北美观察 | 删除法案被提交参议院
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
美国:删除法案被提交参议院
2023年6月22日,美国俄勒冈州参议员Bill Cassidy、Jon Ossoff和众议员 Lori Trahan 、Chuck Edwards在同一天向参议院提出了《数据删除、限制大范围跟踪和交换(删除)法案》,该法案经过两读后被提交给商业、科学和运输委员会。DELETE法案将为个人建立一个系统,赋予个人要求为商业利益收集其个人数据的数据经纪人和公司删除他们的个人数据,并在未来不再收集。此外,DELETE法案将指示联邦贸易委员会(FTC)创建一个在线表,供美国人提交一次性的数据删除请求,该请求将被发送给所有注册的数据经纪人,并创建一个"不跟踪名单",以保护纳税人免于未来被收集数据。
垦丁W&W简评:
出海企业若作为美国当地的数据经纪人/数据代理人,应当根据信息性质和个人信息适用目的实施并维护合理的安全程序和做法,包括管理和技术方面的保障措施,防止个人信息被非法使用、披露、访问、销毁或修改。DELETE法案规定,在数据主体提出删除请求后31天内,数据代理商和任何相关法律实体应删除其拥有的与请求者相关的个人信息,并向委员会发送确认书说明删除的情况。在履行删除义务的过程中,只有符合法案例外规定的信息,如依据传票、法院命令要求保留的个人信息或仅为研究目的而处理、维护的个人信息等,企业作为数据经纪人才可以保留上述信息。
02
美国:NIST成立生成式人工智能公共工作组
2023年6月22日,美国国家标准与技术研究所(NIST)宣布成立生成性人工智能公共工作组,该工作组将解决与生成性人工智能(AI)相关的机遇和挑战。该工作组旨在帮助NIST制定关键指南,以帮助各组织应对与生成性人工智能技术相关的特殊风险。
最初,公共工作组将作为收集NIST人工智能风险管理框架将如何用于支持生成式人工智能发展的指导的相关意见的媒介。在中期,公共工作组将支持NIST在生成性人工智能相关的测试、评估和测量工作。从长远来看,公共工作组将探索具体的机会,以增加强大的生成性人工智能技术被有效地用于解决健康、环境和气候变化等领域的挑战的可能性。
垦丁W&W简评:
该AI工作组旨在帮助正在开发、部署和使用生成式AI并有责任确保其可信度的组织提供必要的指导。人工智能领域的出海企业可以参考NIST关于人工智能管理框架的使用手册,帮助企业更好地管理可能影响个人、组织、社会或环境的人工智能风险,促进人工智能系统的可信度,如有效、可靠、安全、负责和透明等。具体包括对人工智能系统进行分类;明确部署及风险管理流程,清楚记录结果,改进问责工作;以及制定由第三方软件和数据以及其他供应链环节引起的人工智能风险和收益问题的政策、程序等措施。
03
美国:内华达州有关消费者健康数据的修订法案获州长批准,将于2024年3月生效
该法案对监管实体规定了义务和禁令,受监管实体是指在内达华州开展业务或生产、提供给内达华州消费者产品或服务,以及决定处理、共享消费者健康数据目的和方式的企业。
该法案规定了与消费者健康数据隐私政策、消费者健康数据权利、安全做法和数据处理者有关的要求。同时,消费者对共享的同意必须与为收集其健康数据而提供的同意分开。该法并没有规定一个私人的诉讼权。相反,根据内华达州法律,违反该法的行为构成欺骗性贸易行为。
垦丁W&W简评:
目前出海美国的企业,应当评估自身是否落入内达华州关于消费者健康数据修订案的适用范围,分析美国《加州消费者隐私法案》(CCPA)、华盛顿州《我的健康、我的数据法案》(My Health My Data Act)和内达华州关于消费者健康数据修订案的不同,及时审查是否需要根据该新法案进行数据保护评估,数据控制者与数据处理者之间的合同是否包含了规定的内容,完善数据主体权利的行使程序,积极履行作为控制者的义务。
04
美国:宾夕法尼亚州州长签署关于保险数据安全的法案
该法要求根据宾夕法尼亚州的保险法获得许可或被要求持有保险执业照的组织进行风险评估,以检测可能导致授权访问、传输、披露、滥用、更改或破坏非公开信息的网络威胁,包括信息系统的安全和可被第三方服务供应商访问、持有的非公开信息。同时,被许可人必须评估此类威胁的可能性和潜在的损害程度,并评估对应政策、程序、信息系统以及其他保障措施的充分性,以管理控制相关领域的威胁,但某些小企业可以免除上述风险评估的义务。
保险执照持有人同时有义务建立信息安全计划,以降低已识别的风险,并制定一个事件响应战略,在发生数据泄露时为消费者提供保护。
垦丁W&W简评:
出海企业涉及与宾夕法尼亚州保险业相关的业务,应当评估企业自身提供保险数据的安全性,是否存在数据被篡改、访问、恶意使用或未经授权披露的情形;考虑制定一个全面的信息安全计划,针对可能的威胁、危害,如对信息系统进行访问控制,包括认证和仅允许访问的授权以及加密等其他适当的方式保护非公开信息的安全性和完整性,同时加强监测、评估系统的完善,以便及时作出相对应的保障和修复举措。
近期推荐阅读:
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
『实务分享』:当AIGC遇上数据跨境,该如何应对?| 垦丁W&W国际法律团队创始人王捷律师
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
七个重要修改亮点!垦丁W&W独家解读《个人信息出境标准合同办法》
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
主编介绍
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
资讯编写
陈凯婷
垦丁律师事务所W&W国际法律团队实习生