月度热点 | 国际ICT立法跟踪4月热点
全文约3100字,预计阅读时间18分钟
一、ChatGPT引发新一轮人工智能监管热潮
4月,意大利数据保护机构(Garante)临时限制ChatGPT开发商OpenAI对意大利用户数据进行处理,并对该公司展开调查。Garante指出,OpenAI缺少向用户做出收集信息的提示,并缺乏“大规模收集和存储个人数据”的法律依据。英国信息专员办公室(ICO)发布了《生成性人工智能使用指南》,概述了ICO将关注的八个具体领域,包括个人信息处理的合法性基础、是否经过数据保护影响测试、透明性责任、安全性保障措施等内容。加拿大隐私专员办公室正在调查一项关于ChatGPT未经同意收集、使用和揭露个人信息的指控。美国商务部就ChatGPT等AI工具监管措施公开征求意见。联合国教科文组织呼吁各国立即全面实施其《人工智能伦理问题建议书》。德国数据保护机构正在酝酿人工智能监管相关法规和对ChatGPT的禁令,并对OpenAI的隐私实践及是否遵守GDPR的相关规定展开审查。根据《人工智能法案》最新的妥协文本,欧洲议会将对ChatGPT等基础模型提出更严格的规则,并将其与通用人工智能区分开。美国消费者金融保护局(CFPB)、美国司法部(DOJ)、美国平等就业机会委员会(EEOC)和美国联邦贸易委员会(FTC)发布关于人工智能的联合声明。
在立法层面,法国批准了欧洲委员会第108+号公约,以保护个人数据的自动处理。公约进一步加强了数据主体权利,并将自动化决策等新技术应用纳入其规制范围。美国加州更新《加州消费者隐私法案》,已获批准通过。美国白宫科学和技术政策办公室发布《推进隐私保护数据共享和分析的国家战略》以促进公共和私营部门的用户数据隐私保护,重点是以公平的方式减轻偏见和最大限度地提高效率。欧洲数据保护委员会(EDPB)发布了有关个人数据泄露的最新指南,更新了非欧盟机构在发生数据泄露时的通知要求。美国华盛顿州众议院投票通过《我的健康我的数据法案》,对消费者健康数据保护规则进行实质性修改。爱尔兰数据保护委员会发布了四份《GDPR下儿童数据权利保护的家长指南》。英国《数据保护和数字信息法案》获得议会二读通过。日本总务省和经济产业省发布《医疗信息处理信息系统和服务提供者安全管理指南1.1版(草案)》并征求意见,强化医疗信息的安全管理。越南政府发布《个人数据保护法》(PDPD),将于2023年7月1日正式生效。
在执法层面,美国联邦贸易委员会(FTC)针对非法使用儿童数据起诉亚马逊。英国信息专员办公室(ICO)对TikTok处以1270万英镑的罚款,原因是TikTok在未经父母同意的情况下使用13岁以下儿童的个人数据,并且未及时将未成年儿童的信息从平台上删除。
日本宣布限制向存在安全风险的国家出口23 种半导体制造设备。美国联邦通信委员会正式成立太空局和国际事务办公室。美国商务部正在考虑对俄罗斯网络安全公司卡巴斯基实验室采取执法行动。美国国防部发言人表示,美国有关乌克兰战争的高度机密文件的泄露事件对美国的国家安全构成了“非常严重的”风险。数字取证机构Citizen Lab和微软威胁情报部发表了关于以色列间谍软件公司QuaDream的详细报告,称其对多个地区的记者和政治家进行了监视。美国一个由众议院和参议院立法者组成的两党小组敦促国会与全球技术安全委员会合作制定全球技术安全战略,以应对中国和其他敌对民族国家构成的“技术威权主义”威胁。美国网络空间太阳能委员会的一份新报告认为,空间系统应该被国土安全部(DHS)正式指定为关键基础设施。欧盟委员会宣布通过《欧盟网络团结法》(EU Cyber Solidarity Act),将加强检测和发现网络安全威胁及事件的能力,并进一步提升关键实体的应对措施。新加坡计划修订1993年《计算机滥用法》,已经提交新加坡议会。
美国方面,美国联邦通讯委员会(FCC)主席建议对在美国提供电信服务的外国公司现有授权实行定期审议,对其运营许可证进行更多定期审查。美国总务管理局(GSA)宣布发布一套新准则,涉及联邦机构安全地购买5G技术等内容。美国联邦贸易委员会(FTC)发布新规则加大骚扰电话整治力度,与FCC合作开展“网关禁入”计划(Project Point of No Entry, PoNE),重点打击海外诈骗者和冒名顶替者,VoIP服务提供商应当配合“网关禁入”计划实施。美国众议院通过旨在打击华为和中兴的《反制不可信海外电信法案》。美国联邦通信委员会(FCC)通过了卫星系统频谱共享新规则,以支持卫星系统在频谱使用方面的竞争与合作,促进系统技术创新。
俄罗斯方面,俄罗斯国家杜马一读通过《俄罗斯联邦行政犯罪法》修正案,对未在其网络上安装监控系统(COPM)的电信运营商进行罚款,对初犯者处以年收入0.001%至0.003%的罚款,对再犯者处以年收入0.01%至0.03%的罚款。俄罗斯国家杜马还通过一项法律,规定购买国产设备的公司缴纳的所得税金额将低于通过进口购买相同设备的金额,旨在加速进口替代进程和在关键经济部门形成技术主权。
日本方面,日本总务省(MIC)发布《2022年Beyond 5G推进战略进展报告》,此外还发布了《移动电话/PHS号码携号转网实施指南》修订草案,并公开征求意见。
巴西财政部长表示,巴西将针对电子商务巨头出台打击性的税收措施,限制一些公司的税收优惠。英国通信监管机构将亚马逊和微软的云服务市场调查提交至该国竞争管理机构,亚马逊和微软可能面临更多的反垄断审查。印度竞争委员会CCI作出裁决后,几个部委正在讨论制定法律以遏制大型科技公司的数字主导地位。美国上诉法院维持了联邦法院的命令,要求苹果不能禁止链接到App Store以外的支付。欧盟委员会划定第一批《数字服务法》中的“超大型在线平台和在线搜索引擎”,由于这一批公司的月活用户达到4500万,它们将承担额外的监管要求,包括提供更明确的权利保障措施、提升透明度和问责措施等。
韩国国会全体会议通过《软件振兴法》部分修正案,强化了软件影响评估体系以培育商业软件产业。修正案赋予了韩国科学和信息通信技术部审查影响评估结果和要求改进的权力,同时也对其设定了为收到改进请求的订购组织制定改进措施的义务。法国企业事业总局开启了关于虚拟沉浸式宇宙的公众咨询,公民、相关企业和研究人员等多方主体可以在就虚拟增强现实、区块链现实和3D创作软件等技术的发展期望提交意见。美国商务部下属的国家电信和信息管理局(NTIA)就如何在业务运营中使用人工智能系统同时减轻危害征求公众意见。美国证券交易委员会就“将去中心化加密平台视为交易所”寻求公众意见。美国联邦航空管理局授予SpaceX许可证,允许SpaceX将其星际飞船火箭发射到轨道上。欧盟主要机构就《芯片法案》(Chips Act)达成了政治协议,为该法案的正式通过奠定基调。美国国土安全部(DHS)宣布成立人工智能工作组,并实施为期90天的应对中国挑战冲刺计划。白宫科技政策办公室(OSTP)、美国能源部(DOE)和美国国务院联合发布《国家创新路径报告》,强调了政府为加速关键清洁能源技术创新而采取的全面战略。美国众议院议员提出《为近期的应用建立量子沙盒法案》,要求商务部及其下属的国家标准与技术研究院建立一个“量子沙盒”计划,专注于促进商业技术的发展。
日本与欧盟结束“充分性认定”的首次审查,审查表明欧盟和日本的数据保护框架之间的趋同程度越来越高,并且该协议运作良好。欧洲数据保护委员会将讨论Meta公司欧盟-美国数据传输合法性案件中具有约束力的决定,该决定是GDPR第65条争端解决机制的产物,据此可以确定Meta公司是否可以继续使用标准合同条款维持欧盟-美国的数据传输。印度电信监管局(Trai)组织的一次开放讨论中提出,由于在印度使用海底电缆网络进行数据传输的公司必须符合合法拦截和监控(LIM)合规标准,因此上述法律被视为对印度成为西方向远东传输数据的数据传输中心的主要威慑。以色列司法委员会通过了从欧洲向以色列转移数据的隐私保护条例,包含删除数据、保持数据的准确性以及通知数据转移的义务等内容。
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用