律所动态
数据合规一周动向(20241021-20241027)| 美司法部发布拟议规则防止中国等国家获取美国人的敏感个人数据
发布时间:
2024-10-28
作者:
陈嘉伟、张功俐
来源:
至融至泽
一、境内动向
1、《金融数据安全治理实施指南》等4项标准发布
2、国家数据局拟出台企业数据开发利用等政策文件
3、增值电信业务扩大对外开放试点正式启动
4、两家公司违反《数据安全法》被网信部门行政处罚
5、国家数据局发布关于向社会公开征求《数据领域名词解释》意见的公告
二、境外动向
1、LinkedIn因违反GDPR被处以3.1亿欧元罚款
2、美司法部发布拟议规则防止中国等国家获取美国人的敏感个人数据
3、沙特阿拉伯SDAIA发布数据泄露指南
4、马来西亚《2024年个人数据保护(修正案)法》获得御准
一
境内动向
《金融数据安全治理实施指南》等4项标准发布
10月25日,中国互联网金融协会在京召开金融数据安全治理工作研讨会暨金融数据安全系列标准发布会,会上,协会正式发布了《金融数据安全治理实施指南》《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》等4项标准,旨在从金融数据治理、金融数据资产管理、金融数据安全技术防护、金融数据安全应急管理等不同角度为做好新时代的金融数据安全治理工作提供相应指引和规范。
全文链接:
https://mp.weixin.qq.com/s/o1dBWW2P4L3RK--bazca0g
国家数据局拟出台企业数据开发利用等政策文件
10月25日,2024年“数据要素×”大赛全国总决赛颁奖仪式在北京举行。国家数据局党组书记、局长刘烈宏表示,一年来,国家数据局已经出台公共数据开发利用、数字经济高质量发展、城市全域数字化转型、数字经济促进共同富裕、“数据要素×”三年行动、全国一体化算力网、国家数据标准体系建设指南等方面的重要政策文件8份。后续拟出台企业数据开发利用、数据产业高质量发展、公共数据资源登记、公共数据授权运营、数据基础设施建设指引、数据空间行动计划、数据流通安全治理等方面的政策文件,还将推动建立数据产权制度,完善数据流通交易规则,提升数据安全治理水平,促进数据“供得出、流得动、用得好、保安全”。
全文链接:
https://mp.weixin.qq.com/s/DPTaoP4OI6hYwPSaXq2J8A
增值电信业务扩大对外开放试点正式启动
10月23日,工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会,正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作。会上,工业和信息化部向北京、上海、海南、深圳四地发放开展试点复文。试点实施后,外资企业可在试点地区独资经营互联网数据中心(IDC)、在线数据处理与交易处理等电信业务,深度参与我国算力、云服务等市场,共促我国数字产业发展。
全文链接:
https://mp.weixin.qq.com/s/AEmIkOxNIbXq3xAUfegdlg
两家公司违反《数据安全法》被网信部门行政处罚
10月23日,根据“网信郑州”微信公众号消息, 郑州市网信办工作中发现,两家公司未履行网络安全保护义务,未采取必要的安全防护,导致大量敏感数据被窃取。郑州市网信办依据《数据安全法》分别对两家公司作出责令改正,给予警告,并处人民币5万元罚款的行政处罚。两家公司所涉问题主要包括未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,网络安全管理方面存在缺失,未能按照《数据安全法》要求对企业重要数据进行分级分类管理,系统日志存储时未对用户个人敏感信息进行脱敏处理,存在安全风险等。
全文链接:
https://mp.weixin.qq.com/s/TNdGXuqWwebR0xfcK6DPvA
国家数据局发布关于向社会公开征求《数据领域名词解释》意见的公告
10月21日,国家数据局发布关于向社会公开征求《数据领域名词解释》意见的公告。为进一步凝聚共识,推动社会各界对数据领域术语形成统一认识,就《数据领域名词解释》向社会公开征求意见。根据该名词解释,数据是指任何以电子或其他方式对信息的记录。数据在不同视角下表现为原始数据、衍生数据、数据资源、数据产品、数据资产、数据要素等形式。数据要素是指能直接投入到生产和服务过程中的数据,是用于创造经济或社会价值的新型生产要素。
全文链接:
https://mp.weixin.qq.com/s/uMcMcauaM6Hy0E-3vJMvyw
二
境外动向
LinkedIn因违反GDPR被处以3.1亿欧元罚款
10月24日,爱尔兰数据保护专员 (DPC) 宣布了一项决定,对LinkedIn Ireland Unlimited Company处以3.1亿欧元罚款,原因是该公司违反了《通用数据保护条例》(GDPR)。DPC 在调查中发现LinkedIn违反了GDPR第6(1)(a)、6(1)(b)、6(1)(f)、5(1)(a)、13(1)(c)和14(1)(c)条,原因包括LinkedIn未能获得有效的同意来处理其成员的第三方数据以进行行为分析和定向广告;未能有效依赖合法利益原则来处理其会员的第一方个人数据以进行行为分析和定向广告,或处理第三方数据以进行分析等。
全文链接:
https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
美司法部发布拟议规则防止中国等国家获取美国人的敏感个人数据
10月21日,美国司法部发布了一份拟议规则制定通知(NPRM),以实施美国总统拜登此前发布的第14117号行政命令“防止受关注国家获取美国人的大量敏感个人数据和美国政府相关数据”。该项拟议规则拟解决因受关注国家和受监管人员获取美国人大量敏感个人数据和某些敏感的美国政府相关数据而产生的特定国家安全风险。拟议规则确定了禁止和限制交易的类别,确定了拟议规则适用的受关注国家和相关人员的类别,确定了豁免交易的类别,解释了商务部制定批量阈值的方法,提供了商务部对经济和其他监管影响的初步评估,建立了颁发授权某些禁止或限制交易的许可证、发布咨询意见和指定相关人员的流程,并解决了相关交易的记录保存、报告和其他尽职调查义务。
全文链接:
https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks
沙特阿拉伯SDAIA发布数据泄露指南
10月21日,沙特数据和人工智能管理局(SDAIA)发布了《个人数据泄露事件程序指南》,其中规定了处理个人数据泄露事件的必要程序,并减少对数据主体造成的后果和风险。该指南要求如果事件预计会损害个人数据或数据主体,或者与其权利或利益相冲突,控制者应在知晓数据泄露事件后72小时内向SDAIA通报,并建议控制者采取措施应对和遏制数据泄露。该指南还规定,控制者应保留向SDAIA提交的有关数据泄露、采取的纠正措施以及任何相关的适当记录或文件的副本。
全文链接:
https://sdaia.gov.sa/en/SDAIA/about/Documents/PersonalDataBreachIncidents.pdf
马来西亚《2024年个人数据保护(修正案)法》获得御准
近日,马来西亚《2024年个人数据保护(修正案)法》获得御准,并予以公布。该法案的修订主要包括要求数据控制者和数据处理者必须任命一名数据保护官(DPO);数据控制者必须向个人数据保护专员发出数据泄露通知;因不遵守数据泄露通知而受到罚款、监禁或两者并罚的制裁;数据主体的数据可携带权,但须遵守技术可行性和数据格式兼容性;要求数据处理者遵守《个人数据保护法》(PDPA)规定的安全原则以及有关数据传输规则的变化等。
全文链接:
https://lom.agc.gov.my/ilims/upload/portal/akta/outputaktap/2430673_BI/Act%20A1727.pdf
相关推荐
