律所动态

数据合规一周动向(20240916-20240922) ▏敏感个人信息识别指南发布

发布时间:

2024-09-23

作者:

至融至泽

来源:

至融至泽

一、境内动向

 

1、《网络安全标准实践指南——敏感个人信息识别指南》发布

 

9月18日,全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》,指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例。敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

 

全文链接:

https://mp.weixin.qq.com/s/os43_VyKcGd2HRPogs_cVA

 

简评:

敏感个人信息需要更为严格的保护措施以及适用更为严格的合规要求。《个保法》对敏感个人信息的定义较为概括,过往实操中在判断敏感个人信息时更多参考《信息安全技术 个人信息安全规范》(GB/T 35273-2020)附录中关于“个人敏感信息”的示例,但35273中关于“个人敏感信息”的定义与《个保法》并不完全一致(35273列举的个人敏感信息示例包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息以及其他信息),也给实操中判断具体敏感个人信息字段造成一定困扰。

 

本次指南有两大亮点值得关注:

 

一是,指南中关于敏感个人信息的定义及类别列举与《个保法》保持一致,并就每个类别项下的敏感个人信息字段进行示例说明,有助于实操中更准确地判断敏感个人信息。

 

二是,对于过往实操中部分有争议的个人信息是否属于敏感个人信息进行了说明,例如指南明确“个人的体重、身高、血型、血压、肺活量等基本体质信息,如果与个人的疾病和医疗就诊无关,则可不认为是敏感个人信息范畴”;“精准定位信息属于敏感个人信息”,但“通过IP地址等测算的粗略位置信息不是精准定位信息”。此外,本次指南中仅列明“身份证照片”属于敏感个人信息,实操中有解读认为其似乎在暗示“身份证号码”可不作为敏感个人信息。此前35273的附录B在举例说明个人敏感信息时仅说明“身份证”属于个人敏感信息,未明确指出是否包括“身份证号码”,但实际35273定义条款中关于个人敏感信息的定义明确说明了“个人敏感信息包括身份证件号码······”。因此,虽然指南新于35273发布,但对于后续“身份证号码”是否还需要作为敏感个人信息进行保护,还需谨慎对待,进一步观察实操动向。

 

2、浙江发布《浙江省数据知识产权实务指引(试行)》

 

9月18日,浙江省市场监督管理局、浙江省人民检察院发布《浙江省数据知识产权实务指引(试行)》,对数据知识产权的相关定义、适用范围、数据合规总体要求、数据存证与数据知识产权登记申请流程等作出了规定。数据知识产权是数据处理者对依法获取、经过一定规则处理、具有实用价值和智力成果属性的数据集合所享有的权益。数据处理者可参照指引,向浙江省数据知识产权登记中心申请数据知识产权登记,数据知识产权登记证书可以作为持有相应数据集合的初步证明,并作为流通交易、收益分配和权益保护的初步凭证。

 

全文链接:

http://zjamr.zj.gov.cn/art/2024/9/18/art_1229693039_2529594.html

 

3、金融监督管理总局安徽监管局加大保险公司侵犯公民信息行为打击力度

 

9月16日,国家金融监督管理总局安徽监管局发文称,将加大保险公司侵犯公民信息行为打击力度,后续将印发风险提示函,一是揭示风险隐患和严重后果,深入分析深层次案发原因,指出当前保险公司尤其是基层机构存在的法律意识淡薄、内部管理松懈及制度执行力弱化等问题。二是援引法律条文,向行业宣传普及侵犯公民个人信息罪的立法沿革、法律概念、适用情形、入罪标准以及“情节严重”“情节特别严重”的量刑依据等。三是进一步强调合规管理建设,健全客户信息安全管理制度,有效防范类似案件风险,加强售后服务和个人信息权益保护机制建设,常态化开展合规警示教育等。

 

全文链接:

https://www.cbirc.gov.cn/branch/anhui/view/pages/common/ItemDetail.html?docId=1175223&itemId=1203

 

4、内蒙古网警通报7起不履行网络安全保护义务处罚案例

 

9月15日,内蒙古网警通报了7起不履行网络安全保护义务处罚案例。今年以来,内蒙古公安机关网安部门加大对不履行网络安全保护义务违法行为的打击力度,切实压紧压实网络运营者的主体责任,对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。

 

全文链接:

https://mp.weixin.qq.com/s/plE3TKRzr_rLcNwTpih7TQ

 

二、境外动向

 

1、加州通过三项人工智能治理相关法案

 

9月17日,加州通过三项新的人工智能治理相关法案,其中一项法案旨在打击与选举相关的深度伪造内容,包括规定在特定时期制作和发布与选举有关的虚假新闻将触犯法律,法院有权停止该材料的传播并对当事人实施处罚;大型社交媒体平台必须删除欺骗性的材料;政治竞选机构则须公开披露其是否在平台上投放了经由人工智能修改过的广告。另两项法案则旨在保护演员和表演者的数字肖像,确保未经同意不得使用人工智能复制他们的声音或肖像。

 

全文链接:

https://www.gov.ca.gov/2024/09/17/governor-newsom-signs-bills-to-combat-deepfake-election-content/

 

2、英国ICO就Meta宣布将用户数据用于训练人工智能一事发表声明

 

9月13日,英国信息专员办公室(ICO)发布了一份声明,以回应Meta关于使用用户数据以训练人工智能的公告。此前应ICO的要求,Meta暂停了使用Facebook和Instagram用户数据来训练生成式AI的计划。在Meta宣布恢复其计划后,ICO表示将对情况进行监控,因为Meta将在未来几周内通知英国用户并开始处理数据。不过,ICO澄清说,它并未对处理过程提供监管批准,Meta必须确保并证明持续合规。此外,ICO还表示,任何使用用户数据来训练生成式人工智能模型的组织都需要对如何使用用户数据保持透明,并应在使用个人数据进行模型训练之前采取有效的保障措施,包括为用户提供明确而简单的反对处理的方式。

 

全文链接:

https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/09/ico-statement-in-response-to-metas-announcement-on-user-data-to-train-ai/

 

上一篇

返回列表

下一篇

相关推荐