全球数据跨境流动合规 半月观察(第十九期)
2023-12-6 15:9:2 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆

审校 | 王磊、张奕欣、邢潇    

2023年11月1日,首届全球人工智能安全峰会在英国布莱切利庄园拉开帷幕。会议首日,美国、中国、欧盟等28国共同签署《布莱切利宣言》,同意通过国际合作,建立人工智能(AI)监管方法。该宣言是全球第一份针对人工智能的国际性声明,旨在确保人工智能技术的安全开发和使用。会上各方强调,对于最有可能发现的与前沿人工智能相关的具体风险,各国决心加强和维持合作,通过现有的国际论坛和其他举措,识别、理解相关风险并采取适当行动。此外,宣言提出了双管齐下的全球化,重点是确定共同关注的风险,建立对这些风险的科学理解,同时制定减轻这些风险的跨国政策。

https://www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit-1-2-november-2023

2023年11月9日,欧洲议会以481票赞成、31票反对、71票弃权,通过了《数据法案》。该法案旨在明确数据访问、共享和使用的规则,规定获取数据的主体和条件,使更多私营和公共实体能够共享数据。该法案秉持了《数据治理法案》的原则,总体上限制非欧盟国家通过本土立法来获取欧盟境内非个人数据。此外,欧洲议会议员还明确了“商业秘密”和“商业秘密持有人”的定义,防止非法数据传输或将数据泄露至保护能力较弱的国家。制定规则要求其领域的数据接收方不得利用对数据的访问来对竞争对手的产品或服务进行逆向工程,以避免损害数据持有者的合法利益。目前,《数据法》尚需等待欧盟理事会的正式批准才能成为法律。

https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data

2023年10月31日,英国与日本在东京签署《数据保护谅解备忘录》,深化两国间数字政府领域合作,促进两国公共部门采用、设计和推广数字工具和服务。合作还将侧重于分享培训和在政府部门和机构建立技术能力的最佳实践,提高政府采购和支出的效率。此次合作备忘录是继2022年5月英国和日本宣布加深数字合作之后签署的,涵盖了数字基础设施、数据、数字监管和标准以及数字转型等共同数字优先事项的各个方面。

https://www.gov.uk/government/news/uk-and-japan-strengthen-cooperation-in-the-area-of-digital-government

2023年11月7日,英国政府发布了题为“2023年国王的演讲:背景简报”的政策文件,文件中强调了《数据保护和数字信息法案》(Data Protection and Digital Information Bill)。该法案是英国脱欧后推动数据保护改革的举措之一,旨在创建一个新的英国数据权利制度,进一步促进经济发展,释放创新,减轻企业负担,消除对科学研究人员不必要的障碍。具体而言,该法案允许企业以比欧盟《通用数据保护条例》(GDPR)更合理、更实际的方式保护个人数据;明确和完善有关使用个人数据进行科学研究的规则;建立安全数字验证服务框架;在整体经济中启用“智能数据”计划;确保在提供健康和成人社会护理、执法、安全和其他政府服务时更好地利用数据。该法案当前仍在议会审议阶段。

https://www.gov.uk/government/news/kings-speech-to-deliver-a-brighter-future-for-the-country

2023年10月27日,泰国个人数据保护委员会(PDPC)根据《个人数据保护法(2019)》(PDPA)第28条和第29条的规定,发布了关于国际数据传输的法规草案,以征询公众意见。其中,“第28条草案”涉及将个人数据传输到被认为具有适当数据保护标准的目的地国或国际组织的问题。“第29条草案”规定,如果个人数据发送方或转移方与个人数据接收方在同一关联企业或同一企业集团中制定了个人数据保护政策,并经PDPC审查和认证,则位于泰国的数据控制方或数据处理方可将个人数据发送或传输给位于外国且从事同一关联企业或同一企业集团的个人数据接收方。PDPC应评估个人数据保护政策的内容和实质,除其他要求外,该政策应具有法律效力和可执行性。此外,在PDPC没有就接收个人数据的目的地国家或国际组织的个人数据保护标准的充分性做出决定的情况下,或者根据第5条,企业没有个人数据保护政策,数据控制者或数据处理者也可以向外国发送或传输个人数据,前提是实施以下保障措施:(1)有效的合同条款;(2)关于收集、使用和披露个人数据的证明,确保根据公认标准采取适当的保护措施;(3)在跨境或国际个人数据传输的情况下,在法规或协议中规定数据保护措施,这些法规或协议在泰国国家机构和其他国家的国家机构之间具有法律约束力和可执行性。

https://www.dataguidance.com/news/thailand-pdpc-releases-draft-regulations-data-transfers

2023年11月1日,全国信息安全标准化技术委员会发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,向社会公开征求意见。该文件规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求,适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动,明确了个人信息处理者需遵守内地及中国香港特别行政区的属地法律法规,就中国香港而言,属地法律法规包括《个人资料(私隐)条例》等。该文件正式实施后,将为大湾区实施个人信息保护认证提供依据,也将为大湾区内的组织机构规范个人信息跨境处理活动提供参考。

https://www.tc260.org.cn/front/postDetail.html?id=20231101123231

2023年11月10日,北京市启动建设数据基础制度先行区,发布《北京数据基础制度先行区政策清单》(以下简称《政策清单》)。针对数据跨境领域,《政策清单》明确:一是支持数据跨境流动服务机构,为数据先行区范围内的市场主体开展的数据跨境流动业务,提供一站式绿色通道服务。二是支持开展数据跨境流动国际合作,开展国际数据流动规则和标准研究,鼓励参与或成立国际数据组织和开源技术。三是鼓励行业龙头企业联合相关专业研究机构开展国际数据空间创建,开展数据空间测试等服务。

https://www.gov.cn/govweb/lianbo/difang/202311/content_6914802.htm

2023年11月8日,杭州市发布《杭州市数字贸易促进条例(草案)》(以下简称《草案》),围绕传统贸易数字化转型、数字贸易便利化、知识产权保护、可信交易环境、国际经贸规则对接、数据跨境管理等内容作了规定。数据跨境方面,《草案》第24条明确规定,杭州市将按照国家规定,实施对标数字经济伙伴关系协定(DEPA)等国际经贸规则的数字贸易发展政策,稳步扩大数字贸易制度型开放。支持在数据跨境流动及存储规则、数字产品非歧视性待遇规则、数字产品版权保护规则、新兴数字技术规则等领域依法开展先行先试。此外,杭州市鼓励数字贸易相关行业协会、专业服务机构依法对从业市场主体的数据安全保护情况提供自评估辅导及相关服务。市商务、网信等主管部门应当依法组织建立数据安全保护能力认证、数据流通备份审查、数据跨境流动和交易风险评估等数据安全管理机制。

https://www.hzrd.gov.cn/art/2023/11/8/art_1229690461_19072.html

转载请注明来源:关键基础设施安全应急响应中心
“投稿联系方式:010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247541043&idx=1&sn=25ecbc897b41d99ed1a471247a48a1e4&chksm=c1e9ad62f69e247476f9cec4aac4e8708a17c252b1dc9bbc2ddb1a0a4035e4b44d02189a0c27&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh