垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 1 全球数据立法动态 沙特阿拉伯国家文件和档案中心皇家法院于 2021 年 9 月24 日公布了新的《个人数据保护法》('pdpl'),该法在 2021 年 9 月 14 日获得部长会议批准后,由 2021 年 9月 17 日的 m/19 号皇家法令在《官方公报》上实施。pdpl 规定,它应适用于公司或公共实体以任何方式在沙特阿拉伯王国进行的个人数据处理,包括位于王国以外的公司处理与王国居民有关的个人数据。此外,沙特数据和人工智能管理局(sdaia)将在头两年负责监督和执行 pdpl 的实施,之后它可能会考虑将监督职责移交给sdaia 的监管部门国家数据管理办公室。 值得注意的是,pdpl 第 43 条规定,该法应在《官方公报》公布之日起 180 天后生效,这意味着它将从 2022 年3 月 23 日起生效。然而,对于位于沙特王国境外的处理沙特阿拉伯居民个人数据的公司来说,这一日期将被推迟五年,具体时间由 sdaia 决定。 pdpl 的主要特点包括: 控制者的义务,包括注册义务、影响评估、违规通知、维护数据处理记录和实施隐私政策。 沙特阿拉伯/皇家法院/个人数据保护法/公布 2021.9.27 全球数据合规周刊 数据 | 热点 | 动态 | 海外 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 2 数据主体的权利,包括知情权,更新、更正或要求销毁其个人数据的权利,以及在任何时候撤回同意的权利。 与目的限制和数据最小化原则有关的规定;以及 对违法行为的处罚,包括最高两年的监禁和/或最高 500 万沙特里亚尔的罚款(约 110 万欧元)。 俄罗斯国家议会("杜马")于 2021 年 9 月 28 日宣布,已提出第 1256973-7 号法案,以批准 2020 年 12 月签署的独立国家联合体成员国之间的司法互助协议。该协议旨在通过交换公民和其他负有刑事或行政责任的个人的个人数据来促进司法互助。更具体地说,该协议将允许交换与个人的公民身份、居住权以及居住地或住所等有关的信息。 韩国个人信息保护委员会(pipc)于 2021 年 9 月 28 日向国民议会提交了对《个人信息保护法》(2011 年修订)(pipa)的拟议修正案。pipc 澄清道,修正案的重点是在促进数据主体权利和同意机制方面引入更多的清晰度,修正删除法律之间的重复部分,如《促进信息和通信网络利用和信息保护法》2001('icna'),在数据传输和充分数据保护的要求方面与全球法规更加一致,并加强 pipc 的调查和制裁权力。 俄罗斯/杜马/司法互助/法案 2021.9.29 韩国/pipc/个人信息保护法/拟议修正案 2021.9.29 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 3 国家互联网信息办公室(cac)于 2021 年 9 月 29 日发布了《关于加强互联网信息服务算法综合治理的指导意见》。具体而言,该意见旨在推进算法分级分类安全管理,有效识别高风险算法,实施精准治理。同时,意见的基本原则规定,算法应坚持权益保护,做到公平公正、透明可释,充分保障网民的合法权益。 此外,意见指出,算法安全治理的主体权责要明确,治理结构运行要高效,是依法依规、协同配合、多方参与的治理机制。意见还详细指出,监管体系应包括算法安全风险监测、算法安全评估、算法备案管理、科技伦理审查、算法违规处理等。意见强调的另一主要目标是促进算法生态规范,确保算法应用公平公正、公开透明,算法发展安全可控,自主创新能够防范算法滥用带来的风险隐患。 香港个人资料私隐专员公署('pcpd')于 2021 年 9 月 29日宣布,中华人民共和国香港特别行政区立法会于 9 月29 日进行二读审议及三读后,通过《2021 年个人资料(私隐)条例草案》('pdpo 修订条例草案')。 中国国家信息安全标准化技术委员会("tc260")于2021 年 9 月 30 日发布了《网络安全标准实践指南——数据分类分级指引》,并向公众征求意见。具体而言,该指南定义了包括数据、个人信息、重要数据、国家公共利益数据和法人数据等术语。此外,该指南还详细介绍了数据分类和分级的原则,以及某些类型数据的分类规则。在个人信息方面,该指南概述了不同类型的个人信息,包括一般的、敏感的和私人的个人信息,并阐明中国/cac/互联网信息服务算法综合治理/指导意见 2021.9.29 香港/pcpd/个人资料(私隐)条例/修订草案/通过 2021.9.30 中国/tc260/数据分类分级/指引/征求意见 2021.10.1 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 4 了如何对这些信息进行分类。此外,该指南还强调了最低安全级别,指出敏感的个人信息将不低于四级,一般的个人信息将不低于三级。 中华人民共和国工业和信息化部(以下简称 "工信部")于 2021 年 9 月 30 日发布了《工业和信息化领域数据安全管理办法(草案)》,并向公众征求意见。具体而言,该办法的起草是为了促进《数据安全法》的实施,规范工业和信息化领域的数据处理管理活动,加强数据安全管理,保护个人和组织的合法权益等。 此外,该办法还定义了不同类型的数据,包括重要数据、一般数据和核心数据。 美国亚利桑那州众议院法案('hb')2069 关于亚利桑那州遗传信息隐私的法案于 2021 年 9 月 29 日开始生效。该法案,有以下特点: 包含对直接面向消费者的基因测试公司的规定; 规定了公司在处理基因数据之前必须获得的各种形式的同意。 强调了各种消费者权利,如获取信息、删除消费者的基因数据,以及要求和获得销毁消费者生物样本的权利; 描述了被排除在其适用范围之外的组织;以及 规定了执法行动和对不遵守规定的处罚。 中国/工业和信息化部/数据安全管理办法/草案/征求意见 2021.10.1 美国亚利桑那州/遗传信息隐私/法案/生效 2021.10.1 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 5 新加坡个人数据保护委员会('pdpc')于 2021 年 10 月1 日宣布,《2021 年个人数据保护(数据泄露通知)条例》和《2021 年个人数据保护条例》的修正案已经生效。pdpc 回顾说,这些条例是作为《个人数据保护法》(2012 年第 26 号)("pdpa")更新的一部分而修订的。更具体地说,pdpc 注意到,这些修正案包括对以下方面的细微澄清: 在强制数据泄露报告的情况下,"重大伤害 "的定义; 对个人数据的恶劣处理的辩护;以及 组织可以提供其数据保护官员的业务联系信息的方式。 美国内华达州参议院法案('sb')260 关于互联网隐私和其他目的的法案于 2021 年 10 月 1 日生效。该法案: 禁止数据经纪人对收集到的有关消费者的某些信息进行任何销售,如果消费者有此要求; 要求数据经纪人建立一个指定的请求地址,消费者可以通过该地址提交经核实的请求,指示数据经纪人不要出售该数据经纪人已经购买或将要购买的关于消费者的任何相关信息; 要求数据经纪人在收到此类请求后 60 天内作出回应; 规定以前没有不遵守这些规定的数据经纪人可以在被告知不遵守规定后的 30 天内进行补救;以及 规定总检察长有权对被认为直接或间接违反该法规定的数据经纪人提起法律诉讼。 新加坡/pdpc/个人数据保护法/修正案/生效 2021.10.4 美国内华达州/互联网隐私和其他目的/法案/生效 2021.10.4 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 6 美国康涅狄格州众议院法案(hb)5130 关于数据隐私泄露的法案于 2021 年 10 月 1 日开始生效。该法案通过以下方式更新了康涅狄格州的违规通知法: 扩大了个人信息的定义,以包括更多类别的敏感信息; 将通知消费者和总检察长('ag')的安全漏洞的时间从 90 天缩短到 60 天;以及 为总检察长通过民事调查要求获得的材料提供保密性。 巴西数据保护局("anpd")于 2021 年 10 月 4 日发布了一份针对小型数据处理代理(控制者和/或处理者)的信息安全指南。该指南旨在帮助小型处理机构实施信息安全措施,以保护所处理的个人数据。此外,该指南还提供了一些行政和技术方面的安全信息措施,以及一份核对表,以促进将采用的建议的可视化,如: 安全信息政策; 意识和培训; 合同管理; 访问控制; 存储的个人数据的安全; 通信安全。 脆弱性管理; 移动设备;以及 云服务。 美国康涅狄格州/数据隐私泄露/法案/生效 2021.10.4 巴西/anpd/小型数据处理代理信息安全/指南/发布 2021.10.5 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 7 日本厚生劳动省于 2021 年 10 月 7 日发布了在医疗器械中引入网络安全的指南,并征求公众对该指南的意见。该指南涉及事件响应、安全测试、风险管理和数据泄露等内容。更具体地说,该指南建议制造商利用医疗设备的设计来解决包括加密在内的数据保护问题,并采用用户认证方法,包括密码和生物识别。此外,该指南强调,风险管理应包括: 识别网络安全漏洞; 估计和评估相关的风险; 采取风险控制措施,将风险降低到可接受的水平; 评估和监测风险控制的有效性;以及 通过协调的信息披露,向用户提供有关风险的信息等。 美国佛罗里达州众议院法案('hb')833 关于《保护 dna隐私法》于 2021 年 10 月 1 日开始生效。《保护 dna 隐私法》对与非法使用 dna 有关的行为进行了规范并建立了扩大的定义。更具体地说,《dna 隐私法》修改了《佛罗里达州法规》第 760.50 条,要求在使用 dna 结果时获得明确同意,而不是知情同意。《dna 隐私法》还增加了对 dna 样本和专属财产的新定义,使被提取或分析了 dna 的个人能够对样本和任何与收集、使用、保留、维护、披露或销毁有关的分析结果进行控制。 此外,《保护 dna 隐私法》规定了民事处罚,包括任何人在没有明确同意的情况下,故意收集或保留他人的dna 样本,并意图进行 dna 分析的重罪。最后,这类处罚可判处五年以下的刑罚,每次违规可处以 5000 美元以下的罚款。 日本/mhlw/医疗设备网络安全/指南/征求意见 2021.10.7 美国佛罗里达州/保护dna隐私/法案/生效 2021.10.7 垦丁律师事务所 w&w 国际法律团队 全球数据合规周刊 2021年10月8日 王捷、宋佳凯 8 数据安全与执法 挪威数据保护机构("datatilsynet")于 2021 年 9 月28 日宣布对 ferde as 公司开出 500 万挪威克朗的罚单,原因是该公司非法将驾驶者的个人数据转移到中国的一个数据处理者。具体而言,datatilsynet 发现,该公司违反了 gdpr 规定的一些为期 1 至 2 年的基本义务。同时,datatilsynet 表示,该公司没有将个人数据转移到中国的有效依据,众多人因此受到影响。此外,datatilsynet 提到,在今年早些时候就曾向该公司发出相同金额的罚单通知,而