全球数据跨境流动合规 半月观察(第二十三期)
2024-2-4 15:35:3 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆(北京理工大学)
审校 | 王磊(北京理工大学)、张奕欣、邢潇(CNCERT)

2024年1月23日,路透社消息称,美国政府正在计划宣布一项新的行政命令,旨在防止外国对手获取有关美国人和与美国政府有关人员的高度敏感个人数据。该行政命令侧重于规制外国对手通过合法手段和数据经纪人、第三方供应商协议、就业协议或投资协议等中介获取美国人的“高度敏感”个人数据的方式。报告称,政府关注了收集政治人物、记者、学者、活动人士和边缘化社区成员数据的行为,同时也关注了通过医疗保健提供者和研究人员获取的患者数据。去年十月,拜登签署了一项行政命令,要求对于可能对美国国家安全、经济和公共安全构成风险的人工智能系统的开发者与联邦政府分享安全测试结果。这项命令超越了人工智能公司今年所做的自愿承诺。

https://www.reuters.com/world/us/us-seeks-stop-citizens-data-exploitation-blackmail-espionage-bloomberg-news-2024-01-23/

https://www.bloomberg.com/news/articles/2024-01-23/biden-seeks-to-stop-countries-from-exploiting-americans-data-for-espionage

2024年1月23日,欧洲委员会确定新西兰为欧盟和新西兰之间的数据传输提供足够水平的数据保护。新西兰隐私专员迈克尔·韦伯斯特(Michael Webster)表示:“充分性意味着新西兰是全世界开展业务的好地方;我们的立法拥有强有力的隐私保护,并且是一个有权监管的机构。”欧洲委员会指出隐私修正法案是一个积极的举措。专员热切支持这一进展。其办公室还建议对2020年的隐私法案进行以下调整:(1)制定一系列具体的修正案,使隐私法案适应数字时代的需求;(2)规定针对重大违规行为的民事处罚制度,以及增设为新西兰人提供更好保护自身隐私权利的新型隐私权;(3)更严格的自动决策要求,以及机构如何满足隐私要求的证明。进行以上修改非常重要,尤其是如果政府继续推进拟议中的消费者数据权利。

https://privacy.org.nz/publications/statements-media-releases/new-zealand-is-adequate-and-we-couldnt-be-happier-about-itnew-news-page/

2023年12月7日,英国和日本建立英日数字伙伴关系,双方将在下述14个领域开展密切合作:电信多元化、网络防御能力的提升、半导体、人工智能、倡导数据流动、监管合作、数据创新、在线安全、数字市场、数字技术标准、互联网治理、数字政府转型、数字身份、确保数字技术惠及社会各层面。该项合作初步将重点关注四个方面:数字基础设施与技术、数据、数字监管与标准、数字化转型。这将迎合双方在创造更具弹性和多样化的电信供应链、支持可信任的数据自由流动、提高半导体供应链的弹性等多方面的共同需求。该项合作将提供一个总体框架,使参与者之间的长期合作能根据技术的进步、地缘政治格局的变化,以及双方政策侧重点的变化进行反复的完善和扩展。这一新的伙伴关系将有助于扩大英国在印太地区的影响力。

https://www.gov.uk/government/publications/uk-japan-digital-partnership/uk-japan-digital-partnership

https://ecas.cas.cn/xxkw/kbcd/201115_129579/ml/xxhzlyzc/202301/t20230118_4939602.html

2024年1月16日,阿根廷国家个人数据保护理事会(前LPDP控制机构)第60-E/2016号条款批准了将个人数据转移到阿根廷境外的示范条款。此前,个人数据保护法25.326(LPDP)原则上禁止将个人数据国际转移到个人数据保护不足的国家或国际组织,但是在持有人同意或合同条款或自我监管制度确保适当保护水平的情况下,允许此类转让。此外,公共信息获取机构(AAIP)通过第159/2018号决议,制定了具有约束力的公司标准的指导方针和基本内容,如公司集团的自我监管体系。近期,AAIP通过第198/2023号决议,批准了伊比利亚-美洲数据保护网络(SCC RIPD)《个人数据国际转移示范合同条款实施指南》(以下简称“指南”)中包含的示范合同条款。该指南指出,SCC RIPD的目的是确保在将个人数据转移到缺乏充分保护的第三国时,遵守数据出口国的数据保护法律。但是,他们也建议酌情将这些条款适用于所有类型的国际转让,以保持遵守保护个人资料的原则。

https://iapp.org/news/a/argentina-implementa-nuevas-clausulas-contractuales-modelo-para-la-transferencia-internacional-de-datos/

2023年12月10日,卡塔尔金融中心(QFC)发布了《QFC数据保护规则》的第3版(2023年规则)。具体而言,2023年规则与《QFC数据保护规则》第2版(2021年规则)大致相似,唯一的变化是引入了对在QFC境外转移个人数据使用约束性公司规则(BCR)的新要求。新规明确,要获得数据保护办公室的批准,BCR必须规定以下事项:相关集团及其成员的结构和联系方式;BCR所涵盖的数据传输类型;BCR在内部和外部的法律约束力;一般数据保护原则的应用,包括目的限制、数据最小化、设计及默认的数据保护,以及数据处理的法律依据;数据主体的权利及行使这些权利的方法,包括获取赔偿和补偿的权利,以及在违反BCR时寻求救济的途径;集团内任何个人或实体对监督符合BCR的责任;集团内部监测BCR合规情况并与数据保护办公室合作确保合规机制;报告和记录BCR变更的程序,并向数据保护办公室报告这些变更;向长期或定期查阅个人数据的人员提供的数据保护培训。

https://www.dataguidance.com/news/qatar-qfc-publishes-updated-data-protection-rules

转载请注明来源:关键基础设施安全应急响应中心
“投稿联系方式:010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247542181&idx=1&sn=34c267ab61e79ef729aa9f4f4f8eabf7&chksm=c1e9a9f4f69e20e2a508e01b8eeff34ade65d6a724c8baa9de5a9133d8a89b9c0f2116bed341&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh