欧洲观察 | 英国:《在线安全法》立法通过
文/ 王捷律师团队
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
英国:《在线安全法》立法通过
2023年10月26日,英国通信管理局(Ofcom)宣布,《在线安全法》(Online Safety Act)已经立法通过。该法案将被执行,Ofcom公布了实施方法和时间表。Ofcom会持续推动与该法案目标相一致的变革,并支持服务机构履行其新的法律义务。
范围
Ofcom强调,该法案将适用于用户至用户服务(user-to-user services),如社交媒体照片和视频共享服务、聊天和即时通讯平台、在线和移动端游戏,以及搜索服务和色情网站。Ofcom称该法案要求经营各类主流在线服务的公司承担法律责任,确保人们(尤其是儿童)的在线安全。其要求适用范围内的公司,应当对其网站和应用程序上的内容和行为所产生的安全风险进行评估和管理。
Ofcom的监管方法
Ofcom特别指出,它所展开的监管主要关注对英国用户造成最大伤害风险的服务和功能上。这将涉及对规模最大、风险最高的服务的持续监管。Ofcom解释说,它不会命令公司删除特定内容或账户,而是会针对非法或有害在线内容的来源,寻求整个行业的系统性变革。Ofcom首席执行官Dame Melanie Dawes指出:"Ofcom不是审查机构;我们的职责是解决网络伤害的核心问题。我们正在为更安全的网络环境制定标准,同时尊重隐私和言论自由"。另外,不遵守该法案的企业可能被判处高达 1800 万英镑或全球收入 10%(以金额较高者为准)的罚款。
分阶段实施
Ofcom强调,将分三个阶段实施该法案:第一阶段是非法内容;第二阶段是儿童安全、色情以及保护妇女和女童以及第三阶段的分类服务的附加职责。具体时间以法案和相关辅助立法的要求为准。
垦丁W&W简评
《在线安全法》立法通过意味着Ofcom作为网络安全监管机构的权力正式开始生效。Ofcom将为在线服务制定新标准,确保网站和应用程序在设计上更加安全。
Ofcom为法案的实施做出了阶段性的规划:第一阶段从2023年11月9日开始,关注点是非法内容(包括儿童性虐待材料、恐怖内容和欺诈),并发布有关服务提供商如何遵守非法内容安全职责的建议和行为准则草案。第二阶段将制定关于托管色情内容的服务提供商的指南草案,以及有关保护妇女和女童的指南草案;第三阶段为设置服务提供商的附加职责,包括发布透明度报告和部署用户授权措施等。
出海英国的企业如果涉及提供各类主流在线服务,应当持续关注《在线安全法》以及后续二级立法的进程,参照规则对自身网站和应用程序上的内容和行为所产生的安全风险进行评估和管理。
02
英国:DSIT发布IDTA和EU SCC附录评估
2023年10月25日,英国科学、创新和技术部(DSIT)发布了《国际数据传输协议》(IDTA)实施情况第一阶段评估报告。该评估于2022年7月至9月间进行,旨在评估企业如何实施从欧盟标准合同条款(SCC)到《国际数据传输协议》和欧盟标准合同条款附录的转变。评估考察了:
企业用于在国际上传输个人数据的法律和技术工具,以及使用这些工具的原因;
企业对 IDTA 和欧盟 SCC 附录的认识和看法,以及他们是如何实施的;
实施过程的成本和效益。
总体而言,评估发现除经常参与国际数据传输的大型企业外,接受调查的企业对IDTA的认识程度较低。了解IDTA的企业往往对实施该协定持积极或中立的态度,认为实施过程简单明了。而小型企业因为缺乏认识和依赖大型供应商来推动数据保护合规性的更新过程,有可能无法正确或全面地执行 IDTA 或欧盟 SCC 附录。
垦丁W&W简评
不同规模的企业处理数据跨境传输问题存在较大差异。大型企业倾向于使用内部法律团队或引入外部顾问来管理内部数据保护流程,小型企业很有可能不会主动参与数据保护问题,对IDTA和SCC缺乏认知,依靠较大的供应商来推动更新数据保护合规性的过程。DSIT表示未来将通过与中小企业社区的定期磋商来密切监控企业不遵守规则产生的风险。另外DSIT还考虑与大型软件供应商合作共同对中小企业实施IDTA开展指导,并就这些中小企业供应商如何确保IDTA在其合同中正确实施提供建议。
03
欧盟:CoE发布控制者向处理者转移的合同条款范本修订草案
基于《关于自动处理个人数据对个人的保护公约》(《108+公约》),欧洲委员会(CoE)于2023年10月19日发布了其修订后的《数据跨境传输第二类标准合同条款》(Model Two Contractual Clauses for cross-border data transfers)草案,规范控制者和处理者之间的数据跨境传输,并规定了适当的保障措施,包括数据出口者和进口者的义务、可强制执行的数据主体权利以及有效的法律补救措施。
条款草案的最新修正案增加了与处理透明度相关的要求,即数据传出方必须应要求向数据主体免费提供一份条款副本,包括各方填写的附件。此外,草案还要求数据处理者按照《数据跨境传输第一类标准合同条款》(Model One Contractual Clauses for cross-border data transfers)条款第23.1.c条的规定,如果数据接收方被迫向第三方(包括公共机构)保留、授予访问、提供或披露从数据传出方转移获得的个人数据,那么数据处理者应立即通知数据主体。
垦丁W&W简评
《108+公约》是在1981年通过的关于数据保护的国际公约,除欧盟成员国之外,部分非欧盟成员国国家加入了该条约。《108+公约》的主要目标之一是促进公约缔约国之间以及缔约方与非缔约方之间的信息自由流动。此次发布的《数据跨境传输第二类标准合同条款》修订草案,规范的对象为控制者与处理者之间(C-P)的数据跨境传输。欧盟成员国向非缔约国传输个人数据的情况,将优先适用GDPR下的标准合同条款。因此,《数据跨境传输第二类标准合同条款》将主要适用于《108+公约》缔约国的控制者和非缔约国的处理者之间数据跨境传输。
04
欧盟:《人工智能法》谈判进入最后阶段,EDPS就该法发表意见
2023年10月24日,随着欧盟共同立法者之间的谈判进入最后阶段,欧洲数据保护监管局(EDPS)根据立法发展情况就《人工智能法》提案发布了第 44/2023 号倡议意见。该意见重点关注 EDPS的作用,其中包括:
EDPS和EDPB 关于人工智能法案的联合意见中规定的 "红线 "至关重要,尤其是禁止人工智能系统存在不可接受的风险以及高风险人工智能系统。
重申在《人工智能法》生效之日起已经在使用的人工智能系统应从生效之日起遵守其要求。
支持增加受人工智能系统影响的人向主管当局提出申诉和获得有效司法补偿的权利。
设立欧洲人工智能办公室(AI Office)作为欧洲执法的良好开端。EDPS 呼吁共同立法者赋予 EDPS 在人工智能办公室的投票权,使其成为人工智能办公室管理委员会的正式成员。EDPS 随时准备在与国家监督机构平等的基础上开展联合调查,并参与 AI 办公室的其他活动。
垦丁W&W简评
《人工智能法》旨在规范人工智能(AI)系统在欧盟的开发和使用。联合意见指出,欧盟现阶段最关注的是为所有高风险的人工智能系统建立共同的规范性标准。以人工智能系统可能产生的风险强度和范围为基础,制定有效的约束性准则。
其中对“不可接受”的人工智能应明确禁止,禁止使用对个人及其基本权利构成不可接受风险的人工智能系统,包括禁止在公共场合使用人工智能系统自动识别人类特征和其他行为信号;对“高风险”的人工智能系统应提出相应要求并规定运营商的义务;对部分人工智能规定透明度义务。《人工智能法》的谈判已经进入最后阶段,人工智能领域的出海企业应及时梳理法案内容,对自身风险等级做好初步评估以便后续合规制度的搭建。
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读系列(四):数据继续传输的合规指南
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
亚太观察 | 韩国:PIPC公布违反个人信息保护法的惩戒标准
欧洲观察 | 英国:DSIT为应用商店运营商和开发人员发布更新的实践守则