本期内容:
国内数据法规政策动态
一、国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》
二、国务院公布《实施〈中华人民共和国反外国制裁法〉的规定》
三、国家互联网信息办公室发布《中华人民共和国网络安全法(修正草案再次征求意见稿)》
四、国家密码管理局发布《电子认证服务使用密码管理办法(征求意见稿)》
五、工业和信息化部等15部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》
六、国家知识产权局发布《知识产权数据使用手册及开放目录》
七、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求(征求意见稿)》
八、广州互联网法院发布《关于以高质量司法服务保障粤港澳大湾区可信数据空间建设的意见》
九、上海发布《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》
十、北京市发布《北京市数据跨境流动便利化综合配套改革实施方案》
十一、福建省发布《福建省公共数据资源登记管理办法(试行)》及《福建省公共数据运营服务费收费标准(试行)》
十二、天津市发布《天津市公共数据资源登记管理实施细则(试行)》
境外数据法规政策动态
一、欧洲数据保护委员会通过《关于控制者和处理者的约束性企业规则(BCR)的审批流程》
二、加拿大魁北克发布《招聘期间处理个人数据的指南》
三、韩国通过《个人信息保护法》修订案
四、法国发布《联网汽车位置数据的建议(草案)》
五、越南发布《个人数据保护法(草案)》
六、比利时发布《关于直接营销的第01/2025号建议》征求意见稿
全球数据监管执法动态
一、2025年个人信息保护系列专项行动启动
二、公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
三、英国国民医疗服务体系软件供应商因信息泄露被罚307万英镑
四、Modutour因数据泄露被罚7.572亿韩元
五、美国本田汽车公司因侵犯公民隐私权被罚63.25万美元
六、冰岛医疗机构因数据共享协议违法被罚500万冰岛克朗
国内数据法规政策动态
一、国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》
2025年3月21日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
《办法》明确了应用人脸识别技术处理人脸信息的基本要求。应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
《办法》明确了人脸识别技术应用安全规范。一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
《办法》明确了监督管理职责。个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
《办法》同时对违反规定的法律责任、相关术语的含义等作出了规定。
来源:国家互联网信息办公室
全文链接:
https://www.cac.gov.cn/2025-03/21/c_1744174262156096.htm
二、国务院公布《实施〈中华人民共和国反外国制裁法〉的规定》
2025年3月23日,国务院总理李强日前签署国务院令,公布《实施〈中华人民共和国反外国制裁法〉的规定》(以下简称《规定》)。《规定》自公布之日起施行,全文共22条,其中有关数据保护的规定如下:
一是完善反制措施。明确《中华人民共和国反外国制裁法》第六条第四项中的“其他必要措施”,包括但不限于禁止或者限制从事与我国有关的进出口活动,禁止或者限制在我国境内投资,禁止向其出口相关物项,禁止或者限制向其提供数据、个人信息,取消或者限制其相关人员在我国境内工作许可、停留或者居留资格,处以罚款。
二是强化措施执行。规定对不依法执行反制措施的,国务院有关部门有权责令改正,禁止或者限制其从境外接收或者向境外提供数据、个人信息。同时,规定被采取反制措施的组织、个人在改正行为、消除行为后果后,可以申请暂停、变更或者取消对其采取的反制措施。
来源:人民日报
全文链接:
https://www.gov.cn/zhengce/zhengceku/202503/content_7015404.htm
三、国家互联网信息办公室发布《中华人民共和国网络安全法(修正草案再次征求意见稿)》
2025年03月28日,国家互联网信息办公室发布《中华人民共和国网络安全法(修正草案再次征求意见稿)》(以下简称《征求意见稿》)公开征求意见,旨在做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
《征求意见稿》修改的主要内容如下:
1.网络运行安全责任:增加严重危害网络安全后果的处罚情形,如大量数据泄露、关键信息基础设施丧失功能等。参照《数据安全法》,调整《网络安全法》第五十九条的罚款幅度。新增对销售或提供未经安全认证、检测不合格的网络关键设备和网络安全专用产品的处罚。明确关键信息基础设施运营者使用未经安全审查或未通过审查的网络产品或服务的处罚措施。
2.网络信息安全责任:完善《网络安全法》第六十八条、第六十九条的违法情形,调整未报告或不按要求处置违法信息的法律责任。明确造成特别严重影响或后果的违法情形的处罚措施。
3.个人信息和重要数据安全责任:鉴于《数据安全法》《个人信息保护法》等法律对相关违法行为已有专门规定,明确适用转致规定。
4.从轻、减轻或不予处罚情形:新增衔接规定,明确网络运营者主动消除或减轻危害后果、违法行为轻微且及时改正等情形下,依法从轻、减轻或不予处罚。明确主管部门制定行政处罚裁量基准。
来源及全文链接:国家互联网信息办公室
https://www.cac.gov.cn/2025-03/28/c_1744779434867328.htm
四、国家密码管理局发布《电子认证服务使用密码管理办法(征求意见稿)》
2025年3月21日,国家密码管理局发布《电子认证服务使用密码管理办法(征求意见稿)》(以下简称《征求意见稿》)公开征求意见,旨在规范电子认证服务使用密码行为,保障电子认证服务使用密码安全。
《征求意见稿》包括总体要求、许可审批、运行规范、监督检查、法律责任和附则共6个方面内容,共23条,主要修订内容如下:
(一)关于适用范围
《征求意见稿》明确,在中华人民共和国境内的电子认证服务使用密码及其监督管理,适用本办法(第二条)。
(二)关于管理体制
根据新修订的《商用密码管理条例》有关规定,《征求意见稿》明确国家密码管理局和地方各级密码管理部门负责电子认证服务使用密码行为的监督管理工作(第四条)。
(三)关于许可办理
《征求意见稿》增设了电子认证服务使用密码许可条件(第五条),优化了许可申请材料和申请受理程序(第六条、第七条),完善了审查审批程序和许可证件内容(第八条至第十条),明确了许可事项变更和期满延续要求(第十一条、第十二条)。
(四)关于运行规范
根据国家有关加强事中事后监管要求和实际监管需求,《征求意见稿》对电子认证服务机构的安全管理、系统运行维护、合规性评估、人员培训等提出了规范要求,保障电子认证服务系统安全可靠运行和电子认证服务使用密码安全(第十三条至第十六条)。
(五)关于监督检查
《征求意见稿》进一步明确了监督检查方式及相关实施要求(第十七条至第十九条),增加了年度报告监督检查机制(第二十条)。
此外,《征求意见稿》还明确了违反本办法所应承担的法律责任(第二十一条至第二十二条)以及本办法的施行时间(第二十三条)。
来源:国家密码管理局
全文链接:
https://www.sca.gov.cn/sca/hdjl/2025-03/21/1061245/files/d0e34670a1884fa998d30feb4bb24e2d.doc
五、工业和信息化部等15部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》
2025年3月7日,为促进中小企业加强合规管理,贯彻落实党中央、国务院关于促进中小企业发展的决策部署,引导中小企业增强合规意识,提升合规管理水平,防范生产经营风险,促进高质量发展,工业和信息化部等15部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》(以下简称《指导意见》)。
《指导意见》明确网络和数据安全合规方面要引导中小企业遵守网络安全、数据安全等方面法律法规,加强信息系统、网络、数据的安全防护和安全意识教育;制定实施数据安全合规管理制度,加强对数据的分类分级和权限管理,加强人员管理和技术控制,履行重要数据识别备案、分级防护、风险评估等责任义务,防范并及时应对和处理数据泄露、篡改、丢失事件;重点梳理向第三方输出、共享、委托、提供数据,从第三方接受数据,处理个人信息及跨境传输数据等活动中的合规要求和风险,落实特定类型信息收集与使用合规义务,保护企业数据及个人信息安全。
来源及全文链接:工业和信息化部
https://www.gov.cn/zhengce/zhengceku/202503/content_7013576.htm
六、国家知识产权局发布《知识产权数据使用手册及开放目录》
2025年3月4日,国家知识产权局发布《知识产权数据使用手册及开放目录》(以下简称《手册》),旨在帮助社会公众和创新主体更好地获取和利用知识产权数据。
《手册》详细介绍了知识产权数据的基本概念、利用场景、获取方式及相关服务系统,并附有开放目录。
知识产权数据包括专利、商标、地理标志和集成电路布图设计等类型,具有时效性强、专业性强、规范性好等特点。这些数据在技术创新、政府决策、数据库建设等方面具有重要价值。例如,专利数据可用于了解技术发展趋势,商标数据可辅助品牌规划,地理标志数据可促进区域产业发展。
《手册》还详细介绍了多种知识产权数据的获取方式,包括通过国家知识产权公共服务平台进行查询检索和批量下载。公众可通过多个系统进行专利、商标、地理标志和集成电路布图设计数据的查询和分析。这些系统提供了丰富的功能,如专利检索、商标近似查询、地理标志数据检索等,方便用户根据自身需求进行操作。
此外,《手册》还介绍了国家知识产权公共服务平台及其相关子系统,如专利检索及分析系统、中国专利公布公告系统、外观设计专利检索公共服务系统等。这些系统为社会公众和创新主体提供了便捷的知识产权数据服务,助力科技创新和经济发展。
来源及全文链接:国家知识产权局
https://www.gov.cn/zhengce/zhengceku/202503/P020250313415969343322.zip
七、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求(征求意见稿)》
2025年3月4日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求(征求意见稿)》(以下简称《征求意见稿》),旨在为支撑个人信息保护合规审计工作,落实合规审计中专业机构相关规定。
《征求意见稿》适用于指导专业机构建设个人信息保护合规审计服务能力,也可为开展个人信息保护合规审计专业机构的认证提供依据,还可为个人信息处理者选择合规审计专业机构提供参考。
《征求意见稿》从多方面规范专业机构服务能力。基本条件方面,要求机构在境内注册、法人及高层无犯罪记录、未被列入负面清单等;管理体系上,需建立完善的管理制度和机制,涵盖责任制度、人员管理、方案审核等,同时做好风险控制和业务持续性保障;技术能力层面,机构要掌握法规标准知识,具备信息处理活动各环节的识别、检测及验证能力;人员能力方面,对人员数量、资质等级和背景审查等提出要求;场所与设备资源能力上,规定要有固定安全的办公场所,配备必要设备并做好安全防护与管理。
此外,文件附录对个人信息保护合规审计人员能力要求和任职资格进行详细规范,按能力和经验分为高、中、初三个等级,分别明确其专业知识、审计能力、沟通协调及报告文档等方面的要求和任职资格。
来源及全文链接:全国网络安全标准化技术委员会
https://www.tc260.org.cn/upload/2025-03-04/1741064830794064337.pdf
八、广州互联网法院发布《关于以高质量司法服务保障粤港澳大湾区可信数据空间建设的意见》
2025年3月30日,广州互联网法院在第三届人工智能法治论坛上正式发布《关于以高质量司法服务保障粤港澳大湾区可信数据空间建设的意见》(以下简称《意见》),为大湾区数字经济发展提供全方位司法护航。该文件系最高人民法院科技创新司法保障意见的细化落实,紧密衔接《广州市数据条例》,旨在打造数据要素市场化配置改革的司法样板。
《意见》构建起涵盖 12 个维度的司法保障体系,重点聚焦数据权属确权、流通交易、算法治理、跨境流动等核心领域。在数据权属保护方面,明确公共数据、企业数据、个人数据的差异化确权标准,平衡原始数据贡献与技术加工价值分配。针对数据交易纠纷,提出结合行业标准与合同约定判断履行标准,综合数据质量、安全保障等因素认定违约责任。
值得关注的是,《意见》首次系统回应算法公平与跨境数据流动两大前沿问题。在算法治理领域,要求建立算法透明度机制,审查开发者是否提供合理解释与申诉渠道;跨境流动方面,细化管辖权规则,区分个人信息、重要数据等不同场景,探索 "适当联系" 认定标准,为湾区 "一国两制三法域" 数据流通提供解决方案。
来源:广州互联网法院
九、上海发布《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》
2025年3月28日,上海市网信办会同市数据局发布《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》(以下简称《办法》)公开征求意见。
《办法》旨在建立健全网络数据分类分级制度及重要数据目录管理机制,保障数据安全并促进开发利用。适用于本市范围内各行业、领域相关工作及其安全监管,核心数据、涉密数据处理活动按国家及相关法规执行。
以下为《办法》的主要内容:
在数据分类分级方面,遵循国家规定和科学实用等原则,依业务属性、重要程度及危害程度将网络数据分为核心数据、重要数据、一般数据三个级别,且级别可随数据业务属性、重要程度和可能造成的危害程度变化动态更新,完成分类分级后应依法采取不同保护措施。
重要数据识别主要依据相关法律法规和标准,网络数据处理者应依法进行识别申报。重要数据处理者应履行网络数据安全保护责任,明确网络数据安全负责人和网络数据安全管理机构,对重要数据进行重点保护;且应当每年度对网络数据处理活动开展风险评估,并向主管部门报送风险评估报告。
针对公共数据,各部门在编制目录时同步完成分类分级和重要数据识别,强化安全便捷共享,推动数据要素流通利用。
来源及全文链接:网信上海
https://mp.weixin.qq.com/s/sg10kB6ahFsPTpbv4rmOCA
十、北京市发布《北京市数据跨境流动便利化综合配套改革实施方案》
2025年3月27日,在2025中关村论坛年会的数据跨境流动创新发展论坛上,《北京市数据跨境流动便利化综合配套改革实施方案》(以下简称《方案》)正式发布。这是北京出台的首个促进数据跨境流动便利化的综合性配套改革文件。
《方案》从政策供给、数据利用、企业服务、技术应用、产业促进、安全监管等多个维度,统筹提出了一揽子创新举措。
在促进企业内部数据高效便利安全跨境传输、支撑全球化业务运营的基础上,《方案》推动企业由数据“合规驱动”向“要素价值驱动”转变,比如遴选10个典型行业领域编制出境数据跨主体高频流通标杆应用场景指引,促进数据跨主体流通利用;加强区块链、隐私计算等可信流通技术推广应用,探索开展个人信息匿名化试点;加快建设“国际数据口岸”,在大兴机场临空经济区域内系统布局高质量国际信息通信、国际数据中心等设施平台,发展国际数据产业,打造数据跨境示范区等。
《方案》将尽快编制发布第二批自贸试验区负面清单,面向自贸试验区外数据出境负面清单使用需求迫切、清单场景匹配度高、合规能力强的企业,开展数据出境负面清单“一企一策”应用试点,探索将负面清单向自贸试验区外企业应用拓展。
来源:新华网
全文链接:
https://open.beijing.gov.cn/upload/file/20250327/20250327162655.pdf
十一、福建省发布《福建省公共数据资源登记管理办法(试行)》及《福建省公共数据运营服务费收费标准(试行)》
2025年3月,福建省数据管理局发布《福建省公共数据资源登记管理办法(试行)》(以下简称《办法》)及《福建省公共数据运营服务费收费标准(试行)》(以下简称《标准》),旨在规范公共数据资源登记工作,规范公共数据要素市场化配置,推动数据合规高效开发利用。
《办法》的主要内容如下:
在责任分工上,福建省数据管理部门负责统筹管理,各设区市及平潭综合实验区数据管理部门负责本地区登记工作,网信、公安等部门承担监管职责。登记机构提供标准化登记服务,登记主体则对相应数据资源进行登记并确保材料合规。
登记类型涵盖首次登记、变更登记、更正登记、注销登记和续展登记。登记主体需在规定时间内按不同情形申请相应登记,如首次登记应在开展授权运营活动后20个工作日内进行(办法施行前已运营的在施行后30个工作日内登记),并提交相关申请表和佐证材料。
登记程序包括申请、受理、形式审核、公示、赋码。登记主体通过登记平台申请,登记机构在规定时间内受理、审核,审核通过后公示10个工作日,公示无异议则发放查询码,登记结果有效期一般为三年。
此外,《办法》对平台管理和监督管理也作出规定。建设省公共数据资源登记平台,实现信息互联互通,平台运维单位要保障平台安全稳定运行并做好操作记录追溯。对于登记机构和登记主体的违规行为,将采取相应管理措施,情节严重的依法追究责任。
《标准》的主要内容如下:
公共数据运营服务费属于纳入政府定价的经营服务性收费项目,分技术服务费和存算设施使用费两项,由省公共数据授权运营主体(即福建大数据一级开发有限公司,以下简称“平台运营单位”)收取使用,其中技术服务费按数据使用量实行分档累进计费:数据使用量≤300 万项 / 条 / 次时,单价 0.10 元;300 万 - 3000 万区间单价 0.08 元;超 3000 万单价 0.06 元。存算设施使用费暂按省级政务云资源采购标准执行,为每个应用场景提供最多不超过2VCPU+6G内存+10G硬盘空间的免费基础存算资源(试行期间计费不收费)。
收费对象为依托省级公共数据平台开展数据开发利用的主体。公益事业场景实施无偿使用政策,重点扶持应用场景可享技术服务费折扣。
来源及全文链接:福建省发改委
《福建省公共数据资源登记管理办法(试行)》
https://fgw.fujian.gov.cn/ztzl/szfjzt/zcwj/202503/t20250318_6784545.htm
《福建省公共数据运营服务费收费标准(试行)》
https://download.s21i.co99.net/13115299/0/1/ABUIABBBGAAgnb6VvwYoy-bc4AQ.docx?f=%E7%A6%8F%E5%BB%BA%E7%9C%81%E5%85%AC%E5%85%B1%E6%95%B0%E6%8D%AE%E8%BF%90%E8%90%A5%E6%9C%8D%E5%8A%A1%E8%B4%B9%E6%94%B6%E8%B4%B9%E6%A0%87%E5%87%86%EF%BC%88%E8%AF%95%E8%A1%8C%EF%BC%89.docx&v=1743085341
十二、天津市发布《天津市公共数据资源登记管理实施细则(试行)》
2025年3月13日,天津市数据局发布《天津市公共数据资源登记管理实施细则(试行)》(以下简称《细则》),旨在规范公共数据资源登记,促进数据合规高效开发利用,服务全国一体化登记体系建设。
《细则》明确适用于天津市行政区域内公共数据资源登记活动及监管。公共数据资源指党政机关、企事业单位履职或服务中产生的有价值数据集合,登记主体包括数据持有管理单位和运营法人组织。
在职责分工上,天津市数据主管部门统筹全市工作,指定市数据发展中心为市级登记机构;区数据主管部门负责本区工作并确定区级登记机构。登记机构负责具体登记、提供服务、保障数据安全等。
登记要求方面,党政机关、事业单位及公用企业鼓励登记相关数据资源,登记主体需对材料真实性负责并进行存证。登记机构应准确记载信息、防止泄露、定期备份,且无偿提供服务。登记平台与国家平台对接,实现信息互联互通。登记程序涵盖首次、变更等多种类型,按申请、受理、审核等流程开展。登记结果有效期一般为三年,可续展。
监督管理上,登记机构和主体需履行数据安全责任,数据主管部门开展协同监管和服务评价,对违规行为采取相应措施,违规者依法担责。本细则自2025年3月1日起实施,有效期5年,将根据法律法规和政策适时调整。
来源及全文链接:天津市数据局
https://tjdsj.tjcac.gov.cn/tjsg/ssjj/202503/t20250324_6890868.html
境外数据法规政策动态
一、欧洲数据保护委员会通过《关于控制者和处理者的约束性企业规则(BCR)的审批流程》
2025年3月13日,欧洲数据保护委员会(EDPB)通过新的《关于控制者和处理者的约束性企业规则(BCR)的审批流程》,旨在明确BCR审批过程中的合作程序。
BCR审批流程的关键要点如下:
(一)确定BCR主导监管机构:
申请企业需指定某一监管机构作为BCR主监管机构,并向所有相关司法管辖区的监管机构提交书面说明,论证选择该监管机构的理由。理由包括:
1.申请企业欧洲总部所在地;
2.集团内负责数据保护事务的企业所在地;
3.负责管理BCR申请和执行的最佳实体所在地;
4.处理决策主要发生的地点;
5.主要或全部向欧洲经济区(EEA)外部进行数据传输的成员国。
(二)审批流程阶段:
1.BCR主监管机构审议阶段:主监管机构将收到的信息转发给所有监管机构,其他监管机构可在两周内提出异议。
2.合作审议阶段:主监管机构将BCR草案发送给一到两家监管机构进行共同审查。
3.全体审议阶段:形成“综合草案”后,主监管机构通过EDPB秘书处征求所有监管机构的意见。
4.BCR会议:如有必要,主监管机构可发起会议,讨论有争议的问题。
5.EDPB审议阶段:主监管机构将“最终草案”提交给EDPB,EDPB将根据规定做出决定。
6.BCR主监管机构批准:如果EDPB认可草案,主监管机构将批准BCR。
来源及全文链接:欧洲数据保护委员会(EDPB)
https://www.edpb.europa.eu/system/files/2025-03/edpb_document_procedure_approval_bcr_en_0.pdf
二、加拿大魁北克发布《招聘期间处理个人数据的指南》
2025年3月17日,加拿大魁北克信息获取委员会(CAI)发布了《招聘期间处理个人数据的指南》(以下简称《指南》),指南强调了在招聘过程的每个阶段保护求职者个人信息的重要性,并指出,即使涉及到第三方招聘机构,雇主对于所处理的任何个人数据仍负有法律责任。
《指南》建议雇主:
1.仅收集评估求职者是否符合特定职位所需的数据,避免使用通用的申请表,因为通用申请表会为所有职位收集相同的个人数据;
2.在评估求职者时进行身份验证的过程中,不保留敏感信息;
3.谨慎使用心理测试,并且仅在特定情况下使用,因为心理测试有时基于缺乏透明度的算法;
4.告知求职者在招聘过程中使用了人工智能(AI)和心理测试工具;
5.在招聘中使用人工智能之前进行隐私影响评估(PIA),并确保人工智能不会在没有人为干预的情况下做出自动招聘决策;
6.避免某些与雇主需求不相称的人工智能使用方式,例如在视频面试中使用识别情绪或心理状态的系统。
《指南》进一步指出,只有在发出有条件录用通知并获得求职者明确同意后,才应核实推荐信或资质。根据该指南,雇主应在正式提供工作岗位后,才收集诸如社会保险号码或银行账户信息等额外数据。
《指南》最后指出,不再用于招聘目的的个人数据必须安全销毁,如果出于法律原因需要保留这些数据,则应尽可能对信息进行匿名化处理。
来源:dataguidence
全文链接:
https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/operation-recrutemement-emploi
三、韩国通过《个人信息保护法》修订案
2025年3月13日,韩国国会全体会议表决通过《个人信息保护法》(PIPA)修订案(以下简称《修订案》),旨在完善海外企业国内代理人制度。
《修订案》要求在韩设有法人的海外企业指定该境内法人为国内代理人,海外总部需对其进行持续管理与监督,同时新增多项违规行为制裁条款。例如,对未依规指定国内代理人、未履行管理监督义务,以及未在隐私政策中公开代理人信息等行为,都将处以行政罚款。此外,还对《个人信息保护法》的部分条款进行了修改,明确了国内代理人的指定范围、职责以及信息公示要求等。
《修订案》规定境外运营商要指定本地代表并由总部管理监督;境内法人则要建立职责管理体系,制定监督机制并公示相关事项。
来源及全文链接:韩国国会
https://likms.assembly.go.kr/bill/billDetail.do?billId=PRC_M2S5U0Z2U2F4Y1L4O3K8I1K3I0T3F5
四、法国发布《联网汽车位置数据的建议(草案)》
2025年3月29日,法国国家信息与自由委员会(CNIL)发布《联网汽车位置数据的建议(草案)》公开征求意见,旨在规范相关数据的使用,保护个人隐私。
主要建议如下:
1.明确责任主体:建议草案面向汽车制造商、车队管理者、远程信息处理工具供应商以及数据聚合商等,要求各方明确自身在数据处理中的角色;
2.数据最小化原则:建议仅收集实现特定目的所必需的定位数据,避免过度收集。例如,仅保留车辆的最后位置数据,除非有明确的业务需求;
3.数据安全措施:建议采取加密、访问控制等技术措施保护定位数据,限制数据访问权限,并确保数据传输的安全性;
4.用户信息与权利保障:要求向用户清晰告知数据处理的目的、方式及用户权利,并提供便捷的行使权利途径,如数据访问、更正、删除等;
5.数据匿名化:鼓励在可能的情况下对定位数据进行匿名化处理,以进一步降低隐私风险;
6.特定用途的合规性:针对车队管理、事故援助、车辆防盗等特定用途,提出了详细的合规建议,包括数据收集频率、数据保留期限等。
来源及全文链接:法国国家信息与自由委员会(CNIL)
https://www.cnil.fr/sites/cnil/files/2025-03/projet_de_recommandation_relative_aux_traitements_de_donnees_de_localisation.pdf
五、越南发布《个人数据保护法(草案)》
2025年3月10日,越南国会就《个人数据保护法(草案)》(以下简称《草案》)征求意见,旨在进一步完善越南数据保护法律体系。
《草案》适用范围广泛,涵盖国内外各类涉及越南数据处理的机构、组织和个人。在定义方面,明确区分“基本个人数据”和“敏感个人数据”,并对数据处理相关角色,如数据控制者、处理者、保护专家等作出界定。
数据主体权利方面,《草案》赋予其知情权、同意权、访问权、更正权等多项权利。数据主体同意需满足自愿、明确知晓相关信息等条件,且对不同处理目的需分别同意。处理个人数据的法律依据除同意外,还包括保护生命健康、法律要求披露、履行合同义务和国家安全需要等。
《草案》规定了一系列处理原则,如禁止买卖个人数据、保证处理透明、遵循目的限制和数据最小化等。数据处理前需通知个人相关信息,对数据保护专家资质、评估报告内容及提交要求等也有明确规定,还针对儿童数据处理及特定场景下的数据处理给出详细要求。
在执法方面,由公安部和信息通信部负责对违反《草案》的行为进行检查、审查和处理。
来源:dataguidence
全文链接:
https://cdn.thuvienphapluat.vn/uploads/Hoidapphapluat/2025/NTKL/11032025/du-thao-luat-bao-ve-du-lieu-ca-nhan.doc?_ga=2.236820742.641003077.1742472973-3290781.1740692220
六、比利时发布《关于直接营销的第01/2025号建议》征求意见稿
2025年3月10日,比利时数据保护局发布《关于直接营销的第01/2025号建议》征求意见稿(以下简称《征求意见稿》),公开征求意见。
以下为《征求意见稿》的主要内容:
(一)直接营销的定义
DPA提议将“直接营销”定义为所有向一个或多个已识别或可识别的自然人直接传达带有促销内容信息的活动。DPA强调,直接营销不仅指商业宣传,还包括为实现此类宣传目的而开展的所有活动,包括前期的数据处理。
DPA还指出,发送直接营销信息的实体身份并不重要,且此类信息可能由自然人主动发送。此外,直接营销应作广义理解,包括:
产品或服务,无论免费还是付费;
1.自然人或法人提出或支持的理念;
2.自然人或法人,包括他们的形象以及他们拥有或使用的知识产权;
3.由自然人或法人组织的活动。
(二)个人数据处理的责任
DPA进一步认为,确定参与直接营销目的数据处理的各方(如数据控制者、共同控制者和处理者)的责任,是一个基于事实的问题,因此因每项数据处理活动而异。
(三)告知数据处理目的
DPA看来,仅简单提及直接营销来描述目的(例如,当数据控制者在其隐私政策中声明其正在为直接营销目的处理数据时)是不够的,因为这样的目的无法先验地评估数据处理的合理性,也无法向数据主体提供足够的信息。
(四)法律依据和数据主体权利
DPA还讨论了可用于直接营销目的数据处理的法律依据,包括涉及未成年人的情况,以及数据主体的权利。
来源:dataguidence
全文链接:比利时数据保护局(DPA)
https://www.autoriteprotectiondonnees.be/publications/recommandation-01-2025-relative-aux-traitements-de-donnees-a-caractere-personnel-dans-le-cadre-du-marketing-direct.pdf
全球数据监管执法动态
一、2025年个人信息保护系列专项行动启动
2025年3月28日,中央网信办、工业和信息化部、公安部、市场监管总局联合发布公告,正式启动2025年个人信息保护系列专项行动。
此次专项行动重点聚焦六大领域:
1.App相关问题治理:针对App(含小程序、公众号、快应用)存在的未提供收集使用规则、未按规处理信息、调用非必要权限、投诉渠道缺失、功能不完善以及频繁跳转广告等问题进行整治。
2.SDK问题治理:SDK若存在未提供收集使用规则、未按规处理信息、调用非必要权限、无投诉渠道以及未提供停止收集选项等情况,将被重点治理。
3.智能终端问题治理:智能手表、音箱、门锁、摄像头、平板、学习机等产品,若存在未提供收集使用规则、超范围收集信息、后台持续收集未提示用户等问题,将成为治理对象。
4.公共场所人脸识别问题治理:交通运输、住宿旅游等公共场所,若在使用人脸识别技术时,存在未履行告知同意义务、未设提示标识、未加密保护、未开展评估等问题,将被严格整治。
5.线下消费场景问题治理:自动售卖、扫码点餐等线下消费场景中,强制关注、注册,收集非必要信息,物业违规使用信息,未经同意向第三方提供信息以及信息泄露等问题,将被集中治理。
6.个人信息违法犯罪案件治理:网络借贷、求职招聘等领域的个人信息违法犯罪活动,包括违规售卖信息、信息泄露或被窃取等案件,将受到严厉打击。
来源:网信中国
二、公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
2025年3月18日,公安部公布依法打击侵犯公民个人信息犯罪10起典型案例。这些案例涵盖了多种犯罪手段,包括利用木马程序窃取信息、勾结行业内幕人士、发布虚假招聘信息、以及通过技术手段非法获取数据等。
1.北京海淀案例:刘某团伙通过制作木马程序,非法控制教培机构计算机,窃取客户资料,最终8名嫌疑人被捕。
2.甘肃张掖案例:李某飞团伙勾结快递行业人员,窃取快递订单信息并出售牟利,涉案金额达300余万元。
3.吉林长春案例:王某明团伙伪造营业执照,发布虚假招聘信息骗取求职者简历,再出售给诈骗团伙,27名嫌疑人被捕。
4.四川凉山案例:宋某川团伙勾结教育行业人员,非法获取并出售个人信息,45名嫌疑人被捕。
5.广东东莞案例:林某成团伙成立法律服务公司,非法获取他人信息牟利,21名嫌疑人被捕。
6.江苏徐州案例:韩某珠团伙利用黑客手段获取停车数据,并提供车辆定位服务牟利,59名嫌疑人被捕。
7.山东青岛案例:张某团伙以招聘名义骗取个人信息用于注册网络账号并出售,37名嫌疑人被捕。
8.河北承德案例:韩某团伙冒充医保部门工作人员,骗取个人信息注册网络账号并出售,43名嫌疑人被捕。
9.辽宁辽阳案例:朱某星团伙冒充地图APP工作人员,骗取个体工商户信息用于注册企业支付账号并出售,85名嫌疑人被捕。
10.湖南湘潭案例:冯某团伙通过短视频平台发布虚假视频,骗取网络账号并出售,35名嫌疑人被捕。
来源:公安部
三、英国国民医疗服务体系软件供应商因信息泄露被罚307万英镑
2025年3月26日,对英国国民医疗服务体系软件供应商Advanced Computer Software Group Ltd(Advanced)因信息泄露被英国信息专员办公室(ICO)罚款307.632英镑。2022年8月,该公司遭LockBit勒索软件攻击,大量敏感信息泄露,涉及79404人,其中包含英国国家医疗服务体系(NHS)患者信息,还致使NHS的111紧急服务等关键业务中断。
此次攻击中,黑客利用泄露的凭据在名为Staffplan Citrix 的服务器上建立远程桌面协议会话,进而侵入公司内部环境。ICO调查发现,Advanced在安全措施上存在诸多漏洞,如漏洞扫描不力、补丁管理不善、多因素认证(MFA)覆盖不全面等,未能有效保护数据和系统。
英国信息专员John Edwards强调,企业处理大量敏感信息时,应加强安全措施,否则易成为网络攻击目标。他敦促所有组织为外部连接启用MFA,保护公众个人信息。
来源:英国信息专员办公室(ICO)
四、Modutour因数据泄露被罚7.572亿韩元
2025年3月13日,韩国个人信息保护委员会(PIPC)公布了一项处罚决定,Modutour Network Co.,Ltd.因数据泄露,违反《个人信息保护法》(PIPA)被处罚款7.572亿韩元(约合520,190美元)。
2024年6月,Modetour Network运营的旅行社遭黑客攻击。黑客利用网站漏洞上传恶意webshell文件,致使约306万人的个人信息从客户数据库泄露,涉及姓名、生日、性别、联系信息等。调查发现,该公司存在诸多安全漏洞,未对上传文件进行扩展名检查,也未有效检测和应对潜在数据泄露。此外,自2013年3月起收集的316万非会员个人信息,在保留期过后未及时销毁。而且,数据泄露事件发生两个月后,公司才通知数据主体,严重违反PIPA规定的72小时通知时限。
基于上述情况,PIPC认定Modutour违反了PIPA第21、29和34条。鉴于这些违规行为,PIPC最终对Modutour处以7.572亿韩元(约合520,190美元)的罚款。
来源:韩国个人信息保护委员会(PIPC)
五、美国本田汽车公司因侵犯公民隐私权被罚63.25万美元
2025年3月12日,加利福尼亚州隐私保护局(CPPA)宣布,美国本田汽车公司因侵犯加州居民隐私权,违反《加州消费者隐私法案》(CCPA),被处以63.25万美元罚款。此次调查是执法部门对联网汽车制造商及其相关技术数据隐私行为持续审查的结果,也是CCPA首次对汽车制造商作出处罚。
CPPA指控本田存在一系列侵犯加州居民隐私权的行为:一是在居民行使如选择退出销售或共享、限制数据使用等隐私权利时,要求他们进行身份验证并提供过多个人信息;二是其使用的在线隐私管理工具,未能以对称、平等的方式为居民提供隐私选择;三是设置障碍,使得居民难以授权他人或组织代其行使隐私权;四是在与广告技术公司共享个人信息时,未签订包含隐私保护必要条款的合同。
为解决这些指控,本田除同意支付罚款外,还将修改隐私政策,为加州居民提供更便捷的隐私保护流程。此外,本田需证明自身合规,对员工进行培训,并聘请用户体验设计师评估隐私请求提交方式,同时优化合同签订流程,保障个人信息安全。
CPPA执法部门负责人迈克尔・马科表示,处罚应与违规行为相匹配,会坚决行使权力纠正企业不当做法,并按违规数量计算罚款。
来源:加利福尼亚州隐私保护局(CPPA)
六、冰岛医疗机构因数据共享协议违法被罚500万冰岛克朗
2025年3月7日,欧洲数据保护委员会(EDPB)发布案例,冰岛数据保护监督管理局(SA)对首都地区初级医疗保健机构医疗记录系统集成展开调查。此前,SA在处理交通管理局医疗官员处理医疗记录投诉时发现,该初级医疗保健机构与冰岛交通管理局的医疗记录系统集成协议不符合冰岛《医疗记录法》等法律要求,从而引发此次调查。
调查显示,该初级医疗保健机构就医疗记录系统集成达成了多项协议,但仅与Lágmúla医疗中心的协议符合2009 年第 55 号《医疗记录法》的要求,其他协议均不符合《医疗记录法》的要求。依据该法第20.2条,医疗记录系统集成需获卫生部长许可,并由数据保护监督管理局确认集成系统中个人数据处理的安全性。而该机构在将11个参与方纳入系统时未履行上述要求。
该机构与12个机构签订了联合医疗记录系统协议或访问授权,涉及约19.5万份患者记录,系统包含517,429名公民医疗记录。除与Lágmúla医疗中心的协议外,其他协议虽提及法定许可程序,但均未实际履行。调查期间,该机构终止部分不合规协议访问权限,并申请部分系统整合许可。
最终,SA认定该机构向Lágmúla医疗中心以外机构提供联合系统访问权限的行为违法,违反《个人数据保护与处理法》及《通用数据保护条例》相关条款。综合考虑减轻和加重因素,SA对其处以500万冰岛克朗(约33,854欧元)罚款,并要求在决定作出之日起一个月内缴纳至国库。
来源:欧洲数据保护委员会(EDPB)
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队还与奇安信、中电科、全知科技、银行卡检测中心(BCTC)等技术领先团队建立了密切且稳固的长期合作关系。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。