编译 | 唐海林、程潇莹、张文朝

审校 | 张金平、张奕欣、邢潇

指导编制 | 卓子寒

1.英国和美国联合发布人工智能和数据传输合作大西洋宣言

2023年6月8日，英国和美国联合发布了《二十一世纪英美经济伙伴关系大西洋宣言》，强调两国将在数据传输和人工智能等领域开展深度合作。为实现包容性和负责任的数字化转型，英美两国将侧重于在以下三个领域开展合作：一是加强数据合作：建立美英数据桥以确保数据安全流动，确保隐私保护，支持全球隐私框架，并建立对数据安全风险的共识；二是加快人工智能合作：就人工智能的安全和负责任的发展开展合作，参与国际人工智能倡议，主办人工智能安全全球峰会，探索建立监测人工智能风险的安全措施；三是深化隐私增强技术(PETs)合作：启动PETs合作将有助于两国从数据中获取有价值的见解，训练负责任的人工智能模型，并在保护隐私和民主原则的同时最大限度地提高经济和社会效益。值得强调的是，英美数据桥是英国脱离欧盟后的首个独立数据桥。“数据桥”将促进英美之间个人数据的自由流动，推动跨大西洋研究和创新，为希望与跨大西洋合作伙伴协作和共享数据的组织提供更大的确定性。

https://www.dataguidance.com/news/international-uk-and-us-announce-atlantic-declaration

2.立陶宛国家数据保护监察局发布使用欧盟标准合同条款的常见问题解答

2023年6月5日，立陶宛国家数据保护监察局（VDAI）发布了一组关于使用欧盟标准合同条款（SCCs）的常见问题解答（FAQ）。FAQ强调，SCCs仅适用于调整数据控制者和数据处理者之间的关系，而不适用于调整两个数据控制者之间的关系。并且数据控制者可以选择是否使用SCCs以及使用SCCs的程度，但是在使用SCCs时，除非相关条款是任意性条款，否则不能更改条款内容。FAQ还指出，数据控制者有权在SCCs中添加自己的数据处理协议或其他协议中的条款，但这些条款不得与SCCs相抵触。最后，FAQ明确，如果依据GDPR第28条订立的合同不是SCCs，那么根据GDPR第五章向第三国或国际组织进行数据传输时当事人不能依赖SCCs。

https://www.dataguidance.com/news/lithuania-vdai-publishes-faqs-use-eu-sccs

3.丹麦数据保护局对Boligportal公司作出数据传输合规令

2023年6月2日，丹麦数据保护局（Datatilsynet）宣布向Boligportal公司作出一项与欧盟-美国之间数据传输有关的GDPR合规令，要求Boligportal公司澄清其与Meta公司之间的数据处理安排和责任分配规则，以便更好地认定数据是否被非法传输至第三国。Datatilsynet在收到相关投诉后调查发现，根据既有信息，无法认定Boligportal公司是否利用Meta公司提供的Facebook商业工具将数据非法传输至美国；作为网站用户的个人信息共同控制者，Boligportal公司与Meta公司之间的数据处理安排未能说明Boligportal公司是否使用位于欧洲经济区以外的工具或数据处理器处理网站用户的个人数据，也没有说明由谁对非法数据跨境传输承担责任。因此，Datatilsynet认为Boligportal公司违反了GDPR的规定。此外，Datatilsynet表示，上述解决方案只是建议，并不是遵守命令的唯一选择。作为数据控制者，Boligportal公司在证明其遵守数据保护规则方面有充分的选择自由。

https://iapp.org/news/a/denmarks-dpa-issues-data-transfer-reprimand/

4.欧洲数据保护委员会发布有关GDPR中行政罚款计算的最终指南

2023年6月7日，欧洲数据保护委员会（EDPB）宣布通过关于GDPR行政罚款计算的指南。该指南提供了统一的计算起点并结合侵权行为的类型、严重性以及企业的营业额，来帮助成员国数据保护机构（DPAs）计算行政罚款的数额。具体而言，该指南规定了罚款计算的五步方法。一是识别案例并评估GDPR第83(3)条的适用。二是在评估的基础上进一步计算罚款金额的起点，该起点是通过评估以下三个要素确定的：侵权行为的类别；侵权的严重性以及企业的营业额。三是评估与数据控制者或数据处理者过去或现在的行为相关的加重和减轻处罚情节，并相应地增加或减少罚款。四是确定不同类型数据处理操作的法定最高限额，并提示注意在先前或后续步骤中数额的增减不能超过此限额。五是分析计算最终的罚款数额是否符合有效性、警戒性和相称性要求，并相应地增减罚款数额。

https://www.dataguidance.com/news/eu-edpb-adopts-finalised-guidelines-calculation-fines

5.美国康涅狄格州总检察长发布《康涅狄格州个人数据隐私和在线监控法》指导意见

2023年6月5日，美国康涅狄格州总检察长发布《康涅狄格州个人数据隐私和在线监控法》（CTDPA）指导意见。检察长表示，该法将于2023年7月1日开始生效，作为美国第一部最强有力的消费者隐私法之一，康涅狄格州数据隐私法将赋予消费者新的强大的基本权利，包括访问、纠正和删除企业存储和收集的个人数据的权利，以及选择不出售个人数据和目标广告的权利。并且该法将适当限制企业数据收集活动，要求企业对数据处理过程保持透明、对敏感信息的处理征得用户同意并保护儿童和青少年的个人数据。此外，检察长表示，并非所有康涅狄格州的企业都适用CTDPA，相关企业必须达到CTDPA规定的特定收入门槛，并且某些受其他隐私框架监管的企业也不在CTDPA适用范围内。

https://www.dataguidance.com/news/connecticut-ag-releases-guidance-ctdpa

6.美国德克萨斯州州长签署《数据泄露通知法》修正案

2023年5月27日，德克萨斯州州长签署了《数据泄露通知法》修正案，该法案将于2023年9月1日生效。法案修订了《德州商业法典》(Texas Business and Commerce Code)下的《数据泄露通知法》，要求相关主体发现数据泄露事件后，在可行情况下尽快通知总检察长，如果泄露事件涉及250名以上德州居民，则应当在确定泄露发生之日起30天内通知总检察长。此外，法案规定必须使用官方提供的表格以电子的方式提交通知。

https://www.dataguidance.com/news/texas-amendments-breach-notification-law-signed

7.德国柏林数据保护局对一家银行的非透明化自动决策行为罚款30万欧元

2023年5月31日，柏林数据保护局宣布，因自动决策缺乏透明度而对一家银行罚款30万欧元。事件源于一个客户的信用卡申请，该银行在没有提供任何具体理由的情况下通过自动决策拒绝其信用卡申请，因此该客户向柏林专员提出投诉。数据保护局表示，该银行应当根据客户要求提供有关拒绝客户申请的自动决策的透明信息，包括有关数据的具体信息、决策因素以及个别情况下拒绝的标准，其不透明决策违反了GDPR第5(1)(a)、15(1)(h)和22(3)条的规定，因此对其处以30万欧元罚款。

https://www.dataguidance.com/news/berlin-berlin-commissioner-fines-bank-300000-lack

8.美国司法部对Ring LLC公司侵犯隐私和数据安全的行为罚款580万美元

2023年5月31日，美国联邦贸易委员会（FTC）宣布，司法部（DoJ）因Ring LLC公司违反《联邦贸易委员会法》对其处以580万美元的罚款。FTC表示，Ring LLC公司是一家销售室内摄像头的公司，其在日常经营中忽略了对用户信息的保护。具体来说，该公司没有对员工进行客户敏感数据处理的培训，非履行工作职能的员工也可以访问客户视频数据，并且未实施有效措施来预防第三方的线上攻击，从而导致超过55,000名美国客户遭受到第三方攻击，并使相关设备受到损害。FTC认为该公司违反了《联邦贸易委员会法》第5(a)条的规定，因此DoJ对Ring LLC公司处以580万美元的罚款，并要求其在一定时间内建立、实施和维护一个全面的隐私和数据安全计划，以保护所涉信息的隐私、安全、保密性和完整性。

https://www.dataguidance.com/news/usa-ftc-files-proposed-order-against-ring-privacy-and

9.西班牙数据保护局以违反保密规定和安全措施不足为由对Pelayo公司罚款7万欧元

2023年5月31日，西班牙数据保护局（AEPD）因Pelayo公司违反GDPR对其处以7万欧元的罚款，后降至4.2万欧元。投诉人声称该公司向未经授权的第三方提供了他们的个人数据，其中包括他们的保险单信息，且该第三方恰好是与投诉人订立由Pelayo公司承保的车辆销售合同的人。AEPD调查后认为Pelayo公司没有尽到应有的注意义务，对客户的隐私也未尽到保密义务，因此违反了GDPR第5(1)(f)条。并且AEPD发现，Pelayo公司未能履行建立适当的技术组织、采取适当信息安全措施的义务，因此违反了GDPR第32条。鉴于上述情况，AEPD对Pelayo处以罚款。

https://www.dataguidance.com/news/spain-aepd-fines-pelayo-70000-confidentiality

10.西班牙数据保护机构因UPS公司违反诚信和保密原则对其罚款14万欧元

2023年6月7日，西班牙数据保护机构(AEPD)公布了其对United Parcel Service（UPS）公司罚款14万欧元的决定，原因是UPS的一位客户投诉该公司在未经同意的情况下将包裹交付给商业机构，这一行为侵犯了个人隐私权。AEPD调查发现，UPS本应将包裹递送至投诉人的住所，却未经授权将包裹递送至其他机构从而暴露了投诉人的个人数据，涉嫌违反GDPR第32条。同时，投诉人的个人资料（名字、姓氏、电话号码和地址）因包装标签而被不当地暴露给第三方，这一行为违反了客户个人资料保密原则，涉嫌违反GDPR第5(1)(f)条。由于UPS承认其违法行为且自愿支付罚金，该罚款最后减少至84000欧元。

https://www.dataguidance.com/news/spain-aepd-fines-ups-espa%C3%B1a-140000-violating-integrity

11.英国信息专员办公室对Crown Glazing公司的非法营销行为罚款13万英镑

2023年6月8日，英国信息专员办公室(ICO)宣布对Crown Glazing公司违反违反《隐私和电子通信条例》(PECR)的行为罚款13万英镑。ICO在收到投诉后调查发现，Crown Glazing公司在2021年1月4日至11月11日期间，向已在电话偏好服务(TPS)注册至少28天的用户拨打了超过503445次直接营销电话，且在部分电话中误导性地暗示消费者其代表英国政府，违反了PECR第21（1）（b）条。并且，该公司未证明其收到来自在TPS注册的订户的有效通知，这一行为违反了PECR第21(4)条的要求。因此，ICO对Crown Glazing罚款13万英镑并要求其在6月20日前支付。ICO还命令Crown Glazing 在30天内采取以下补救措施：对于先前已通知不想收到此类电话呼叫的用户和已在TPS注册至少28天的用户，不得为直接营销目的拨打未经请求的电话。

https://www.dataguidance.com/news/uk-ico-fines-crown-glazing-%C2%A3130000-unsolicited

12.汉堡数据保护和信息自由委员会发布关于谷歌街景新图像所涉反对权行使的常见问题解答

2023年6月8日，汉堡数据保护和信息自由委员会(HmbBfDI)发布了有关谷歌公司计划在其服务“谷歌街景”上发布新图像记录的常见问题解答(FAQ)。HmbBfDI表示，谷歌公司打算逐步公布来自德国各地的新图像记录，这些记录是由街景车或携带相机背包的步行者拍摄的，相关记录的时间表会提前在谷歌的相关网站上公布。HmbBfDI认为，数据主体可以反对谷歌公司处理他们的个人数据，特别是在街景图片中可以识别的房屋正面以及公民个人的非像素化表现。任何时候公民都有权行使反对权。HmbBfDI介绍，个人可以通过说明相关地址来反对谷歌发布涉及其私人财产的图像，并提供了一个联络方式和提出反对意见的选项清单，包括通过电子邮件、表格、信件或街景上的“举报问题”功能。此外，如果谷歌不尊重公民反对权的行使，公民可以通过在线表格向HmbBfDI提出投诉。

https://www.dataguidance.com/news/hamburg-hmbbfdi-releases-faqs-google-street-views

13.美国伊利诺伊州保险数据安全法案将生效

2023年6月9日，美国伊利诺伊州有关建立保险数据安全法的法案在两院获得通过后被送交州长签字，将于2024年1月1日生效。该法案旨在制定数据安全标准以及网络安全事件中主管机构的调查和通知标准，并适用于在该州获得许可的保险公司（被许可人）。法案规定，保险主管部门有权审查被许可人的任何事务，以查明被许可人是否曾经或正在从事任何违法行为。只要保险主管部门有理由认为被许可人曾经或正在伊利诺伊州从事相关违法行为，就可以采取必要、适当的行动来执行法案的规定。此外，法案还规定，被许可人或代表被许可人的雇员或代理人提供的任何文件、材料以及保险主管部门在调查过程中获得的任何文件、材料或其他资料，应依法享有保密权和特权，不受《信息自由法》的约束，不受传票的约束，不应在任何私人民事诉讼中被披露或作为证据采纳。法案还对例外、处罚和可分割性情形作了规定，保险主管部门可通过采用必要的规则来执行该法的规定。最后，法案对《信息自由法》进行了相应修改。

https://www.dataguidance.com/news/illinois-bill-creation-insurance-data-security-law-sent