数据合规一周动向（20240909-20240915） | AI生成合成内容标识新规征求意见稿发布

9月14日，国家网信办发布了《人工智能生成合成内容标识办法（征求意见稿）》（“《办法》”），向社会公开征求意见。《办法》规定了人工智能生成合成内容标识要求，同时规定服务提供者应当按照有关强制性国家标准的要求进行标识。人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。人工智能生成合成内容标识包括显式标识和隐式标识。显式标识是指在生成合成内容或者交互场景界面中添加的，以文字、声音、图形等方式呈现并可被用户明显感知到的标识。隐式标识是指采取技术措施在生成合成内容文件数据中添加的，不易被用户明显感知到的标识。同日，中央网信办发布了强制性国家标准《网络安全技术 人工智能生成合成内容标识方法（征求意见稿）》（“《标识方法》”），进一步细化规定了标识呈现的具体内容和样式以及参考示例等。

全文链接：

https://mp.weixin.qq.com/s/m2ExpuzzKSDJwsLZCcFA8g

简评：

1、此前关于生成合成内容标识要求的主要规定

先来回顾下此前法规中关于生成合成内容的标识要求：

《互联网信息服务深度合成管理规定》第十六条、第十七条分别规定了隐性标识、显性标识的相关要求，其中第十六条规定服务提供者对使用其服务生成或者编辑的信息内容，应当采取技术措施添加不影响用户使用的标识；第十七条规定服务提供者提供相关深度合成服务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况。

《生成式人工智能服务管理暂行办法》第十二条规定了提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。

此前实操中，服务提供者对生成合成内容进行标识主要参考《网络安全标准实践指南—生成式人工智能服务内容标识方法》（TC260-PG-20233A），其简要规定了对生成内容的标识方式和标识信息。

2024年6月，在国家标准化管理委员会下达的强制性国家标准制修订计划中，包括了1项委托全国网络安全标准化技术委员会制定的标准项目，即《网络安全技术 人工智能生成合成内容标识方法》。

2、《办法》和《标识方法》征求意见稿的要点

（1）细化标识义务履行方式：《办法》细化规定了服务提供者履行添加显式标识和隐式标识的方式，包括在生成文本、音频、视频等内容中添加显式标识的方式和位置，以及在文件元数据中添加隐式标识的内容。《标识方法》则在此基础上进一步细化了标识呈现的具体内容和样式以及参考示例。

（2）规定网络信息内容传播平台的标识义务：包括采取适当方式在发布内容周边添加提示标识；以及提供必要的标识功能，提醒用户主动声明发布内容中是否包含生成合成内容。

（3）规定互联网应用程序分发平台的审核义务：在应用程序上架或上线审核时，核验服务提供者是否按要求提供生成合成内容标识功能。

（4）规定与生成合成内容标识相关的用户权利和义务：包括服务提供者应当通过用户服务协议说明标识方法、样式等内容，提示用户阅读并理解标识管理要求；服务提供者如何响应用户关于提供没有添加显式标识的生成合成内容的要求；以及用户上传生成合成内容时的主动声明和标识义务。

（5）明确办理算法备案和安全评估手续时提供标识相关材料的要求：此前实操中，在生成合成类算法备案和大模型上线备案手续中，本身一般也会说明生成合成内容的标识情况。后续在提供相关说明时，需着重按照《办法》和《标识方法》的规定进行标识。

2024年9月9日至15日，2024年国家网络安全宣传周在全国范围内统一开展，北京互联网法院与市委网信办陆续推出10个个人信息保护典型案例。包括案例一“关联产品间共享用户数据应获得有效同意”、案例二“搜索引擎服务提供者处理公开个人信息’通知删除’规则的适用”、案例三“APP登录界面收集用户画像信息未设置拒绝选项侵害用户个人信息权益”、案例四“个人信息处理者可以依据其信息存储形式和能力选择合理的信息提供方式”、案例五“死者近亲属对死者个人信息权益的行使应符合合法、正当、必要原则”、案例六“利用已公开个人信息有误导致受众混淆构成侵权”、案例七“当事人在诉讼中提交已合法收集个人信息作为证据属于履行法定义务的行为”、案例八“信息处理者对其尽到告知同意义务负有相应的举证责任”、案例九“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”、案例十“未经授权对包含他人肖像的视频进行AI换脸处理、构成对他人个人信息权益的损害”。

全文链接：

案例一、案例二：

https://mp.weixin.qq.com/s/o3QJKdPINbcWY3BF_TNlHw

案例三、案例四：

https://mp.weixin.qq.com/s/nMX-XjdZU73pohDwvWU4zg

案例五、案例六：

https://mp.weixin.qq.com/s/Lb5bu4s2mpyyVM_0Rqr1aA

案例七、案例八：

https://mp.weixin.qq.com/s/x5JHVIuLgKe-W-mm_OnZjw

案例九、案例十：

https://mp.weixin.qq.com/s/GCaMneyMxMlIogcKZpJPfQ

9月14日，国家金融监督管理总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》，《通知》从四方面对金融机构建设移动互联网应用程序提出18条工作要求，其中在数据合规方面，《通知》明确了“谁管业务、谁管业务数据、谁管数据安全”的原则，同时对外包服务中的数据安全也提出了要求，机构应按照“必需知道”和“最小授权”原则严格控制外包服务提供商数据访问权限。《通知》要求金融机构应当严格落实国家法律法规和监管要求，建立移动应用个人信息保护制度，规范个人信息管理。

全文链接：

https://www.cbirc.gov.cn/cn/view/pages/governmentDetail.html?docId=1179186&itemId=&generaltype=1

9月12日，全国网络安全标准化技术委员会发布4项国家标准征求意见稿，包括《网络安全技术 网络身份认证公共服务应用接入规范》、《网络安全技术 公钥基础设施 时间戳规范》、《网络安全技术 公钥基础设施 PKI组件最小互操作规范》、《网络安全技术 公钥基础设施证书管理协议》。其中《网络安全技术 网络身份认证公共服务应用接入规范》给出了多种应用接入国家网络身份认证公共服务平台的总体接入框架、接入流程和安全测试方法，规定了接入国家网络身份认证公共服务平台的应用服务的安全要求，适用于对接国家网络身份认证公共服务平台的应用服务的设计、开发、测试、运行。

全文链接：

https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

工业和信息化部近日印发《关于推进移动物联网“万物智联”发展的通知》，旨在提升移动物联网行业供给水平、创新赋能能力和产业整体价值，加快推动移动物联网从“万物互联”向“万物智联”发展。《通知》部署了四方面主要任务：一是夯实物联网络底座，主要包括加强网络规划建设、提升网络智联能力；二是提升产业创新能力，主要包括推进标准体系建设、增强产业供给能力；三是深化智能融合应用，主要包括推动产业数字化转型、促进社会治理智能化、助力民众生活智慧化；四是营造良好发展环境，主要包括优化价值评估方法、提高行业服务水平、完善安全保护机制。

全文链接：

https://mp.weixin.qq.com/s/GaqFfN_rJ5UKs4GGiTjmLw

9月9日，国家互联网信息办公室与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，以促进内地与澳门数据跨境安全有序流动，推动粤港澳大湾区高质量发展。9月10日，国家互联网信息办公室与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定并公布《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》，粤港澳大湾区个人信息处理者及接收方可以按照指引要求，通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。

全文链接：

https://mp.weixin.qq.com/s/oX53PItERys7Y6RtlCrr1w

中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方，对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。9月10日，中国网络空间安全协会公布了该等62款完成个人信息收集使用合规整改App清单。

全文链接：

https://mp.weixin.qq.com/s/UEPOCPDEL9FNxPBDw6L__A

根据“北京亦庄”公众号披露，拜耳医药保健有限公司于9月11日通过中国（北京）自由贸易试验区高端产业片区亦庄组团负面清单备案审核，成为全市首家通过自贸试验区数据出境负面清单政策实现数据合规出境的企业。根据拜耳医药保健有限公司有关负责人披露，从申报使用负面清单到取得备案结果仅用时5个工作日。北京经济技术开发区有关负责人介绍，《北京市数据跨境流动便利化服务管理若干措施》发布后，北京亦庄率先出台全市首个数据出境负面清单组团实施文件——《中国（北京）自由贸易试验区高端产业片区亦庄组团数据出境负面清单实施意见》，支持企业在自贸试验区适用负面清单开展数据出境。

全文链接：

https://mp.weixin.qq.com/s/mS5GRQfz-bsuWMmy3bCtmA

9月10日，长春市政务服务和数字化建设管理局印发《长春市数据产权登记管理办法》，《办法》旨在规范数据产权登记行为，适用于数据资源和数据产品在长春市行政区域内的登记行为。《办法》规定长春市政务服务和数字化建设管理局主管数据产权登记工作，明确了登记程序、材料等要求，经登记机构审核通过后，登记主体可以获取数据产权登记证书，为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁提供参考。《办法》要求登记申请时登记主体需提交第三方服务机构出具的关于数据产权的真实性和合法性审核材料。

全文链接：

https://mp.weixin.qq.com/s/Q5AhfrW7BO_iAvGA0VEG6Q

9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会发布《人工智能安全治理框架》1.0版。《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。

全文链接：

https://www.cac.gov.cn/2024-09/09/c_1727567886199789.htm

9月9日，上海市委副书记、市长龚正主持召开市政府常务会议，会议原则同意《上海市数据知识产权登记存证暂行办法》并指出，开展数据知识产权登记存证试点，是提升数据要素资源配置能力的重要举措。要加快先行先试，高标准做好实质性审查，确保数据产品有价值、受欢迎、能推广。加强政策联动，与知识产权质押融资等工作结合，助推数据产品开发和市场应用。要注重协同推进，打通数据知识产权登记、存证、运用、保护“全链条”，有力服务构建数据要素市场体系、做大做强数字经济，形成更多高质量制度创新成果和实践经验。要强化严格保护，切实维护数据权利人合法权益，通过严格、公正的司法实践，推动更多数据主体登记、交易，不断激发数据要素利用的动力和活力。

全文链接：

https://mp.weixin.qq.com/s/8gUvtuuqKtpZg7AVP15eyA?scene=25#wechat_redirect

9月9日，上海发布新一批生成式人工智能服务已备案信息。截至9月9日，上海新增7款已完成备案的生成式人工智能服务，累计已完成41款生成式人工智能服务备案。已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况，注明模型名称及备案号。

全文链接：

https://mp.weixin.qq.com/s/DAPnNsiQo2DjkJvDUW78JA

近日，平潭综合实验区自贸试验与深化改革办公室印发了《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》，清单适用于在平潭自贸区范围内登记注册的、且在平潭自贸片区内开展数据跨境流动活动的数据处理者，但不适用于关键信息基础设施运营者。数据处理者向境外提供清单内数据，被传输数据在境内运营中收集和产生，并且数据出境行为符合清单传输要求的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，在平潭自贸片区通过风险评估备案后即可提供出境。清单自发布之日起试行一年。

全文链接：

https://www.pingtan.gov.cn/zwgk/zfxxgk/dfbmptlj/ptzhsyqbm/ptzhsyqgwh/fdzdgknr/qtyzdgkdzf/202409/t20240903_93344.htm

9月12日，爱尔兰数据保护委员会（DPC）宣布，根据《2018年数据保护法》对谷歌爱尔兰有限公司（Google Ireland Limited）启动调查，该调查涉及谷歌在开发和训练其人工智能大模型时处理欧盟/欧洲经济区数据主体的个人数据之前，是否遵守了GPDR第35条规定的数据保护影响评估 (DPIA) 的义务。GDPR第35条规定，如果某种处理类型（尤其是使用新技术进行的处理），考虑到处理的性质、范围、背景和目的，可能对个人权利和自由造成高风险，则需要进行数据保护影响评估（DPIA）。

全文链接：

https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-launches-inquiry-google-ai-model

9月12日，荷兰消费者和市场管理局 (ACM)发布了针对在线服务提供商的《数字服务法》(DSA)指南。该指南明确了DSA为在线中介服务提供者规定的义务，概述了在线中介服务提供者如何遵守内容审核、可访问性和通信、通过暗黑模式和广告影响用户、未成年人保护、企业对消费者在线市场等方面的内容。

全文链接：

https://www.acm.nl/system/files/documents/leidraad-dsa-zorgvuldigheidsverplichtingen-tussenhandeldiensten.pdf

9月9日，美国商务部工业和安全局 (BIS) 发布了一份拟议规则制定通知，概述了针对世界领先的人工智能开发商和云服务提供商的强制性报告要求。其要求相关人工智能模型和计算集群的开发者向联邦政府提供详细报告，其中包括报告开发活动、网络安全措施等内容。BIS认为通过拟议的报告要求收集的信息对于确保这些技术符合严格的安全性和可靠性标准、能够抵御网络攻击以及被外国对手或非国家行为者滥用的风险至关重要。

全文链接：

https://www.bis.gov/press-release/commerce-proposes-reporting-requirements-frontier-ai-developers-and-compute-providers

近日，欧盟委员会发布关于《数据法案》的常见问题解答，内容包括《数据法案》与GDPR等其他欧盟法律的关系；物联网（IoT）背景下数据的访问和使用；用户的权利、数据持有者的责任、以及第三方在数据共享中的角色；数据共享的条件、补偿机制和解决争议的途径；公共部门如何访问私营部门持有的数据；在数据处理服务之间切换；非法访问和传输非个人数据；互操作性及执行等。《数据法案》将于2025年9 月12日生效。

全文链接：

https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act