全球数据立法&监管月报|2024年8月刊

国内数据法规政策动态

2024年8月30日，国务院总理李强主持召开国务院常务会议，会上审议通过《网络数据安全管理条例（草案）》等。

会议指出，要对网络数据实行分类分级保护，明确各类主体责任，落实网络数据安全保障措施。要厘清安全边界，保障数据依法有序自由流动，为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。

来源：司法部

2024年8月28日，在2024中国国际大数据产业博览会上，国家数据局党组书记、局长刘烈宏表示，“国家数据局在前期充分调研基础上，正会同有关部门研究制定产业发展政策，目的就是要抓住数据产业成长的战略机遇，培育数据企业，塑造产业生态，将我国规模市场优势、海量数据优势转化为产业优势，提高我国数据产业竞争力。”

刘烈宏称，主要政策考虑包括三方面：

一是优化产业布局。顺应数据产业发展方向和趋势，加强产业规划布局，优化产业结构。围绕产业链协同，大力推动数据开发开放，构建大中小企业融通发展、产业链上下游协同创新的生态体系。立足比较优势，引导各地在资源汇聚、技术创新、应用牵引、算力支撑等方向，打造一批协同互补、特色发展、具有国际竞争力的数据产业集聚区。

二是培育多元经营主体。数据要素市场化配置改革，对数据合规高效流通利用提出更高要求，数据经纪、数据托管、数据交易等新的服务业态快速兴起，数据安全可信流通、数据基础设施建设运营市场也呈现增长态势，数据服务企业、数据安全企业、数据基础设施企业正在迎来新的发展机遇。我们将加强引导，支持不同类型的数据企业公平竞争、加快发展。

三是强化政策保障。瞄准科技发展方向和国家重大战略需求，推动数据领域技术攻关；用好政策、投资等手段，支持数据产业发展；推进产学研合作，加快数据领域学科体系和人才队伍建设。国家数据局党组成员、副局长陈荣辉在2024中国国际大数据产业博览会开幕式上重点介绍了数据产业和企业数据资源开发利用两个政策的起草情况 。

此外，国家数据局党组成员、副局长陈荣辉也公开称，有关公共数据、企业数据资源开发利用的两份文件将于今年年内陆续出台，个人数据资源开发利用的相关政策也在加紧研究当中，未来将通过更有针对性、更具操作性的政策指引，让企业有感、市场有感。

来源：财联社

2024年08月27日，中欧数据跨境流动交流机制第一次会议以视频方式举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德出席开幕式并致辞，正式宣布建立中欧数据跨境流动交流机制。会议就双方企业关于数据跨境流动的具体问题以及数据跨境流动监管框架进行了坦诚、深入、富有建设性的交流。中国国家互联网信息办公室、外交部、商务部、工业和信息化部、国家数据局，欧盟委员会贸易总司、司法与消费者总司、通信网络、内容和技术总司、欧盟驻华代表团相关负责人参加会议。

中欧数据跨境流动交流机制由中国国家互联网信息办公室和欧盟委员会贸易总司牵头，通过召开会议等方式交流相关政策和实践，促进中欧数据跨境流动。

来源：中国国家互联网信息办公室

2024年8月7日，全国网络安全标准化技术委员会秘书处发布了《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》（以下简称《征求意见稿》），旨在解决互联网平台因业务调整、运营不善或合规不力等原因停服后用户数据的处理问题。《征求意见稿》根据《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规，提出了互联网平台停服数据处理的基本要求和重要数据的处理要求。

《征求意见稿》定义了“停服”为平台因合并、分立、解散、破产等原因不再提供产品或服务。它要求自停服之日起，平台应停止收集个人信息和重要数据，及时处置不再提供服务的App、小程序等，并在转移数据前明确方案并通知用户。

互联网平台运营者应于平台停服之日前至少30个工作日发布个人信息处置公告，内容包括个人查阅、复制、下载、转移、删除个人信息的处置时限与途径，平台隐私政策已转移或删除个人信息的情况，拟转移或删除个人信息对个人权益的影响等。公告时长不得少于30个工作日，这期间涉及交易、支付、金融账户等敏感个人信息的，平台应当以电话、短信、即时通信工具等方式通知个人。

平台决定停服后，用户个人信息可能面临被转移、继续保存、删除等处理，《征求意见稿》分别对此作出要求。

如果停服后将个人信息转移给接收方，掌握1000万人以下个人信息的互联网平台运营者应当于处置公告时限届满后，向提供与其业务相关的产品或服务、且明确承诺继续接受平台隐私政策约束的接收方转移个人信息。接收方应当继续履行个人信息保护义务，变更原先的处理目的、处理方式的，应当重新取得个人同意。

三种情况下的平台运营者，可以继续保存个人信息。一是涉及互联网保险销售、网络支付、信托登记等业务，或者履行配合反洗钱等法定职责、义务，确需继续保存用户身份信息、交易记录；二是以预收款方式提供产品、服务，或者提供代收费的互联网平台，在退回相关款项前保存用户身份信息、缴费记录、计费记录等；三是为配合公安机关侦查打击违法犯罪，确需继续保存相关数据的。

在继续保存的过程中，还应采取一系列必要措施。比如，将继续保存的个人信息单独存储，明确个人信息保护负责人；应规范内部访问权限、流程，采取加密等技术措施和其他必要措施；法律、行政法规以及有关部门规定的保存期限届满的，应当删除个人信息。

在个人信息删除方面，互联网平台运营者掌握的个人信息若在1000万人以下，应当于处置公告时限届满后，主动删除个人信息，符合转移和继续保存要求的除外；平台运营者宜自行或者委托第三方机构对删除效果进行评估，并将评估结果向社会公开。

针对掌握重要数据、1000万人以上个人信息的互联网平台运营者，则有更严格的要求。《征求意见稿》规定，其应当于平台停服之日前至少45个工作日，按照国家有关规定报告重要数据或个人信息处置方案。

具体来看，方案内容包括重要数据或个人信息情况，比如规模、范围、种类、敏感程度，拟删除、转移、保存后可能带来的风险，采取的安全措施以及措施的有效性等；接收方处理重要数据或个人信息的目的、范围、方式，接收方能承诺承担的义务，以及履行数据安全保护义务的管理和技术措施、能力等。

另外，具备上述资质的互联网平台运营者应当委托第三方机构对删除效果进行评估，确保重要数据和个人信息不可被识别、恢复，评估报告应当至少保存三年。因停服需要转移数据的，涉及重要数据和核心数据备案内容发生变化的，应当履行备案和变更手续。

来源：南方都市报

全文链接：

https://www.tc260.org.cn/upload/2024-08-07/1723012439326014571.pdf

2024年8月22日，全国旅游标准化技术委员会近日发布旅游行业标准《旅游大数据安全与隐私保护要求》（征求意见稿）（以下简称“征求意见稿”），公开征求意见。

征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出规范。适用于旅游管理和服务机构开展旅游大数据收集、传输、存储、提供与公开、使用与加工等过程中的安全管理组织、人员安全管理、相关系统建设等，也可为有关部门对旅游大数据相关活动进行监管管理提供参考。

征求意见稿对“游客个人敏感信息”作出定义，是指极易导致游客个人名誉、身心健康受到损害或歧视性待遇等的个人信息，一旦泄露、非法提供或滥用可能危害人身和财产安全。包括但不限于身份证件号码、个人生物识别信息、银行账户、消费记录、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、14岁以下（含）儿童的个人信息等。

来源及全文链接：中国信息安全

https://mp.weixin.qq.com/s/F1tliDf0RbzwaqRWjYnaOg

2024年9月1日，北京市网信办、市商务局、市政务服务和数据管理局联合发布《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》《北京市数据跨境流动便利化服务管理若干措施》（分别简称《负面清单》、《管理办法》、《若干措施》）等数据跨境政策文件，其中《负面清单》和《管理办法》已经国家数据安全工作协调机制和北京市委网信委批准，并通过了国家网信办、国家数据局备案，标志着北京市数据跨境便利化服务改革取得重大突破，形成了高效便利安全的数据跨境流动“北京实践”。

本次北京市发布的负面清单政策是按照国家网信办《促进和规范数据跨境流动规定》关于自贸试验区可自行制定数据出境负面清单的制度安排，以“管得住、放得开、用得好”为总目标，在广泛的企业调研和深入的需求分析基础上，按照“1+N”的总体设计思路编制。其中，《管理办法》重点围绕负面清单的制定流程、职责分工、使用管理、安全监管等方面进行深化设计，是制定负面清单和开展日常监管的基本规范，并同步完善了重要数据识别规则，提出13类41子类数据分类分级参考规则，助力企业提升识别能力；《负面清单》综合考虑数据出境需求迫切的重大场景、全市重点产业布局等因素，按照“急用先行、小步快跑”原则，首批选择汽车、医药、零售、民航、人工智能等5个领域率先制定。后续，按照动态管理机制，分行业、分领域、分批次推进编制工作，成熟一批发布一批，持续优化迭代负面清单政策体系。

为做好负面清单组织实施，让政策实用、管用、好用，统筹推进数据跨境安全管理工作，目前，北京已确定“1+1+4”工作推进模式，即在自贸区重点改革突破、先行先试基础上，形成一套“自贸区负面清单创新政策体系”；同步出台北京市数据跨境流动便利化服务管理18项具体措施，形成一套“全市域便利化改革工作体系”；围绕助力企业有效应用，实施四项“重点落地举措”，包括统筹布局北京数据跨境服务中心，在大兴机场临空区、商务中心区、北京经济技术开发区、中关村科学城前置设立并启动运行4个服务站，优化政务服务功能，拓展社会化服务领域，面向企业形成“一站式”服务能力。全面拓宽“绿色通道”服务范围，分行业、分领域拓展服务对象，畅通企业申报“直通车”。开发上线全市数据跨境便利化信息服务平台，形成全市统一的便利化服务能力。编发《北京市数据跨境流动便利化服务指南》，细化百余项具体服务，并分行业领域组织开展政策宣讲和企业辅导，提高政策措施的覆盖面和到达率。

来源：人民网

全文链接：

《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》

https://www.beijing.gov.cn/zhengce/zhengcefagui/202409/W020240902597001758234.pdf

《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》

https://www.beijing.gov.cn/zhengce/zhengcefagui/202409/W020240902597001569239.pdf

《北京市数据跨境流动便利化服务管理若干措施》

https://sw.beijing.gov.cn/tzgg/202408/P020240830371208846771.pdf

境外数据法规政策动态

2024年8月8日，联合国网络犯罪问题特设委员会一致投票通过《联合国打击网络犯罪公约》。该条约的通过具有重要意义，首次建立了全球层面打击网络犯罪的国际规则体系，拟于秋季提交联合国大会表决。该条约旨在加强国际合作，打击利用信息和通信技术系统实施的某些犯罪，并共享严重犯罪的电子形式证据。

主要内容如下：

1.确立通用罪名，要求缔约国法律将下述行为确立为刑事犯罪，包括非法访问、非法拦截、干扰电子数据、干扰ICT系统、滥用装置、造假行为、盗窃欺诈、儿童性虐待或性剥削材料、未经同意传播私密图像、洗钱等。

2.确立程序权力，要求缔约国采取必要的立法或其他措施，开展快速保全电子数据、快速保全和部分披露流量数据、提交令、搜查和扣押电子数据、实时收集流量数据、拦截内容数据等，以协助执法机构进行侦查和起诉。

3.促进国际合作，合作目的包括刑事犯罪相关侦查、起诉和司法程序以及相关电子证据的收集、获取、保存和分享，合作方式包括引渡、被判刑人员移管、刑事诉讼移交、司法协助、联合侦查、没收事宜等，同时规定了保全电子数据及披露保全流量数据方面国际合作的具体要求。

4.鼓励制定和实施预防措施，加强执法机构与私营部门合作、开展公众宣传活动、提高刑事司法系统的能力、鼓励服务提供商加强安全、制定受害人援助方案等。

5.开展技术援助和信息交流，鼓励缔约国针对犯罪方法和技术、政策立法、电子证据、国际法规等方面相互提供广泛的技术援助和能力建设，交流相关经验和知识，实施技术转让，同时要特别考虑发展中约国的利益和需求。

6.确立实施机制，设立公约缔约国会议，以促进公约的实施和审查工作。

总体而言，在网络空间国际规则碎片化形势下，公约通过既彰显了多边主义，也维护了联合国在全球网络空间规则制定的引领地位，其后续推进情况值得高度关注。

来源：CAICT国际治理观察

全文链接：

https://documents.un.org/doc/undoc/gen/v24/055/05/pdf/v2405505.pdf

2024年8月21日，美国国家标准与技术研究院（NIST）发布了其数字身份指南系列——SP 800-63-4的第二版公开草案（以下简称“草案”），旨在提升数字身份管理的安全性、隐私性和可访问性，以应对日益复杂的数字环境和网络威胁。该草案在2017年版本的基础上进行了大幅更新，以反映近年来在线风险的实际影响、市场创新和现有威胁环境的变化。

草案的关键更新包括：

1.风险管理更新：引入了新的具体场景设置步骤，帮助组织更好地定义和理解其在线服务，并保护身份系统。

2.评估指标新增：新增一套推荐指标，全面评估身份解决方案的性能。

3.加强反欺诈措施：为凭证服务提供商和依赖方提供了更全面的欺诈管理要求。

4.身份证明控制重组：基于身份证明提供方式，对每个保证级别的要求进行了新的分类和结构化。

5.集成同步身份认证器：将NIST在2024年4月发布的关于可同步认证器的中期指导纳入规范文本。

6.数字钱包及凭证的联合模型：针对数字钱包和凭证的日益增长的关注和采用，提出了特定要求。

草案定义了三个级别的身份验证保证（AAL），对应不同的安全需求：AAL1（基本认证信心，单因素认证）、AAL2（高信心，双因素认证和防网络钓鱼）、AAL3（非常高的信心，基于公钥密码学协议，硬件令牌和防网络钓鱼认证器）。同时，定义了三个身份保证级别（IAL），包括IAL1（验证申请人的真实身份）、IAL2（增加验证过程的严格性）、IAL3（面对面身份验证会话和生物特征收集）。

此外，草案强调了数字身份风险管理（DIRM）过程的重要性，包括定义在线服务、进行初步影响评估、选择初始保证级别、调整和记录保证级别以及持续评估和改进。草案还强调了在设计和实施数字身份系统时考虑隐私、公平性和可用性的重要性，以及更新了安全和欺诈防护的要求。

来源及全文链接：美国国家标准与技术研究院

https://doi.org/10.6028/NIST.SP.800-63-4.2pd

2024年8月23日，巴西数据保护局(ANPD)发布了第CD/ANPD号决议第19号法规，其中包含数据传输条例（以下简称《条例》）和标准合同条款(SCCs)，以规范将个人数据传输至巴西境外的行为。

《条例》主要内容如下：

1. 适用范围：《条例》适用于在巴西境内进行的数据处理操作，包括为巴西境内提供商品或服务、处理巴西境内个人数据，以及数据收集自巴西境内的情形。境外直接向巴西境内个人收集数据的行为不受《条例》规制，但仍需遵守巴西《通用数据保护法》（LGPD）。

2. 数据跨境传输原则：跨境传输应遵循保护数据主体权利、促进数据自由流动、实施透明度措施、采取适当安全措施等原则。

3. 数据跨境传输机制：可通过ANPD的充分性认定、特定传输合同条款、标准合同条款（SCCs）、具有约束力的公司规则（BCRs）等机制进行数据跨境传输。

4. SCCs：巴西境内外企业向境外传输个人数据时，可采用SCCs作为传输机制。必须使用ANPD提供的SCCs文本，且不得修改。数据控制者需在网站上以葡萄牙语披露数据传输的目的、方式、持续时间、数据接收国等信息。

5. BCRs：适用于集团内部的数据跨境传输，需经ANPD批准。BCRs应包括隐私治理计划、跨境数据传输活动的描述、集团结构、责任分配、数据主体权利、审查程序等。

《条例》强调了数据跨境传输的合法性、安全性和透明度，要求企业确保合规，并在必要时采取适当的措施保护数据主体的权利。

来源及全文链接：巴西数据保护局

https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396

2024年8月12日，菲律宾国家隐私委员会（NPC）发布了关于闭路电视（CCTV）系统中个人数据处理的规范。规范旨在更新使用CCTV系统的政策框架，确保个人数据处理遵守隐私原则并维护数据主体的权利和自由。

规范主要内容如下：

1.适用范围：规范适用于所有通过CCTV系统处理个人数据的个人信息控制者（PICs）和个人信息处理者（PIPs），除非CCTV系统用于个人、家庭或家庭事务，或者依法监控。

2.主要原则：PICs和PIPs必须确保CCTV系统的使用遵守以下原则：

3.保护措施：PICs和PIPs应实施安全措施，包括制定管理CCTV系统运作的政策，确保数据的质量和完整性，安全存储录像，合理保留期限，以及视频分析的隐私影响评估。

4.数据主体访问请求：被CCTV系统记录的个人有权访问其个人数据。PICs和PIPs应建立允许访问的政策，并考虑请求的目的和方式。

5.第三方访问请求：第三方可以请求访问CCTV录像，但PICs应根据数据隐私法和其他相关法律决定是否披露。

6.响应程序：PICs和PIPs应建立响应CCTV录像访问请求的程序，包括查看和提供录像副本。

7.处罚：违反规范的行为将根据数据隐私法及相关法规承担相应的刑事、民事和行政责任。

8.过渡性规定：PICs和PIPs应在规范生效之日起六十日内遵守其规定。

这些规范强调了在CCTV系统使用中保护个人隐私的重要性，并为PICs和PIPs提供了明确的指导，以确保他们的做法符合法律要求。

来源及全文链接：菲律宾国家隐私委员会

https://privacy.gov.ph/wp-content/uploads/2024/08/NPC-Circular-No.-2024-02-CCTV-Systems.pdf

2024年8月5日，土耳其个人数据保护局（KVKK）就第6698号《个人数据保护法》第5(2)(a)条中明确规定的个人数据处理条件发布了一则指南，旨在为政府机构、企业和个人提供明确的指导，确保在处理个人信息时遵守法律规定，保护个人隐私和数据安全。

该指南详细讨论了个人信息保护的法律基础，包括在特定情况下允许处理个人信息的法律依据。它还强调了个人信息处理必须遵守法律规定，并且只有在法律明确允许或个人明确同意的情况下才能进行。

此外，指南还提到了土耳其个人数据保护法（6698号法）规定的例外情况，这些例外情况允许在特定条件下即使没有个人同意也可以处理个人信息。这些特定条件包括但不限于履行法律义务、保护公共利益或执行合同所必需的处理。

来源及全文链接：土耳其个人数据保护局

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8d119dab-5886-4300-bd13-4eaf9bf15ea0.pdf

2024年8月5日，以色列隐私保护局（PPA）宣布以色列议会（Knesset）通过了《隐私保护法》（第13号修正案）（以下简称“修正案”）。该修正案更新并澄清了该领域的立法，规定了新的和先进的安排，并提供了有效的执法工具，以适应数字时代的挑战，将加强以色列公众的基本隐私权保护，并增强应对日益增长的网络威胁的能力。

修正案的主要内容包括：

1.扩大隐私保护机构权力：首次在立法中规定，隐私保护机构有权对违反信息安全法规的行为施加重大经济罚款，并拥有行政执法和刑事调查权力。此外，该机构还可以采取纠正措施，包括命令停止个人信息处理和删除数据。

2.隐私保护专员的任命：首次在立法中规定，公共机构和处理大量敏感个人信息的组织，以及进行大规模人员跟踪的组织，有义务任命隐私保护专员，负责确保遵守隐私法规并推动隐私保护措施。

3.安全机构的隐私监督：所有安全机构都必须任命内部隐私监督员，由隐私保护机构指导，负责监督隐私保护程序和政策，识别违规行为，并向机构负责人报告。

4.降低监管负担：修正案取消了私营部门组织注册信息数据库的初始义务（信息交易人员管理的数据库除外），并规定了向隐私保护机构请求法律遵守事先意见的程序。

5.打击非法个人信息处理：修正案增加了专门针对信息数据库犯罪的章节，明确禁止未经授权处理个人信息的行为，并规定了新的犯罪类型。

6.法律定义的现代化：更新了法律中的基本定义，以适应技术、社会和经济的发展，并与国际隐私保护标准（如欧盟的GDPR）接轨。

7.扩大法院裁定赔偿的权力：法院现在拥有更大的权力，在无损害证明的情况下，对违反信息数据库法规的加重行为进行金钱赔偿的裁定。

来源及全文链接：以色列隐私保护局

https://www.gov.il/BlobFolder/reports/13_amendment/he/%D7%AA%D7%99%D7%A7%D7%95%D7%9F%2013%20-%20%D7%A4%D7%A8%D7%A1%D7%95%D7%9D%20%D7%91%D7%A1%D7%A4%D7%A8%20%D7%94%D7%97%D7%95%D7%A7%D7%99%D7%9D.pdf

全球数据监管执法动态

2024年08月29日，杭州市中级人民法院院长、一级高级法官陈志君担任审判长对原告缪某某诉被告杭州市余杭区市场监督管理局、杭州市余杭区人民政府、第三人某软件有限公司行政处罚及行政复议一案进行公开宣判。该案系首例将数据产品作为商业秘密予以保护的司法案件。

涉案“生意参谋”系某软件有限公司开发的数据产品，为平台商家提供经营分析和决策参考等数据服务。商家在订购“生意参谋”数据产品时需签署相关软件服务协议，服务协议中约定了保密条款，商家登录平台主账号或子账号进行实名认证后，方可查看相关数据信息。针对商家违规获取或者使用“生意参谋”数据的行为，某软件有限公司采取扣分、限制或取消数据访问权限等违规处罚措施。

缪某某因违反保密义务，将其掌握的“生意参谋”子账号提供给案外人杨某某使用，被余杭区市场监督管理局认定为侵害商业秘密，并受到行政处罚，包括罚款5万元。缪某某对处罚决定不服，先后申请行政复议和提起行政诉讼。杭州中院经审理认为，“生意参谋”数据产品符合商业秘密的构成要件，缪某某的行为构成侵权。法院认定余杭区市场监督管理局的行政处罚决定合法、适当，因此驳回了缪某某的诉讼请求。

来源：杭州中院

2024年8月6日，江西高院发布2023年度全省法院贯彻实施民法典十大典型案例，其中案例五为个人信息保护纠纷的典型案例：

未经同意发送商业短信属于侵害个人信息权益——曹某与江西某文化传播公司等个人信息保护纠纷案

江西省九江市濂溪区人民法院审理了一起个人信息保护纠纷案。原告曹某的手机号码被江西某文化传播公司在未经其同意的情况下，用于发送商业短信。该公司利用某创起翼公司的短信平台，向曹某发送了一条包含贷款授信及领取方式的短信。曹某认为此举侵犯了其个人信息保护权和生活安宁权，遂向法院提起诉讼。

法院经审理认为，手机号码作为实名注册的信息，属于曹某的个人信息。江西某文化传播公司和某创起翼公司在未获曹某同意的情况下处理其个人信息，构成侵权。法院判决两被告以书面形式向曹某公开赔礼道歉，并赔偿曹某诉讼合理支出500元。

本案的典型意义在于，强调了个人信息保护的重要性，并明确了未经个人同意，不得非法处理个人信息的法律原则。同时，短信服务平台往往经过多次转包，无证据证明短信内容的提供者，法院认定短信平台端口提供者、平台运营商均构成个人信息侵权，被侵权人可向任意一方主张权利，要求侵权行为人停止侵害、排除妨碍、消除影响、恢复名誉、赔礼道歉、赔偿损失等，如果该侵权行为造成严重精神损害的，被侵权人还有权请求精神损害赔偿。该案判决保护了公民的个人信息权和生活安宁权，为依法规范商业推广行为和维护个人信息权益提供了有益借鉴。

来源：大江新闻

2024年4月，欧盟委员会怀疑中国安防公司同方威视接受外国补贴，于是对其在欧盟的场所进行了突击检查，并要求查看相关中国籍员工的邮箱内容。同方威视表示，这些数据存储在中国服务器上，而欧盟委员会要求对存储中国服务器上的员工邮箱进行保全并要求其提供相关数据。

对此，同方威视向欧盟普通法院提起诉讼，请求暂停执行欧盟委员会的决定，并要求法院采取临时措施。同方威视认为，遵守欧盟委员会的要求将迫使其违反中国法律，包括可能触及刑事犯罪。

然而，2024年8月12日，欧盟普通法院驳回了同方威视的请求。法院认为，只要企业行为在欧盟产生实质性影响，无论数据存储地在哪里，欧盟委员会均有权要求企业提供信息。此外，同方威视未能证明其遵守欧盟委员会的要求会导致违反中国法律，也未能提供在不违反中国法律的情况下提供数据的其他方法。

来源：欧洲普通法院

2024年8月26日，荷兰数据保护局（DPA）在其官网上宣布对美国网约车服务运营商优步公司处以2.9亿欧元罚款，理由是优步将欧洲地区司机的个人数据传送至美国。

荷兰数据保护局表示，优步在欧洲地区收集司机的敏感信息，包括账户详情、位置信息、照片、支付信息、身份证件等，甚至在某些情况下还涉及犯罪记录和医疗数据。在长达两年多的时间里，这些数据未经适当的传输机制就被传送到优步位于美国的总部，导致数据未能得到充分保护。这一行为“严重违反”欧盟《通用数据保护条例》。

荷兰数据保护局说，欧洲数据监管机构按照统一方式计算对涉案公司的罚款，罚金可高达被罚公司全球年收入的4%。优步2023年全球收入约为345亿欧元。优步已宣布计划对该处罚提出上诉。

此前，荷兰数据保护局曾在2023年对优步处以1000万欧元的罚款。优步对此提出了异议。

来源：新华网

2024年8月13日，韩国金融监督院近日披露，拥有4,000万用户的韩国最大移动支付Kakao Pay，惊爆未经用户同意，竟将个人信息交给中国蚂蚁集团的支付宝，主要是为打入苹果App Store支付服务，但苹果要求企业提供客户相关资讯，因此Kakao Pay就寻求支付宝协助处理，目前正在考虑裁罚。

根据韩国“信用情报利用及保护相关法”规定，若要将客户个人信用数据提供给第三方，必须征得本人同意，同时“个人数据保护法”也规定，向境外转移个人信息必须取得本人同意，而Kakao Pay显然并未遵守上述法律。

对此，Kakao Pay表示，这并不违反法律，因为公司向支付宝提供的个人信用资讯，属于双方业务委托合约关系，按照“信用情报利用及保护相关法”第17条第1项规定，资讯是通过委托处理转移，不需要征求本人同意。

韩国金融监督院认为，这已超出业务委托范围，因为“业务委托”是指在不得已的情况，委托使用与原有业务相关的个人信息，例如向客户提供服务的电子商务公司，但不得超出用户同意的个人资讯使用范围，而且提供出去的内容必须披露，因此Kakao Pay的行为是否适用仍有待讨论。

目前并不清楚Kakao Pay提供给支付宝的个人信息确切数量和类型，但预计数量相当庞大，因为Kakao Pay在韩国是拥有超过4,000万用户的“国民支付”，截至去年7月为止，每月的活跃用户数（MAU）为2,470万。

来源：网易号

2024年8月9日，马斯克旗下社交媒体X公司同意暂时不使用从欧盟用户收集的个人数据来训练其AI系统，这是在爱尔兰法院听证会上达成的协议。

爱尔兰数据保护委员会(DPC)本周要求法院暂停或限制X公司处理用户数据的行为，认为X公司在未征得用户同意的情况下，已经从5月7日开始使用数据进行AI训练，但直到7月16日才提供了用户选择退出的选项。

X公司律师在庭上表示，将不会使用从5月7日至8月1日期间收集的欧盟用户数据，直到法院对爱尔兰数据保护委员会的命令做出裁决。

来源：太平洋网络

END