编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆(北京理工大学)
审校 | 王磊(北京理工大学)、张奕欣、邢潇(CNCERT)
2023年11月15日,欧盟委员会宣布,欧盟成员国与非洲、加勒比和太平洋国家组织(OACPS)的79个成员国签署了《萨摩亚协定》(Samoa Agreement),该协定将作为继2000年签署的《科托努协定》之后的总体法律框架。在数据保护领域,《萨摩亚协定》规定各签署方应制定适当的法律和监管政策,并且应当具备相应的行政执行能力,包括设置独立的监管机构。此外,根据《萨摩亚协定》,签署方应合作促进数据流动、解决技术对社会的潜在影响、解决与网络安全相关的问题,并考虑包括人工智能(AI)和机器人技术在内的颠覆性技术所带来的影响。《萨摩亚协定》将于2024年1月1日开始试行,在欧洲议会通过并经各方批准后生效。
https://www.dataguidance.com/news/international-eu-and-oacps-sign-new-partnership
2023年11月15日,美日两国在美日经济政策磋商委员会(EPCC)在第二次部长级会议后发布了联合声明,表示将继续加强美日两国在经济韧性和经济安全方面的双边战略协调。声明强调,美日两国将通过美日商业和工业伙伴关系(JUCIP)进一步开展合作,促进数据跨境流动和个人隐私保护。为促进数据跨境流动,实现“信任下的数据自由流动”(Data Free Flow with Trust,DFFT),美日两国计划在双边和多边层面上,协调扩展全球跨境隐私规则(CBPR)论坛。此外,两国将继续推动建立和推广全球跨境隐私规则(CBPR)和全球数据处理者隐私认证(PRP)体系,这些由政府支持、在国际上得到认可的认证,将成为全球隐私制度互操作性的基础。
https://www.state.gov/joint-statement-of-the-japan-u-s-economic-policy-consultative-committee/
2023年11月16日,美国信息技术和创新基金会发布报告,题为《美国放弃数字政策谈判,中国获益》。该报告指出,美国贸易代表办公室(USTR)决定,美国不再支持保护跨境数据流、禁止强制数据本地化、保护源代码、禁止歧视数字产品的条款,这使得美国全球数字政策的未来悬而未决。此前,美国贸易代表办公室的立场是允许数据自由流动,将限制数据流动作为例外,而中国的立场是在允许数据流动前,根据当地法律和法规采取更严格的控制和监管。尽管这两种立场之间的差异看似是技术性的,但它构成了美国政府支持开放互联网和数字经济的基础,而现在这个基础已经消失了。美国贸易代表办公室的决定对互联网和数据治理的未来产生了深远影响,该影响将超越世贸组织和印太经济框架。美国不再倡导数据流动将向其他国家传递一种信息,即它们可以制定歧视美国公司的限制措施,这将削弱美国经济和在数字技术治理方面的领导地位。
https://itif.org/publications/2023/11/16/china-gains-as-us-abandons-digital-policy-negotiations/
2023年11月16日,美国安全与新兴技术中心(CSET)发布报告《美国商务部工业和安全局的最佳数据实践——第二部分》,旨在有效解读美国商务部工业和安全局发布的出口管制数据,以便对中国出口管制的政策方向做出更准确的评估。报告指出,在评估出口管制数据时,需要重视受工业和安全局管辖的物品类型和敏感性级别,强调了排除可用数据可能导致审批率失真的问题。此外,文章指出了一些出口管制数据使用时需要考虑的附加因素,如审查许可的货币价值。不同许可具有不同的出口价值,对批准与拒绝率的过度关注可能导致忽略许可证规模的影响。最后,文章强调了公开可用的数据对于维持透明和积极的政策基础的重要性。报告建议,在分析和评论贸易政策时要注意最佳实践,以更好地利用公开可用的出口控制数据。
https://cset.georgetown.edu/publication/bis-best-data-practices-part-2/
2023年11月20日,英国科学、创新和技术部(DSIT)发布了一份由国际数据传输专家委员会(以下简称“委员会”)编写的报告,题为《迈向可持续、多边和普遍适用的国际数据转移解决方案》。该报告提出了一个全球数据转移系统框架,强调可持续性和广泛接受性。该报告提出了针对短期、中期和长期的建议,维护数据安全保护与数据跨境流动效益间的平衡。具体而言:①应对与国际数据传输相关的挑战;②促进政府以可信的方式获取企业存储的个人数据;③制定国际数据传输技术标准和行为准则;④在多边论坛上推广“信任的数据自由流动”这一概念,并与欧盟、美国等合作促进个人数据流动。最后,报告指出,委员会将与英国政府合作,落实上述各项建议。
https://www.gov.uk/government/publications/towards-a-sustainable-multilateral-and-universal-solution-for-international-data-transfers
2023年11月15日,阿布扎比全球市场(ADGM)数据保护办公室(ODP)通过并发布了一份欧洲委员会标准合同条款(EU SCCs)的附录(ADGM附录)。该附录将用于个人数据传输,旨在为在ADGM内运营并涉及个人信息数据传输的企业提供政策支持,简化跨境数据传输的合规流程。此举显得尤为重要,因为全球数据保护和隐私法律,包括阿布扎比国际金融中心数据保护条例,都对未经适当保障的数据跨境流动加以限制。该文件出台后,适用欧盟标准合同条款的企业能够将ADGM附录作为数据传输机制,确保合规。此外,ODP还发布了补充指南,帮助数据控制者和处理者遵守并适用《阿布扎比全球市场数据保护法规2021》(DPR 2021)中关于个人数据传输的规定。
https://www.adgm.com/media/announcements/adgm-office-of-data-protection-publishes-addendum-to-eu-standard-contractual-clauses
2023年11月15日,中国欧盟商会发布有关中国数据政策对欧洲商业影响的调查报告。报告指出,为优化中国跨境数据传输政策架构,相关领域需进一步调整。报告称,长期以来,中国的监管部门和标准制定机构致力于加强保护个人信息和重要数据。然而,由于许多相关法律、指导方针和措施缺乏具体性,部分要求过于严格,欧洲在华企业面临严重的运营和合规挑战。调查结果显示,绝大多数受访欧洲公司(96%)的跨境数据传输是向公司总部或其他地区分公司的内部传输,因此与数据保护相关风险较低。然而,现行数据政策对企业的数据跨境传输存在显著影响。许多公司必须接受安全评估(30%),增加了合规成本(59%),同时也面临着数据本土化、信息科技系统或运营整体压力(41%)。对此,中国欧盟商会副主席Stefan Bernhart表示:“中国有关部门表示有意愿优化国家数据政策是一个积极信号。欧洲企业希望看到更加明确的条款,在设立行业规则及合规政策时将企业正当合理的业务需求考虑在内。”
https://www.europeanchamber.com.cn/en/flash-survey-on-impact-of-china-rsquo-s-data-regulations
2023年11月21日,广东省人民政府办公厅印发“数字湾区”建设三年行动方案的通知,提出将“数字湾区”建设与服务粤港澳大湾区经济社会发展紧密结合,加速打造统一大市场和优质生活圈。在数据跨境方面,文件指出:(1)要探索建设“港澳数据特区”,实施“南数北上、北数南下”计划,运用隐私计算、安全隔离、可信验证等关键技术,加强跨境数据流通服务与分类管理,确保数据安全、使用合规和范围可控。(2)按照国家相关法律法规要求,围绕高频公共服务数据需求,探索推行数据跨境流通“白名单”制度,通过纳入数据授权跨境目录、数据主体授权等模式,实现数据安全有序跨境。建设全国一体化算力网络粤港澳大湾区国家枢纽韶关数据中心集群,探索在特定区域建设离岸数据中心,为粤港澳三地提供数据跨境服务。(3)按照国家数据跨境安全管理法律法规要求,整合粤港澳三地网络、算力、存储、数据等资源,探索构建大湾区数据综合业务网。(4)探索构建常态化科研数据审核体系,支持科研合作项目需要的应用研究、医疗等数据资源在大湾区内有序跨境流动。积极协调国家有关部门在河套实现科研数据跨境互通。在粤港澳联合设立的高校、科研机构建立专用科研网络,实现科研数据跨境互联。
http://www.gd.gov.cn/gkmlpt/content/4/4287/post_4287596.html#8