————路盛提示————

中国3月份多项数据相关立法取得重大进展。《网络安全法》公开征求意见，主要针对处罚方法进行了进一步的整合细化，提高平台责任的同时与现行《个人信息保护法》《数据安全法》等内容进行更好的衔接。

《人工智能生成合成内容标识办法》正式出台，将于今年9月开始实施。除了AIGC服务提供者的标识义务外，《办法》还要求网络平台通过不同方式识别并提醒平台上的人工智能生成合成内容。

————监管要闻————

国家网信办就《中华人民共和国网络安全法》修正草案再次公开征求意见

3月28日，国家网信办就《中华人民共和国网络安全法》修正草案公开征求意见。现行的《网络安全法》于2017年实施，随着2021年来《数据安全法》《个人信息保护法》等一系列新立法出台，《网络安全法》面临着适应全新网络环境、衔接协调新立法的挑战。

1. 细化违法情形、违法责任以及执法手段

草案对罚则条款进行了明确，细化了违法行为、法律责任及其罚则的阶梯式对应关系。例如，对于网络运营者违反网络安全义务的，修正案不再以“拒不改正”为要件，企业首次违法即可能面临一万元以上五万元以下罚款。而拒不改正或者导致危害网络安全等后果的，则采取双罚制，按照不同后果确定单位责任同时也追究个人责任。

此外，草案对平台治理责任和相应违规处罚力度有所加强。例如对网络运营者的违法行为可以采取通报批评、停业整顿、关闭应用程序或吊销营业执照等多种处罚措施，对公司罚款最高达到1000万元，对个人最高100万元。

2. 网络关键设备及网络安全专用产品使用责任

本次修正新增第61条，在原有网络关键设备、网络专用产品的安全认证和安全监测制度的基础上规定了违法责任，销售或提供未经安全检测、认证，或结果不合格的产品的，最高可在没收违法所得的基础上，再处以违法所得3倍的罚款。关键信息基础设施运营者采购网络产品或者服务依然应通过国家安全审查，但违法义务新增“限期整改、消除对国家安全的影响”两种特殊形式。

3. 明确特定行为的法律衔接，提升理论处罚额度

对于发布或传输违法信息内容、侵害个人信息权益、关键信息基础设施运营者个人信息和重要数据处境违法等三种情形，修正案规定转致适用其他法律和行政法规，明确其法律责任，提升了理论处罚额度。

国家网信办等四部门联合发布《人工智能生成合成内容标识办法》

3月14日，国家网信办发布通知，公布《人工智能生成合成内容标识办法》。同时，《办法》配套的国家强制性标准《网络安全技术 人工智能生成合成内容标识方法》全文正式公布。两份文件均将于今年9月1日起实施。

《办法》规定，对于智能对话、智能写作等模拟自然人进行文本生成或者编辑服务，可能导致公众混淆或者误认的人工智能生成合成内容，应当添加显式标识，即可被用户直接感知的提示。例如在文本首尾添加文字标识、在图片及视频画面中插入图形、声音等显著图标，帮助用户直观辨别生成内容的人工智能属性。

对于使用深度合成服务生成或者编辑的信息内容，服务提供者应当添加隐式标识，即通过技术手段将生成内容的制作要素信息（如服务提供者编码、内容编号等）嵌入文件元数据或数字水印中，保障标识的持久性。

同时，该办法也规范了各主体的义务。人工智能生成服务提供者需在内容生成、传播各环节履行标识义务，在提供下载功能时确保显式标识满足要求，并在文件元数据中记录隐式标识；同时需在用户服务协议中明确标识方法和规范。网络平台则应该通过上传内容源数据核验、用户声明、自行检测等方式识别人工智能生成内容，并通过标识提醒用户。用户在发布从网上下载的生成合成内容时，应当主动声明并使用标识功能，不得恶意删除、篡改、伪造、隐匿标识。

国家网信办回答数据出境安全管理政策问题，明确自贸区负面清单标准

《促进和规范数据跨境流动规定》明确，自贸试验区可在国家数据分类分级保护制度框架下自行制定数据出境负面清单，经省级网络安全和信息化委员会批准，报国家网信部门、国家数据管理部门备案后实施，负面清单外数据出境将免予申报安全评估、订立标准合同、通过保护认证。在备案中，网信办和数据局会对清单进行审核，针对同一领域，如果已经有自贸试验区发布负面清单，其余自贸试验区可以参照执行，不再重复制定。

目前，天津、北京、海南、上海、浙江等地自贸试验区（港）数据出境负面清单先后完成备案，对汽车、医药、零售、民航、再保险、深海业、种业等17个领域数据跨境流动发挥促进作用。其中《中国（浙江）自由贸易试验区数据出境负面清单管理办法》于4月10日正式公布。该《清单》为全国范围内首个针对电子商务（企业对企业）以及清结算行业的负面清单，首度放宽这两个关键行业的数据出境要求。同时浙江在风险可控的前提下依据行业特性将规定细化至具体场景，并针对不同行业和场景的个人信息量级进行精确量化，降低企业数据出境过程中的合规成本。

————数据制度建设————

3月21日，国家网信办联合公安部公布《人脸识别技术应用安全管理办法》，人脸信息存储量达到一定规模的信息处理者须履行备案义务。《办法》将于6月1日生效。

4月2日，国家市场监督管理总局发布《网络交易合规数据报送管理暂行办法》。

4月25日，国家市场监督局、国家标准化管理委员会发布295项国家标准，包含6项数据及网络安全的推荐性国家标准。

4月23日，中国气象局、国家互联网信息办公室发布部门联合规章《人工智能气象应用服务办法》。

4月17日，中国人民银行等六部门联合印发《促进和规范金融业数据跨境流动合规指南》。

3月27日，北京市网信办等三部门联合发布《北京市数据跨境流动便利化综合配套改革实施方案》，提出要探索负面清单自贸区外适用机制，建立重点行业领域重要数据的识别认定。

————数据执法————

3月-4月期间，多机构发布通报公开涉个人信息合规问题APP的情况：

3月4日，上海市通信管理局通报下架15款侵害用户权益行为的APP，涉及违规收集个人信息、未明示个人信息处理规则、自启动和关联启动行为问题。

3月5日，北京市通信管理局通报19款存在问题的APP清单，并对于1月通报要求整改而未整改或整改不到位的4款APP予以下架。

国家计算机病毒应急处理中心分三批公布总计95款存在隐私不合规行为APP，涉及未履行或未完全履行告知义务、隐私政策未逐一列出必要信息、未取得同意而向第三方提供个人信息等问题。

3月19日，海南省互联网信息办公室通报16款违法违规收集使用个人信息的APP，责令相关运营单位期限整改。

各类数据及隐私保护相关的专项行动按计划展开：

3月28日，中央网信办等四部门联合发布公告，将开展个人信息保护系列专项行动，集中治理不同消费场景下的个人信息收集违规行为。

3月18日，公安部公布依法打击侵犯公民个人信息犯罪10起典型案例，涉及技术手段窃取信息、利用职务出售信息、通过虚构身份、资质证明等方式骗取个人信息等。

4月30日，中央网信办部署开展“清朗·整治AI技术滥用”专项行动，将分为两个阶段治理AI应用程序违规和利用AI技术发布违法内容两类行为。

数据权益司法保护持续推进：

4月28日，南京市中级人民法院发布数据权益司法保护十大典型案例，涉及数据不正当竞争、数据服务提供商的来源审查义务和非法获取出售用户数据信息的犯罪认定。

————数据运用————

4月18日，国家数据局拟发布数据流通交易合同示范文本，向社会公开征集关于数据提供、数据委托处理、数据融合开发和数据中介范本合同的意见。

3月27日，北京市知识产权局发布《北京市数据知识产权交易指引》，引导数据知识产权交易行为。

4月12日，广东省知识产权局发布2024年度数据知识产权十大典型案例，为数据知识产权在制度构建、存证登记、流通交易、权益保护和价值实现方面的创新提供实践范本。

————域外新闻————

3月26日，美国商务部以违反国家安全和外交政策为由，将来自中国、阿联酋等地的80个实体列入实体名单，以限制相关国家和地区涉军事高技术活动。

3月18日，卢森堡行政法院确认亚马逊基于用户兴趣个性化推荐广告的机制违反欧盟《通用数据保护条例》，认可了卢森堡国家数据委员会于2021年作出的7.46亿欧元的巨额罚款。

3月20日，欧洲隐私法公益组织noyb向挪威数据局提起一则投诉，认为OpenAI生成有关用户的虚假犯罪记录信息且拒绝有效纠正。

3月27日，韩国个人信息保护委员会对友利信用卡公司处以134亿韩元罚款，指出友利信用卡超出原定使用目的，将其20.7万家合作商户的个人信息用于信用卡推销。

4月14日，Meta在受到欧盟隐私监管调查后宣布重启欧洲用户数据训练AI计划，已与欧盟监管机构达成协议，承诺采取更严格的数据使用规范。

4月23日，欧盟委员会发布新闻公报，认定美国苹果公司的第三方应用下载渠道限制和Meta公司的“同意或付费”个性化广告使用规则违反《数字市场法案》，对两家公司分别处以5亿欧元和2亿欧元罚款。

4月8日，美国司法部制定的敏感个人数据传输禁令正式实施，包括中国（包括香港和澳门）、俄罗斯在内的六个国家以及与其有关的实体将被限制访问美国公民与政府的“敏感数据”，这是美国历史上首次禁止向中国跨境传输数据。

4月4日，特朗普签署第14258号行政令，延长了对TikTok执行禁令的期限，将TikTok在美国的运营宽限期延长至2025年6月19日。