数字安全合规法律专刊2025年1月刊

来源:惟胜会

文章摘要
引 言 在数字经济高速发展的今天,数据安全及合规是企业面临的首要问题。

引 言
在数字经济高速发展的今天,数据安全及合规是企业面临的首要问题。企业如果不能保证基本的数据安全性、数据处理活动的合规性,将会面临数据泄露、数据丢失等多发安全事件,数据资源的开发利用亦将因缺乏数据资产的合规审查而存在安全隐患。
在此趋势下,贵州惟胜道律师事务所将协助企业保障数据在运转周期的处理活动中得到安全有序、合法合规的开发利用,并将此作为工作的核心。
因此,本月刊将聚焦网络安全与数据保护,为您呈现前沿动态、新规速递、热点案例等内容,帮助读者掌握最新前沿动态,共同了解数字安全发展新趋势。希望对读者深入认知、理解和运用相关政策有所帮助。
一、立法动态
1.工业和信息化部、财政部等四部门|联合印发《中小企业数字化赋能专项行动方案(2025—2027年)》
2024年12月12日,工业和信息化部、财政部、中国人民银行、金融监管总局四部门联合印发《中小企业数字化赋能专项行动方案(2025—2027年)》(工信部联企业〔2024〕239号,以下简称“《行动方案》”)。
《行动方案》部署了五方面重点任务:一是强化政府引导,深入实施“百城”试点;二是坚持企业主体,分类梯次推动中小企业深度改造;三是深化链群融通,大力推广“链式”转型和集群园区转型;四是强化数智赋能,加快人工智能、数据要素等新质生产力应用推广;五是加强供给服务,供需适配优化中小企业数字化转型供给结构。《行动方案》提出五方面保障措施,分别是强化组织保障、加大资金支持、加强人才保障、促进交流互鉴、深化国际合作。
链接:
《中小企业数字化赋能专项行动方案(2025—2027年)》
2.国务院常务会议|通过《公共安全视频图像信息系统管理条例(草案)》
2024年12月16日,在北京召开的国务院常务会议审议通过《公共安全视频图像信息系统管理条例(草案)》,指出要规范公共安全视频系统建设和使用,更好维护公共安全、保护个人隐私。此次国常会审议通过了《公共安全视频图像信息系统管理条例(草案)》,标志着我国在公共安全视频系统建设方面迈出了坚实的一步。而公共安全视频系统作为捍卫社会治安、保障民众生命财产安全的关键措施,它的重要性也将日益凸显。
由于《公共安全视频图像信息系统管理条例(草案)》的原文内容尚未公布,若参考公安部在2016年11月28日发布的《公共安全视频图像信息系统管理条例(征求意见稿)》内容,大体可以了解《公共安全视频图像信息系统管理条例(草案)》的具体内容和中心思想,基本明确公共安全视频系统在安全建设、数据防护及运营职责等方面的规范,为后续建设科学严谨、规范有序、高效运作的公共安全视频图像信息管理架构提供参考依据,继而更好的维护公共安全、保护个人隐私。
值得关注的是,2024年4月8日,公安部发布《公共场所视频图像信息系统管理条例(征求意见稿)》公开征求意见的公告,并给出编制说明。
《公共场所视频图像信息系统管理条例(征求意见稿)》编制说明中指出,《网络安全法》《数据安全法》《个人信息保护法》施行后,对网络安全、数据安全和个人信息处理活动进行了全面规范。但对公共场所视频图像信息收集、存储、使用、加工、传输、提供、公开、删除等环节的管理要求不完善,公共视频系统运行、数据保护责任落实不到位,安全防护意识有待提高,存在系统被侵入、数据被窃取、个人信息被泄露的风险,构成公共安全和个人信息安全隐患,甚至危及国家安全,亟需通过专门立法予以规范。
链接:
国常会审议通过《公共安全视频图像信息系统管理条例(草案)》
3.工业和信息化部、国务院国有资产监督管理委员会等三部门|联合印发《制造业企业数字化转型实施指南》
2024年12月17日,工业和信息化部、国务院国有资产监督管理委员会、中华全国工商业联合会等三部门联合印发了《制造业企业数字化转型实施指南》(以下简称“《指南》”)。
《指南》围绕研发设计、生产制造、运维服务、经营管理、供应链管理、跨环节协同等业务流程提出了六个方面的举措:一是强化研发设计云端协同;二是推动生产过程智能转型;三是加速运维服务模式创新;四是促进经营管理流程优化;五是提升供应链弹性和韧性;六是探索跨场景集成优化。
《指南》提出,强化部地协同,引导地方结合实际出台配套政策,打好政策“组合拳”;推动金融机构创新金融产品和服务,加大对制造业企业数字化转型的支持力度;编制制造业数字化转型标准体系;培育标准化、低成本、可复用的解决方案,建设服务商资源池;树立数字化转型企业标杆,培育一批“数字领航”企业,制定发布重点行业/产业链数字化转型场景图谱参考指引,遴选一批数字化通用工具和产品;鼓励建设高质量工业数据语料库,推进国家工业互联网大数据中心建设和产品主数据标准建设;健全工业企业网络安全管理制度,深入实施工业互联网安全分类分级管理,构建工控安全评估体系;开展全面数字素养技能提升行动,健全数字化转型领域人才评价机制,营造良好的人才发展环境。
链接:
《制造业企业数字化转型实施指南》
4.财政部|印发《数据资产全过程管理试点方案》
2024年12月19日,财政部印发《数据资产全过程管理试点方案》(以下简称“《方案》”),选取部分中央部门、中央企业和地方财政部门,从2025年初至2026年底,组织开展数据资产全过程管理试点,促进数字经济高质量发展。
根据《方案》,从2025年初到2026年底,围绕试点单位的数据资产台账编制、登记、授权运营、收益分配、交易流通等重点环节,开展数据资产全过程管理试点,规范数据资产管理流程。
《方案》明确,试点单位开展数据资产管理工作,应秉持谨慎性原则开展可研论证和尽职调查,对外授权使用数据资产应当按照国家有关规定进行评估,严防数据资产价值应用风险。严禁利用行政事业单位数据资产进行担保,新增政府隐性债务。严禁行政事业单位借授权有偿使用数据资产的名义,变相虚增财政收入。
链接:
《数据资产全过程管理试点方案》
5.国家数据局、工业和信息化部等五部门|印发《关于促进企业数据资源开发利用的意见》
2024年12月20日,国家数据局联合中央网信办、工业和信息化部、公安部、国务院国资委印发了《关于促进企业数据资源开发利用的意见》(以下简称“《意见》”)。
《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,完整准确全面贯彻新发展理念,着力推动高质量发展,统筹数据发展和安全,以深化数据要素市场化配置改革为主线,以激发企业创新活力为关键,以健全企业数据权益实现机制为重点,充分发挥企业主体作用,分类推进企业数据资源开发利用,提升企业竞争力,赋能产业数字化转型,助力提升治理效能和公共服务能力,为培育新质生产力、推动高质量发展提供有力支撑。《意见》从健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境、保障措施等六个方面作出具体部署。
链接:
《关于促进企业数据资源开发利用的意见》
6.十四届全国人大常委会第十三次会议|审议通过《中华人民共和国反不正当竞争法(修订草案)》
2024年12月21日,十四届全国人大常委会第十三次会议审议了《中华人民共和国反不正当竞争法(修订草案)》(以下简称“《修订草案》”)。12月25日,中国人大网公布《中华人民共和国反不正当竞争法(修订草案)》《中华人民共和国反不正当竞争法》修改前后对照表征求意见,征求意见期限为30日。
《修订草案》从三个方面完善不正当竞争行为相关规定:完善网络不正当竞争监管制度,强化商业贿赂治理,完善规制混淆行为的情形等。
一是完善不正当竞争行为相关规定。修订草案完善规制混淆行为的情形,规定经营者不得擅自使用他人有一定影响的新媒体账号名称、应用程序名称或者图标,或是擅自将他人有一定影响的商品名称、企业名称等设置为其搜索关键词,引起混淆;经营者也不得为他人实施混淆行为提供便利。
二是强化商业贿赂治理,坚持“行贿受贿一起查”,在现行禁止实施贿赂规定的基础上,增加单位和个人不得在交易活动中收受贿赂的规定。完善网络不正当竞争监管制度,规定平台经营者应当依法在平台服务协议和交易规则中明确平台内公平竞争规则,及时采取必要措施制止平台内经营者不正当竞争行为。经营者不得利用数据和算法、技术、平台规则等,实施恶意交易等不正当竞争行为。
三是完善虚假宣传、不正当有奖销售、商业诋毁、滥用优势地位损害中小企业合法权益等行为相关规定。
此外,《修订草案》还完善了反不正当竞争监管和处罚规定。《修订草案》按照行政处罚法规定的过罚相当、处罚与教育相结合原则,丰富监管措施,科学调整处罚额度。增加规定经营者涉嫌违反反不正当竞争法规定的,监督检查部门可以对其法定代表人或者负责人进行约谈,要求其采取措施及时整改。加大对不正当竞争行为的处罚力度。增加对实施商业贿赂的经营者的法定代表人、主要负责人和直接责任人员等“处罚到人”规定;补充对在交易活动中收受贿赂的单位和个人有关罚则。
链接:
《中华人民共和国反不正当竞争法(修订草案)》征求意见
7.国家金融监督管理总局|印发《银行保险机构数据安全管理办法》
2024年12月27日,国家金融监督管理总局发布《银行保险机构数据安全管理办法》(以下简称“《办法》”)。
《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。主要特点有以下六个方面:
一、明确了五个概念和数据范围。《办法》第三条指出:“本办法所称数据,是指以电子或者其他方式对信息的记录。”并明确了五个概念,分别为数据处理、数据安全、数据主体、个人信息、大数据平台。
二、落实数据安全责任制。明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任,机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人。
三、明确数据安全归口管理部门。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。
四、将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
五、强化数据安全评估。要求银行保险机构开展相关数据处理活动时,应事先开展安全评估。根据数据处理目的、性质和范围,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性。
六、建立数据安全保护基线。将数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,采用安全有效的传输方式保障数据完整性、保密性、可用性。
链接:
《银行保险机构数据安全管理办法》
8.国家发展改革委、国家数据局等六部门|联合印发《关于促进数据产业高质量发展的指导意见》
2024年12月28日,国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合印发了《关于促进数据产业高质量发展的指导意见》(以下简称“《意见》”)。
《意见》提出鼓励有条件的行业龙头企业、互联网平台企业设立数据业务独立经营主体,支持数据企业做强做优做大,促进集约化、规模化发展;大力培育创新型中小数据企业,支持向专业化、精细化发展,引导龙头企业为中小企业提供数据、算法、算力等资源使用便利;加强产学研用协作,打造数据产业创新联合体,构建大中小企业融通发展、产业链上下游协同创新的生态体系。
《意见》强调,大力推动云边端计算技术协同发展,支持云原生等技术模式创新,形成适应数据规模汇聚、实时分析和智能应用的计算服务能力。加强新型存储技术研发,支撑规模化、实时性跨域数据存储和流动,提高智能存储使用占比。面向人工智能发展,提升数据采集、治理、应用的智能化水平。强化数据标注、数据合成等核心技术攻关。加快可信数据空间、区块链、隐私计算、匿名化等可信流通技术研发和应用推广。
链接:
《关于促进数据产业高质量发展的指导意见》
二、行业动态
1.国家互联网信息办公室|发布《数字化绿色化协同转型发展报告(2024)》
关键词:数字技术 数字建设
近日,国家网信办信息化发展局组织中国信息通信研究院成立了数字化绿色化协同转型发展监测课题组,开展区域双化协同成效评价指标体系研究工作,起草形成了《数字化绿色化协同转型发展报告(2024)》(以下简称“《报告》”)。
《报告》深入分析了2023年以来双化协同与产业体系深度融合的中国实践,通过区域双化协同成效评价全景呈现我国数字化与绿色化协同发展的样貌,是推动双化协同高质量发展的重要举措。
链接:
《数字化绿色化协同转型发展报告(2024)》
2.国家知识产权局|发布《人工智能相关发明专利申请指引(征求意见稿)》
关键词:人工智能 专利申请
2024年12月6日,国家知识产权局起草了面向申请人的《人工智能相关发明专利申请指引(征求意见稿)》(以下简称“《征求意见稿》”),征求社会各界意见。
《征求意见稿》主要内容包括:
第一章归纳了人工智能相关专利申请的常见类型及法律问题,将常见类型划分为涉及人工智能算法或模型本身的相关专利申请、涉及基于人工智能算法或模型的功能或领域应用的相关专利申请、涉及人工智能辅助作出的发明的相关专利申请,以及涉及人工智能生成的发明的相关专利申请四种类型。
第二章涉及发明人身份的认定问题,对人工智能不具备发明人主体资格进行论证说明。
第三章涉及方案客体的标准,就人工智能算法或模型本身的相关专利申请、涉及基于人工智能算法或模型的功能或领域应用的相关专利申请,如何满足方案客体要求进行解释说明。
第四章涉及说明书的充分公开问题,明确与发明点相关的内容需要满足充分公开的要求,进一步细化现行审查规定和实践中对于人工智能相关专利申请充分公开的规范,以积极应对人工智能“黑匣子”问题。
第五章涉及创造性的考量,通过解释审查标准、提供对照实例的方式,明确算法特征与技术特征如何在功能上彼此相互支持、存在相互作用关系,使得在创造性考量时需要考虑算法特征的技术贡献。
第六章提供了关于人工智能伦理的指引性意见。
链接:
《人工智能相关发明专利申请指引(征求意见稿)》
3.甘肃省大数据发展局|发布《甘肃省公共数据资源登记管理实施细则(试行)》(公开征求意见稿)和《甘肃省公共数据资源授权运营管理办法》(公开征求意见稿)
关键词:数据资源登记 数据资源运营
2024年12月10日,甘肃省大数据发展局发布《甘肃省公共数据资源登记管理实施细则(试行)》(以下简称“《细则》”)和《甘肃省公共数据资源授权运营管理办法(试行)》(“以下简称“《办法》”)两项政策,公开征求意见。
《细则》详细规定了甘肃省公共数据资源登记管理的目的和依据、适用范围、术语解释、基本原则、登记内容、管理机构、登记机构、登记主体、第三方专业服务机构、登记程序、异议处理、登记管理、监督管理以及附则等。
《细则》旨在规范公共数据资源的登记工作,构建全省一体化的公共数据资源登记体系,并促进公共数据资源的合规高效开发利用。它涵盖了数据基本信息、委托代理信息、数据存储信息、数据应用场景说明、数据共享开放信息、共有数据信息、数据合法合规性来源及承诺、数据目录信息等多个方面。
《细则》还明确了登记机构和登记主体的职责和义务,以及第三方专业服务机构的培育和义务。同时,它规定了登记程序,包括申请、受理、审查、公示和凭证发放等步骤,并详细说明了不同类型的登记申请,如首次登记、变更登记、更正登记和注销登记。
《办法》全面规定了甘肃省公共数据资源授权运营的管理框架,包括目的依据、适用范围、术语定义、授权模式、授权数据、政府职责、部门分工、基本原则、登记要求、授权程序、运营规则、数据供给、监督管理和附则等内容。
《办法》旨在推进公共数据资源的开发利用,规范授权运营活动,加快数据要素价值的释放。它明确了公共数据资源授权运营的定义、运营机构的资质要求、授权运营系统的功能以及公共数据产品和服务的范围。
《办法》还规定了实施方案的编制、可行性论证、专家委员会的评估、实施方案的审议、运营机构的选定、运营协议的签订等关键步骤,确保授权运营活动的规范性和透明性。
链接:关于征求《甘肃省公共数据资源登记管理实施细则(试行)》(公开征求意见稿)和《甘肃省公共数据资源授权运营管理办法(试行)》(公开征求意见稿)意见的公告
4.全国网络安全标准化技术委员会|发布《网络安全标准实践指南——一键停止收集车外数据指引》
关键词:网络安全 数据收集
2024年12月19日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——一键停止收集车外数据指引》,为指导汽车制造企业、自动驾驶研发企业以及相关零部件或服务提供商在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能。
本《实践指南》给出了在智能网联汽车上设置一键停止收集车外数据功能指引,适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断,还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。
链接:
《网络安全标准实践指南——一键停止收集车外数据指引》
5.国家互联网信息办公室|发布第九批深度合成服务算法备案信息
关键词:深度合成技术 互联网信息服务
2024年12月20日,国家互联网信息办公室正式发布了第九批境内深度合成服务算法备案信息,这一公告不仅是对深度合成技术的重要监管措施,也为相关企业和服务提供商指明了发展方向。根据《互联网信息服务深度合成管理规定》,此项备案制度旨在确保深度合成技术的透明度和合规性,确保这一新兴技术在发展过程中能够满足社会和法律的要求。
深度合成技术是利用人工智能技术对图像、音频等多种媒介进行合成、编辑、生成的技术。该技术背后的算法如生成对抗网络(GAN)和深度学习,使得计算机能够模拟人类的创意和分析能力。
国家互联网信息办公室在公告中指出,具有舆论属性或者社会动员能力的深度合成服务提供者应当根据《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。同时,深度合成服务技术支持者也需参照这一要求执行。此举旨在对深度合成技术进行有效的规范和管理,以避免由于信息不传递、未授权合成而导致的虚假信息传播和社会舆论的失控。
公告中强调了任何希望对备案信息提出异议的单位或个人,应提前通过电子邮件提交相关证据并以事实为依据。这一流程不仅提高了备案的透明度,还鼓励社会各界对深度合成技术应用进行监督,促使相关服务提供者履行法律责任。
链接:
关于发布第九批深度合成服务算法备案信息的公告
6.深圳市发展和改革委员会、深圳市司法局等三部门|联合发布《数据交易合规评估规范》
关键词:数据交易 数据合规
2024年12月20日,《全国首创“3×4”数据交易合规评估体系并配套动态合规(DEXC+)智能合规系统保障的标准——《数据交易合规评估规范》在深圳市福田区正式落地。这一深圳市地方标准通过三个核心环节和四项关键维度,不仅构建了严谨科学的数据交易合规框架,还有效填补了行业及规则领域的多项空白。
《数据交易合规评估规范》由深圳市发展和改革委员会、深圳市政务服务和数据管理局、深圳市司法局指导,由福田区司法局联合深圳数据交易所、深圳市北鹏前沿科技法律研究院、深圳市标准技术研究院等单位制定。该标准首创“3×4”数据交易合规评估体系,将数据交易合规评估分为3大环节,并在每个环节下设置4个维度标准,有利于各市场主体进行合规对照,各监管机构进行检查监督,也为第三方服务机构开展法律合规性评估、咨询和认证服务提供了便利。
该标准秉承包容审慎原则,充分考虑数据交易市场的现状,使用A级、AA级、AAA级三个合规标准,为各类组织提供了清晰、灵活且包容性强的数据交易合规指导,并辅以全国领先的数据交易信用体系建设,有力推动差异化、动态化、精准化的监管实施,便于各种类型的数据交易参与主体更好地理解和承担其在数据交易中的角色与对应的合规责任。
该标准首创“矩阵式”递进安全合规框架,将安全合规确立为四大核心要素之一,并突破性地超越了传统安全标准的局限,创造性地设计了标的与流通安全的“3×2”递进式合规评估体系,为数据交易领域的安全合规开辟了全新的路径。
链接:
《数据交易合规评估规范》
7.福建省互联网信息办公室|发布《个人信息出境标准合同备案实施办法》
关键词:数据流通 数据价值
2024年12月23日,福建省互联网信息办公室发布《福建省个人信息出境标准合同备案实施办法》(以下简称“《实施办法》”)。
《实施办法》是继2023年5月30日国家网信办发布《个人信息出境标准合同办法》、2023年12月10日《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布后,又一次发布的区域性的SCCs备案的规范性法律文件,同时也是首个自贸试验区发布的关于SCCs备案的规范性法律文件,为福建省内个人信息处理者在数据跨境场景中的合规遵从提供指引。
其中,《实施办法》明确福建省内非关键信息基础设施运营者等符合条件的个人信息处理者,通过订立标准合同向境外提供个人信息的,需在合同生效之日起10个工作日内向省互联网信息办公室备案,并提交相关材料。同时,《实施办法》还规定了多种免予备案的情形,以及在标准合同有效期内出现相关变化需重新评估、补充或重新订立合同并履行备案手续等要求,以保障个人信息跨境安全、自由流动。
链接:
《个人信息出境标准合同备案实施办法》
三、案件聚焦
1.案例丨王某与某咨询公司、某国际酒店公司个人信息保护纠纷案——个人信息跨境处理行为的合法性审查
【基本案情】
王某通过某咨询公司运营的微信公众号购买了某国际酒店公司住宿服务,并在某国际酒店公司的移动应用APP上预定了境外酒店。预定过程中,王某点击勾选了某国际酒店公司的《客户个人数据保护章程》,并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后,王某发现依据《客户个人数据保护章程》规定,其提交的个人信息将被传送共享至全球多个地区和接收主体。王某认为两公司跨境处理中国公民个人信息行为违反相关规定,遂向广州互联网法院提起诉讼。
【裁判结果】
广州互联网法院生效判决认为,被告公司为消费者预定域外酒店服务收集案涉个人信息,此种情况下的个人信息出境,属于履行合同必需,不须单独同意。经审理查明,被告公司在其《客户个人数据保护章程》中,未遵循公开透明原则,真实、准确、完整告知其处理规则,未能依法正确履行告知义务。另查明,被告公司基于商业营销目的,还向位于美国和爱尔兰的某第三方公司传输处理相关个人信息,该处理行为及其处理目的超出履行合同必需,也未向王某充分告知并取得其单独同意,属于违法处理行为,侵害了王某的个人信息权益,应当承担民事侵权责任。
【典型意义】
数据跨境流动已经成为全球资金、信息、技术、人才等资源要素交换、共享的基础,个人信息的跨境流动关乎个人、社会和国家利益。当前,跨境互联网平台的个人信息处理章程普遍存在信息收集范围表意不清、信息处理方式含糊不明等问题。
跨境个人信息处理的主要合法性基础是个人同意和履行合同所必需,无论基于上述何种合法性理由,个人信息处理者均应当依法履行告知义务。从个人同意的角度,本案中被告的《客户个人数据保护章程》属于一揽子的笼统告知,而非增强告知。对于类似的笼统告知,用户或消费者的点击勾选,不能产生“单独同意”的效力。
结合本案,如果跨境个人信息处理行为超出笼统告知的处理目的,又不具备个人同意以外的其他法定的合法性基础,个人信息处理者必须履行增强告知义务并获得个人单独同意,从而确保个人信息知情权和决定权的实现。从履行合同必需的角度看,如果跨境个人信息处理的收集范围、处理方式、处理目的等确属履行合同所必需的,则不需要个人的单独同意。
本案明确了个人信息跨境处理的合法性审查规则,为丰富全球个人数据跨境流动的实践探索提供司法范本。
2.案例丨广州悠某公司与喜某公司网络域名权属、侵权纠纷案——国际域名争议解决的规则衔接和机制对接
【基本案情】
喜某公司注册了“喜临门”“xilinmen”等多个商标,后发现广州悠某公司注册了案涉域名xilinmen.com。喜某公司遂向亚洲域名争议解决中心香港秘书处提交对广州悠某公司恶意注册及使用争议域名的投诉,该中心秘书处经审查,认定广州悠某公司行为符合《ICANN统一域名争议解决政策》规定的恶意情形,裁决将争议域名转移给喜某公司。广州悠某公司在收到裁决书后的10个工作日内,向广州互联网法院提起诉讼,要求确认案涉域名为其所有。
【裁判结果】
广州互联网法院生效判决认为,根据亚洲域名争议解决中心香港秘书处采纳证据显示,并结合互联网回溯工具查看,案涉争议域名在广州悠某公司注册期间主要用于链接至域名交易网站。同时,结合广州悠某公司注册了大量域名用于招揽域名交易的事实,广州悠某公司在注册案涉域名之前,应当知道他人对具有一定知名度的驰名商标“喜临门”“xilinmen”及企业名称等享有权利,而仍将与之相同的拼音字样注册为域名,明显存在转让牟利及阻止权利人注册的故意,构成不正当竞争。
【典型意义】
广州互联网法院生效判决认为,根据亚洲域名争议解决中心香港秘书处采纳证据显示,并结合互联网回溯工具查看,案涉争议域名在广州悠某公司注册期间主要用于链接至域名交易网站。同时,结合广州悠某公司注册了大量域名用于招揽域名交易的事实,广州悠某公司在注册案涉域名之前,应当知道他人对具有一定知名度的驰名商标“喜临门”“xilinmen”及企业名称等享有权利,而仍将与之相同的拼音字样注册为域名,明显存在转让牟利及阻止权利人注册的故意,构成不正当竞争。
3.案例丨爱某公司与晴某文化公司侵害作品信息网络传播权纠纷案——境外侵权纠纷的国内法域外适用
【基本案情】
爱某公司是《某某行动》《某某练习生》等7部热播电视剧、综艺的独家信息网络传播权权利人,晴某文化公司租用位于境外的服务器经营网站“jiXXXX.tv”,向新西兰等境外提供视频点播服务。爱某公司认为晴某文化公司未经授权提供上述影视作品在线点播服务,构成侵权,遂向广州互联网法院提起诉讼。晴某文化公司辩称,提供视频点播的网站服务器位于境外,且视频点播功能只对境外开放。
【裁判结果】
广州互联网法院生效判决认为,虽然境内无法以正常渠道访问点播视频,但我国著作权法及相关司法解释规定,信息网络传播权并未限制传播的范围仅及于或应当包含境内网络,在境内无法以正常渠道访问并未作为侵犯信息网络传播权的例外情形。故晴某文化公司未经许可擅自将案涉作品以“公之于众”的方式展示在开放性的、不特定人均可浏览的网络平台上,应认定侵犯了爱某公司的信息网络传播权。
【典型意义】
本案积极拓展国内法域外适用场景,明确我国法律对境外侵犯信息网络传播权的行为具有法律约束力,并结合网络侵权泛在性特征,认定信息网络传播权并未限制传播的范围仅及于或应当包含境内网络,在境内无法以正常渠道访问并未作为侵犯信息网络传播权的例外情形。
本案彰显了网络全球化、数字技术高速发展的国际背景下,依法妥善拓展我国国内法域外效力,积极推动著作权跨境保护的司法创新实践。
4.案例丨韩国海某公司与广州爱某公司著作权侵权纠纷案——平等保护中外当事人知识产权
【基本案情】
韩国海某公司将产品宣传图在中国申请了作品登记。广州爱某公司曾因使用相似宣传图被海某公司起诉并在法院主持下达成调解,约定由广州爱某公司赔偿海某公司经济损失,并承诺不再侵害韩国海某公司知识产权。1年后,韩国海某公司发现广州爱某公司再次实施类似侵权行为,且涉侵权产品被质监部门通报,对韩国海某公司商誉造成隐患,故向广州互联网法院提起诉讼。
【裁判结果】
经查,爱某公司所称另案和解前已在使用的图片与本案涉侵权图不完全一致,本案涉侵权图是爱某公司于双方和解后才上架的,涉侵权图片所在产品链接销售额为数千元。另查,海某公司与爱某公司前案纠纷涉及的作品与本案作品存在重合或相同元素的情况达到一半以上,而本案涉侵权平台数量占前案一半,本案涉侵权的形式系在网店商品链接发布两幅宣传图,不含前案将涉侵权图印制在产品包装的情形。
广州互联网法院生效判决认为,广州爱某公司侵害了韩国海某公司对案涉美术作品享有的信息网络传播权及署名权,违反双方在先和解协议,构成重复侵权且情节严重,遂对广州爱某公司适用惩罚性赔偿,并判令其赔礼道歉。
【典型意义】
本案充分考虑了被诉侵权人的主观恶意、在先和解又重复侵权的情节、侵权损害的严重程度等因素,准确适用惩罚性赔偿并合理确定赔偿金额,以具体司法实践展示惩罚性赔偿裁判依据和考量因素,厘清了新著作权法确立的惩罚性赔偿制度如何具体适用,并优化计算路径,有利于将“纸面上的法”转化为“行动中的法”,提高法律和司法解释规定的可操作性,明确传递了加强跨境知识产权司法保护力度的信号。
本案充分体现了平等保护中外当事人知识产权,外国企业在我国诉请保护其著作权,在全面审查的基础上依法支持涉外著作权人的惩罚性赔偿主张,充分体现了严格平等保护知识产权,营造市场化、法治化、国际化一流营商环境的司法导向,对于推动构建更为公正合理的国际知识产权秩序,提升我国司法公信力和国际影响力具有积极意义。
5.案例丨广州巧某公司与长某公司不正当竞争纠纷案——跨境电商经营者不正当竞争行为的认定
【基本案情】
广州巧某公司是亚马逊平台内某婴儿用品品牌的美国独家授权销售网店。同为从事跨境贸易的长某公司使用某免费建站软件创建了跨境电商网站,将广州巧某公司在亚马逊平台网店上某婴儿用品的页面详情、图片、文案等内容盗用至该网站上,并向亚马逊平台投诉广州巧某公司侵犯其知识产权,致使广州巧某公司的产品被亚马逊平台下架停售,广州巧某公司向广州互联网法院提起诉讼。
【裁判结果】
广州互联网法院生效判决认为,长某公司恶意编造事实,利用平台“通知-删除”规则进行投诉,致使广州巧某公司产品下架,违背诚信原则和商业道德,扰乱市场竞争秩序和正常经营活动,应认定构成不正当竞争,故判令长某公司向广州巧某公司赔偿经济损失及合理开支,并承担相应的惩罚性赔偿责任。
【典型意义】
本案是跨境电商平台内经营者滥用“通知-删除”规则恶意投诉的典型案例。本案裁判系统分析了恶意投诉构成不正当竞争的要件,明确阐释了认定损害后果及适用惩罚性赔偿的考量因素,有力维护了跨境电商平台内经营者的正当经营权利。
本案对于遏制出海企业的不正当竞争行为,引导出海企业良性竞争、营造公平有序的跨境营商环境起到良好指引作用。
6.案例丨杭州某公司等与台湾海某公司等著作权侵权及不正当竞争纠纷案——跨业态攀附不正当竞争行为的认定
【基本案情】
《阴阳师》系由杭州某公司开发运营的一款知名手游。杭州某公司发现,台湾海某公司等12家公司未经许可,在联合出品的电影《御魂师之封神令》以及相关宣传中,大量使用《阴阳师》主要游戏角色形象,并存在“阴阳师IP版权”“改编自手游”等混淆及虚假宣传行为,遂以侵犯其著作权及构成不正当竞争为由向广州互联网法院提起诉讼。
【裁判结果】
广州互联网法院生效判决认为,《阴阳师》具有较高的市场知名度,可以作为知名商品的特有名称获得保护,案涉电影宣传行为及宣传内容会使公众误认与游戏《阴阳师》存在关联关系,构成主体混淆的不正当竞争,判决台湾海某公司等12家公司共同承担赔偿责任。
【典型意义】
本案系未经许可使用爆款《阴阳师》游戏非正式名称“御魂师”作为电影名称引发的纠纷。本案明确了当非正式名称具备知名度、关联度、显著度,可以发挥区别商品来源的功能时,享有与正式名称同等的权益保护,擅自使用他人非正式名称进行跨业态抄袭及攀附的,构成主体混淆的不正当竞争行为。
本案裁判对跨境合作的跨业态数字内容产品有意混淆主体的不正当竞争行为亮明司法态度,有助于推动塑造崇尚创新、诚实守信、公平竞争的知识产权文化理念,护航数字内容产业行稳致远、扬帆出海。
7.案例丨张某与广州果某公司著作权侵权纠纷案——与国际组织协同化解跨境版权纠纷
【基本案情】
香港居民张某是大型房地产专著《某某名宅》1、2册的作者,该专著中收录了多个摄影作品。张某发现广州果某公司未经许可,基于商业目的,擅自在付费文档中向公众传播张某享有著作权的多幅摄影作品,并提供付费下载服务。张某遂就其中1幅作品向广州互联网法院提起诉讼。
【裁判结果】
案件审理过程中,经双方当事人同意,广州互联网法院将案件委托世界知识产权组织仲裁与调解上海中心进行调解。在法院和中心的调解下,双方达成一揽子解决方案,广州果某公司向张某支付包括案涉作品在内共计423张图片版权争议和解款。
【典型意义】
本案依托广东省高级人民法院和世界知识产权组织仲裁与调解中心知识产权领域替代性争议解决交流与合作机制,在充分征求当事人意见后,协同上海WIPO(世界知识产权组织仲裁与调解上海中心)通过“以一调百”方式促成423张图片侵权纠纷达成和解。
本案成功调解标志着中国法院与世界知识产权组织在替代性争议解决领域的交流与合作又深入一步。双方共同探索知识产权保护与创新发展有效途径和方法,开创了新时代知识产权司法保护新局面,有利于共同推动全球知识产权治理体系向着更加公正合理的方向发展。
8.案例丨陈某与美国布某公司网络域名权属、侵权纠纷案——适用“实际联系原则”确定涉外案件管辖
【基本案情】
陈某于2002年3月20日注册域名“bu.com”。布某公司系一家经营健康产品线上零售的美国公司,其于2012年6月13日首次商业使用“BU”标记,并先后在美国境内注册取得“BU* BOX”和“BU”商标。2018年11月,布某公司认为陈某恶意注册并使用案涉域名,向美国国家仲裁院提出转移域名的仲裁申请,美国国家仲裁院审查后作出《裁决书》,裁决将域名“bu.com”从陈某转至布某公司。陈某不服裁决结果,向广州互联网法院提起诉讼,请求确认域名“bu.com”为陈某所有,要求布某公司赔偿经济损失。
【裁判结果】
广州互联网法院合理解释“实际联系原则”,依法将本案纳入管辖,并依法适用中华人民共和国法律处理本案纠纷,判决确认陈某对域名“bu
.com”享有域名持有者的合法权利。
【典型意义】
国际域名为稀缺资源,全球流通性较强、国际认可度较高,属于各国民商事主体竞逐的网络虚拟资源。本案根据国际域名的虚拟性、遍在性特点,合理解释“实际联系原则”,认定域名持有人居住地为域名权益受损害的结果发生地,依法将案件纳入管辖,并依法适用中华人民共和国法律,妥善认定域名侵权中的“恶意”,依法保护我国域名持有人合法权益。
本案对于推动域名资源法律保护、提升国际域名争议解决中的中国话语权、彰显中国互联网司法治理规则等方面具有积极意义。
9.案例丨文某与麦某科技公司著作权侵权纠纷案——域外证据的获取与效力认定
【基本案情】
文某在“微信表情商店”公开发表PP猪系列作品。麦某科技公司在网店售卖的手机壳商品使用了与案涉PP猪形象相似的图案。文某认为麦某科技公司的行为构成著作权侵权,向广州互联网法院提起诉讼。麦某科技公司通过VPN方式访问域外网站进行录屏取证,拟证明案涉作品在文某首次发表之日前已在国外网站公开。
【裁判结果】
广州互联网法院生效判决认为,麦某科技公司通过VPN方式,非正常渠道突破网络管制措施,对有访问限制的网站进行访问,违反了行政性管理规定。但在相关网站搜索、截图、下载并同步录屏的取证行为没有违反法律禁止性规定,所获取的证据不宜直接作为非法证据予以排除。因文某无法提交证据证明其独立创作完成案涉作品的事实,故判决驳回其全部诉讼请求。
【典型意义】
本案依照《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第一百零六条“以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据”的规定,审慎认定以VPN方式获取域外证据的效力,确认以VPN方式获取的域外证据不宜直接归为“非法证据”予以排除,如域外证据有佐证证明其真实性的,法院可予采信。
本案严格依照法律规定,审慎确立以VPN获取域外证据的证明效力审查规则,对保障当事人诉讼权利、促进域外事实查明、平衡实体公正与程序正当关系方面具有借鉴意义。
10.案例丨广州虎某公司与厦门易某公司、刘某网络域名执行案——积极搭建国际域名协助执行通道
【基本案情】
广州虎某公司与厦门易某公司、刘某网络域名纠纷一案,经广州互联网法院审理,认定刘某具有使用域名hu.com.cn的恶意,构成侵权,故判令刘某在判决生效后三十日内将域名hu.com.cn转移至广州虎某公司,由广州虎某公司注册使用。
【裁判结果】
案件执行过程中,广州互联网法院先向中国互联网络信息中心(简称CNNIC)发出协助执行通知书,解除案涉域名的冻结措施。随后,通过WHOIS网站查询到案涉域名所属注册服务商为GoDaddy公司,按照《国家顶级域名注册实施细则》关于“申请转让域名的,应当向域名注册服务机构办理转让手续”的规定,向GoDaddy公司送达转移域名的协助执行通知书。经与执行当事人、协助执行人充分沟通,案涉域名顺利转移至广州虎某公司名下,执行完毕。
【典型意义】
域名是以数据形式存在于网络空间的虚拟财产,涉及域名的执行具有协助执行主体多、财产控制难的特点,在国际域名的执行过程中,还存在协助执行主体送达难、沟通难的问题。
本案积极探索国际域名执行路径,主动与中国互联网络信息中心以及国际域名注册服务商GoDaddy公司建立联系,强化涉外执法协调机制,拓宽涉外执法合作领域,切实提高涉外执法效能,最大限度保障当事人胜诉利益。
四、专业问答
近日,金融监管总局制定发布《银行保险机构数据安全管理办法》(以下简称“《办法》”)。有关司局负责人就相关问题回答了记者提问。
1.《办法》制定的背景是什么?
答:金融数据具有高价值和高敏感性,金融数据安全与国家安全和金融消费者权益密切相关。近年来,银行业保险业数字化变革加速演进,新技术、新业态不断涌现,数据合作共享日益频繁。与此同时,金融领域面临的数据安全风险形势复杂严峻,也给金融机构数据安全管理带来新的挑战。对此,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部机制,采取有效的管理和技术措施加强数据安全保护,确保客户信息和金融交易数据的安全。
2.《办法》的主要内容和特点是什么?
答:《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。主要特点包括:
一是落实数据安全责任制。明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任,机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人。
二是明确数据安全归口管理部门。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。
三是将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
四是强化数据安全评估。要求银行保险机构开展相关数据处理活动时,应事先开展安全评估。根据数据处理目的、性质和范围,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性。
五是建立数据安全保护基线。将数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,采用安全有效的传输方式保障数据完整性、保密性、可用性。
3.《办法》在数据分类分级方面提出了哪些具体要求?
答:《办法》要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。在数据分类方面,对机构业务及经营管理过程中获取、产生的数据进行分类管理,具体类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。在数据分级方面,银行保险机构应根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其他一般数据;当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致安全级别不再适用的,及时进行动态调整。
4.《办法》规定的数据安全管理职责有哪些?
答:《办法》要求银行保险机构按照国家政策要求,根据自身发展战略,制定数据安全保护策略;根据数据处理目的、性质和范围,按照法律法规和伦理道德规范要求,对相关数据业务处理活动进行安全评估,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性;收集数据应坚持“合法、正当、必要、诚信”原则,明确数据收集和处理的目的、方式、范围、规则,保障收集过程的数据安全性、数据来源可追溯;在数据集团内部共享的过程中,应建立总行(公司)与其子公司数据安全隔离的“防火墙”,并对共享数据采取有效保护措施;《办法》还对数据加工、委托处理、共同处理、数据转移、数据跨境等具体的数据处理场景分别提出了相应安全管理要求。
5.《办法》在个人信息保护方面有哪些规定?
答:《办法》单独设置“个人信息保护”章节,以进一步落实《数据安全法》《个人信息保护法》等上位法要求,体现保护消费者信息和权益的政策导向。主要规定包括:银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息。处理、共享和对外提供个人信息时,应当履行必要的告知义务,并取得必要同意。不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估。委托第三方处理个人信息时,应明确受托人对个人信息的保护义务、保护措施和期限等。发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,并向监管部门报告。
6.《办法》规定的数据安全事件应急响应与处置机制包含哪些内容?
答:《办法》将数据安全事件根据影响范围和程度,分为特别重大、重大、较大和一般四个级别。要求机构建立内部协调联动机制和外部服务商、第三方机构的报告机制。具体包括:一是制定数据安全事件应急预案,定期开展应急响应培训和应急演练。二是数据安全事件发生后,立即启动应急处置,分析事件原因、评估事件影响、开展事件定级,按照预案及时采取业务、技术等措施控制事态。三是建立数据安全事件报告机制,根据事件安全等级制定报告流程,发生数据安全事件时按照规定报告,同时按照合同、协议等有关约定履行客户及合作方告知义务。四是发生数据安全事件或者使用的产品和服务存在缺陷时,立即开展调查评估,及时采取补救措施。
银行保险机构应在数据安全事件发生2小时内向总局或其派出机构报告,并在事件发生后24小时内提交正式书面报告。发生特别重大数据安全事件,银行保险机构应当立即采取处置措施,按照规定及时告知用户并向属地公安机关、金融监管机构报告。银行保险机构应当每2小时将处置进展情况上报,直至处置结束。数据安全事件处置结束后,银行保险机构应当在五个工作日内将事件及其处置的评估、总结和改进报告报送属地监管部门。
7.《办法》公开征求意见情况如何?
答:《办法》起草过程中已广泛征求了有关部门及各类银行保险机构意见,并组织部分机构召开专题会议现场听取意见建议。2024年3月至4月,总局就《办法》面向社会公开征求意见。各方反馈的相关合理化意见建议均被采纳,未采纳意见主要集中在数据审计周期、监管报送时限等方面。

技术驱动法律,专业成就未来