编译 | 唐海林、韩嘉艺、陆梅

审校 | 张金平、张奕欣、邢潇

指导编制 | 卓子寒

1.欧洲委员会公布《108号公约》框架下跨境数据转移的示范合同条款

2023年6月27日，欧洲委员会宣布，根据《关于在自动处理个人数据方面保护个人的公约》（《108号公约》）的修订议定书，通过了跨境数据传输合同示范条款的第一个模块。欧洲委员会强调，该示范条款规范了数据控制者之间的数据流动，并且已准备好由国家当局预先审核，以便将其纳入国家和区域转让文书和机制。这些条款可以被纳入更广泛的合同中，或添加到其他条款或额外的保障措施中，前提是后者不与示范条款或适用的法律相抵触，也不损害《108号公约》所承认的人权和基本自由。在管理方面，示范条款将受数据出口方所在国家法律管辖，除非该国不承认第三方受益人。与其他合同条款一样，示范条款概述了各方的权利和义务，包括与数据安全相关的要求、继续转移、通用数据处理原则、数据主体权利以及与政府访问个人数据相关的义务。

https://www.dataguidance.com/news/international-coe-publishes-model-contractual-clauses

2.英国和新加坡签署新技术与数据合作两方面的谅解备忘录

2023年6月27日，英国副首相奥利弗和新加坡通信与信息部长约瑟芬签署了两份谅解备忘录：《新兴技术谅解备忘录》和《数据合作谅解备忘录》。具体而言，《新兴技术谅解备忘录》旨在加强两国在新兴技术领域的合作。双方承诺共享建设5G网络等电信基础设施方面的经验，以提高未来的连接性。此外，他们将推动人工智能领域的商业合作，并寻找可复制的“可信”人工智能应用，同时调整使用人工智能的技术标准。另外，英国国家卫生系统和新加坡国家人工智能办公室还将开展合作研究，探索人工智能如何改善对患者的医疗服务和支持。《数据合作谅解备忘录》则致力于加强两国在数据领域的合作与交流。双方将促进数字贸易发展，相互学习数据如何改善公共服务和政府效率的经验。为此，双方将建立战略性政府间对话平台，讨论国内数据监管、保护和国际数据传输等议题。双方还将共享研究成果，探索如何利用数据提供更好的公共服务和促进经济增长，以及致力于制定发布匿名化政府数据集的新标准，以改善全球合作，并分享政府内和政府与企业间数据管理的最佳实践。

https://www.dataguidance.com/news/international-uk-and-singapore-ministers-sign-memoranda

3.美国总统拜登就抓住人工智能机遇和管理人工智能风险发表声明

2023年6月20日，美国白宫发表了一份拜登总统关于抓住人工智能机遇和管理人工智能风险的声明。在新闻发布会上，拜登总统听取出席专家对人工智能的前景及其风险发表的意见。拜登总统表示，在抓住人工智能带来的机遇时，要管理其对社会、经济和国家安全的风险，并强调政府致力于维护美国人的权利和安全，保护隐私、解决偏见，并确保人工智能系统的安全性。对此，拜登总统指出，美国国会需要通过隐私立法，对个人数据收集设定严格限制，禁止针对儿童的定向广告，并要求公司将健康和安全放在首位。

https://www.dataguidance.com/news/usa-president-biden-issues-statement-seizing

4.欧洲数据保护组织联合会发布人工智能和个人数据常见问题指南

2023年6月16日，欧洲数据保护组织联合会（CEDPO）发布了人工智能和个人数据指南。CEDPO强调，该指南旨在为数据保护官员（DPO）提供帮助，并回答了有关数据保护与人工智能和机器学习软件交叉领域的问题。该指南涵盖以下内容：一是GDPR对人工智能和机器学习的适用性；二是自动化处理的范围；三是人工智能与机器学习和数据处理之间的互动；四是ChatGPT和生成式人工智能；五是欧洲议会和制定人工智能统一规则理事会（AI法案）的条例提案范围。此外，指南还强调DPO应与组织中的其他利益相关者合作，确保人工智能技术和系统的透明性和公平性，并按照GDPR的规定使用人工智能。

https://www.dataguidance.com/news/eu-cedpo-issues-faqs-guide-ai-and-personal-data-dpos

5.欧盟法院裁定数据主体有权访问个人数据的咨询日期和理由

2023年6月22日，欧盟法院（CJEU）宣布，根据东芬兰行政法院提出的一项初步裁决请求，就C-579/21案（PankkiS案）作出了裁决。具体而言，行政法院受理的案件涉及PankkiS银行的一名前员工，该数据主体的个人数据被该银行的工作人员查阅，当时数据主体仍在职，同时也是该银行的一名客户。随后，当数据主体要求银行提供有关查阅其客户资料的员工身份、具体查阅日期以及数据处理目的等信息时，该银行拒绝透露进行咨询操作的员工身份。CJEU解释了《通用数据保护条例》（GDPR）第15条查阅权的范围，认为数据主体有权从数据控制者那里获取与其个人数据咨询操作有关的信息，包括操作的日期和目的。然而，GDPR并未规定数据主体有权获取执行这些操作的员工身份的权利，除非该信息对数据主体有效行使权利至关重要；而且数据主体查阅权的行使原则上不应当对他人自由造成侵害。最后，CJEU裁定，数据控制者从事银行业务并在受监管活动框架内行事，而数据主体同时也是一名雇员，这一事实原则上不影响GDPR第15条赋予数据主体的权利。

https://www.dataguidance.com/news/eu-cjeu-holds-data-subjects-have-right-access-date-and

6.新加坡网络安全局发布《2022年新加坡网络全景报告》

2023年6月23日，新加坡网络安全局（CSA）公布了《2022年新加坡网络全景报告》，概述了2022年遇到的网络安全威胁。该报告显示，2022年报告的网络钓鱼达到8,500起，相比2021年报告的3,100起，增长了两倍以上，其中80%以上的钓鱼网站伪装成银行和金融服务部门。相比之下，勒索软件和感染基础设施的案件数量较2021年减少了13%。考虑到2022年发生的备受瞩目的数据泄露事件，该报告强调了2023年勒索软件的潜在增长。此外，报告指出，人工智能越来越容易访问，也越来越先进，第三方可能会利用这种技术进行恶意活动，从而来带风险。例如，第三方可能会使用人工智能冒充高管，以促进账户接管、商业欺诈或影响企业的股价。最后，报告指出了财务压力和生活成本上升带来的风险，网络安全预算收紧和资源减少可能导致组织内部网络安全状况不佳。

https://www.dataguidance.com/news/singapore-csa-publishes-singapore-cyber-landscape-2022

7.英国国家网络安全中心更新风险管理指南

2023年6月26日，英国国家网络安全中心（NCSC）宣布，已经更新了风险管理指南，并在原有的指南中增加三个新的部分。NCSC表示，其目的是为现代技术系统和服务提供实用的建议，并明确指出新的部分包括以下内容：一是八步网络安全风险管理框架，帮助公司了解对适用于其组织的良好风险管理方法；二是网络安全风险管理工具箱，NCSC强调风险管理并非一种适合所有情况的通用方法，随着新技术的出现，工具箱的内容将不断增加；三是基本的风险评估和管理方法，适用于刚接触风险管理的个人，或有非常简单的风险管理要求的个人，但该方法不适用于复杂的风险管理情景，也不打算作为“NCSC认可”的风险管理方法使用。

https://www.dataguidance.com/news/uk-ncsc-updates-risk-management-guidance

8.美国卫生与公众服务部民权办公室宣布与亚基马谷纪念医院达成24万美元和解

2023年6月16日，美国卫生与公众服务部民权办公室（OCR）宣布与亚基马谷纪念医院就涉嫌违反《健康保险便携性和责任法》（HIPAA）达成24万美元的和解协议。早在2018年5月，OCR在收到违规举报后，就对亚基玛谷纪念医院展开了调查。据查证，该医院急诊科的23名保安非法访问了医院电子病历系统中419名患者的病历。为解决此事，亚基马谷纪念医院同意向OCR支付24万美元，并签署和解协议，以及制定计划更新隐私政策和完善医疗记录的访问程序，更好地保护健康信息，并对其员工进行培训，以防止今后再次出现此类违规查阅行为。根据和解协议，该医院将由OCR监控两年，以确保其符合HIPAA规定。OCR强调，医疗机构必须确保员工只能访问工作所需的患者信息，受HIPAA监管的实体必须制定健全的政策和程序，以确保患者健康信息免受身份盗窃和欺诈的侵害。

https://iapp.org/news/a/ocr-issues-240k-fine-over-records-snooping/

9.罗马尼亚国家个人数据处理监管局对Artima违反数据安全规定处以8000欧元罚款

2023年6月16日，罗马尼亚国家个人数据处理监管局（ANSPDCP）宣布对Artima处以8000欧元的罚款并采取纠正措施。ANSPDCP根据Artima的数据泄露通知启动了对该公司的调查，发现Artima的员工曾访问视频监控系统，并用个人手机拍摄了视频中的监控画面。其中一名员工将这段视频发送给了第三方，后者将其发布在脸书上。因此，ANSPDCP认为，Artima没有实施足够的技术和组织措施，确保与处理风险相适应的安全水平，并确保数据处理的机密性。据此认定Artima违反了GDPR第32(1)(b)、32(2)和32(4)条的规定，ANSPDCP对其处以8000欧元的罚款，并要求Artima采取纠正措施，避免类似安全事件再次发生。

https://www.dataguidance.com/news/romania-anspdcp-fines-artima-8000-data-security

10.美国联邦贸易委员会指控基因检测公司1Health存在数据隐私泄露问题

2023年6月16日，美国联邦贸易委员会（FTC）指控基因检测公司1Health没有积极履行保护消费者基因和健康数据等敏感信息的义务，并在没有充分通知和获得消费者同意的情况下追溯性地更改隐私政策。FTC表示，1Health公司使用DNA检测结果以及消费者提供的信息，为消费者提供健康报告。该公司承诺在一个“负责任、透明和安全的环境中收集、处理和存储个人信息”，只会在有限的情况下分享消费者的敏感健康和其他个人信息。但FTC指出，1Health公司宣传其隐私和安全性“非常可靠”，但从2016年开始，该公司并没有实施任何政策，确保分析DNA样本的实验室销毁用户的信息。2020年，该公司私自更改隐私政策，追溯性地扩大了共享消费者数据的第三方类型。此外，FTC表明，1Health公司的消费者健康报告和原始遗传数据存储在亚马逊云可公开访问数据库中，其数据处理方式可能导致消费者的敏感数据面临潜在风险。对这些数据，该公司不仅没有加密，也没有限制访问，更没有记录或监控对数据的访问。鉴于上述情况，FTC认定1Health公司违反了《联邦贸易委员会法》的规定，要求其支付75000美元并采取相应更正措施。

https://www.dataguidance.com/news/usa-1health-pay-75000-settle-privacy-and-security

11.美国德克萨斯州州长签署《数据隐私和安全法案》

2023年6月18日，美国德克萨斯州州长签署了《数据隐私和安全法案》，该法案将于2024年7月1日在德克萨斯州正式生效。该法案主要适用于：一是在德克萨斯州开展业务或向本州居民提供产品或服务的个人或企业；二是处理或参与个人数据的销售；三是不属于美国小企业管理局定义的小企业，但法案规定的豁免组织除外；值得注意的是，该法案不适用因个人或家庭活动处理个人数据的情形，以及不包括受《健康保险可携带性和责任法案》（HIPAA）约束的实体、非营利组织和高等教育机构等。此外，该法案还规定了数据处理原则，包括目的限制，以及个人数据的保密性、完整性和可访问性等，并详细说明了控制者在拥有未识别数据时必须采取的步骤。德克萨斯州总检察长（AG）拥有该法案的专属执行权，可以发布民事调查要求。根据该法案，违反规定的个人可能面临每项违规行为不超过7500美元的罚款。

https://www.dataguidance.com/news/texas-bill-data-privacy-and-security-act-signed

12.英国信息专员办公室发布隐私增强技术新指南

2023年6月19日，英国信息专员办公室（ICO）宣布正式发布新的隐私增强技术（PETs）指南，此前在2022年已经对该草案进行了公众咨询。该指南主要面向数据保护官员（DPO）和其他在金融、医疗保健、研究以及中央和地方政府中使用大型个人数据集的人员。PETs第一部分的重点在于介绍如何遵守数据保护法，第二部分采用了更具技术性的方法，详细说明了目前可用的PETs类型。此外，ICO敦促各组织在共享个人信息时使用PETs，以确保数据的安全性、保密性和匿名性，并指出PETs可用于：一是共享匿名个人信息，以便检测和预防金融犯罪和相关危害，如欺诈、洗钱和网络犯罪；二是通过提供安全的环境、自项目启动就构建数据保护，最大限度地减少需要收集和保留的数据量，帮助企业遵守数据保护原则。

https://www.dataguidance.com/news/uk-ico-issues-new-guidance-privacy-enhancing

13.西班牙数据保护局对沃达丰公司非法处理个人数据处以7万欧元罚款

2023年6月21日，西班牙数据保护局（AEPD）宣布对沃达丰公司处以7万欧元罚款的决定。AEPD指出，投诉人称沃达丰公司在未经其同意的情况下，向第三方提供了SIM卡副本，导致第三方借此实施银行转账欺诈行为。AEPD经调查发现，沃达丰公司未根据适当的法律依据处理投诉人的个人数据，违反了GDPR第6(1)条的规定。后因该公司自愿支付罚款，并主动承担责任，最终将罚款数额减少至56000欧元。

https://www.dataguidance.com/news/spain-aepd-imposes-70000-fine-vodafone-españa-3