编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆

审校 | 王磊、张奕欣、邢潇

2023年10月12日，《2023年数据保护（充分性）（美利坚合众国）条例》（UK-US data bridge，以下简称英美数据桥）生效，允许企业通过“欧盟-美国隐私框架的英国扩展”进行美英间数据跨境传输。英美数据桥基于《2018年数据保护法》第2部分和英国《通用数据保护条例》（UKGDPR），规定了美国为符合以下标准的数据跨境传输提供足够的个人数据保护：1、数据向获得“欧盟-美国数据隐私框架的英国扩展”认证的美国组织转移；2、接收方收到数据后，将受欧盟－美国数据隐私框架的约束。随着英美数据桥的生效，英国的企业可以将个人数据传输到获得认证的美国组织，而无需根据英国GDPR第46条和第49条的要求采取额外的保护措施。但是，英国政府强调，英国企业应注意更新隐私政策并记录自己的处理活动，以反映其在向美国传输个人数据过程中的任何变化。

https://www.dataguidance.com/news/international-uk-us-data-bridge-enters-effect

2023年10月9日，欧盟委员会在公众咨询后发布了守门人必须提交的合规报告的最终模板，该报告根据《数字市场法》（DMA）制定。委员会强调，合规报告应当以详细和透明地方式包含所需信息，例如委员会评估守门人是否有效遵守DMA需要的所有信息。为此，指定的看门人需要在其被指定后的六个月内提交合规报告，且每年至少更新一次。例如，2023年9月6日指定的守门人必须在2024年3月7日之前提交其第一份报告。此外，委员会将公布每份合规报告的非机密摘要。

https://digital-markets-act.ec.europa.eu/template-compliance-report-under-digital-markets-act-published-2023-10-09_en

2023年10月5日，欧洲消费者组织（BEUC）公布了对《网络弹性法案（草案）》三方谈判的建议，具体包括：扩大法案草案的范围；规定有限制的例外情况并明确其定义；要求制造商在产品的整个预期寿命期间监控并解决安全漏洞；扩展包括消费产品在内的关键产品列表；改善市场监督和执法工作；加强消费者代表权益和相关补偿；确保代表行动指令下的集体补偿。与此同时，欧洲消费者组织认为仍存在一些值得关注的方面，并呼吁共同立法者确保草案符合提供高水平消费者权益保障的立法目的。

https://www.beuc.eu/sites/default/files/publications/BEUC-X-2023-128_Cyber_Resilience_Act_Trilogue_Recommendations.pdf

2023年9月20日，美国证券交易委员会（SEC）宣布批准对1974年《隐私法》修订规则的最终规定。这是继美国证券交易委员会于2023年2月提出的原始提案之后的最新成果。最终规则规定了一项条款，简化了申请和接收对《隐私法》查询和行政上诉的过程，允许申请人通过电子邮件或在线SEC表格提交电子访问请求。尽管最终规则现在还要求包含披露日期、性质和目的等信息，但修正案规定了90天的期限供请求者对SEC的不利决定提出行政上诉。关于费用，最终规则还允许根据修改或更正请求修改或更正的每条记录提供一份免费副本。值得注意的是，最终规则指出，现已纳入“隐私法”且不具有必要性的特定条款已被删除。最后，美国证券交易委员会规定，最终规则中的修正案将完全取代现有的隐私法案规定。

https://www.sec.gov/news/press-release/2023-189

2023年10月1日，康涅狄格州《在线隐私法》（全称“康涅狄格州《在线隐私、数据和安全保护法》”）生效，该法案根据《州预算法》第207节的规定，对康涅狄格州《个人数据隐私和在线监控法》（CTPDA）进行修订。《在线隐私法》第1至5节主要涉及CTDPA范围的扩大、对健康信息披露的限制以及包括消费者健康数据控制者在内的新定义。具体而言，《在线隐私法》对CTDPA的修订体现在，规定任何人不得：（1）向任何雇员或承包商提供访问消费者健康数据的权限，除非该雇员或承包商受合同或法定保密义务的约束；（2）向任何数据处理者提供对消费者健康数据的访问权限，除非数据处理者遵守《康涅狄格州法典》第42—521条的规定；（3）在任何精神健康设施、生殖健康设施或性健康设施的一千七百五十英尺范围内使用地理围栏技术建立虚拟边界，以识别、跟踪、收集消费者的数据，或向其发送有关消费者健康数据的任何通知；（4）在未事先征得消费者同意的情况下，出售或提供出售消费者健康数据。此外，《在线隐私法》明确，有关消费者健康数据和消费者健康数据控制者的规定，适用于在该州开展业务的自然人和法人以及面向康涅狄格州居民生产产品或提供服务的自然人和法人。

https://www.dataguidance.com/news/connecticut-online-privacy-act-enters-force

2023年10月12日，澳大利亚政府发布了澳大利亚竞争和消费者委员会（ACCC）和澳大利亚信息专员办公室（OAIC）制定的消费者数据权利（CDR）合规和执行政策。首先，该政策详细地列出各类合规工具，明确监管部门将如何评估企业合规水平，以及识别和处理违规行为，包括：投诉/利益相关者情报；参与者报告和整改时间表；和对数据持有人和经认可的数据接收者的审计和评估。其次，该政策强调了执法的优先事项：数据持有者阻碍流程；未能满足合规日期；数据质量不足；经认可的数据接收者对第三方的监督不足；安全措施不足；误导或欺骗行为；或滥用相关数据。

https://www.cdr.gov.au/resources/guides/compliance-and-enforcement-policy?sf182376312=1

2023年9月28日，澳大利亚政府发布对《2022年隐私法审查报告》的回应。政府同意修改1988年《隐私法》（Privacy Act）的提案，以承认保护隐私的公共利益。此外，政府原则上同意通过修改《隐私法》赋予个人拒绝他们的个人信息被用于（或披露给用于）直接营销的权利。具体而言，政府的回应涵盖了隐私法改革的以下重点领域：（1）将《隐私法》带入数字时代，承认保护隐私的公共利益，并进一步探索如何最好地将其广泛应用于个人信息处理者；（2）通过新的组织问责要求，加强《隐私法》下的隐私保护，鼓励各实体将“隐私设计”原则纳入运营过程，改革可通知的数据泄露（NDB）方案并加强对高隐私风险活动和特定群体的隐私保护；（3）采取措施为个人信息处理者提供更明确的指导，便于其更好地保护个人隐私，包括简化代表他人处理个人信息的组织需要遵守的义务，明确个人信息数据向境外传输的要求等；（4）改进通知和同意机制，增加个人信息透明度和控制权，并为个人寻求救济隐私侵权新途径；（5）增加澳大利亚信息专员办公室（OAIC）的执法权力。

https://www.dataguidance.com/news/australia-ag-department-publishes-governments-response

2023年9月26日，韩国科学和信息通信技术部公布了《数字权利法案》，包括序言和正文，共六章28篇。第一章明确五大原则，即保障数字环境中的自由和权利原则、保证数字公平原则、构建安全可靠的数字社会原则、促进数字技术原则以及推进全人类的福祉原则；第二章“保障自由和权利”中规定了“数字的可访问性”，例如保护、访问、修订、删除和传输个人信息等；第三章“保证数字公平”中规定保护数字资产，例如通过法律和政策层面来保护财产的数据和内容，以及提高数字素养以解决数字差异；第四章“构建安全可靠的数字社会”中规定数字社会的基本前提是共同繁荣，要求管理数字的道德开发及利用；第五章“促进数字技术”中规定基于自主性和创造性来创新，修订监管框架，以适应新的数字环境；第六章“推进全人类的福祉”呼吁国际社会应该共同努力建立国际数字规范和解决国家之间的数字差距。

https://www.dataguidance.com/news/south-korea-ministry-ict-announces-digital-bill-rights

2023年9月27日，韩国个人信息保护委员会（PIPC）发布了2023年《个人信息保护法》（PIPA）及执行令修正案指南草案，并向公众征询意见。具体而言，该草案概述了2023年《个人信息保护法》修正案的细节及目的，并总结了个人信息处理者应注意的主要法律规定和事项。韩国个人信息保护委员会明确指出，该草案的制定目的是提高所有利益相关者对2023年《个人信息保护法》修正案的认识。草案共分为5个章节，包括（1）个人信息处理相关法规的修订；（2）修订的视频信息处理设备法规；（3）修订的收集来源和使用情况/提供详情的通知系统；（4）多元化的跨境传输要求，加强保护措施；（5）统一安全措施义务，加强事业单位安全措施。

https://www.dataguidance.com/news/south-korea-pipc-requests-public-comments-draft

2023年9月20日，印度电子和信息技术部（MeitY）联邦国务部长拉杰夫（Shri Rajeev Chandrasekhar）参加了在新德里举行的首次数字印度对话论坛，主题是《2023年数字个人数据保护法》。拉杰夫在会上与主要行业利益相关者就该法案特定条款所需的过渡时间进行了讨论，并寻求有关实施的具体意见。拉杰夫表示：在接下来的30天内，将为该法案规定必要的规则。我们还将在下个月组建数据保护委员会。一些企业，例如初创公司、中小微企业，以及处理个人数据的医院等机构，可能会需要更多的时间来遵守这些规则。

https://www.dataguidance.com/news/india-meity-leads-consultations-digital-personal-data-0