天达共和数据合规资讯月报（No. 09）2023

摘 要

尊敬的各位客户、同仁：

欢迎参阅天达共和律师事务所数据合规团队为您呈现的《数据合规资讯月报》2023年第9期（总第45期）。

本期月报主要内容包括：

立法动态

介绍2023年8月26日至9月25日期间及前后境内外数据保护立法动态，并针对部分立法动态提供简要评论。

执法司法聚焦

介绍2023年8月26日至9月25日期间及前后境内外部分典型执法司法案例，并针对部分执法司法活动提供简要评论。

行业资讯

精选2023年8月26日至9月25日期间及前后互联网及相关行业与网络安全和数据保护有关的资讯资讯。

团队动态

2023年9月26日，由中国日本商会组织的“中国数据跨境传输制度落实情况、实务应对及发展动向”讲座在北京举办，本次讲座吸引了多家包括信息通信、食品、工业制造、医药等行业的日本知名企业参与，天达共和律师事务所北京办公室数据合规团队合伙人叶鹏律师作为主讲嘉宾发表演讲。叶鹏律师通过解读数据出境的相关立法情况、制度情况、三种数据出境方式下的制度落实情况等，为与会嘉宾介绍了目前中国的数据出境制度落地流程，围绕相关申报、备案等工作的具体实施步骤等进行说明，并基于实务经验总结相关工作注意点并做出提示。此外，叶鹏律师通过对数据出境立法、执法情况的最新动态介绍，向与会嘉宾阐述了未来数据出境工作在监管层面的趋势发展。

热点评述

《生成式人工智能数据合规研究系列（一）——法律与监管概述篇》

2022年12月，美国人工智能公司推出的里程碑式应用引起了社会的广泛关注。以为首的新一代生成式人工智能（“生成式AI”），可以通过底层技术构建出以文本生成、图像生成、音频生成、视频生成为代表的生成内容类型，具有无穷的应用前景。在各大科技巨头纷纷投身于生成式AI的开发研究和技术革新、社会开始享受生成式AI所带来便利的同时，生成式AI也引发了一系列诸如知识产权侵犯及权属争议、个人数据泄露、虚假信息传播等风险隐患。面对生成式AI对现有监管体系带来的巨大冲击，各国开始积极探索和尝试对该新兴技术的监管方式。而作为企业而言，尤其是研发或使用生成式AI的企业，在技术革新日新月异的今天，提前了解生成式AI可能带来的法律风险，可以更快速地抓住机遇，具有重要意义。

基于本团队对法律、监管动向以及实际案例等的跟踪研究，并结合实际工作中的经验，我们推出“生成式人工智能数据合规研究系列”，供大家参阅指正。本系列共分为四部分——“法律与监管概述篇”“网络安全篇”“数据安全篇”和“个人信息保护篇”，将通过梳理我国关于生成式AI的法律和监管环境，尝试探讨生成式AI服务提供者在数据合规方面可能面临的法律风险，以期启发在生成式AI发展的浪潮中有意研发或使用生成式AI的企业。本期是系列研究的之一篇“法律与监管概述篇”，将主要为您介绍我国关于生成式人工智能数据合规法律和监管环境。

数据合规资讯月报

2023年09月刊

欢迎扫码查阅PDF版

DATA

·立 法 动 态·

境内立法

网络、数据安全与个人信息保护

8月29日，深圳市人民检察院发布《深圳市移动互联网应用程序分发业务合规指引》。该《指引》立足于明确移动互联网应用程序分发平台的合规义务和责任，引导业内企业树立合规意识、培育合规文化，搭建全面有效的合规体系，全力封堵监管漏洞，助推行业规范发展。全文共计七章58条，内容包括总则、应用程序分发业务常见合规风险及法律后果、应用程序分发平台合规管理体系、应用程序分发平台资质与备案合规要求、应用程序分发业务合规要求、合规文化建设和附则。

(#）

简评：该《指引》是国内首部专门针对移动互联网应用程序分发业务的合规指引，旨在指导移动互联网应用程序分发平台搭建合规体系、规范经营业务、培育合规文化。该《指引》的亮点有二：亮点一在于，该《指引》针对分发平台违反《广告法》等有关法律、行政法规的规定进而可能触及的信息领域的犯罪类型，如非法利用信息网络罪等诈骗罪等进行了风险提示；亮点二在于，该《指引》从分发平台经营者可能承担的行政责任与刑事责任双重性后果出发，明确了分发平台的监管义务，涉及应用程序的上架审核、日常运营管理以及违规处置措施等诸多方面内容。该《指引》的发布，引发了互联网行业和法学界的高度关注，其有助于分发平台精准识别合规风险、构筑合规管理体系，对推动互联网生态治理的良性发展具有重大意义。

8月29日，广西壮族自治区人民 *** 发布《广西构建数据基础制度更好发挥数据要素作用总体工作方案》，以贯彻《 *** 中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》精神，构建数据基础制度，激活数据要素潜能。该《工作方案》重点关注：

探索建立数据产权结构性分置制度、推进实施公共数据确权授权机制、探索非公共数据确权授权机制等十项工作任务。

加强组织领导、加强协同联动、加强宣传引导等保障措施。

(）

8月30日，北京市市场监督管理局发布《北京市互联网广告企业合规经营指引》，以进一步规范北京市互联网广告活动，保护消费者合法权益。该《指引》重点指出10条合规指引：

要坚持正确导向，不得违背社会良好风尚；

要保证真实合法，不得欺骗误导消费者；

要严守法规要求，不得违规发布商业广告；

要维护公平竞争，不得扰乱市场竞争秩序；

要合规自律经营，不得缺失制度措施；

要强化平台约束，不得漠视虚假违法广告；

要保障用户权益，不得影响正常使用网络；

要关爱未成年人，不得随意发布广告；

要使用合法媒介，不得使用非法互联网媒介；

要明确可识别性，不得与非广告信息相混淆。

(）

9月7日，新华社受权发布《十四届全国人大常委会立法规划》，按照优先级排序三类项目，共计130件法律草案。其中，《网络安全法》被列入之一类项目，属于“条件比较成熟、任期内拟提请审议的法律草案”，预计不久对《网络安全法》的修改将审议通过。《数字经济促进法》被列入第二类项目，属于“需要抓紧工作、条件成熟时提请审议的法律草案”。此外，关于数据权属和网络治理等方面的立法项目因立法条件尚不完全具备，需要继续研究论证，因此全国人大常委会将其列入第三类项目。

(）

9月13日，深圳市人民检察院发布《深圳市企业数据合规指引》，共计六章77条。该《指引》主要规定了以下内容：数据合规管理组织体系建设、数据合规管理制度体系建设、数据全生命周期合规、数据出境合规。目的在于引导企业加强数据合规管理，促进企业数据合规利用，保障企业数据安全。

(）

9月13日，全国信息安全标准化技术委员会（下称“信安标委”）就《信息安全技术 网络安全保险应用指南》向社会公开征求意见。该《指南》描述了网络保险的概念、作用和主要应用阶段，提出了网络安全保险应用各阶段的流程和方法，以指导采用网络安全保险转移风险的组织，也可为保险人和服务方提供参考。

(）

9月15日，中央网络安全和信息化委员会办公室发布《关于进一步加强网络侵权信息举报工作的指导意见》，旨在加强网络侵权信息举报工作，推动建立良好网络生态，切实维护好广大网民网络合法权益。该《意见》提出了三点主要内容。之一，切实保护公民个人网络合法权益，建立网络暴力信息举报快速处置通道；第二，切实维护企业网络合法权益，把握涉企举报处置重点，健全举报查证机制；第三，压紧压实网站平台主体责任，推动信息公开，提升处置效果。

(）

9月18日，各地政务服务数据管理局发布首席数据官制度工作方案：

√

南昌市政务服务数据管理局发布了《南昌市首席数据官制度工作方案》，旨在深化数字 *** 建设，推动数据共享开放、数据治理和开发利用，推动首席数据官制度实施。该《方案》指出，当前的主要任务是：之一，建立工作机制，设立首席数据官；第二，明确职责范围，包括推进数字 *** 建设、完善数据标准化管理、推进数据融合创新应用、实施常态化指导监督、统筹数据管理工作、加强人才队伍建设、建立首席数据官评价机制。

(）

√

广州市政务服务数据管理局发布了《广州市全面推行首席数据官制度工作方案》。该《工作方案》作为数字化改革的关键措施，旨在推动数字 *** 和数据要素市场体系的建设。首席数据官的主要职责集中在数据管理与数据运营方面，特别是关注数据资源的汇聚、共享、开放和利用等方面的数据治理工作。他们也将负责推动跨部门、跨层级、跨区域的数据流通应用，以充分释放广州市的数据资源价值。该《工作方案》还设立了一套议事协调、跟踪督办、年度述职和考核评估的工作机制，以确保首席数据官能高效地履行其职责。

(）

简评：南昌和广州的首席数据官制度的发布与全国范围内对数据管理和数据治理重视的大背景保持一致，例如，去年发布的《 *** 中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》就明确了要推动数据产权和数据管理体系的构建。而南昌和广州的实践进一步体现了该文件的精神。两市都认识到数字 *** 建设的重要性，并在此基础上，围绕首席数据官制度制定了具体的工作方案。这两个方案在许多方面都有所重叠，但各有侧重。南昌的方案更为注重数字 *** 的深化建设和数据融合创新，对首席数据官的效果有明确的期望。而广州则着重于数据的汇聚、共享、开放和利用，试图将数据真正转化为可用、有价值的资源，进而推动数字 *** 和数据要素市场体系的建设。然而，与欧盟《通用数据保护条例》（GDPR）下的数据保护官（DPO）体制相比，南昌和广州的首席数据官制度在数据保护和隐私方面的具体措施仍显不足。GDPR下的数据保护官（DPO）是为确保组织遵守通用数据保护条例而设立的关键角色。其核心理念是确保数据处理的合法性、安全性和透明性，通过独立的监督、咨询和评估，提高组织的数据保护标准。同时，DPO还作为组织与监管机构的桥梁，确保在隐私保护和数据主体权利方面与法规保持一致。这提示了我国首席数据官制度在建立过程中追求数据共享和开放的同时，还需更深入地考虑数据的安全性和隐私保护。

9月20日，国务院总理李强主持召开国务院常务会议，审议通过《未成年人网络保护条例（草案）》。会议指出，未成年人是国家的未来、民族的希望。要筑牢未成年人网络保护的法治支撑，推动各有关方面严格落实未成年人网络保护责任，引导支持相关企业积极落实条例、做到合规经营，促进未成年人健康成长。（根据最新立法动态，《未成年人网络保护条例》 已于10月24日公布，自2024年1月1日起施行。）

(）

重点行业聚焦

9月12日，中国工业互联网研究院发布《国家工业互联网大数据中心体系产业链编码规范》《国家工业互联网大数据中心体系企业资质库数据标准与共享接口规范》等第三批共计11份标准。该批标准明确了业务系统的数据库表命名设计规范，统一了产业链及其上下游节点的编码规范，规定了企业资质、司法风险、产品服务、投融资、知识产权等常见专题库的数据字段，将有助于降低数据对接成本、提升数据质量、提高开发利用效率，为构建一体化的数据体系奠定基础。

(）

9月13日至14日，全国汽车标准化技术委员会智能网联汽车分技术委员会2023年第三次标准审查会在贵阳召开。会上，全体参会委员及委员代表共同审查了强制性国家标准《汽车整车信息安全技术要求》和《智能网联汽车 自动驾驶数据记录系统》。经过起草单位汇报、委员质询、起草单位回复等流程，最终两项强制性国家标准顺利通过审查。

(）

9月14日，国家药品监督管理局综合司发布公开征求对《医疗器械网络销售质量管理规范（征求意见稿）》的意见。该《规范》共四章内容，分别为总则、网络销售经营者质量管理、平台经营者质量管理以及附则。在平台经营者质量安全管理职责、设施与设备要求、网络交易服务过程质量控制等方面做出了详细规定。

(）

9月15日，国家金融监督管理总局发布2023年规章立法工作计划。计划中披露，今年将制定《银行保险机构操作风险管理办法》《银行保险机构合规管理办法》《行政处罚裁量权实施办法》三部规章制度。今年还将修订《非银行金融机构行政许可事项实施办法》《信托公司管理办法》《金融租赁公司管理办法》《消费金融公司试点管理办法》《货币经纪公司试点管理办法》五部法律。

(）

9月18日，工业和信息化部发布了公开征求对《工业和信息化部元宇宙标准化工作组筹建方案（征求意见稿）》的意见。该《征求意见稿》论证了开展元宇宙标准化工作的必要性，提出了元宇宙标准化工作组筹建组织方案，明确了工作范围和成立之后的工作计划，包括对于标准的梳理、研制、预研、应用实施和国际布局。

(）

数据流通与交易

9月8日，中国资产评估协会发布了其制定的《数据资产评估指导意见》，该《意见》自2023年10月1日起施行。该《意见》共计七章28条，内容包括总则、基本遵循、评估对象、评估方法、披露要求以及附则，重点关注：1、执行数据资产评估时，需要了解和关注被评估数据资产的基本情况，关注数据资产特征对评估对象的影响，根据数据来源和数据生成特征确定评估对象的权利类型；2、执行数据资产评估时，关注影响数据资产价值的成本因素、场景因素、市场因素和质量因素；3、确定数据资产价值的评估方法包括收益法、成本法和市场法三种基本方法及其衍生方法。

(）

9月20日，北京市商务局发布了《北京市外商投资条例》草案，目的是促进和规范外商在北京的投资活动，同时保障其合法权益和推动首都的高质量经济发展。该草案包含9个章节和44条规定，涵盖了投资准入、促进、保护、管理、便利、服务、法律责任等多个方面。特别地，第六章“投资便利”详细规定了数据跨境等相关措施。明确了需要进行外商投资企业的数据出境安全评估、个人信息保护认证以及个人信息出境标准合同备案等制度。同时，北京市网信部门应与相关部门合作，根据国家方针，为符合条件的外商投资企业提供绿色通道，高效执行重要数据和个人信息的出境安全评估，并制定一般数据的自由流动清单，以促进数据的安全和有序流动。

(）

9月28日，国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》，该《征求意见稿》旨在保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动。相较于之前已正式颁布的《数据出境安全评估办法》与《个人信息出境标准合同办法》两部数据跨境规范，该《征求意见稿》放宽部分场景下的出境手续要求，减轻企业履行数据出境义务的负担，为企业开展数据出境工作提供更具确定性的行为准则。

(）

简评：《征求意见稿》在一定程度上切实降低部分企业的数据合规成本，备受业内关注。结合我们此前对现有的相关法律法规的解读以及近期的实践经验，《征求意见稿》具有三大亮点。

其一，缓解“重要数据”申报的实践困境，扭转了过去进行申报时需要由数据处理者自行判断是否属于重要数据的现状，改为只有“相关部门、地区告知或者公开发布为重要数据的”才需要作为重要数据申报数据出境安全评估，减轻了数据处理者申报数据出境安全评估的负担。

其二，豁免部分场景下数据出境前置程序，具体体现在《征求意见稿》的之一条、第三条、第四条、第五条，以下场景豁免数据出境前置程序，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

其三，为自贸区开辟先行先试的数据跨境流通专有通道。《征求意见稿》第七条规定，“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。”本条将负面清单制定权授予自由贸易试验区，而非统一由国家网信办进行制定和监管，有利于自贸区内企业的数据跨境流通，释放自贸区内数字经济的活力。考虑到目前数据出境安全评估申报周期普遍较长，企业合规成本和监管成本普遍较高，本次《征求意见稿》的出台预示着未来数据跨境监管政策的大方向将向在一定程度上向促进数据流动倾斜，有助于企业减轻开展数据跨境业务的成本。尽管如此，企业仍应认识到合规工作应具有长期性、持续性和稳定性，建议企业密切关注监管侧对于《征求意见稿》和其他数据跨境规则的立法动态。如何在监管调整的“窗口期”内保持减轻合规成本与降低合规风险的平衡，考验每一家企业的定力与耐心。

数字化转型

9月19日，福建省数字福建建设领导小组办公室发布了《福建省加快推进数据要素市场化改革实施方案》。该《方案》列出如下重点任务：

探索构建合规有序的数据要素市场；

建设完善规范高效的数据交易场所；

深化建设安全高效的公共数据分级开发体系；

拓展建设多元创新的数据应用场景；

建立健全弹性包容的数据要素治理机制。

其中，该《方案》提出了公共数据资源开发的有偿使用机制，并探讨将数据使用费和技术服务费纳入省级非税收入和 *** 指导价管理。同时，该《方案》首次明确表示要严厉打击非法数据流通和黑市交易，突显了福建省对于数据治理问题的高度重视。

(）

近日，国家工业信息安全发展研究中心牵头立项了《公共数据授权运营平台技术要求》团体标准，并于中国电子商会归口。该标准规定了对于公共数据授权运营平台的功能要求、性能要求、运维要求、安全要求以及互联互通要求。杭州国际数字交易中心作为公共数据运营专项标准工作单位之一参与编写。目前，该标准的征求意见稿已经完成并对外公开，2023年9月25日前征集社会各界的反馈和建议。

(）

其他

8月28日，国家市场监督管理总局（下称“国家市监局”）就其起草的《互联网广告可识别性执法指南（公开征求意见稿）》向社会公开征求意见。该《指南》明确了互联网广告可识别性的定义、增强互联网广告可识别性的方法以及互联网广告可识别性的认定等，为市场监管部门开展互联网广告可识别性监管执法工作提供指引，规范互联网广告可识别性领域监管执法，保护消费者的合法权益。

(）

9月14日，国家广播电视总局、工业和信息化部、国家市监局发布《关于进一步加强车载音视频管理的通知》，旨在持续巩固和壮大奋进新时代的主流思想舆论，确保中央声音、应急信息覆盖至车辆空间，塑造车载音视频舆论新格局，满足人民群众对于多样化、个性化精神文化生活的新需求。该《通知》主要内容为：

之一，规范车载无线广播接收终端管理，加快推进无线数字广播覆盖网建设；

第二，规范车载网络音视频服务管理，加强对车载网络音视频服务监管；

第三，规范车载音视频运营管理，加大主流媒体优质内容生产。

(）

境外立法

网络、数据安全与个人信息保护

欧洲

8月30日，英国信息专员办公室（ 's , ICO）发布了关于发送包含敏感个人信息电子邮件的指南（ On Data）。ICO特别解释，该《指南》发布的背景是由于机构错误使用抄送（ copy, CC）和盲抄送（blind copy, BCC）电子邮件功能，将含有个人数据的电子邮件发送给错误的收件人，导致数据泄露事件增加。

(）

8月31日，瑞士联邦数据保护和信息专员（ Data and , FDPIC）发布了一份数据保护影响评估清单（ On Data ）。随着修订后的《数据保护法》（Data Act）的生效，在拟进行的数据处理对数据主体的人格或基本权利造成高风险时，联邦机构和公民有义务对其进行数据保护影响评估。

(）

9月7日，瑞典隐私保护局（, IMY）发布了第 IMY-2022-6945 号决定，其中确定了负责监督行为准则合规性的机构必须满足的要求，以便根据《通用数据保护条例》（GDPR）第41(2)条获得认可。IMY 明确规定，行为准则若要获得主管监督机构或欧洲数据保护委员会（ Data Board, EDPB）的批准，必须做到：

之一，以监管机构认为满意的方式，证明其在行为准则宗旨方面的独立性和专业性；

第二，建立能够据此评估适用于行为准则的相关数据控制者和数据处理者的适当性的程序；

第三，建立能够处理有关违反行为准则的投诉程序，或针对有关控制者或处理者实施或已经实施行为准则的方式的投诉程序；

第四，证明其职责和任务不会导致利益冲突。

(）

9月24日，欧盟（ Union, EU）的《数据治理法》（Data Act, DGA）全面生效。DGA主要包括以下五个方面的规定：对公共部门机构持有的受保护数据（如个人数据和商业机密数据）的重复使用进行监管；制定适用于数据中介服务的相关规范；创建受信任工具，实现数据利他主义；规定由欧盟委员会成立欧洲数据创新委员会，该委员会将由来自不同机构的代表组成，包括EDPB、欧洲数据保护监督员（ Data , EDPS）和欧盟网络与信息安全局（ Union and , ENISA）；制定非个人数据的跨境传输规则。

(）

美国

8月28日，加州隐私保护局（ , CPPA）于发布了关于风险评估和网络安全审计的法规草案。包括《网络安全审计条例草案》（ Audit ）和《风险评估条例草案》（Risk ）等。如果这些法规获得通过，将间接影响公司处理个人数据的网络安全要求。在近四页的篇幅中，草案明确规定了审计必须“具体”评估和记录的企业网络安全计划的要素，包括多重身份验证、强密码、加密、零信任架构、权限限制、安全配置、补丁管理、日志记录等。如果公司认为所列的要素不适用，审计应记录并解释为什么该要素对企业的个人信息保护不是必要的，以及企业现有的保障措施如何提供至少等同的安全性。

(）

其他地区

9月7日，沙特 *** 公布了《个人数据保护法》（ of the Data Law，PDPL）和执行条例《沙特 *** 王国境外个人数据传输条例》（ on Data the of Saudi ）的最终版本。与草案相比，《个人数据保护法》执行条例的最终版本有一些显著变化，包括：行使数据主体权利的一般条件不再取决于相关处理所依据的法律依据；修改需要征得明确同意的情况，即只有在完全基于自动处理个人数据做出决定的情况下，才强制要求征得明确同意。

(）

9月13日，日本个人信息保护委员会（ , PPC）根据《个人信息保护法》（APPI）发布了《热像仪使用指南》。该指南审查了通过热像仪收集的个人信息，包括面部图像，以及处理此类数据的详细考虑因素，包括合法处理、披露要求和数据安全。该指南特别确认，当不再需要使用热像仪时，必须以必要的措施处理存储在热像仪中的个人信息，以防止个人数据泄露，例如以不可恢复的方式彻底删除个人数据。

(）

人工智能

欧洲

8月31日，英国议会（UK ）发布《人工智能治理：中期报告》（: ）。该《报告》主要涵盖了以下几方面内容：人工智能的通用性质；人工职能在医学、医疗保健以及教育领域的益处与风险；人工智能给政策制定者带来的挑战；英国 *** 对人工智能的态度；人工智能治理的国际维度等。

(）

9月1日，荷兰数据保护局（ , AP）发布了《荷兰算法风险报告》（ Risks ）。该《报告》是首份关于算法和人工智能应用相关发展、风险和挑战的全面定期概述。其目的是建立一个总体风险视角，为政策倡议、数据和报告要求、战略以及各部门监管机构的风险评估及其工作议程和各组织的风险管理职能提供参考。

(）

其他

美国

9月19日，美国参议员罗恩-怀登（Ron Wyden）宣布，他与参议员科里-布克（Cory ）共同提出了第 2833 号参议院法案，该法案也被称为《2023 年禁止监控广告法案》（ Act of 2023），目的在于禁止广告商和广告促进者（由广告商付费向个人或联网设备传播广告，并收集或处理与广告相关的个人信息的人）发布有针对性的广告。怀登指出，该法案将禁止广告商根据受保护的人口信息（如种族、性别和宗教信仰）投放广告。

(）

DATA

·执 法 司 法 聚 焦·

境内执法和司法

网络、数据安全与个人信息保护

8月29日，网信南昌通报，南昌属地某高校所属IP疑似被黑客远程控制，并频繁对外发起网络攻击。南昌市网信办介入调查发现，该高校未履行网络安全保护义务，防火墙配置策略存在缺陷，未及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，对高校处以5万元罚款，对直接负责主管人员处以1万元罚款。

(）

8月30日，上海市网信办整治租借手机充电器场景侵害个人信息权益乱象。根据网民举报线索和前期技术巡查发现，C站充电、电饱饱、火电宝、鲲鲸云电、泡泡充电、豚电充电、喜充共享充电宝等手机充电设备租借服务企业在扫码环节存在强制索要消费者联系方式、微信昵称、头像等个人信息的问题。针对相关问题，上海市网信办开展约谈指导、普法教育，指导属地市场占有率较高的一家企业率先完成自查整改。与此同时，上海市网信办对属地一家违法违规情节严重、提供充电设备租借服务的企业予以行政处罚。

(#）

9月1日，国家互联网信息办公室发布依法对知网（CNKI）涉嫌违法处理个人信息行为的相关处罚规定。经查，知网主要运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，对知网依法作出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并处人民币5000万元罚款。

(）

9月6日，公安部网安局通报《数据安全法》实行近两年来江苏公安机关网安部门对违反数据安全保护义务行为的执法情况，并披露五个典型执法案例，包括宿迁某医学检验机构不履行数据安全保护义务案、成都某科技有限公司不履行数据安全保护义务案、泰州某不动产登记中心和北京某科技发展研究中心不履行数据安全保护义务案、盐城某医药公司不履行数据安全保护义务案、南通某科技有限公司不履行数据安全保护义务案。

(）

9月14日，上海市之一中级人民法院发布《涉公民个人信息类刑事案件的审理思路和裁判要点》（下称“《裁判要点》”），结合典型案例，对涉公民个人信息类刑事案件的审理思路和裁判要点进行梳理、提炼和总结。该文件总结了涉及信息类别认定、涉案信息数量认定、获取行为的罪名选择、关联犯罪的罪数认定和主体身份认定五大典型案例，据此指出五条审理难点：信息类别判断难、信息数量认定分歧大、获取行为罪名选择难、关联犯罪罪数判断难、适用特殊身份犯有争议，并提出相应审理思路和裁判要点。

(）

简评：虽然该《裁判要点》只是地方法院的指导性文件，但是对于数据合规的实务工作具有一定借鉴意义。例如针对更高法、更高检发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”）对个人信息三个层次的划分——一般信息、敏感信息和重要信息，《裁判要点》进一步确认了各类信息的含义。但《裁判要点》同时亦指出，《解释》与《个人信息保护法》的规定有所区别，因为法律概念的含义在不同部门法中具备不同的意义。例如，生物识别、宗教信仰、特定身份、医疗健康以及不满十四周岁未成年人等个人信息在《个人信息保护法》中属于敏感信息，但是在《解释》中是归为重要信息的。因此，尽管司法实践是法律适用的重要参考，仍需结合不同部门法的规范属性确认其可参照性的情况。

9月15日，上海市网信办公开披露上海市某 *** 信息系统技术承包商未能有效履行数据安全和个人信息保护义务，没有建立全流程数据安全管理制度，未采取技术防护措施保障数据安全和公民个人信息安全，导致平台频繁遭受境外远程访问和数据泄露风险。针对此情况，上海市网信办要求该公司立即下线 *** 网站页面、关闭相关云服务端口、配合开展网络资产清查，并对该公司作出行政处罚。

(）

简评：《个人信息保护法》中的第六十六条规定了个人信息处理者违法处理个人信息或处理个人信息未履行个人信息保护义务时应负的行政责任，包括相关部门对其责令改正、没收违法所得、处以罚款、停业整顿、吊销营业执照等。涉案上海市某政务信息系统技术服务公司在公民个人信息处理中，缺乏数据安全保护意识，违反《个人信息保护法》第五章中规定的个人信息处理者的义务，未建立全流程数据安全管理制度，未采取相对应的加密、去标识化等安全技术措施，导致大量个人信息泄露，严重危及公民个人信息安全，承担了相应的法律责任。在数据法规日益健全的当下，企业应对此引以为戒，提高数据安全保护意识、健全企业内部数据合规制度，注意利用个人信息的合法性基础与合理边界，及时避免相关经营风险的产生。

9月20日，公安部网安局披露，湖南省张家界市公安局永定分局成功破获1起非法侵入计算机系统终端案。犯罪嫌疑人绕过某直播平台安全机制，非法获取旅游推广直播间观众（含主播粉丝）信息，再低价倒卖给本地旅行社的团伙案件，共查获软件开发运营、技术支持、代理推广等各环节犯罪嫌疑人21名。目前，永定公安分局正在进一步深挖下游犯罪，并且报上级部门发起全国集群打击。

(）

本月，在App治理方面：

√

8月28日，中国网络空间安全协会发布对短视频类与演出票务类APP个人信息收集情况测试报告。分别选取了6款短视频类APP与4款演出票务类APP对不同场景调用系统权限与个人信息上传情况、网络上传流量情况等进行了测试。测试发现，在系统权限调用情况方面，被测App主要调用位置、设备信息、应用列表、剪切板、存储5类系统权限，未发现调用相机、麦克风、通讯录等其他权限；在个人信息上传情况方面， 被测App主要上传6种类型个人信息：

(）

(）

√

9月2日，贵州省通信管理局针对2023年第2批次仍存在侵害用户权益和安全隐患问题的APP，予以公开通报并要求其限期整改。整改期后，经核查复检，尚有“保备商城”“易动体育”“知知贵阳”“大总管”“初中教学”“贵州百灵”“贵州人才网”“遵义人才网”“优剪辑”“快老火”10款APP未按照要求完成整改反馈，贵州省通信管理局对上述10款APP予以下架处理。

(）

√

9月6日，陕西省通信管理局近期组织第三方检测机构对陕西属地APP进行检查的情况，要求尚未按照要求完成整改的3款APP于9月12日前完成整改。逾期不整改的，将依法依规组织开展相关处置工作。存在问题的APP包括“Mood”“多点朋友”“奋斗猫”三款。

(）

√

9月7日，浙江省通信管理局通报对于网上购物、实用工具、即时通信等类型App的检查情况，并要求尚未完成整改的12款侵害用户权益行为APP在9月13日前完成整改落实工作，整改落实不到位的，将视情采取下架、关停、行政处罚等措施。被通报App主要涉及违规收集个人信息，App自启动和关联启动，超范围收集个人信息等问题。

(）

√

9月8日，宁夏 *** 自治区通信管理局、宁夏 *** 自治区互联网信息办公室通报侵害用户权益行为的5款APP整改的核查复检情况，对未按要求整改的“蓝职界”“枸杞查查”“宁夏乐享亲子团”“大众益麦”4款侵害用户权益APP进行下架处理。

(）

√

9月8日，湖北省通信管理局发布了2023年8月份对湖北省内各IDC/ISP企业侧互联网信息安全管理系统运行情况的监测巡检情况，对发现的系统运行问题的5家企业及对应系统维护厂商进行了通报，包括云之端网络（江苏）股份有限公司、北京爱奇艺科技有限公司、湖北泰龙通信有限公司、湖北悠博信息技术有限公司、上海云瑞智通实业有限公司。

(）

√

9月14日，四川省通信管理局公开通报包括可转、生学堂学生端、快马数字等在内的10款APP在复检过程中依旧存在违法违规收集使用个人信息等问题，未按要求完成整改，决定对其进行下架处理。上述APP所涉问题包括：违规收集个人信息、超范围收集个人信息以及APP强制、频繁、过度索取权限。

(）

√

9月14日，广东省通信管理局发布关于下架18款侵害用户权益App的通报。通报下架的App来源于微信小程序、应用宝、手机应用商店、手机应用助手等不同平台，所涉问题主要包括：违规收集个人信息；App强制、频繁、过度索取权限；App频繁自启动和关联启动三类问题。

( - ）

√

9月15日，广东省通信管理局公开通报25款未按要求完成整改APP，要求被通报的APP应在9月21日前完成整改及反馈工作，逾期不整改的，广东省通信管理局将依法依规采取下一步处置措施。其中所涉问题包括：违规收集个人信息；APP强制、频繁、过度索取权限；账号注销难；APP频繁自启动和关联启动；违规使用个人信息。

(）

√

9月18日，重庆市通信管理局公开通报5款未按要求完成整改的APP，要求相关应用商店和平台立即组织对名单中应用软件和小程序进行下架处理。其中所涉问题包括：未明示个人信息处理规则；违规收集个人信息；APP强制、频繁、过度索取权限；申请使用权限不合理以及未提供有效的注销账号功能，且在隐私政策和相关界面上没有注销指引。

(）

重点行业聚焦

9月13日、14日，上海市网信办连续发布《网络理财小贷场景违法违规收集使用个人信息案例解析》，以指导企业建立健全个人信息保护合规制度和安全防护措施，切实维护好广大消费者的个人信息权益。上海市网信办根据前期巡查情况，梳理了该场景下六类常见违法违规问题共十个案例，其中问题包括：强制消费者同意不相关的第三方产品隐私政策、强制收集消费者非必要个人信息、频繁收集消费者非必要个人信息、未经消费者同意收集使用个人信息、未同步告知消费者收集个人信息目的、为删除消费者个人信息设置不合理条件。

(）

(）

其他

8月29日，网信中国通报“清朗·2023年暑期未成年人网络环境整治”专项行动成果，并曝光之一批典型处置案例。案例包括，集中整治诱导未成年人不良行为问题、严格排查下架应用商店违规APP、及时阻断境外仿冒网站平台向境内传播涉未成年人淫秽色情内容、严肃处置对未成年人实施网络诈骗行为、严厉打击搭建运营涉未成年人 *** 的违法犯罪活动、坚决打击网上诱导未成年人非理性追星等。

(）

8月30日，上海网信办开展“清朗浦江·打击整治网络水军”专项行动，重点治理“网络水军”账号和相关黑灰产业。上海网信办要求属地重点网站平台落实主体责任，如发现操控利用“网络水军”“社交机器人”“僵尸”账号等干扰舆论的情况，及时处置并向监管部门报告。对违法违规的网络账号，根据具体情节分级分类采取警示提醒、限制功能、暂停更新、停止广告发布、关闭注销、列入“黑名单”等处置措施。

(#）

9月12日，为依法从重打击境外电信网络诈骗等违法犯罪活动，更高人民检察院、公安部联合挂牌督办第三批5起特大跨境电信网络诈骗犯罪案件，包括福建莆田“9.06”电信网络诈骗案、重庆沙坪坝“5.11”电信网络诈骗案、江苏江阴“6.16”电信网络诈骗案、浙江温州“8.26”电信网络诈骗案、四川乐山“1.12”电信网络诈骗案。

(#1）

9月13日，网信中国发布消息，腾讯 *** 平台“小世界”版块存在大量色情等违法信息，部分用户在评论区诱导未成年人不良交友、实施性引诱，招募未成年人进行游戏陪玩，严重危害未成年人身心健康问题。国家网信办已经指导广东省网信办，依法约谈腾讯公司相关负责人，依据《未成年人保护法》之一百二十七条，实施行政处罚，责令暂停“小世界”版块信息更新30日，没收违法所得并处100万元罚款。

(）

9月15日，江西余江公安网安大队在腾讯守护者计划安全团队的协助下，联合食药环侦、刑侦大队组织20余名警力分赴浙江、重庆等地开展涉嫌违法制售游戏“外挂”的收网行动。此次行动共抓获犯罪嫌疑人10名，其中“外挂”程序作者2人，总代理1人、一级代理5人、二级代理2人。现场查获作案台式电脑10台、笔记本7台、手机11部，卡密生成程序、“外挂”源代码、“外挂”辅助硬件、半成品硬件若干。涉案流水金额高达3千万，全链条成功打击AI技术模式游戏“外挂”，是全国首例。

(）

9月21日，广东省公安厅发布网络谣言打击整治专项行动第三批10起典型案例，分别为：汕头公安机关依法查处张某某编造“汕头‘一中’‘二中’附近有人以问路为由‘拐骗学生’”网络谣言案；佛山公安机关依法查处梁某某编造“沧江路电死人”网络谣言案；东莞公安机关依法查处谢某某编造“东莞五尸凶杀案”网络谣言案等。省公安厅有关负责人表示，接下来，广东公安机关将继续保持对网络谣言的严打高压态势，坚决维护网络社会秩序平安稳定，为人民群众营造清朗干净的网络环境。

(#）

境外执法和司法

网络、数据安全与个人信息保护

欧洲

8月26日，路透社报道，波兰铁路网络疑遭“无线电”形式的网络攻击致火车延误，约20列火车受到影响。袭击期间，铁路员工广播频道播放俄罗斯国歌和普京讲话。波兰内部安全局 （ABW）和警方已对未经授权使用铁路交通管理系统的情况展开调查。