《盈科全球数据合规资讯周刊》| 看这就够了

域内动态

9月18日，网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》，实践指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

《指南》提出识别敏感个人信息时，既要考虑单项敏感个人信息，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响。如容易导致自然人的人格尊严、人身安全、财产安全受到危害，则应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。

近日，国家网信办公布了《人工智能生成合成内容标识办法（征求意见稿）》（以下简称《征求意见稿》），并面向社会公开征求意见，意见反馈截止时间为10月14日。如今AI生成的文本、音频、视频的逼真程度、自然程度越来越高，网络上传播的AI内容已经很难去辨别真实性。有人刻意传播一些AI伪造的事件、人物讲话时，会对公众造成误导。新规要求AI内容添加标识，是对这些潜在问题的防范。

近日，为加强电子认证服务行业监管，规范电子认证服务行为，根据《中华人民共和国电子签名法》等有关法律法规，工业和信息化部修订了《电子认证服务管理办法》（以下简称《办法》），现面向社会公开征求意见。如有意见或建议，请于2024年10月3日前反馈。

《办法》所称电子认证服务，是指电子认证服务提供者为电子签名人签发电子签名认证证书，为电子签名相关各方提供真实性、可靠性验证的活动。仅用于识别证书持有人身份的活动不属于《办法》管理范畴。

9月8日，天津市数据局发布《天津市深化数据要素市场化配置改革实施方案（征求意见稿）》（以下简称《方案》），《方案》通过探索发放数据券、算力券等方式，降低企业数据汇聚治理和开发利用成本。

武汉仲裁委员会于2024年9月10日发布《数据争议仲裁规则》，该规则定于10月1日施行。武汉成为继上海后全国第二个出台专项数据争议仲裁规则的城市。《规则》明确，数据争议是指自然人、法人、非法人组织之间，因数据产生的合同或其他财产权益争议，包括但不限于数据全生命周期中产生的争议、数据交易及相关撮合、代理、经纪过程中产生的争议、数据合规评估等评估争议、数据登记服务争议、数据融资争议、数据保险争议等。

近日，工业和信息化部办公厅发布了《关于组织开展2024年工业领域数据要素应用场景征集工作的通知》。该通知旨在贯彻落实国家关于数据基础制度和新型工业化的要求，推进数据要素在工业领域的应用，促进数字经济的发展。征集工作聚焦于研发设计、中试验证、生产制造、营销服务、运营管理、产业链供应链协同、新业态新模式等八个方向，鼓励企事业单位报送具有代表性和推广价值的应用场景及其实践案例。

9月12日，城市全域数字化转型现场推进会在重庆市召开。会上，国家数据局发布了城市全域数字化转型典型案例。北京市、上海市、重庆市、深圳市、杭州市、成都市、莆田市等地围绕全域数字化转型作了交流发言。行业专家汇总发布了部分城市数字化转型场景清单。

域外动态

2024 年 9 月 10 日，欧洲数据保护委员会 （EDPB） 宣布已同意与欧盟委员会合作，就《数字市场法案》（DMA） 和《通用数据保护条例》（GDPR） 之间的相互作用进行澄清和指导。

EDPB 概述了这项工作将侧重于 DMA 下对数字守门人的适用义务，以制定对 DMA 和 GDPR 的连贯解释，同时尊重每个监管机构在 GDPR 适用和 DMA 中引用的领域的能力。

此外，EDPB 澄清说，DMA 成立了一个高级别小组，其中包括委员会以及 EDPB 和欧洲数据保护监督机构 （EDPS） 的代表，为委员会提供建议和专业知识，以确保 DMA 和其他行业法规的连贯实施。

近日，美国商务部下属的国家电信和信息管理局（NTIA）发布了一份名为《增强数据中心增长、韧性和安全性的征求意见书》的文件，就数据中心增长、弹性和安全性方面的挑战征求公众意见。

NTIA 特别强调了人工智能 (AI) 对计算基础设施的影响，以及数据中心在训练和部署 AI 模型方面同时存在的必要性。具体而言，NTIA 概述了加强保障措施和强大安全协议以保护正在处理的大量数据的必要性。NTIA 要求就以下方面提供反馈：

• 供应链相互依赖性；

• 数据中心运营商共同的要求、标准和供应链风险管理最佳实践；

• 为管理数据安全风险而制定或应制定的自愿准则或框架，包括：

• 保护客户数据的控制措施；

• 数据运营商和客户之间共享安全责任；

• 网络安全事件报告措施；

• 运行或训练前沿人工智能模型的数据中心的安全考虑。

9月18日加州州长Gavin Newsom签署并批准了2602号议会法案（AI法案），该法案将于2025年1月1日生效。该法案要求工作室和其他雇主在使用表演者的“数字复制品”之前获得同意授权。该法案还规定，雇主不能随意使用AI再现演员的声音或肖像，防止取代表演者可以亲自完成的工作。”Newsom还签署了AB1836法案，授予已故表演者类似的权利，工作室在使用他们的AI肖像之前需要获得遗产许可。

2024 年 9 月 12 日，消费者和市场管理局 (ACM) 发布了针对在线服务提供商的《数字服务法》(DSA) 指南。DSA适用范围相当广泛，适用于向具有场所或者位于欧盟的服务接收者提供的中介服务，而不论中介服务提供者的场所位于何处。DSA针对不同类型的中介服务建立了一个嵌套治理的责任框架。一方面，所有中介服务提供者都必须遵守一系列合规义务，如设立法定代表、透明度等义务；另一方面，不同类型的中介服务提供者还负有各自特殊的合规义务细节要求

因此，指南针对不同中介服务提供者的角色地位，具有针对性地对下述内容做出细化解释：

• 内容审核；

• 可访问性和通信（本地代表等）；

• 通过暗黑模式和广告影响用户；

• 未成年人保护；

• 企业对消费者 （B2C） 在线市场

9月12日，韩国个人信息保护委员会（PIPC）宣布，根据《个人信息保护法实施令》（PIPA实施令），未经同意收集和使用个人信息的原则和方法将于2024年9月15日起实施。

PIPC 强调了有关收集和使用个人信息的同意要求的以下指导：

• 服务使用协议：如果信息对于履行合同是必要的，个人信息处理者无需征求数据主体的同意；

• 与服务使用协议无关的数据收集：数据主体必须使用简单的语言了解同意的内容以确定是否同意；

• 与个人信息与其他个人信息结合的合同：数据主体必须能够自由同意使用与合同履行无关的个人信息；

以及敏感信息或唯一识别信息：必须告知数据主体同意内容并获得单独同意进行处理，除非法律另有规定。

2024年9月5日，澳大利亚信息和隐私委员会发布《人工智能系统和项目隐私影响评估指南》（征求意见稿），该指南是对2020年5月发布的《新南威尔士州隐私影响评估指南》的补充和完善，为各机构进行人工智能隐私影响评估（PIAs）提供指导，亦为各机构根据《新南威尔士州人工智能评估框架》和《国家政府人工智能保障框架》进行评估提供参考。

具体而言，该指南就以下方面向各机构提供建议：

•  确定何时需要PIA；

• 确定PIA的可能范围和规模；

• 评估人工智能系统和项目时的PIA考虑因素；以及

• 常见的人工智能隐私风险和缓解措施。

近日，利时数据保护机构（Gegevensbeschermingsautoriteit，以下简称“GBA”）裁定Mediahuis违反了数据保护法规，特别是在cookie横幅上未能提供有效的拒绝选项，并且使用了误导性设计（“dark pattern”），这违反了数据主体的自由意志和知情权。GBA要求Mediahuis在规定时间（45天）内对其cookie横幅进行修改，以符合法律要求，包括提供明显的拒绝所有cookies的选项，并确保撤销同意的过程与给予同意的过程同样简单。

若超过规定时间，则每逾期一天，对每个涉事网站罚款25,000欧元，总额可达每天100,000欧元。GBA还决定公布此裁决，以提高透明度并警示其他可能的违规者。Mediahuis有权对此裁决提起上诉。

2024年9月5日，荷兰数据保护局发布2023年数据泄露事件报告。荷兰数据保护局调查了2023年50多起重大数据泄露事件，其中受影响数据主体达1000万人，受调查的53个组织均存在问题。报告强调，在向受影响个人履行数据泄漏事件通知义务时，应满足如下要求：（1）通知内容；（2）语言清晰易懂；（3）通知时间。

9 月 17 日，新西兰隐私专员办公室 (OPC) 表示已收到公众对新西兰税务局 (IRD) 使用纳税人个人信息和处理的隐私担忧，并已对 IRD 展开调查。

在此过程中，OPC 就数据匿名化处理提供以下建议：确保对任何使用人们的个人信息的重大项目进行隐私影响评估（PIA），以充分了解个人信息被重新识别的范围；删除任何可能被用于重新识别个人的信息；以及当向第三方提供信息时，确保第三方理解并遵守其隐私义务。

Eidskog市政府在《公共邮政杂志》上公布了举报人的机密信息，违反了《公共信息法》规定的保密义务。同时，Eidskog市政府在向两名前雇员发出通知时，也违反了处理数据有法律依据的要求。披露的信息包括有关身心健康和经济状况的信息。2024年9月6日，挪威数据保护局（Datatilsynet）宣布，决定向其收取250000挪威克朗（约合23144美元）的侵权费。

2023年1月1日至2023年6月1日期间，Coastal Windows&Conservatories（UK）LTD（CWC）违反了PECR第21条的规定，向TPS注册的号码拨打了18000多个未经请求的直接营销电话。因此，英国信息专员办公室ICO对CWC处以4万英镑的罚款，并确保不主动向之前已通知CWC的订户拨打直接营销电话，在致电个人之前已获得有效和最新的同意。