北源资讯 | 数据合规资讯月刊（2024年11月）

2024-12-04

国内数据合规资讯

最新法规

《网络安全技术终端计算机通用安全技术规范》等3项国标获批发布
上海市网信办发布关于报送2024年度汽车数据安全管理情况的通知
《反洗钱法（2024修订）》发布
上海市知识产权局、上海市数据局印发《上海市数据产品知识产权登记存证暂行办法》
国家互联网信息办公室发布《移动互联网未成年人模式建设指南》
中国互联网协会等发布《工业和信息化领域数据安全合规指引》
《全球数据跨境流动合作倡议》发布
《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布
《国家数据基础设施建设指引（征求意见稿）》发布
国家数据局印发《可信数据空间发展行动计划（2024—2028年）》
国家数据局印发《可信数据空间发展行动计划（2024—2028年）》
上海市委网信办发布未成年人网络保护合规指引
国家数据局公开征求《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》的意见

热点案例

吐鲁番市网信部门查处曝光2起网络违法违规典型案例
北互法院审结首例“搜索提示词”算法侵权案
重庆市武隆区网信办通报一起违反个人信息保护义务典型案例

监管执法

静安检察披露一起以虚假招聘岗位套取个人信息刑事案件
工信部发布关于侵害用户权益行为的APP（SDK）通报
上海市通信管理局发布关于侵害用户权益行为APP的通报（2024年第二批）
国家网信办发布第十七批境内区块链信息服务备案编号
网信办等四部委发布关于开展“清朗·网络平台算法典型问题治理”专项行动的通知

国际数据合规资讯

立法活动

欧盟委员会发布《数字服务法》透明度报告义务实施条例
欧盟发布《通用人工智能行为准则》初稿和通用人工智能模型问答
欧盟《网络弹性法案》于欧盟官方公报上公布

监管动态

Meta因非法收集个人信息面临216亿韩元罚款
挪威数据保护局公布Meta 的“同意或付费”模式的优化方案

安全快讯

纽约医疗组织遭遇数据泄露，21000名客户及员工信息被盗
纽约医疗组织遭遇数据泄露，法院判赔150万美元
秘鲁国际银行承认数据泄露

一、国内数据合规资讯

01、《网络安全技术终端计算机通用安全技术规范》等3项国标获批发布

2024年11月5日，全国网安标委发布了3项网络安全国家标准，包括《网络安全技术终端计算机通用安全技术规范》（GB/T 29240-2024）、《网络安全技术存储介质数据恢复服务安全规范》（GB/T 31500-2024）、《网络安全技术网络弹性评价准则》（GB/T 44862-2024）。3项国家标准将自2025年5月1日起实施。

来源：https://mp.weixin.qq.com/s/k-8W75M4HrN8is8iQjeEmQ

02、上海市网信办发布关于报送2024年度汽车数据安全管理情况的通知

2024年11月8日，上海市互联网信息办公室发布关于报送2024年度汽车数据安全管理情况的通知，根据《汽车数据安全管理若干规定（试行）》要求，组织开展2024年度上海市汽车数据安全管理情况报送工作。报送范围包括注册地为上海的开展重要数据处理活动的汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

来源：https://mp.weixin.qq.com/s/FyCJGypcmLix76gC-9BVcw

03、《反洗钱法（2024修订）》发布

2024年11月8日，《反洗钱法》由第十四届全国人民代表大会常务委员会第十二次会议修订通过，并予以公布，将自2025年1月1日起施行。新《反洗钱法》规定为履行反洗钱义务在公司内部、集团成员之间共享必要的反洗钱信息的，应当明确信息共享机制和程序。共享反洗钱信息，应当符合有关信息保护的法律规定，并确保相关信息不被用于反洗钱和反恐怖主义融资以外的用途。同时，新《反洗钱法》强调提供反洗钱咨询、技术、专业能力评价等服务的机构及其工作人员，应当勤勉尽责、恪尽职守地提供服务；对于因提供服务获得的数据、信息，应当依法妥善处理，确保数据、信息安全。

来源：https://mp.weixin.qq.com/s/oRZsj4ygXtRV1MYC3VIbPQ

04、上海市知识产权局、上海市数据局印发《上海市数据产品知识产权登记存证暂行办法》

11月14日，上海市知识产权局、上海市数据局联合印发《上海市数据产品知识产权登记存证暂行办法》。该办法适用于自然人、法人或者非法人组织向上海市知识产权局申请数据产品知识产权登记以及相关管理服务活动。数据产品知识产权，是指自然人、法人或者非法人组织对其合法获取的数据资源，经过实质性加工和创新性劳动后形成的具有智力成果属性和商业价值的数据加工集合、数据加工产品、数据技术算法等数据产品享有的权益。申请数据产品知识产权登记的，可通过上海市数据产品知识产权管理平台提出申请，上海市知识产权局负责对登记申请进行审查。

来源：https://mp.weixin.qq.com/s/TGoA-a02RvLZ4tZYD8Q2tQ

05、国家互联网信息办公室发布《移动互联网未成年人模式建设指南》

2024年11月15日，国家互联网信息办公室发布了《移动互联网未成年人模式建设指南》。该指南提出未成年人模式建设的整体方案，鼓励和支持移动智能终端、应用程序和应用程序分发平台等，共同参与未成年人模式建设，将分散的功能集成化，将分段保护一体化，筑牢未成年人网络保护的“三重防线”。《指南》内容共7章，细化不同主体的具体建设任务，统一“三方联动”“一键启动”等技术标准，为企业履行未成年人网络保护义务提供指引。

来源：https://mp.weixin.qq.com/s/qmEWWlWxa68SEeiofNH5FA

06、中国互联网协会等发布《工业和信息化领域数据安全合规指引》

11月19日，中国互联网协会、中国钢铁工业协会、中国有色金属工业协会、中国通信企业协会等联合发布《工业和信息化领域数据安全合规指引》，工业和信息化领域数据处理者可参照本指引开展数据处理活动全生命周期安全保护工作。《指引》从数据分类分级、数据安全管理体系、数据全生命周期保护、数据安全风险监测预警、数据安全事件应急处置、数据安全风险评估、数据出境安全管理、数据交易方面提出了数据安全合规要求。

来源：https://www.isc.org.cn/article/22873502862536704.html

07、《全球数据跨境流动合作倡议》发布

2024年11月20日，我国发布《全球数据跨境流动合作倡议》，该倡议指出数据跨境流动对于各国电子商务、数字贸易乃至经济科技文化等诸多方面至关重要，不仅可以有效降低贸易成本，提高企业开展国际贸易的能力，还有助于促进贸易便利化，加快产业数字化转型，弥合数字鸿沟，实现以数据流动为牵引的新型全球化。国际社会应在充分尊重各国、各地区因具体国情、社情而采取的不同政策法规和实践基础上，认真听取各方数据安全与发展的利益诉求，通过协商的方式推动国家间、地区间数据跨境流动规则形成共识。

来源：https://mp.weixin.qq.com/s/EFW1E8Tbky9CgdMJDt-QSg

08、《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布

2024年11月21日，全国网安标委发布《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》《实践指南》规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。

来源：https://mp.weixin.qq.com/s/Rg90h4TOC8Ca1AsQTNFsFg

09、《国家数据基础设施建设指引（征求意见稿）》发布

2024年11月22日，国家数据局发布《国家数据基础设施建设指引（征求意见稿）》，向社会公开征求意见。国家数据基础设施是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施，是集成硬件、软件、模型算法、标准规范、机制设计等在内的有机整体。国家数据基础设施在国家统筹下，由区域、行业、企业等各类数据基础设施共同构成。网络设施、算力设施与国家数据基础设施紧密相关，并通过迭代升级，不断支撑数据的流通和利用。

来源：https://mp.weixin.qq.com/s/UbO85J8EvqS9AT85iGBmdg

10、国家数据局印发《可信数据空间发展行动计划（2024—2028年）》

2024年11月23日，国家数据局发布《可信数据空间发展行动计划（2024—2028年）》，该计划提出到2028年，可信数据空间运营、技术、生态、标准、安全等体系取得突破，建成100个以上可信数据空间。该计划主要包括三大行动，一是实施可信数据空间能力建设行动，通过构建可信管控能力，提高资源交互能力，强化价值共创能力，打造可信数据空间的核心能力体系；二是开展可信数据空间培育推广行动，主要是布局企业、行业、城市、个人、跨境五类可信数据空间建设和应用推广，探索各类数据空间的场景创新、模式创新、机制创新；三是推进可信数据空间筑基行动，围绕制订关键标准、攻关核心技术、完善基础服务、强化规范管理、拓展国际合作五个方面。

来源：https://mp.weixin.qq.com/s/DRQvoYdkVMKVtmepri3kyQ

11、国家数据局印发《可信数据空间发展行动计划（2024—2028年）》

来源：https://mp.weixin.qq.com/s/DRQvoYdkVMKVtmepri3kyQ

12、上海市委网信办发布未成年人网络保护合规指引

11月28日，在“清朗浦江·2024”网络生态治理总结活动上，上海市委网信办对外发布《上海属地网络平台履行未成年人网络保护义务合规指引（试行）》。《指引》明确了网络平台履行未成年人网络保护的四项基本职责，包括合规制度体系、专门的平台规则、未成年人模式、未成年人网络保护影响评估等；明确了网络平台履行未成年人网络保护义务的五个重点领域，包括网络信息内容规范、个人信息网络保护、网络沉迷防治、网络欺凌防治、社会监督等。《指引》即日起将在小红书、哔哩哔哩、喜马拉雅等上海属地20家重点网络平台试行，覆盖网络音视频、网络社交、网络文学、电商平台、网络游戏、网址导航、应用程序分发平台等领域。

来源：https://mp.weixin.qq.com/s/OQFZRdFHx0NShXvlrKRHLQ

13、国家数据局公开征求《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》的意见

2024年11月29日，国家数据局发布《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案（征求意见稿）》，向社会公开征求意见。《实施方案》要求到2027年底，规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建，企业数据、公共数据、个人信息合规高效流通机制更加完善，治理效能显著提升，为繁荣数据市场、释放数据价值提供坚强保障。并进一步提出明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人信息流通保障等主要任务。

来源：https://mp.weixin.qq.com/s/4SuhTPczEpenRpwL3i3paw

热点案例

01、吐鲁番市网信部门查处曝光2起网络违法违规典型案例

2024年11月2日，吐鲁番市网信部门查处曝光2起网络违法违规典型案例，案例包括网民地某使用未取得互联网新闻信息服务许可的个人账号持续复制、传播时事新闻，扰乱网络传播秩序；某单位系统网络安全保护义务落实不到位，未按要求对其系统平台开展等级保护测评，网信部门提醒各网络运营者和广大网民严格遵守互联网相关法律法规规定，依法办网、依法上网，共同维护网络安全。

来源：https://mp.weixin.qq.com/s/oFXLiZfOH9TECTdxqUSfxQ

02、北互法院审结首例“搜索提示词”算法侵权案

2024年11月11日，北京互联网法院一审开庭宣判了该院首例因“搜索提示词”引发的网络侵权纠纷案。本案中，原告深圳某科技公司认为，被告一夏某某发布涉案文章、视频侵犯了其名誉权；被告二北京某信息服务公司在被告一涉案侵权内容中有选择性地添加设置“搜索”“**骗局”等搜索提示词条，系明知被告一侵权的行为，客观上扩大了传播范围和侵权影响，也应当承担侵权责任。法院经审理后认为，涉案搜索提示系被告二利用算法根据不特定用户搜索、浏览的历史记录自动生成并更新变化的。被告二并不会人为加入新内容或是专门聚合负面内容，亦无人工事前审核。且要求被告二对此进行事前的验证审核，超出当前技术发展的水平，属于不当扩张被告二作为网络服务提供者的注意义务。此外，被告二收到相关诉讼材料后在合理期限内已采取必要措施，已经尽到网络服务提供者的事后义务，并无过错或扩大损害的侵权情形。

来源：https://mp.weixin.qq.com/s/o7ncGb2tMF6Y7WceYCWinw

03、重庆市武隆区网信办通报一起违反个人信息保护义务典型案例

2024年11月22日，网信重庆报道，武隆区一物业公司未制定内部管理制度和操作规程，未对个人信息实行分类管理，未采取去标识化安全技术措施，未合理确定个人信息处理的操作权限，未建立个人信息安全事件应急预案等相关管理制度，未按规定落实个人信息保护措施，存在个人信息泄露风险隐患，履行主体责任不到位，被武隆区网信办责令该公司限期整改，并给予警告的行政处罚。

来源：https://mp.weixin.qq.com/s/o_vLcLGH919E7s3oH4ONWg

监管执法

01、静安检察披露一起以虚假招聘岗位套取个人信息刑事案件

2024年11月7日，上海市静安区检察院披露了一起侵犯公民个人信息罪，某善公司购买了大量虚假的企业营业执照等信息，在招聘平台注册了数十家公司账号，发布虚假招聘信息，虚构高薪岗位，骗取应届生投递简历，获取应届生的个人信息，后由销售部门针对性开展“职业规划”等课程推销。公司负责人莫某、市场总监周某对该违法行为负有责任。上海市静安区人民法院以侵犯公民个人信息罪分别判处被告单位某善公司罚金人民币五十万元；判处被告人莫某有期徒刑三年，缓刑三年，并处罚金人民币五万元；判处被告人周某有期徒刑二年，缓刑二年，并处罚金人民币三万元；附带民事公益诉讼被告莫某、周某于判决生效后十日内永久删除非法收集并存储的公民个人信息，判决生效后三十日内在国家级新闻媒体上对侵犯公民个人信息的行为公开赔礼道歉。

来源：https://mp.weixin.qq.com/s/zz2EBLBsDW_BJtBRgDQ9yA

02、工信部发布关于侵害用户权益行为的APP（SDK）通报

2024年11月13日，工信部发布关于侵害用户权益行为的APP（SDK）通报（2024年第9批，总第44批）。近期，工信部组织第三方检测机构进行抽查，共发现27款APP及SDK存在侵害用户权益行为，予以通报。工信部要求相关APP及SDK应按有关规定进行整改，整改落实不到位的，工信部将依法依规组织开展相关处置工作。

来源：https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2024/art_a20860e438684a039708611ceeadc003.html

03、上海市通信管理局发布关于侵害用户权益行为APP的通报（2024年第二批）

2024年11月15日，上海市通信管理局发布关于侵害用户权益行为APP的通报（2024年第二批）。近期，上海市通信管理局组织第三方检测机构对上海市移动互联网应用程序进行抽查，共发现36款APP及小程序存在侵害用户权益行为，故予以通报。通管局要求相关APP及小程序应按有关规定在11月22日前落实整改工作。整改落实不到位的，通管局将依法依规组织开展处置工作。

来源：https://mp.weixin.qq.com/s/_dyejYK3az90ik2gL5n7wg

04、国家网信办发布第十七批境内区块链信息服务备案编号

2024年11月21日，国家网信办发布第十七批共68个境内区块链信息服务名称及备案编号。根据《区块链信息服务管理规定》，区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息，履行备案手续。

来源：https://mp.weixin.qq.com/s/1eiq8iWD9bh9isO0yawgyg

05、网信办等四部委发布关于开展“清朗·网络平台算法典型问题治理”专项行动的通知

2024年11月24日，中央网络安全和信息化委员会办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》，决定自即日起至2025年2月14日开展“清朗·网络平台算法典型问题治理”专项行动。通知要求企业进行自查自纠，并同时发布了《算法专项治理清单指引》，从“信息茧房”“热搜榜单”“新就业形态劳动者权益”“大数据杀熟”“算法向上向善”“落实算法安全主体责任”六个方面指导有关部门对企业自查自纠情况进行深入评估。

来源：https://mp.weixin.qq.com/s/JTQxUDz9snae3gefR61kcQ

二、国际数据合规资讯

立法活动

01、欧盟委员会发布《数字服务法》透明度报告义务实施条例

2024年11月4日，欧盟委员会通过了一项《实施条例》，根据《数字服务法》为中介服务提供商提供透明度报告的规则和模板。根据该规定，中介服务提供商有义务发布透明度报告，详细说明其内容审核做法。其中超大型在线平台（VLOP）和超大型在线搜索引擎（VLOSE）需要每年发布两次此类透明度报告。实施条例对这些透明度报告的格式、内容和报告期限进行了标准化，旨在解决过往中介服务提供商发布的报告标准不一致的问题。

来源：https://digital-strategy.ec.europa.eu/en/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations

02、欧盟发布《通用人工智能行为准则》初稿和通用人工智能模型问答

2024年11月14日，欧洲人工智能办公室发布了《通用人工智能行为准则》初稿，该准则旨在指导开发和部署值得信赖且安全的通用人工智能模型，并规定通用人工智能模型提供商的透明度和版权相关规则，对于可能带来系统性风险的少数最先进通用人工智能模型提供商，该准则还将详细说明系统性风险的分类、风险评估措施以及技术和治理缓解措施。该准则后续还将进行讨论，以进一步完善相关内容。此外，欧盟还发布了一批针对通用人工智能模型的问答，包括“什么是通用人工智能模型”“通用人工智能模型的提供者有哪些义务”等。

来源：https://digital-strategy.ec.europa.eu/en/library/first-draft-general-purpose-ai-code-practice-published-written-independent-experts

03、欧盟《网络弹性法案》于欧盟官方公报上公布

2024年11月20日，《网络弹性法案》在欧盟官方公报上公布，该法案对具有数据元素的硬件和软件产品引入了强制性的网络安全要求，此前已于2024年10月23日由欧洲议会和欧盟理事会签署。该法案将于2024年12月10日起生效，并于2027年12月11日起适用，其中报告义务于2026年9月11日开始适用。

来源：https://data.consilium.europa.eu/doc/document/PE-100-2023-INIT/en/pdf

监管动态

01、Meta因非法收集个人信息面临216亿韩元罚款

2024年11月5日，韩国个人信息保护委员会（PIPC）宣布对未遵守个人信息保护法的行为处以216.232亿韩元的罚款，并责令其改正。PIPC发现Meta一直在未经用户同意的情况下收集和使用敏感数据，并对该公司展开了调查。调查显示，Meta涉及的问题包括无合法处理依据而收集和使用敏感数据、无正当理由拒绝查阅个人资料以及未采取安全措施造成个人数据泄露。

来源：https://www.gurufocus.com/news/2583013/meta-faces-216-billion-krw-fine-for-privacy-violations-in-south-korea

02、挪威数据保护局公布Meta 的“同意或付费”模式的优化方案

2024年11月13日，挪威数据保护机构（Datatilsynet）宣布了有关Meta“同意或付费”模式的优化方案。Meta将推出一个选项，用户可以在不付费的情况下使用Facebook和Instagram，同时接收基于比以前更少的个人信息的广告。Datatilsynet指出这一变化是在欧洲数据监管机构提出意见后做出的。此前Facebook和Instagram用户必须在接受行为营销分析或支付月费之间做出选择——即所谓的“同意或付费”模式。根据Meta的公告，新选项中的广告将基于个人的年龄、性别和位置等因素进行，这一变化将在未来几周内推出。

来源：https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/meta-med-nye-valgmuligheter/

三、全球数据安全快讯

01、纽约医疗组织遭遇数据泄露，21000名客户及员工信息被盗

2024年11月20日，媒体报道纽约州一家名为Equinox的健康与社会服务机构近日通知超过21,000名客户和员工，他们的健康、财务及个人信息在近七个月前的一起“数据安全事件”中被网络犯罪分子窃取。令人震惊的是，此次事件可能与当时应已关闭的LockBit勒索软件团伙有关。

根据Equinox官网发布的通知，事件发生在4月29日，导致网络访问中断。Equinox立即采取措施，保障IT环境安全，聘请顶级网络安全公司并启动调查。调查显示，部分网络文件可能被未经授权访问或下载。9月16日，Equinox确认部分个人信息和受保护健康信息可能受到影响，并开始发送数据泄露通知。

来源：https://www.theregister.com/2024/11/20/equinox_patients_employees_data/

02、纽约医疗组织遭遇数据泄露，法院判赔150万美元

2024年11月15日，媒体报道美国纽约州一家法院已初步批准一项150万美元（约合人民币1086万元）的和解协议，用于解决针对One Brooklyn Health健康系统的修订后合并拟议集体诉讼。该诉讼源于2022年11月的一次网络攻击事件，该事件导致超过23.5万人的敏感健康数据遭到泄露。根据拟议的和解协议，符合条件的集体诉讼成员可以提交索赔，最高可获得2500美元的实际自付损失赔偿，以及处理数据泄露后果所花费的时间补偿（最高4小时、每小时25美元）。

来源：https://www.hipaajournal.com/one-brooklyn-health-sued-over-235k-record-data-breach/

03、秘鲁国际银行承认数据泄露

2024年11月1日，媒体报道秘鲁国际银行目前已确认黑客窃取了大量的用户数据，我们立即部署相应安全措施来保障用户的金融和信息安全。尽管银行尚未披露在泄露中被盗或曝光的客户的确切数量，但Dark Web Informer发现，一个昵称为“kzoldyck”的勒索组织正在暗网上售卖，据称是从秘鲁国际银行系统中窃取的数据。该勒索组织称已经掌握了超过300万客户的信息，并上传了3.7TB的数据样本至暗网，其中包含很多内部API凭证、LDAP、Azure凭证等。

来源：https://izoologic.com/industry/banking-and-finance/data-leak-forces-interbank-to-confirm-a-data-breach/