编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆(北京理工大学)
审校 | 王磊(北京理工大学)、张奕欣、邢潇(CNCERT)
2023年12月19日,英国信息专员办公室(ICO)更新了其关于英国约束性公司规则(Binding Corporate Rules,BCR)的指南,引入了关于英国约束性公司规则附录的新指南,旨在简化管理英国和欧盟之间数据传输的组织流程。根据该指南,现有欧盟BCR的组织可以通过在其现有欧盟BCR上添加附录来申请英国BCR,从而创建一个新的英国BCR,将已批准的欧盟BCR的范围扩大到包括英国限制传输的范围。此外,要使用附录申请英国BCR,相关组织需要向ICO提交完整的附录,以及完整的欧盟BCR、其批准文件和英国BCR摘要文件。该指南强调,相关组织可以使用附录作为标准格式,无需修改;或者作为模板,允许修改和添加替代条款以满足特定的业务需求。https://www.dataguidance.com/news/uk-ico-publishes-guidance-uk-bcr-addendum
2023年12月15日,英国信息专员办公室发布了使用《英国通用数据保护条例》(UK GDRP)第46条转移机制向美国转移个人信息时的转移风险评估指南(TRA)。该指南旨在协助各实体使用英国GDPR第46条规定的特定传输机制,向美国进行受限制的个人数据传输活动。一般而言,英国GDPR禁止向英国境外传输个人信息,除非存在以下情形:(1)根据英国GDPR第45条,接收方位于第三国或地区,或为国际组织,或是英国充分性保护认定涵盖的国家或地区的特定部门,即数据桥;(2)受第46条传输机制的规定,包括国际数据传输协议(IDTA)、欧盟标准合同条款(SCCs)(附录)和有约束力的公司规则(BCRs);(3)属于英国GDPR第49条规定的8个例外之一。
https://www.dataguidance.com/news/uk-ico-publishes-guidance-tra-when-transferring
2023年12月6日,美国联邦通信委员会(FCC)主席杰西卡·罗森沃塞尔宣布了一项新举措,以加强委员会与其州合作伙伴在隐私、数据保护和网络安全执法事项方面的合作并使之正式生效。作为FCC隐私和数据保护工作的一部分,该机构的执法局已与康涅狄格州、伊利诺伊州、纽约州和宾夕法尼亚州的总检察长签署谅解备忘录,以分享专业知识、资源,并在进行隐私、数据保护和网络安全相关调查方面协调努力,以保护消费者。https://docs.fcc.gov/public/attachments/DOC-398939A1.pdf
欧洲数据保护委员会(EDPB)已批准欧盟委员会报告中审查过去五年《通用数据保护条例》应用情况的部分。该报告在最近的EDPB全体会议上进行了讨论,强调了几个关键挑战,并建议欧盟立法机构应该采用简化跨境执法的规则。然而,报告没有建议修订GDPR。
https://iapp.org/news/a/edpb-approves-its-section-of-european-commission-report-reviewing-application-of-gdpr/#:~:text=The%20European%20Data%20Protection%20Board,adopt%20rules%20on%20streamlined
2023年12月22日,布鲁塞尔上诉法院(Brussels Court of Appeal)推翻了比利时数据保护局(DPA)的一项决定,该决定宣布将“意外美国人”(accidental Americans)的税务数据传输到美国是非法的。比利时将“意外美国人”(出生在美国,但从未或仅在美国短暂居住过的人)的个人数据向美国国税局传输受到政府间协议的约束。《外国账户税务合规法》(Foreign Account Tax Compliance Act, FATCA)规定将居住在国外的美国人的数据转移到国税局,以打击税务欺诈。在接到投诉后,比利时数据保护局于去年5月裁定,该协议与欧盟的《通用数据保护条例》相抵触。故禁止比利时税务局将此类个人税务数据传输至给美国。然而,联邦公共服务财政部提出上诉,布鲁塞尔上诉法院最终推翻了比利时数据保护局的决定。
https://www.belganewsagency.eu/accidental-americans-association-criticizes-decision-to-allow-data-sharing-with-us-tax-authorities
2023年12月20日讯,越南政府推出了国家数据保护门户网站(National Portal for Data Protection,NPDP),以加强该国的数据保护规定。该门户网站是根据越南政府于2023年4月17日颁布的第13/2023/ND-CP号法令(关于个人数据保护的PDP法令)而设立的。该网站由越南公安部网络安全和高科技犯罪预防司推出,为以下程序提供指导并促进其发展:一是个人数据处理影响评估和个人数据跨境传输影响评估的提交和修改;二是违反个人数据保护法规的通知。个人和组织还可以跟踪其数据保护影响评估和(或)跨境传输影响评估以及相关文件的状态。对外国公司而言,使用NPDP将数据传输至境外将会更加容易。
https://www.lexology.com/library/detail.aspx?g=f1694207-281a-43c9-a8d8-980fc0ef2381
https://www.vietnam-briefing.com/news/vietnam-launches-national-portal-for-data-protection.html/
https://baovedlcn.gov.vn/