鼎世海外数据监管观察（9月刊）

发布背景：

在全球化日益加深的今天，数据已成为驱动经济增长和社会进步的关键要素。随着数字技术的飞速发展，数据跨境流动日益频繁，为全球经济合作与竞争注入了新的活力。然而，数据的自由流动也伴随着一系列复杂而严峻的挑战，特别是数据安全与隐私保护问题，已成为国际社会普遍关注的焦点。各国政府纷纷加强数据监管，出台了一系列法律法规，以应对数据跨境流动带来的风险与挑战。

在此背景下，鼎世律师事务所数据合规项目组凭借其深厚的法律功底和广泛的国际视野，推出《鼎世海外数据监管动态观察月刊》。本月刊旨在全面跟踪和分析全球范围内特别是海外重要国家和地区的数据监管动态，包括但不限于数据保护法律法规的修订、数据跨境流动政策的调整、数据监管机构的执法行动、经典案例等，为企业提供及时、准确、专业的数据合规指南。

意义：

助力企业应对复杂多变的海外数据监管环境：随着全球数据监管体系的不断完善，企业面临的数据合规压力日益增大。《鼎世海外数据监管动态观察月刊》将为企业提供及时的数据监管情报，帮助企业及时了解海外数据监管的最新动态，为企业的海外业务拓展提供有力支持。

促进企业数据合规与风险管理：数据合规已成为企业海外经营不可回避的重要议题。《鼎世海外数据监管动态观察月刊》将深入分析海外数据监管政策的内涵与影响，为企业提供数据合规风险评估和应对策略建议，帮助企业建立健全的数据合规管理体系，降低数据合规风险。

推动全球数据治理体系的完善与发展：作为专业的法律服务提供者，鼎世律师事务所致力于推动全球数据治理体系的完善与发展。《鼎世海外数据监管动态观察月刊》的发布，不仅有助于提升企业对全球数据监管体系的认知和理解，还将促进企业顺利出海，优化数据跨境流动管理的方案和策略，以适应全球化背景下的商业环境和法规要求，共同应对数据跨境流动带来的挑战与机遇。

（以下目录中所有英文版内容均已翻译，如需获取请关注公众号，并在后台私信我们，留下您的姓名、工作单位及邮箱，我们的工作人员将与您核实并将全文pdf版本发送给您。）

鼎世海外数据监管动态观察

第三期

2024 年 8 月 31 日 - 2024 年 9 月 30 日

监管动向｜要闻案例

（滑动下方文字阅读全文）▼

监管动向

欧洲动态

欧盟：委员会宣布人工智能契约的签署方
欧盟：委员会请求 ENISA（欧洲网络安全局）支持欧洲数字身份钱包的认证
欧盟：欧洲数据保护委员会（EDPB）将在第 96 次全体会议上讨论关于行政罚款的指南更新以及与欧盟委员会共同指导的相关事项
欧盟：EDPB 将与委员会共同制定关于 GDPR 与 DMA 相互作用的指导意见
西班牙：西班牙数据保护局（AEPD）发布关于教育中心使用移动设备的义务和责任指南
葡萄牙：国家数据保护委员会（CNPD）发布2023年活动报告
英国：数字、文化、媒体和体育部（DSIT）发布关于 Cookie 设置选项对隐私决策影响的报告
德国：政府发布关于 Cookie 和同意的条例
土耳其：国家网络安全战略和行动计划已在官方公报中发布

美国动态

宾夕法尼亚州：网络安全保护法案已提交讨论
联邦: 联邦贸易委员会（FTC）发布社交媒体和视频流媒体服务的数据实践报告
科罗拉多州:司法部（CO AG）提交了《科罗拉多隐私法》（CPA）规则的拟议修正案草案
联邦：国家电信与信息管理局 (NTIA) 征求对数据中心安全的意见
加利福尼亚州：关于公开可用数据法案在立法机构通过

亚太地区

韩国：个人信息保护委员会发布关于数据主体权利的自动化决策指南
日本：个人信息保护委员会（PPC）发布关于数据泄露后个人数据妥善处理的文件
新加坡：最高法院发布关于法院使用生成式人工智能的通告
马来西亚：科技、创新与高等教育部（MOSTI）发布国家人工智能治理与伦理指南
印度：印度电信监管局（TRAI）发布关于《电信法》下服务授权的建议
泰国个人数据保护委员会（PDPC）在宋卡设立数据保护服务中心，提供投诉和咨询服务
澳大利亚：工业、科学和资源部发布自愿人工智能安全标准
新西兰：隐私专员办公室（OPC）就数据匿名化提供建议

其他国家、组织

沙特阿拉伯：沙特数据与人工智能管理局 (SDAIA) 公布有关强制数据控制者注册的规定
巴西：国家数据保护局（ANPD）发布 2024 年上半年监管议程审计报告

要闻案例

韩国：个人信息保护委员会（PIPC）对 Worldcoin 和 TFH 分别处以 14 亿韩元的罚款，因其违反了《个人信息保护法》（PIPA）
波兰：法院驳回 Morele.net 对波兰数据保护局（UODO）380 万波兰兹罗提罚款的投诉
美国：联邦通信委员会（FCC）与 AT&T 达成 1300 万美元的和解协议，因其供应商数据泄露事件
克罗地亚：数据保护机构（AZOP）因数据保护违规行为处以总额为 270,700 欧元的 12 项罚款
挪威：数据保护局（Datatilsynet）宣布对阿格德大学（University of Agder）处以 15 万挪威克朗的罚款，原因是该大学在使用 Microsoft Teams 时未能实施足够的访问控制
法国：CNIL对 CEGEDIM SANTÉ因非法处理健康数据处以 80 万欧元罚
希腊：希腊数据保护局（HDPA）因侵犯访问权和透明度而对 EKAB 罚款 30,000 欧

欧盟：委员会宣布人工智能契约的签署方

在2024年9月25日，欧盟委员会宣布签署欧盟人工智能契约（EU AIPact）。此次签署是继2024年7月发布人工智能契约之后的后续行动。委员会还公布了签署该契约的名单，其中包括来自 IT、电信、医疗、银行、汽车和航空等行业的跨国公司和欧洲中小企业（SME）。委员会提醒称，人工智能契约是组织自愿承诺，旨在促进对欧盟人工智能法（AI Act）的合规，提前为一些条款的生效做准备。

（滑动下方文字阅读全文）▼

契约的核心承诺

所有参与的组织需要遵循的核心承诺包括：

制定人工智能（AI）治理战略，以促进 AI 的应用；
绘制在 AI 法案下被认为是高风险的领域中开发或使用的 AI系统的地图；
提升员工及其他与 AI 系统部署相关人员的 AI 素养。

委员会指出，超过一半的签署方还承诺了额外的承诺，包括确保人类监督、减轻风险，以及透明标识某些类型的 AI 生成内容（如深度伪造内容）。

委员会表示，更多组织可以在人工智能法完全实施之前加入该契约。

开发者责任

根据人工智能契约，开发 AI 系统的组织可以：

建立流程以识别因使用 AI 系统而可能对健康、安全和基本权利造成的风险；
制定培训、验证和测试数据集的政策；
实施日志记录功能，以便对某些 AI 系统进行可追溯性管理；
向部署者提供关于适当使用、局限性和风险的信息；
确保对 AI 系统推荐或做出的决策进行人类监督；
设计生成性 AI 系统，使 AI 生成的内容通过技术手段进行标记；
提供清晰、易于区分的标识，标明 AI 生成的内容，如深度伪造内容和 AI 生成的文本。

部署者责任

部署 AI 系统的组织可以：

绘制可能影响个人和群体基本权利的相关 AI 系统的风险地图；
实施具体措施，以确保对 AI 系统推荐或做出的决策进行人类监督；
在由 AI 系统做出、准备、推荐或采取的决策时，以清晰和有意义的解释告知个人；
在工作场所部署 AI 系统时，告知工会代表和受影响的工人。

欧盟：委员会请求ENISA（欧盟网络安全局）支持欧洲数字身份钱包的认证

2024 年 9 月 24 日，欧洲网络安全局（ENISA）宣布，欧洲委员会请求其支持欧洲数字身份（EUDI）钱包的认证，包括根据《网络安全法》开发候选的欧洲网络安全认证方案。

（滑动下方文字阅读全文）▼

背景

ENISA 指出，欧洲数字身份框架（该框架）于2024年5月生效，EUDI钱包将改善在线身份识别和认证流程。EUDI 钱包是一个应用程序，它允许存储、访问和共享个人身份数据和文件。

认证方案的开发

ENISA 明确表示，委员会要求其：

通过提供统一的认证要求以支持成员国建立国家认证方案，并参与实施法规的开发；
启动为 EUDI 钱包及其电子身份（eID）方案准备候选的欧洲网络安全认证方案的工作。

最后，ENISA 强调将与成员国和利益相关者密切合作，并在建立 EUDI 后支持 eIDAS 专家组和欧洲数字身份合作小组。

欧盟：欧盟数据保护委员会（EDPB)将在第96次全体会议上讨论关于行政罚款的指南更新以及欧盟委员会共同指导的相关事项

2024 年 9 月 17 日，欧洲数据保护委员会（EDPB）发布了第 96 次全体会议的议程，该会议于同日举行。议程特别指出，EDPB 将讨论以下事项：

（滑动下方文字阅读全文）▼

更新 EDPB 认可的第 29 工作组（WP29）关于《2016/679号条例》行政罚款适用和设定的指南（WP 253）的请求；

关于欧盟委员会与 EDPB 共同指导《数字市场法案》（DMA）和《通用数据保护条例》（GDPR）的后续步骤。

欧盟：西班牙数据保护局（AEPD）发布关于教育中心使用移动设备的义务和责任指南

2024 年 9 月 10 日，欧洲数据保护委员会（EDPB）宣布已达成共识，将与欧盟委员会合作，明确并指导数字市场法（DMA）与通用数据保护条例（GDPR）之间的相互作用。

（滑动下方文字阅读全文）▼

EDPB 概述了工作将集中于 DMA 下数字守门人的适用义务，以在尊重各监管机构在 GDPR 适用和在 DMA 中引用的领域的职能的同时，制定对 DMA 和 GDPR 的一致解释。

此外，EDPB 还明确指出，DMA 成立了一个高级别小组，该小组包括委员会及来自 EDPB 和欧洲数据保护监督员（EDPS）的代表，旨在向委员会提供建议和专业知识，以确保 DMA 及其他行业法规的一致实施。

（以上内容为月刊部分内容节选，如需获取全文请关注公众号，并在后台私信我们，留下您的姓名、工作单位及邮箱，我们的工作人员将与您核实并将全文pdf版本发送给您。）

主编律师介绍

常铮律师

鼎世律师事务所合伙人、国际业务组负责人

北京市律师协会入库涉外律师

北京市朝阳区“一带一路”律师

专注于投融资并购等商事交易、外商投资及中国企业对外投资等涉外法律业务

李碧莹

北京鼎世律师事务所实习律师

专业领域：企业数据合规、涉知识产权争议处理、涉竞争法争议解决等领域

企业出海数据合规服务具体包括

为企业的涉外(包括欧盟、美国、加拿大、俄罗斯、日本和其他东亚国家)业务提供境外数据合规解决方案，协助数据合作事宜的商业谈判，以及应对数据安全事件。
为企业在适用 GDPR 地区的出海业务进行GDPR 合规评估，从隐私保护角度完善产品设计和服务方案。
为企业在适用 GDPR 地区的业务设计全面的GDPR 合规操作指引并协助业务人员落地合规体系。
协助企业对其向欧盟市场提供的服务进行GDPR 合规评估，以符合欧盟市场的合规要求。
为企业的涉外(包括欧盟、美国、加拿大、俄罗斯、日本和其他东亚国家)业务提供数据处理和个人信息保护的专项法律服务。
为企业的涉外(包括欧盟、美国、加拿大、俄罗斯、日本和其他东亚国家)业务提供常年数据合规服务。
Provide enterprises with data compliance solutions for foreign businesses(involving areas of EU, America,Canada, Russia, Japan, and other Southeast Asian countries), assist to carry out business negotiations about data cooperation, and help to respond to data security issues.
Conduct GDPR compliance assessment over businesses in areas where GDPR is applicable, and optimize product design and service plan from the view of privacy protection.
Design comprehensive GDPR compliance operation guidance for businesses in areas where GDPR is applicable, and help to implement compliance system.
Help enterprises to conduct GDPR compliance assessment of foreign businesses (involving areas of EU, America, Canada, Russia,Japan, and other Southeast Asian countries), to comply with compliance requirements of on data processing and personal information protection.
Provide regular data compliance services for foreign businesses (involving areas of EU, America,Canada,Russia, Japan, and other Southeast Asian countries).

首页｜走进鼎世｜服务领域｜专业团队｜社会责任

案例精选｜招贤纳士｜联系我们

TEL：010-53675906

ADD：北京市朝阳区西大望路1号温特莱中心B座10层1009