置拒绝选项侵害用户个人信息权益”“个人信息处理者可以依据其信息存储形式和能力选择合理的信息提供方式”“死者近亲属对死者个人信息权益的行使应符合合法、正当、必要原则”等。

https://www.bjinternetcourt.gov.cn/cac/zw/1699930114789.html

2.1.3.海市消保委与连锁经营协会联合推出上海市商超购物个人信息保护合规指引

11月16日，为强化上海市商超购物消费领域个人信息保护，维护商超企业和消费者双方的合法权益，上海市消费者权益保护委员会和上海连锁经营协会共同制定并印发《上海市商超购物个人信息保护合规指引》（以下简称《合规指引》），提出商超不得以任何形式和理由强制、诱导消费者关注微信公众号、注册会员、索取非必要个人信息和权限等要求，以促进上海市商超行业健康有序发展。

《合规指引》主要包括总则、消费者个人信息保护、责任与监督和附则四章，共十六条。《合规指引》主要规定了商超经营者开展经营活动应遵守的基本原则和义务，包括向消费者提示阅读隐私政策、严格按照隐私政策收集、使用、储存和处理消费者个人信息，并遵循最小、必要的原则提供服务。商超经营者还应建立个人信息安全管理制度和操作规程，对从业人员进行安全教育和培训，并承担个人信息保护主体责任。上海市消费者权益保护委员会与上海连锁经营协会将进行不定期的暗访抽查和社会监督，以确保商超个人信息保护合规情况。这些规定有助于保障消费者个人信息的安全和隐私权利。

来源：

https://c.m.163.com/news/a/IJ3V54FB0550TYQ0.html?from=subscribe&spss=newsapp

2.2.1.韩国个人信息保护委员会宣布即将对《个人信息保护法》执行令进行修订

11月22日，韩国个人信息保护委员会（PIPC）宣布将对《韩国个人信息保护法的实施条例》（the Enforcement Decree of the Personal Information Protection Act）进行修订。修订计划将于2023年11月23日至2024年1月2日期间逐步推出，并基于2023年3月14日的修订而来。本轮修订的重点将涉及以下几个方面：首先是建立关于自动决策的数据主体权利行使程序；其次是指定和资格认证个人信息保护官员；第三是制定评估公共部门个人信息水平的标准和程序；最后是对适用或豁免损害赔偿保证义务的个人范围进行变更。这些修订将于2024年3月15日生效，能够进一步加强对个人信息保护的规范和监管。

2.2.2.西班牙数据保护局发布关于使用生物识别数据进行呈现和访问控制的指南

11月23日，西班牙数据保护局（AEPD）发布了一份关于使用生物识别数据进行呈现和访问控制的指南。该指南旨在确保使用生物识别技术进行个人数据处理符合《通用数据保护条例》（GDPR）等相关法规。

指南将生物识别数据处理视为高风险处理，涉及特殊类别的数据。在就业相关活动中，指南强调必须获得法律授权才能使用生物识别数据，仅依靠个人同意不足以验证合法性。指南还将这些标准扩展到非就业场景的门禁控制。

指南还规定了在进行出勤控制时进行自动决策且没有人工干预的生物识别处理的限制。在开始处理生物识别数据之前，必须进行数据保护影响评估（DPIA）。此外，指南还规定了一系列措施，如使用技术手段确保模板不能被其他目的使用、使用加密保护生物识别模板的机密性、采用特定的数据格式或技术防止生物识别数据库互联和未经验证的数据披露、在与处理目的无关时删除生物识别数据、实施数据保护设计和最小化所收集的数据等。