编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆（北京理工大学）

审校 | 王磊（北京理工大学）、张奕欣、邢潇（CNCERT）

2024年2月6日，上海市人民政府公布《全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案》的实施方案（以下简称为《实施方案》）。具体而言，《实施方案》旨在建立合法、安全、便捷的跨境数据流动机制，并在临港新区建立跨境数据服务，作为上海自贸区的一部分。此外，《实施方案》还特别考虑了为开展数据出境安全评估、个人信息保护认证和个人信息出境标准合同备案等金融机构跨境传输个人数据提供便利的措施。https://www.shanghai.gov.cn/nw12344/20240205/2af907af61cf4977866b7d377baf5d1d.html

2024年2月28日，拜登政府依据《国际紧急经济权力法》（IEEPA）发布了一项旨在保护美国人个人敏感数据免遭“受关注国家”利用的行政命令，即《防止关注国家获取美国公民大量敏感个人数据和美国政府相关数据的行政命令》。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知（ANPRM）Fact Sheet，概述了实施该命令的规则，即美国政府决意切断某些敏感数据向中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗等受关注的国家跨境传输。尽管要切断跨境传输的不是所有数据，针对的对象也只是几个国家，白宫也强调这不是要打破美国维护开放互联网的承诺，但对一直比较彻底地主张数据跨境自由流动的美国而言，这些行动无疑代表了其数据政策和法律的重大转变，在美国历史上首创了一个由美国政府主导的数据跨境传输的审查机制。美国也成为继中国之后，第二个政府基于国家安全理由明确介入商业数据跨境流动的国家。

https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/

https://mp.weixin.qq.com/s/s_4Ud29cMKME-9RJ8qTUtg

2024年1月26日，欧洲数据保护监督机构(EDPS)宣布，2024年1月23日，其公布了《关于加强警方合作以预防、侦测和调查非法移民走私和贩运人口的条例意见》，并加强欧盟执法合作机构在预防和打击这些犯罪方面的作用。欧洲数据保护监督机构表示，在所提议的条例中，有以下四个关键问题，①增加对生物识别数据的处理;②欧洲边境和海岸警卫队（Frontex）在与欧洲刑警组织（Europol）合作方面的作用;③欧洲刑警组织向欧盟/欧洲经济区以外的国家传输个人数据;④欧洲刑警组织对欧盟成员国主管机关的支持，可能对公民的个人数据和隐私产生重要影响。

https://www.dataguidance.com/news/eu-edps-publishes-opinion-regulation-relating-combating

https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/edps-assesses-privacy-impact-regulation-combat-migrant-smuggling-and-human-trafficking_en

2024年1月29日，欧盟理事会(Council of the EU)通过了将跨境数据流动条款纳入欧盟和日本之间的经济伙伴关系协议的决议，决定签署议定书。待日本批准议定书且双方互相通报完成内部程序后方可生效。该协议将提供更有力的法律保障，以确保欧盟与日本之间的数据流动不会受到本土政策的阻碍。此外，该协议有利于双方根据欧盟和日本通过数据保护和数字经济的规则，从数据的自由流动中受益。

https://www.consilium.europa.eu/en/press/press-releases/2024/01/31/eu-japan-economic-partnership-agreement-eu-and-japan-sign-protocol-to-include-cross-border-data-flows/

2024年2月23日，德国巴登-符腾堡州数据保护机构（LfDI Baden-Württemberg）发布了有关登记机构数据传输的常见问题的解答（FAQs）。巴登-符腾堡州数据保护机构表示，《常见问题解答》回答了是否允许政府在未经数据权利人明确许可的情况下将个人数据传输给其他公共或私人机构的问题。此外，《常见问题解答》还回答了关于对人口登记数据进行进一步处理以及对其进行传输所需条件等问题。

https://www.dataguidance.com/news/baden-w%C3%BCrttemberg-lfdi-baden-w%C3%BCrttemberg-publishes-5

2024年2月2日，东盟在2024年第四届东盟数字部长会议(ADGIM)上发布了新版本的《东盟示范合同条款和欧盟合同条款联合指南（Joint Guide to ASEAN Model Contractual Clauses and EU Contractual Clauses）》。会议强调，该指南补充了2023年5月首次发布的《东盟示范合同条款联合指南》和《欧盟合同条款联合指南》。明确了企业在东盟和欧盟之间分别根据东盟示范合同条款(MCCs)和/或欧盟标准合同条款(SCCs)传输数据时可以考虑实施的最佳做法。此外，该指南概述了其中包括的一些非详尽的最佳实践示例，企业可以考虑将这些实践应用于实施保障措施。这些建议也是针对不同类型的数据传输提供的，例如控制者到控制者的传输和控制者到处理者的传输。

https://www.dataguidance.com/news/international-asean-publishes-guide-mccs-and-sccs-data

2024年1月30日，韩国个人信息保护委员会（PIPC）宣布于同日举行跨境传输专家委员会成立仪式。个人信息保护委员会由12名个人信息专家组成，旨在依据《个人信息保护法》执行细则，保障转移到海外的韩国国民个人信息安全。委员会的职责包括：评估个人信息保护认证的保护水平；评估国家或国际组织对个人信息的保护水平;评估停止个人信息境外传输的必要性。

https://www.dataguidance.com/news/south-korea-pipc-launches-overseas-transfer-expert

2024年2月8日，印度数据安全委员会(DSCI)发布《数字个人数据保护法》的常见问题解答，旨在帮助更好地理解印度《数字个人数据保护法》。内容涉及:数据主体的权利和义务、数据受托人的义务、执行机制以及跨境数据传输和豁免。

https://www.dataguidance.com/news/india-dsci-publishes-faqs-digital-personal-data

https://www.dsci.in/files/content/documents/2024/FAQs-on-DPDP-Act-2023-MiniBooklet.pdf

2024年2月23日，印度、南非和印度尼西亚等国计划在26日于阿联酋首都阿布扎比开幕的世贸组织第十三届部长级会议（MC13）上呼吁重新对电子传输开征关税，引发全球多家芯片巨头的担忧。据悉，一个由半导体行业组成的团体联盟要求印度重新考虑其对跨境数字电子商务和数据传输征收关税的计划，并警告称，这一立场可能“扼杀印度的芯片蓝图……并阻碍印度发展半导体行业及吸引全球投资的努力”。本次世界贸易组织会议上，各国部长计划讨论几个与贸易有关的问题，包括延长自1998年以来暂停征收电子传输关税的期限。根据世贸规定，若成员国中有一个国家不同意，现行的数字电商和数据传输关税暂停令将无法延长协议，并在今年结束。此后，国家之间数字内容的跨境流动将不得不面临关税的额外成本。世界半导体理事会(WSC)周四写信给印度总理纳伦德拉·莫迪，称数据传输税将阻碍印度发展芯片行业和吸引芯片投资的努力，这将浪费印度的人力资源。

https://www.reuters.com/world/india/indias-stance-data-transfers-wto-spooks-chip-giants-2024-02-23/

2024年2月16日，土耳其大国民议会提出了一项旨在修订《个人数据保护法》（Personal Data Protection Law）的修正案，将依据《通用数据保护条例》（GDPR）对《个人数据保护法》进行现代化改造。修正案的重点是实现《人权行动计划》（ Human Rights Action Plan）和《经济改革行动计划》（Economic Reforms Action Plan）等各种行动计划中的目标。在此背景下，修正案主要内容包括涉及特殊类别个人数据的处理条件和向国外传输数据等相关规定。

https://www.dataguidance.com/news/turkey-national-assembly-proposes-amendments-personal

2024年2月7日，拉脱维亚数据国家监察局（DVI）宣布，他们将于2023年底对两家信用信息公司进行检查，分别为AS Kreditinformations Bureau和AS CREFO Birojs。首先，DVI指出，检查的目的是确保这些公司的数据处理符合《通用数据保护条例》（GDPR）和《信用信息机构法》（the Law on Credit Information Bureaus）的要求，并规范涉及个人数据存储条款。其次，DVI指出，由于信用信息公司需要处理、转移以及通过国家信息系统访问自然人的个人信息，因此对其进行检查是必要的。在对两家信用公司的检查过程中，DVI没有发现两家公司严重违反监管的情况。

https://www.dataguidance.com/news/latvia-dvi-carries-out-inspection-credit-information