【立法动态】2021年7月互联网法治域内外立法动态
2021.7月
互联网法治
域内外立法动态
编者按:本文着眼于互联网领域(尤其是数据与个人信息保护领域)域内外相关立法动态。重点整理域内外7月正式制定公布的法律规范和相关文件以及重要的征求意见稿、草案。立法动态按照先域内后域外的顺序排布。由于范围选择有限,难免有所疏漏,敬请读者海涵。
★ 目次 ★
一、域内动态
1.浙江省发布《数字化改革术语定义》
2.浙江省发布《数字化改革 公共数据分类分级指南》
3.深圳市人大常委会公布《深圳经济特区数据条例》
4.国家药监局发布《人工智能医用软件产品分类界定指导原则》
5.国家网信办发布《网络安全审查办法(修订草案征求意见稿)》
6.广东省政府发布《广东省数据要素市场化配置改革行动方案》
7.民航局发布《民用航空安全信息保护管理办法(征求意见稿)》
8.三部门联合发布《网络产品安全漏洞管理规定》
9.发改委发布《全国公共信用信息基础目录(2021年版)(征求意见稿)》
10.上海市商务委员会印发《上海市推进商业数字化转型实施方案(2021-2023年)》
11.上海市经信委发布《上海市智能网联汽车测试与示范实施办法(征求意见稿)》
12.广电总局发布《广播电视网络安全等级保护基本要求》
13.三部门联合发布《数字经济对外投资合作工作指引》
14.全国信安标委发布《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》(征求意见稿)
15.三部门联合印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》
16.广州市政府发布《广州市推行首席数据官制度试点实施方案》
17.科技部发布《关于加强科技伦理治理的指导意见(征求意见稿)》
18.最高法发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
二、域外动态
1.意大利批准“108号+公约”
2.纽约生物识别隐私法案生效
3.EDPB发布GDPR下关于控制者和处理者概念的指南
4.西班牙总统签署公布《数字权利宪章》
5.美国统一法律委员会批准《统一个人数据保护法》
6.EDPB公布《虚拟语音辅助准则02/2021》
7.日本发布修订后的企业隐私治理指南
一
域内动态
1.浙江省发布《数字化改革术语定义》
7月5日,浙江省市场监管局发布了《数字化改革术语定义》(DB33/T2350-2021)(下称《定义》)浙江省级地方标准,并将于8月5日起在全省范围内生效实施。该《定义》界定了数字化改革中所涵盖的管理类和技术类的术语和定义。其中,在管理类中所定义的一体化智能化公共数据平台是指,以云计算、大数据、人工智能、互联网等技术为支撑,省域治理全过程数据感知、数据共享、数据计算的基础平台。
2.浙江省发布《数字化改革 公共数据分类
分级指南》
7月5日,浙江省发布《数字化改革 公共数据分类分级指南》(下称《指南》)。这是浙江省针对公共数据分级分类发布的首个省级地方标准,将于8月5日起在全省范围内正式实施。《指南》根据公共数据具有的共同属性或特征,从数据管理、业务应用、安全保护、数据对象四大维度,将公共数据分成30余个子项。根据《指南》,今后在浙江,每一条公共数据都将被打上分类标签,经精细化分类、精准化标签,政府部门可对数据采取有效管理。
3.深圳市人大常委会公布《深圳经济特区
数据条例》
7月6日,《深圳经济特区数据条例》(下称《条例》)在深圳市人大常委会网站公布,并将于明年1月1日起实施,这是国内数据领域首部综合性立法。该《条例》对APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题作出明确规定。《条例》指出,数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。《条例》还提出,处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。
4.国家药监局发布《人工智能医用软件产
品分类界定指导原则》
7月8日,国家药监局发布《人工智能医用软件产品分类界定指导原则》(下称《指导规则》)。《指导原则》明确,对于算法在医疗应用中成熟度低(指未上市或安全有效性尚未得到充分证实)的人工智能医用软件,若用于辅助决策,如提供病灶特征识别、病变性质判定、用药指导、治疗计划制定等临床诊疗建议,按照第三类医疗器械管理。
5.国家网信办发布《网络安全审查办法
(修订草案征求意见稿)》
7月10日,国家网信办发布《网络安全审查办法(修订草案征求意见稿)》(下称《办法》),公开征求意见至2021年7月25日。《办法》拟规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。《办法》重大变动之处有四:一是扩大审查的对象及行为,将数据处理者开展数据处理活动影响或可能影响国家安全的情形也纳入网络安全审查范围;二是规定强制进行网络安全审查的情形是“掌握超过100万用户个人信息的运营者赴国外上市”;三是评估的因素增加了数据出境安全及国外上市后可能导致的数据安全问题;四是处罚依据补充了《数据安全法》。
6.广东省政府发布《广东省数据要素市场
化配置改革行动方案》
7月11日,广东省政府发布《广东省数据要素市场化配置改革行动方案》(下称《行动方案》)。《行动方案》明确了五大方面24项任务,从释放公共数据资源价值、激发社会数据资源活力、加强数据资源汇聚融合与创新应用、促进数据交易流通、强化数据安全保护等方面着力,大力加快培育数据要素市场。《行动方案》提出,要推动粤港澳大湾区数据有序流通。建设粤港澳大湾区大数据中心。支持广州南沙(粤港澳)数据要素合作试验区、珠海横琴粤澳深度合作区建设,探索建立“数据海关”,开展跨境数据流通的审查、评估、监管等工作。
7.民航局发布《民用航空安全信息保护管
理办法(征求意见稿)》
7月13日,民航局发布《民用航空安全信息保护管理办法(征求意见稿)》(下称《管理办法》),公开征求意见至2021年7月29日。《管理办法》拟规定,安全信息根据信息重要程度分为涉密级安全信息、敏感级安全信息和一般级安全信息。其中敏感级安全信息是指不属于涉密安全信息,但泄露后会影响安全工作正常开展或引起媒体和社会过度关注,对民航整体形象造成负面影响的安全信息。
8.三部门联合发布《网络产品安全漏洞管
理规定》
7月13日,工信部、国家网信办、公安部联合发布《网络产品安全漏洞管理规定》(下称《规定》)。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。此外,《规定》还要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。
9.发改委发布《全国公共信用信息基础目
录(2021年版)(征求意见稿)》
7月13日,发改委发布《全国公共信用信息基础目录(2021年版)(征求意见稿)》(下称《基础目录》)和《全国失信惩戒措施基础清单(2021年版)(征求意见稿)》,公开征求意见至2021年8月11日。《基础目录》共纳入注册登记信息、司法裁判仲裁执行信息、职称和职业资格信息等11项公共信用信息,并明确了公共信用信息采集的重点领域。此外,《基础目录》还明确了须严格依法依规审慎纳入的自然人、法人和非法人组织相关信息。
10.上海市商务委员会印发《上海市推进
商业数字化转型实施方案(2021-
2023年)》
7月15日,上海市商务委员会印发《上海市推进商业数字化转型实施方案(2021-2023年)》(下称《实施方案》)。《实施方案》提出,把数字化转型作为上海商业“十四五”发展的主攻方向之一,围绕商业领域线上线下深度融合和创新,全面提升商业数字化、网络化、智能化水平。《实施方案》提出以下重点任务:支持跨境电商做大做强、推进网络新消费品牌建设,打造线上线下联动的公共平台,建设数字化商圈商街、推进智慧早餐、建设智慧菜场、构建智慧供应链生态圈、发展高质量直播电商,加强商务领域数据安全保障,完善城市物流基础设施、优化智能末端配送体系并在有条件的区开展智能取餐柜示范试点、加快智慧零售终端建设。
11.上海市经信委发布《上海市智能网联汽
车测试与示范实施办法(征求意见稿)》
7月16日,上海市经济和信息化委员会发布关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告。该征求意见稿在第三章第二节增加“网络及数据安全”章节,针对目前国家和行业都关注的智能网联汽车网络和数据安全,对申请主体提出了相关准入和管理要求。
12.广电总局发布《广播电视网络安全等级
保护基本要求》
7月21日,广电总局发布《广播电视网络安全等级保护基本要求》(下称《基本要求》)。《基本要求》明确了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求,且《基本要求》适用于指导分等级的非涉密对象的安全建设和监督管理。《基本要求》指出,第一级安全保护能力应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
13.三部门联合发布《数字经济对外投资合
作工作指引》
7月23日,商务部、中央网信办、工信部联合发布《数字经济对外投资合作工作指引》(下称《指引》),明确推动传统产业数字化转型等11项重点工作。《指引》强调要做好数字经济走出去风险防范。鼓励数字经济企业完善内部合规制度,严格落实我国法律法规有关数据出境安全管理的规定,遵守东道国法律法规及国际通行规则,妥善应对数字经济领域审查和监管措施。提高知识产权保护意识,健全数据安全管理制度,采取必要技术措施,保护数据安全和个人信息,支持企业通过法律手段维权。密切跟踪全球数字经济反垄断及加征数字税最新政策动向,做好应对准备。
14.全国信安标委发布《信息安全技术
信息系统安全保障评估框架 第1部分:
简介和一般模型(征求意见稿)》
7月23日,全国信安标委公开发布《信息安全技术信息系统安全保障评估框架 第1部分:简介和一般模型(征求意见稿)》,并面向社会公开征求意见。本标准不仅可以作为信息系统安全保障评估的基础标准,也可以为从事信息系统安全保障工作的所有相关方(包括设计开发者工程实施者、评估者、认证认可者等)提供一种标准化、规范化的通用描述语言、结构和方法。在本标准中,信息系统作为评估对象,不仅涉及系统自身,而且还包含信息系统运行环境的管理、工程等,是用于采集处理存储、传输、分发和部署信息的整个基础设施,组织结构、人员等的总和。
15.三部门联合印发《关于加快推进互联网
协议第六版(IPv6)规模部署和应用工作
的通知》
7月23日,中央网信办、发改委、工信部联合印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(下称《通知》)。《通知》部署了强化网络承载能力、优化应用服务性能、提升终端支持能力等十项重点任务。到2025年末,全面建成领先的IPv6技术、产业、设施、应用和安全体系,IPv6活跃用户数达到8亿,物联网IPv6连接数达到4亿。增强IPv6网络互联互通能力。加快推进互联网交换中心(含新型互联网交换中心)、互联网直联点IPv6改造,新建交换中心和直联点全面支持IPv6,优先提升互联网国际出入口IPv6带宽,保障国内及国际互联网IPv6流量有效转接。
16.广州市政府发布《广州市推行首席数据
官制度试点实施方案》
7月27日,广州市政府发布《广州市推行首席数据官制度试点实施方案》。2022年组建起市区两级、市各有关部门的首席数据官工作队伍,健全首席数据官管理体系,完善议事协调工作机制。建立上下贯通的首席数据官组织体系。设立广州市首席数据官一名,广州市“数字政府”改革建设工作领导小组办公室设首席数据执行官一名,广州市各有关部门设部门首席数据官一名,各区参照建立首席数据官组织体系,设区首席数据官一名。
17.科技部发布《关于加强科技伦理治理的
指导意见(征求意见稿)》
7月28日,科技部发布《关于加强科技伦理治理的指导意见(征求意见稿)》(下称《指导意见》),公开征求意见至2021年8月26日。《指导意见》拟规定,要严肃查处科技伦理违规行为。相关行业主管部门、资助机构或责任人所在单位要区分不同情况,依法依规对科技伦理违规行为责任人给予责令停止相关科技活动,追回资助资金,撤销获得的奖励、荣誉,取消相关从业资格,限制一定期限直至永久承担或参与财政性资金支持的科技活动,一定期限或永久禁止从事相关科技活动等处理。
18.最高法发布《关于审理使用人脸识别
技术处理个人信息相关民事案件适用法律
若干问题的规定》
7月28日,最高法发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《规定》)。《规定》从侵权责任、合同规则以及诉讼程序等方面规定了16个条文。针对社会反映强烈的几类典型行为,《规定》第2条均予以列举,并明确将之界定为侵害自然人人格权益的行为。此外,《规定》第10条,还针对物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式的现象做出明确规定。
二
域外动态
1.意大利批准“108号+公约”
7月8日,欧洲委员会(“CoE”)宣布,意大利常驻欧洲委员会代表米歇尔·贾科梅利大使在欧洲委员会副秘书长比约恩·贝尔热的见证下交存了批准《关于个人数据自动化处理的个人保护公约》(“108号+公约”)修正议定书的文书。至此,意大利成为第12个批准“108号+公约”的国家。
2.纽约生物识别隐私法案生效
7月9日,纽约生物识别隐私法案,即纽约市议会第1170-2018号法案,正式生效。其中涉及要求企业告知消费者使用生物特征识别技术并禁止销售生物特征识别信息。根据法案规定,如果特定商业机构收集了消费者的生物识别信息,按照法案要求,需要张贴告示牌,明确告知消费者收集了他们的生物识别信息。此外,法案还规定了私人诉讼权。
3.EDPB发布GDPR下关于控制者和处理者
概念的指南
7月13日,欧洲数据保护委员会(“EDPB”)发布了《通用数据保护条例》(GDPR)下关于控制者和处理者概念的指南的最终版本。指南强调控制,共同控制和处理器的概念在GDPR的应用起到至关重要的作用。
4.西班牙总统签署公布《数字权利宪章》
7月14日,西班牙总统签署公布了旨在保护互联网和人工智能新时代公民权利的《数字权利宪章》。该宪章包括六大类权利:数据保护权、假名化权、不被定位和画像权,以及网络安全权。此外,该宪章还提出在数字环境中对未成年人的保护,强调未成年人可以参与教育机构和任何法人、自然人在数字环境中开展的活动,教育机构和其他法人、自然人必须尊重未成年人的权利隐私、数据保护和保密性,在收集处理其个人数据之前应征得本人或其监护人(如本人未满14岁)的同意。
5.美国统一法律委员会批准《统一个人
数据保护法》
7月14日,美国统一法律委员会在2021年度委员会会议上批准了《统一个人数据保护法》。这意味着当前美国各州可以采用该法的现有形式,或使用自己的立法版本。这项法律将为美国的消费者提供“合理”的保护。该法承认了数据保护和个人数据的重要性,同时指出了有关数据方面的禁止行为。此外,该法规定了相应的执法机制,以确保遵守该法。这是一项旨在统一州隐私立法的示范法案。经过最终修订,该法案预计将在2022年1月被州立法机构引入。
6.EDPB公布《虚拟语音辅助准则02/2021》
7月14日,欧洲数据保护委员会(“EDPB”)公布了其2021年7月7日通过的《虚拟语音辅助准则02/2021》的最终版本。准则特别指出,提供虚拟语音辅助服务的数据控制者及其处理者必须同时遵守GDPR和《隐私和电子通信指令》的规定。由于虚拟语音助手涉及多个用户和生态系统的复杂性,准则突出强调了GDPR的透明性原则。准则建议数据控制方应尽早通知用户,最迟在处理时通知用户,当变更数据处理目的时,需重新获得用户单独同意。
7.日本发布修订后的企业隐私治理指南
7月19日,日本经济产业省(“METI”)发布修订后的企业隐私治理指南。经济产业省指出,修订后的指南包括更新的具体示例,可在建立治理时用作参考。此外,该报告提出了几个需要考虑的风险识别程序,包括资产的盘点和估值、漏洞识别和风险分类。
注:本文域内动态主要整理自工信部、国家网信办等官方网站,威科法律信息库以及本地生活法律评论等公众号。本文域外动态主要整理自美国FTC、European union、EDPB等官网,DataGuidance等网站,出海互联网法律观察、数据合规评论等公众号。
整理:李群涛
编辑:徐静赛
审稿:刘秀丽
更多精彩内容
【研究院动态】我院成功举办杭州互联网法院新发展阶段推进数字治理体系和治理能力现代化专题研修班
专注“互联网法治”研究👉