点击蓝字丨关注我们
申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
1.1.国内数据安全政策动态
6月4日,为落实数字中国建设整体部署,进一步加强和规范民航数据管理,保障数据安全促进数据共享,激发数据价值,提升行业治理能力和服务水平,更好支撑民航高质量发展,智慧民航建设领导小组办公室组织编制了《民航数据管理办法》《民航数据共享管理办法》两部办法。两部办法充分参考国家数据管理有关规定,并结合民航实际,对民航行业数据管理等进行了详细规定。《民航数据管理办法》(征求意见稿)包括总则、职责与分工、数据资源目录、数据采集与治理、数据共享、数据应用、数据安全、监督保障和附则,共分为九章四十四条。《民航数据共享管理办法》(征求意见稿)包括总则、共享类型、目录管理、数据归集、数据的获取与使用、保障监督和附则,共分为七章三十条。意见反馈截止日期为2024年6月19日。
来源:
http://www.caac.gov.cn/HDJL/YJZJ/202406/t20240604_224377.html
6月5日,为加快全省工业领域数据安全保障体系建设,全面提升江西省工业领域数据安全防护能力,促进数据安全产业发展,江西省工信厅发布《江西省工业领域数据安全能力提升实施方案(2024—2026年)》(以下简称《方案》)。
《方案》提出,到2026年,江西省工业领域数据安全保障体系基本建立。全省制造业重点产业链规上企业数据安全政策宣贯实现全覆盖,完成数据安全培训超1000人次。接入省工业数据安全监测平台的重点企业数量大幅增长,开展数据安全分类分级防护的工业企业超1000家,重点行业年营收在排名前10%的规上工业企业均完成。遴选一批工业领域数据安全示范企业、优秀产品和典型解决方案。
来源:
http://gxt.jiangxi.gov.cn/art/2024/6/7/art_68658_4905807.html
6月24日,为进一步提升上海市电信和互联网行业网络和数据安全防护水平,切实做好重大活动网络和数据安全保障,按照工业和信息化部的有关部署要求和《关于开展2024年全市网络安全专项检查的通知》要求,结合上海市通信管理局职责,上海市通信管理局决定组织开展2024年上海市电信和互联网行业网络和数据安全检查。检查内容主要包括:网络和数据安全保障体系建设落实情况、通信网络安全防护工作落实情况、工业互联网企业网络安全防护情况、车联网安全防护管理情况、数据安全保护落实情况、个人信息和用户权益保护工作情况。
来源:
https://shca.miit.gov.cn/zwgk/tzgg/art/2024/art_bcfa5f65c91f4dc68e536061ad6b50ee.html
1.1.4.中德签署《关于中德数据跨境流动合作的谅解备忘录》
6月26日,中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行,双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。
庄荣文表示,今年4月,习近平主席与到访的朔尔茨总理深入交流,为双边关系和各领域务实合作指明了方向、作出了规划。中方愿同德方一道,落实好两国领导人合作共识,以签署《关于中德数据跨境流动合作的谅解备忘录》为契机,推进中德网络空间交流合作取得更多成果。维辛表示,德方高度重视数据跨境流动、人工智能等领域工作,将与中方进一步加强交流合作,积极推动落实《关于中德数据跨境流动合作的谅解备忘录》。中国国家互联网信息办公室将与德国数字化和交通部在《关于中德数据跨境流动合作的谅解备忘录》框架下,建立“中德数据政策法规交流”对话机制,加强在数据跨境流动议题上的交流,为两国企业营造公平、公正、非歧视的营商环境。
来源:
https://www.cac.gov.cn/2024-06/26/c_1721081180089753.htm
1.2.国外数据安全政策动态
1.2.1.世界经济论坛发布《2024年十大新兴技术报告》
6月25日,世界经济论坛发布报告,利用 2021-2023 年的可用商业及学术资金数据,涵盖相关的学术文献、投融资趋势和专利申请数量,评估出十项有望在未来三至五年内对社会与经济产生重大影响的技术。十大新兴技术包括:驱动科学发现的人工智能(AI);隐私增强技术(PETs);智能超表面(RIS);高空平台通信系统(HAPS);通信感知一体化(ISAC);元宇宙技术、弹性热量材料、能捕获碳的微生物、替代牲畜饲料和移植基因组学。报告指出,中国在隐私增强技术(PETs)的商业投资较多,但与美国仍有一定差距,在学术投资较少。
来源:
https://www.weforum.org/publications/top-10-emerging-technologies-2024/
1.2.2.美国战略与国际研究中心发布《挖掘CLOUD法案协议的全部潜力》报告
6月6日,美国战略与国际研究中心发布报告指出,目前《澄清境外合法使用数据法案》(CLOUD法案)仍处于实施的早期阶段。CLOUD法案作用关键、前景广阔,有助于全球许多机构在开展合法调查的同时,促进人权保护、法治和全球信息自由流动,如果使用得当并正确实施,将为执法机构提供一条重要途径,并有可能加强其他国际证据收集的安排。报告建议美国政府应与更多国家签订协议,扩大应用范围,同时允许具体执行因调查机构、数据类型、数据时间跨度、调查目标、相关政府意见不同而有所区分;美国政府应建立有效的评估机制,确定协议是否有效消除了合法调查的不必要障碍;美国政府应制定相关机制发现和应对协议的不当使用。
来源:
https://www.csis.org/analysis/untapping-full-potential-cloud-act-agreements
2.1.国内个人信息保护政策与法律法规动态
2.1.1.法院审理认定虚拟手机号仍属于个人信息,未经信息主体同意不得交易
近日,北京市第二中级人民法院在一起大数据平台服务合同纠纷中认定,手机号码虽然已经过虚拟处理,但虚拟手机号码在一定程度上仍具备可识别性,属于去标识化的个人信息范畴。合同双方在未获得用户个人同意的情况下交易和处理用户个人信息,违反了《民法典》和《个人信息保护法》规定的处理个人信息应遵循的知情同意原则。因此,合同应属无效。同时,法院指出,民事裁判不影响行政管理部门对双方违反个人信息保护法规所应承担的其他法律责任作出处理。
来源:
https://mp.weixin.qq.com/s/6ABkbJCh3IaHxzy-txFu_g
2.1.2.上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》
为进一步强化咖啡企业合规意识,有效指导企业落实个人信息处理者法律责任,保护咖啡消费者个人信息安全,保障消费者体验服务品质,上海市网信办根据前期巡查情况,梳理了该场景下六类常见违法违规问题,分两期发布解析,以案释法,督促《个人信息保护法》相关规定要求得到有效落实。第一期案例解析涉7个案例,问题主要聚焦在强制或默认同意隐私政策,隐私政策缺失、不实或不完整问题,强制或频繁诱导收集精准位置信息问题等三类。
https://mp.weixin.qq.com/s/AJ1D5on8Z9h8GxZ2LXGh6Q
2.1.3.香港隐私专员公署发布《人工智能(AI):个人资料保障模范框架》
为应对AI对个人资料隐私带来的挑战,相应国家的《全球人工智能治理倡议》,香港个人资料隐私专员公署于2024年6月11日发布《人工智能 (AI):个人资料保障模范框架》。该框架可提供国际认可及切实可行的建议和最佳行事常规,以协助机构在采购、实施及使用AI(包括生成式AI)时,遵从《个人资料(隐私)条例》的相关规定,确保机构在善用AI之余,亦保障个人资料隐私。
来源:
https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20240611.html
2.1.4.《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》公开征求意见
6月11日,为指导个人信息处理者识别敏感个人信息,规范敏感个人信息处理、出境和保护活动,全国网安标委发布《网络安全标准实践指南 敏感个人信息识别指南(征求意见稿)》(以下简称《征求意见稿》),征求意见截止日期为2024年6月24日。《征求意见稿》提出了敏感个人信息识别方法,给出了常见敏感个人信息的类别和示例。《征求意见稿》可用于指导各组织识别敏感个人信息范围,也可为敏感个人信息处理、出境和保护工作提供参考。
https://www.tc260.org.cn/front/postDetail.html?id=20240611204152
2.2.国外个人信息保护政策与法律法规动态
2.2.1.EDPS针对EUIs开发、使用生成式AI,发布生成式AI和个人数据保护指南
6月3日,EDPS针对欧盟机构、团体、办公室和机关(EUIs)等使用或开发生成式AI(GenAI)工具,发布生成式AI和个人数据保护的指南,以欧盟数据保护监管机构的身份指导EUIs遵守数据保护要求的一般数据保护原则,如数据处理合法性基础、数据最小化、数据准确性、数据安全、数据主体权利行使等数据处理原则。
生成式AI系统中的个人数据处理涵盖系统整个生命周期,包括数据收集、训练、系统交互、系统内容生成等相关的所有处理活动。就生成式AI是否涉及个人数据处理的判定,EDPS指出如生成式AI声称不涉及个人数据处理,则需要通过已经实施的控制措施确保不涉及个人数据处理,实施定期监控,并在所有阶段实施控制辅助验证相应生成式AI工具没有进行个人数据处理。对于涉及个人数据处理的生成式AI,EDPS指出EUIs在使用处理个人数据的生成式AI系统时,必须向个人提供条例要求的所有信息。向个人提供的信息必须在必要时更新,以确保他们得到适当的信息并能够控制自己的数据。同时,EDPS明确已公开的个人数据仍然受到欧盟数据保护法的约束,使用网络抓取技术从公开网站收集数据并用于训练目的可能不符合相关数据保护原则。
来源:
https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/edps-guidelines-generative-ai-embracing-opportunities-protecting-people_en
2.2.2.Meta应监管机构要求暂停利用用户数据训练AI的计划
6月14日,Meta表示应爱尔兰数据保护委员会(DPC)要求,将推迟使用Facebook和欧盟Instagram上用户共享的公共数据来训练公司大型语言模型(LLM)的计划。爱尔兰、英国、挪威、丹麦等国数据保护机构发表声明,欢迎Meta暂停使用欧盟/欧洲经济区成年人在Facebook和Instagram上分享的公共内容训练其大型语言模型的计划。
此前,非营利组织None of your business (NOYB)在11个欧洲国家提起诉讼,指控Meta公司收集用户数据以开发未明确的人工智能技术并与第三方共享数据,违反了GDPR的基本要求。就Meta利用用户数据训练AI的争议在于,Meta计划依据“合法利益”的法律基础进行个人数据处理训练AI模型,而非征得用户明确同意。此前Meta表示,用户可以通过提交申请来要求公司不使用他们的数据。
来源:
https://thehackernews.com/2024/06/meta-halts-ai-training-on-eu-user-data.html
2.2.3.韩国个人信息保护委员会发布自动化决策指南
近日,韩国个人信息保护委员会(PIPC)公布了《自动决策信息主体权利指南》草案以及征集意见的详细内容。
PIPC在《指南》中强调,人工智能(AI)做出的决策具有一定的社会影响,完全自动化的AI系统可以在没有人工干预的情况下使用。由于关于自动决策的数据主体权利法规于2024年3月15日生效,该指南旨在提供自动决策范围内的具体示例以及个人信息处理者在行使数据主体权利时必须采取的措施。
来源:
https://www.dataguidance.com/news/south-korea-pipc-releases-guide-automated-decisions
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 (010) 5884 6840
解伯延 18631643906
联系人邮箱:[email protected]
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...