北美观察 | 美国:FCC发布美国网络信任标识(U.S. Cyber Trust Mark)计划拟议规则制定通知
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
美国:FCC发布美国网络信任标识(U.S. Cyber Trust Mark)计划拟议规则制定通知
2023年8月10日,美国联邦通信委员会(FCC)宣布发布《拟议规则制定通知》(NOPR),就白宫于2023年7月18日宣布的美国网络信任标识(U.S. Cyber Trust Mark)计划征求公众意见。
这是一项自愿性网络安全标识计划,预计将于2024年开始实施,旨在帮助美国人更轻松地选择更安全、更不易受到网络攻击的智能设备。若该计划得以建立,消费者可以通过寻找美国网络信任标识来轻松识别符合广泛认可的安全和隐私标准的智能设备和产品,该标识将出现在包装上,并附有二维码,供消费者扫描以获取更多信息。FCC预计,由于消费者对易于识别的可信智能产品的需求会越来越大,随着时间的推移,会有越来越多的制造商参与到该自愿计划中来,以表明它们对隐私和安全的承诺。
最后,NOPR就如何制定最有效的计划提出了问题,并征求公众对下列问题的意见:
· 有资格纳入的标识计划的在美国销售的产品或设备的范围;
· 由谁来监督和管理该计划;
· 如何制定适用于不同类型设备或产品的安全标准;
· 如何证明符合这些安全标准;
· 如何保护网络安全标识不被擅自使用;以及
· 如何向消费者宣传该计划。
垦丁W&W简评:
该网络安全标识计划主要关注智能设备和IoT产品的网络、隐私安全问题,若计划通过并开始实施,国内企业向美国出口智能设备时可考虑自愿该计划已证明自身在网络、隐私安全方面已达到一定的标准。出海智能设备的企业需要持续关注该安全信任标识计划相关规则的制定进程,明确自身出海的产品是否将被纳入标识计划的范围,产品应当适用何种类型的安全标准等问题,评估自身是否将加入该计划,及时调整产品合规方案。
02
美国:NIST就修订后的网络安全框架征求公众意见
美国国家标准与技术研究院(NIST)于2023年8月8日发布了网络安全框架修订版草案,即NIST网络安全框架(CSF)2.0和实施示例讨论草案,并征求公众意见。
主要变化:
NIST强调,CSF的重大变化包括将该框架从医院和发电厂等关键基础设施扩展到不论类型和规模的所有组织。此外,修订后的框架草案还引入了第六项职能,这与其成功和全面的网络安全计划的主要支柱相一致,即“治理职能”,涵盖一个组织如何制定和执行内部决策以支持其网络安全战略。
更广泛而言,NIST指出修订后的框架草案为实施CSF提出了改进和扩展的指导。修订框架草案的主要目标是解释组织如何利用NIST和其他地方的技术框架、标准和指南来实施CSF。
实施示例:
关于实施示例草案,NIST正在征求以下方面的意见:
· 这些示例是否以适当的具体程度编写,并且对不同的组织都有帮助;
· 还有哪些其他类型的示例对CSF用户最有利;
· 哪些现有的实施指南可以容易地被采用为示例的来源;
· 示例应多久更新一次;和
· 是否以及如何接受社区提出的示例。
垦丁W&W简评:
网络安全风险管理计划和策略的度量、评估是适用CSF的一个重要领域,可帮助确定组织如何管理网络安全风险,以及如何改进。自2014年首次发布以来,NIST的CSF已被广泛用于降低网络安全风险。CSF2.0的修改包括了应用范围的变更、与现有资源和标准的衔接、更新实施示例、强调网络安全治理的重要性等部分,实施示例的修订也将帮助企业通过学习已有的实例更加针对性、细致地、更有效地利用CSF进行自身网络安全风险的管理。
03
美国:加利福尼亚州CPPA提交请愿书要求推翻CPPA法规的延迟实施
加州隐私保护局(CPPA)于2023年8月4日宣布,已与加州总检察长一同向第三地区上诉法院提交请愿书,寻求推翻萨克拉门托高等法院将修订后的《2018年加州消费者隐私法条例》(《CCPA条例》)的执行推迟12个月的裁决。
CPPA预计上诉法院将在下周决定是否受理该请愿书。
垦丁W&W简评:
2023年6月30日,加利福尼亚商会宣布,萨克拉门托高等法院裁定推迟执行修订后的《CCPA条例》。法院做出裁定时认为,CCPA在受影响的企业尚未完全了解将对其提出哪些要求的情况下执行修订后《CCPA条例》是不公平的,由此,修订后的《CCPA条例》将从生效之日推迟12个月执行(即2024年3月29日起执行)。此次CPPA的请愿书正是针对这一裁决提出,鉴于《CCPA条例》对企业遵守和强化个人信息保护相关规定具有重要作用,建议出海企业持续关注该事件走向,关注条例的执行时间是否产生最新变动。
04
美国:田纳西州州长签署信息保护法案
《田纳西州信息保护法案》(TIPA)于2023年5月11日由州长Bill Lee签署成为法律,将于2025年7月11日生效。TIPA包含综合隐私法的许多常见要素,例如,规定了适用于数据控制者和数据处理者的数据处理义务,消费者的数据主体权利和某些合同义务(但不包括消费者的个人诉权)。TIPA还包含一项特殊的条款,为实施符合美国国家标准与技术研究院(NIST)隐私框架的隐私计划的实体创建了一个安全港。
TIPA适用于在田纳西州开展业务、针对田纳西州居民提供产品或服务、营业收入超过2500万美元的实体,并且该实体
· 控制或处理至少25,000名消费者的个人信息且从出售个人信息中获得50%以上的总收入,或者
· 在一个日历年内控制或处理了至少175,000名消费者的个人信息。
此外,与美国其他州的综合隐私立法相同,TIPA也包括广泛的豁免条款,包括对特定类型实体和信息的豁免。
垦丁W&W简评:
截至2023年7月,美国已有11个州通过了隐私保护立法。尽管美国联邦层面的数据隐私保护法(ADPPA)仍处在立法进程中,但各州均积极推进州层面的隐私立法,2023年3月到6月间已有包括田纳西州在内的6个州通过了隐私相关立法。当前距离TIPA的生效还有将近两年,出海美国的企业可以利用这段时间评估自身是否落入TIPA的适用范围,若落入,可后续分析加州的CCPA、CPRA等法规与TIPA之间规定的异同,评估是否需要根据新法案更新隐私政策、数据主体权利行使程序等,积极履行相关合规义务。
近期推荐阅读:
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
欧洲观察 | 法国:CNIL确认谷歌履行了关于使用Cookie的合规指令
亚太观察 | 印度:印度总统批准通过《2023年数字个人数据保护法案》
北美观察 | 美国加利福尼亚州消费者保护局将审查联网汽车的隐私保护措施
北美观察 | 美国司法部对《欧盟-美国数据隐私框架》的充分性决定发表声明,强调合格州的指定有效
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
欢迎对数据合规感兴趣的法务同行加入
【全球数据合规实务群】
请添加主编微信(jie-72)
(入群请详细备注姓名、单位、研究领域)
资讯编写
叶影
垦丁律师事务所W&W国际法律团队实习生