南财合规周报（第65期）：南财与社科院联合推出个保法“守门人”指标，美欧数据跨境迎来第三次博弈

南方财经全媒体 见习记者冯恋阁 广州报道

本周（10.10-10.16）合规领域动态密集。

平台监管方面，工信部发布通报侵害用户权益抽测结果，丁香医生、映客直播等38款APP上榜；工信部发布首个我国牵头的自动驾驶测试场景国际标准；交通运输部发布9月份网约车行业运行基本情况。

数据安全及个人信息保护方面，南财集团与社科院法学所联合推出的个人信息保护“守门人”指标即将发布；英特尔酷睿处理器源代码泄露。软件行业系统安全问题引发关注。

知识产权保护方面，B站商标案反转，北京高院推翻一审判决，终审认定“bilibili”构成驰名商标。

目光转向海外，拜登签署行政命令，实施美欧跨大西洋数据隐私框架；澳大利亚通过员工隐私保护及数据安全决议，英国信息专员办公室（ICO）发布了关于雇主监控员工的《雇员监控指南（草案）》；欧盟《数字市场法》法律文本发布，将于2023年5月2日起正式适用；美国FTC修改反垄断诉讼主张，力阻Meta收购虚拟现实公司。

平台监管

1. 工信部发布首个我国牵头的自动驾驶测试场景国际标准

10月13日，工业和信息化部发布由我国牵头制定的首个自动驾驶测试场景领域国际标准《道路车辆自动驾驶系统测试场景词汇》（ISO 34501: 2022 Road vehicles－Test scenarios for automated driving systems－Vocabulary）。该标准主要规范了自动驾驶系统、动态驾驶任务、设计运行范围及条件等概念，明确了场景、动静态环境和实体要素之间的关系，并形成了包括功能场景、抽象场景、逻辑场景和具体场景在内的场景层次描述规则。

2. 交通运输部发布9月份网约车行业运行基本情况

10月13日，交通运输部发布网约车监管信息交互系统9月统计情况。数据显示，在订单量前10名的网约车平台中，订单合规率（指驾驶员和车辆均获得许可的订单量占比）从高到低的排名分别是如祺出行、享道出行、携华出行、T3出行、首汽约车、万顺叫车、曹操出行、美团打车、滴滴出行、花小猪出行。此外，交通运输部还公布了50余家180天以上未传输数据的网约车平台。

3. 工信部通报侵害用户权益抽测结果，丁香医生、映客直播等38款APP需整改

10月13日，工业和信息化部发布侵害用户权益整治“回头看”抽测结果，通报包括丁香医生、映客直播在内的38款APP存在违规推送弹窗信息、APP过度索取权限、超范围收集个人信息等问题。据悉，被通报APP需在10月20日前完成整改，逾期不整改或整改不到位的，将依法依规处置。

数据安全及个人信息保护

1. 丰田近30万用户信息泄露

近日，丰田汽车发布公告称，其远程车载信息通信服务T-Connect近30万名客户的电子邮件、客户编号等信息可能遭到泄露，并警告用户其电子邮箱面临收到垃圾邮件和钓鱼邮件的风险。

这并不是丰田首次遭到网络安全与信息安全问题困扰。今年2月，因一家供应商遭到网络攻击，丰田被迫暂停14家工厂28条生产线一天的运营。次月，丰田旗下子公司日本电装株式会社遭遇勒索软件攻击，部分内部资料被黑客获取。

南财点评：在智能网联汽车运行过程中，激光雷达、毫米波雷达、摄像头、车辆CAN/以太网网络会不断产生和收集与道路信息和驾驶行为信息相关的数据，有可能造成其他用户或其他主体的信息安全隐患。

汽车行业相关厂商为避免本次丰田信息泄露类似的安全问题，首先要从技术系统上重视安全意识，提升整个系统设计的安全性能；其次要落实系统上线后的相关安全检测，确认检测标准和检测环节依照信息安全的相关标准严格检测，排除潜在风险；最后可以采用隐私计算等新技术升级安全性能，即使遭遇类似的供应商代码泄露事件，加密保存的信息也不会酿成信息“脱库”的严重后果。

2. 英特尔酷睿处理器源代码泄露

日前，一个指向GitHub存储库的网络链接在海外社交媒体平台被广泛传播，链接内容是名为“LCCFCASD”的用户上传的“ICE_TEA_BIOS”文件（该文件目前已无法访问）。据称，该链接内容为英特尔Alder Lake的UEFI（可扩展固件接口）源代码。

随后，英特尔证实其第十二代酷睿处理器Alder Lake 的UEFI BIOS 源代码确已泄露。英特尔方面表示，虽然专有 UEFI 代码似乎已被第三方泄露，但公司并不认为这会暴露任何新的安全漏洞。

据悉，近两年AMD、英特尔、英伟达等多家企业及其合作伙伴同样遭遇了黑客攻击并发生数据泄露。

南财点评：软件行业在做好自身开发的同时也应保护用户隐私、提升系统安全意识。

公开释放源代码现在已成为网络勒索的主要条件之一，勒索黑客针对相关数据的攻击行为愈加频繁，安全威胁进一步加大，企业需要强化防火墙、采用云桌面、部署泄露感知系统等方式加以防范；在网络安全形势愈加复杂的情况下，部分企业仍然存在开发员工对源码管理不当的情况，需要加强安全培训，在发现泄露时及时联系相关平台请求删除。

3. 南财集团与社科院法学所联合推出个人信息保护“守门人”指标

2020年11月1日，《个人信息保护法》正式施行。值此《个人信息保护法》实施一周年之际，将推出由南方财经集团与中国社会科学院法学所共同组成课题组研发的“守门人”社会责任指标体系。

“守门人”社会责任指标体系严格依照现有法律法规，围绕大型互联网平台所承担的个人信息保护义务，分为制度体系、组织架构、合规实践、平台治理及社会责任报告五个一级指标。

知识产权保护

1. 截至9月我国发明专利有效量408.1万件，数字技术领域比重快速提高

10月9日，国家知识产权局举办“知识产权这十年”专题新闻发布会暨国家知识产权局10月例行新闻发布会，会上透露，截至2022年9月，我国发明专利有效量为408.1万件；拥有有效发明专利的企业数量主要聚集在龙头企业和高新技术企业；数字技术领域专利所占比重快速提高。

此前，世界知识产权组织发布的《全球创新指数报告》显示，我国的排名由2012年的第34位上升到2022年的第11位，连续10年稳步提升，位居中高收入经济体之首。

2. B站商标案反转：北京高院终审认定“bilibili”构成驰名商标

日前，北京市高级法院终审判决显示，法院认定上海幻电信息科技有限公司（下称B站）的“bilibili”商标为驰名商标，某食品公司在方便食品类申请“哔哩哔哩BILIBILI”商标容易令公众产生误认，应予宣告无效。

此前，B站向知产局申请宣告某食品公司注册“哔哩哔哩BILIBILI”等商标无效，该请求被驳回后，B站向法院起诉知产局一审被驳回，法院在一审判决中未认定B站的商标构成驰名商标，北京高法在终审判决中指出，知产局的裁定与一审判决认定事实和法律适用错误，在终审判决中予以纠正。

南财点评：在驰名商标的认定上，权利人不用证明自己在所有的服务上都构成“驰名”，而是提供足够的证据证明在某项服务上构成驰名，然后成为属于这一类商品的驰名商标。

从本案的判决来看，法院是根据补充的证据，以及B站之前提供的证据，最后认定B站的商标在电子出版物、广播和电视节目制作这两个项目上构成了驰名商标。

海外合规风云

1. 澳大利亚通过员工隐私保护及数据安全决议

当地时间10月12日，澳大利亚工会理事会（ACTU）通过了一项员工隐私保护及数据安全的决议，对雇主使用员工数据及保护员工隐私提出具体要求。协议提出了七项关键原则，包括：雇主应按照要求保护员工的数据；在引入能够监督或监测员工的新系统之前，必须咨询员工及其工会并达成协议等。

同日，英国信息专员办公室（ICO）发布了关于雇主监控员工的《雇员监控指南（草案）》发布，解释了雇主的法律义务，并讨论了具体的监控种类。

南财点评：在我国，关于员工隐私保护及数据安全同样是热门话题。

对于员工的职场监控行为本身并没有依据认定为违法行为，但是这一信息收集行为应当限于工作场所、工作时间、工作内容，且不得侵害劳动者的个人隐私。

对于用人单位获取和使用职工个人信息，法律已经做出具体要求。根据《个人信息保护法》第十三条的规定，用人单位按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需时可以获取和使用劳动者的个人信息。虽并未要求在该种情况下劳动者须对相关单独进行同意，但在程序上用人单位仍仅可收集必需的信息，且其所依据的人力资源管理制度或集体合同的制定需符合法律程序。

2. 欧盟《数字市场法》法律文本发布

10月12日，欧盟官方公报（Official Journal of the European Union）发布了欧盟《数字市场法》的法律文本，并宣布该法将于在公报上发表后20日生效，并自2023年5月2日起正式适用。

《数字市场法》旨在规范数字市场秩序，限制数字科技巨头过度垄断和不正当竞争行为，于今年7月被欧盟27个成员国一致批准。

3. 美国白宫发布人工智能权利法案蓝图

日前，白宫科技政策办公室（OSTP）发布《人工智能权利法案蓝图》（Blueprint for an AI Bill of Right）。该蓝图确立了五项原则，包括建立安全和有效的系统、避免算法歧视、保护数据隐私、清晰的通知和解释、系统存在合理的人工替代和退出机制。

白宫在公告中表示《人工智能权利法案蓝图》的五项原则及其相关实践将形成一套有效的防范措施以应对人工智能的潜在风险。

4. 拜登签署行政命令，实施美欧跨大西洋数据隐私框架

近日，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政命令》（下称《行政命令》），以采取步骤履行今年3月宣布的《跨大西洋数据隐私框架》（下称《隐私框架》）下的承诺。这是美欧之间就数据跨境流通第三次尝试，此前的《安全港协议》、《隐私盾协议》均以欧盟法院认定无效告终。

南财点评：此次《行政命令》的签署，意味着《隐私框架》中的原则性约定将会被转化为具有效力的法律文件，正式纳入美国法律。《行政命令》在实体法、程序法两个方面都提出了新举措，包括规定情报活动收集的个人信息的处理要求、规定设立“数据保护审查法庭”（DPRC）等。

这是美欧之间就数据跨境流通第三次尝试，无法确保同等的权益保护、对美国政府的约束无能，以及个人缺乏有效救济手段等，是此前两次尝试失效的主要原因。对此，美国在《行政命令》和《隐私框架》上都做出了一定的妥协。若《框架》最终确立，将促使全球个人信息形成美欧汇合的态势，从而一改之前全球的个人信息格局。

5. 美国FTC力阻Meta收购虚拟现实公司，修改反垄断诉讼主张

日前，美国联邦贸易委员会（以下简称FTC）寻求修改针对Facebook母公司Meta收购VR公司Within Unlimited的诉讼。此前，在虚拟现实和增强现实领域，Meta已经进行了大量收购，此次收购的Within Unlimited公司是市面上流行的虚拟现实健身软件Supernatural的开发商。

在此前的诉讼中，FTC指控Meta的Beat Saber与Within Unlimited的健身应用Supernatural直接争夺用户，但新版本的诉讼将Beat Saber称为“附带的健身应用”，认为Meta可能会在收购前创建自己的健身应用来与Supernatural竞争。此外，据悉FTC正在向联邦法院申请一项禁令，要求停止交易，继续阻止Meta进行收购。