律所动态
数据合规一周动向(20240923-20240929) ▏加州州长否决SB-1047法案
发布时间:
2024-09-30
作者:
至融至泽
来源:
至融至泽
一、境内动向
1、工信部发布关于侵害用户权益行为的APP(SDK)通报(2024年第8批,总第43批)
9月29日,工业和信息化部信息通信管理局发布关于侵害用户权益行为的APP(SDK)通报(2024年第8批,总第43批)。工信部组织第三方检测机构进行抽查,共发现21款APP及SDK存在侵害用户权益行为,故予以通报。该等APP及SDK所涉问题主要包括信息窗口“摇一摇”乱跳转;违规收集/使用个人信息;APP强制、频繁、过度索取权限;信息窗口未提供关闭或退出标识;SDK信息公示不到位等。
全文链接:
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_7471539a36f04791a88ee6a66536f17a.html
2、行业指引《工业和信息化领域数据安全合规指引(征求意见稿)》发布
9月29日,为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规要求,中国通信标准化协会、中国通信企业协会、中国互联网协会工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等十七家行业组织共同编制《工业和信息化领域数据安全合规指引(征求意见稿)》,引导工业和信息化领域数据处理者合法合规开展数据处理活动。其所涉主要内容包括数据分类分级;数据安全管理体系;数据全生命周期保护;数据安全风险监测预警、报告、处置;数据安全应急事件处置;数据安全风险评估;数据出境及数据交易。
全文链接:
https://mp.weixin.qq.com/s/eCOQmbP4DkNxoZM8t4NmRA
3、国家网信办发布《终端设备直连卫星服务管理规定(征求意见稿)》
9月28日,国家互联网信息办公室发布《终端设备直连卫星服务管理规定(征求意见稿)》,向社会公开征求意见。向中华人民共和国境内提供终端设备直连卫星服务,以及在中华人民共和国境内生产、组装、提供、销售和使用支持直连卫星服务的终端设备的,适用该规定。终端设备直连卫星服务,是指利用终端设备通过无线通信方式,不经过中转设备,直接连接通信卫星提供语音呼叫、短信收发或数据交换服务的活动。该规定要求终端设备直连卫星服务提供者应当依照法律法规的规定和国家标准的强制性要求,履行网络安全、数据安全和个人信息保护义务。
全文链接:
https://mp.weixin.qq.com/s/CBR6qcSRRI-PtSAIxaIZig
4、国家数据局发布《关于促进数据产业高质量发展的指导意见(征求意见稿)》《关于促进企业数据资源开发利用的意见(征求意见稿)》
9月27日,国家数据局发布《关于促进数据产业高质量发展的指导意见(征求意见稿)》《关于促进企业数据资源开发利用的意见(征求意见稿)》,面向社会公开征求意见。其中,《关于促进企业数据资源开发利用的意见(征求意见稿)》提出保护企业对其合法持有数据的开发利用、经营收益、流通交易等合法权益。企业有权依法或依合同约定,自主或委托他人基于其合法持有数据开发数据产品或提供数据服务。构建公平高效的数据要素价值分配机制,引导企业在数据产品和服务的生产、供给、流通、使用中实现数据价值的创造和提升。
全文链接:
https://mp.weixin.qq.com/s/KgbREe03PKX-6ZGvcxUXxw
https://mp.weixin.qq.com/s/_a0us8No4vJGLbi-s5kwnA
5、国家计算机病毒应急处理中心监测发现13款违规移动应用
9月26日,国家计算机病毒应急处理中心通报了13款违规移动应用,其所涉问题主要包括“隐私政策难以访问、未声明App运营者的基本情况、未声明隐私政策时效”、“隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”、“App在征得用户同意前开始收集个人信息或打开可收集个人信息的权限”、“App客户端向第三方提供个人信息,未经过用户同意,未做匿名化处理;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意”、 “App未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制”等。
全文链接:
6、广州知识产权法院发布涉数据权益知识产权司法保护典型案例
9月25日,广州知识产权法院发布了6个涉数据权益知识产权保护典型案例,涉及不同类型数据权益归属规则等数据权益保护核心问题及数据不当获取行为、数据不当使用行为、数据妨碍行为、数据污染行为等各类数据侵权形式。包括“首例大数据搬家软件不正当竞争案”、“公众号助手数据抓取不正当竞争案”、“涉平台算法分发内容提供者著作权案”、“非法提供游戏币与游戏账户交易案”、“网店向用户提供虚假实名认证服务案”、“微信管家商业化营销干扰不正当竞争案”。
全文链接:
7、海南开展互联网移动应用程序违法违规收集使用个人信息专项治理行动
9月23日,海南省网信办发布公告称,海南省互联网信息办公室组织对省内用户量大、群众投诉反映集中的网络游戏、实用工具、网络社交类等领域移动应用程序进行巡查,重点围绕隐私合规保障个人信息主体权利、涉未成年人信息收集等突出问题进行集中采集检测,结果显示“解压水果店”“全民打螺丝”等32款App均存在不同程度的非法获取、超范围收集、过度索权等违法违规收集使用个人信息行为,集中向社会通报并责令相关运营单位限期整改。下一步,海南省网信部门将持续开展多场景移动应用个人信息保护专项治理。
全文链接:
8、北京集中整治涉超市“扫码”收集隐私问题
近日,据北京市委网信办介绍,为回应市民诉求,北京进一步加强超市购物领域个人信息保护,提升大型连锁超市企业收集使用个人信息合规能力和数据安全防护能力。北京市委网信办对9家大型连锁超市使用的App进行了远程测试,发现部分App存在不同程度的过度收集个人信息、隐私政策不合理、功能不健全等问题。北京市委网信办会同市商务局、市市场监管局对相关企业进行约谈,要求对照测试形成的《违法违规收集使用个人信息分析报告》,逐条逐项严格开展整改,15个工作日内整改完毕。
全文链接:
https://mp.weixin.qq.com/s/faAHf6DeQ9KHMmCOTkYEoQ
二
境外动向
1、加州州长否决SB-1047法案
9月29日,美国加州州长纽森宣布否决此前备受争议的SB-1047法案,即《前沿人工智能模型安全创新法案》。该方案旨在为具有一定规模的AI系统建立安全标准,包括要求开发者具备紧急关停模型的能力等。该方案在立法过程中引发了广泛关注,不少硅谷科技界人士对该法案表达了反对意见,认为其将给企业带来过重负担,损害人工智能的发展。纽森提到“尽管SB-1047的初衷是好的,但它并未考虑人工智能系统是否部署在高风险环境中,是否涉及关键决策或敏感数据的使用。相反,该法案对最基本的功能都采用了严格的标准——只要大型系统部署了它。我不认为这是保护公众免受技术带来的真正威胁的最佳方法”。
全文链接:
https://www.gov.ca.gov/wp-content/uploads/2024/09/SB-1047-Veto-Message.pdf
2、DPC对Meta处以9100万欧元罚款
9月27日,爱尔兰数据保护委员会(DPC)宣布了一项决定,对Meta公司处以9100万欧元的罚款,原因是其密码存储行为在调查后被认定违反了《通用数据保护条例》(GDPR)的规定。DPC指出,2019年3月,Meta已通知DPC,其无意中将某些用户的密码以明文形式存储在其内部系统中。此后,DPC于2019年开始调查,发现Meta没有采取适当的技术或组织措施来确保用户密码免受未经授权的处理,并确保与风险相适应的安全级别;并且未能向DPC通报个人数据泄露,也未能记录有关以纯文本形式存储用户密码的个人数据泄露情况。因此,DPC对Meta作出了上述处罚。
全文链接:
https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta
3、欧盟委员会发布《数据治理法案》指南
9月24日,欧盟委员会发布了一份关于实施《数据治理法案》(DGA)的指南,该指南明确指出,DGA旨在促进数据共享,并采取以下措施:规范个人数据或商业机密数据等公开数据之再利用;通过数据中介服务促进数据共享;鼓励出于利他目的的数据共享;建立欧洲数据创新委员会以确保最佳实践。该指南明确指出,个人数据和非个人数据均属于DGA的范围,并且,在涉及个人数据的情况下,还将适用GDPR。该指南重申,DGA并未修改GDPR。在国际数据传输方面,DGA仅针对非个人数据的国际传输制定规则,而GDPR则针对个人数据的传输制定规则。
全文链接:
https://digital-strategy.ec.europa.eu/en/library/new-practical-guide-data-governance-act
4、美商务部宣布拟议规则以保护联网汽车供应链免受外国对手威胁
9月23日,美国商务部工业与安全局(BIS)发布了一份拟议规则制定通知(NPRM),禁止销售或进口整合了与中国或俄罗斯具有足够关联的特定硬件和软件的联网车辆,或单独销售这些组件。拟议规则重点关注集成在车辆连接系统 (VCS) 中的硬件和软件以及集成在自动驾驶系统 (ADS) 中的软件。其担心恶意访问这些系统可能使得外国对手能够访问和收集美国的敏感数据并远程操纵美国道路上的汽车。
全文链接:
https://www.bis.gov/press-release/commerce-announces-proposed-rule-secure-connected-vehicle-supply-chains-foreign
5、加州州长签署《人工智能透明度法案》
近日,加州州长签署了《SB-942加州人工智能透明度法案》,该法案将于2026年1月1日生效。该法案规定,“涵盖的提供商” 必须向用户免费提供人工智能(AI)检测工具,该工具必须允许用户评估图像、视频或音频内容,或上述内容的任意组合是否由提供商的生成性人工智能系统创建或更改等且该工具必须是公开可访问的。“涵盖的提供商”是指以创建、编码或以其他方式生产生成人工智能系统的人,该系统每月有超过1,000,000名访问者或用户,并在加州的地理边界内可供公众访问。
全文链接:
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB942
6、英国ICO就LinkedIn AI数据政策变化发表声明
近日,英国信息专员办公室 (ICO) 就LinkedIn使用用户数据训练AI的政策变更发表了一份声明,LinkedIn此前更新了其隐私政策,表示可能使用用户的个人数据开发和训练AI模型。ICO在声明中表示LinkedIn确认已暂停此类模型训练,等待与ICO进一步接触。同时,ICO表示将继续监控包括微软和LinkedIn在内的生成式AI的主要开发商,以审查他们已实施的保障措施,并确保英国用户的信息权利受到保护。
全文链接:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/09/our-statement-on-changes-to-linkedin-ai-data-policy/
相关推荐
