关注！数据安全新动态（2024年4月·上篇）

来源：

https://mp.weixin.qq.com/s/diEmFKPROI0nKNLPDZT3dg

1.2.1.爱沙尼亚新闻部发布数据安全建议

4月5日，爱沙尼亚数据保护监察局（DPI）根据最近的数据泄露发布了数据安全建议。爱沙尼亚新闻部建议采取以下措施：确保对个人数据进行强加密，并在长期存储特别敏感数据的情况下，考虑使用假名化；使用强密码规则或至少双因素身份验证；使用有效的监控系统和日志来监控系统活动；制定合理明确的事件响应计划；增强员工意识；进行定期测试和审计，以识别系统中的潜在弱点；让数据保护专家参与早期解决数据安全问题；应用公认的标准，如爱沙尼亚信息安全标准或ISO-27001；记录所有已采取的措施和事件说明。

来源：

https://www.aki.ee/uudised/andmeturbe-soovitused

1.2.2.法国数据保护机构发布人工智能系统发展建议

4月8日，法国数据保护机构（CNIL）发布了关于人工智能（AI）系统发展的建议，以适应即将生效的新欧洲人工智能法规。初步基于AI系统开发的全流程提出了七步建议：明确AI训练的目的目标、明确角色与责任、确定数据处理的合法性依据、确保重新使用数据用于AI训练的合法性、确保数据最小化、明确数据留存期限、开展数据保护影响评估DPIA。

来源：

https://www.cnil.fr/fr/les-fiches-pratiques-ia

1.2.3.以色列隐私保护局发布源代码安全风险管理指南

4月10日，以色列隐私保护局（PPA）发布了在数据库系统中使用开源代码时管理信息安全风险的指南。该指南就如何使用开源代码并将其集成到系统中提供了建议和说明，强调了使用开源代码的安全风险，例如：缺乏对组件的了解、缺乏足够的维护和支持、对数据库已知弱点的未受控访问、未知的零日漏洞和后门。同时，PPA建议在纳入开源代码之前通过设计实现隐私。

来源：

https://www.gov.il/he/pages/open_source_code

2.1.1.国家金融监督管理总局发布《反保险欺诈工作办法（征求意见稿），涉及多项个人信息保护要求

4月11日，为防范化解保险欺诈风险，保护保险消费者合法权益，推进保险业高质量发展，国家金融监督管理总局发布《反保险欺诈工作办法（征求意见稿）》，面向社会公开征求意见。《征求意见稿》共六章37条，包括总则、反欺诈监督管理、保险机构欺诈风险管理、反欺诈行业协作、反欺诈各方协同、附则等内容。

就个人信息保护，《征求意见稿》第10条将个人信息保护情况列入检查和评价保险机构欺诈风险管理体系的健全性和有效性的重要内容；第19条要求保险机构应依法处理和使用消费者个人信息和行业数据信息，保证数据安全性和完备性；第27条要求银保信公司、地方保险行业协会和反欺诈组织、保险机构等应严格遵守个人信息保护法律法规，加强个人信息全生命周期管理，建立信息收集、存储、使用、加工、传输、提供、删除等制度机制，明确信息使用用途和信息处理权责，严格管控信息使用的范围和权限。未经信息主体授权或法律法规许可，任何机构不得以书面形式、口头形式或者其他形式对外公开、提供个人信息。

来源：

https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1157937&itemId=951&generaltype=2

2.1.2.国家标准《数据安全技术 基于个人请求的个人信息转移要求》公开征求意见

4月3日，全国网络安全标准化技术委员会公开发布国家标准《数据安全技术 基于个人请求的个人信息转移要求（征求意见稿》。《征求意见稿》明确，该国家标准规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围，以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。主要内容包括个人信息转移的适用范围、个人信息转移行使的条件、个人信息转移行使流程的一般性要求、个人信息转移的自动化处理要求、对代理人或代理机构的要求、不满十四周岁未成年人个人信息转移请求处理的要求、涉及第三方的个人信息转移请求处理的要求、完全以个人信息主体为中心模式的个人信息转移要求、个人信息转入方积极主动模式的个人信息转移要求、代理模式的个人信息转移要求等内容。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403144959&norm_id=20231220162250&recode_id=54528

2.2.1.美国公布《美国隐私权利法案（草案）》

4月7日，美国参议院商务、科学和交通委员会主席Maria Cantwell和众议院能源和商务委员会主席Cathy McMorris Rodgers公布了《美国隐私权利法案（草案）》（The American Privacy Rights Act of 2024）。该草案为美国人制定了明确的国家数据隐私权和保护措施，取缔了现有的各州数据隐私法拼凑构成数据隐私体系的现状，并建立了强有力的执法机制来追究违法者的责任。

具体来说，《草案》确立美国统一的基础数据隐私权，包括赋予个人控制器个人数据的权利，通过制定高于各州的国家隐私保准，取缔目前各州法律数据隐私体系，要求公司收集、保留和使用的数据符合最小必要，并仅限于公司为提供产品和服务实际所需。同时，《法案》明确赋予美国人控制其个人数据去向的权利，包括阻止数据传输或出售；允许个人在公司改变其隐私政策时选择“opt out”；为敏感数据提供更严格的保护，在向第三方传输敏感数据之前，需要确定的明示同意；要求公司允许个人访问、更正、删除和导出其个人数据；允许个人选择关闭定向广告等。另外，《法案》还规定了赋予美国人行使数据隐私权的能力、保护美国人的公民权利、追究公司责任并确立数据安全义务等内容。

来源：

https://www.commerce.senate.gov/2024/4/committee-chairs-cantwell-mcmorris-rodgers-unveil-historic-draft-comprehensive-data-privacy-legislation

2.2.2.美国议员引入《儿童和青少年在线隐私保护法》众议院配套法案

4月9日，美国参议员爱德华-马基和比尔-卡西迪以及美国众议员凯西-卡斯特和蒂姆-沃尔伯格宣布引入《儿童和青少年在线隐私保护法》的众议院配套法案（House companion bill of the Children and Teens’ Online Privacy Protection Act），拟对1998年《儿童在线隐私保护法》（COPPA）进行修订。

《法案》明确，对于儿童或青少年的网站、在线服务、在线应用程序或移动应用程序的运营者，或已知或应知用户是儿童或青少年的网站、在线服务、在线应用程序或移动应用程序的任何运营者，不应为了对儿童或青少年进行个性化广告目的而收集、使用、向第三方披露或保留个人信息；除非收集行为符合特定交易或服务的背景（包括为履行交易或提供产品或服务所必需的收集），或者符合联邦或州法律的要求或特别授权，不得收集儿童或青少年的个人信息；运营者未提供通知的情况下，不得将儿童或青少年的个人信息存储或传输到美国以外；保留个人信息的时间不得超过完成儿童或青少年所请求的履行的交易或提供的服务所合理需要的时间。

来源：

https://www.markey.senate.gov/download/coppa-20-bill-text