网络安全与数据合规法律动态速递（2024年第5期）

（一）境内资讯

2024年5月7日，深圳市政务服务和数据管理局正式发布《数据交易服务规范（征求意见稿）》（以下简称"《数据交易规范（征求意见稿）》"）。作为国内第一部数据交易规范文件，《数据交易规范（征求意见稿）》由深圳数据交易所有限公司牵头编制，经深圳市市场监督管理局批准立项，历时一年多完成。《数据交易规范（征求意见稿）》结合国内外先进标准，依据《深圳市数据交易管理暂行办法》等法规，对数据交易服务的技术要求、合规标准、数据安全等作出了详细规定。此次《数据交易规范（征求意见稿）》的发布标志着深圳在数据交易规范化、标准化方面取得重要进展，为深圳乃至全国的数据交易市场提供了指导和参考。

2024年5月8日，中国（天津）自由贸易试验区管理委员会联合天津市商务局等部门正式发布《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（以下简称"《数据出境负面清单》"）。《数据出境负面清单》遵循网络安全法、数据安全法等法规，坚持统筹兼顾、便捷合规、简明实用和动态调整原则，明确了需申报安全评估、订立标准合同、通过保护认证的数据出境情形，并对未纳入清单的数据免予相关申报。《数据出境负面清单》的发布能够规范自贸区内企业数据出境行为，有效促进数据资源有序流动和开发利用，提升天津自贸试验区的营商环境及当地企业国际竞争力。

2024年5月20日，江苏省互联网信息办公室发布《关于组织开展全省数据出境情况摸底调查的通知》（以下简称"《通知》"），由省互联网信息办公室、省商务厅、省数据局联合在全省范围内组织开展数据出境情况摸底调查。省内数据处理者须对如下三种数据出境行为进行填报：（1）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（3）符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。

江苏省互联网信息办公室发布此《通知》从实操角度为省内数据处理者提供了行为指南，明确何种行为需要填报、在哪填报以及如何填报，有利于真正将数据出境行为纳入统计管理范畴，促进数据依法有序自由流动，切实保障国家、集体及个人的信息安全。

2024年5月23日，全国网络安全标准化技术委员会就《生成式人工智能服务安全基本要求（征求意见稿）》（以下简称"《服务安全基本要求（征求意见稿）》"）面向社会各界公开征求意见。《服务安全基本要求（征求意见稿）》规定了生成式人工智能服务在安全方面的基本要求，包括训练数据安全、模型安全、安全措施等，并给出了安全评估参考要点。

《服务安全基本要求（征求意见稿）》旨在帮助服务提供者明确生成式人工智能服务网络安全基线、提高服务安全水平，针对当前生成式人工智能服务面临的网络安全、数据安全、个人信息保护等关键问题，提出覆盖服务全生命周期的安全要求，防范化解服务过程中的应用场景安全风险、软硬件环境安全风险、生成内容安全风险以及权益保障安全风险等安全风险。

2024年5月24日，工业和信息化部印发了《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称"《细则》"），并宣布该《细则》将于2024年6月1日起施行。《细则》适用于中国境内工业和信息化领域重要数据和核心数据的处理者，旨在引导数据处理者规范开展数据安全风险评估工作。《细则》规定了数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年。同时，明确了评估的重点内容，包括数据处理目的、方式、范围的合法性，数据安全管理制度的落实情况，技术防护能力，以及数据处理活动相关人员的数据安全知识技能等。《细则》的发布和实施，标志着中国在数据安全管理领域迈出了重要步伐，为工业和信息化领域的数据安全提供了明确的指导和规范。

2024年5月24日下午，杭州互联网法院在“中国数谷”举办数据要素产业生态共建活动，并在活动中发布了《引导企业数据健康发展行为指引》（以下简称"《行为指引》"）。《行为指引》共分六大部分，涵盖数据收集与存储、开发利用、交易、出境、风险识别与安全保护等关键环节。《行为指引》旨在通过政治引领和问题导向，解决大数据产业发展中的热点和难点问题，推动企业数据赋能，强化数据合规管理，不仅为企业提供了数据管理的指导，也为促进数据要素产业的健康发展提供了重要支撑。

2024年5月29日，中央网信办、市场监管总局、工业和信息化部联合发布《信息化标准建设行动计划（2024—2027年）》（以下简称"《行动计划》"），旨在健全国家信息化标准体系，提升信息化发展综合能力，支撑网络强国建设。《行动计划》强调以习近平新时代中国特色社会主义思想为指导，聚焦完善信息化标准体系、提升标准化基础能力，并围绕创新工作机制、推进重点领域标准研制、提升国际影响力等方面部署任务。预计到2027年，信息化标准工作机制将更加健全，信息化标准体系布局更完善，为技术创新、经济社会发展提供有力支撑，并显著提升国际标准的贡献度和影响力。《行动计划》同时提出了组织保障要求，确保目标任务落到实处。

2024年6月11日，全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》（以下简称"《识别指南（征求意见稿）》"）。《识别指南（征求意见稿）》依据《中华人民共和国个人信息保护法》等法律法规制定，提出了识别敏感个人信息的方法，列举了常见敏感个人信息类别及其示例，包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息等。此外，《识别指南（征求意见稿）》还强调了个人信息处理者在处理过程中应考虑个人信息泄露或非法使用可能对个人权益造成的影响，并要求采取相应保护措施。《识别指南（征求意见稿）》正式发布后，将有效指导个人信息处理者识别并规范处理敏感个人信息，确保敏感个人信息安全。

2024年6月12日，中国互联网协会正式发布了《企业个人信息保护合规管理体系 指南》（以下简称"《合规管理体系指南》"），该指南将自2024年7月12日起正式实施。《合规管理体系指南》适用于开展个人信息保护合规管理相关工作的企业，强调了有效性、全面性、独立性、动态性和可追溯性五大原则，明确了企业管理层、合规管理部门和业务部门在个人信息保护中的职责，并强调了企业应持续改进合规管理体系。《合规管理体系指南》的发布不仅能够帮助企业明确个人信息保护的合规要求，还提供了一套系统的管理方法和工具，以实现个人信息的合法、正当和必要处理，在保护个人权益的同时兼顾推动企业可持续发展。

2024年6月20日，全国网络安全标准化技术委员会发布国家标准《数据安全技术　数据安全和个人信息保护社会责任指南（征求意见稿）》（以下简称"《社会责任指南（征求意见稿）》"）。《社会责任指南（征求意见稿）》适用于处理数据的组织及评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构，规定了关键信息基础设施安全保护能力指标体系，包括：基本保护级、强化保护级、战略保护级三级安全保护能力指标。

《社会责任指南（征求意见稿）》正式发布后，将指导关键信息基础设施运营者对关键信息基础设施安全保护能力的建设，也将为保护工作部门、国家监管部门以及第三方评估机构等提供参考，帮助组织在遵守法律法规和基本道德规范的基础上实现更高的社会价值，最大限度地致力于可持续发展。

2024年6月26日，中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行，双方共同签署《关于中德数据跨境流动合作的谅解备忘录》（以下简称"《备忘录》"）。在《备忘录》框架下，中国国家互联网信息办公室将与德国数字化和交通部建立“中德数据政策法规交流”对话机制，加强中德在数据跨境流动议题上的交流，推进中德网络空间交流合作取得更多成果，为两国企业营造公平、公正、非歧视的营商环境。

2024年6月26日，中共海南省委网络安全和信息化委员会办公室发布通告，对《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》（以下简称"《发展条例（公开征求意见稿）》"）征求意见至7月25日。《发展条例（公开征求意见稿）》共20条，旨在规范在海南自由贸易港内开展的国际数据中心业务及其相关的监督管理活动。《发展条例（公开征求意见稿）》界定了开展国际数据中心业务的条件，明确了服务内容，提出要逐步取消外资股比限制、开展国际互认互信，明晰了相关政府部门的职责及运营者义务。《发展条例（公开征求意见稿）》正式发布后，将促进海南自由贸易港国际数字产业发展，保障数据跨境安全有序流动，推进海南开展高水平对外开放合作，支持海南数字经济高质量发展。

2024年5月3日，经济合作与发展组织(OECD)部长理事会会议修订了人工智能 （AI） 原则（以下简称"《原则》"），以应对该领域发展带来的新挑战。目前，更新后的《原则》目前有包括欧盟在内的47个成员单位，更直接地关注由通用和生成式人工智能引发的隐私、知识产权、安全和信息完整性问题。

作为首个关于人工智能的政府间标准，《原则》在维护人权和民主价值观的同时，旨在引导制定政策以促进发展创新和值得信赖的人工智能。自2019年以来，OECD人工智能政策观察站目睹了人工智能投资、技能需求和大公司采用情况的显着增加，这与全球范围内政策的关注和行动之增加相吻合。

利用人工智能以提高生产力、科学研究、环境可持续性、医疗保健和教育的必要性正在增长。然而，隐私、安全、公平和福祉方面的风险正在以前所未有的速度升级，造成了偏见、歧视、错误信息和扭曲的公共话语等实际危害。OECD修订后的《原则》旨在减轻这些风险，并确保人工智能的负责任开发和部署。

2024年5月6日，德国数据保护会议（DSK） 发布了一份关于人工智能和数据保护的指南（以下简称"《指南》"）。《指南》重点关注大型语言模型（LLM），但不排除其可能适用于其他人工智能（AI）应用。

《指南》由三个部分组成：人工智能应用程序的使用概念和选择、人工智能应用程序的实施以及人工智能应用程序的使用。

《指南》强调，对人工智能应用部署者来说，其应仔细确定人工智能应用使用的领域和目的，同时考虑合法性、训练期间的数据保护合规性、数据处理的法律依据以及《通用数据保护条例》（GDPR）的影响，特别是有关对个人产生法律效力的决策时。《指南》还强调了透明度、数据主体权利以及数据保护官员和雇员代表在参与人工智能相关决策中的必要性。

2024年5月21日，欧盟理事会批准了《人工智能法案》。该法案采用了“风险导向”（risk-based）的方法，意味着对社会造成危害的风险越高，对其规制就越严格。该法案是全球第一部针对人工智能的法律，为人工智能监管制定全球标准提供了参考。《人工智能法案》旨在促进欧盟单一市场上的主体开发和采用安全可信的人工智能系统，在确保尊重欧盟公民的基本权利的同时，刺激欧洲人工智能领域的投资和创新。此外，《人工智能法案》强调了在处理新技术时信任、透明度和问责制的重要性，同时确保这一快速变化的技术能够蓬勃发展。

2024年5月24日，欧洲数据保护委员会（EDPB）通过了由ChatGPT工作组提交的工作报告。该报告分析了与其所适用的《通用数据保护条例》（GDPR）规定解释有关的各个方面，具体包括：第一，收集训练数据（网络抓取）以及处理数据以进行ChatGPT输入、输出和训练的合法性；第二，确保遵守GDPR是OpenAI的责任，而不是数据主体的责任，以保证公平性；第三，控制者应提供有关ChatGPT输出概率性质的适当信息，并明确指出生成的文本可能存在偏见或虚构，以保证透明度和数据的准确性。

2024年6月27日，欧盟委员会宣布正在就其计划于 2024 年 10 月 17 日前通过的关于网络和信息系统安全的第 2022/2555 号指令（以下简称"NIS2指令"）的实施法案草案（以下简称"《实施法案草案》"）征求意见。NIS2指令涵盖了对经济和社会至关重要的领域中的中大型实体，包括公共电信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务的提供商以及公共管理部门。《实施法案草案》为数字基础设施、数字供应商和企业对企业（B2B）信息通信技术（ICT）服务管理等实体提出了网络安全风险管理措施的技术和方法要求。

本期编辑：何为，张明旻，沙慧颖，线柏彤