年度观察 | 域外网络安全与数据保护监管重点(美国及其他篇)
编者按
2023年,是全球网络安全与数据保护政策持续变化革新的一年,也是全球数据领域执法活动高度活跃的一年。我们以图文形式对本年度域外网络安全与数据保护的监管要点进行了梳理总结,并在每一监管要点后附相关立法与执法活动梳理,读者可点击“阅读原文”查看或下载欧盟篇相关立法和执法活动的完整内容。
本年度域外网络安全与数据保护监管要点分为欧盟篇、美国及其他篇;此前我们已推出欧盟篇(点击蓝色字体,查阅我们发布的:年度观察 | 域外网络安全与数据保护监管重点(欧盟篇)),本篇为美国及其他篇。
域外网络安全与数据保护监督要点图鉴
一、美国网络安全与数据保护监管重点
01 联邦层面统一的数据隐私保护立法仍不明朗
1)《美国数据隐私和保护法案》(ADPPA):立法进展停滞,目前仍处于草案状态;
2)《在线隐私法案》:虽今年再度被众议员提出,但立法进程仍落后于ADPPA,前景更加未知。
相关立法与执法活动:
《美国数据隐私和保护法》草案发布,将就其举行听证会
美国议员提议制定《在线隐私法》
02 州层面分散的数据隐私保护立法进程加速
1)此前通过的州数据保护立法:5个。加利福尼亚州、弗吉尼亚州、科罗拉多州、犹他州以及康涅狄格州;
2)2023年度通过的州数据保护立法:新增8个。华盛顿州、俄勒冈州、德克萨斯州、蒙大拿州、爱荷华州、特拉华州、田纳西州、印第安纳州;
3)加州数据保护立法新变化:CCPA通过修正案(2023.10修正)+CPRA推迟生效(2024.03.29之后);
4)其他州立法步伐加快:纽约州、明尼苏达州等正在加速制定州数据保护立法。
加州CCPA法规再次迎来修订
加州州长签署通过《加州消费者隐私法》修正案
加州隐私保护局拟修订《加州消费者隐私法条例》
《纽约州隐私法》法案已被提交至州议会
纽约州参议院提交关于组建数据保护机构的法案
《科罗拉多州隐私法》将于2023年7月1日生效
《科罗拉多州隐私法》正式生效并开启执法
科罗拉多州总检察长办公室要求数据控制者向消费者提供通用的选择退出机制
印第安纳州通过《消费者数据保护法》
德克萨斯州参议院通过《数据隐私和安全法案》
康涅狄格州通过关于网络隐私、数据和安全保护的新法案
佛罗里达州隐私私法案获两院通过
佛罗里达州参议院提交关于技术透明度的法案
肯塔基州参议员提交关于保护消费者数据隐私的法案
俄勒冈州参议院提出关于保护消费者个人数据的法案
西弗吉尼亚州众议院建议通过消费者数据保护法案
(滑动查看更多)
03 证券相关数据保护监管规则强化
1)赴美上市企业数据合规:SEC通过上市公司网络安全信息披露新规则,赴美上市企业需关注;
2)证券经纪商记录保存:SEC提出立法建议,强化证券经纪商通知义务与公开披露义务;
3)SEC配合个人信息主体行权:拟修订SEC配合个人信息主体行权程序性条款。
点击蓝色字体,查阅我们此前发布的:
新法速递 | 美国证券交易委员会发布上市公司网络安全信息披露新规
相关立法与执法活动:
美国证券交易委员会通过上市公司网络安全信息披露新规则
美国证券交易委员会对适用于证券经纪商等的记录保存规则提出了新的立法建议
美国证券交易委员会拟议修订隐私保护法案中的部分规定
04 美欧数据跨境流动规则更新
更为便利的数据跨境流动机制:欧盟通过欧盟-美国DPF的充分性决定,美国实施欧盟-美国数据隐私框架(DPF)。
相关立法与执法活动:
美国商务部发布关于实施欧盟-美国数据隐私框架的声明
欧盟通过欧盟-美国数据隐私框架的充分性认定
05 重点领域立法精细化
1)儿童数据保护:除参议院提交的(COPPA 2.0)草案、FTC拟修改《儿童在线隐私保护规则》等联邦层面的立法外,各州也在细化关于儿童数据保护的州立法。其中,“可验证的同意”以及“社交媒体平台内的儿童数据保护”为本领域下的立法重点关注内容。
2)健康数据保护:围绕HIPPA,HHS、NIST以及部分州细化对于健康数据的保护规则,并通过发布新规、指南等方式,为企业遵守HIPPA提供合规遵从。其中,“PHI信息的收集、分享和销售等全生命周期保护"值得相关企业重点关注。
3)商业营销与自动化决策合规:针对通信领域及营销场景,FTC、FCC以及部分州立法机构重点关注“刷屏、自动外呼、自动短信”等营销行为在消费者“取得同意要求”与“退出权利”等内容。
4)生物识别信息保护:就企业收集生物识别信息以及利用生物识别技术的合规性,以FTC和部分州立法机构为代表的监管部门重点关注“是否违规处理生物识别信息的判断”、“被侵害主体的救济权利”、“合规内控”等问题。
5)其他重点领域:除上述重点领域外,金融数据保护、信用数据保护、员工数据保护、数据泄露与网络安全、数据经纪人、数据中介等主题也为2023立法密切跟进领域。
相关立法与执法活动:
加州CCPA法规再次迎来修订
加州州长签署通过《加州消费者隐私法》修正案
加州隐私保护局拟修订《加州消费者隐私法条例》
《纽约州隐私法》法案已被提交至州议会
纽约州参议院提交关于组建数据保护机构的法案
《科罗拉多州隐私法》将于2023年7月1日生效
《科罗拉多州隐私法》正式生效并开启执法
科罗拉多州总检察长办公室要求数据控制者向消费者提供通用的选择退出机制
印第安纳州通过《消费者数据保护法》
德克萨斯州参议院通过《数据隐私和安全法案》
康涅狄格州通过关于网络隐私、数据和安全保护的新法案
佛罗里达州隐私私法案获两院通过
佛罗里达州参议院提交关于技术透明度的法案
肯塔基州参议员提交关于保护消费者数据隐私的法案
俄勒冈州参议院提出关于保护消费者个人数据的法案
西弗吉尼亚州众议院建议通过消费者数据保护法案
06 人工智能监管加速,成为新的利益博弈点
1)国内人工智能立法:缺少联盟层面统一立法,通过行政命令先行推进人工智能风险治理
2)国内人工智能司法争议:以OpenAI为代表的生成式人工智能服务提供者面临版权诉讼等司法争议,相关司法裁判结果或可影响生成式人工智能产业发展。
3)国际人工智能竞争:通过对华投资限制、出口管制、收集使用云服务的中国企业信息等方式进行人工智能监管博弈。
拜登签署发布关于安全、可靠和可信的人工智能开发和使用的行政命令
美国参议员提出两项关于人工智能的新法案
拜登政府发布对华投资限制令,拟限制美企投资中国人工智能领域
美国国家标准与技术研究院发布人工智能风险管理框架
美国联邦贸易委员会敦促“模型即服务”(model-as-a-service)企业遵守隐私和保密承诺
FTC发表关于人工智能开发和部署过程中的竞争和消费者保护的意见
FTC拟建立算法追缴制度以强化人工智能领域执法
美国EPIC向科技政策办公室提交人工智能方面的建议
美国七大人工智能科技巨头承诺在AI开发的过程中遵守三大基本原则
美国众议员提出《人工智能基础模型透明度法案》
美国议员提出《人工智能研究、创新和问责法案》
美国工业与安全局发布关于IaaS服务客户识别规则的拟议规则制定通知
美国国会研究局发布关于生成式人工智能和数据隐私的报告
加州参议院提交关于建立人工智能办公室的法案
纽约州通过规制深度合成技术的法案
加利福尼亚州州长签发关于政府使用生成式人工智能的行政命令
美国消费者金融保护局发布关于放贷机构使用人工智能拒绝贷款的指南
纽约州通过关于禁止传播利用深度伪造技术生成的色情图像的法案
华盛顿众议院提出关于促进合乎伦理的人工智能的法案
马赛诸塞州参议员提出关于规范生成式人工智能模型的法案
德克萨斯州关于创建人工智能咨询委员会的法案在参议院通过一读
RIPD宣布启动针对Chatgpt的国际协调执法行动
美国议员发函询问自动驾驶有关数据安全问题
《纽约时报》对Microsoft和OpenAI提起诉讼,指控两家公司未经许可将其新闻文章用于算法训练侵犯其版权
OpenAI等再度因AI训练遭到作家起诉
美国地方法院判决认定人工智能生成内容不具有可版权性
Vimeo将在AI相关生物识别隐私的诉讼中支付225万美元赔偿金。
美国作家协会联合对OpenAI提起版权集体诉讼
07 以FTC为代表的数据保护执法活跃
1)重点执法部门:FTC(最为广泛)、FCC、HHS、CFPB、DOJ、联邦及州政府、法院、州检察长等;
2)重点执法对象:大型互联网平台、大模型服务提供者、涉儿童数据、健康数据等数据处理企业、通信运营商等;
3)重点违规问题:聚焦上述所列重点领域,细化违规问题可阅读原文查看《2023年度域外网络安全与数据保护立法与执法事件梳理》。
相关立法与执法活动:
FTC对Epic Games就其侵犯未成年人隐私的侵权行为作出5.2亿美元处罚的最终决定
FTC拟对微软违反COPPA法案的行为处以2000万美元罚款
FTC因网络语音通话服务商未采取措施屏蔽非法自动呼叫电话对其处以1000万美元罚款
FTC因BetterHelp非法共享用户健康数据对其处以780万美元罚款
FTC因Response Tree非法收集、使用个人信息对其罚款700万美元
美国司法部与FTC共同决定就Edmodo非法收集儿童个人信息对其处以600万美元罚款
FTC拟就背调机构出具不实背调报告对其处以合计580万美元罚款
FTC拟全面禁止Meta利用未成年人数据谋利
FTC拟禁止Edmodo违反COPPA法案的侵权行为
FCC就某企业实施非法自动呼叫对其罚款2.99亿美元
FCC拟对两家通信服务商违法处理用户数据处以2000万美元罚款
FCC就未经同意实施自动呼叫对涉事主体处以500万美元罚款
FTC和CFPB宣布就Trans Union未能保障消费者报告准确性与其达成1500万美元和解
美国司法部起诉谷歌非法垄断数字广告市场
伊利诺伊州最高法院对某企业违反生物识别信息隐私法处以170亿美元罚款
德克萨斯州地方法院就两起非法自动呼叫案件判处合计1.46亿美元罚款
加州总检察长宣布与Google就位置隐私诉讼达成9300万美元的和解协议
美国六州总检察长与摩根士丹利就客户数据泄露诉讼达成650万美元和解
二、其他国家和地区网络安全与数据保护监管重点
01 数据安全与个人信息基础性立法日益完善
在欧洲和美国之外,全球多国与地区在2023年持续积极完善其数据安全与个人信息保护的基础性立法。例如,韩国和日本在2023年对各自的《个人信息保护法》进行了重要修订;澳大利亚提出了对《1988年隐私法》的修订建议;印度通过了《2023年数字个人数据保护法》;越南颁布了《个人数据保护法令》;台湾立法院也通过了《2015年个人资料保护法》(PDPA)的修正案。这些立法活动彰显了各国对个人信息保护的高度重视,从而构建更加完善和适应数字时代的个人信息保护法律框架。各国的立法努力也反映了全球范围内对数据安全和个人信息保护日益增长的关注,以及对建立更加透明、可控的数据环境的追求。
02 针对头部跨国巨头的数据保护执法活跃
2023年,全球范围内,各国及地区的执法机构对任何违反数据安全与个人信息保护的法律法规均表现出坚决、严厉的处罚决心。在这一监管浪潮中,具有广泛市场影响力和庞大用户数据处理能力的跨国巨头,如Meta、Instagram、Google、Apple、OpenAI等,因其在数据方面的敏感性和重要性,成为监管机构的重点监控对象。处罚力度的加大,特别是对高额罚款的偏好,反映了各国监管机构对数据安全违规行为的零容忍立场。违法行为类型多样,但主要集中在算法歧视导致的不公平待遇、大规模数据泄露以及未经授权收集和使用用户个人信息等严重侵犯用户权益的行为。执法机构的频繁介入和严厉打击,旨在维护公平竞争的市场环境,保护用户权益,并推动企业采取更加负责任的数据管理实践。
03 数据跨境流动规则愈见清晰
2023年,韩国发布《个人信息跨境传输条例》草案,巴西发布《个人数据跨境传输条例》及标准合同草案,这些举措体现了各国在个人信息跨境流动领域的积极态度和创新尝试。在全球范围内,数据跨境流动已经成为推动数字经济发展的关键因素,各国政府和国际组织正致力于制定和完善相关法律法规,以适应数字化时代的新挑战。各国在保障数据安全和促进经济发展之间寻求平衡,通过国际合作和区域性协议,共同推动数据跨境流动的规范化和法治化。随着技术的不断进步和全球经济一体化的深入发展,数据跨境流动的规则制定和监管将更加复杂,但同时也为全球数字经济的繁荣提供了新的动力。
04 人工智能领域针对性监管加强
2023年标志着人工智能领域的新纪元,特别是大型模型技术的迅猛发展,引起了国际社会的广泛关注。全球范围内,各国政府正积极构建和完善各自的人工智能监管体系,以应对技术进步带来的挑战和机遇。例如ISO发布《信息技术 人工智能 管理系统》国际标准及人工智能风险管理指南;韩国发布人工智能时代个人信息安全使用政策并试点开展人工智能“初步充分性审查”;日本警告OpenAI不得非法收集、使用用户个人信息;加拿大发布人工智能行为准则草案并发布《人工智能和数据法案》配套文件;新西兰信息专员办公室发布《生成式人工智能指南》。
这不仅体现了各国对人工智能技术发展的积极态度,也揭示了全球人工智能监管趋势的几个关键方向:一是强调透明度和可解释性;二是注重数据保护和隐私权,防止个人信息被滥用;三是推动伦理和责任原则的落实;四是实施分类分级监管,针对不同风险级别的AI应用采取相应的监管措施;五是鼓励国际合作,共同制定和遵守国际AI治理标准。这也表明全球正朝着建立一个更加成熟、协调一致的人工智能监管环境迈进。
05 各国/地区具体立法与执法事件
韩国
韩国个人信息保护委员会发布2022年《个人信息保护法》标准解释指南
韩国个人信息保护委员会批准修订后的《个人信息保护法》执行法令
韩国个人信息保护委员会发布《个人信息保护法执行法令》修正案
韩国个人信息保护委员会发布关于《个人信息保护法》及其施行法令修订内容的指南
韩国公平贸易委员会拟制定《平台公平竞争促进法》,规范大型平台企业垄断行为
韩国个人信息保护委员会发布人工智能时代个人信息安全使用政策
韩国个人信息保护委员会发布了网购账户信息防盗指南
韩国互联网和安全机构发布最新《信息安全披露指南》
韩国发布《个人信息跨境传输条例》草案
韩国个人信息保护委员会发布在线招聘平台个人信息保护自律规则草案
韩国个人信息保护委员会对Meta违反《个人信息保护法》的行为罚款660万韩元
韩国打车应用Kakao T因算法歧视被罚257亿韩元
韩国麦当劳因泄露客户个人数据被罚款6.96亿韩元
韩国个人信息保护委员会因Meta和Instagram违法收集使用用户为数据对其分别罚款6亿韩元和5.886亿韩元
韩国个人信息保护委员会因三星未采取充分安全保护措施对其罚款8.9亿韩元
韩国个人信息保护委员会因某通信运营商泄露个人数据对其罚款68亿韩元
韩国通信委员会指控Google和Apple涉嫌滥用应用程序分发市场支配地位
韩国个人信息保护委员将试点开展人工智能“初步充分性审查”
日本
日本修改《网络安全管理准则》
日本《个人信息保护法》于2023年4月1日起生效
日本内阁秘书处征求公众对地理空间信息使用指南修订草案的意见
日本个人信息保护委员会警告OpenAI不得非法收集、使用用户个人信息
澳大利亚
多国网络安全机构联合发布关于减轻人工智能安全风险的新指南
澳大利亚总检察长就《隐私法》的审查报告征求公众意见
澳大利亚通信和媒体管理局就因Kmart违反《垃圾邮件法》对其罚款130万澳元
Meta因未充分披露数据使用情况被澳大利亚竞争和消费者委员会罚款2000万澳元
澳大利亚通信和媒体管理局因DoorDash违法发送营销邮件对其罚款200万澳元
澳大利亚数据保护机构参与发布关于数据抓取和隐私保护的联合声明
加拿大
加拿大发布机器学习医疗设备上市合规指南
加拿大隐私专员办公室发布针对个人信息传真的最新指南
加拿大隐私专员办公室发布生物识别数据处理指南草案
加拿大下议院下属工业和技术委员会公布消费者隐私保护法
加拿大发布生成式人工智能行为准则草案
加拿大发布《人工智能和数据法案》配套文件
加拿大隐私专员办公室发布生成式人工智能系统的开发、提供和使用原则
加拿大隐私专员办公室发布青少年隐私保护指南
加拿大联邦上诉法院裁定Google Research受到个人信息保护法的约束
其他组织、国家和地区
联合国成立人工智能咨询机构
ISO发布关于管理个人信息主体的同意记录的新标准
ISO发布ISO/IEC 42001:2023《信息技术 人工智能 管理系统》国际标准
ISO发布人工智能风险管理指南
印度议会通过《2023年数字个人数据保护法》
越南政府批准《个人数据保护法令》
越南颁布《个人数据保护法令》
新加坡《在线安全(杂项修订)法案》生效
新加坡卫生部就制定《健康信息法案》征求公众意见
新西兰信息专员办公室发布《生成式人工智能指南》
新西兰隐私专员办公室将推进制定生物识别信息隐私规则
巴西数据保护机构发布《数据泄露报告标准》草案
巴西数据保护机构发布中小企业数据处理活动记录模板
巴西数据保护机构发布《个人数据跨境传输条例》及标准合同草案
中国台湾立法机构通过《个人资料保护法》修正案
(滑动查看更多)
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
本期编辑:陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”