《盈科全球数据合规资讯周刊》|看这就够了

网数法合规圈的读者朋友们，大家好！盈科全球数据合规服务中心将于每周定期为大家呈现最新的全球数据合规资讯。诚挚邀请您点击订阅！诚挚邀请您点击订阅

盈科律师事务所YINGKE是一家全球化法律服务机构，拥有17000多名律师，在2023Global 200排名中，盈科全球律师人数蝉联世界第一。盈科在中国大陆地区拥有120家分所及1家粤港澳联营律所。盈科全球法律服务网络已经覆盖了103个国家和地区的194个国际城市。其中，盈科海外直营机构覆盖了40个国家的52个国际城市；盈科境外合作律所覆盖了92个国家和地区的174个国际城市。目前盈科累计为超过100万家海内外企业提供高度满意的法律服务。

盈科全球数据合规服务中心（Yingke Global Data Compliance Service Center）由郭卫红主任创建，也是盈科设立的国内最早专注于数据合规与网络安全的国际化服务平台之一，在欧洲、中东、美国、新加坡、日本等地设有海外直营分中心，由法律专家与技术专家组成，持有CIPP/CIPM/CCRC•DSO等资质。

中心参与全球数字经济立法与标准制定，将前沿理论成果转化为具有商业价值的服务，同时整合第三方安全技术、认证机构、专家学者等资源，为中资企业走出去、外资企业引进来提供优质高效的全球一站式服务，助力客户在全球数字化发展浪潮中勇立潮头。

全球数据合规资讯·周刊

一、国家数据局拟出台企业数据开发利用等政策文件

2024年10月25日，2024年“数据要素×”大赛全国总决赛颁奖仪式在北京举行。国家数据局党组书记、局长刘烈宏表示，一年来，国家数据局已经出台公共数据开发利用、数字经济高质量发展、城市全域数字化转型、数字经济促进共同富裕、“数据要素×”三年行动、全国一体化算力网、国家数据标准体系建设指南等方面的重要政策文件8份。后续拟出台企业数据开发利用、数据产业高质量发展、公共数据资源登记、公共数据授权运营、数据基础设施建设指引、数据空间行动计划、数据流通安全治理等方面的政策文件，还将推动建立数据产权制度，完善数据流通交易规则，提升数据安全治理水平，促进数据“供得出、流得动、用得好、保安全”。

二、《金融数据安全治理实施指南》等4项标准发布

2024年10月25日，中国互联网金融协会在京召开金融数据安全治理工作研讨会暨金融数据安全系列标准发布会。会上，协会正式发布了《金融数据安全治理实施指南》《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》等4项标准，旨在从金融数据治理、金融数据资产管理、金融数据安全技术防护、金融数据安全应急管理等不同角度为做好新时代的金融数据安全治理工作提供相应指引和规范。

三、工信部印发《工业和信息化领域数据安全事件应急预案（试行）》

10月31日，工信部印发《工业和信息化领域数据安全事件应急预案（试行）》，在中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动，应当遵守相关法律、行政法规和本预案的要求。预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度，将数据安全事件分为特别重大、重大、较大和一般四个级别。工业和信息化领域数据处理者负责本单位数据安全事件预防、监测、应急处置、报告等工作，根据应对数据安全事件的需要，制定本单位数据安全事件应急预案。

四、最高院发布涉“侵犯公民个人信息罪”问答

10月31日，最高人民法院“法答网精选答问”栏目，发布了一批法答网精选咨询答疑，其中问题1为“侵犯公民个人信息罪案件中，在认定“违法所得”时应否扣除成本？”。根据最高院答疑意见，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条系单独使用“违法所得”数额，在认定违法所得时，一般不扣除成本。但对于个别采取交易形式侵犯公民个人信息构成犯罪的，在认定“违法所得”时如不扣除成本可能使得案件处理明显不符合罪责刑相适应原则要求的，应结合案件具体情况予以考虑。

五、全国人大介绍反洗钱法修订草案修改情况，完善多项规定更好保护数据安全和公民个人信息

11月1日，全国人大常委会法工委举行记者会，发言人黄海华介绍了反洗钱法修订草案的修改情况。其中，为了更好地保护数据安全和公民个人信息，修订草案主要作了四个方面规定：一是，在保留现行反洗钱法关于严格规范反洗钱信息使用规定的同时，增加规定对个人隐私的保护。二是，明确要求提供反洗钱服务的机构及其工作人员对于因提供服务获得的数据、信息，应当依法妥善处理，确保数据、信息安全。三是，增加规定金融机构在公司内部、集团成员之间共享反洗钱信息，也应当符合有关信息保护的法律规定。四是，增加规定有关国家机关工作人员泄露反洗钱信息的法律责任。

六、国家网信办发布第八批深度合成服务算法备案信息

11月1日，国家互联网信息办公室发布第八批深度合成服务算法备案信息，本批次共计509个算法通过备案。根据《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。国家网信办请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。

一、万豪与美国联邦贸易委员会和解

近日，万豪国际集团（Marriott）因一系列数据泄露事件，同意支付3.6亿余元罚款，并与美国联邦贸易委员会（FTC）及49个州和哥伦比亚特区达成和解。这些泄露事件影响了全球超过3.44亿客户，暴露了他们的护照信息、支付卡号、电子邮件地址等敏感数据。万豪国际集团与美国联邦贸易委员会之间就大型数据泄露的和解草案中强调了数据最小化的重要性，并讨论了万豪在数据保护方面的新责任。

二、上海某医疗科技企业未履行保护义务被网信部门依法处罚

近日，上海市网信办接到线索，反映属地某医疗科技公司所属系统存在网络安全漏洞，致使系统大量个人信息数据发生泄漏被境外IP访问窃取。针对这一问题线索，上海市网信办立即赴涉事企业开展现场核查。经查实，该企业的确存在数据泄漏问题，暴露出公司未能履行好网络安全、数据安全保护义务，上海市网信办依据《数据安全法》对该公司予以立案调查。通过调查核实，涉事医疗科技公司为民营医疗机构，主要从事医疗领域教育培训的技术开发服务，涉事系统为该企业内部生产测试系统，部署于云服务平台，系统数据库内存储大量个人信息数据，包含姓名、单位名称、所属省市、所在乡镇/街道、手机号（已采取加密措施）等。该系统未采取有效网络安全防护措施，存在未授权访问漏洞，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏被窃取，违反了《数据安全法》第二十七条规定。针对以上违法情况，上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告，并处以罚款的行政处罚。

三、国安部披露某境外企业在我国非法开展地理信息测绘活动

2024年10月16日，根据“国家安全部”微信公众号消息，国家安全机关工作发现，某境外企业A公司通过与我国具有测绘资质的B公司合作，以开展汽车智能驾驶研究为掩护，在我国内非法开展地理信息测绘活动。A公司为某国重点敏感领域项目承包商，根据《中华人民共和国测绘法》规定，并不具备在我国内单独开展地理信息测绘活动的资质。为规避我国行业主管部门监管，该公司以汽车智能驾驶研究为由，将项目多次外包，最终委托具备测绘资质的国内B公司具体实施。在经济利益的诱惑驱使下，B公司完全沦为A公司的牵线木偶，其所具有的测绘资质为A公司在我国境内非法获取测绘数据起到了掩护作用。最后在A公司的操控指使下，B公司将测绘所得数据转移出境。

四、中国网络空间安全协会：建议对英特尔在华销售产品启动网络安全审查

2024年10月16日，“中国网络空间安全协会”发布《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》一文。其中指出，英特尔CPU近期频繁爆出安全漏洞，如Downfall和Reptar，影响多代产品，并被指控在知情不报的情况下继续销售。此外，第13、14代酷睿i9系列CPU因稳定性问题导致游戏崩溃，英特尔对此反应迟缓。英特尔还被指责在产品中集成存在漏洞的第三方组件，以及在其ME子系统中暗设后门，潜在危害用户隐私和国家安全。鉴于英特尔产品在中国市场的广泛使用，中国网络空间安全协会建议启动网络安全审查，以保护中国消费者的权益和国家安全。

五、两家公司违反《数据安全法》被网信部门行政处罚

2024年10月23日，根据“网信郑州”微信公众号消息，郑州市网信办工作中发现，两家公司未履行网络安全保护义务，未采取必要的安全防护，导致大量敏感数据被窃取。郑州市网信办依据《数据安全法》分别对两家公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。两家公司所涉问题主要包括未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，网络安全管理方面存在缺失，未能按照《数据安全法》要求对企业重要数据进行分级分类管理，系统日志存储时未对用户个人敏感信息进行脱敏处理，存在安全风险等。

END