2024年4月18日,欧洲数据保护委员会(EDPB)发布了其2024-2027年战略。欧洲数据保护委员会明确了四个优先事项:(1)加强协调和促进合规;(2)加强共同的执法文化和有效合作;(3)在数字和跨监管领域中保障数据保护;(4)为全球数据保护对话做出贡献。关于人工智能,欧洲数据保护委员会特别指出,它将提供关于数据保护和GDPR正确实施的指导。这包括关注对数据主体存在重大风险的领域,或数据主体属于弱势群体(如儿童)的领域。
https://www.dataguidance.com/news/eu-edpb-sets-out-priorities-2024-2027-and-dpf-redress
2024年4月21日,欧盟委员会发布《数据法案》概览指南,进一步明确了《数据法案》实施过程中的各种细节。在数据跨境方面,指南强调:有时,欧盟之外国家发布的决定或判决会寻求允许政府访问和转移存储在欧盟境内的非个人数据。然而,在某些情况下,允许访问或转移这些数据实际上可能是非法的,特别是在请求与欧盟法律和对个人基本权利保护的保障、国家安全利益或商业敏感数据保护相冲突的情况下。《数据法》遵循《数据治理法》(Data Governance Act)关于防止第三国政府非法访问和转移存储在欧盟境内的非个人数据的规定。这些规定对于常规的企业间数据共享没有影响,而是增加了关于非个人数据如何被第三国政府机构访问或转移的流程和条件的透明度和法律确定性。
https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained
2024年4月24日,欧洲数据保护委员会(EDPB)发布了数据保护框架补救机制的程序规则和信息说明,以及向美国国家情报总监办公室的民事自由保护官(Civil Liberties Protection Officer,CLPO)提交的模板投诉表(模板)。EDPB邀请指控美国国家安全主管部门收集的数据违反美国法律的欧盟个人通过“模板”向其欧盟数据保护机构(DPA)提交投诉。该模板包含DPA验证投诉所需的信息:投诉人的身份信息;以及在投诉概要中,投诉不需要证明投诉人的数据实际上受到美国信号情报活动的影响,但必须包括可能已被访问的个人数据等信息。
https://www.dataguidance.com/news/eu-edpb-publishes-procedural-rules-regarding-complaints
2024年4月24日,欧洲数据保护委员会(EDPB)根据欧盟-美国数据隐私框架(DPF)发布了“欧盟数据保护监管机构非正式小组”的程序规则。EDPB特别强调,在个人就DPF处理从欧盟转移的个人信息提出未解决的投诉后,该小组为美国组织提供了具有约束力的建议。一般来说,专家小组将在收到个人DPF投诉或相关组织转介后60天内提供建议。如果不遵守专家组的建议,专家组会将此类案件提交给美国商务部(DOC),后者可能会将被投诉的公司从DPF名单中删除,或者可能由联邦贸易委员会(FTC)或美国贸易部(DOT)强制执行。其中首席数据保护监管机构必须:作为投诉人和美国公司的单一联络点;与数据保护监管机构协商确定或指定共同审查员;向所有EDPB成员通报专家组中参与的数据保护监管机构;以书面形式告知美国组织DPF投诉的实质内容和任何其他相关信息;在传输个人数据之前,需通知数据主体并为他们提供反对传输的机会;为各方(投诉人、公司)提供合理的机会,让他们在合理时限内就此事发表评论并提供他们希望的任何证据;起草和分发建议和补救措施;向美国公司发出综合建议;以及在不披露个人数据的情况下,将所发布的建议告知其他欧洲经济区数据保护监管机构。
https://www.dataguidance.com/news/eu-edpb-publishes-rules-procedure-eu-dpas-panel-under
2024年4月16日,白宫管理和预算办公室(OMB)就《第四修正案不可出售法案》(HR 4639)的第4639号众议院决议发表了政府政策声明。白宫特别强调其反对HR 4639,因为该法案通常会禁止情报部门和执法部门获取某些商业上可获得的信息,除非符合有限的例外情况。此外,白宫还规定,HR4639不会影响外国对手或私营部门获取和使用相同的商业上可获得的信息。白宫特别指出,获取商业上可获得的信息对于检测和应对网络攻击是必要的。
https://www.dataguidance.com/news/usa-white-house-publishes-statement-administration-0
https://www.congress.gov/bill/118th-congress/house-bill/4639
2024年3月27日,日本个人信息保护委员会(PPC)公布了其最新的国际战略。
在国际战略中,PPC概述了几项举措,包括:(1)与拥有与日本同等水平的个人信息保护制度的国家和地区进一步发展相互承认机制,以便顺畅地进行个人数据传输;(2)修订《个人信息保护法》(2003年第57号法案,2020年修订)(APPI),涉及日本与欧盟、日本与英国之间的相互承认框架;(3)促进国际企业认证体系的推广,特别是将通过全球跨境隐私规则(CBPR)论坛开展推广;(4)与具有共同价值观的国家和地区引入全球示范合同条款;(5)加强和建立与相关国家和地区的国际合作关系,包括执法合作。
https://www.dataguidance.com/news/japan-ppc-publishes-updated-international-strategy
2023年4月18日,迪拜国际金融中心(DIFC)数据保护专员办公室宣布,它已被接纳为全球隐私执行合作安排(Global CAPE)的参与者。专员解释说,作为全球跨境隐私规则(CBPR)论坛的早期采用者,它将继续努力将全球跨境隐私规则作为数据传输的一种选择。
https://www.dataguidance.com/news/difc-commissioner-joins-global-cape