数据安全新动态（2023年12月·上篇）

来源：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html 

来源：

https://baijiahao.baidu.com/s?id=1784714264374957218&wfr=spider&for=pc 

来源：

1.2.1.美国卫生与公众服务部发布《数据战略2023-2028》

12月14日，美国卫生与公众服务部（HHS）发布未来五年数据战略。该战略强调增强内部数据处理能力，提出可用、可获取、及时、公平、有意义、可利用和受保护等数据原则，并明确了如下优先事项及相关举措：培育数据人才，促进数据共享，将管理数据整合到项目运营中，通过连通人类服务实现数据全覆盖保护，负责任地利用人工智能。

来源：

https://www.hhs.gov/about/news/2023/12/14/hhs-releases-new-data-strategy-enhance-data-capabilities-accelerate-progress-cancer-moonshot-goals.html

1.2.2.布鲁盖尔研究所发表《新的欧盟数据市场法规是否连贯且高效？》文章

12月18日，欧洲独立智库布鲁盖尔研究所发表文章，对《欧洲健康数据空间条例》《数据法》《数字市场法》三部具有代表性的数字市场法规进行分析。文章认为，《欧洲健康数据空间条例》是欧盟在数字市场法规方面的最佳实践，《欧洲健康数据空间条例》在健康数据共享方面几乎不设置任何过分的限制，且同时为个人数据提供了充足保护；《数据法》对数据控制者或产品制造商提供了过度保护；《数字市场法》的数据共享条款将对数字创新产生不利影响。三部法规都各有不足，相对而言《欧洲健康数据空间条例》实现了促进数据流动的理想效果。

来源：

https://www.bruegel.org/sites/default/files/2023-12/WP%202023%2021%20181223%20final.pdf

1.2.3.美联邦通信委员会与司法部长就隐私、网络安全展开执法合作

12月7日消息，美国联邦通信委员会与康涅狄格州、伊利诺伊州、纽约州和宾夕法尼亚州的司法部长签署了一项关于隐私、数据保护和网络安全的执法合作协议。这项新举措议旨在开展隐私、数据保护和网络安全相关调查方面分享专业知识、资源并协调努力，以保护消费者。根据协议，联邦通信委员会和州检察长将共同调查，并在适当情况下起诉或采取其他执法行动。

来源：

https://www.einpresswire.com/article/673837168/attorney-general-tong-announces-enforcement-partnership-with-fcc-s-privacy-data-protection-task-force#:~:text=As%20part%20of%20the%20work%20of%20the%20FCC%E2%80%99s,data%20protection%2C%20and%20cybersecurity-r

2.1.1.国家网信办发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》

12月10日，国家互联网信息办公室与香港创新科技及工业局共同制定并发布了《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》（下称《指引》）。《指引》共15条，涵盖订立标准合同的基本原则、基本义务责任、备案要求、救济路径等内容。就适用范围看，《指引》只适用于注册于粤港澳大湾区内地部分以及香港特别行政区的个人信息处理者及接收方之间的个人信息跨境流动。此外，《指引》及标准合同均明确，接收方不得向大湾区以外的组织、个人提供个人信息（比如接收方继续向其欧美总部提供），因而外商投资企业也不能通过香港向境外总部提供信息。从具体内容来看，该《指引》放松了个人信息跨境传输的数量和种类要求。相较于《个人信息出境标准合同》，其对大湾区内可以跨境的个人信息的种类和数量几乎不做限定。同时，《指引》也简化了个人信息保护影响评估的内容，整体评估分为三部分：个人信息处理目的和合法性、正当性、必要性基础；个人权益影响及风险；接收方承诺承担的义务和保障信息安全的能力。

来源：

http://www.cac.gov.cn/2023-12/13/c_1704042786237103.htm

2.1.2.5家企业获颁首批个人信息保护认证证书

12月15日，珠海澳科大科技研究院、支付宝（中国）网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业获得了中国网络安全审查技术与认证中心颁发的首批个人信息保护认证证书。这标志着我国个人信息保护认证实施工作迈出了重要一步。个人信息保护认证，是依据相关国家标准，证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。个人信息保护认证是支撑政府个人信息保护监管的有效手段，也是适应市场经济体制下企业合规发展的需要。认证实施是对个人信息处理者进行的综合“体检”，对促进其增强个人信息保护管理主体责任意识，及时发现并整改存在的问题，完善个人信息保护管理机制，持续保持符合国家法律法规和标准规范要求，提高产品和服务的市场竞争力等方面具有重要作用。同时，认证使个人信息处理者更易于与消费者建立信任关系，便于消费者选择安全可靠的产品和服务。

https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml

2.2.1.英国信息专员办公室发布英国约束性公司规则附录的指南

12月19日，英国信息专员办公室（ICO）更新了关于英国约束性公司规则（BCRs）的指南，引入了有关英国BCR附录（Addendum）的新指南，用以简化组织管理英国和欧盟之间数据转移流程。根据该指南，已获得欧盟BCR的组织可以通过添加附录的方式，创建新的英国BCR，从而将已获批的欧盟BCR范围扩展到可以向英国传输的范围。指南同时说明了申请英国BCR的组织需要处理的文件，包括向ICO提交的附录、完整的欧盟BCR、其批准文件以及英国BCR摘要文件。指南也澄清了处理者和控制者的BCR都需要单独申请，并就组织如何完善附录进行了逐步指导。同时，ICO的审批流程将根据申请与附录的标准或定制形式的密切程度而有所不同，指南建议使用附录作为模板的组织需要突出并合理化其修改的内容。最后，指南强调了组织对欧盟BCR的变更将直接影响其根据附录添加的英国BCR。即在暂停或撤销欧盟BCR的情况下，英国BCR也将受到类似影响。

来源：

https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/guide-to-binding-corporate-rules/a-uk-bcr-addendum/ 

2.2.2.欧盟：欧盟消费者组织就付费或同意模式对Meta提出投诉

近日，欧盟消费者组织（BEUC）及其19个成员联名向消费者保护机构（CPC）提交了一项针对Meta的投诉。BEUC称Meta公司以多种方式从事不公平的商业行为。该诉讼主要针对Meta上线的“付费去广告”（Subscription for No Ads）订阅服务。欧洲用户要么继续免费使用Instagram和Facebook，但要接受个性化广告；要么支付费用，个人数据不会被收集用作个性化广告的投放。

BEUC认为Meta公司这一行为不仅违反商业竞争，同时也涉嫌违反《通用数据保护条例》（GDPR）等数据保护法律。此前，隐私倡导组织NOYB也向奥地利隐私监管机构提交了类似投诉。BEUC认为，即使用户选择了无广告体验的订阅服务，他们的数据仍可能被收集并用于其他目的。此外，BEUC对高昂的订阅费提出异议，认为这种定价策略可能会阻止用户选择该服务，并导致他们同意Meta收集个人数据。

来源：

https://www.beuc.eu/choose-to-Lose-with-Meta