【立法动态】2021年9月互联网法治域内外立法动态
2021.9月
互联网法治
域内外立法动态
编者按:本文着眼于互联网领域(尤其是数据与个人信息保护领域)域内外相关立法动态。重点整理域内外9月正式制定公布的法律规范和相关文件以及重要的征求意见稿、草案。立法动态按照先域内后域外的顺序排布;其中域内、外动态各按日期排序。由于范围选择有限,难免有所疏漏,敬请读者海涵。
★ 目次 ★
一、域内动态
1.深圳发布《深圳经济特区数字经济产业促进条例(草案)》
2.民航局发布《智慧民航数据治理-数据安全规范》等征求意见稿
3.证监会发布《证券期货业网络安全等级保护基本要求》等行业标准
4.司法部发布《电子数据公证保管技术规范》等行业标准
5.民航局发布《民用航空安全信息保护管理办法》
6.中共中央办公厅、国务院办公厅发布《关于加强网络文明建设的意见》
7.国家网信办发布《关于进一步压实网站平台信息内容主体责任的意见》
8.国家能源局发布《供电企业信息公开实施办法(征求意见稿)》
9.国家市场监督管理总局等两部门联合发布《信息安全技术 重要数据识别指南》(征求意见稿)
10.江苏省颁布《建筑物移动通信基础设施建设标准》
11.生态环境部发布《企业环境信息依法披露管理办法(公开征求意见稿)》
12.人民银行等十部门联合发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》
13.国家新一代人工智能治理专业委员会发布《新一代人工智能伦理规范》
14.发改委、中宣部等十一部门联合发布《关于整治虚拟货币“挖矿”活动的通知》
15.国家网信办、中宣部等九部门联合发布《关于加强互联网信息服务算法综合治理的指导意见》
16.国家税务总局发布《重大税收违法失信主体信息公布管理办法(修改草案征求意见稿)》
17.工信部、中央网信办等八部门联合发布《物联网新型基础设施建设三年行动计划(2021-2023年)》
18.山东省发布《山东省大数据发展促进条例》
二、域外动态
1.阿联酋制定《联邦数据法》
2.斯里兰卡发布《个人数据处理监管法》最终草案
3.塔吉克斯坦共和国公布《塔吉克斯坦共和国信息法草案》
4.澳大利亚、新西兰发布COVID-19隐私指南
5.日本更新关于《个人信息保护法》一般准则的Q&A
6.新加坡发布IT系统最佳实践指南和清单
7.新加坡更新《数据保护管理方案制定指南》和《数据保护影响评估指南》
8.巴西发布消费者数据保护指南
9.土耳其发布关于处理生物识别数据的注意事项的指南
10.沙特阿拉伯批准个人数据保护法
11.美国发布关于欧盟-美国隐私保护和数据流的报告
12.英国政府发布国家人工智能战略
13.加拿大魁北克颁布新隐私立法
14.乌拉圭更新数据跨境传输制度
一
域内动态
1.深圳发布《深圳经济特区数字经济产业促进条例(草案)》
8月29日,《深圳经济特区数字经济产业促进条例(草案)》提请深圳市人大常委会会议审议,以进一步优化数字经济产业发展环境。《条例(草案)》提出,依法设立数据交易场所,探索开展数据跨境流通交易。
《条例(草案)》还在全国首次提出探索建立数据生产要素会计核算制度,明确核算范围、核算分类、初始计量、资产处置等账务处理及报表列示事项,准确、全面反应数据生产要素的资产价值,推动数据生产要素资本化核算。
2.民航局发布《智慧民航数据治理-数据安全规范》等征求意见稿
9月3日,民航局发布智慧民航数据治理《框架与管理机制规范(征求意见稿)》、《数据安全规范(征求意见稿)》(下称《安全规范》)等5部标准。《安全规范》主要内容包括:总则、术语、民航数据安全治理框架、民航数据安全分级、民航数据全生命周期安全防护、民航数据安全组织保障。在数据安全共享方面,《安全规范》拟规定,数据对单位外共享时,应与数据接收方通过合同协议等方式,明确双方在数据安全方面的责任及义务,并约定共享数据的内容和用途、使用范围等。
3.证监会发布《证券期货业网络安全等级保护基本要求》等行业标准
8月30日,中国证监会发布《证券期货业网络安全等级保护基本要求》(下称“基本要求”)、《证券期货业网络安全等级保护测评要求》,自公布之日起施行。《基本要求》明确,证券期货业等级保护对象是指证券期货业网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
4.司法部发布《电子数据公证保管技术规范》等行业标准
9月7日,司法部发布了《司法行政信息资源中心建设规范(SF/T 0089-2021)》、《电子数据公证保管技术规范(SF/T 0091-2021)》(下称《技术规范》)等4项行业标准。《技术规范》明确,电子数据公证保管种类包括原创作品数据保管和公证取证数据保管,原创作品数据是非公证机构或公证行业所管控的系统生成的电子数据,公证取证数据是由公证机构或公证行业所管控的电子数据公证保管系统生成的电子数据。
5.民航局发布《民用航空安全信息保护管理办法》
8月23日,民航局发布《民用航空安全信息保护管理办法》。该办法自2021年10月1日起施行。原《关于印发<民用航空器不安全事件调查信息保护管理办法>的通知》同时废止。《办法》明确,安全信息根据信息重要程度分为涉密级安全信息、敏感级安全信息和一般级安全信息。其中,敏感安全信息,是指不属于涉密安全信息,但在特定时间内泄露后会影响安全工作正常开展或引起媒体和社会误读的安全信息。
6.中共中央办公厅、国务院办公厅发布《关于加强网络文明建设的意见》
9月14日,中共中央办公厅、国务院办公厅印发了《关于加强网络文明建设的意见》。《意见》包括总体要求、加强网络空间思想引领、加强网络空间文化培育、加强网络空间道德建设、加强网络空间行为规范、加强网络空间生态治理、加强网络空间文明创建、组织实施八个部分。在加强网络空间生态治理方面,《意见》指出,要加强个人信息保护法、数据安全法贯彻实施,加快制定修订并实施文化产业促进法、广播电视法、网络犯罪防治法、未成年人网络保护条例、互联网信息服务管理办法等法律法规。
7.国家网信办发布《关于进一步压实网站平台信息内容主体责任的意见》
9月15日,国家网信办发布《关于进一步压实网站平台信息内容主体责任的意见》。《意见》首次系统提出网站平台履行信息内容管理主体责任的工作要求。《意见》首先从4个维度明确把握主体责任的内涵,然后从完善平台社区规则、加强账号规范管理、健全内容审核机制、提升信息内容质量、规范信息内容传播、加强重点功能管理、坚持依法合规经营、严格未成年人网络保护、加强人员队伍建设等9个方面,对网站平台履行主体责任提出具体要求。
8.国家能源局发布《供电企业信息公开实施办法(征求意见稿)》
9月18日,国家能源局发布《供电企业信息公开实施办法(征求意见稿)》。《办法》明确,供电企业信息公开的内容,分为主动公开的信息和依申请公开的信息。《办法》提出,供电企业应当主动公开的信息包括:供电企业基本情况。企业性质、办公地址、营业场所、联系方式、电力业务许可证(供电类)及编号等。如有变化需自发生变化之日起20个工作日内更新等内容。
9.国家市场监督管理总局等两部门联合发布《信息安全技术 重要数据识别指南》(征求意见稿)
9月23日,国家标准《信息安全技术 重要数据识别指南》(征求意见稿)全文首度公开。其中,标准提出:识别重要数据的基本原则是:1.聚焦安全影响;2.促进数据流动;3.衔接既有规定;4.综合考虑风险;5.定量定性结合;6.动态识别复查。重要数据的特征包括:1.与经济运行相关;2.与人口与健康相关;3.与自然资源与环境相关;4.与科学技术相关;5.与安全保护相关;6.与应用服务相关;7.与政务活动相关;8.其他。
10.江苏省颁布《建筑物移动通信基础设施建设标准》
9月24日,《建筑物移动通信基础设施建设标准》获江苏省政府批准发布,将于12月1日起在江苏省施行。该标准是国内首个要求室外基站与建筑物一体化设计的强制性地方标准,也是江苏省加快推进5G网络、千兆光网协同高质量发展的重要支撑。《标准》明确了“三同步”要求,即室外基站基础设施、室内无线覆盖系统和建筑物应同步设计、同步施工、同步验收,并预留相关资源。《标准》还提出了建筑物室内外协同覆盖的一体化解决方案,特别是明确建筑物配建室外基站基础设施的数量、位置和方式。
11.生态环境部发布《企业环境信息依法披露管理办法(公开征求意见稿)》
9月24日,生态环境部发布《企业环境信息依法披露管理办法(公开征求意见稿)》(下称《办法》)和《企业环境信息依法披露格式准则(公开征求意见稿)》。在年度环境信息依法披露方面,《办法》要求重点排污单位披露企业环境管理信息、污染物产生、治理与排放信息、二氧化碳排放信息等九类信息。此外,《办法》还要求上市公司和发债企业在披露九类信息的基础上,披露融资所投项目的应对气候变化、生态环境影响和保护等信息。
12.人民银行等十部门联合发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》
9月24日,人民银行等十部门联合发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》。《通知》明确,比特币、以太币、泰达币等虚拟货币不具有法偿性,不应且不能作为货币在市场上流通使用。虚拟货币相关业务活动属于非法金融活动,境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动。《通知》要求,金融机构和非银行支付机构不得为虚拟货币相关业务活动提供账户开立、资金划转和清算结算等服务,不得将虚拟货币纳入抵质押品范围,不得开展与虚拟货币相关的保险业务或将虚拟货币纳入保险责任范围。
13.国家新一代人工智能治理专业委员会发布《新一代人工智能伦理规范》
9月25日,国家新一代人工智能治理专业委员会发布了《新一代人工智能伦理规范》,旨在将伦理道德融入人工智能全生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。《伦理规范》提出了增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养等6项基本伦理要求。同时,提出人工智能管理、研发、供应、使用等特定活动的18项具体伦理要求。
14.发改委、中宣部等十一部门联合发布《关于整治虚拟货币“挖矿”活动的通知》
9月24日,发改委、中宣部等11部门联合发布《关于整治虚拟货币“挖矿”活动的通知》。《通知》指出,加强虚拟货币“挖矿”活动上下游全产业链监管,严禁新增虚拟货币“挖矿”项目,加快存量项目有序退出,促进产业结构优化和助力碳达峰、碳中和目标如期实现。《通知》还明确,要区分虚拟货币“挖矿”增量和存量项目。严禁投资建设增量项目,禁止以任何名义发展虚拟货币“挖矿”项目;加快有序退出存量项目,在保证平稳过渡的前提下,结合各地实际情况科学确定退出时间表和实施路径。
15.国家网信办、中宣部等九部门联合发布《关于加强互联网信息服务算法综合治理的指导意见》
9月29日,国家网信办、中宣部等九部门联合发布《关于加强互联网信息服务算法综合治理的指导意见》。《指导意见》指出,利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。《指导意见》提出,要加强算法治理规范。健全算法安全治理政策法规,加快制定算法管理规定,明确算法管理主体、管理范围、管理要求和法律责任等,完善算法安全治理措施,制定标准、指南等配套文件。
16.国家税务总局发布《重大税收违法失信主体信息公布管理办法(修改草案征求意见稿)》
9月30日,国家税务总局发布了《重大税收违法失信主体信息公布管理办法(修改草案征求意见稿)》。修改草案分5章(总则、失信主体的确定、信息公布及惩戒措施、信用修复、附则)27条,和现行办法相比,删除7条,新增15条,修改12条。
17.工信部、中央网信办等八部门联合发布《物联网新型基础设施建设三年行动计划(2021-2023年)》
9月28日,工信部、中央网信办等八部门联合发布《物联网新型基础设施建设三年行动计划(2021-2023年)》,明确提出,到2023年底,在国内主要城市初步建成物联网新型基础设施,社会现代化治理、产业数字化转型和民生消费升级的基础更加稳固。在加强标准体系建设方面,《行动计划》提出,要优化完善物联网标准体系,建立物联网全产业链标准图谱,加快新技术产品、基础设施建设、行业应用等国家和行业标准制修订,鼓励团体标准先行先试。
18.山东省发布《山东省大数据发展促进条例》
9月30日,山东省人大常委会发布《山东省大数据发展促进条例》。根据该条例,国家机关、法律法规授权的具有管理公共事务职能的组织、人民团体以及其他具有公共服务职能的企业事业单位等,在依法履行公共管理和服务职责过程中收集和产生的各类数据,统称公共数据,由县级以上人民政府大数据工作主管部门按照国家和省有关规定组织进行汇聚、治理、共享、开放和应用。利用财政资金购买公共数据之外的非公共数据的,除法律、行政法规另有规定外,应当报本级人民政府大数据工作主管部门审核。
二
域外动态
1.阿联酋制定《联邦数据法》
9月5日,阿拉伯联合酋长国宣布《联邦数据法》即将出台。制定《联邦数据法》是阿联酋为提高经济实力而开展的50个项目中首批倡议的一个。阿联酋数字经济、人工智能和远程工作系统部部长形容该法是一部“全球法律”,它能够保护人们的隐私,对如何使用个人数据进行约束。该部法律旨在正常合规义务的情形下促进数据跨境传输与私营企业发展。
2.斯里兰卡发布《个人数据处理监管法》最终草案
9月5日,斯里兰卡信息和通信技术局('ICTA')发布了《个人数据处理监管法》的另一个最终草案,这是继2020年3月发布的版本之后的新版本,现已提交给内阁。ICTA强调,该立法旨在平衡依赖个人数据处理的企业的利益和个人数据被处理的个人利益,以确保透明度,以及处理活动的问责制。此外,ICTA指出,这项立法对那些作为数据控制者和处理者的人规定了一些义务,并且根据这项新的立法,赋予数据主体一整套新的法定权利。ICTA补充说,已经引入了一些规定,使数据保护局能够对不遵守新立法规定的实体发出指令,并且只对那些不遵守上述指令的实体进行行政处罚。ICTA还澄清说,关于处罚的规定是有门槛的,而不是根据控制者的全球营业额计算的罚款。
3.塔吉克斯坦共和国公布《塔吉克斯坦共和国信息法草案》
9月7日,塔吉克斯坦共和国议会公布了《塔吉克斯坦共和国信息法草案》。该法典草案为信息活动建立了法律基础,旨在通过建立合法的信息制度来落实信息的获取权和保护。更具体地说,该法典草案定义了包括信息安全、个人数据、未经授权的访问、用户和信息泄露等概念。此外,法典草案规定了数据主体的信息权和避免滥用信息的权利。此外,守则草案概述了保护可能因非法处理而对所有者、使用者和其他人造成伤害的信息的要求,包括采取安全措施,如组织和技术措施。此外,守则草案指出,应制定信息保护的要求、规则和条件。
4.澳大利亚、新西兰发布COVID-19隐私指南
9月9日报道,澳大利亚信息专员办公室与州和领地隐私专员发布了COVID-19隐私原则,“以支持在全国范围内采取一致的解决方案和举措,旨在解决与COVID-19大流行相关的持续风险。”这些原则包括数据最小化、目的限制、安全、保留/删除和隐私法规定。同时,新西兰隐私专员办公室发布了指南,以帮助组织保护个人隐私,同时为COVID-19联系人追踪目的保留记录。该办公室表示,记录保存系统和流程必须遵守《2020年隐私法》,包括安全地维护数据和仅收集必要的信息。
5.日本更新关于《个人信息保护法》一般准则的Q&A
9月10日,日本个人信息保护委员会('PPC')宣布,它已经更新了关于《个人信息保护法》(2003年第57号法案,2015年修订)('APPI')一般准则的Q&A。PPC指出,Q&A是根据2020年对APPI的修订而更新的。为此,更新后的Q&A包括关于来自机器学习训练数据集的个人信息、面部识别的使用和个人信息泄露报告的补充信息。
6.新加坡发布IT系统最佳实践指南和清单
9月14日,新加坡个人数据保护委员会 (“PDPC”)发布了一系列ICT系统资源,包括数据保护实践指南和关于防范常见类型数据泄露的手册以及清单。特别是,该指南汇集了过去PDPC咨询中的最佳实践,组织可以将这些最佳实践纳入其 ICT 政策、系统和流程。
7.新加坡更新《数据保护管理方案制定指南》和《数据保护影响评估指南》
9月14日,新加坡个人数据保护委员会("PDPC")宣布,它已经更新了《数据保护管理方案制定指南》("DPMP")和《数据保护影响评估指南》("DPIA")。PDPC特别指出,这两份指南已经更新,以纳入问责制的最佳做法,支持组织的政策和流程,并与2012年修订的《个人数据保护法》(2012年第26号)规定的新义务保持一致。在这方面,DPMP指南旨在帮助组织通过实施DPMP来发展和改善其数据保护做法,而DPIA指南则概述了组织在对系统和流程进行DPIA时的关键原则和考虑。
8.巴西发布消费者数据保护指南
9月13日报道,巴西的数据保护机构(“ANPD”)与司法和公共安全部的国家消费者秘书处一起发布了一份指南,以帮助消费者了解如何保护他们的数据并根据一般数据保护法行使数据保护的权利。消费者被提供了有关某些处理活动需要或允许哪些数据以及如果违反 LGPD 时他们可以做什么的详细信息。同时,ANPD 已开始检查巴西制药行业的数据保护实践。
9.土耳其发布关于处理生物识别数据的注意事项的指南
9月16日,土耳其个人数据保护局('KVKK')发布关于处理生物识别数据的注意事项的指南。该指南确定了生物识别数据的定义、数据的处理方式、处理过程中应遵循的原则,以及应采取的措施。此外,指导意见指出,数据控制者将能够根据第6698号《个人数据保护法》第4条和第6条规定的一般原则和条件来处理生物识别数据,但也要符合以下原则,如确保:基本权利和自由的本质;处理方法适合并与实现处理目的相称,处理活动适合并与要实现的目的相称;数据的保存时间为必要的时间,同时在必要性消失后毫不拖延地销毁数据;根据法律第10条的规定,数据主体被告知;以及已获得相关人员的明确同意。
10.沙特阿拉伯批准个人数据保护法
9月17日报道,沙特阿拉伯部长理事会批准了《个人数据保护法》,该法将于2022年3月13日生效。沙特阿拉伯数据和人工智能管理局主席阿卜杜拉·本·沙拉夫·阿尔加姆迪在一份声明中表示,该法律将加速沙特阿拉伯的数字化进程,并促进建设信息化社会。
11.美国发布关于欧盟-美国隐私保护和数据流的报告
9月22日,美国国会研究服务处("CRS”)发布了其关于欧盟-美国隐私保护和跨大西洋数据流的报告。该报告讨论并提供了以下问题的背景:美国和欧盟数据隐私制度差异、隐私保护的发展和加强后继协议的前景、对美国利益的影响以及国会问题等。具体而言,该报告概述了隐私保护框架、隐私保护框架的关键原则和实施、执法行动、无效行为及对组织的指导,以及美国和欧盟之间数据流动的未来前景等。
12.英国政府发布国家人工智能战略
9月22日,英国政府宣布,数字、文化、媒体和体育部(“DCMS”)向议会提交了“国家人工智能战略”。该战略指出,政府正在考虑如何改善对有效利用人工智能至关重要的私营部门和第三方部门的数据基础,同时指出,根据磋商结果,它将更明确地允许收集和处理敏感和受保护的特征数据,以监控和减轻人工智能系统中的偏见。
13.加拿大魁北克颁布新隐私立法
9月22日报道,加拿大魁北克通过了更新其个人数据保护框架的立法。信息访问委员会表示,第64号法案使有关保护个人信息的立法条款更加现代化以应对数字时代的挑战。该立法明确了收集、使用或公布个人信息的同意要求,确立了访问个人信息的权利,提高了对违规行为的潜在罚款数额等。该委员会还将发布信息和相关工具,以帮助公司和公共机构遵守新的合规义务。
14.乌拉圭更新数据跨境传输制度
9月23日报道,乌拉圭数据保护机构(URCDP)宣布更新其跨境数据传输制度。URCDP将美国从符合建立数据流条件的国家列表中删除。数据保护机构还针对适当的传输机制提出建议(包括SCCs和利益相关方的同意),同时规定六个月时间以将该机制应用于现有的数据流。此外,该机构还发布了一份起草SCCs的指南。
注:本文域内动态主要参考工信部、国家网信办、上海政府网等官方网站,威科法律信息库以及本地生活法律评论等公众号;本文域外动态主要参考美国FTC、European union、EDPB、IAPP等官网,DataGuidance等网站,出海互联网法律观察、数据合规评论等公众号,笔者对上述来源由衷感谢。
整理:李群涛
编辑:徐静赛
审稿:郑聪聪