数据合规热点速递5月刊

2023年5月刊 植德<数据合规热点速递> （自2023年5月1日至2023年5月31日） —植德律师事务所— 北京| 目录 立法动向5 行业动态10 导读 立法动向 1.《中华人民共和国数字经济促进法（专家建议稿）》发布 2.《苏州市公共数据开放实施细则（修改稿）》正式发布并面向社会征求意见 3.信安标委发布《人工智能计算平台安全框架（征求意见稿）》 4.广东省政府发布《关于加强科技伦理治理的实施方案的通知》 5.工信部发布《工业领域数据安全标准体系建设指南（2023版）（征求意见稿）》 6.信安标委：19项网络安全国家标准获批发布 7.国务院公布新修订的《商用密码管理条例》 8.国标《个人信息处理中告知和同意的实施指南》发布 9.信安标委发布《人脸识别支付场景个人信息保护安全要求（征求意见稿）》 10.《北京市数据知识产权登记管理办法（试行）》发布行业动态 1.北京市网信办发布汽车数据安全管理年报评定结果 2.国务院国资委：三方面入手全面构建国资央企大数据体系 3.北京市消协：经营者不得强制消费者扫码点餐消费 4.苏州互联网法庭揭牌成立 5.美光公司在华销售的产品未通过网络安全审查 6.浙江首批两家企业通过数据出境安全评估 7.上海市网信办发布数据分类分级、制定重要数据目录试点成果分享 8.跨境电商领域全国首个数据合规出境案例落地南京 一、立法动向 1.《中华人民共和国数字经济促进法（专家建议稿）》发布 近日，在浙江杭州举行的“新兴领域法学知识体系构建”暨《数字经济促进法 （专家建议稿）》学术研讨会，发布了“中华人民共和国数字经济促进法（专家建议稿）”。 此次发布的《数字经济促进法（专家建议稿）》共8章66条，包括总则、数字基础设施建设、数字产业化与产业数字化、数据资源开发利用与保护、数字治理、数字经济促进保障、法律责任和附则。 【来源：民主与法治时报】 2.《苏州市公共数据开放实施细则（修改稿）》正式发布并面向社会征求意见 为加快推动公共数据面向社会开放，按照《苏州市公共数据开放三年行动计划 （2023-2025年）》工作安排，苏州市大数据管理局组织制定《苏州市公共数据开放实施细则》（以下简称《实施细则》）。 根据专家学者、社会公众提出的意见和建议，我们对《实施细则（征求意见稿）》进行了修改，形成了《实施细则（修改稿）》，现再次面向社会公开征求意见。 《实施细则》总共八章四十条，对总则、管理机制、数据开放、数据利用、应用促进、数据安全、保障机制等作出了规定。 【来源：苏州市大数据管理局】 3.信安标委发布《人工智能计算平台安全框架（征求意见稿）》 5月15日，信安标委网站公布《关于国家标准<信息安全技术人工智能计算平 台安全框架>征求意见稿征求意见的通知》，意见反馈截止时间为7月14日。 《安全框架》规定了人工智能计算平台安全框架的安全功能、安全机制、安全模块以及服务接口，一方面能够消减平台成为网络攻击中薄弱环节的风险，另一方面能够基于人工智能计算平台的安全功能有效提升人工智能模型、数据等核心资产在传输、存储、训练、推理等环节中的安全，减少应用方在保护模型和数据安全方面的重复投入；适用于指导人工智能计算平台的设计与实现，也为平台使用方应用人工智能计算平台安全功能提供参考。 【来源：全国信息安全标准化技术委员会】 4.广东省政府发布《关于加强科技伦理治理的实施方案的通知》 5月19日，广东省政府网站公布《关于加强科技伦理治理的实施方案的通知》。 《通知》共六方面十八项内容，明确要构建完善科技伦理治理体系，落实创新主体科技伦理管理主体责任，建立健全科技伦理审查监管机制，加强高风险科技活动伦理审查复核，完善科技伦理监管，监测预警科技伦理风险，切实加强科技伦理违法违规行为的查处，深入开展科技伦理教育宣传和理论研究。 【来源：广东省政府】 5.工信部发布《工业领域数据安全标准体系建设指南（2023版）（征求意见稿）》 5月22日，工信部网站公布《公开征求对<工业领域数据安全标准体系建设指 南（2023版）>（征求意见稿）的意见》，意见反馈截止时间为6月22日。 《指南》明确，工业领域数据安全标准体系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成，其中，安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理；技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准；安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作；新兴融合领域标准包括智能制造、工业互联网领域数据安全标准；垂直行业标准面向重点工业行业、领域的数据特点和安全需求，制定行业数据安全管理和技术标准规范。 【来源：工信部】 6.信安标委：19项网络安全国家标准获批发布 根据2023年5月23日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第2号），全国信息安全标准化技术委员会归口的19项网络安全国家标准正式发布。具体清单如下： 信息安全技术网络安全审计产品技术规范信息安全技术网络安全事件分类分级指南信息安全技术信息安全风险管理实施指南 信息安全技术网络入侵防御产品技术规范信息安全技术反垃圾邮件产品技术规范信息安全技术云计算服务安全指南 信息安全技术云计算服务安全能力要求信息技术安全技术信息安全管理体系指南 信息安全技术行业间和组织间通信的信息安全管理信息安全技术电子政务移动办公系统安全技术规范信息安全技术边缘计算安全技术要求 信息安全技术区块链技术安全框架 信息安全技术区块链信息服务安全规范信息安全技术可信执行环境服务规范 信息安全技术网络身份服务安全技术要求 信息安全技术个人信息处理中告知和同意的实施指南 信息安全技术移动互联网应用程序(App)个人信息安全测评规范信息安全技术政务网络安全监测平台技术规范 信息安全技术电子凭据服务安全规范 【来源：全国信息安全标准化技术委员会】 7.国务院公布新修订的《商用密码管理条例》 5月24日，中国政府网公布《商用密码管理条例》，自2023年7月1日起施行。修订后的《条例》重点规定以下内容：一是完善商用密码管理体制。二是促进 商用密码科技创新与标准化建设，建立健全商用密码科技创新促进机制，保护商用密码领域的知识产权，鼓励支持商用密码科技成果转化和产业化应用等。三是健全商用密码检测认证体系，明确商用密码检测、认证机构资质审批条件、程序及从业规范等。四是加强电子认证服务使用密码和电子政务电子认证服务活动管理，明确建立电子认证信任机制，推动电子认证服务互信互认。五是规范商用密码进出口管理，明确商用密码进口许可和出口管制实行清单管理，并规定了审批程序。六是促进商用密码应用，明确关键信息基础设施的商用密码使用要求和国家安全审查要求。 【来源：中国政府网】 8.国标《个人信息处理中告知和同意的实施指南》发布 根据全国标准信息公共服务平台显示，由国家标准化管理委员会主管，全国信息安全标准化技术委员会归口、执行的《信息安全技术个人信息处理中告知和同意的实施指南》于2023年5月23日发布，将于2023年12月1日起实施。 《实施指南》通过借鉴国外立法和标准的研究，结合国内应用实践和标准编制组的科研成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的标准。为组织、监管部门、第三方测评机构等开展评估工作提供的指导和依据。 《实施指南》将针对组织提出个人信息处理过程中，告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。 《实施指南》主要内容分为9个章节，分别针对个告知同意的适用情形、免于告知同意的情形、告知同意的基本原则和具体执行方法等进行了详细的说明。 同时，标准还针对未成年人个人信息的告知同意、SDK收集使用个人信息场景下的告知同意、IoT场景下的告知同意、公共场合场景下的告知同意、个性化推荐场景下的告知同意、互联网金融场景下的告知同意、车载场景下的告知同意、网上购物场景下的告知同意等场景提出相关建议。 【来源：CCIA数据安全工作委员会】 9.信安标委发布《人脸识别支付场景个人信息保护安全要求（征求意见稿）》 5月23日，信安标委网站公布《关于对<网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求（征求意见稿）>公开征求意见的通知》，意见反馈截止时间为6月6日。 《要求》依据政策法规要求，针对室内外各区域中的人脸识别支付场景，向人脸识别支付的服务提供方及相关场所管理方提出个人信息保护要求，不适用于用户在其自有手机或其他自有智能移动终端上进行的人脸识别支付。《要求》明确，应仅在人工做出点击等明确交互动作后开始收集数据；人脸识别全部过程数据应在本次人脸识别结果产生后全部删除，但人脸比对是否成功的结果信息等除外；服务不应支持导出人脸相关数据的功能。 【来源：全国信息安全标准化技术委员会】 10.《北京市数据知识产权登记管理办法（试行）》发布 为贯彻《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》 《知识产权强国建设纲要（2021—2035年）》，落实国家知识产权局关于数据知识产权试点工作的要求，北京市开展数据知识产权试点工作。5月30日，在中关村论坛“全球知识产权保护与创新论坛”上，市知识产权局、市经济和信息化局、市商务局、市人民检察院联合发布了《北京市数据知识产权登记管理办法（试行）》。 《办法》共计二十五条，包括总则、登记内容、登记程序、管理监督和附则五部分，明确了数据知识产权的登记对象、登记主体和登记程序等主要事项。市知识产权局将建设全市统一的数据知识产权登记平台，开展本市行政区域内数据知识产权登记工作。数据知识产权相关管理部门鼓励推进登记证书促进数据创新开发、传播利用和价值实现，积极推进登记证书在行政执法、司法审判、法律监督中的运用，充分发挥登记证书证明效力，强化数据知识产权保护，切实保护数据处理者的合法权益。 会上，市知识产权局、北京互联网法院、北京国际大数据交易所就开展数据知识产权登记试点工作、共同实现互认互信，签署了数据知识产权合作框架协议。三方将开展数据知识产权登记、交易流通、纠纷解决、平台建设、人才培养及业务研讨等领域相关合作，共同推动北京数据要素市场化配置中数据产权制度的探索建立，数据安全合规流动，规范数据要素市场发展。 【来源：北京知识产权】 二、行业动态 1.北京市网信办发布汽车数据安全管理年报评定结果 按照国家互联网信息办公室统一部署，依据《汽车数据安全管理若干规定（试行）》（以下简称《若干规定》），北京市互联网信息办公室自2022年11月起组织开展了北京市汽车数据安全管理年度报告评审工作，通过发布公告动员申报、开通电话受理咨询、召开会议指导评议、深入企业现场检查、组织专家集中评审等方式，对奔驰、奥迪、丰田、百度、理想、北汽等31家企业报送的汽车数 据安全管理年度报告进行了考核评定，并于5月8日发布评定结果。其中10份年报评定为优秀，21份年报评定为良好。 北京市网信办成立汽车数据安全管理年报评审专家组，依据《数据安全法》《若干规定》，研究建立综合评审体系，制定报告及时性、完整度、准确度、详实度以及落实规定情况等5大类评审项目，针对每大类项目设置评分细项并逐项明确评分标准。重点关注企业按照《若干规定》要求执行情况，合理分配评分权重，确保评价指标科学可行。 【来源：网信北京】 2.国务院国资委：三方面入手全面构建国资央企大数据体系 日前，国务院国资委办公厅副主任庞雪松在参加“数据要素流通与治理产业高峰论坛”时表示，数字经济正成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。国资央企将深入实施国家大数据战略，以数据促进全要素生产率提高，提升国资生产效能，赋能国资央企高质量发展。 一是全面增强国资央企用数能力。加快构建“1+98+X