汇编作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、工信部印发《关于电信设备进网许可制度若干改革举措的通告》,将卫星互联网设备、功能虚拟化设备正式纳入进网许可管理
2、国家互联网信息办公室公布《个人信息出境标准合同办法》
3、工信部印发《关于进一步提升移动互联网应用服务能力的通知》:移动互联网应用的自动续订、续费前5日以短信、消息等提醒用户
4、北京市出台多条准则规范广告发布行为 互联网弹出广告要能一键关闭
5、《苏州市数据条例》发布
6、深圳发改委发布《数据产权登记管理暂行办法》征求意见
二、执法动态
1、46款存在侵害用户权益行为APP(SDK)被通报
2、涉及个人金融信息保护等23项违法行为,厦门银行被罚764万元
三、司法审判
1、全国首例!干扰未成年人“防沉迷”机制 游戏代练平台被叫停
2、北京互联网法院:强制收集用户画像用于定推构成侵权
四、新闻事件
1、国家广电总局研究部署加强短视频管理、防范未成年人沉迷等工作
2、中共中央国务院印发《数字中国建设整体布局规划》
3、上海长宁:发布第三批互联网空间行为规范指引
4、中国应用法学研究所召开个人信用信息法律规制研讨会
五、域外观察
1、特斯拉“逃脱”处罚:车载摄像头拍摄路人,隐私保护责任由车主承担?
2、意大利禁止AI聊天机器人Replika处理个人信息,理由是保护儿童等脆弱人群
3、亚马逊“封号潮”余波不断:卖家个人信息跨境或面保护危机
一、立法动态
1、工信部印发《关于电信设备进网许可制度若干改革举措的通告》,将卫星互联网设备、功能虚拟化设备正式纳入进网许可管理
2月6日,工业和信息化部发布《关于电信设备进网许可制度若干改革举措的通告》(工信部信管函〔2023〕14号,以下简称《通告》),集中公布动态调整进网许可设备目录、精简优化进网检测项目、承诺进网审批时限、延长试用批文有效期、实行产品系族管理等5项改革举措;推行进网标志电子化、互认电磁兼容(EMC)检测结果等其他两项改革举措正在积极筹备、有序推进。新纳入进网许可的卫星互联网设备和功能虚拟化设备,其中“卫星互联网设备”是指基于卫星通信技术完成数据交互,向用户提供互联网服务的新型网络设备,“功能虚拟化设备”是指采用虚拟化、可编程等技术将设备功能软件化,并运行于通用硬件平台之上的新型网络设备。后续,工业和信息化部将依据现行的进网许可管理规定,指导相关生产企业开展产品检测、提交许可申请,对上述两类设备实施许可准入和监督管理。(来源:工业和信息化部网站)
2、国家互联网信息办公室公布《个人信息出境标准合同办法》
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。《办法》规定,个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息适用本办法。明确通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。《办法》明确,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估并明确了重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。(来源:上观新闻)
3、工信部印发《关于进一步提升移动互联网应用服务能力的通知》:移动互联网应用的自动续订、续费前5日以短信、消息等提醒用户
2月27日,工业和信息化部印发《关于进一步提升移动互联网应用服务能力的通知》(以下简称《通知》)。《通知》围绕“两提升”,即提升用户服务感知、提升行业管理能力,共提出26条措施。其中,聚焦App安装卸载、服务体验、个人信息保护、诉求响应等,针对性地提出改善用户服务感知12条措施;从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即App开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业有14条措施。在规范安装卸载行为方面,《通知》要求确保知情同意安装。向用户推荐下载的App,应真实、准确、完整地明示开发运营者、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的取消选项,经用户确认同意后方可下载安装。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。《通知》要求,开屏和弹窗信息窗口都必须提供清晰有效的关闭按钮;不得频繁弹窗干扰用户正常使用,或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。服务续期及时提醒:采取自动续订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、强制捆绑开通。在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。(来源:中国消费者报)
4、北京市出台多条准则规范广告发布行为 互联网弹出广告要能一键关闭
为进一步规范广告活动及金融投资理财类广告发布活动,北京市市场监管局近日发布《北京市广告发布行为合规指引》《北京市金融投资理财类广告发布合规指引》。新发布的《北京市广告发布行为合规指引》对代言广告如何审查管理等一系列热点问题进行了明确规定。互联网广告发布须遵循七条特别准则。利用互联网发布、发送广告,不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告,应显著标明关闭标志,确保一键关闭。不得以欺骗方式诱使用户点击广告内容。另外,未经用户同意或请求,不得在用户发送的电子邮件或者互联网即时通讯信息中附加广告或者广告链接,不得向其交通工具、导航设备、智能家电等发送互联网广告。不得在用户搜索政务服务网站以及相关应用程序时插入广告。发布含有链接的互联网广告,应核对下一级链接中的广告内容,并采取措施防止链接的广告内容被篡改。一旦出现被篡改情形,应及时提供违法广告活动主体的真实名称、地址和有效联系方式。(来源:北京日报)
5、《苏州市数据条例》发布
2023年2月28日上午《苏州市数据条例》新闻发布会正式举行,从3月1日起,苏州市首个规范数据使用的《苏州市数据条例》(以下简称《条例》)相关链接:《苏州市数据条例(草案)》首次审议,培育数字征信体系,支持数据要素市场化跨域协同将正式施行。同时,这也是目前国内首部按照中央深改委最新精神,全面规范公共数据、企业数据和个人数据的综合性地方性法规。《条例》共七十条,设总则、数据资源、发展和应用、数据要素市场、促进和保障、数据安全、法律责任、附则八章,主要规定了建立健全数据治理体制机制、探索推进数据分类和价值实现等六个方面的内容。此外,《条例》是国内首部全面规范公共数据、企业数据和个人数据的综合性地方性法规,除了对公共数据的归集、共享、开放等方面进行了新的探索外,还率先对企业数据和个人数据的创新应用、价值实现等作出规定。(来源:苏州大数据中心、看苏州)
6、深圳发改委发布《数据产权登记管理暂行办法》征求意见
2月20日,深圳市发展和改革委员会就《深圳市数据产权登记管理暂行办法》(征求意见稿)公开征求意见。意见稿明确,登记机构应当运用区块链等相关技术,对登记信息进行上链保存,并妥善保存登记的原始凭证及有关文件和资料。其保存期限不得少于三十年。登记机构及其工作人员依法对与数据产权登记业务有关的数据、文件和资料负有保密义务。《深圳市数据产权登记管理暂行办法》为规范数据产权登记行为,保护数据要素市场参与主体的合法权益,促进数据作为生产要素开放流动和开发利用。(来源:深圳发改委)
二、执法动态
1、46款存在侵害用户权益行为APP(SDK)被通报
工信部2月8日对墨迹天气极速版、掌上公交等46款侵害用户权益的移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行通报,要求这46款APP及SDK在2月15日前完成整改落实工作。依据相关法律法规,工信部组织第三方检测机构对群众关注的生活服务类APP及SDK进行检查,发现46款APP及SDK存在侵害用户权益行为。工信部对这些APP及SDK进行通报,要求在2月15日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。(部分名单见下)(来源:工业和信息化部)
2、涉及个人金融信息保护等23项违法行为,厦门银行被罚764万元
1月30日,中国人民银行福州中心支行公布行政处罚信息公示表,其中显示,厦门银行因涉及违反个人金融信息保护规定等23项违法行为,被人民银行福州中支予以警告,没收违法所得767.17元,并处罚款764.6万元。
该公示表同时披露了对7名相关责任人的行政处罚内容,包括时任厦门银行副行长、时任厦门银行风险管理部总经理等7人因对相关违法违规行为负有责任,合计被处以罚款37万元。行政处罚信息公示表显示的23项违法行为包括:1.违反个人金融信息保护规定;2.违反金融营销宣传管理规定;3.违反信息披露管理规定;4.违反金融消费者保护内部控制及其他管理规定;5.未准确报送金融统计数据;6.银行结算账户未按规定备案;7.涉诈账户管理不到位;8.将外包服务机构发展为特约商户;9.商户实名制落实不到位;10.个别现金从业人员判断和挑剔假币专业能力不足;11.误收假币未按规定报告;12.未按规定解缴假币;13.冠字号码采集、存储不符合规定;14.延解、占压和挪用收纳的预算收入;15.国库集中支付退回资金未及时退回国库,占压财政存款或者资金;16.向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人;17.未在规定期限内处理异议,异议处理超期;18.因系统原因发生未经授权查询个人信用报告;19.个人征信系统征信管理员用户兼任查询用户;20.未准确、完整、及时报送个人信用信息;21.未按规定履行客户身份识别义务;22.未按规定保存客户交易记录;23.未按规定报告大额交易和可疑交易报告。(来源:中国证劵网)
三、司法审判
1、全国首例!干扰未成年人“防沉迷”机制 游戏代练平台被叫停
【案号】(2021)沪0115行保1号
游戏代练平台绕过“防沉迷”机制,鼓励未成年人在内的用户参与商业代练,让未成年人绕过层层监督实现了“游戏自由”。近日,浦东法院对这起破坏未成年人“防沉迷”机制、组织商业代练行为的不正当竞争纠纷案作出判决。
【基本案情】腾讯成都公司是《王者荣耀》的著作权人,并授权深圳腾讯公司独家运营。《王者荣耀》内设公平匹配机制,配有完备的“防沉迷”机制,未成年人仅能在规定时间段内游戏,游戏服务协议还规定,用户不得将账号用作代练等商业性使用。然而,两公司发现北笙公司运营的“代练帮”客户端以“发单返现金”、设立专区的形式,引诱、鼓励包括未成年人在内的用户通过其平台进行商业化、规模化的游戏代练交易,故起诉至上海浦东法院。
两原告认为,北笙公司的行为妨碍了游戏业务的正常开展,对自身、游戏用户以及社会公共利益都造成了损害,构成不正当竞争,要求北笙公司立即停止上述行为,并赔偿经济损失等共计450万元。
北笙公司辩称,游戏代练与游戏服务并非同一领域,游戏代练等同于游戏陪玩,是服务性质,不构成不正当竞争,游戏代练增强了游戏用户体验,没有给原告造成损失,反而给原告增加了流量和用户粘性,且北笙公司也没有从涉案经营中盈利,请求驳回原告全部诉请。
【法院认为】法院经审理后认为,被告为两原告的用户提供商业化代练交易,以其经营活动和用户群体作为自身经营的基础资源,该行为本身具有市场竞争属性。本案中北笙公司的行为扰乱了市场竞争秩序,造成三个损害后果:一是破坏了公平竞技的游戏机制,损害了用户体验和合法权益;二是干扰了游戏建立的实名机制及未成年人“防沉迷”机制,损害了两原告的商业利益;三是增加了未成年人沉迷网络的风险,侵害了社会公共利益。同时,北笙公司将两原告具有竞争性权益的游戏作为获利工具,违反了诚实信用原则和商业道德,“代练帮”客户端还采取措施刻意规避原告的监管,具有主观恶意,原告亦无法通过适当技术手段消除被告行为的影响。
综上,法院认定北笙公司提供商业化网络游戏代练服务的行为构成不正当竞争,判决立即停止,并赔偿两原告经济损失人民币80万元及维权合理开支18.5万元。
【法官点评】此前,法院曾就本案作出诉前行为禁令,及时维护未成年人权益。本案主审法官,上海市浦东新区人民法院知识产权审判庭法官袁田表示,此次判决再次给这类企业敲响了警钟。“互联网发展有赖于自由竞争和科技创新,但须以不干涉他人正当商业模式为边界,更不能以危害未成年人健康成长、牺牲公共利益为代价。”袁田表示,从长远来看,“防沉迷”还需学校、家庭等多方合力,共同为孩子们撑起网络环境“保护伞”。(来源:中国新闻网)
2、北京互联网法院:强制收集用户画像用于定推构成侵权
【摘要】近日,北京互联网法院审结了APP强制收集用户画像信息侵权案。该案中,原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益。法院经审理认为,涉案软件在首次登录界面收集用户画像信息,未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。宣判后,被告上诉,二审维持原判,目前该案已生效。
【案号】(2021)京0491民初5094号
【基本案情】原告罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录,属于强制收集用户画像信息。同时,原告还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为,侵犯其个人信息权益。原告诉至法院,要求法院判令被告涉案软件运营者向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失。
被告涉案软件运营者辩称,由于被告服务的性质,需根据不同用户需求,为用户推荐合适的服务内容,因此,收集相关标签是提供服务所必需,并未违反个人信息收集的必要性原则,且该信息是原告主动填写,原告通过自己主动作出的行为同意了被告的信息收集行为。
法院查明,原告在登录涉案软件时,进入账号登录界面输入用户名和密码,点击登录,即出现若干问答界面,需要对用户“职业”“学习目的”“英语水平”等内容进行填写,填写完成后,还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册并进入首页。上述过程中并无“跳过”选项,亦无关于同意收集个人信息的提示。原告另行取证,在新用户注册登录时,在上述过程中出现若干问答界面前,会出现个人信息收集授权同意界面,用户在勾选同意后方可进入下一界面。
【法院认为】从相关行业规范上看,《个人信息安全规范》明确规定,个性化决策推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为提供服务的前提。
从涉案软件功能设置本身上看,履行合同所必需的范围,应限定在软件运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能。被告抗辩其针对不同用户需求推送个性化信息,虽可视为增进用户体验之举,但不能据此认定此为基础功能或用户必选功能而作为履行合同所必需。
涉案软件在用户首次登陆界面要求用户提交画像信息,未设置“跳过”“拒绝”等不同意提交相关信息外的登陆方式,使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。
综上,被告收集用户画像信息的行为并非“履行合同所必需”,亦未征得用户有效同意,构成侵权。同时,被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权,法院判决支持原告行使查询权和复制权。
【裁判结果】最终,法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。
四、新闻事件
1、国家广电总局研究部署加强短视频管理、防范未成年人沉迷等工作
2月22日,国家广播电视总局召开会议研究部署加强短视频管理、防范未成年人沉迷等工作。会议指出,当前未成年人上网看视频越来越普遍,更加需要以高度的政治责任感使命感紧迫感,坚决贯彻落实党的二十大精神和党中央决策部署,进一步创新管理理念思路,加强短视频建设和管理,大力激浊扬清,营造短视频清朗空间,提高未成年人保护水平,在陶冶情操、启迪心智、引领风尚方面对未成年人发挥潜移默化的积极作用。会议要求,全面抓好内容建设、融合传播、优质供给、许可准入、日常监管、专项培训、法规制度、算法管理等各项重点任务落实,促进短视频健康发展,实现提质升级,为未成年人健康成长营造更加有利的网络视听环境,坚决维护未成年人权益。(来源:央视网)
2、中共中央国务院印发《数字中国建设整体布局规划》
近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。《规划》指出,要全面赋能经济社会发展。一是做强做优做大数字经济。培育壮大数字经济核心产业,研究制定推动数字产业高质量发展的措施,打造具有国际竞争力的数字产业集群。推动数字技术和实体经济深度融合,在农业、工业、金融、教育、医疗、交通、能源等重点领域,加快数字技术创新应用。支持数字企业发展壮大,健全大中小企业融通创新工作机制,发挥“绿灯”投资案例引导作用,推动平台企业规范健康发展。二是发展高效协同的数字政务。加快制度规则创新,完善与数字政务建设相适应的规章制度。强化数字化能力建设,促进信息系统网络互联互通、数据按需共享、业务高效协同。提升数字化服务水平,加快推进“一件事一次办”,推进线上线下融合,加强和规范政务移动互联网应用程序管理。三是打造自信繁荣的数字文化。大力发展网络文化,加强优质网络文化产品供给,引导各类平台和广大网民创作生产积极健康、向上向善的网络文化产品。推进文化数字化发展,深入实施国家文化数字化战略,建设国家文化大数据体系,形成中华文化数据库。提升数字文化服务能力,打造若干综合性数字文化展示平台,加快发展新型文化企业、文化业态、文化消费模式。四是构建普惠便捷的数字社会。促进数字公共服务普惠化,大力实施国家教育数字化战略行动,完善国家智慧教育平台,发展数字健康,规范互联网诊疗和互联网医院发展。推进数字社会治理精准化,深入实施数字乡村发展行动,以数字化赋能乡村产业发展、乡村建设和乡村治理。普及数字生活智能化,打造智慧便民生活圈、新型数字消费业态、面向未来的智能化沉浸式服务体验。五是建设绿色智慧的数字生态文明。推动生态环境智慧治理,加快构建智慧高效的生态环境信息化体系,运用数字技术推动山水林田湖草沙一体化保护和系统治理,完善自然资源三维立体“一张图”和国土空间基础信息平台,构建以数字孪生流域为核心的智慧水利体系。加快数字化绿色化协同转型。倡导绿色智慧生活方式。(来源:人民日报)
3、上海长宁:发布第三批互联网空间行为规范指引
2月15日,由华东政法大学和上海市长宁区人民法院联合主办的互联网审判庭五周年庆暨“算法的社会责任”研讨会召开。会上发布了第三批互联网空间行为规范指引以及网络消费案件审判白皮书。当天发布的第三批互联网空间行为规范指引聚焦“搜索引擎”“用户隐私政策”“薅羊毛”等社会热点,以“规则+解读+典型案例”的形式,通过类型化思维进一步明确网络空间各方权利义务关系。该批互联网空间行为规范指引立足长宁区法院互联网审判实践,从该院五年审理的互联网案件中进一步深筛、精选、提炼,突出了长宁互联网审判的规则引领和教育示范作用。网络消费案件审判白皮书通过对长宁区法院审理的信息网络买卖合同纠纷、网络服务合同纠纷等案件数据进行统计梳理,总结出涉网络消费案件新型消费纠纷不断涌现等新趋势,并指出法律定性难、诉请固定难、知情保障难、事实查明难、边界划定难、具体适用难等审理难点,提炼审理机制,针对消费者、经营者、电商平台、监管部门分别提出涉网络消费案件防范建议,回应网络消费领域人民群众普遍关注的民生问题。(来源:人民法院报)
4、中国应用法学研究所召开个人信用信息法律规制研讨会
为深入贯彻党的二十大精神,推动我国社会信用体系建设,加快建设中国式现代化国家,2月15日,中国应用法学研究所组织召开个人信用信息法律规制研讨会,中央网信办网络法治局领导,北京大学、中国政法大学、对外经济贸易大学等高校的专家学者,最高人民法院和地方法院的资深法官,征信业企业代表的负责人,就个人信用信息的法律规制问题进行了深入讨论。研讨会的会议主题是个人信用信息的合规应用,下设个人信用信息的理论发展与个人信用信息的实践应用两个分主题。随着数据安全法、个人信息保护法、征信业务管理办法相继出台,征信行业需在法律法规框架内进一步提高分工协作能力,提升专业化水平。由于我国个人征信业发展时间较短,个人数据合规与监管方面的规范供给尚显不足,对征信机构的合规运行产生了消极影响。为有效克服制约个人征信行业发展的这一瓶颈问题,中国应用法学研究所邀请各方代表与专家学者,围绕个人信用信息授权获取、替代数据采集应用等个人数据应用和监管的前沿问题展开研讨,为进一步提升个人征信业服务能力和效率,完善相关法律制度提供智力支持。(来源:人民法院报)
五、域外观察
1、特斯拉“逃脱”处罚:车载摄像头拍摄路人,隐私保护责任由车主承担?
荷兰数据保护局(DPA)在2月22日表示,在特斯拉公司对启动车辆安全摄像头的“哨兵模式”做出更改后,该机构不会因可能的隐私侵犯行为对其进行罚款。特斯拉在其汽车上使用这种安全摄像头,以帮助车主保护汽车免受盗窃或破坏,但荷兰数据保护局对其进行了调查,认为此举可能是一种违规行为。荷兰数据保护局相关成员Katja Mur在一份声明中表示:“许多停在街上的特斯拉经常拍摄每一个靠近车辆的人,而这些图像会被保存很长时间。如果每辆汽车都这样做,我们就会面临这样的情况:在公共场合,没有人可以在不被监视的情况下去任何地方。”特斯拉没有立即对置评请求作出回应。荷兰数据保护局表示,自该机构开始调查以来,特斯拉公司已经对其启动摄像头的“哨兵模式”功能进行了修改,其中包括汽车的大灯闪烁,以向路人表明拍摄已经开始,并要求得到车主的批准才能开始拍摄。荷兰数据保护局表示,在功能修改后,摄像头拍摄的影片会被存储在车内,而不会与特斯拉共享。该机构称,修改之后车辆的所有者将需要对不当的拍摄行为承担法律责任,而不再是由特斯拉承担责任。荷兰数据保护局的调查尚未导致对特斯拉进行罚款或其他制裁措施。(来源:数据合规公社)
2、意大利禁止AI聊天机器人Replika处理个人信息,理由是保护儿童等脆弱人群
路透社—意大利数据保护局于2月3日作出决定:禁止人工智能(AI)聊天机器人公司Replika使用意大利用户的个人数据,理由是对儿童和情绪脆弱的人有风险。Replika是一家于2017年推出的旧金山初创公司,为用户提供定制化的头像,可以与他们对话和倾听。它在讲英语的人中处于领先地位,而且是免费使用,不过它通过出售语音聊天等奖励功能,每月带来约200万美元的收入。这种“虚拟朋友”被宣传为能够改善用户的情感健康。但意大利监督机构表示,通过干预用户的情绪,它“可能会增加仍处于发展阶段或情绪脆弱状态的个人的风险”。儿童隐私保护组织Defend Digital Me的主任Jen Persson告诉路透社,旨在影响儿童情绪或精神健康的工具应该被归类为健康产品,因此应该受到严格的安全标准约束。她说:“这些工具正被用于儿童,没有很多监督或保护,以防止潜在的误用。”意大利监管机构强调,缺乏年龄验证机制,如未成年人过滤器或在用户没有明确说明其年龄的情况下的阻断装置。监督机构说,Replika违反了GDPR,非法处理个人数据,因为它不能以未成年人无法签署的合同为合法性基础,即使是隐含的。Replika的开发商美国公司Luka Inc必须在20天内通知意大利当局为执行其要求而采取的措施,并可能被处以最高2000万欧元(2180万美元)的罚款,或最高4%的全球年营业额。(来源:路透社)
3、亚马逊“封号潮”余波不断:卖家个人信息跨境或面保护危机
近几年来,跨境电商已成为我国进出口贸易的重要组成部分,极具发展活力和潜力。海关数据显示,2022年我国跨境电商进出口(含B2B)2.11万亿元,同比增长9.8%。亚马逊全球开店作为跨境电商头部品牌,也成为不少国内卖家出海的首选平台。根据Marketplace Pulse最新报告,截至2022年12月,在亚马逊全球市场上,中国卖家在TOP卖家中占比达到了45.66%。但亚马逊卖家“跨服淘金”,也面临诸多挑战,承担着巨大风险。除了陌生的市场竞争和法律法规、遥远的库存管理和物流把控,一旦店铺被判定涉嫌欺诈或者违反亚马逊商业解决服务协议第三条,就会面临账号被封和资金冻结的局面。被封账号如要申请回款,亚马逊通知要求必须通过“视频验证”,成功后才有可能回款。同时,视频验证的正当性和必要性一直饱受广大卖家的质疑,有效同意和告知等程序亦存在不足,验证过程更是涉及到了卖家数据跨境的问题。
2021年4月底以来,中国卖家遭遇亚马逊封号潮,约有600个中国品牌和3000个卖家账号被封。亚马逊给出的理由是商家存在违规操作,包括“操纵评论”“刷单”和“违规账号关联”等。同年9月17日,亚马逊全球副总裁戴竫斐在接受央视财经采访时表示,“如果卖家能够证明亚马逊的判断有误,或者是他们的违规行为只是暂时的或是无意的过失,亚马逊希望能够看到他们提供一些避免未来再次违规的方案,之后便会恢复他们的账号;但是如果卖家的账号申诉不成功,或者是卖家不进行申诉,那么这个账号里面的资金会被暂时冻结,冻结周期为90天,这些资金将被用来支付对客户的退货、退款、赔偿等费用以及卖家其他未支付费用。在冻结周期之后,我们就会通过正常的流程告诉卖家申请资金的退还,如果卖家不涉及其他犯罪违法违规行为,只要通过身份的验证便能够将资金取回。”
虽然成功机会渺茫,但面临着店铺账号被关、库存被封、资金被冻的困局,不少中国卖家提出了申诉,也去尝试封号90天后,提出回款申请并接受了视频验证。据了解,提出回款申请的卖家,需要完成视频验证,顺利通过才能解冻资金。视频验证过程中,卖家需要使用亚马逊提供的Amazon Chime会议软件或者直接点击亚马逊后台链接。视频验证需由公司法定代表人出席,携带身份证件、员工信息、银行对账单等材料。此外,验证过程中,法定代表人需要回答审核人员提出的大量细致问题。跨境卖家陈先生对21记者介绍,“账号申诉时,亚马逊会详细询问很多细节,包括账号的基本情况,详细的经营记录,比如店铺第一单产生的时间、员工的姓名、供应商的信息、相关费用收支明细、卖得最好的产品、相应库存数量等等,还有一些个人信息,大概会持续50分钟。”整个过程由亚马逊方开启视频录制,卖家则不被允许视频录制。在整个验证过程中,法定代表人点头、摇头、眨眼等行为被记录的同时,属于生物识别信息的面部信息也将一同记录。需要注意的是,生物识别信息有着强烈的人身属性,反映个人独一无二的特征,若是发生泄露,则会造成严重影响。
视频验证涉及数据跨国流动,对于卖家反馈视频验证中数据存储、保护、用途等的并不清晰的回答,又该如何确认隐私保护和数据安全?值得一提的是,2021年4月,美国亚马逊宣布退出中国电商市场,但将保留云计算、Kindle和跨境贸易业务。上述平台法务负责人表示,亚马逊虽在中国境内没有开展电子商务部分,但在中国境内有实体公司,中国相关法律对其适用。在中国人民大学法学院教授张新宝看来,外国公司通过其系统(如果是在中国可以登录的)在中国境内收集个人信息,应该受《个人信息保护法》的管辖。(来源:21世纪经济报道)