资讯丨网络安全与数据合规法律信息动态-第20期（截至2023年12月底）

本期《网络安全与数据合规法律信息动态》由中伦文德律师事务所网络安全与数据合规专业委员会徐云飞律师团队摘录汇编，摘录、汇总了2023年国内外网络安全与数据合规领域的相关立法及实务动态，供各位参考。

(一) 立法动态

1.工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》

时间：2023年1月13日

来源：工业和信息化部

原文链接：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e92c30f708884a3db7a77e135682ea8b.html

工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》（以下简称“《指导意见》”）。《指导意见》定位为数据安全产业顶层政策文件，提出了到2025年数据安全产业基础能力和综合实力明显增强、到2035年数据安全产业进入繁荣成熟期的两大阶段性发展目标，并围绕前述两个目标提出了七项重点任务及配套保障措施。《指导意见》将有力推动数据安全产业高质量发展，提高各行业各领域数据安全保障能力，加速数据要素市场培育和价值释放，夯实数字中国建设和数字经济发展基础。

※中伦文德短评：

《指导意见》针对数据安全产业进行了顶层设计，不仅提出了阶段性的发展目标，并且提出了需要落实的重点任务及相应配套保障措施，为数据安全产业的进一步深入发展奠定了良好的政策基础。

2.西藏人大常委会发布《西藏自治区网络信息安全管理条例》

时间：2023年1月18日

来源：西藏自治区人民代表大会常务委员会

原文链接：

http://epaper.chinatibetnews.com/xzrb/202301/20/content_180314.html

西藏自治区人民代表大会常务委员会发布《西藏自治区网络信息安全管理条例》（以下简称“《条例》”），自2023年2月1日起施行。《条例》共三十条，把网络信息安全工作积累的许多有效经验和做法上升为地方性法规，明确为有关主体的权利和义务。

※中伦文德短评：

《条例》立足西藏网络安全工作，聚焦网络信息安全，解决网络信息安全领域存在的突出问题，将有利于保障西藏自治区网络信息安全工作的系统性、规范性、协调性、稳定性，提升全自治区的网络信息安全意识。

3.上海市人民政府公布《上海市信息基础设施管理办法》

时间：2023年1月19日

来源：上海市人民政府

原文链接：

https://www.shanghai.gov.cn/nw12344/20230215/8f97743495084a9381f47f0291d61aa9.html

上海市人民政府公布《上海市信息基础设施管理办法》（以下简称“《办法》”），上海市对信息基础设施管理进行综合性立法，从制度层面进一步完善信息基础设施发展和管理，统筹资源集约利用，推进设施保护与安全。在具体措施上，《办法》提出推进公共领域物联感知设施建设，构建感知网络，提升工业、农业、商贸流通、交通能源、公共安全、城市管理、安全生产等领域的数字化水平等。

※中伦文德短评：

随着信息通信技术的飞速发展，新型信息基础设施形态日趋多样、体系不断完善。信息基础设施是夯实数字经济发展的基石，也是提升城市能级和核心竞争力的重要载体。《办法》作为地方政府规章，是依托上海市在数据经济领域的实践经验以及对数字经济市场方向的分析和预判所做出的重要探索性尝试，《办法》的出台也是巩固数字经济市场的一大进步。

4.工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》

时间：2023年2月6日

来源：工业和信息化部

原文链接：

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_73991cdf4bb2407c822d475250cd21e7.html

工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》（以下简称“《通知》”），《通知》从不同层面提出了进一步提升移动互联网应用服务能力的具体措施要求。在提升全流程服务感知及保护用户合法权益层面，《通知》提出了包括规范安装卸载行为、优化服务体验、加强个人信息保护、响应用户诉求等四个方面共计十二个措施；在提升全链条管理能力及营造健康服务生态层面，《通知》提出了包括落实APP开发运营者主体责任、强化平台分发管理、规范SDK应用服务、筑牢终端安全防线、夯实接入企业责任等五个方面共计十四个措施。

※中伦文德短评：

移动互联网应用服务涉及APP开发运营、分发、运行等多个链条，《通知》根据服务形态、业务场景、功能特点，重点针对APP开发运营者、分发平台、SDK、智能终端、接入企业五类主体提出了具体规范要求，对提高行业整体服务水平具有重要意义。

5.国家互联网信息办公室发布《个人信息出境标准合同办法》

时间：2023年2月22日

来源：国家互联网信息办公室

原文链接：

http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

国家互联网信息办公室发布《个人信息出境标准合同办法》（以下简称“《办法》”）及附件《个人信息出境标准合同》，自2023年6月1日起施行。《办法》共十三条，适用于个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息，规定了个人信息出境标准合同的适用情形、订立要求等。

※中伦文德短评：

《中华人民共和国个人信息保护法》规定的个人信息出境合规三大路径——数据出境安全评估、个人信息保护认证以及标准合同。此前,《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》等法规标准对数据出境安全评估和个人信息保护认证提供了相对具体的操作规程。本次《办法》的正式发布, 则为个人信息出境的合规路径补全了最后一块拼图。

6.证监会发布《证券期货业网络和信息安全管理办法》

时间：2023年2月27日

来源：中国证券监督管理委员会

原文链接：

http://www.csrc.gov.cn/csrc/c101953/c7202800/content.shtml

证监会发布《证券期货业网络和信息安全管理办法》（以下简称“《管理办法》”）,自2023年5月1日起施行。《管理办法》共七十五条，分为总则、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任部分。

※中伦文德短评：

《管理办法》细化了证券期货领域的网络和信息安全相关制度建设、信息系统运营和防护、个人信息保护等方面的要求，替代了2012年通过的《证券期货业信息安全保障管理办法》, 成为规范证券期货业的网络和信息安全的主要法律文件。

7.《苏州市数据条例》正式实施

时间：2023年3月1日

来源：苏州市人民政府

原文链接：

https://www.suzhou.gov.cn/szsrmzf/gbdfxfg/202302/a9e55e4ee099440bb17d70e6730c2480.shtml

3月1日，《苏州市数据条例》（以下简称“《条例》”）正式实施，《条例》共八章七十条，对数据资源、发展和应用、数据要素市场、促进和保障、数据安全、法律责任等方面作出规定，并回应了数据产权分置运行、大数据“杀熟”、个人数据维权等问题。

※中伦文德短评：

《条例》是发布时国内唯一涵盖了公共数据、企业数据、个人数据的综合性地方法规。《条例》在数据安全法、个人信息保护法等上位法的框架下，结合苏州市实际，构建了完备的数据安全防护体系。针对企业和个人数据安全，分别规定鼓励企业加强数据安全防护措施、个人有权请求删除个人信息。为保护个人敏感信息，《条例》专门提出，相关机构和单位不得以图像采集、个人身份识别技术作为出入公共场所的唯一验证方式。

8.自然资源部发布2023版《智能汽车基础地图标准体系建设指南》

时间：2023年3月3日

来源：自然资源部

原文链接：

http://gi.mnr.gov.cn/202303/t20230306_2777534.html

自然资源部印发《关于发布<智能汽车基础地图标准体系建设指南（2023版）>的公告》（以下简称“《指南（2023版）》”）。《指南（2023版）》从基础通用、生产更新、应用服务、质量检测和安全管理等方面，对智能汽车基础地图标准化提出原则性指导意见，解决智能汽车基础地图深度应用的迫切需求，为我国智能汽车、智慧交通、安全出行及新型智慧城市等智能汽车基础地图相关行业领域技术发展及产业落地提供标准支撑。

※中伦文德短评：

《指南（2023版）》的编制工作着眼于统筹发展与安全、统筹行业领域优势、推动交叉领域融合、兼顾国际标准对接四个方面，为填补国家标准、行业标准的缺失提供了明确的指导方向，有助于推动智能汽车产业合规发展。

9.全国人大表决通过国务院机构改革新方案，决定组建国家数据局

时间：2023年3月10日

来源：新华网

原文链接：

http://www.news.cn/politics/2023-03/07/c_1129419185.htm

第十四届全国人民代表大会一次会议表决通过了关于国务院机构改革方案的决定，批准了《国务院机构改革方案（2023）》。该方案决定组建国家数据局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，由国家发展和改革委员会管理。

※中伦文德短评：

此前，我国对数据的行政管理主要倾向于合规管理，在数据利用方面虽然相关法律法规都有所反映，监管也有所提及，但是实务中数据利用实际上处于起步的阶段。众所周知，数据已成为重要的生产要素之一，促进数据利用将是未来的重要趋势。国家数据局的成立充分响应了这种趋势的要求，是一项战略性的措施。国家数据局将统筹我国的数据基础制度建设，预计会有力地推进我国的数据要素利用和数字经济发展。

10.工信部印发《电信领域违法行为举报处理规定》

时间：2023年3月15日

来源：工业和信息化部

原文链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_9026e3292d20444589cfeffcced25973.html

工信部公布《电信领域违法行为举报处理规定》（以下简称“《规定》”），自2023年6月1日起施行。《规定》共四章二十五条，主要包括：（一）明确举报处理基本要求。（二）规定受理要求，以防止恶意举报，并详细规定受理条件和不予受理的情形等。（三）完善办理程序。将办理程序划分为初步审核和调查两个基本环节。（四）规范分类处理要求。要求电信主管部门自收到举报之日起60日内，根据调查情况作出分类处理。（五）细化答复、移送等处理要求。

※中伦文德短评：

《规定》规范了电信领域违法行为举报处理工作，明确了电信领域内举报处理的基本要求，有利于维护电信市场秩序，保护电信用户合法权益。

11.信安标委就国家标准《个人信息跨境传输认证要求》征求意见

时间：2023年3月16日

来源：全国信息安全标准化技术委员会

原文链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230316143506&norm_id=20221102152946&recode_id=50381

全国信息安全标准化技术委员会公布《关于征求国家标准<信息安全技术 个人信息跨境传输认证要求>意见的通知》，意见反馈截止时间为5月15日。该标准规定了个人信息处理者跨境提供个人信息的基本原则、基本要求和个人信息主体权益保障要求，适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证。

※中伦文德短评：

《中华人民共和国个人信息保护法》规定的个人信息出境合规三大路径——数据出境安全评估、个人信息保护认证以及标准合同，该标准细化个人信息保护认证要求，使相关制度的落地有了进一步的指引。

12.《信息安全技术 个人信息去标识化效果评估指南》国家标准发布

时间：2023年3月17日

来源：国家标准化管理委员会

原文链接：

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=E1A4E7943D64346D9EF1E3D0855F8496

全国安全标准化技术委员会正式发布了国家标准《信息安全技术 个人信息去标识化效果评估指南》（GB/T 42460-2023）（以下简称“《评估指南》”），于2023年10月1日正式生效实施。本标准提出了个人信息去标识化效果的分级评估方法，包括个人信息去标识化效果评估流程和评估实施，适用于个人信息去标识化活动，也适用于开展个人信息安全管理、监管和评估。

※中伦文德短评：

国家标准《信息安全技术 个人信息安全规范》（GB/T 35273）提出了去标识化处理的要求，国家标准《信息安全技术 个人信息去标识化指南》（GB/T 37964）细化了去标识化活动的开展过程，《评估指南》则为具体评估是否真正实现了有效的去标识化提供了指引，通过细化个人信息标识度分级和评定方法，不断推动个人信息去标识化技术、流程及配套评估措施朝着定量化的精细方向发展。

13.国家互联网信息办公室发布《网信部门行政执法程序规定》

时间：2023年3月23日

来源：国家互联网信息办公室

原文链接：

http://www.cac.gov.cn/2023-03/23/c_1681211418858031.htm

国家互联网信息办公室公布《网信部门行政执法程序规定》（以下简称“《规定》”），自2023年6月1日起施行。该规定对《互联网信息内容管理行政执法程序规定》进行了全面修订，明确了“一事不二罚”原则，规范了网信部门行政执法程序，明确了行政处罚的执行与监督，对于规范网信部门行政执法行为具有重要意义。

※中伦文德短评：

在《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等网络安全及数据合规领域相关法律法规相继出台的背景下，《规定》的出台为网信部门执法提供了专项程序规范，也为企业配合网信部门执法提供了参考。

14.四部门联合发布《关于开展网络安全服务认证工作的实施意见》

时间：2023年3月28日

来源：工业和信息化部

原文链接：

https://gkml.samr.gov.cn/nsjg/rzjgs/202303/t20230328_354213.html

国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合发布《关于开展网络安全服务认证工作的实施意见》（以下简称“《意见》”）。《意见》共九项，明确网络安全服务认证目录由四部门确定并适时调整，现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。《意见》要求网络安全服务认证机构根据认证委托人提出的认证委托，按照网络安全服务认证基本规范、认证规则开展认证工作，建立可追溯工作机制对认证全过程完整记录，并公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态。

※中伦文德短评：

《意见》有利于开展国家统一推行的网络安全服务认证工作，对后续网络安全服务认证的落地具有指导意义。

15.国家网信办发布《生成式人工智能服务管理办法（征求意见稿）》

时间：2023年4月11日

来源：国家互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/2qP6qc_8NigbP7djv2k0w?scene=25#wechat_redirect

为促进生成式人工智能技术健康发展和规范应用，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《生成式人工智能服务管理办法（征求意见稿）》（以下简称“《征求意见稿》”），向社会公开征求意见。

※中伦文德短评：

生成式人工智能的爆炸式发展给监管部门带来了巨大的挑战，这次能够第一时间形成管理办法的征求意见稿，监管部门体现了对市场的洞察敏感度和前瞻性。同时，《征求意见稿》生效后将与《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》共同构成人工智能领域的三大监管规章。

16.国家网信办等五部门：调整网络安全专用产品安全管理有关事项

时间：2023年4月12日

来源：国家互联网信息办公室

原文链接：

https://wap.miit.gov.cn/xwdt/gxdt/sjdt/art/2023/art_49295cdd560842d7b4e573d6b758f70d.html

为加强网络安全专用产品安全管理，推动安全认证和安全检测结果互认，避免重复认证、检测，国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会近日联合发布关于调整网络安全专用产品安全管理有关事项的公告。

※中伦文德短评：

这次五部门联合发布《公告》，统一网络安全专用产品认证检测制度，停止颁发《计算机信息系统安全专用产品销售许可证》，停止执行政府采购领域信息安全产品强制认证要求，是落实《中华人民共和国网络安全法》关于推动安全认证和安全检测结果互认规定的重要举措，对统一网络安全产品安全要求、提升产品整体安全防护能力，减轻网络安全企业负担、营造良好产业发展环境，发展强大网络安全产业、增强国家网络安全能力具有重要意义。

17.全国信安标委就《网络数据安全风险评估实施指引》公开征求意见

时间：2023年4月14日

来源：全国信安标委

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20230418101059

为指导数据处理者开展网络数据安全风险评估工作，秘书处组织编制了《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》（以下简称“《征求意见稿》”）。

※中伦文德短评：

《征求意见稿》明确了网络数据安全风险评估思路、流程和方法，为数据处理者自行开展安全评估或者有关主管部门组织开展检查评估提供了参考。

18.国家标准《信息安全技术 个人信息处理中告知和同意的实施指南》发布

时间：2023年5月23日

来源：国家标准化管理委员会

原文链接：

https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D04FFD262EBE05397BE0A0AD5FA

国家市场监督管理总局联合国家标准化管理委员会发布国家标准《信息安全技术 个人信息处理中告知和同意的实施指南》（GB/T 42574-2023）（以下简称“《实施指南》”），该《实施指南》由TC260（全国信息安全标准化技术委员会）归口，并于2023年12月1日正式实施。《实施指南》明确了处理个人信息时，向个人告知处理规则并取得其同意的实施方法和步骤，适用于个人信息处理者为保障个人权益而开展的个人信息处理活动，也为监管、检查与评估等活动提供了参考。

※中伦文德短评：

《实施指南》作为个人信息保护领域的重点国家标准，是支撑个人信息保护相关法律法规落地的重要参考性文件。《实施指南》提出了一套适用范围广泛且可供长期适用的告知和同意方法论，以行业领域现状与需求为落脚点提出了个人信息处理活动中告知和同意的可行方案，并提供注解与附录以增强《实施指南》的实用性与场景性。《实施指南》不仅进一步规范了个人信息处理前告知和同意的机制设计，从而有力保障了公众对有关自身个人信息处理活动的知情权与决定权，同时还增强了个人信息处理活动的合法性基础，有助于个人信息的合理利用与价值发挥。

19.全国信安标委发布《网络安全标准实践指南—网络数据安全风险评估实施指引》

时间：2023年5月29日

来源：全国信息安全标准化技术委员会

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20230529155314

全国信息安全标准化技术委员会发布了《网络安全标准实践指南—网络数据安全风险评估实施指引》（以下简称“《实践指南》”）。《实践指南》旨在指导网络数据安全风险评估工作的开展，为网络数据安全风险评估提供了评估思路、工作流程与评估内容。《实践指南》指出可从数据安全管理、数据处理活动、数据安全技术与个人信息保护等方面评估安全风险，可用于指导数据处理者与第三方机构实施网络数据安全评估，也可用于监管部门的数据安全检查评估。

※中伦文德短评：

《中华人民共和国数据安全法》第三十条第一款要求，重要数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告，但并未对数据安全风险评估的实施方法与风险评估报告的具体内容做出明确规定。《实践指南》对此做出了回应，有利于贯彻落实《中华人民共和国数据安全法》关于数据安全风险评估的要求。《实践指南》推动了网络数据安全治理体系的完整建立，是网络数据安全建设的基础和前提，在发现和预警网络数据安全风险方面具有重大意义。

20.国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》

时间：2023年5月30日

来源：国家互联网信息办公室

原文链接：

http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm

国家互联网信息办公室发布了《个人信息出境标准合同备案指南（第一版）》（以下简称“《备案指南》”）。《备案指南》规定个人信息处理者与境外接收方签订个人信息出境标准合同以向境外提供个人信息时，应当按照《个人信息出境标准合同办法》的要求，根据《备案指南》向所在地省级网信部门备案。《备案指南》明确规定了个人信息出境标准合同备案范围、备案方式、备案流程与备案材料。

※中伦文德短评：

《备案指南》在《个人信息出境标准合同办法》正式实施前及时发布，使得《个人信息出境标准合同办法》有关个人信息出境标准合同备案的要求能够具体实施，是《个人信息出境标准合同办法》的第一个配套性文件。同时，《备案指南》整体上沿用了《数据出境安全评估申报指南（第一版）》的结构与体例，《备案指南》所附《个人信息保护影响评估报告》模板也参考了《数据出境安全评估申报指南（第一版）》中《数据出境风险自评估报告》的模板，是数据出境安全评估在个人信息领域的集中化要求与体现。继《备案指南》发布之后，全国各省市陆续出台了《北京市个人信息出境标准合同备案指引》《上海市网信办关于个人信息出境标准合同备案的通知》和《浙江省个人信息出境标准合同备案指引》等地方性文件，体现出《备案指南》的发布为各地企业进行个人信息出境标准合同备案提供了实践层面的指引，有效推动了个人信息出境标准合同备案工作的实际落地。

21.国家网信办关于发布深度合成服务算法备案信息的公告

时间：2023年6月20日

来源：国家互联网信息办公室

原文链接：

http://www.cac.gov.cn/2023-06/20/c_1688910683316256.htm

2023年6月20日，国家互联网信息办公室发布基于《互联网信息服务深度合成管理规定》的深度合成服务算法备案信息，现已可以通过互联网信息服务算法备案系统查询具体信息。拥有舆论属性或社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》的要求完成备案及其变更、注销备案手续。深度合成服务技术支持者应当参照履行上述备案手续。对于尚未申请备案的服务提供者和技术支持者，应当尽快完成备案流程。

※中伦文德短评：

此项公告体现了国家对深度合成服务算法备案、互联网信息安全和算法透明度的高度重视。通过建立算法备案制度，旨在加强对深度合成服务的监管，减少算法的使用对社会造成不良影响。此外，通过公开算法备案信息，增强了深度合成服务提供者与技术支持者的责任感和公众的信任度，有助于促进深度合成技术的健康发展和应用。然而，如何确保备案信息的准确性和及时更新，以及如何保障对算法备案的监管力度和效率，将是实施过程中需要关注的问题。

22.国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》

时间：2023年7月13日

来源：国家互联网信息办公室

原文链接：

http://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm

国家互联网信息办公室等七部门联合公布了《生成式人工智能服务管理暂行办法》（以下简称“《暂行办法》”），并于2023年8月15日正式实施。该《暂行办法》包含总则、技术发展与治理、服务规范、监督检查和法律责任、附则共五章内容，有助于促进生成式人工智能的健康发展与规范应用，维护国家安全与社会公共利益，保护公民、法人和其他组织在生成式人工智能领域的合法权益。

※中伦文德短评：

2023年4月11日，国家互联网信息办公室发布了《生成式人工智能服务管理办法（征求意见稿）》，时隔仅三个月便正式出台了《暂行办法》，将征求意见稿落实为正式稿，体现了国家紧跟科技飞速发展趋势，也体现了国家对生成式人工智能领域立法给予的高度重视。与征求意见稿相比，《暂行办法》既注重规范治理同时又强调技术发展，从原理与制度两个层面平衡生成式人工智能服务的安全与创新，为生成式人工智能指明了未来发展的方向。生成式人工智能服务提供者应当保障生成内容的合法合规与准确可靠，注重保障用户权益与安全，保护用户的输入信息与使用记录不被泄露，同时强化主体责任意识，要求服务提供者按规定履行安全评估与算法备案法律义务，建立全面长效的合规治理架构。

23.财政部发布《企业数据资源相关会计处理暂行规定》

时间：2023年8月1日

来源：财政部

原文链接：

https://www.gov.cn/gongbao/2023/issue_10746/202310/content_6907744.html

财政部发布了《企业数据资源相关会计处理暂行规定》（以下简称“《暂行规定》”），旨在规范企业数据资源相关会计处理，增强相关会计信息披露，并于2024年1月1日起正式实施。《暂行规定》规定了适用范围、数据资源会计处理适用的准则以及列示和披露要求等内容，适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。

※中伦文德短评：

《暂行规定》加强了企业会计准则的实施，有助于规范数据相关企业准确落实会计准则，同时能够推动会计领域在数据资源处理方面的研究与创新，从而有助于我国数字经济治理体系的建设和发展。建议各数据相关企业在法律、政策、管理与风险控制方面提前构思应对策略，规范地处理数据资源开支的会计事项，合理地分配相关会计费用，严格地遵守《暂行规定》进行资产负债表列示和信息披露。

24.《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见

时间：2023年8月3日

来源：国家互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/xBoy1IBrfIhQlynzw39-AA?scene=25#wechat_redirect

国家互联网信息办公室发布《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《征求意见稿》”），旨在指导和规范个人信息保护合规审计活动，提高个人信息处理活动的合规水平，保护个人信息主体的权益。该办法依据《中华人民共和国个人信息保护法》等相关法律法规制定，适用于个人信息处理者定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计，以及对个人信息保护合规审计活动的监督管理。

※中伦文德短评：

《征求意见稿》的发布是对《中华人民共和国个人信息保护法》的进一步落实，标志着我国个人信息保护工作进入了一个更加规范和系统的阶段。该办法通过明确合规审计的范围、要求和频率，有助于提升个人信息处理者的合规水平，从而更好地保护个人信息安全和权益。同时，通过引入专业机构进行审计，可以增强审计的专业性和有效性。《征求意见稿》为公众提供了参与个人信息保护合规审计政策制定的机会，有利于充分收集社会各界的意见和建议，从而使《征求意见稿》更加科学、完善、合理。

25.《规范和促进数据跨境流动规定（征求意见稿）》公开征求意见

时间：2023年9月28日

来源：国家互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/HUKJDuZz_lHg-K7CtL7fUw?scene=25#wechat_redirect

国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《征求意见稿》”）并向社会公开征求意见，旨在保障国家数据安全，保护个人信息主体权益，同时规范和促进数据依法有序自由流动。《征求意见稿》明确了不同情况下数据跨境流动的要求，包括不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形。《征求意见稿》还强调了数据处理者的数据安全保护义务以及地方网信部门对数据出境活动的监督职责。

※中伦文德短评：

《征求意见稿》是对数据跨境流动管理的重要规范，旨在平衡数据安全保护和数据自由流动之间的关系。通过设定明确的规则和条件，该规定有助于营造更加开放、透明的数据跨境流动环境，促进国际贸易和经济合作，同时确保个人信息和国家数据安全得到有效保护。特别是对于自由贸易试验区的负面清单管理、对小规模数据出境的宽松条件，以及对特定情况下的数据出境的具体规定，都体现了灵活性和实用性。

26.《科技伦理审查办法（试行）》发布

时间：2023年10月8日

来源：科学技术部

原文链接：

https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/fgzc/gfxwj/gfxwj2023/202310/t20231008_188309.html

科学技术部等多个部门联合发布了《科技伦理审查办法（试行）》（以下简称“《审查办法》”），旨在规范科技活动中的伦理审查工作，强化科技伦理风险防控，并促进负责任地创新。《审查办法》根据《中华人民共和国科学技术进步法》《关于加强科技伦理治理的意见》等法律法规制定，涵盖涉及人或动物的科技活动以及可能对生命健康、生态环境等带来伦理风险的科技活动。《审查办法》强调科技活动应坚持增进人类福祉、尊重生命权利等伦理原则，并明确了审查主体、审查程序、监督管理等方面的具体规定。

※中伦文德短评：

《审查办法》的发布是我国建立科学研究和技术开发伦理审查制度的最新尝试，旨在规范涉及人或动物研究以及其他可能存在伦理风险挑战的科技活动，确保科技创新在伦理原则和公众利益的保护下负责任地进行。此举体现了对科技发展中伦理考量重要性的认识，强调了发展与伦理责任之间的平衡。

27.《未成年人网络保护条例》公布

时间：2023年10月24日

来源：国务院

原文链接：

https://www.gov.cn/zhengce/content/202310/content_6911288.htm

国务院公布《未成年人网络保护条例》（以下简称“《保护条例》”），该《保护条例》自2024年1月1日起施行，旨在营造有利于未成年人身心健康的网络环境，保护其合法权益。《保护条例》强调应当实行社会共治，涵盖网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治等多方面内容与措施。重点包括建立未成年人网络保护机制、加强网络内容监管、保护未成年人个人信息安全，以及预防和干预未成年人沉迷网络。

※中伦文德短评：

《保护条例》体现了我国对未成年人网络安全和健康成长的高度重视，通过制定条例以保护未成年人在网络空间的权益。该条例不仅有助于减少网络对未成年人的负面影响，还有助于形成更健康、更安全的网络环境。值得一提的是，《保护条例》覆盖了网络素养教育、个人信息保护以及防治网络沉迷等关键领域，这些措施将对未成年人的全面发展产生积极深远的影响。

28.《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布

时间：国家互联网信息办公室

来源：2023年12月10日

原文链接：

https://mp.weixin.qq.com/s/ydmirVSQ47ktA9qRk7pKZg?scene=25#wechat_redirect

国家互联网信息办公室与香港创新科技及工业局联合发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（以下简称“《实施指引》”），旨在促进粤港澳大湾区个人信息的跨境流动，保障个人信息的安全与自由流动。《实施指引》规定了个人信息处理者及接收方需要遵循的义务与责任，包括告知与同意、个人信息保护影响评估、合同订立与备案等流程。此指引为粤港澳大湾区（内地、香港）个人信息跨境流动标准合同的订立与备案提供了模板与参考，为粤港澳大湾区个人信息跨境提供了明确的操作框架。

※中伦文德短评：

《实施指引》为粤港澳大湾区个人信息跨境流动标准合同的订立与实施提供了法律框架和政策指导，强化了个人信息跨境流动的保护和合规管理。通过标准化合同和明确的实施要求，《实施指引》既促进了粤港澳大湾区数据流动的便利性，也确保了个人信息的安全与隐私保护。这对于粤港澳大湾区内的信息流通和数字经济发展具有积极意义，并增强了公众的信任与安全感。

29.国家数据局等部门关于印发《“数据要素×”三年行动计划（2024—2026年）》的通知

时间：2023年12月31日

来源：国家数据局

原文链接：

https://mp.weixin.qq.com/s/YyhLQo4lZIFNMiyupdvO1A?scene=25#wechat_redirect

国家数据局等部门印发了《“数据要素×”三年行动计划（2024—2026年）》（以下简称“《行动计划》”），旨在发挥数据要素的放大、叠加和倍增作用，建立以数据为关建要素的数字经济体系。《行动计划》包含激活数据要素潜能、总体要求、重点行动、强化保障支撑、做好组织实施共五部分内容，涵盖工业制造、现代农业、商贸流通等12个重要领域，目标是到2026年底，显著拓展数据要素应用，在经济发展领域显现数据要素乘数效应，形成相对完善的数据产业生态，实现数据产业年均增速超过20%，并使数据赋能经济提质增效。

※中伦文德短评：

《行动计划》展现了国家对数据要素作用的重视及其在推动经济社会发展中的关键角色。通过综合利用数据资源，旨在促进产业升级、创新发展和数字化转型。其跨部门、跨领域的协同实施方式，有望促进数据流通、安全和应用效率的提升，为数字经济的健康发展提供有力支撑。《行动计划》的成功实施，将对提高全要素生产率、促进新产业新模式的孕育和发展具有深远影响。

(二)执法动态

1. 工业和信息化部发布《关于侵害用户权益行为的APP通报》

时间：2023年2月8日

来源：工业化和信息化部

原文链接：

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_f3c61d42b107479abbc0fa115efffc10.html

工业和信息化部信息通信管理局发布了2023年第1批《关于侵害用户权益行为的APP通报》（以下简称“《通报》”），《通报》中列出包括墨迹天气极速版、华为阅读等共计46款APP（SDK），主要涉及问题为APP强制、频繁、过度索取权限、欺骗误导强迫用户、违规或超范围收集个人信息等。《通报》明确，其中涉及的APP及SDK应在2月15日前完成整改落实工作。逾期不整改的，工业和信息化部将依法依规组织开展相关处置工作。

※中伦文德短评：

工业和信息化部重视用户权益保护工作，持续开展APP侵害用户权益专项整治行动，重点对欺骗误导强迫用户、APP过度索取权限等问题进行抽测，相关APP运营方应当对工信部门重点关注领域予以注意，避免遭受下架等处罚影响业务开展。

2. 公安部公布打击侵犯公民个人信息犯罪8起典型案例

时间：2023年3月15日

来源：公安部

原文链接：

https://www.mps.gov.cn/n2254098/n4904352/c8922483/content.html

公安部网站公布8起典型案例，依法严厉打击侵犯公民个人信息犯罪。本批公布的典型案例涉及利用木马程序窃取物流寄递信息、非法入侵部分停车场收费平台系统获取公民车辆位置信息、非法获取中老年人信息并推销假冒伪劣保健品、非法获取公民人脸信息解封网络账号、非法获取支付软件用户信息并在境外出售、窃取用电居民房产信息等违法行为。

※中伦文德短评：

全国公安机关严厉打击侵犯公民个人信息违法犯罪，对潜在危害公民个人信息和数据安全违法犯罪形成震慑，有利于公民个人信息安全保护意识提升，维护网络数据安全。

3. 工信部快速惩治“3·15”晚会曝光的破解版APP 保护用户个人信息

时间：2023年3月16日

来源：工业和信息化部

原文链接：

https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2023/art_ad1936778d0e47aab6c1f0814650d5ba.html

工信部针对“3·15”晚会报道的部分破解版APP违法违规收集用户个人信息问题立即组织核查，并依法进行严厉查处。工信部对部分破解版APP违法违规收集用户个人信息问题采取了排查处置非法下载链接、处理违法违规主体、组织专业检测机构对APP及软件开发工具包（SDK）开展专项检测等措施。

※中伦文德短评：

工信部采取了有效措施，进一步筑牢安全防线，切实强化电信和互联网用户个人信息保护。一是督导相关互联网平台企业落实主体责任，加大巡检和排查力度，及时发现、清理违法违规APP。二是加强APP和SDK技术检测和监督检查，加大问题处置和曝光力度，对违法违规行为持续保持高压震慑。三是深化APP、SDK等应用服务上下游全链条治理，加大管理和规范力度，营造良好服务环境。四是配合有关部门加大对破解版APP侵权盗版等违法违规行为的打击力度，引导从正规渠道下载APP，维护用户合法权益。

4. 全国首例全链条打击侵犯公民停车信息案一审宣判

时间：2023年3月24日

来源：江苏省高级人民法院

原文链接：

https://mp.weixin.qq.com/s/yl1II3hamJlquNB3xJYngg

南京市鼓楼区人民法院公开开庭审理全国首例全链条打击侵犯公民停车信息案，并当庭判决。本案被告人与另案被告人谢某等围绕“寻车”业务，分别负责程序开发、数据查询、联系客户、安装定位跟踪设备等，上下游之间环环相扣，形成了一条完整的产业链条。法院认为，公民车辆即时位置信息、轨迹信息，系能够反映、识别特定自然人活动情况的信息，该信息与公民行动自由、人身安全等刑法保护法益紧密关联，属于公民个人信息。谢某等13人均以侵犯公民个人信息罪判处。

※中伦文德短评：

近年来，犯罪分子利用技术手段破解停车平台系统的安全防护机制，形成制作“黑客”软件、获取车辆位置信息、安装定位设备、跟踪车辆轨迹、“暗网”非法交易等一系列黑灰产业链。本案为打击侵犯公民停车信息开辟了先河，相信未来会有更多案例来保护公民的个人信息。

5. 最高检发布个人信息保护检察公益诉讼典型案例

时间：2023年3月30日

来源：最高人民检察院

原文链接：

https://www.spp.gov.cn/spp/xwfbh/wsfbt/202303/t20230330_609756.shtml?spm=C73544894212.P99766666351.0.0#1

最高人民检察院发布了一批个人信息保护检察公益诉讼典型案例，旨在以党的二十大精神为指引，要求各级检察院公益诉讼检察部门提高政治站位，把办理相关案件作为践行习近平法治思想、服务中国式现代化的一项务实举措，切实监督保障个人信息保护法统一正确实施。

1）江苏省无锡市新吴区人民检察院督促保护服务场所消费者个人信息行政公益诉讼案

2）湖南省长沙市望城区人民检察院督促保护个人生物识别信息行政公益诉讼案

3）浙江省湖州市检察机关诉浙江G旅游发展有限公司侵害公民个人信息民事公益诉讼案

4）江西省宜春市人民检察院督促保护医疗健康个人信息行政公益诉讼案

5）宁夏回族自治区青铜峡市人民检察院诉张某某等人侵犯公民个人信息刑事附带民事公益诉讼案

6）上海市浦东新区人民检察院诉张某侵犯公民个人信息刑事附带民事公益诉讼案

7）广东省深圳市宝安区人民检察院诉付某等人侵犯公民个人信息刑事附带民事公益诉讼案

8）辽宁省沈阳市大东区人民检察院督促规范政务公开个人信息保护行政公益诉讼案

※中伦文德短评：

本次发布的典型案例共8件，其中有4件是行政公益诉讼诉前监督案例。检察机关灵活运用诉前磋商、公开听证、检察建议等方式，督促行政机关依法履职，推动相关违法主体积极整改，充分体现了发挥行政公益诉讼制度优势。

6. 网络安全审查办公室对美光公司在华销售产品实施网络安全审查

时间：2023年3月31日

来源：网络安全审查办公室

原文链接：

http://www.cac.gov.cn/2023-03/31/c_1681904291361295.htm

为保障关键信息基础设施供应链安全，防范产品问题隐患造成网络安全风险，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对美光公司（Micron）在华销售的产品实施网络安全审查。

※中伦文德短评：

本次对美光的网络安全审查是《网络安全审查办法》修订后的第二次公开的网络安全审查。根据《网络安全审查办法》的规定，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后进行审查。美光在审查期间应按照网络安全审查要求采取预防和消减风险的措施。

7. 江苏省通信管理局通报存在安全问题及违法违规收集使用个人信息的APP

时间：2023年4月23日

来源：江苏省通信管理局

原文链接：

https://mp.weixin.qq.com/s/UvoPwVeXzH2CJ8UcwF6Bg?scene=25#wechat_redirect

近期，江苏省通信管理局组织第三方检测机构对群众关注的省内生活服务、休闲娱乐、实用工具等移动互联网应用程序（APP）进行检查，检测到25款App应用存在网络安全隐患或违法违规收集使用个人信息的问题。现依法向存在问题的App运营单位寄送整改通知书，要求相关单位在20日内完成整改。逾期不整改的，江苏省通信管理局将依法依规组织开展相关处置工作。

※中伦文德短评：

江苏省通信管理局本次执法对存在网络安全隐患或违法违规收集使用个人信息行为的APP进行通报，并责令限期整改。我们提示相关方，如果APP存在未经单独同意向第三方共享精确位置信息、调用非必要权限、强制索要非必要权限、无隐私政策、未告知相关个人信息处理规则等情形的，应当立即引起重视，迅速整改，避免遭受下架等处罚。

8. 上海首批两家企业通过数据出境安全评估

时间：2023年5月5日

来源：上海市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/wsTpDrGBhwlux2fd9Zq5rw?scene=25#wechat_redirect

马自达（中国）企业管理有限公司和丝芙兰（上海）化妆品销售有限公司成为上海首批成功通过数据出境安全评估的两家企业。截至4月28日，上海市网信办已处理超过3300次咨询电话，接收并审查了400多份涵盖金融、零售、商务服务、汽车和医疗等关键领域的申报材料，并成功提交了近60份申报材料至国家网信办。上海市网信办通过多种措施，如开通咨询电话、发布指南、组织宣讲和开展调研，积极引导上海市企业合法、有序地进行数据出境安全评估。未来，上海市网信办将重点调研关键行业，帮助企业解决数据出境合规问题。

※中伦文德短评：

不仅上海的两家企业通过数据出境安全评估，近期其他省市的多家企业也顺利通过了数据出境安全评估，各地数据出境安全评估的有序开展，有助于促进数据安全、合规跨境流动，从而激发数据潜能，推动数字经济快速高效发展，同时提升开放型经济的质量与水平。

9. 海南省网信办通报25款违法违规收集使用个人信息APP

时间：2023年5月15日

来源：海南省互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/QsnwnB3aoFqSokZji-c9iA?scene=25#wechat_redirect

海南省互联网信息办公室针对App违法违规收集使用个人信息进行了专项治理，技术检测发现“轻语”、“嘿嘿语音”、“双鱼”等25款App存在违法违规收集使用个人信息行为，依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，要求上述App运营单位加强个人信息保护，完善内部监督，进行自查自纠，并在15个工作日内完成整改，否则将依法处置。

※中伦文德短评：

此通报体现了海南省互联网信息办公室对于个人信息保护的重视和决心，强调了App运营单位应严格遵守法律法规，保障用户信息安全。该措施有助于提升公众对个人信息保护的意识，同时推动App运营商落实数据保护的法律责任。此类监管行为对于促进互联网生态环境的健康发展和维护用户权益至关重要。

10. 广东通报并下架多款未按要求完成整改APP

时间：2023年5月16日

来源：广东省通信管理局

原文链接：

https://mp.weixin.qq.com/s/d9mpjEVP8ssulVPo1tvk2Q?scene=25#wechat_redirect

广东省通信管理局在持续开展的APP隐私合规与数据安全整治行动中，公开通报了69款侵害用户权益的APP，并要求整改。截至规定时限，有30款APP未完成整改。因此，广东省通信管理局决定下架上述30款APP，并要求相关应用商店执行下架处理。此外，广东省通信管理局将持续监督并可能采取更严厉的措施，如断开网络和行政处罚。

※中伦文德短评：

广东省通信管理局此举展现了对个人信息保护法律法规的严格执行，体现了对用户权益的保护以及对数据安全的重视。通过下架未整改APP，广东省通信管理局传达了强烈信号，即对于不符合隐私和数据保护规定的APP，将不会有宽容的态度。这有助于促使APP开发和运营者提高隐私保护意识，强化安全责任，为用户创造更安全的网络环境。

11. 上海市网信办分享重要数据识别优秀案例

时间：2023年5月18日

来源：上海市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/v7dkqdV0FVdzjcMwgqrVhw?scene=25#wechat_redirect

上海市委网信办联合市政府办公厅于2022年7月至12月开展了数据分类分级和重要数据目录管理的试点工作，并于2023年5月18日分享了上海市新能源汽车公共数据采集与监测研究中心的《重要数据识别规则》案例，详细介绍了实践基础、重要数据的定义、重要数据识别方法和识别流程、重要数据目录及其使用说明。此案例提出了如何根据数据的数据集、场景、规模等因素制定识别规则，并根据这些规则形成重要数据目录的示例。

※中伦文德短评：

此案例展示了用于识别和管理重要数据的系统性方法，有助于实现数据分类分级保护制度及重要数据目录管理。《重要数据识别规则》反映了精细化管理的趋势，同时考虑了数据的多维度特性。这种做法不仅有利于加强数据安全和个人信息保护，还能促进数据的合理共享和使用，进一步支持数字经济的发展。通过此案例的分享，其他组织和行业可以学习并应用相似的方法，以强化数据管理和保护措施。

12. 美光公司在华销售的产品未通过网络安全审查

时间：2023年5月21日

来源：国家互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/1ZxmaJsjqaorOfD37KiBmg?scene=25#wechat_redirect

网络安全审查办公室对美光公司在中国销售的产品开展了网络安全审查工作，并发现美光公司产品存在重大的网络安全隐患，可能对中国的关键信息基础设施供应链造成安全风险，影响国家安全。因此，网络安全审查办公室决定不予通过网络安全审查，要求国内运营者停止采购美光公司产品。

※中伦文德短评：

此次审查行动显示了我国对网络安全的高度重视，以及对于可能威胁国家安全的产品的零容忍政策。通过对产品进行网络安全审查，我国能够有效识别并防范潜在风险，确保关键信息基础设施的安全。该措施体现了我国在信息安全方面的自主权与决定权，同时强调了外国企业如果遵守我国法律规定，其产品和服务仍可进入中国市场，这对于国际企业产品进入我国而言，既是提醒也是指引。

13. 南昌市网信办依据《中华人民共和国数据安全法》对某股份有限公司作出行政处罚

时间：2023年5月30日

来源：南昌市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/NGatjqzSMQJ2ZUXlHRqnCQ?scene=25#wechat_redirect

南昌市互联网信息办公室对江西某股份有限公司因网络智能办公系统遭黑客攻击并植入木马病毒，未充分履行数据安全保护义务，且未加强风险监测及时采取补救措施等行为作出行政处罚。为此，该公司被处以警告和人民币50万元罚款，该公司直接负责的主管人员被处以人民币5万元的罚款。

※中伦文德短评：

南昌市网信办的这一处罚举措体现了对《中华人民共和国网络安全法》与《中华人民共和国数据安全法》等法规的严格执行，突显了在数字化时代对网络安全和数据保护责任的重视。对上述企业违法行为的处罚起到了震慑效果，警示所有企业必须认真履行网络安全和数据保护的法律义务。此外，这一行动也向公众传达了政府维护网络安全、保护个人信息的坚定立场，有助于增强公众对网络安全的信心。

14. 上海市网信办、市市场监管局共同启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”

时间：2023年6月16日

来源：上海市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/rWvtkjewFRyojsuyHz6ZYA?scene=25#wechat_redirect

上海市网信办和上海市市场监管局联合发起“亮剑浦江·消费领域个人信息权益保护专项执法行动”，旨在整治消费场景中个人信息被过度收集的问题。执法行动针对8大消费场景的8类问题，如无隐私政策、违规收集个人信息等，将分阶段采取措施惩治违法行为。此执法行动将持续半年，旨在提升企业守法经营意识，加强个人信息保护，并鼓励公众参与举报。

※中伦文德短评：

此举展现了上海市对日益增长的消费场景中个人信息权益保护的高度重视。专项执法行动的实施将有助于遏制滥用个人信息的不法行为，保障消费者权益，增强公众对个人信息保护的意识。通过主管部门的协同和公众的参与，能够形成强大社会合力，推动形成更加安全有序的网络消费环境。此专项行动也是对企业的警示，强调了遵守个人信息保护相关法律法规的必要性和紧迫性。

15. 北京市通过首家企业个人信息出境标准合同备案

时间：2023年6月25日

来源：北京市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/PCJluMb_6hdpB5BbMCsz5g?scene=25#wechat_redirect

北京德亿信数据有限公司与香港诺华诚信有限公司之间的个人信息出境标准合同日前已经得到了北京市互联网信息办公室的备案审核并正式备案，该备案编号是“京合同备202300001”，使得北京德亿信数据有限公司成为北京市第一家通过签订个人信息出境标准合同实现个人信息出境的企业。此举代表了北京率先成功实施个人信息出境标准合同备案制度，确保了个人信息的合规安全出境。此举也是首次在北京与香港之间实现了征信数据合规的跨境传输，不仅促进了两地在个人信用评估与管理方面的协同进展，还为香港持牌金融机构提供了新的跨境服务创新激励。

※中伦文德短评：

继获批全国首个数据出境安全评估项目后，北京市又通过了首家企业个人信息出境标准合同备案，从而实现了在数据出境安全合规领域的“双第一”。继北京市通过首家企业个人信息出境标准合同备案后，浙江省邦贝液压机械（杭州）有限公司提交的个人信息出境标准合同通过了浙江省互联网信息办公室组织的备案审核，湖南省伟创力技术（长沙）有限公司提交的两份个人信息出境标准合同通过了湖南省互联网信息办公室组织的备案审核。各省市积极落实个人信息出境标准合同备案等国家数据出境合规监管法律法规与制度机制，在保障数据出境安全的前提下，推动数据跨境流动，不断释放数据要素价值，促进我国数字经济高质量发展。

16. 中山一公司因违法存储公民敏感信息被公安机关处罚

时间：2023年7月6日

来源：中山市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/1VnpiyJ8JV8emRty3rt83A?scene=25#wechat_redirect

中山市三乡警方查处了中山首例违反《中华人民共和国数据安全法》案件，对一家信息科技公司因未建立数据安全管理制度及操作规程，未对敏感信息进行去标识化和加密保护，存在数据泄露风险的行为处以人民币5万元罚款，并对公司负责人罚款人民币1万元。

※中伦文德短评：

中山市警方对数据安全法违规行为的处罚彰显了法律的严肃性和执行力度，对企业来说是一个重要的警示，表明必须严格遵守数据保护相关法律法规。这一案例也体现了政府在保护公民隐私数据方面的决心。通过加强宣传普及和监督检查，我国能够有效提升企业和公众的网络安全意识，促进整个社会网络安全环境的稳定和发展。

17. 北京市委网信办召开App收集使用个人信息整改指导会

时间：2023年7月13日

来源：北京市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/xRO6Xb7KQwtRmhZDTh8lGQ?scene=25#wechat_redirect

2023年7月13日，北京市委网信办会同国家互联网应急中心北京分中心举办App收集使用个人信息整改指导会，针对“闪送”、“顺丰同城急送”、“大麦”、“赶集直招”、“亿通行”、“黄油相机”、“今日水印相机”、“绿洲”、“宝宝树孕育”、“齐鲁人才”等10家企业的App违规收集个人信息问题进行了通报，并要求其限期整改。

※中伦文德短评：

整改指导会有效推动了App行业的合规性检查和整改，体现了政府在个人信息保护方面的决心和行动力。通过指导和监督企业整改，不仅保障了用户的个人信息安全，也促进了数字经济的健康发展。此举还强调了平台企业主动合规的重要性，为其他地区在类似问题上的治理提供了参考，从而有助于建立更加安全、透明的网络环境，增强用户对数字服务的信任。

18. 公安部公布打击侵犯公民个人信息犯罪十大典型案例

时间：2023年8月10日 

来源：公安部

原文链接：

https://mp.weixin.qq.com/s/NIkZYMX_88KKszLoz3qNrQ?scene=25#wechat_redirect

公安部公布了打击侵犯公民个人信息犯罪十大典型案例。这些案例包括：云南怒江“2.13”侵犯公民个人信息案、广东佛山某汽车服务有限公司侵犯公民个人信息案、山东济南席某倩侵犯公民个人信息案、安徽宣城“1.10”侵犯公民个人信息案、江苏无锡秦某等网民侵犯公民个人信息案、浙江宁波李某等人侵犯公民个人信息案、福建厦门某科技有限公司信息泄露案、上海闵行侵犯公民个人信息案、陕西西安侵犯公民个人信息案、福建龙岩某公司侵犯公民个人信息案。

※中伦文德短评：

公安部公布的十大典型案例突显了保护个人信息安全的重要性，以及公安机关在打击侵犯公民个人信息犯罪方面的决心和能力。十大典型案例揭示了个人信息在不法分子手中可能被用于各类犯罪活动，强调了保护个人信息的紧迫性。通过公开曝光此类案例，可以增强公众对个人信息保护的意识。同时，也向涉及非法处理个人信息的企业和个人发出了警告，强化了法律规范的教育和震慑作用。

19. 南昌某高校因数据泄露被罚80万元

时间：2023年8月16日

来源：南昌市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/6yHcr863Ndg0dLXqb2yY9A?scene=25#wechat_redirect

南昌市公安发现南昌某高校有3万余条师生个人信息数据在境外互联网被公开售卖，随即迅速采取行动，抓获3名犯罪嫌疑人，并对高校不履行数据安全保护义务的违法行为进行了执法检查。调查结果显示，该高校在数据处理活动中未能建立完整的数据安全管理制度，缺乏必要的技术保护措施，违反了数据安全保护义务，导致含有大量教职工和学生个人敏感信息的数据库遭黑客非法侵入并最终导致信息泄露。基于《中华人民共和国数据安全法》的相关规定，南昌市公安对该校处以人民币80万元的罚款，并对主要责任人处以人民币5万元罚款。

※中伦文德短评：

该起数据泄露事件凸显了高等教育机构在数据安全管理上存在的严重缺陷，同时也显示了公安网安部门在维护网络数据安全方面的坚定态度和有效措施。南昌公安网安部门的及时介入、调查和处罚体现了国家对数据安全的严格要求，彰显了依法保护公民个人信息的决心。此案例警示含有重要个人信息的机构应当重视数据安全，加强对《中华人民共和国网络安全法》《中华人民共和国数据安全法》及《关键信息基础设施安全保护条例》等法律法规的遵守，建立健全数据安全管理制度，采取有效技术措施保护数据安全，防止数据泄露事件的发生，从而保障网络和数据安全。

20. 国家网信办对知网（CNKI）依法作出网络安全审查相关行政处罚

时间：2023年9月1日

来源：国家互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/Bc86lVJZxME0pNG5wCh0aA?scene=25#wechat_redirect

基于网络安全审查结论以及发现的问题与移送的线索，国家互联网信息办公室针对知网（CNKI）的主要运营主体，包括同方知网（北京）技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊（光盘版）》电子杂志社有限公司涉嫌违法处理个人信息行为开展了立案调查，发现其14款App存在多项违法行为，包括违反必要原则收集个人信息、未经同意收集个人信息、未公开或者未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等。基于上述违法行为的性质、后果与持续时间，以及网络安全审查情况，国家互联网信息办公室于9月1日根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》与《中华人民共和国行政处罚法》等法律法规，对知网（CNKI）作出责令停止违法处理个人信息行为，并处以人民币5000万元罚款的行政处罚。

※中伦文德短评：

国家互联网信息办公室对知网（CNKI）的网络安全审查相关行政处罚是对其违法处理个人信息行为的严厉打击，展现了国家在保护网络安全、数据安全和个人信息安全方面的坚定立场和果断行动。通过对知网（CNKI）这一重要学术资源平台进行处罚，不仅彰显了法律法规的严格执行，也向所有运营商发出了明确的信号，即必须依法经营，严格遵守网络安全与个人信息保护相关规定。此举有助于促进网络空间的健康发展，提高公众对个人信息保护的意识，同时也为其他企业提供了遵循法律、加强网络安全与个人信息保护的重要参考。国家互联网信息办公室通过此次处罚，进一步强化了企业在网络安全和数据安全方面的责任感和紧迫感，对于维护国家网络安全、数据安全和公民合法权益起到了积极的推动作用。

21. 江苏公安机关办理多起未履行数据安全保护义务案件

时间：2023年9月6日

来源：公安部

原文链接：

https://mp.weixin.qq.com/s/Qr56T30Muh7WTTXkwEbfIw?scene=25#wechat_redirect

江苏公安机关网安部门依据《中华人民共和国数据安全法》，加大监督检查和行政执法力度，累计办理了336起行政案件。案件包括宿迁某医学检验机构、成都某科技有限公司、泰州某不动产登记中心和北京某科技发展研究中心等主体不履行数据安全保护义务，其因未建立数据安全管理制度或未采取技术措施保障数据安全而被罚。

※中伦文德短评：

上述案例强调了《中华人民共和国数据安全法》的执行力度和公安机关对数据安全的重视。处罚不履行数据安全保护义务的公司企业，反映了法律对数据处理活动规范的严格要求，以及维护公共利益、个人权益和国家安全的坚定立场。这些措施促使企业重视数据安全管理，提高风险防控意识，从而为数字经济的健康发展提供了稳固的安全保障。

22. 中央网信办等三部门：持续深入推广应用隐私运单

时间：2023年9月8日

来源：国家邮政局

原文链接：

https://mp.weixin.qq.com/s/5CAHyc8FQYqY1lY55ZnnsA?scene=25#wechat_redirect

国家邮政局、中央网信办、公安部联合召开邮政快递领域隐私运单应用工作推进会，旨在持续推广隐私运单应用，全面保障邮政快递领域信息安全。会议强调，推广隐私运单是落实个人信息保护法的重要举措，要求各部门和企业持续改进技术手段，加强从业人员培训，提升用户信息保护能力。

※中伦文德短评：

邮政快递领域隐私运单应用工作推进会的召开是国家在邮政快递领域进一步加强个人信息保护的重要行动，体现了政府对于信息安全的高度重视和决心。通过联合部署，不仅促进了隐私运单的广泛应用，提高了寄递服务的安全保障，也为个人信息保护立下了新的标杆。此次推进会为有效解决信息安全问题提供了良好示范，有利于构建更加安全、可靠的网络和信息环境，保护公民个人信息不被滥用或泄露，同时促进了邮政快递行业的健康发展。

23. 浙江省网信办对杭州某科技公司未履行数据安全保护义务依法作出行政处罚

时间：2023年10月10日

来源：浙江省互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/6bVE1RjKW0DiZMt2Cl8tUw?scene=25#wechat_redirect

浙江省网信办依据《中华人民共和国数据安全法》和《中华人民共和国行政处罚法》等，对杭州某科技公司因未履行数据安全保护义务而进行行政处罚，罚款人民币5万元，同时对该公司直接负责人罚款人民币1万元。据查实，该公司的生活类APP数据库存在未授权访问漏洞，其服务端口直接暴露于互联网环境当中，违反了《中华人民共和国数据安全法》第二十七条的相关规定。

※中伦文德短评：

浙江省网信办此次对杭州某科技公司的处罚展现了对数据安全法律法规执行的严格性，强调了企业在网络空间运营中履行数据保护义务的重要性。此类行政处罚能有效警示其他企业加强自身数据安全管理，采取必要的技术措施防范数据泄露风险。此外，这也表明政府部门将持续强化网络安全监管，提高网络空间治理效能，确保人民群众的信息安全，营造健康有序的网络环境。

24. 数据泄漏被传输境外后擅自删库！某科技公司被上海市网信办依法处罚

时间：2023年10月11日

来源：上海市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/3LKOKFVUM9EMZ_CEdoRVhw?scene=25#wechat_redirect

上海市网信办依据《中华人民共和国数据安全法》对一家向保险类企业提供互联网通信服务的科技公司及其直接责任人员进行了行政处罚，对该公司作出责令改正，给予警告，同时处以人民币8万元罚款的行政处罚；对该公司直接责任人员作出处以人民币1万元罚款的行政处罚。处罚原因为该公司未采取必要措施保障数据安全，导致部分数据泄漏并被传输到境外，此外，该公司还未按规定及时向网信部门报告事件且试图通过删除数据库逃避责任。

※中伦文德短评：

上海市网信办此次处罚充分体现了对数据安全法律法规执行的严格性，强调了企业在网络空间运营中履行数据保护义务的重要性。该事件提醒所有涉及数据处理的企业必须建立健全数据安全管理制度，采取有效技术措施保障数据安全，一旦发现数据安全问题应及时采取补救措施并报告相关部门。这一做法有助于提升数字行业对数据安全的重视程度，确保公民个人信息安全，维护国家安全和社会稳定。

25. 北京市网信办对三家企业未履行数据安全保护义务作出行政处罚

时间：2023年10月30日

来源：北京市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A?scene=25#wechat_redirect

北京市网信办根据《中华人民共和国数据安全法》对北京市三家企业进行了行政处罚，原因在于上述企业的ElasticSearch数据库存在未授权访问漏洞，导致数据泄露，未能履行数据安全保护义务，违反了《中华人民共和国数据安全法》的规定。作为处罚，每家企业被罚款人民币5万元，并对直接主管人员和其他责任人员处以人民币1万元的罚款。

※中伦文德短评：

北京市网信办此次对三家企业的处罚凸显了对数据安全法律法规严格执行的决心，同时提醒各企业必须认真履行数据安全保护义务。这一举措不仅直接回应了公众对数据安全的关切，也进一步强化了企业在数据处理过程中的安全防护意识和责任。此种行政处罚可以促进企业优化数据管理和安全防护措施，有效防止数据泄露事件发生，保障个人信息安全，促进形成健康有序的网络环境。

26. 广东高院发布个人信息保护典型案例

时间：2023年10月31日

来源：广东省高级人民法院

原文链接：

https://mp.weixin.qq.com/s/0VVqrfHu9t75Tb6NGkTKzg?scene=25#wechat_redirect

广东省高级人民法院在《中华人民共和国个人信息保护法》实施两周年之际，发布了一系列个人信息保护典型案例。案例包括：互联网平台收集和处理个人信息的标准认定——王某与某计算机公司个人信息保护纠纷案、算法运行错误导致个人信息不实的责任主体认定——梁某等与某科技公司网络侵权责任纠纷案、未经同意发送商业短信侵害个人信息权益——王某与某信息公司网络侵权责任纠纷案、个人信息认定标准“可识别性”的适用——田某与某物业公司隐私权与个人信息保护纠纷案、未经同意采集人脸图像作为证据的效力认定——某科技公司与某房地产公司商品房委托代理销售合同纠纷案、大规模个人信息侵权中不特定损害的判定——广州市越秀区人民检察院与郑某等个人信息保护公益诉讼案、危害公共利益的个人信息侵权行为的司法认定——东莞市人民检察院与赵某侵犯公民个人信息民事公益诉讼案。上述案例反映了广东法院利用审判职能加强个人信息权益保护的司法实践。

※中伦文德短评：

广东省高级人民法院发布的个人信息保护典型案例，不仅展示了法院对于个人信息保护的高度重视和严格执法态度，也为社会公众和企业提供了重要的司法指引和警示。这些案例强化了个人信息保护的法律意识，为维护网络空间的安全和秩序，保护公民个人信息权益，提供了具体的司法实践参考。通过上述典型案例的发布，广东法院有效促进了互联网平台和数字经济领域的合规运营，为构建安全、透明、可信的数字经济环境做出了积极贡献。

27. 北京互联网法院发布个人信息保护典型案例

时间：2023年11月1日

来源：北京互联网法院

原文链接：

https://mp.weixin.qq.com/s/Y33MLiIPHtnCli6MVmLB6g?scene=25#wechat_redirect

北京互联网法院在《中华人民共和国个人信息保护法》实施两周年之际发布了一系列个人信息保护典型案例。这些案例涉及APP非法收集和泄露个人信息、公开个人信息处理、死者个人信息保护以及个人信息查阅复制权行使等问题。通过这些案例，法院强调了个人信息保护的重要性，并建议尽快出台个人信息保护司法解释，以明确法律适用标准，强化个人信息处理合规体系建设，降低维权成本，促进个人信息权益保护。

※中伦文德短评：

北京互联网法院发布的典型案例为个人信息保护提供了具体的司法指引，展现了法院在保护公民个人信息权益方面的积极作为。这些案例不仅回应了公众对于个人信息安全的关切，也为企业提供了处理个人信息的明确指南，有助于提升社会对个人信息保护的共识和重视。通过这些典型案例的公布，进一步明确了个人信息保护的法律边界和行为规范，对促进数字经济健康发展和构建安全、透明的网络环境具有重要意义。

28. “内鬼”盗卖数据，某大药房被罚110万元

时间：2023年11月10日

来源：公安部

原文链接：

https://mp.weixin.qq.com/s/qWxMysxoCrDgJ9mbrUG71w?scene=25#wechat_redirect

浙江温州公安查处了一起涉及某大药房数据分析师非法盗卖公民个人信息数据的案件，该大药房数据分析师利用职务之便，导出并在暗网上售卖了大量该大药房的交易数据。温州公安经进一步调查发现，该大药房在数据保护方面存在重大疏漏，包括缺乏全面的数据安全管理体系、未进行数据安全培训、以及未采取安全技术与其他必要措施以保障数据安全，导致敏感数据泄露。基于此，除了因涉嫌侵犯公民个人信息罪而对涉案数据分析师依法刑事拘留外，该大药房也因未能履行数据保护义务而被处以人民币110万元罚款，其直接负责的主管人员被处以人民币10万元罚款。

※中伦文德短评：

该案例凸显了企业在数据保护方面的重要责任，以及公安机关对于侵犯公民个人信息行为的严厉态度。对大药房及其工作人员的处罚，有效展现了《中华人民共和国网络安全法》《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》等法律法规在维护网络安全、数据安全和保护公民个人信息方面的严格执行力度。此案不仅作为对其他企业的强烈警示，强调了建立健全的数据安全管理制度和进行数据安全教育的必要性，而且也体现了公安机关在防控网络犯罪、保护公民个人隐私和促进安全网络环境建设方面的积极作为。此外，公安部门的持续高压策略和对网络运营者的指导监督，为国家网络安全和数据保护工作提供了坚实的支撑，进一步强化了企业与公民对数据安全重要性的认识。

29. 北京市市场监督管理局开展优化平台协议规则专项行动

时间：2023年11月17日

来源：北京市市场监督管理局

原文链接：

https://scjgj.beijing.gov.cn/zwxx/scjgdt/202311/t20231117_3304211.html

2023年6月起，北京市市场监督管理局展开了针对平台企业服务协议和交易规则的优化专项行动。此行动已经成功指导平台企业修改优化了135个协议规则，使得平台规则更加系统完备，内容更加公平合理。此举旨在解决群众反映强烈的不公平和不合理问题，通过成立专项工作组、组织法规政策辅导、深入企业了解困难等措施，提升平台企业的合规意识和能力，保障消费者、平台内经营者和平台企业的合法权益，促进平台经济健康发展。

※中伦文德短评：

北京市市场监督管理局开展的优化平台协议规则专项行动是一项积极的举措，体现了政府部门对于平台经济中存在的问题的高度关注和积极应对。通过此次行动，不仅提高了平台规则的公平性和合理性，也提升了平台企业的自我监管能力和社会责任感。此种针对性的监管措施有助于平衡平台经济的各方利益，促进其健康有序发展。此外，此举也为其他城市或行业提供了可借鉴的经验，对于推动全国范围内的平台经济规范化管理具有重要意义。

30. 新生儿信息遭泄露，一案双查

时间：2023年11月21日

来源：公安部

原文链接：

https://mp.weixin.qq.com/s/Yq2teZtzCLMrQtlDsOPXwg?scene=25#wechat_redirect

山东济南网警破获一起新生儿信息泄露案，抓获犯罪嫌疑人共13名，涉案金额达200余万元。案件源头为山东某文化有限公司非法获取新生儿信息用于电话推销新生儿摄影服务，其通过内部人员非法访问单位系统获取新生儿信息，共计获得纸质版信息2000余条，电子版6万余条。此外，案件调查还发现系统主管单位存在安全管理漏洞，对相关责任单位和个人进行了行政处罚。

※中伦文德短评：

此次济南网警成功破获的新生儿信息泄露案件，不仅揭示了个人信息安全领域存在的严重漏洞，也反映出一些企业非法获取个人信息以谋取利益的违法行为。该案件的成功侦破，展示了公安机关对网络安全和个人信息保护的高度重视和强大执行力。同时，对涉事单位的处罚提醒所有单位和个人必须加强网络安全和个人信息保护的意识，严格遵守相关法律法规，共同维护网络空间的安全和秩序。

31. 浙江省网信办依法查处156款侵犯个人信息合法权益的违法违规App

时间：2023年11月28日

来源：浙江省互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/SfUz8bKII-gzgo8QrSc5mQ?scene=25#wechat_redirect

浙江省互联网信息办公室根据《中华人民共和国个人信息保护法》和《App违法违规收集使用个人信息行为认定方法》等相关法律法规，对“MarryU相亲交友”等共156款App进行了查处。上述App因存在未公开收集使用规则、未明示收集使用个人信息的目的、方式与范围、未经用户同意收集使用个人信息、违反必要原则收集等问题被责令在15日内完成整改。浙江省互联网信息办公室要求相关App开发者依据问题清单进行整改，并提交整改报告。

※中伦文德短评：

浙江省互联网信息办公室此次大规模查处侵犯个人信息合法权益违法违规App，显示了我国在个人信息保护领域的决心和力度。通过强化日常监管和执法工作，该查处行为有效提升了公众对个人信息保护的意识，这对于保障人民群众的个人信息合法权益，维护网络空间的安全和秩序具有重要意义，同时也为其他省份和地区在个人信息保护方面提供了可借鉴的经验和做法。

32. 公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问

时间：2023年11月30日

来源：公安部

原文链接：

https://mp.weixin.qq.com/s/9YOA_lgHcB37wDFVqoskuw?scene=25#wechat_redirect

公安部于11月30日的新闻发布会上通报了“净网”系列专项行动的成效，旨在全力打击黑客类违法犯罪活动。打击黑客类违法犯罪举措成效主要包括：第一，依法严打扰乱社会公平、侵害人民群众合法权益的黑客犯罪；第二，依法严打破坏市场经济运行秩序和国家税收制度的黑客犯罪；第三，依法严打侵入、破坏国家和行业重要信息系统、非法获取信息数据的黑客犯罪；第四，依法严打为电信诈骗、网络赌博等违法犯罪行为提供技术支持的黑客犯罪团伙；第五，依法严打干扰环境监测系统运行、破坏生态文明建设的黑客犯罪；第六，依法严打突破安全限制、非法获取授权、许可的黑客犯罪。

※中伦文德短评：

公安部通过对黑客类犯罪的严厉打击，有效地保护了公民个人信息安全，维护了网络环境的清朗，为国家安全和社会稳定贡献了重要力量。此类全面系统的打击策略不仅直接瓦解了犯罪团伙，还对潜在的违法行为产生了强大的震慑效果。此外，公安部强调联合行业主管部门共建综合治理格局，进一步体现了打击网络犯罪需要社会各界共同参与的理念，这对于构建更加安全的网络环境，增强人民群众的安全感和满意度具有深远意义。

33. 5家企业获颁首批个人信息保护认证证书

时间：2023年12月15日

来源：中国网络安全审查认证和市场监管大数据中心

原文链接：

https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml

中国网络安全审查技术与认证中心于2023年12月15日向五家企业颁发了国内首批个人信息保护认证证书，这些企业包括珠海澳科大科技研究院、支付宝（中国）网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等，此举标志着中国在个人信息保护认证实施工作上取得了重要进展。个人信息保护认证是基于GB/T35273-2020《信息安全技术 个人信息安全规范》等国家标准，对个人信息处理者收集、存储、使用、加工、传输、提供、公开、删除及跨境处理个人信息等行为符合认证依据标准要求而进行的一项证明。个人信息保护认证不仅是政府监管个人信息保护的有效手段，也是企业合规发展的需求。

※中伦文德短评：

首批个人信息保护认证证书的颁发是中国个人信息保护领域的一个重要里程碑，显示了国家对于加强个人信息保护、促进企业合规管理的高度重视。这一措施不仅提升了被认证企业的责任意识和管理水平，也为消费者提供了辨识安全、可靠产品和服务的依据，增强了社会公众对个人信息安全的信心。此外，通过认证过程，企业能够更有效地发现并整改存在的个人信息处理问题，优化管理机制，确保其个人信息处理活动符合国家的法律法规和标准规范，从而提高其产品和服务的市场竞争力。个人信息保护认证将有助于促进社会整体的个人信息权益保障，并增强企业和消费者之间的信任关系。

34. 全国首例！法院认定数据交易买受人商业秘密侵权案

时间：2023年12月19日

来源：重庆两江自贸法院

原文链接：

https://mp.weixin.qq.com/s/eCtT4xGXlhk_oYhH-KAWLA?scene=25#wechat_redirect

三某公司通过第三方数据公司购买了包含光某公司等多家企业的出口报关详细信息并使用该信息，光某公司遂起诉三某公司非法获取并使用其摩托车出口相关商业秘密。重庆两江新区（自贸区）人民法院认为三某公司明知数据涉及他人商业秘密仍进行使用，应与数据提供者共同承担侵权责任，判令三某公司赔偿光某公司经济损失及合理维权费用共计5万元。此案为全国首例认定数据交易买受人侵犯商业秘密案例，明确了数据交易中买受人的审慎注意义务。

※中伦文德短评：

在数字经济日益发展的背景下，商业秘密保护面临全新挑战，此案对于明确数据交易中的法律责任具有重要意义。法院不仅维护了合法经营企业的权益，也为数据交易市场的规范运作提供了司法指引。本案强调了数据交易买受人在接收使用数据时的审慎注意义务，凸显了合法、正当获取和使用数据的重要性。这一裁判有助于提高企业在数据交易时的合规意识，促进数据市场的健康发展，同时也为构建数据权益保障制度、推动数字经济高质量发展奠定了基础。

35. 因App强制、频繁、过度索取权限，证券公司收警示函

时间：2023年12月25日

来源：黑龙江证监局

原文链接：

http://www.csrc.gov.cn/heilongjiang/c103838/c7451853/content.shtml

黑龙江证监局对江海证券有限公司进行了调查，并发现该公司存在的两项问题：问题一在于公司在IT治理和网络安全管理方面存在缺陷，具体表现为内部决策和执行机制不健全；问题二在于公司APP在个人信息保护方面的合规性检测不足，存在APP强制、频繁、过度索取权限的问题。因此，黑龙江证监局决定对江海证券有限公司采取出具警示函的行政监管措施，并要求该公司认真落实网络安全责任制，加强网络和信息安全工作，全面整改相关问题，并向黑龙江证监局报送整改报告。

※中伦文德短评：

黑龙江证监局对江海证券有限公司采取出具警示函的监管措施体现了监管机构对于网络和信息安全管理的重视，尤其是在证券期货业这一高度依赖信息技术的行业当中。此举旨在促使江海证券有限公司加强内部管理，提升其网络安全管理能力，保护投资者的个人信息安全。该监管措施也为同行业的其他公司敲响了警钟，强调了合规的重要性以及对内部治理和信息安全管理持续关注的必要性，监管机构不仅保护了市场参与者的合法权益，也促进了整个行业的健康发展。

36. “兴业太古汇”完成初步整改 张贴“纯净码” 修改不当隐私政策条款

时间：2023年12月26日

来源：上海市互联网信息办公室

原文链接：

https://mp.weixin.qq.com/s/PVszgukdv3G8PCmykrrsww?scene=25#wechat_redirect

上海市网信办约谈“兴业太古汇”运营企业冠丰（上海）房地产发展有限公司，要求其针对停车缴费服务中违规收集使用消费者个人信息问题进行整改。约谈后不久，该商场完成初步整改，包括在停车场显著位置张贴“纯净版”停车缴费二维码，修改隐私政策中不当条款，不再要求消费者提供非必要的个人信息。企业负责人承认先前在个人信息保护法律规定的理解和落实上存在不足，并将继续落实整改措施。上海市网信办计划与相关部门联合进行安全检查，进一步整治市内商场停车场的合规问题，并对不整改的企业进行严肃处理。

※中伦文德短评：

“兴业太古汇”完成的初步整改行为展现了企业对遵守《中华人民共和国个人信息保护法》等相关法律法规的重视，以及对消费者个人信息保护的承诺。这不仅是对“兴业太古汇”自身管理和服务的提升，也为其他商场和企业提供了遵循个人信息保护法规的典范。上海市网信办的积极介入和后续计划的实施，进一步体现了政府在加强网络信息安全管理、保护消费者权益方面的决心。此次事件强调了法规遵守的重要性，促使更多企业重视个人信息保护，推动了整个行业向更加规范、透明的方向发展。

(一)立法动态

1. 国际标准组织发布消费者隐私保护国际标准ISO 31700

时间：2023年1月31日

来源：国际标准组织

原文链接：

https://www.iso.org/obp/ui/#iso:std:iso:31700:-1:ed-1:v1:en

https://www.iso.org/obp/ui/#iso:std:iso:tr:31700:-2:ed-1:v1:en

国际标准组织（以下简称“ISO”）发布了ISO 31700-1：2023《消费者保护-产品和服务中的隐私设计保护 第1部分：高阶要求》和ISO/TR 31700-2：2023《消费者保护-产品和服务中的隐私设计保护 第2部分：实践案例》。

※中伦文德短评：

现代社会的消费者比以往更加意识到数据隐私保护的重要性，而ISO31700的目标是使消费者在隐私保护方面拥有更大的发言权、并能够在整个生命周期内管理他们的隐私数据。

2. 欧洲数据保护委员会发布三项指南

时间：2023年2月24日

来源：European Data Protection Board

原文链接：

https://edpb.europa.eu/news/news/2023/edpb-publishes-three-guidelines-following-public-consultation_en

欧洲数据保护委员会在经过公开征求意见后，最终发布了三项指南，分别为（1）关于适用GDPR第3条与适用第五章国际传输规定之间的相互关系指南。该指南旨在帮助控制者和处理者识别处理操作是否构成国际传输，并提供了对国际传输概念的一般理解；（2）关于认证作为传输工具的指南。该指南旨在进一步阐明认证作为传输工具的实际使用；（3）关于社交媒体平台欺骗性设计模式的指南。该指南为社交媒体平台的设计师和用户提供了实践建议，以评估和避免社交媒体界面中的欺骗性设计模型违反GDPR的规定。

※中伦文德短评：

三项指南的发布为GDPR的适用提供了更好的落地指导，建议适用GDPR的相关各方关注欧洲数据保护委员会指南的出台与更新，密切关注监管机构的执法动态，以提升数据处理活动的合规性。

3. 欧洲数据保护委员会成立ChatGPT特别工作组

时间：2023年4月13日

来源：European Data Protection Board

原文链接：

https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en

欧洲数据保护委员会成员讨论了意大利数据保护机构对Open AI关于ChatGPT服务采取的执法措施。欧洲数据保护委员会决定成立专门的工作组，促进数据保护机构可能采取的执法行动的合作和交流。

※中伦文德短评：

ChatGPT的爆火带来了数据安全、隐私等方面的担忧，欧洲数据保护委员会成立特别工作组体现了欧洲监管机构对此类问题的重视，标志着欧洲在人工智能监管方面迈出重要一步。

4. 欧盟委员会通过“欧盟-美国数据隐私框架”的充分性决定

时间：2023年7月10日

来源：European Commission

原文链接：

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

当地时间7月10日，欧盟委员会通过了针对“欧盟-美国数据隐私框架”的适当性决定。该决定认为，美国确保了与欧盟相当的个人数据保护水平，用于在新框架下从欧盟向美国公司转移的个人数据。基于新的适当性决定，个人数据可以安全地从欧盟流向参与该框架的美国公司，无需采取额外的数据保护措施。

※中伦文德短评：

建立“欧盟-美国数据隐私框架”是继安全港协议、隐私盾协议之后，美欧尝试构建稳定的跨大西洋数据流动安排的又一次行动，促进了欧盟与美国之间的数据传输效率与数据跨境流动的安全。

5. 欧盟就《人工智能法案》达成初步协议

时间：2023年12月8日

来源：European Council

原文链接：

https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/

欧盟成员国和欧洲议会议员在经过36个小时的激烈谈判后，于当地时间12月8日达成了全球首个监管包括ChatGPT等人工智能的全面法规的初步协议，这标志着世界第一次尝试以全面、基于伦理的方式来监管人工智能，表示欧盟成为全球首个为人工智能使用建立具体规则的地区。初步协议谈判的重点包括控制ChatGPT等聊天机器人的基础模型，以及在公共场所使用包括人脸识别在内的实时生物识别技术。然而，尽管达成了该初步协议，《人工智能法案》的技术细节可能还需进一步会议确定，该法案预计最早要到2026年才能生效。

※中伦文德短评：

欧盟就《人工智能法案》达成初步协议是欧盟在人工智能监管方面的关键一步，将有助于欧盟掌握人工智能领域规则制定的话语权和主导权，并有可能为其他国家监管生成式人工智能确定监管基调。通过制定全面的法规来监管包括ChatGPT在内的人工智能技术，欧盟不仅在保护公民权利方面树立了标杆，也向其他国家和地区展示了如何平衡技术创新与个人隐私保护的可能性。尽管《人工智能法案》的实施细节仍需进一步明确，且该法案生效还有一段时间，但欧盟的这一举措无疑为全球人工智能的伦理和法律框架发展提供了重要参考。

(二)执法动态

1. Facebook因违反GDPR被罚款12亿欧元

时间：2023年5月22日

来源：European Data Protection Board

原文链接：

https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en

根据欧洲数据保护委员会（EDPB）于2023年4月13日的约束性争议解决决定，2023年5月22日，爱尔兰数据保护机构（IE DPA）对Meta Platforms Ireland Limited（Meta IE）的Facebook服务进行了调查后，对其处以12亿欧元罚款。这项罚款是迄今为止最大的《通用数据保护条例》（GDPR）罚款，因Meta自2020年7月16日起基于标准合同条款（SCCs）将个人数据传输至美国而被处罚。此外，Meta还被要求使其数据传输符合GDPR的要求。

※中伦文德短评：

该案例展示了欧洲监管机构对于违反《通用数据保护条例》（GDPR）企业的严厉处罚。Meta Platforms Ireland Limited因其将个人数据传输至美国的行为而受到了创纪录的12亿欧元罚款，凸显了违反GDPR规定的严重性以及确保数据跨境传输符合GDPR要求的重要性。此外，此案例强调了欧洲企业在处理个人数据尤其是在跨境数据传输方面必须遵守的合规性标准。