目 录
新规速递
一、全国人民代表大会常务委员会审议通过《中华人民共和国民营经济促进法》
二、市场监管总局发布《医疗广告监管工作指南》
三、《数据安全技术 敏感个人信息处理安全要求》等6项网络安全国家标准获批发布
四、中国人民银行发布《中国人民银行业务领域数据安全管理办法》
实务动态
一、中央网信办部署开展“清朗·整治AI技术滥用”专项行动
二、市场监管总局等五部门约谈外卖平台企业
三、国家网络安全通报中心通报65款违法违规收集使用个人信息的移动应用
境外动态
一、美国国会通过《删除法案》
二、爱尔兰数据保护委员会对某科技公司开出5.3亿欧元罚单
三、美国得克萨斯州与G公司就侵犯数据隐私指控达成和解
新规速递
一、全国人民代表大会常务委员会审议通过《中华人民共和国民营经济促进法》
【合规资讯】
2025年4月30日,十四届全国人大常委会第十五次会议通过了《中华人民共和国民营经济促进法》(以下简称《民营经济促进法》),将于2025年5月20日起正式施行。《中华人民共和国民营经济促进法》共9章78条,主要内容包括:促进民营经济发展的指导原则和总体要求,保障公平竞争,优化投融资环境,支持科技创新,注重规范引导,强化服务保障,加强权益保护。其中,“规范经营”专章对民营经济组织应遵守的法律法规提出明确要求,并强调国家推动民营经济组织提升依法合规经营管理水平。(资讯分类:境内;资讯来源:全国人民代表大会)
【合规提示】
建议广大民营企业:一是严格遵守劳动用工、安全生产、职业卫生、社会保障、生态环境、质量标准、知识产权、网络和数据安全、财政税收、金融等方面的法律法规;不得通过贿赂和欺诈等手段牟取不正当利益,不得妨害市场和金融秩序、破坏生态环境、损害劳动者合法权益和社会公共利益。二是完善治理结构和管理制度、规范经营者行为、强化内部监督,实现规范治理;依法建立健全以职工代表大会为基本形式的民主管理制度。有条件企业可建立完善中国特色现代企业制度。加强对工作人员的法治教育,营造诚信廉洁、守法合规的文化氛围。三是依照法律、行政法规和国家统一的会计制度,加强财务管理,规范会计核算,防止财务造假,区分民营经济组织生产经营收支与民营经济组织经营者个人收支,实现民营经济组织财产与民营经济组织经营者个人财产分离。
【合规资讯】
2025年5月9日,市场监管总局发布《医疗广告监管工作指南》(以下简称《指南》),旨在进一步规范市场监督管理部门医疗广告监管工作,维护医疗广告市场秩序,促进医疗行业健康有序发展。《指南》细化了对违法医疗广告依法不予处罚以及从轻、减轻、从重处罚的具体情形;对制造容貌焦虑、针对未成年人的医疗美容广告以及含有绝对化用语的医疗广告等,明确了法律适用依据;重申了医疗广告违法情形有关行刑衔接等内容,规定了互联网平台企业的责任义务。(资讯分类:境内,卫生和社会工作;资讯来源:市场监管总局)
【合规提示】
建议医疗机构:一是严格规范广告内容表述。根据《医疗广告监管工作指南》要求,医疗机构应全面审查现有宣传材料,确保广告内容真实、合法,禁止使用夸大疗效、对产品功效、安全性作断言或者保证。二是落实广告发布资质审查。医疗机构在发布广告前,应依法取得《医疗广告审查证明》,并确保广告内容与审查通过版本一致;选择媒体渠道时,应核实发布平台具备合法广告发布资质。三是建立健全内部合规审查机制。设立专门的广告合规审核岗位,定期组织培训与自查,强化对网络营销、线上推广等新型广告形式的合规管理,防范虚假宣传和不实信息传播风险。
四、三、《数据安全技术 敏感个人信息处理安全要求》等6项网络安全国家标准获批发布
【合规资讯】
2025年4月30日,由全国网络安全标准化技术委员会归口的6项国家标准正式发布。本次发布的标准聚焦于数据安全、生成式人工智能安全等关键领域,进一步丰富了大网络安全工作格局下的网络安全标准体系建设,为国家数据安全和人工智能安全的管理工作及产业发展提供标准支撑。标准具体包括:GB/T 45574—2025《数据安全技术 敏感个人信息处理安全要求》、GB/T 45576—2025《网络安全技术网络安全保险应用指南》、GB/T 45577—2025《数据安全技术数据安全风险评估方法》、GB/T 45652—2025《网络安全技术生成式人工智能预训练和优化训练数据安全规范》、GB/T 45654—2025《网络安全技术生成式人工智能服务安全基本要求》、GB/T 45674—2025《网络安全技术生成式人工智能数据标注安全规范》。上述标准的实施日期均为2025年11月1日。
【合规提示】
建议科技企业:一是对涉及个人信息处理的业务流程进行全面审查,识别涉及敏感个人信息的收集、存储、使用、传输等环节,确保符合最小必要原则与目的限定原则。二是完善数据安全管理技术措施,通过访问控制、加密传输、去标识化等方式,加强对敏感个人信息的保护力度。三是完善数据合规管理体系,建立数据分类分级制度,明确一般、重要、核心数据的分级标准及保护措施,定期开展风险评估和安全审计,防范数据泄露与滥用风险。
四、中国人民银行发布《中国人民银行业务领域数据安全管理办法》
【合规资讯】
2025年5月9日,中国人民银行发布《中国人民银行业务领域数据安全管理办法》,自2025年6月30日起施行。《办法》旨在进一步夯实数据安全的法治基础,指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据处理活动。(资讯分类:境内,金融业,金融监管;资讯来源:国家金融监督管理总局)
【合规提示】
建议金融机构:一是完善数据分类分级体系。从业务关联性、敏感性和可用性三方面建立动态数据资源目录,按照一般、重要、核心三级划分数据类型,主动申报重要/核心数据并填报目录,重要数据处理者需设立专职安全负责人及管理机构。二是强化全生命周期安全管控。在收集与存储阶段,注重核查间接收集数据的来源合法性,以及重要/核心数据存储系统是否满足要求;在使用与传输阶段,注意加强对高敏感数据的管理,原则上禁止导出和未脱敏展示,确需传输时,应优先采用加密通道及专用线路;严格规范业务数据的委托处理,相关管理纳入外包管理体系,并在合同中明确受托方安全义务及数据删除要求。三是建立风险监测与应急机制。建立常态化监测机制,部署安全风险情报共享和日志审计系统,重要数据处理者需每年开展风险评估并提交报告,同时进行合规审计;制定事件分级预案,发生数据泄露等安全事件时立即补救并报告。
【合规资讯】
2025年4月30日,为规范AI服务和应用,促进行业健康有序发展,保障公民合法权益,中央网信办在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。本次专项行动分两个阶段开展。第一阶段强化AI技术源头治理,清理整治违规AI应用程序,加强AI生成合成技术和内容标识管理,推动网站平台提升检测鉴伪能力。第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容,假冒他人、从事网络水军活动等突出问题,集中清理相关违法不良信息,处置处罚违规账号、MCN机构和网站平台。(资讯分类:境内,信息传输、软件和信息技术服务业,数据和隐私保护;资讯来源:中央网络安全和信息化委员会办公室)
【合规提示】
建议网络平台企业:一是全面评估AI技术应用场景合规风险。组织技术、法务等部门对现有AI产品和服务进行全面自查,重点排查深度合成、算法推荐、人脸生成等技术在内容安全、个人信息保护、社会伦理等方面可能引发的法律与合规风险,及时停止或整改存在滥用风险的技术应用。二是建立健全AI技术安全管理制度。依据专项行动要求,完善AI技术开发和应用的内部管理机制,设立内容审核、数据来源合法性审查及技术伦理评估流程,明确AI应用的责任主体,并建立可追溯的技术保障措施,防止AI技术被用于违法不良信息的生成与传播。三是加强用户内容审核与举报响应机制建设。针对提供AI服务的平台型企业,应强化用户生成内容的实时监测与人工复核能力,优化关键词过滤与异常行为识别模型,畅通用户举报渠道,确保第一时间发现并处置利用AI技术实施的违法违规行为,积极配合监管部门调查。
【合规资讯】
2025年5月中旬,市场监管总局会同中央社会工作部、中央网信办、人力资源社会保障部、商务部,针对当前外卖行业竞争中存在的突出问题,约谈多家外卖平台企业。要求相关平台企业严格遵守《中华人民共和国电子商务法》《中华人民共和国反不正当竞争法》《中华人民共和国食品安全法》等法律法规规定,严格落实主体责任,主动履行社会责任,加强内部管理,合法规范经营,公平有序竞争,共同营造良好市场环境,切实维护消费者、平台内经营者和外卖骑手的合法权益,促进平台经济规范健康有序发展。(资讯分类:境内,住宿和餐饮业,劳动用工,产品质量;资讯来源:市场监管总局)
【合规提示】
建议平台企业:一是优化算法机制,保障骑手合法权益。合理设置配送时间、路线和劳动强度相关算法规则,避免不合理考核导致骑手交通违法或安全事故;落实骑手基本劳动保障措施,探索与第三方合作企业之间的责任共担机制。二是加强广告宣传与价格行为自律,维护公平竞争秩序。杜绝“二选一”、虚假补贴、误导性宣传等不正当竞争行为,规范促销活动及价格标示,确保平台营销行为真实、合法,积极配合监管部门开展反垄断与反不正当竞争合规检查。三是规范平台商户准入管理,强化资质审核责任。外卖平台应严格审查入驻商户的营业执照、食品经营许可证等资质文件,建立动态核查机制,及时下架不符合法定经营条件或存在违规行为的商户,防范食品安全和虚假宣传风险。
三、国家网络安全通报中心通报65款违法违规收集使用个人信息的移动应用
【合规资讯】
2025年5月12日,国家网络安全通报中心通报,经国家计算机病毒应急处理中心2025年4月8日至28日检测,65款移动应用存在多种违法违规收集使用个人信息情况。(资讯分类:境内,信息传输、软件和信息技术服务业,数据和隐私保护;资讯来源:国家网络安全通报中心)
【合规提示】
建议互联网企业:一是完善隐私政策与用户告知机制,确保App首次运行时通过弹窗等显著方式提示用户阅读隐私政策,内容应清晰列明个人信息收集目的、方式、范围及处理规则,并以易懂语言说明第三方数据共享情况,保障用户知情权。二是规范数据收集与同意机制,在收集个人信息前,必须通过主动勾选等方式获得用户明示同意,不得默认授权;提供便捷的撤回同意途径,确保用户可随时终止数据处理行为。三是健全数据安全与用户权利保障措施,建立个人信息更正、删除及账号注销的高效响应机制,不得设置不合理条件;采取加密、去标识化等技术手段保障数据安全,并制定未成年人信息保护专项规则,落实监护人单独同意机制。
【预警资讯】
当地时间2025年4月28日,美国众议院全票通过《通过冻结网站和网络技术深度伪造工具解决已知剥削问题法案》(Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act )(S.146号法案),又称《删除法案》(Take it Down Act),这项兼具数据隐私保护与人工智能治理内容的立法于5月19日由美国总统签署。(资讯分类:境外,信息传输、软件和信息技术服务业,数据和隐私保护;资讯来源:美国众议院)
【要点提示】
建议企业关注以下要点:一是该法案规定未经同意故意发布或威胁发布私密影像构成犯罪,最高处以2年监禁,如涉及未成年则最高可判处3年监禁。二是该法案规定“私密影像”不仅包括真实拍摄的照片或视频,还包括人工智能或其他技术制作的合成影像。三是该法案规定社交媒体及网络平台在接到举报后48小时内应当删除违规内容,平台应建立处理重复传播影像的响应程序。
二、爱尔兰数据保护委员会对某科技公司开出5.3亿欧元罚单
【预警资讯】
2025年5月2日,爱尔兰数据保护委员会(DPC)对某科技公司处以5.3亿欧元罚款,认定其未充分评估数据保护风险,也未实施有效补充措施违反了《通用数据保护条例》(GDPR),故勒令暂停数据跨境传输,并要求其在申诉期结束后6个月内完成整改。(资讯分类:境外,信息传输、软件和信息技术服务业,数据和隐私保护;资讯来源:爱尔兰数据保护委员会)
【要点提示】
建议企业关注以下要点:一是DPC认为该科技公司未充分评估中国法律与欧盟数据保护标准的差异,没有为传输到中国的个人数据提供与欧盟法律同等的保护。DPC还认为该科技公司在2023年承诺“欧盟数据仅存储于欧美服务器”,但2024年2月披露曾有少量数据临时存储于中国境内服务器,且未及时向监管机构报告。二是完善数据跨境转移的合规管理机制,制定关于跨境个人数据传输合同的内部管理指引,持续评估合同履约情况,排查其中发现的合规风险,制定与落实相应整改措施。三是密切关注行业监管动态,尤其是相关法律法规的变化,确保自身经营活动始终符合监管要求。对于跨国企业,还需充分、及时评估不同国家法律对数据保护的具体要求,以保证合规管理的有效性。
三、美国得克萨斯州与G公司就侵犯数据隐私指控达成和解
【预警资讯】
当地时间2025年5月9日,美国得克萨斯州总检察长发布声明称G公司同意支付13.75亿美元与得克萨斯州达成和解,以解决因侵犯用户隐私数据引发的诉讼。G公司主要涉嫌三项侵犯用户隐私的行为:在用户认为功能已禁用的情况下,非法追踪和记录用户位置信息;误导用户理解使用隐身模式;部分应用程序在未经用户同意的情况下,收集了数百万个生物识别标识符,包括人脸、语音、指纹信息等。(资讯分类:境外,数据和隐私保护;资讯来源:美国得克萨斯州总检察长办公室)
【要点提示】
建议企业关注以下要点:《得克萨斯州数据隐私与安全法》(TDPSA)自2024年7月1日起生效,该法建立了适用于“在得克萨斯州开展业务或生产被得克萨斯州居民消费的产品或服务”并收集、使用、存储、销售、共享、分析或处理消费者个人数据的公司的隐私保护安全措施。TDPSA规定了与企业消费者隐私通知相关的某些义务,如通知必须易于访问,必须清楚说明个人数据的处理和共享情况,且必须披露处理的个人信息的类别、目的、与第三方共享的个人数据类别、共享消费者数据的第三方类别,以及消费者可以通过哪些方法提交行使其消费者权利的请求。
【声明】
1.本期信息内容由深圳市司法局编辑发布,由深圳市企业合规协会提供技术支持,转载请注明以上信息;
2.本期信息仅做分享与交流之用,不构成任何法律意见或决策建议;
3.企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载:
粤公网安备 44030402002963号