预约精品课程

☆数据跨境流动☆

欧英

EDPB公布关于英国数据保护充分性认定的意见

4月13日，欧洲数据保护委员会（European Data Protection Board，EDPB）第48次全体委员会上通过了关于英国数据保护充分性认定决议（草案）的两项意见。EDPB认为欧盟与英国的数据保护框架在核心领域是一致的，但同时也强调，欧盟委员会应依照《通用数据保护条例》(GDPR)对以下事项进一步评估和监测：（1）移民豁免可能对数据主体权利限制产生的影响；（2）如果未来英国与其他第三国达成或废除了数据保护充分性认定、国际协定等，该如何申请对欧洲经济区向英国传输个人数据的限制。

在本次委员会上，EDPB还通过了一项《关于涉及个人数据传输国际协议的声明》，提议欧盟各成员国在必要时对其于2016年5月24日（GDPR生效之日）和5月6日（《执法指令》生效之日）前涉及到个人数据传输的国际协议进一步评估和审查，以确保其符合欧盟法律要求。

据EURACTIV 4月13日报道，有欧洲议会议员向公民自由委员会主席写信，请求欧洲议会对欧洲数据保护委员会意见进行审慎研究之前，暂缓对英国的数据保护充分性认定做出表态。

前情回顾

2月19日，欧盟委员会公布了两项关于英国数据保护同等水平地位的决议草案，一项基于欧盟GDPR，另一项基于《执法指令》。如果决议获得通过，将允许数据在欧盟和英国之间继续传输。公布决议草案意味着欧盟委员会正式启动该项流程。根据决议，英国获得同等保护水平认定的有效期为四年，之后需重新受到检查。目前欧盟与英国之间的数据传输由《欧英贸易合作协定》确定，有效期至2021年6月30日。据金融时报报道，决议预期会获得最终同意。

欧韩

欧盟-韩国联合声明宣布完成数据跨境传输谈判

3月30日，欧盟委员会司法委员Didier Reynders和韩国个人信息保护委员会主席Yoon Jong发表联合声明，称已经完成关于数据保护同等水平的谈判并得出“充分性”结论。欧盟委员会认为，韩国新版个人信息保护法的生效以及个人信息保护委员会权力的加强，使欧盟和韩国在数据保护上实现了高度融合。下一步，欧盟委员会将正式启动关于数据保护充分性认定的流程。据悉欧韩之间的该项谈判开始于2017年。日本于2019年1月获得了欧盟委员会的认定。

欧盟

关于欧盟数据保护充分性认定

谁来认定？

根据GDPR第45条第一款，欧盟外部的国家是否具有同等数据保护水平由欧盟委员会来认定。

依据什么条件认定？

根据GDPR第45条第二款，欧盟委员会做出充分性认定时，需特别考虑以下因素：（1）法治程度高低、是否尊重人权和基本自由、相关立法和立法实施情况；（2）拥有有效、专业的独立监管机构；（3）加入有关个人数据保护的国际条约或多边协定（例如欧洲委员会的《第108号公约》[1]），承担着国际法上的义务。

哪些国家和地区通过了认定？

截至2021年4月，共有安道尔公国、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭12个国家和地区获得了认定。

具体流程是什么？

数据保护充分性认定流程包括：（1）欧盟委员会发起提案；（2）征求欧洲数据保护委员会意见；（3）获得欧盟成员国代表组成的委员会同意；（4）欧盟委员会最终通过。

有哪些制约性因素？

欧洲议会和欧洲理事会如果认为“认定行为”超出了GDPR所赋予的权力，可以随时要求欧盟委员会修改或撤回关于数据保护同等水平的认定。此外，充分性认定不包含执法部门之间数据传输的内容。

立法动态

中国

《个人信息保护法》和《数据安全法》4月底进入二审

4月16日，十三届全国人大常委会第九十一次委员长会议在京举行。会议透露，十三届全国人大常委会第二十八次会议将于4月26日至29日举行，会上将审议多项草案和议案，包括《数据安全法》（草案）和《个人信息保护法》（草案）。

中国

信安标委就《个人信息去标识化效果分级评估规范》公开征求意见

4月12日，全国信息安全标准化技术委员会发布《信息安全技术 个人信息去标识化效果分级评估规范》公开征求意见，截止日期至2021年6月11日。该规范拟解决的具体问题包括：（1）去标识化效果如何分级；（2）常见直接标识符、常见准标识符有哪些；（3）如何度量重标识风险；（4）如何评估去标识化效果。

美国

各州隐私保护立法进展

根据非政府组织全国州议会联合会（NCSL）统计，2020年美国至少有30个州提出了关于数据和隐私的法案，但是最终获得通过的不多。[1]截至目前，仅有加利福尼亚州（《消费者隐私法案》（California Consumer Privacy Act））和弗吉尼亚州（《消费者数据保护法》（Virginia Consumer Data Protection Act），）两个州通过了综合性的隐私法。

《华盛顿州隐私法案》2021年通过无望

《华盛顿州隐私法案（Washington Privacy Act）》此前备受各方关注，然而至今仍未获得州众议院审议通过。4月25日是华盛顿州本届议会休会的日期[1]，这意味着该法案今年内很可能无法通过。《华盛顿州隐私法案》于3月初获得州参议院高票（48票同意，1票反对）通过，但随后州众议院民事权利和司法委员会提出修改，其中包括对于私人诉讼权的限制等。

《佛罗里达州隐私保护法案》遭重大修改

4月9日，《佛罗里达州隐私保护法案（Florida Privacy Protection Act）》进入州参议院二读程序。6日，参议院法规委员会曾就该法案提出重大修改意见，要求取消私人诉讼权。法律的适用范围被修改为“销售”数据的企业；适用门槛变为销售或共享超过10万用户，或年收入一半靠销售或共享这些数据的企业；法案生效日期被延迟至2022年7月1日。据悉该州议会将于4月30日休会。

欧盟

拟就人工智能数据收集立法

据彭博社报道，欧盟委员会将于4月21日正式发布针对人工智能的法律监管框架。该立法草案将禁止使用人工智能系统建立社会征信体系，同时将彻底禁止一些对个人隐私构成“高风险”的人工智能应用。这意味着未来不符合准入标准的人工智能系统，可能无法进入欧盟。如果违反了该法之规定，企业可能被判处2000万欧元或全球收入4%的罚款。

哈萨克斯坦

提案修改数据保护法

4月13日，哈萨克斯坦数字发展、创新和航空部发布了一项设计数据保护的法律修正案（草案）。该草案对2013年5月通过的《个人数据保护法》进行了重大调整，包括赋予数据主体新的权利（如删除权、被通知权）、禁止在用户未同意情况下使用从公共资源获取的个人数据等。

墨西哥

参议院批准成立生物信息登记中心

据路透社4月13日报道，墨西哥参议院日前通过了关于联邦电信法的修正法案，其中包括建立一个登记中心存储手机用户的生物识别信息（指纹、眼睛），以打击绑架和勒索等犯罪行为。根据新修法案，电信公司将被要求收集用户的这些生物信息；登记中心由联邦电信监管机构负责管理。

司法判例

澳洲

法院裁定谷歌非法收集用户位置数据

4月16日，澳大利亚联邦法院裁定谷歌在位置数据的收集和使用方面误导了部分用户。本次诉讼由澳大利亚竞争与消费者委员会（ACCC）于2019年提起。ACCC称，谷歌让用户错误地以为，只有在开启“位置历史”设置的情况下，谷歌才能收集个人数据。但实际上，如果“网络和应用活动”设置没有关闭的情况下，谷歌仍然可以收集和使用用户的位置数据。

数据泄露

爱尔兰

Facebook因数据泄露面临调查

4月14日，爱尔兰数据保护委员会宣布就Facebook数据泄露事件展开调查，并认为其违反了《爱尔兰数据保护法》和GDPR。本月初，Facebook被曝出曾于2019年泄露5.3亿用户信息，其中包括电话号码、姓名、位置、生日、简历甚至还有电子邮件地址等。Facebook称在当时发现问题后已经封堵了漏洞。

美国

LinkedIn和Clubhouse被曝数据泄露

据Cybernews 4月6日报道，某地下黑客论坛出售的数据集中包含LinkedIn超过5亿用户的个人信息。根据当前公布的数据样本，这些声称泄露的数据资料包含LinkedIn ID、全名、邮箱、电话、性别、指向LinkedIn个人资料的链接、指向其他社交媒体个人资料的链接、专业职称及其他工作相关数据等。

4月11日，美国语音社交平台Clubhouse被曝约130万用户个人数据泄露，数据包含用户姓名、账号名称等。（Clubhouse成立于2020年3月，通过邀请机制注册，用户可以通过该公司的语音社区针对各种主题启动对话或开设“房间”）

（本动态由“网络空间治理研究”公众号团队整理并翻译，转载请注明出处）

网络空间治理研究

微信号｜Internet-Governance