编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆
审校 | 王磊、张奕欣、邢潇
2023年10月30日,美国总统拜登签署了一份题为《人工智能的安全、可信开发和利用》的总统令,包括确立人工智能安全和安保的新标准,保护美国人的隐私,促进公平和公民权利,维护消费者和工人利益,促进创新和竞争,推动美国在全球的领导地位等。该行政命令是美国迄今为止最全面的人工智能监管原则:指示所有类型的政府机构确保美国在技术开发方面处于领先地位,同时指示各机构制定标准,以确保数据隐私和网络安全、防止歧视、加强公平性,密切监控等行业的竞争格局。
https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/
2023年10月25日,美国贸易代表凯瑟琳·泰(Katherine Tai)表示,其在世界贸易组织(WTO)的谈判中放弃了美国长期的数字贸易要求,以便为国会提供监管大型科技公司的空间。目前,美国正在撤回特朗普政府2019年提出的提案,而该提案坚决要求世贸组织电子商务规则允许跨境数据自由流动,并禁止数据本地化和软件源代码审查的国家要求。这一决定引发了一些立法者和商业团体的不满,表示这将使得美国公司处于不利地位。而事实上,美国贸易代表办公室的举措符合拜登政府加强对大型科技公司监管的意愿,以及美国主导的印太经济繁荣框架(IPEF)亚洲国家集团数字贸易谈判的方向。
https://www.reuters.com/world/us/us-drops-digital-trade-demands-wto-allow-room-stronger-tech-regulation-2023-10-25/
2023年10月28日,欧盟和日本就数据跨境流动达成了协议。欧盟委员会表示,协议条款一旦获得批准,将被纳入《欧盟-日本经济伙伴关系协定》(EU-Japan Economic Partnership Agreement,EPA)。该协议将取消数据本地化存储要求,使金融服务、运输、机械和电子商务等多个行业的企业受益,让它们无需繁琐且成本高昂的管理和存储要求即可处理数据。该协议拟禁止保护主义性质的限制,同时允许政府干预网络安全或个人隐私等问题。此前,欧盟与日本曾于2015年达成自由贸易协定,并自2022年10月以来开展数据治理问题的谈判。
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5378
欧洲委员会(The Council of Europe)发布基于《个人数据自动化处理中的个人保护公约》(以下简称“第108+号公约”)的《个人数据跨境传输示范合同条款》修订草案(以下简称“修订草案”)模块二,适用于数据控制者向数据处理者跨境传输数据的场景,明确了适当的保障措施,包括数据出口方和进口方的义务、可强制执行的数据主体权利以及有效的法律补救措施。修订草案增加了与处理透明度相关的要求选项,即数据出口方必须应要求向数据主体免费提供一份条款副本,包括各方填写的附件。此外,修订草案还提供了第二个条款选项,即要求数据处理者按照MCCs(C-C)第23.1.c条的规定,在数据进口方被迫保存、准许访问、提供或披露从数据出口方向第三方(包括公共机构)传输的个人数据时,应及时通知数据主体。
https://rm.coe.int/t-pd-2023-4rev1-en-mcc-module-2-2768-7351-7832-1/1680acfcd9
2023年10月20日,加拿大隐私专员办公室(OPC)宣布与菲律宾共和国国家隐私委员会签署谅解备忘录(MoU),重点关注双方在数据保护方面的合作协议。谅解备忘录在各自法律的限制内且不违反国家安全的情况下,概述了以下合作领域,包括:交流调查信息;相互协助调查违反隐私和数据保护法的行为;协调跨境数据泄露的联合调查;分享隐私和数据保护趋势方面的知识和培训;探索创新和实验性数据共享方法。作为亚太经合组织(APEC)和跨境隐私执法安排(CPEA)的成员,两国同意就分享信息、隐私执法方面开展合作,以保护数据隐私、促进跨经济体的信息流动,并旨在统一数据保护和隐私法的适用。此外,该谅解备忘录建立了一个信息共享框架,但强调其中不包括个人数据。
https://www.priv.gc.ca/en/about-the-opc/what-we-do/international-collaboration/international-memorandums-of-understanding/mou-philippines/
2023年10月19日,奥地利数据保护局(DSB)在对谷歌公司旗下产品“谷歌字体”进行调查后,发布裁定认为谷歌公司违反了《通用数据保护条例》(GDPR)。调查发现,只有在通过谷歌服务器重新加载谷歌字体时,数据才会传输到谷歌公司或其位于爱尔兰分公司的服务器上。如果字体是在本地服务器上集成的,则不会传输数据。在该种情况下,奥地利数据保护局明确指出:根据GDPR第12(1)条和第13条的规定,信息义务没有完全履行,因为IP地址因具体情况而异,被视为个人数据;数据不会在所有情况下都传输至谷歌公司位于美国的服务器上,而是取决于用户或其互联网服务提供商的服务器的地理位置,在争议发生时,必须逐案检查数据流向;将谷歌字体集成到应用程序中,谷歌公司或其爱尔兰分公司会收到至少包含IP地址、“引荐者”(用户访问当前网站前访问的网站信息)和互联网浏览器的“用户代理”在内的HTTP头(HTTP headers)信息等。根据上述内容,奥地利数据保护局得出谷歌违反《通用数据保护条例》这一结论,并表示该结论仅适用于当前版本的谷歌字体产品,一旦谷歌对该产品做出调整,这些结论可能不再适用。
https://www.dataguidance.com/news/austria-dsb-finds-google-violation-gdpr-lack
2023年10月18日,荷兰数据保护基金会(SDBN)宣布,已于同日将亚马逊公司诉至鹿特丹法院。SDBN表示,亚马逊公司的活动违反了《通用数据保护条例》(GDPR)的原则,在没有合法基础且未经账户持有人知情同意的情况下收集了大量个人数据。调查显示,当用户请求访问其处理过的个人数据时,亚马逊公司会隐藏大量数据,并且在没有实施强制性保障措施的情况下向美国传输个人数据。此外,亚马逊公司经常在未经明确同意的情况下监控用户在亚马逊网站以外的在线活动,并收集了大量的敏感个人信息。此类信息被用于创建个人配置文件,从而更好的进行广告推送。最后,荷兰数据保护基金会声明,近年来发生的几次重大的网络攻击和数据泄露已经证明了亚马逊无法维护其处理的个人数据的安全。
https://www.dataguidance.com/news/netherlands-sdbn-files-complaint-against-amazon
2023年10月17日,新加坡网络安全局(CSA)与云安全联盟(Cloud Security Alliance)共同宣布推出两份云安全配套指南,一份针对网络基本要素,另一份针对网络信任,旨在帮助企业更好地了解使用云服务的风险和责任,并形成国家网络安全标准。上述两份指南是与新加坡三大云服务供应商合作开发的,主要内容包括:明确组织(云服务用户)和云服务供应商之间的责任分工,根据组织规模提供不同的责任模式;为三大云服务供应商提供针对特定供应商的指南;解决云服务用户的主要安全问题。
https://www.dataguidance.com/news/singapore-csa-publishes-companion-guides-cloud-security
2023年10月25日,香港特区行政长官李家超发表任期内第二份施政报告《行政长官2023年施政报告》。报告指出,香港正与广东省商讨在大湾区以先行先试方式,简化内地个人数据流动到香港的合规安排,便利大湾区内包括金融、医疗等跨境服务提供,推动数据跨境流动。此前国家互联网信息办公室与香港特区政府创新科技及工业局已于6月29日签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。
https://www.cnbayarea.org.cn/homepage/headline/content/post_1137198.html