作者 | 网络安全应急技术国家工程研究中心

2024年8月27日，中欧数据跨境流动交流机制第一次会议以视频方式举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德出席开幕式并致辞，正式宣布建立中欧数据跨境流动交流机制。会议就双方企业关于数据跨境流动的具体问题以及数据跨境流动监管框架进行了坦诚、深入、富有建设性的交流。中国国家互联网信息办公室、外交部、商务部、工业和信息化部、国家数据局，欧盟委员会贸易总司、司法与消费者总司、通信网络、内容和技术总司、欧盟驻华代表团相关负责人参加会议。

http://www.whwx.gov.cn/wxdt/202408/t20240828_2447192.shtml

2024年8月26日，北京市互联网信息办公室、市商务局、市政务服务和数据管理局联合发布了《北京市数据跨境流动便利化服务管理若干措施》（以下简称《数据跨境便利措施》）。此次出台的《数据跨境便利措施》从畅通数据合规出境通道、细化服务举措、优化监管措施、强化保障措施等四个方面提出了18项具体措施。

http://bj.people.com.cn/n2/2024/0901/c14540-40962820.html

2024年8月26日，北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会同有关部门制定了《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》（以下简称《管理办法》）《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》（以下简称《负面清单》）。《管理办法》重点围绕负面清单的制定流程、职责分工、使用管理、安全监管等方面进行深化设计。第一，明确朝阳、海淀、昌平、通州、顺义、大兴、亦庄北京自贸试验区组团的管理部门及属地相关职能部门负责组织指导本组团内数据处理者合规使用负面清单，制定出台负面清单配套实施指南、明确负面清单使用对象及申报流程。第二，《管理办法》明确规定了数据处理者使用负面清单出境数据的主要流程为提交申请、提交备案、合规出境三个环节。第三，《管理办法》完善了重要数据识别规则，在统一识别规则的基础上，还提出13类41子类数据分类分级参考规则，包括重要数据统一识别参考规则、重要数据分行业识别参考规则。

https://mp.weixin.qq.com/s/1IP-_obEqzCj51PqVJnwoQ

2024年8月26日，荷兰数据保护局（AP）发布的决定，在调查后对违反《通用数据保护条例》（GDPR）的Uber Technologies Inc.和Uber B.V.处以2.9亿欧元的罚款。这是荷兰数据保护局开出的最大一笔罚款，涉及优步在未采取GDPR所要求的必要保护措施的情况下，将欧洲司机的敏感数据传输至美国。这是荷兰数据保护局对优步开出的第三笔罚款，此前该机构曾在2018年对其处以60万欧元罚款，去年处以1000万欧元罚款。此问题源于2021年8月至2023年11月期间，优步在此期间将出租车执照、支付详情、位置数据、身份证件以及甚至司机的刑事和医疗记录等数据传输并存储在Uber在美国的服务器上。这种数据传输未遵循GDPR对于此类跨境数据流所规定的额外保护措施，考虑到欧盟和美国之间数据保护水平的差异，这一行为尤为敏感。荷兰数据保护局表示，在170多名法国司机向法国一个人权利益团体投诉后，该团体向法国数据保护监管机构提出了投诉，荷兰数据保护局随后展开了调查。投诉最初提交给了法国数据保护局，但因优步欧洲总部设在荷兰，故而转至荷兰数据保护局处理。

https://mp.weixin.qq.com/s/zFbQUMabhrIvzr4PRdv3tQ

https://www.dataguidance.com/news/eu-ap-fines-uber-290m-transfers-driver-data-us

2024年8月23日，德国数据保护会议（DSK）宣布一份立场文件，内容涉及根据《寻求庇护者福利法》对使用支付卡发放福利的数据保护限制。DSK在立场文件中强调了以下几点：1.官方处理活动，包括向服务提供商传输数据，原则上可以依据各州的数据保护法的一般条款进行——然而，DSK指出，判断处理行为是否允许的决定性因素在于该处理是否绝对必要以实现目的；2.如果主管机关没有法律依据允许其进行某些数据处理，则服务提供商不得出于主管机关的利益进行该处理；3.没有实施对邮政编码区域的全面限制；4.必须实施数据记录的分离，以保证不进行跨机构的数据比对；5.由于没有必要披露，外国人中央登记号码不应向服务提供商披露；6.安全部门的访问只能在符合相关安全法律的法律要求后进行。

https://www.dataguidance.com/news/germany-dsk-publishes-position-paper-use-payment-cards

2024年8月23日，巴西数据保护局（ANPD）发布了CD/ANPD第19号决议，其中包含《数据跨境传输条例》和标准合同条款（SCC）。该《条例》对数据跨境传输作出了详细规定，以规范将个人数据传输至巴西境外的行为。标准合同条款（SCCs）则为数据传输方与境外数据接收方之间传输个人数据提供了一个合法机制。该法规包括适用范围、数据跨境传输的原则、数据跨境传输的机制、标准合同条款（SCCs）、约束性公司规则（BCRs）。其中，《条例》规定，数据跨境传输行为应根据 LDPG 和《条例》要求进行，并遵循以下原则：（1）遵守数据处理的原则，保证数据主体权利，并提供与巴西立法相同的保护水平；（2）采用简单的程序，优先选择可互操作、符合国际标准、且实践中效果最佳的程序；（3）在保障数据主体权利的同时，促进数据的自由跨境流动，推动社会、经济和技术发展；（4）采取有效措施，以确保能够证明遵守巴西《通用数据保护法》（LGPD）有关数据主体权利及个人数据保护制度相关规定;（5）实施有效的透明度措施，在遵守商业秘密有关规定的情况下，确保向数据主体提供有关数据传输的清晰、准确且易于获取的信息；（6）采取与所处理个人数据性质、处理目的以及操作风险相当的预防和安全措施。

在数据跨境传输的机制方面，《条例》规定，数据跨境传输可以依据以下任一机制进行：（1）ANPD 作出的充分性认定；（2）针对特定传输的合同条款；（3）标准合同条款（SCCs）；（4）具有约束力的公司规则（BCRs）；（5）LGPD 第33条规定的其他机制，包括定期签发的印章、证书和行为准则，取得数据主体在明确知悉跨境传输性质和目的情况下的针对性同意，为保护数据主体或第三方生命或人身安全，为履行国际合作协议，为履行数据控制者义务，为履行与数据主体有关的合同义务，为在司法、行政或仲裁程序中行使合法权利，为满足政府调查等国际法律合作的要求，以及为执行公共政策或法定职责。

https://mp.weixin.qq.com/s/FHrBHyX73vkr6uGIWUTx8A

https://www.dataguidance.com/news/brazil-anpd-publishes-data-transfer-regulation-and-sccs

2024年8月15日，沙特阿拉伯国家竞争力中心Istitlaa平台宣布，沙特数据和人工智能管理局（SDAIA）发布了《个人数据传输的约束性通用规则（BCR）指南》，并征求公众意见。该指南规定了将个人数据从沙特阿拉伯王国（KSA）传输到未建立适当个人数据保护级别的国家或国际组织的控制者或处理者的BCR相关要求。该指南为在沙特境内外运营的实体集团提供了有关BCR开发的全面说明。主要条文包括：实施BCR的实体的详细信息；BCR涵盖的描述和详细信息；BCR的约束性质；与主管当局合作；个人数据保护措施；实施BCR的实体详细信息文档的附录；BCR内容的附录。

https://www.dataguidance.com/news/saudi-arabia-sdaia-publishes-guidelines-data-transfers

2024年8月13日，韩国金融服务监管局（FSS）公布了对Kakao Pay海外支付部门的现场检查结果，确认Kakao集团旗下的Kakao Pay在未经客户同意的情况下，将全部客户的个人信用信息提供给了海外第三方支付宝。韩国金融服务监管局表示被共享的信息包括但不限于：Kakao账户ID、手机号码、电子邮件、订阅历史和交易历史，并且Kakao Pay向支付宝提供这些信息并不是为了结算海外支付金额所必需的。

https://www.dataguidance.com/news/south-korea-fss-publishes-results-site-inspection-kakao

2024年8月14日，瑞士联邦委员会发布新的瑞士-美国数据隐私框架，由美国商务部和瑞士联邦政府制定，旨在为从瑞士到美国的个人数据传输提供可靠且合规的机制。该框架允许在瑞士与经过认证的美国公司之间安全地交换个人数据，而无需额外的保护措施，为与美国接收者共享个人数据的瑞士公司提供了极大的缓解，并使瑞士与欧洲经济区和英国处于同等地位，而欧洲经济区和英国在一年多前就已经实施了此类框架。

https://www.lexology.com/library/detail.aspx?g=a1fe877f-2e7b-440e-9c93-37c8a2c6bb3c