中国版SCC备案指南及告知和同意实施指南重磅发布

来源:中伦律师事务所

文章摘要
回顾过去两周,在数据出境方面,《个人信息出境标准合同备案指南(第一版)》的发布为个人信息标准合同这一重要数据出境机制提供了落地指引。

回顾过去两周,在数据出境方面,《个人信息出境标准合同备案指南(第一版)》的发布为个人信息标准合同这一重要数据出境机制提供了落地指引。在个人信息保护方面,国家标准《GB/T42574—2023信息安全技术个人信息处理中告知和同意的实施指南》承接《个人信息保护法》中合法性和透明性的法律要求,就个人信息处理活动中告知和同意相关合规义务的落地,为相关企业提供了实操指引和重要参考。在网络安全方面,修订后的《商用密码管理条例》正式发布,对促进商用密码技术的有序发展,构筑及完善网络安全监管体系意义重大。在国际上,针对生成式人工智能(AIGC)的域外监管动作频频,欧盟、美国、日本等国家或地区的数据监管机构针对AIGC治理提出新要求和警示,积极引导AIGC生态向善发展。
HOTSPOT
热点洞察
《个人信息出境标准合同备案指南(第一版)》发布
2023年5月30日,国家互联网信息办公室(下称“国家网信办”)发布《个人信息出境标准合同备案指南(第一版)》(下称“《备案指南》”),为6月1日起执行《个人信息出境标准合同办法》规定的备案工作提供了指引。
相较于国家网信办2022年8月31日发布的《数据出境安全评估申报指南(第一版)》(下称“《申报指南》”),《备案指南》在出境定义、备案材料、拟定的个人信息保护影响评估(PIA)模板等多方面与之类似。虽《备案指南》的部分要求在颗粒度上略粗于《申报指南》,但可以预见,企业即便选择标准合同作为出境路径仍有大量工作需要开展。此外,与《申报指南》推行模式一致,北京、上海等地已陆续公布地方版备案指南与咨询通道,一定程度上反映地方网信办针对标准合同备案工作的查验尺度。
尽管标准合同是适用场景更为普遍的个人信息跨境传输机制,然而《备案指南》对备案工作要求严格,且企业存在备案不通过的风险。企业如选择以标准合同作为出境合规机制,建议应参照《备案指南》尽快推进个人信息保护影响评估、标准合同的签署及备案等合规工作,同时注意与属地网信部门进行咨询与沟通。
《GB/T42574—2023信息安全技术个人信息处理中告知和同意的实施指南》发布
2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了国标《GB/T42574—2023信息安全技术个人信息处理中告知和同意的实施指南》(下称“《实施指南》”)。个人信息收集和使用前的告知和同意如何落地实施一直是相关企业关注的重点。作为支撑个人信息保护相关法律法规落地的重要参考文件,该《实施指南》的颁布旨在通过技术语言和操作实例,对于告知和同意相关的合规义务进行拆解和阐释,从而在产品设计、交互界面等环节为企业合规实践提供指导。我们现针对《实施指南》中告知和同意实施落地的内容要点汇总梳理如下,供相关企业参考:
1)告知的适用情形:《实施指南》与《个人信息保护法》中对于告知义务的相关规定一脉相承。《个人信息保护法》第十七条中规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言 真实、准确、完整地向个人告知相关事项。《实施指南》则将“处理个人信息”拆解为收集、提供、公开个人信息、处理活动发生变更等情形分别进行阐述,并针对每种适用情形结合实践中的典型场景进行举例和补充说明。
2)告知的方式:《实施指南》将告知分为一般告知、增强告知与即时提示三种类型。个人信息处理者可根据产品、服务、业务特点,选择性适用或组合适用。
3) 告知的内容:《实施指南》承接《个人信息保护法》第十七条对个人信息处理规则透明性的要求,对个人信息处理全生命周期,特别是收集、提供、公开个人信息、处理活动发生变更(含个人信息处理者的名称或姓名和联系方式变更)等情形下的推荐性告知内容进行了补充说明。
4) 告知的实施:就告知的实施而言,我们建议相关企业选择适当的告知界面或渠道、清晰易懂的告知展示方式、合理的告知时机和频率,具体如下:
使用便于个人立即阅读、获取告知内容的界面或渠道,如在个人不可操作的大屏幕或IoT等小型显示屏上设置二维码,扫描展示告知内容,对于已通过合法渠道获取联系方式的,可主动联系提供告知内容;
以个人视角的用户体验和权益保障为出发点,以清晰易懂、内容简洁、主次分明为目标展示内容,如明确标识或突出显示对个人权益有显著影响的条款,主动推送、优先展示存在易引起异议或争端的部分;
结合使用“首次告知”(常适用于一般告知)、“同步告知”与“再次告知”(二者常适用于增强告知或即时提示),提高告知的充分性和有效性。
5)同意的适用情形:该《实施指南》将“同意的适用情形”分为“需取得同意的情形”和“免于取得同意的情形”两类。其中,“免于取得同意的情形”在内容上基本沿袭了《个人信息保护法》第十三条中第(二)至(七)款中所列的“为订立、履行个人作为一方当事人的合同所必需”、“为履行法定职责或者法定义务所必需”等“非同意”合法性基础。
6)同意的实施:结合《实施指南》要求,我们建议相关企业参考下列步骤实施同意,尽早开展合规部署。
梳理个人信息处理活动,在明确以同意为合法性基础的个人信息处理活动后,梳理出单独同意清单和书面同意清单,使之包含法律法规明确要求的情形,并不断更新。
选择同意机制,同意的获取原则上须采取明示同意的方式,如需通过推定方式获取同意,应同时满足下列条件:取得明示同意存在显著困难;经个人信息保护影响评估(PIA)确认个人信息的处理不会对个人权益造成不利影响;已进行告知;不影响个人信息主体撤回同意;不属于需取得单独同意或书面同意的情况。
设计并实施同意获取与拒绝方案,结合产品服务特征及个人信息处理活动内容,设计具体的同意获取方案。
作为证据留存同意,为应对有关司法活动及监管部门的审查,个人信息处理者可进一步留存取得个人同意过程的证据。根据《实施指南》建议证据留存应不少于三年。
新版《商用密码管理条例》将于7月1日施行
2020年1月1日,我国密码领域的第一部法律《中华人民共和国密码法》实施。同年,《商用密码管理条例(修订草案征求意见稿)》(下称“修订草案征求意见稿”)发布,对1999年发布并生效的《商用密码管理条例》进行全面修订。2023年4月27日,修订后的《商用密码管理条例》(下称“正式稿”)公布,自2023年7月1日起施行。
我们现针对该正式稿梳理要点如下:
贯彻总体国家安全观,理清“四级管理+专项管理”机制;
完善促进密码科技创新与标准化举措;
落实“放管服”,细化商用密码检测认证实施要求;
与《电子签名法》衔接,确立电子认证商用密码管控要求;
从“批准制”到“清单制”,进一步完善商用密码进出口管制要求;
加强制度协同,协调与等保、关键信息基础设施监管之间的适用关系。
结合正式稿的上述要点汇总以及当前密码合规监管实践,我们建议企业:
对自身提供的商用密码服务是否涉及使用网络关键设备和网络安全专用产品予以认定,并在此基础上落实商用密码产品强制检测认证的合规义务;
判断进出口产品是否落入“商用密码进口许可清单”及“商用密码出口管制清单”的范围,对于落入前述清单范围的商用密码产品落实相关义务;
按照国家网络安全等级保护制度要求,使用商用密码保护网络安全;
对于构成关键信息基础设施运营者的企业而言,如涉及在其所运营的关键信息基础设施上使用商用密码,还应落实安全评估及检测认证的义务。
关于《商用密码管理条例》详细解读及文本对比见:
筑牢网络安全的基石——《商用密码管理条例》要点解读与合规观,请点击此处。
全文对比 |《商用密码管理条例》正式稿 VS 修订草案征求意见稿,请点击此处。
域外AIGC治理动作频发,引导科技向善发展
随着AIGC的技术和商业化应用不断迎来新的突破,域内外各界对AIGC引发的数据合规、消费者保护等问题普遍持担忧与审慎态度。近期,域外针对AIGC产品与服务的警告与监管建议频发,针对部分治理活动进行梳理如下。
澳大利亚:考虑禁止高风险人工智能技术
当地时间2023年5月31日,澳大利亚政府在一份关于如何实现“安全和负责任”人工智能的讨论文件中,指出AIGC资源集中在少数大型跨国公司和以美国为主的科技公司中,对澳大利亚构成了潜在威胁。由此,政府考虑禁止高风险人工智能技术和自动化决策的使用,并对深度伪造(creation of deepfakes)和算法偏见(algorithmic bias)等技术风险进行警告。
新西兰:商业、创新和就业部禁止员工使用人工智能技术
当地时间2023年6月6日消息,新西兰商业、创新和就业部(下称“MBIE”)已禁止其员工使用ChatGPT在内的多个AI工具。理由是,MBIE担心ChatGPT等技术收录员工输入的敏感信息,为降低部门数据和隐私风险,选择在确定该技术是否可以安全使用时按下了暂停键。
欧盟:欧盟委员会要求社交媒体公司标记任何人工智能生成的内容
当地时间2023年6月8日,欧盟委员会副主席宣布向谷歌、抖音国际版、脸书等超过40家科技企业要求,检测AI生成的图片、视频和文本,并向用户提供明确标记,体现出欧盟委员会将打击虚假信息作为重要任务。
日本:个人情报保护委员会对OpenAI发出警告
当地时间2023年6月2日,日本个人情报保护委员会(下称“PPC”)表示已经警告OpenAI不得在未经用户许可的情况下通过ChatGPT收集敏感数据。另一份声明中,PPC要求OpenAI应尽量压缩以机器学习(machine learning)为目的而收集的敏感数据。在以上措施的基础上,PPC表示如果担忧仍然存在,则可能采取进一步行动。
荷兰:数据保护局要求OpenAI澄清个人数据处理活动
当地时间2023年6月7日消息,荷兰数据保护局表示其正在关注开发人工智能的软件制造商如何使用个人数据,并已致函OpenAI,要求其回复如何收集用于创建软件的数据、如何存储数据以及如何从用户输入问题中收集信息等问题。
美国:消费者金融保护局发表声明,提醒金融机构谨慎使用聊天机器人
当地时间2023年6月8日,美国消费者金融保护局(下称“CFPB”)发布了一份关于金融机构使用聊天机器人的声明。CFPB特别指出,金融机构面临聊天机器人与客户通信并提供答复时,所提供的信息可能是不准确的风险。为此,CFPB强调市场参与者在部署新技术时,应该以符合联邦消费者金融保护法等现有法律等方式进行。
NEWSLETTER
资讯速递
立法动向
LEGISLATION



  1. 国家网信办发布《个人信息出境标准合同备案指南(第一版)》

  2. 国家标准化管理委员会、国家市场监督管理总局联合发布《GB/T42574—2023信息安全技术个人信息处理中告知和同意的实施指南》

  3. 全国信安标委正式发布《网络安全标准实践指南—网络数据安全风险评估实施指引》

  4. 科技部颁布《人类遗传资源管理条例实施细则》

  5. 北京市人大常委会通过《北京市未成年人保护条例》

  6. 北京市知识产权局等四部门联合发布《北京市数据知识产权登记管理办法(试行)》

  7. 北京市政府印发《北京市促进通用人工智能创新发展的若干措施》

  8. 国家网信办发布《近距离自组网信息服务管理规定(征求意见稿)》

  9. 工信部发布《GB/T42752-2023区块链和分布式记账技术参考架构》

  10. 国务院印发2023年度立法工作计划,含人工智能法草案

  11. 全国信安标委归口的19项网络安全国家标准正式发布
    行业动态
    INDUSTRY TRENDS

  12. 国家网信办发布《数字中国发展报告(2022年)》

  13. 北京网信办发布《北京市个人信息出境标准合同备案指引》

  14. 上海网信办发布关于个人信息出境标准合同备案的通知

  15. 上海通管局发布《上海市电信和互联网行业首席数据官制度建设指南(试行)》

  16. 上海通管局发布关于车联网网络安全防护定级备案和评测评估审核结果的通告

  17. 中央网信办“清朗·从严整治‘自媒体’乱象”专项行动取得阶段性成效

  18. 北京通管局发布关于问题APP的通报(2023年第四期)

  19. 深圳发布《深圳市加快推动人工智能高质量发展高水平应用行动方案(2023—2024年)》

  20. 海南网信办发布《海南省数据出境安全评估申报常见问答(一)》

  21. 海南网信办发布《海南省数据出境安全评估申报常见问答(二)》

  22. 全国信安标委大数据安全标准特别工作组发布《人工智能安全标准化白皮书(2023版)》
    海外动态
    OVERSEAS

  23. 欧盟:EDPB通过关于行政罚款计算的指南

  24. 意大利:数据保护局发布新版GDPR应用指南

  25. 新西兰:信息专员办公室发布《生成式人工智能指南》

  26. 菲律宾:国家隐私委员会就“同意”相关指引性文件向公众征求意见

  27. 美国:康涅狄格州参议院通过关于人工智能、自动化决策及隐私保护的法案

  28. 英国:ICO发布针对关于数据保护和电子信息法案的回应

  29. 澳大利亚:政府就人工智能风险管控出台讨论性文件并公开征求意见

  30. 美国:德克萨斯州修订州数据泄露通知法

  31. 法国:CNIL针对微软必应搜索引擎解除相关禁令

  32. 美国:亚马逊旗下智能门铃公司Ring及语音助手Alexa因侵犯用户隐私被罚超3000万美元

  33. 澳大利亚:考虑禁止高风险人工智能技术

  34. 日本:个人信息保护委员会针对生成式 AI使用发布行政指导意见

  35. 荷兰:数据保护局要求OpenAI澄清个人数据处理活动

  36. 新西兰:商业、创新和就业部禁止员工使用人工智能技术

  37. 欧盟:欧盟委员会要求社交媒体公司标记任何人工智能生成的内容

  38. 美国:消费者金融保护局发表声明,提醒金融机构谨慎使用聊天机器人
    [资讯权威来源]
    立法动向
    1.http://www.cac.gov.cn/2023-05/30/c1687090906222927.htm
    2.https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D04FFD262EBE05397BE0A0AD5FA
    3.https://www.tc260.org.cn/front/postDetail.html?id=20230529155314
    4.https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/fgzc/bmgz/202306/t20230601
    186416.html
    5.ttp://www.bjrd.gov.cn/rdzl/dfxfgk/dfxfg/202305/t202305293115618.html
    6.https://www.cnipa.gov.cn/art/2023/5/29/art
    57185453.html
    7.https://www.beijing.gov.cn/zhengce/zhengcefagui/202305/t20230530
    3116869.html
    8.https://mp.weixin.qq.com/s/v-eReNBc0QUrhmfpdsXiCQ
    9.https://wap.peopleapp.com/article/7103284/6954010
    10.https://www.gov.cn/zhengce/content/202306/content6884925.htm
    11.https://www.tc260.org.cn/front/postDetail.html?id=20230531114357
    行业动态
    1.http://www.ahwx.gov.cn/yjdt/202305/W020230523388839080571.pdf
    2.https://mp.weixin.qq.com/s/iSYnHfLuKdmbKYNoeB94Pw
    3.https://mp.weixin.qq.com/s/RR
    L9cjpuqMQVU1fHA0jA?scene=25#wechatredirect
    4.https://mp.weixin.qq.com/s/djM0eJxHve4-ia-8-lkGuQ?scene=25#wechatredirect
    5.https://mp.weixin.qq.com/s/UNB0isQpaJ6UoPCJ6zQS4Q
    6.https://mp.weixin.qq.com/s/MwPQL2oFwQULIhfi
    bRHhg
    7.https://mp.weixin.qq.com/s/9v0YhDJBug9Gjmo8bNMOg
    8.https://mp.weixin.qq.com/s/JC1yJf6gzmOWxxUdotXxFw
    9.https://mp.weixin.qq.com/s/Cq9
    8VdjJz45CBTPcM4iPg
    10.https://mp.weixin.qq.com/s/Lac8v1JUslo-OrTGxsAhjQ
    11.https://www.tc260.org.cn/front/postDetail.html?id=20230531105159
    海外动态
    1.https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-underen
    2.https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9892762
    3.https://www.privacy.org.nz/publications/guidance-resources/generative-artificial-intelligence/
    4.https://privacy.gov.ph/wp-content/uploads/2023/05/DRAFT-Circular-Guidelines-on-Consent-For-Public-Consultation.pdf
    5.https://www.cga.ct.gov/2023/amd/S/pdf/2023SB-01103-R00SA-AMD.pdf
    6.https://commonslibrary.parliament.uk/research-briefings/cbp-9746/
    7.https://consult.industry.gov.au/supporting-responsible-ai
    8.https://capitol.texas.gov/tlodocs/88R/billtext/pdf/SB00768F.pdf#navpanes=0
    9.https://www.cnil.fr/en/closure-injunction-issued-against-microsoft-ireland-operations-limited
    10.http://finance.china.com.cn/industry/company/20230601/5991099.shtml
    11.https://amp-theguardian-com.cdn.ampproject.org/c/s/amp.theguardian.com/technology/2023/jun/01/australian-government-considers-ban-on-high-risk-uses-of-ai-such-as-deepfakes-and-algorithmic-bias
    12.https://www.ppc.go.jp/news/careful
    information/230602AIutilize_alert/
    13.https://www.reuters.com/technology/dutch-privacy-watchdog-seeks-information-openai-flags-concerns-2023-06-07/
    14.https://amp.rnz.co.nz/article/8ac739a3-7080-4b0f-aba7-ac2c2d9f7019
    15.https://www.reuters.com/technology/ai-generated-content-should-be-labelled-eu-commissioner-jourova-says-2023-06-05/
    16.https://www.consumerfinance.gov/data-research/research-reports/chatbots-in-consumer-finance/chatbots-in-consumer-finance/

技术驱动法律,专业成就未来