域外数据立法动态（9.1—10.15）

 NO.1 

美国加州颁布《健康 AI 法案》和《神经元网络数据法规》

 NO.2 

纽约州通过两项关于未成年人网络保护的法案

 NO.3 

美国网络安全和基础设施安全局和联邦调查局发布《安全设计警示》

 NO.4 

美国政府召开第四次全球集会以打击网络勒索软件

     10月1号，白宫在华盛顿特区召开了国际反勒索软件倡议（CRI）的第四次会议。在为期四天的活动中，该倡议的近70名成员讨论了医疗保健行业应对勒索软件攻击的方法，具体包括：建立CRI基金、设立受害者组织指南、设立私营部门参与工作组（PSEWG）、呼吁在网络空间中负责任的行为、开展使用人工智能来对抗网络攻击活动的专门研究、使用信息共享平台、建立集体网络弹性、加强供应链的网络安全等。

 NO.5 

美国联邦贸易委员会因多次用户数据泄露事件而对万豪公司采取行动

10月9日，美国联邦贸易委员会要求万豪国际公司及其子公司实施信息安全保护计划，以解决2014年至2020年期间发生的三起影响全球超过3.44亿客户的重大数据泄露事件。

对此，万豪方面给出的回应如下：在当天发布拟议和解令中，万豪同意为所有美国客户提供删除相关个人信息的方法。同时，和解令要求万豪应客户要求审查忠诚度奖励帐户，并恢复客户被盗的忠诚度积分；在宣布的单独和解中，万豪同意向49个州和哥伦比亚特区支付5200万美元的罚款，以解决类似的数据安全指控；联邦贸易委员会在本案中没有民事处罚的法律权力。

 NO.6 

美国卫生与公众服务部民权办公室网络安全调查行动

9 月 26 日，美国卫生与公众服务部民权办公室（“HHS OCR”）宣布，已与华盛顿州一家私营医疗服务提供商 Cascade Eye and Skin Centers, P.C.（“Cascade”）就网络安全调查达成和解。

HHS OCR 负责执行《1996年健康保险可携性与责任法案》及其实施细则，其中包括《HIPAA 隐私、安全和泄漏通知规则》（统称 “HIPAA”）。规则要求受监管实体需采取措施保护患者受保护健康信息（“PHI”）的安全。

HHS OCR 调查发现Cascade约有 291,000 份包含电子 PHI的文件受到影响及多项可能违反 HIPAA 安全规则的行为。根据和解条款，Cascade向HHS OCR 支付了25万美元，并实施纠正行动计划以保障电子健康信息的安全。

在和解公告中，HHS OCR 表示勒索软件和黑客攻击是“医疗保健领域的主要网络威胁”，并向所有相关主体提出减轻或预防网络威胁的建议。

 NO.7 

美国卫生与公众服务部民权办公室网络

10月9日，美国一名法官发现谷歌早在8月就滥用了其对搜索引擎的垄断。根据美国司法部在法庭文件中提交的拟议补救措施，谷歌可能不得不中断其部分业务，如Chrome和Android，并与竞争对手共享用户的搜索数据。司法部还考虑限制或禁止谷歌与其他公司签署使谷歌搜索引擎成为其浏览器和手机的默认搜索选项的合同。同时限制谷歌使用搜索结果训练其生成式人工智能模型的权利。

谷歌监管事务副总裁Mulholland表示司法部的相关措施可能会造成重大的用户隐私安全风险。

对此案件，司法部必须在11月20日之前提交一套更精细的补救措施，而谷歌必须在12月20日之前向法院提出自己的解决方案。

9月6日，英国签署了世界上首个具有约束力的人工智能条约——《人工智能与人权、民主和法治框架公约》（以下简称“《公约》”）。公约的主要内容如下：1.1 基本原则：包括“透明度”,“平等和不歧视”和“隐私和个人数据保护”等。1.2 《公约》义务

(1) 补救措施和程序保障

(2) 风险和影响管理：包括评估是否需要暂停或禁止人工智能违反人权、民主或法治要求的某些用途。

1.3 《公约》要求各国对以下三类行为者采取措施:

(1) 公共当局。

(2) 代表公共当局行事的私人行为者。

(3) 不代表公共当局行事的私人行为者。

1.4 有三类人工智能生命周期活动不在《公约》范围之内：

(1) 与保护国家安全利益有关的活动，条件是这些活动必须符合国际法和民主制度。

(2) 尚未投入使用的人工智能系统的研发工作，条件是不妨碍人权、民主和法治。

(3) 欧洲委员会未涉及的与国防有关的事项。

1.5 《公约》不直接适用；每个司法管辖区的立法者都必须在国内法中实施。

1.6 《公约》对公共和私营部门都会产生影。

10月3日，欧盟委员会发布了一份报告，评估了欧盟现行消费者保护法在保护数字空间消费者方面的有效性。包括：《不公平商业惯例指令》（UCPD）、《消费者权利指令》（CRD）和《不公平合同条款指令》（UCTD）。

报告发现，现有的欧盟消费者法律在应对数字环境中目前存在的和新出现的消费者损害方面不够有效。该报告将支持欧盟委员会着手制定名为“数字公平法”的新的欧盟消费者法律的意图。预计新法案将：

(1) 应对数字空间中新的消费者风险，如黑暗模式、成瘾性设计游戏等。

(2) 提供更大程度的统一，进一步减少会员国层面消费者法律的差异。

(3) 确保更好地执法，例如通过使用自动执法工具（如自动市场清查工具），加强消费者主管部门采取联合执法行动的权力。

预计委员会将在未来几年内颁布这项新法规。

欧盟推进人工智能责任指令：统一过失索赔规则与扩大适用范围

10月1日消息，欧盟机构正将注意力转向一项关于将非契约性民事责任规则适用于人工智能的指令提案(所谓的“AI责任指令”)。该提案的目的是为过失索赔制定统一规则。这些规则将涵盖高风险人工智能系统的证据披露和举证责任。

议会研究服务处提出对其范围进行实质性修改提出以下建议：

(1)《人工智能责任指令》应成为直接适用于所有成员国的法规，而不是成员国必须将其纳入本国法律的指令。

(2) 拟议的《人工智能责任指令》的实质范围应扩大到非人工智能软件。

(3) 人工智能责任指令》关于高风险人工智能系统的规定应扩展到 "新确定的关注领域 "和《人工智能法》禁止的人工智能系统。 

(4) 《人工智能责任指令》应明确规定，违反《人工智能法》的的情况下，人工智能系统的输出与任何由此造成的损害之间存在因果关系。

(5) 《人工智能责任指令》应允许索赔人寻求法院命令。

人工智能责任指令应规定人工智能价值链上的共同责任。补充影响评估提出了人工智能价值链上 "公平分担责任负担 "的三种方案。

NO.6 

荷兰数据保护局的罚款决定被荷兰法院暂停执行

9月23日荷兰数据保护局（Dutch DPA）的一项决定因该决定过于严格地解释了“纯粹的商业利益不能成为GDPR第6(1)(f)条规定的合法利益”被荷兰地方法院再次召回。

DPA因一家（匿名）公司在缺乏有效法律依据的情况下处理个人数据而对该公司处以12万欧元的罚款，该公司就罚款决定向荷兰法院提出质疑。荷兰法院做出了有利于该公司的裁决，暂缓执行荷兰DPA的罚款决定。

因为欧盟法院（CJEU）正在审理关于“合法利益”一词解释的初步问题。GDPR第47条明确规定，直接营销（即商业利益）可构成合法利益。即纯粹的商业利益可能不会被明确排除在合法利益之外。通过这一裁决，荷兰法院似乎期待欧盟法院确认荷兰DPA对GDPR第6(1)(f)条的解释过于严格，有碍商业。欧盟法院预计将于10月4日做出判决。

NO.7 

欧盟委员会宣布将对受《通用数据保护条例》约束的非欧盟控制者和处理器附加国际传输的新标准合同条款

9月12日，欧盟委员会宣布将针对受欧盟《通用数据保护条例》（GDPR）域外管辖的非欧盟控制者和处理器进行国际传输个人数据的附加标准合同条款（“附加SCCs”）展开公众咨询。此外，据欧洲数据保护委员会（“EDPB”）称，向受 GDPR 域外管辖的非欧盟控制者和处理者进行的传输，尚无针对向此类控制者和处理者传输个人数据的SCCs。EDPB呼吁欧盟委员会为这类传输制定SCCs，特别是要解决控制者或处理者接收数据时可能面临的相互冲突的国内法律以及包括地方执法机构在内的公共当局的数据访问请求的问题。据悉，欧盟委员会已响应 EDPB 的呼吁。

NO.8 

英国信息专员办公室推出新的数据保护审计框架，帮助企业提高合规性

10月7日消息，英国信息专员办公室（ICO）推出了一个新的审计框架，旨在帮助各机构评估自身是否符合数据保护法的主要要求。该框架使各组织有能力确定必要的步骤，以改进其数据保护实践并创建合规文化。 该框架为组织提供了一个起点，帮助他们评估如何处理和保护个人信息。

该框架是现有问责制框架的延伸，有九个工具包，涵盖以下关键领域：问责制、档案管理、信息和网络安全、培训和意识、数据共享、数据请求、个人数据泄露管理、人工智能、适龄设计。

每个工具包都有一个可下载的数据保护审计跟踪器，可帮助各组织自行进行合规性评估，跟踪在需要改进的领域必须采取的行动。

其他地区

NO.1 

澳大利亚起草法律以打击社交媒体错误信息和虚假信息

9月12日阿尔巴尼斯政府将向议会提出法案，赋予澳大利亚通信和媒体管理局 （ACMA） 新的权力，包括监督数字平台新的信息收集、记录保存、代码注册和标准制定权。该法案将补充自愿性行业规范，但允许 ACMA 在行业自律未能解决错误信息和虚假信息构成的威胁时批准可执行的行业规范或制定标准。同时，为加强言论自由保护，该法案未允许 ACMA 自己删除单个内容片段或用户帐户。

NO.2 

联合国敲定涵盖数字合作领域的未来公约

9月22日世界各国领导人通过了一项未来公约（Pact for the Future）。该公约旨在使国际合作适应当今的现实和未来的挑战，内容涵盖了全新的领域以及几十年来无法达成协议的问题，主要包括：和平与安全、可持续发展、气候变化、数字合作、人权、性别、青年和子孙后代以及全球治理的变革。

该公约于数字合作领域的主要成果为《全球数字契约》（The Global Digital Compact）。《全球数字契约》是未来公约的首个全面的数字合作和AI治理框架。该契约是对数据治理的首个全球承诺，要求各国在2030 年之前采取具体行动。

NO.3 

挪威政府提出《 2030 年国家数字化战略》

9月26日，挪威政府宣布了新的挪威数字化战略，为挪威的数字化设定了明确的目标，包括公共部门现代化、业务发展、打击犯罪和数字基础设施等领域的措施。具体内容如下：

3.1 隐私

到2030年，挪威将确保所有数字化工作中的隐私，包并确保公民的隐私在面对大型科技公司时得到保护。挪威采取的措施包括：

(1) 创建和组织调查数据道德委员会。

(2) 确保对个人保护进行更统一的法律 和监管。

(3) 加强对隐私法规的指导和执行。

(4) 通过在公共采购中要求隐私友好型解决方案，刺激隐私友好型技术的开发和使用。

(5) 促进行业标准、常用工具、经验分享和隐私认证的使用。

3.2 人工智能

挪威将建立人工智能的国家基础设施。到 2025 年 80%的公共企业将采用 AI 解决方案，到 2030 年实现 100% 公共企业采用此类解决方案。

3.3 安全

到 2030 年，挪威将加强国家数字安全和准备，以保障关键的社会功能和基本的国家职能。为此挪威政府将采取以下措施：

(1) 使用数字解决方案以提高态势感知能力并处理复杂的意外事件。

(2) 进一步发展和简化跨部门和行政级别的培训和实践。

(3) 加固挪威在数字空间中开展业务的能力。

(4) 增加打击网络犯罪的投入。

(5) 完善保护儿童和青少年在互联网上的安全所做的预防措施。

(6) 加强网络犯罪的知识库和研究;

(7) 进一步努力建立新的应急网络。

NO.4 

韩国个人信息保护委员会发布基于案例的《数据主体自动决策权利指南》

韩国个人信息保护委员会宣布，从 2024年9月26日起，将实施“个人信息控制者自动决策对策标准”（通知），其中包含公司和机构在人工智能 （AI） 等自动化决策方面必须遵守的事项。

同时，该委员会发布了一份指南，解释了数据主体对自动化决策的权利以及公司和机构根据具体情况采取的措施。

NO.5 

韩国个人信息保护委员会和法国国家信息与自由委员会在人工智能政策方面的合作

9月27日，韩国个人信息保护委员会和法国国家信息与自由委员会在法国巴黎召开了第三届人工智能政策会议。会议上，个人信息保护委员会就准备并推动的人工智能风险评估模型的主要内容以及信息自由委员会于7月发布的部署生成式AI注意事项的主要内容交换了信息。

自从相关商业协议签署以来，个人信息委员会一直在定期召开人工智能政策会议。这两个组织基于对人工智能时代安全个人信息利用系统重要性的共识而不断沟通。在第一次政策咨询会上（2024年2月24日），个人信息委员会分享了《非结构化数据假名化标准》的主要内容，信息自由委员会介绍了指南（“AI How-to Sheets”）的目的和内容，其中包含在开发和分发人工智能时处理个人信息的原则。在第二届政策审议会上，个人信息委员会分享了《人工智能开发和服务发布的个人信息处理指南》的主要内容，信息自由委员会解释了第二版个人信息指南（“AI How-to Sheets”）的主要内容，用于 AI 开发和部署。个人信息保护委员会和信息自由委员会计划在个人信息保护政策合作和提高意识等各个领域扩大密切合作。

NO.6 

澳大利亚信息专员办公室发布《2024 年信用报告准则》

10月1日，澳大利亚信息专员办公室（OAIC） 发布了新的2024年信用报告准则，该准则加强了对澳大利亚人信用信息的隐私保护，并为行业提供了更清晰的义务。信用报告准则对信贷提供者和信用报告机构必须如何处理澳大利亚人的信用信息制定了严格的规定，该准则在谨慎处理信用信息并在信贷提供者访问信用信息的需求和确保澳大利亚人的隐私得到保护之间取得了适当的平衡。

具体体现在如下内容：

(1) 改进了解释材料，以更好地解释信用规则如何适用。

(2) 通过确保个人可以在最少的证据下延长对其信用报告的禁令，增加对欺诈受害者的支持。

(3) 为已禁止信用报告的欺诈受害者提供免费警报系统。

(4) 能够在一个请求中更正由欺诈事件导致的个人信用报告中的多条错误信息。

(5) 将家庭暴力视为个人无法控制的情况。

(6) 提高信用报告机构和银行在遵守隐私义务方面的透明度。

NO.7 

比利时数据保护局发布《智慧城市数据保护报告》

2024年3月1日举行研讨会后，比利时数据保护局 （Belgian DPA）于2024年10月9日发布了一份关于智慧城市数据保护的报告。

该报告的主要内容：

该报告提出了智慧城市如何在保护个人隐私的同时处理出行数据的问题。

该报告还包含研讨会参与者在以下领域提出的建议：

(1) 数据最小化：继续投资和采用隐私增强技术 （PET）。

(2) 透明度和同意性：确保向主体进行透明的沟通和信息传播，促进对算法系统的问责制。

(3) 数据访问：一些发言者强调需要让公民控制他们的数据，使创新的欧洲公司能够访问，采用欧洲通用数据空间来促进数据流，以及通过采用数据去中心化来避免单点故障。

NO.8 

东盟-美国领导人关于促进安全、可靠和值得信赖的人工智能的声明

2024年10月11日东南亚国家联盟（ASEAN）和美利坚合众国（United States）成员国齐聚第12届东盟-美国在老挝人民民主共和国万象举行的峰会；该峰会强调在释放人工智能（AI）的巨大潜力的同时降低风险的共同利益。双方承诺：

(1) 加强东盟-美国全面战略伙伴关系。

(2) 促进可持续发展，加强人工智能系统的安全性、保障性和可信度。

(3) 进一步在人工智能方面开展合作。

(4) 合作开发可互操作的人工智能治理方法和框架。

(5) 合作研发人工智能。

(6) 就 AI 治理框架和标准之间的国际方法和互操作性进行合作。

(7) 帮助弥合 AI 鸿沟，和其他数字鸿沟。

(8) 促进人工智能发展的包容性，释放人工智能的经济潜力。

(9) 增强青年、妇女、农村人口和弱势社区的权能。

(10) 作加强和建设我们的集体数字和网络能力。

(11) 共同努力促进对知识产权（包括版权）的尊重，提高透明度。

(12）说明数字团结的重要性。

(13) 推进一个积极、尊重权利的网络空间和数字技术愿景。

(14) 申明网络安全、数据安全、数据保护和网络弹性对人工智能系统和经济增长至关重要。

(15) 探索提高公众对 AI 安全重要性以及滥用 AI 技术可能带来的风险的认识和教育的举措。

(16) 共同努力，确保负责任地使用 AI，包括以尊重人权、隐私和个人数据保护的方式使用 AI。

(17) 促进、构建和维护一个开放、包容、安全和有弹性的数字生态系统，作为 AI 系统的有利环境。

(18) 申明在 AI 系统的整个生命周期内尊重、保护和促进人权的重要性。

(19) 将人工智能、数字经济和网络安全纳入相关交流计划，重点是为政府官员和中小微企业提供培训。

(20) 强调私营部门为提高东南亚劳动力技能所做的努力。