国际资讯 | 德国联邦金融监督局公布DORA实施准则等（7.16-7.18）

德国联邦金融监督局公布DORA实施准则

2024年7月8日，德国联邦金融监管局(BaFin)公布了《数字运营弹性法案》(DORA)的实施指南。BaFin表示，该准则旨在支持公司执行DORA对常规信通技术风险管理和信通技术第三方风险管理的要求。该准则还概述了受监管公司必须与信通技术第三方服务提供商达成的最低标准的合同内容。

资讯来源：

https://www.dataguidance.com/news/germany-bafin-publishes-implementation-guidelines-dora

原文链接：

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2024/meldung_2024_07_08_DORAGap.html

新加坡个人数据保护委员会提出合成数据生成指南

2024年7月15日，新加坡个人数据保护委员会（PDPC）推出了一份关于合成数据生成的拟议指南，以帮助组织了解合成数据（SD）生成技术和潜在的用例，尤其是针对AI方面。SD已经作为一种越来越多被使用的隐私增强技术（PET）出现。

一个潜在的重要用例是通过支持人工智能模型训练来推动人工智能的发展，同时保护底层个人数据。SD还通过增强训练数据集来解决与AI模型训练的数据数量和质量相关的挑战（例如，数据不足或有偏差）。该指南将作为隐私增强技术沙盒中的资源提供，其中还包括生成SD时采用的良好实践清单，以防止任何可能的重新识别风险。

资讯来源：

https://www.pdpc.gov.sg/news-and-events/announcements/2024/07/proposed-guide-to-synthetic-data-generation-now-available

原文链接：

https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/other-guides/proposed-guide-on-synthetic-data-generation.pdf

美国华盛顿特区总统办公室发布备忘录公布2026财年管理网络安全方面优先事项

2024年7月10日，美国华盛顿特区总统办公室发布主题为“2026财年（FY）管理网络安全优先事项”的备忘录，该备忘录概述了政府跨机构网络安全投资优先事项，以制定提交给管理和预算办公室（OMB）的2026财年预算。国家网络安全战略（NCS）强调了加强国家网络安全态势的五大支柱：

• 保卫关键基础设施；

• 瓦解和摧毁威胁行为者；

• 塑造市场力量以推动安全性和弹性；

• 投资有弹性的未来；

• 建立国际伙伴关系，追求共同目标。

OMB和国家网络指挥办公室（ONCD）将共同审查机构对2026财年预算提交中这些优先事项的回应，确定潜在的差距，并确定这些差距的潜在解决方案。OMB将与ONCD协调，向各机构提供反馈，说明其提交的文件是否充分涉及并符合总体网络安全战略和政策。

资讯来源：

https://www.whitehouse.gov/wp-content/uploads/2024/07/FY26-Cybersecurity-Priorities-Memo_Signed.pdf

德国汉堡数据保护和信息自由专员办公室（HmbBfDI）发布关于《通用数据保护条例》（GDPR）和大型语言模型的讨论文件

2024年7月15日，德国汉堡数据保护和信息自由专员办公室（HmbBfDI）发布了一份关于《通用数据保护条例》（GDPR）和大型语言模型（LLM）之间关系的讨论文件。

该文件旨在解决处理与LLM技术相关的数据保护问题，其中包含对LLM技术方面的解释，以及根据欧盟法院（CJEU）相关判例法对LLM进行的评估。

该文件特别指出，仅存储LLM并不构成GDPR意义上的处理。如果个人数据是在支持LLM的人工智能系统中处理的，则处理行为必须符合GDPR的要求。由于LLM中没有存储个人数据，GDPR规定的数据主体权利与模型本身无关，但是，数据主体可以要求提供商或运营商针对向人工智能系统输入和输出的信息行使访问、删除或更正权。

资讯来源：

https://datenschutz-hamburg.de/news/hamburger-thesen-zum-personenbezug-in-large-language-models

文章全文：

https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/240715_Diskussionspapier_HmbBfDI_KI_Modelle.pdf

法国数据保护局公布关于欧盟AI法案和GDPR的常见问题

2024年7月12日，法国数据保护局（CNIL）在、发布了一系列关于欧盟人工智能法案（AI法案）和GDPR的常见问题回复。

其中CNIL详细介绍了AI法案和GDPR如何相互作用，以及GDPR适用于所有个人数据的处理，无论是在开发期间还是在人工智能系统的使用或部署期间。值得注意的是，CNIL澄清说, AI法案在具体领域取代了GDPR，即：

• 执法机构在公共场所使用实时远程生物识别技术；

• 允许对敏感数据进行处理，以检测和纠正可能造成伤害的潜在偏差，如果绝对必要，并采取适当的保护措施；

• 允许在人工智能监管沙箱环境中重复使用个人数据，包括敏感数据。

CNIL还规定，GDPR下的透明度措施纳入了AI法案，AI系统的提供者和部署者可以依靠已经开展的数据保护影响评估（DPIA）作为AI法案要求的基本权利影响评估。

资讯原文：

https://www.dataguidance.com/news/france-cnil-publishes-faqs-eu-ai-act-and-gdpr

文件原文：

https://www.cnil.fr/en/entry-force-european-ai-regulation-first-questions-and-answers-cnil

巴西关于修订适用于电信行业的网络安全法规的提案批准通过

2024年7月4日，巴西《电信行业网络安全法规修订提案》（2020年12月21日第740号决议）被批准通过。在获批后，所有涉及集体利益的电信服务提供商，无论规模大小，都必须遵守法规第8条，该条旨在减少提供给电信服务消费者的设备中存在的漏洞。

此外，该修订提案还扩大了受事前控制的实体范围，包括国际海底电缆运营商、拥有自己网络的个人移动服务供应商以及在提供流量的网络运营商等。

为了加强监管实体之间的透明度和协调，修订提案规定，所有供应商必须按照第2-C条的规定，当需要采取强制性措施时向国家数据保护局（ANPD）通报安全事件。

另一项重要修改涉及鼓励行业创新的条款，如第7条第3款和第4款允许供应商雇用初创企业，而无需遵守某些网络安全要求，只要他们确保遵守该法规的规定即可。这为创新技术公司提供一定免责的空间。同时，更熟悉这些网络安全义务的提供商也能够控制相关风险。

资讯来源：

https://www.gov.br/anatel/pt-br/assuntos/noticias/conselho-diretor-aprova-proposta-de-alteracao-do-regulamento-de-seguranca-cibernetica-aplicada-ao-setor-de-telecomunicacoes

美国联邦贸易委员会诉Kochava公司，指控其出售地理位置信息

美国联邦贸易委员会（FTC）对数据经纪商Kochava Inc.提起诉讼，指控其出售来自数亿移动设备的地理位置数据，这些数据可用于追踪揭示个人往返敏感地点的行踪，包括个人前往生殖健康诊所、礼拜场所、无家可归者和家庭暴力受害者的庇护所以及戒毒康复机构的情况。

FTC称，Kochava通过出售个人数据，使数据主体面临污名化、跟踪、歧视、失业甚至人身暴力的威胁。FTC的诉讼旨在阻止Kochava出售敏感地理位置数据，并要求该公司删除其收集的敏感地理位置信息。该案件尚无判决结果。

资讯来源：

https://www.ftc.gov/legal-library/browse/cases-proceedings/ftc-v-kochava-inc

土耳其个人数据保护局宣布Uber公司发生数据泄露事件

2024年7月10日，土耳其个人数据保护局（KVKK）披露了Uber Technologies Inc.的数据泄露事件。KVKK称，Uber已根据第6698号《个人数据保护法》第12（5）条的要求上报了数据泄露事件。

KVKK指出，2024年7月2日，Uber收到了一封电子邮件，发件人表示打算公开可能来自Uber的个人数据。目前尚未确定数据泄露发生的时间和来源，调查仍在进行中。此次数据泄露事件将波及Uber用户，包括乘客、订餐者、司机、送餐员等。受影响的数据主要包括Uber用户的数据截图，包括姓名、电子邮件地址、电话号码、个人资料照片、注册日期等信息。就司机和/或送餐员而言，受泄露影响的数据包括驾驶执照、保险详细信息、身份证、车辆注册信息等。

资讯来源：

https://www.dataguidance.com/news/turkey-kvkk-announces-uber-data-breach 

01