作者 | 网络安全应急技术国家工程研究中心
张奕欣 王磊 王秀文 曾宣玮
一、政策研究
====================
1.中新数字政策对话机制第一次会议在京召开
2024年6月27日,国家数据局局长刘烈宏与新加坡国家发展部兼通讯及新闻部高级政务部长陈杰豪共同主持召开中新数字政策对话机制第一次会议。刘烈宏表示,2023年12月中新副总理级双边合作机制会议上宣布建立中新数字政策对话机制,这是推进落实对话机制的首次会议,是落实两国领导人关于中新全方位高质量前瞻性伙伴关系定位的具体举措,对拓宽中新数据领域交流渠道、加强互利合作具有重要意义。国家数据局愿与新加坡通讯及新闻部一起,通过中新数字政策对话机制搭建平台,支持鼓励各城市、高校、科研机构和企业等相关方围绕数据领域和数字经济开展常态化沟通交流,全面推进高质量合作,让数据领域的合作成果和发展红利惠及两国及全球人民。
https://mp.weixin.qq.com/s/ucmUxLHiVlXftippGNg4NQ
2.上海将出台航运数据跨境清单
2024年7月8日,上海市委常委,临港新片区党工委书记、管委会主任陈金山在2024滴水湖高能级航运服务业创新大会上表示临港正在加快建设国际数据经济产业园和“DEPA合作区”的先行示范区,大力推动大数据、云计算、人工智能等新技术在航运领域的广泛应用,为企业打造智能港口、智能船舶、智能物流等数字化平台提供政策支持、算力服务、配套保障。同时将发起设立航运贸易数字化全球合作伙伴机制,进一步支持航贸数字化区块链平台GSBN的加快发展。另外将发布航运领域的跨境数据指引清单,让航运企业在临港的数据跨境流动更便利、更高效、更安全。
https://www.cnstock.com/commonDetail/209916
3.韩国个人信息保护委员会宣布在医学研究中使用“假名信息”
2024年6月28日,韩国个人信息保护委员会(PIPC)宣布,已制定计划将国内医院持有的医疗数据安全匿名化,用于国际联合研究。在第36届信息和通信技术(ICT)监管沙盒审查委员会会议上,审议并决定了议程。议程包括要求首尔国立大学医院建立国际联合研究数据平台并由韩国个人信息保护委员会制定进一步措施对例外情况监管核查。韩国个人信息保护委员会强调,针对对假名信息海外传输监管的担忧,已经加强安全措施,允许进行联合研究的研究人员查看和使用假名信息。韩国个人信息保护委员会还提到,禁止海外研究人员下载国内医院持有的假名医疗数据,确保仅通过分析无法访问其他网络平台内的数据来确保数据的安全。此外,数据审查委员会(DRB)还有其他任务,包括:审查假名化和研究结果输出的适当性以及向海外研究人员普及国内个人信息保护法律及相关事项。
https://www.dataguidance.com/news/south-korea-pipc-announces-use-pseudonymized
4.土耳其《个人数据跨境传输程序及原则条例》生效
2024年7月10日,土耳其个人数据保护局(KVKK)宣布第32598号《个人数据跨境传输程序及原则条例》(the Regulation on the Procedures and Principles Regarding the Transfer of Personal Data Abroad,以下简称《条例》)于同日在《官方公报》上公布后生效。该条例旨在确定《个人数据保护法》第9条的实施程序和原则,以规范个人数据跨境传输。《条例》规定,数据控制者和处理者仅可依据规定进行个人数据跨境传输,当数据处理者传输个人数据时,还必须遵守数据控制者的指示。此外,《条例》还介绍了土耳其个人数据跨境传输的程序。
https://www.dataguidance.com/news/turkey-regulation-procedures-and-principles-regarding
5.以色列隐私保护局发布关于数据传输条例的意见草案
2024年7月8日,以色列隐私保护局(PPA)发布了关于以色列数据跨境传输的意见草案并征求公众意见。该草案是对《隐私保护(向境外数据库传输数据)条例》5761-2001第2条4款的解释。根据以色列隐私保护局的一般规定,通常只有当目的地国家的法律提供的数据保护水平不低于以色列法律规定的水平时,才允许将个人信息传输到以色列境外。但是数据传输条例第2条4款规定了一个例外,即在进行必要的更改后,信息可以转移到那些已同意与以色列数据库适用相同的维护条件和使用信息条件的主体。
https://www.dataguidance.com/news/israel-ppa-publishes-draft-opinion-data-transfer
6.马来西亚修订《个人数据保护法》,拟取消数据跨境传输白名单机制
2024年7月4日,马来西亚数字部长Gobind Singh Deo宣布内阁批准《个人数据保护法》(PDPA 2010)的拟议修正案,以下是《个人数据保护(修订)法案》的主要修订内容:“数据用户”改为“数据控制者”;生物识别数据被认定为敏感个人数据;增加处罚力度;扩展安全原则至数据处理者;新增任命数据保护官员的义务;新增强制数据泄露通知的义务;引入数据可携带权,数据主体可以请求将个人数据直接传输给另一数据控制者,但需考虑技术可行性和数据格式兼容性;取消跨境数据传输白名单机制,跨境数据传输需符合第129(3)条规定的条件,个人数据保护专员将出台详细指南以提供明确规定。
https://www.thestar.com.my/news/nation/2024/07/10/pdpa-amendment-bill-tabled-for-first-reading
https://mp.weixin.qq.com/s/rFgeInrJljwRiZJST1ps-A
7.根西岛数据保护局发布数据处理器使用指南
2024年6月28日,根西岛数据保护局(ODPA)发布了关于任用数据处理者完成任务的指南。ODPA强调,尽管数据处理者在确保有效和高效运营方面可以发挥关键作用,但数据控制者仍有必要了解相关要求,以保持法律合规性。ODPA强调的数据处理者关系的例子包括外包:管理薪资和人力资源职能;将日常IT功能外包给专业供应商;业务开发和营销业务;或将工作外包给集团实体。ODPA提到,在指定数据处理者开展工作时,数据控制者必须确保数据处理者建立并执行合理的技术和组织措施,以及双方之间具有法律约束力的合同。该指南既有指导意见,也有ODPA的案例研究,涵盖多个主题,包括:数据处理角色之间的区别;处理者评估的完成;控制者和处理者之间的合同;基于云计算的服务;数据处理者的任命;仅在根西岛辖区内任命处理者;在欧盟任命基于云的处理者;在不具备充分性的司法管辖区指定处理者。
https://www.dataguidance.com/news/guernsey-odpa-publishes-guidance-use-data-processors
二、舆情事件
====================
1.美人工智能公司被禁止将用户数据训练AI模型
2024年7月3日,巴西国家数据保护机构表示不允许美人工智能公司Meta将用户的公开帖子输入其AI系统。Meta公司通过使用Facebook和Instagram上的公开内容来训练大模型,包括互动内容、状态、照片和标题等数据。2024年6月20日,爱尔兰、英国、挪威等多国监管机构也暂停Meta使用其用户数据训练AI,因其存在隐私泄漏风险。
https://finance.sina.com.cn/stock/usstock/c/2024-07-03/doc-incawmeh8168574.shtml?r=0
https://www.163.com/dy/article/J54L55QS05199NPP.html
2.境外机构诱导我民众通过完善地图应用数据、在论坛讨论军备信息、安装监测设备等方式获取我敏感位置数据
2024年6月30日,境外机构通过高精度遥感卫星获取我敏感地理数据,同时诱导我民众配合完善相关数据。如打造“用户共创”机制,鼓励相关爱好者在地图应用上传标记精确地理信息;在卫星图像中涉及军事场景变化时,鼓励我民众在军事论坛中分析卫星图像变化原因、分辨军事设施设备型号和建设情况;招募我人员“协助”在机场、港口、军事基地周边安装探测装置,实时接收搜集敏感信息数据,给我国家安全带来严重威胁。
https://www.sohu.com/a/789601647\_121987875
转载请注明来源:关键基础设施安全应急响应中心
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”