国内数据合规资讯

最新法规

• 《2024年广州市数字经济工作要点》正式印发
• 成都市发布《成都市数据条例》
• 中国民用航空局关于征求《民航数据管理办法》《民航数据共享管理办法》意见的通知
• 江西省工业领域数据安全能力提升实施方案（2024-2026年）印发
• 关于印发《电力网络安全事件应急预案》的通知
• 陕西省知识产权局等9部门联合印发《陕西省数据知识产权登记管理办法（试行）》
• 全国网安标委就《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》公开征求意见
• 深圳市财政局关于加强企业数据资源相关会计处理的通知
• 香港隐私专员公署发布《人工智能(AI)：个人资料保障模范框架》
• 商务部等9部门关于拓展跨境电商出口推进海外仓建设的意见
• 《企业个人信息保护合规管理体系 指南》团体标准发布
• 内蒙古自治区人民政府关于印发《内蒙古自治区公共数据管理暂行办法》的通知
• 国家互联网信息办公室等四部门公布《网络暴力信息治理规定》
• 工信部明确保障促进信息通信业高质量发展举措
• 民政部关于《个人求助网络服务平台管理办法（征求意见稿）》公开征求意见的通知
• 《关键信息基础设施安全保护能力指标体系》等2项国标公开征求意见
• 中德签署《关于中德数据跨境流动合作的谅解备忘录》
• 海南省委网络安全和信息化委员会办公室关于公开征求《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》意见的通告

热点案例

• 四川南充警方逮捕攻入知名电器集团售后服务系统的相关人员
• 青海公安就拒不履行网络安全保护义务的公司作出处罚
• 北京互联网法院开庭审理一起主张未成年人充值打赏三百余万元的网络服务合同纠纷案
• 浙江大数据交易中心完成全国教育领域第一单数据资产入表
• 上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》

监管执法

• 万州区网信办依法约谈违规网络账号负责人
• 清朗·优化营商网络环境一整治涉企侵权信息乱象”专项行动公开曝光一批典型案例
• 国家互联网信息办公室关于发布第六批深度合成服务算法备案信息的公告
• 上海市生成式人工智能服务已备案信息公告（6月13日）
• 关于侵害用户权益行为的APP（SDK）通报（2024年第4批，总第39批）
• 上海市通信管理局发布关于纵深推进“浦江护航”数据安全专项行动的通知
• 工信部发布关于侵害用户权益行为的APP（SDK）通报（2024年第5批，总第40批）

国际数据合规资讯

立法活动

• 欧洲数据保护监督机构为欧盟机构发布关于生成式人工智能和个人数据的指南
• 巴西人工智能委员会公布人工智能法案报告
• 荷兰发布人工智能监管建议
• 日本立法强制苹果开放第三方应用商店
• 韩国为扩展的个人信息安全措施提供指南
• 纽约儿童数据保护法通过
• 《2024保护美国人数据免受外国对手侵害法案》生效
• 越南首次设立网络环境中的儿童保护产品和服务技术标准

监管动态

• 比利时数据保护局对某违反拒绝权和删除权的公司处以172,431欧元的罚款
• 法国当局宣布9项执法决定，总计83,000欧元
• 意大利当局因违反消费者法而罚款350万欧元
• 西班牙当局因数据安全故障对Allianz罚款20万欧元
• Meta公司应监管机构要求暂停其利用用户数据训练的计划
• 西班牙当局因非法传播监控录像对CUI ZSQ Food罚款7万欧元
• 欧盟初步调查结果认定苹果违反《数字市场法案》

安全快讯

• Andariel黑客使用新的Dora RAT恶意软件攻击韩国机构
• PandaBuy支付赎金后再遭勒索
• 保险巨头Globe Life调查网络门户数据泄露
• 葡萄牙银行客户数据泄露引发账户劫持担忧
• T-Mobile否认被黑客入侵，数据泄露与供应商漏洞有关
• Accenture遭遇数据泄露，影响上万员工

一、国内数据合规资讯

最新法规

01《2024年广州市数字经济工作要点》正式印发

2024年6月3日，广州市政务服务和数据管理局联合市工业和信息化局正式印发《2024年广州市数字经济工作要点》（下称“《工作要点》”），对2024年全市数字经济工作进行系统部署，大力促进数实融合、产城融合，加快建设具有全球影响力的数字经济引领型城市。《工作要点》以数字经济发展基础更加夯实、数据赋能效应更加凸显、数实融合更加深入、数据治理体系更加健全为目标，提出了6个方面共计33项重点工作任务，着力推动广州数字经济持续健康发展。

来源：https://mp.weixin.qq.com/s/39q1AD0GDvXdU6b1o5Mh6g

02成都市发布《成都市数据条例》

2024年6月4日，成都市人民代表大会常务委员会批准通过《成都市数据条例》（以下简称“《数据条例》”）。《数据条例》共七章四十六条，适用于成都市内的数据收集与治理、流通与交易、应用与促进、安全与保护等活动。《数据条例》中提到，数据处理者委托他人代为处理数据的，应当与其签订安全协议，明确数据安全保护责任。受托方完成数据处理任务后，应当及时有效销毁其存储的数据，不得擅自留存、使用、泄露或者向他人提供数据，但法律法规另有规定或者双方另有约定的除外。

来源：https://mp.weixin.qq.com/s/ypJ2PJtdeDodsy6eT15ipw

03中国民用航空局关于征求《民航数据管理办法》《民航数据共享管理办法》意见的通知

2024年6月4日，为落实数字中国建设整体部署，进一步加强和规范民航数据管理，保障数据安全，促进数据共享，激发数据价值，提升行业治理能力和服务水平，更好支撑民航高质量发展，智慧民航建设领导小组办公室组织编制了《民航数据管理办法》《民航数据共享管理办法》两部办法。两部办法充分参考国家数据管理有关规定，并结合民航实际，对民航行业数据管理等进行了详细规定。现面向全社会征求意见，任何单位和个人如有意见和建议，请于2024年6月19日前反馈至yuanting@camic.cn。

来源：http://www.caac.gov.cn/HDJL/YJZJ/202406/t20240604_224377.html

04江西省工业领域数据安全能力提升实施方案（2024-2026年）印发

2024年6月7日，为贯彻落实工业和信息化部《工业领域数据安全能力提升实施方案（2024-2026）》，加快全省工业领域数据安全保障体系建设，全面提升江西省工业领域数据安全防护能力，促进数据安全产业发展，结合江西省工作实际，制定本实施方案。

来源：https://mp.weixin.qq.com/s/xeJnhOC5IQiM3JQaGOtWOg

05关于印发《电力网络安全事件应急预案》的通知

2024年6月7日，为加强电力网络安全事件应急能力建设，规范各单位电力网络安全事件应急处置工作，有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响，国家能源局制定了《电力网络安全事件应急预案》，现下发全国各派出机构，全国电力安全生产委员会企业成员单位，有关电力企业。

来源：https://mp.weixin.qq.com/s/FqOVARgJQ4t9SCkhzipF-Q

06陕西省知识产权局等9部门联合印发《陕西省数据知识产权登记管理办法（试行）》

2024年6月11日，陕西省知识产权局联合省委网信办、省发展和改革委、省工业和信息化厅、省司法厅、省市场监督管理局、省数据和政务服务局、省高级人民法院、省人民检察院发布《陕西省数据知识产权登记管理办法（试行）》，对陕西省数据知识产权登记管理工作进行规范引导，推进数据知识产权保护地方试点工作开展。其中明确，数据知识产权登记证书的有效期为三年，自登记公告之日起计算。登记证书有效期满，需要继续使用证书的，申请人应当在期满前一个月内按照规定办理续展登记手续。每次续展登记的有效期为三年，自上一届有效期满次日起计算。

来源：https://snipa.shaanxi.gov.cn/newstyle/pub_newsshow.asp?id=1059937&chid=100360

07全国网安标委就《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》公开征求意见

2024年6月11日，全国网安标委发布《网络安全标准实践指南 敏感个人信息识别指南（征求意见稿）》（以下简称“《征求意见稿》”），征求意见截止日期为2024年6月24日。《征求意见稿》提出了敏感个人信息识别方法，给出了常见敏感个人信息的类别和示例。《征求意见稿》可用于指导各组织识别敏感个人信息范围，也可为敏感个人信息处理、出境和保护工作提供参考。

来源：https://mp.weixin.qq.com/s/Zrb-IVWJCxb7AUuxYt6rdg

08深圳市财政局关于加强企业数据资源相关会计处理的通知

2024年6月11日，深圳市财政局印发《关于加强企业数据资源相关会计处理的通知》。各企业应当严格按照企业会计准则和财政部的规定进行会计处理，不符合资产定义和确认条件的，不应作为资产确认，以避免虚增资产。此外，各企业应当认真做好信息披露，以全面地提供与数据资源价值相关的情况。

来源：https://mp.weixin.qq.com/s/yOQPIJpOJeHSYKh3Hy3NDg

09香港隐私专员公署发布《人工智能(AI)：个人资料保障模范框架》

2024年6月11日，随着人工智能科技急速发展，AI应用日渐普及。为应对AI对个人资料隐私带来的挑战，相应国家的《全球人工智能治理倡议》，香港个人资料隐私专员公署于2024年6月11日发布《人工智能 (AI)：个人资料保障模范框架》。该框架可提供国际认可及切实可行的建议和最佳行事常规，以协助机构在采购、实施及使用AI（包括生成式AI）时，遵从《个人资料（隐私）条例》的相关规定，确保机构在善用AI之余，亦保障个人资料隐私。

来源：https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20240611.html

10商务部等9部门关于拓展跨境电商出口推进海外仓建设的意见

2024年6月12日，商务部、财政部、交通运输部、中国人民银行、海关总署、税务总局、金融监管总局、国家网信办等9部门发布关于拓展跨境电商出口推进海外仓建设的意见，跨境电商是以科技创新为驱动，积极运用新技术、适应新趋势、培育新动能的外贸新业态新模式，与海外仓等新型外贸基础设施协同联动，能够减少中间环节、直达消费者，有利于促进外贸结构优化、规模稳定，有利于打造国际经济合作新优势，已经成为我国外贸发展的有生力量，也是国际贸易发展的重要趋势。为拓展跨境电商出口，优化海外仓布局，加快培育外贸新动能，经国务院同意，现发布关于拓展跨境电商出口推进海外仓建设的意见。

来源：https://www.gov.cn/zhengce/zhengceku/202406/content_6956847.htm

11《企业个人信息保护合规管理体系 指南》团体标准发布

2024年6月12日，为积极响应相关法律和政策要求，提升企业个人信息保护合规管理水平，助力企业高质量发展，中国互联网协会于近日发布《企业个人信息保护合规管理体系指南》团体标准，该标准由中国信息通信研究院牵头研制本文件规定了企业建立、实施、评估、维护及改进个人信息保护合规管理体系的总体指南。

来源：https://www.isc.org.cn/profile/2024/06/17/6265f134-1c04-4ea5-89ae-c424548ab1ac.pdf

12内蒙古自治区人民政府关于印发《内蒙古自治区公共数据管理暂行办法》的通知

2024年6月13日，内蒙古自治区人民政府印发《内蒙古自治区公共数据管理暂行办法》（以下简称“《办法》”）。《办法》规定，公共数据主管部门应当建立健全公共数据资产登记管理制度和动态管理机制，汇总登记本级公共数据资产。公共管理和服务机构负责登记本机构公共数据资产，接受本级公共数据主管部门和国有资产监管等有关部门的指导。

来源：https://mp.weixin.qq.com/s/Q-QQDe2ebG6uXfabJ41V5w

13国家互联网信息办公室等四部门公布《网络暴力信息治理规定》

2024年6月14日，国家互联网信息办公室联合公安部、文化和旅游部、国家广播电视总局公布《网络暴力信息治理规定》（以下简称“《规定》”）。《规定》明确网络信息服务提供者应当履行网络信息内容管理主体责任，建立完善网络暴力信息治理机制，履行真实身份信息认证义务，制定和公开管理规则、平台公约并与用户签订服务协议，定期发布网络暴力信息治理公告。强化网络暴力信息预防预警，明确网络信息服务提供者应当在国家网信部门和国务院有关部门指导下细化网络暴力信息分类标准规则，建立健全网络暴力信息特征库和典型案例样本库。

来源：https://www.cac.gov.cn/2024-06/14/c_1720043894161555.htm

14工信部明确保障促进信息通信业高质量发展举措

2024年6月18日，国新办举行新闻发布会，介绍网络法治保障高质量发展有关情况。工业和信息化部主要从两个方面开展工作。第一个方面是健全完善信息通信法规体系，为行业发展提供长期性的制度保障。第二个方面是深入推进依法行政，为信息通信业高质量发展营造良好环境。

来源：https://mp.weixin.qq.com/s/Ib_Z4j6h2EKhLjMfI7LrmQ

15民政部关于《个人求助网络服务平台管理办法（征求意见稿）》公开征求意见的通知

2024年6月19日，为了广泛听取社会公众意见，进一步提高立法质量，现将民政部会同国家网信办、工业和信息化部、公安部、金融监管总局起草的《个人求助网络服务平台管理办法（征求意见稿）》全文公布，征求社会各界意见。意见反馈截止时间为2024年7月19日。

来源：https://www.mca.gov.cn/n154/n2074/c1662004999980000148/content.html

16《关键信息基础设施安全保护能力指标体系》等2项国标公开征求意见

2024年6月20日，全国网络安全标准化技术委员会归口的《网络安全技术 关键信息基础设施安全保护能力指标体系》和《数据安全技术 数据安全和个人信息保护社会责任指南》国家标准，发布征求意见稿。

来源：https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

17中德签署《关于中德数据跨境流动合作的谅解备忘录》

2024年6月26日，中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行，双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。中国国家互联网信息办公室将与德国数字化和交通部在《关于中德数据跨境流动合作的谅解备忘录》框架下，建立“中德数据政策法规交流”对话机制，加强在数据跨境流动议题上的交流，为两国企业营造公平、公正、非歧视的营商环境。

来源：https://mp.weixin.qq.com/s/ZwikXTZ5b_LadNrrM_Y1pA

18海南省委网络安全和信息化委员会办公室关于公开征求《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》意见的通告

2024年6月26日，海南省委网信办发布了《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》，征求社会各界意见。本条例所称国际数据中心业务，是指企业在海南自由贸易港内利用高速便捷的跨境数据专用通道，仅面向境外提供数据存储、加工、交易等国际数据服务业务。在海南自由贸易港开展国际数据中心业务，符合“仅对在境外收集和产生的数据进行存储、加工、交易等数据服务，服务过程中没有引入境内个人信息或者重要数据”或者“向境外提供海南自由贸易港数据出境负面清单以外的数据”的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

来源：https://mp.weixin.qq.com/s/l6p6N6c9iHSkMxUYcBZ0WA

热点案例

01四川南充警方逮捕攻入知名电器集团售后服务系统的相关人员

2024年6月5日，四川南充仪陇警方成功打掉开发、销售和使用黑客破坏软件的4个犯罪团伙，查获黑客软件源码2套，查明涉案金额1.2亿余元，14名主要犯罪嫌疑人员因涉嫌提供侵入、非法控制计算机信息系统、破坏计算机信息系统、合同诈骗等犯罪被依法判处有期徒刑，并追缴违法所得。

来源：https://mp.weixin.qq.com/s/EKHkmt86BwuwX26HxOc0GQ

02青海公安就拒不履行网络安全保护义务的公司作出处罚

2024年6月11日下午，公安部网安局发布，近期青海西宁公安局城东分局网安部门在日常工作中发现，辖区一家公司自开办网站以来，相关管理人员网络安全意识淡薄，缺乏日常监管，该网站联网使用后，未在规定时间内到属地公安机关和全国互联网安全管理服务平台进行联网备案，未落实网络安全保护义务，未采取防范计算机病毒和网络侵入等技术措施，网站未对其发布的信息进行有效审核及管理，导致违法信息在网络上发布，造成不良影响。

来源：https://mp.weixin.qq.com/s/VL6M6N6R_1_Up5IVSqWyQw

03北京互联网法院开庭审理一起主张未成年人充值打赏三百余万元的网络服务合同纠纷案

2024年6月11日，北京互联网法院开庭审理建院以来受理标的额最高的涉网未成年人案件，原告主张未成年人充值打赏310万元。涉案充值打赏的行为是否由未成年人实施？短视频平台是否应该退回充值金额？围绕上述争议焦点，原被告双方在庭审中展开激烈辩论。目前该案正在进一步审理中。

来源：https://mp.weixin.qq.com/s/uBEOxDg01yAbiK1Jf082iw

04浙江大数据交易中心完成全国教育领域第一单数据资产入表

2024年6月15日，浙江大数据交易中心协助诸暨市传媒集团成功完成教育数据资产入表工作，并同步落地使用场景，数据资产入表金额超百万，成为该集团首批数据资产入表的实践案例。这标志着浙江大数据交易中心完成全国教育领域第一单数据资产入表。

来源：https://mp.weixin.qq.com/s/KNyIbDYoOlpsKP86ye67yw

05上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》

2024年6月25日，上海市网信办发布了咖啡消费场景下六类常见违法违规问题案例解析第一期。包含强制或默认同意隐私政策；隐私政策缺失、不实或不完整问题及强制或频繁诱导收集精准位置信息问题等三类问题。上海市网信办提醒各咖啡企业进行自查整改，严格遵循收集消费者个人信息“最小必要”和“告知同意”原则，切实履行个人信息保护义务，并将对整改不力、问题严重的企业将依法立案、从严查处。

来源：https://mp.weixin.qq.com/s/AJ1D5on8Z9h8GxZ2LXGh6Q

监管执法

01万州区网信办依法约谈违规网络账号负责人

2024年06月07日，万州区网信办依法对存在违规行为的互联网账号“老熊与小羊”负责人熊某进行了约谈。经查，该账号为博眼球、赚流量，集纳旧闻旧事冷饭热炒，引起不明真相网民关注、转发、讨论，造成不良影响，违反了《互联网用户公众账号信息服务管理规定》《网络信息内容生态治理规定》等相关规定，扰乱传播秩序，破坏网络生态。

来源：https://www.cq.chinanews.com.cn/fgs/2024/0606/16-7007.html

02“清朗·优化营商网络环境整治涉企侵权信息乱象”专项行动公开曝光一批典型案例

2024年6月11日，网信上海公众号发布国家网信办深入组织开展“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动，指导网站平台加强网上涉企信息内容管理，依法依约处置一批侵犯企业、企业家网络合法权益的违法违规行为，并通报部分典型案例。

来源：https://mp.weixin.qq.com/s/376tbfAChqFUhdIZmvgUYw

03国家互联网信息办公室关于发布第六批深度合成服务算法备案信息的公告

2024年6月12日，国家网信办根据《互联网信息服务深度合成管理规定》，公开发布第六批境内深度合成服务算法备案信息，具体信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。任何单位或个人如有疑议，请发送邮件至pingguchu@cac.gov.cn，提出疑议应以事实为依据，并提供相关证据材料。

来源：https://mp.weixin.qq.com/s/zRWXrBUGxPa643DnG1CoIA

04上海市生成式人工智能服务已备案信息公告（6月13日）

2024年6月13日，上海网信办发布上海市生成式人工智能服务已备案信息公告，截至6月13日，上海市新增5款已完成备案的生成式人工智能服务，累计已完成34款生成式人工智能服务备案。已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况，注明模型名称及备案号。

来源：https://mp.weixin.qq.com/s/_Wzg2RHBou5n6rab7FGGKg

05关于侵害用户权益行为的APP（SDK）通报（2024年第4批，总第39批）

2024年6月19日，工信部发布“关于侵害用户权益行为的APP（SDK）通报”，工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，工信部第三方检测机构进行抽查，共发现22款APP及SDK存在侵害用户权益行为，现予以通报。

来源：https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_c3866f938a0f4bf997c30a8bdafb992c.html

06上海市通信管理局发布关于纵深推进“浦江护航”数据安全专项行动的通知

2024年6月24日，上海市通信管理局发布关于纵深推进“浦江护航”数据安全专项行动的通知。本次行动面向的主要对象包括上海市电信和互联网行业数据处理者。其中，重点对象为在电信和互联网行业运营重要网络信息系统或处理100万人以上个人信息等重要数据的电信业务经营者。重点任务包括“促进行业数据要素高效流通和利用”“深化行业首席数据官制度实施”“深入推进重要数据识别认定及目录管理”“全面加强行业数据安全风险评估管理”“加强数据对外共享使用管理”“加强数据安全保护能力提升”“实施人工智能应用领域数据安全管理”。

来源：https://mp.weixin.qq.com/s/9Lp4MvE9eT555kYUBl3fhw

07工信部发布关于侵害用户权益行为的APP（SDK）通报（2024年第5批，总第40批）

2024年6月28日，工信部发布关于侵害用户权益行为的APP（SDK）通报（2024年第5批，总第40批）。工信部组织第三方检测机构进行抽查，共发现24款APP及SDK存在侵害用户权益行为，涉及问题包括违规收集个人信息；APP强制、频繁、过度索取权限；开屏信息窗口“摇一摇”或误导用户点击乱跳转；APP频繁自启动和关联启动；超范围收集个人信息；信息窗口“摇一摇”乱跳转；信息窗口未提供关闭或退出标识；SDK使用说明不完整；SDK强制、频繁、过度索取权限。

来源：https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_671fab3ab5924eed852bf55886dfed96.html

二、国际数据合规资讯

立法活动

01欧洲数据保护监督机构为欧盟机构发布关于生成式人工智能和个人数据的指南

6月3日，欧洲数据保护监督机构发布了关于欧盟机构、团体、办事处和机关（简称“欧盟机构”）的生成式人工智能和个人数据的指南，旨在帮助欧盟机构在使用或开发生成式人工智能工具时，遵守欧盟第2018/1725号法规中规定的数据保护义务。指南强调数据保护的核心原则，并结合具体实例，协助欧盟机构预测生成式人工智能系统和工具的风险、挑战和机遇，促进欧盟机构的实践应用。

来源：https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/edps-guidelines-generative-ai-embracing-opportunities-protecting-people_en

02巴西人工智能委员会公布人工智能法案报告

2024年6月7日，巴西人工智能临时委员会发布了有关人工智能（AI）法案及其修正案的报告，并提出了有关人工智能使用的第2338/2023号法案的合并文本。法案规定的内容应包括：采用基于权利的方法；执行风险监管活动；要求提交风险分析报告；定义高风险和风险过高的人工智能系统；开展算法使用影响分析工作；实施行政制裁。

来源：https://www.dataguidance.com/news/brazil-commission-publishes-report-ai-bill

03荷兰发布人工智能监管建议

2024年6月12日，荷兰数据保护局和国家数字基础设施监察局发布了关于人工智能监管结构的建议。荷兰数据保护局特别强调，欧盟《人工智能法》要求在国家一级建立监督机构，以监督该法的遵守情况。同时，荷兰数据保护局建议将市场监督权下放给最近的部门或特定领域的监督者，并由数据保护局与部门监督者或特定领域的监督者合作行使市场监督权。

来源：https://www.dataguidance.com/news/netherlands-ap-publishes-advice-ai-supervision

04日本立法强制苹果开放第三方应用商店

2024年6月12日，苹果生态系统最坚固的垄断围墙在亚洲首次被突破，日本议会通过了名为《促进特定智能手机软件竞争法》的新法案，要求苹果和谷歌公司允许第三方应用商店并允许第三方开发者使用iPhone的NFC芯片进行支付，如果不遵守规定，苹果将面临高达相关营业额20%的巨额罚款。该法案已在日本上议院通过，并将在未来18个月内获得内阁批准后正式实施。

来源：https://www.theregister.com/2024/06/13/japan_smartphone_software_law/

05韩国为扩展的个人信息安全措施提供指南

2024年6月20日，韩国个人信息保护委员会宣布，相关经营者和公共机构必须实施措施，确保个人信息安全。韩国于2023年9月修改了《个人信息保护法执行令》和《个人信息公告安全保障标准》。因此，以前对线上和线下企业适用不同的安全措施标准，现在对所有个人信息处理者都适用。

来源：https://www.dataguidance.com/news/south-korea-pipc-provides-guide-expanded-personal

06纽约儿童数据保护法通过

2024年6月20日，纽约州州长签署了参议院法案7695B，该法案修订了一般商业法，还涉及建立纽约儿童数据保护法。该法案规定，运营商不得处理12岁或以下用户的个人数据，除非在互联网上收集和使用儿童个人信息的不公平和欺骗行为和做法的规定允许。

来源：https://www.dataguidance.com/news/new-york-new-york-child-data-protection-act-passed-law

07《2024保护美国人数据免受外国对手侵害法案》生效

2024年6月23日，《2024保护美国人数据免受外国对手侵害法案》（Protecting American's Data from Foreign Adversaries Act of 2024）正式生效。此前在2024年3月20日，美国国会众议院通过了《2024保护美国人数据免受外国对手侵害法案》，该法案通过授权美国联邦贸易委员会（FTC）来规制美国的“数据经纪人”，防止数据经纪人将美国人的敏感数据提供给包括中国在内的外国对手国家及其“控制的”实体。

来源：https://www.congress.gov/bill/118th-congress/house-bill/815/text

08越南首次设立网络环境中的儿童保护产品和服务技术标准

2024年6月25日，越南信息安全协会（VNISA）公布了“网络环境中儿童保护产品和服务的技术要求”的标准。这是越南在该领域的第一套标准，该标准规定了越南在线儿童保护产品或服务的基本要求，包括文件要求、功能要求、对越南合规性的要求、对产品信息安全因素的要求和性能处理要求。

来源：https://mic.gov.vn/lan-dau-tien-co-bo-tieu-chuan-ve-san-pham-dich-vu-bao-ve-tre-em-tren-moi-truong-mang-197240625165642653.htm

监管动态

01比利时数据保护局对某违反拒绝权和删除权的公司处以172,431欧元的罚款

2024年6月3日，比利时数据保护局（Belgian DPA）发布第87/2024号决定，对某家违反《通用数据保护条例》（GDPR）的公司处以罚款。据悉，DPA此前收到来自个人的关于未经请求的直接营销的投诉。经调查后发现，相关公司未满足投诉人提出的拒绝和删除请求。对此，DPA强调，拒绝直接营销的权利是一项无条件的权利，数据控制者不得拒绝，且该公司未能采取具体措施回应拒绝和删除请求。因此，DPA认为该公司违反了GDPR第5(1)(a)、5(2)、17、21和24条规定，并基于此对该公司处以172,431欧元的罚款，同时责令该公司满足申诉人提出的拒绝和删除请求。

来源：https://www.dataguidance.com/news/belgium-dpa-fines-unnamed-company-172431-noncompliance

02法国当局宣布9项执法决定，总计83,000欧元

2024年6月5日，法国数据保护局(CNIL)宣布，作为其2022年实施的简化执法程序的一部分，它已经实施了9项执法决定。CNIL强调，自2024年3月以来，对敏感数据的非法处理、未能最大限度地减少数据处理、缺乏与CNIL的合作、数据安全故障、未能允许用户拒绝cookies以及未能促进用户权利实施了总计83,000欧元的制裁。

来源：https://www.dataguidance.com/news/france-cnil-announces-nine-enforcement-decisions

03意大利当局因违反消费者法而罚款350万欧元

2024年6月5日，意大利竞争管理局(AGCM)发布了一项决定，对Meta Platforms Inc.和Meta Platforms Ireland Ltd.处以350万欧元的罚款，原因是它们的不公平商业行为违反了意大利消费者法。

来源：https://www.dataguidance.com/news/italy-agcm-fines-meta-35m-violations-consumer-code

04西班牙当局因数据安全故障对Allianz罚款20万欧元

2024年6月10日，西班牙数据保护局(AEPD)在第2号诉讼中公布了其决定。PS-00158-2024，其中对Allianz处以20万欧元的罚款，随后因违反通用数据保护条例(GDPR)而被罚款16万欧元。申诉人称，Allianz持有的他们的个人资料在未经其同意的情况下泄露给了申诉人的前伴侣。这包括投诉人的姓名、保险单号码和车辆登记细节。

来源：https://www.dataguidance.com/news/spain-aepd-fines-allianz-200000-data-security-failures

05Meta公司应监管机构要求暂停其利用用户数据训练的计划

2024年6月14日，Meta表示根据爱尔兰数据保护委员会（DPC）的要求，其将推迟使用Facebook和欧盟Instagram上用户共享的公共数据来训练公司大型语言模型（LLM）的计划。争论焦点是Meta计划在没有征得用户明确同意的情况下使用用户个人数据来训练其人工智能（AI）模型，而是依赖“合法利益”的法律基础来处理数据。Meta公司已经在美国等其他市场利用用户生成的内容和数据来训练其人工智能系统。

来源：https://thehackernews.com/2024/06/meta-halts-ai-training-on-eu-user-data.html

06西班牙当局因非法传播监控录像对CUI ZSQ Food罚款7万欧元

2024年6月20日，西班牙数据保护局(AEPD)在第2号诉讼中公布了其决定。在PS-00435-2024中，它对CUI ZSQ Food, S.L. (CUI ZSQ)处以70,000欧元的罚款，随后因违反一般数据保护条例(GDPR)而被罚款42,000欧元。申诉人说，他们是CUI ZSQ的雇员，该公司在其设施内安装了视频监控系统，以监视其雇员。申诉人指称，CUI ZSQ的一名工作人员在公司群聊中分享了申诉人的视频片段，据称显示申诉人长时间不在他们的工作场所。

来源：https://www.dataguidance.com/news/spain-aepd-fines-cui-zsq-food-70000-unlawful

07欧盟初步调查结果认定苹果违反《数字市场法案》

2024年6月24日，欧盟委员会发布公告称，经调查初步认定美国苹果公司的应用商店（App Store）涉嫌违反欧盟的《数字市场法案》（DMA）。欧盟委员会表示，苹果公司的应用商店规则阻止了应用程序开发者自由引导消费者通过其他渠道获取更优惠的产品和内容。欧盟委员会同时表示，对苹果应用商店收取“核心技术费”、iPhone用户从第三方渠道下载应用的步骤过于复杂等情况展开调查。欧盟方面已向苹果公司通报了其初步意见，根据规定，现在苹果公司需要审视委员会的调查结果，并作出正式回复。

来源：https://ec.europa.eu/commission/presscorner/detail/en/ip_24_3433

三、全球数据安全快讯

01Andariel黑客使用新的Dora RAT恶意软件攻击韩国机构

2024年06月03日，Andariel黑客利用新的Golang后门Dora RAT，针对韩国教育机构、制造业公司和建筑企业展开攻击。攻击采用Apache Tomcat服务器分发恶意软件，利用系统上的2013年版本Apache Tomcat的漏洞。安全厂商AhnLab表示，黑客组织Andariel旨在窃取机密信息。

来源：https://thehackernews.com/2024/06/andariel-hackers-target-south-korean.html

02PandaBuy支付赎金后再遭勒索

2024年06月06日，PandaBuy在支付赎金以防止数据泄露后，再次遭到同一黑客的勒索。3月31日，黑客泄露了300万行用户数据，包括个人信息和订单详情。尽管PandaBuy修复了漏洞，但黑客声称仍掌握更多数据，要求额外赎金。

来源：https://www.bleepingcomputer.com/news/security/pandabuy-pays-ransom-to-hacker-only-to-get-extorted-again/#google_vignette

03保险巨头Globe Life调查网络门户数据泄露

2024年6月13日，美国金融服务控股公司环球人寿(Globe Life)表示，攻击者可能在侵入其门户网站后获取了消费者和保单持有人的数据。该事件是在6月13日被发现的，当时正在审查与门户网站访问权限和用户身份管理相关的潜在漏洞，此前国家保险监管机构进行了调查。

来源：https://www.bleepingcomputer.com/news/security/insurance-giant-globe-life-investigating-web-portal-breach/

04葡萄牙银行客户数据泄露引发账户劫持担忧

2024年06月19日。由于服务提供商Nearsoft系统配置错误，葡萄牙管理银行（Banco Portugues de Gestao）客户的极为敏感数据被泄露，可能导致未经授权的资金转移。泄露数据包括银行账户、身份证号码、电子邮件、电话号码、税号、家庭住址和安全问题答案等。

来源：https://cybernews.com/security/banco-portugues-de-gestao-data-leak/#google_vignette

05T-Mobile否认被黑客入侵，数据泄露与供应商漏洞有关

2024年6月19日，在一名威胁行为者声称出售从这家电信公司窃取的数据后，T-Mobile否认遭到入侵或源代码被盗。“T-Mobile的系统没有受到威胁。我们正在积极调查第三方服务提供商的问题索赔，”T-Mobile在给BleepingComputer的一份声明中表示。然而，一位消息人士告诉BleepingComputer, IntelBroker共享的数据实际上是T-Mobile基础设施的旧截图，这些数据被发布到第三方供应商的服务器上，并在那里被盗。

来源：https://www.bleepingcomputer.com/news/security/t-mobile-denies-it-was-hacked-links-leaked-data-to-vendor-breach/

06Accenture遭遇数据泄露，影响上万员工

2024年06月20日，网络犯罪分子声称出售跨国IT公司Accenture的超过3万名员工的私人数据。泄露的数据包括电子邮件、姓名和广播日期，可能与内部工具Media Exchange有关。

来源：https://cybernews.com/news/accenture-alleged-data-breach/