编译 | 李嘉璐莎、单墨涵、范玥含、刘熙隆（北京理工大学）

审校 | 王磊（北京理工大学）、张奕欣、邢潇（CNCERT）

1.美国众议院提出《保护美国人免受外国对手侵害的数据法案》

2024年3月5日，美国众议院能源和商业委员会主席和高级委员提出了《保护美国人免受外国对手侵害的数据法案》，即H.R.7520号法案。该法案旨在禁止数据经纪人从美国公民的个人数据中获利，并阻止他们向外国对手或外国控制的实体出售个人敏感数据，特别是涉及美国军事服务人员的数据，以保护个人隐私和国家安全。该法案的主要内容包括：一是禁止任何数据经纪人非法将美国个人的敏感数据出售、许可、租赁、交易、转移、披露、提供访问或以其他方式提供给任何外国对手国家或任何由外国对手控制的实体组织。二是明确数据经纪人的内涵。三是明确敏感数据类型。

https://democrats-energycommerce.house.gov/media/press-releases/pallone-rodgers-introduce-legislation-protect-americans-data-foreign

2.美国联邦通信委员会和英国信息专员办公室签署谅解备忘录

2024年2月29日，美国联邦通信委员会（以下简称“FCC”)和英国信息专员办公室（以下简称“ICO”）签署了一份谅解备忘录（以下简称“MoU”)，旨在保护人们免受骚扰电话、垃圾讯息的侵扰，并防止人们的隐私和敏感数据被滥用。ICO表示，在双方目前通过“主动通讯网络”（以下简称“UCENet”）就电子营销和反垃圾邮件监管开展合作的基础上，谅解备忘录规定了双方将如何在技术发展、情报获取以及解决电话诈骗、来电显示欺骗和数据隐私泄露等问题上加强信息共享。随着消费者在网上分享更多的个人信息，人们的数据更有可能被发送到世界各地进行存储和处理，ICO和FCC之间的加强合作将使这两个组织能够更好地保护人们的隐私。

https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/02/ico-and-federal-communications-commission-sign-memorandum-of-understanding

3.欧盟委员会通过了加拿大和欧盟间就乘客姓名记录数据传输的协议提案

2024年3月4日，欧盟委员会宣布通过并向欧盟理事会提交了加拿大与欧盟之间关于乘客姓名记录数据传输（PNR）的协议提案。欧盟曾于2018年6月20日与加拿大展开谈判，寻求于提案中纳入欧盟法院（CJEU）要求的保障措施，并于2023年10月11日敲定了初步协议。提交给理事会的最新提案主要内容如下：一是数据传输时应明确处理的目的，包括在出于其他目的进行处理时的事先审查；二是禁止加拿大处理敏感数据；三是保障个人的数据主体权利；四是在将PNR数据转发给其他政府机构时，需要采取适当的保护措施。

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=comnat:COM_2024_0094_FIN

4.欧盟数据保护委员会表示欧盟委员会在使用Microsoft 365时违反了数据保护法规

2024年3月11日，欧盟数据保护委员会（以下简称“EDPS”）宣布结束了对欧盟委员会使用Microsoft 365的调查，认为其违反了欧盟的数据保护条例（欧盟第2018/1725号条例）的多项规定。EDPS认为欧盟委员会未能提供适当的保障措施以确保转移到欧盟或欧洲经济区以外的个人数据获得与在欧盟或欧洲经济区内同等水平的保护。此外，EDPS认为欧盟委员会没有充分说明在使用Microsoft 365时要收集哪些类型的个人数据，以及未明确收集数据的具体目的。

https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf

5.韩国个人信息保护委员会宣布对海外公司进行调查

2024年3月7日，韩国个人信息保护委员会(PIPC)宣布，自2024年2月以来，一直对海外企业大规模收集和处理个人信息的行为进行调查。此次调查是对国会审计所提出问题的回应。PIPC表示计划检查:个人信息处理政策的充分性；海外转移数据行为以及《2021年个人信息保护法》(2023年修订)(PIPA)下的安全措施义务。PIPC强调，如果违规行为被确认，将根据相关法律和法规采取行动。

https://www.dataguidance.com/news/south-korea-pipc-announces-investigation-overseas

6.格鲁吉亚《2023年数据保护法》主要条款生效

2024年3月1日，修订后的格鲁吉亚《2023年数据保护法》正式生效，该法曾于2023年6月14日修订。新修订的版本大幅改变了有关个人数据处理的现有法规，并扩大了数据处理的范围。格鲁吉亚原《数据保护法》一度因其规范的僵化被视作该国数据自由流动的重要障碍，《2023年数据保护法》则对相关规范进行了削减。《2023年数据保护法》中的主要条款包括：与数据处理有关的原则；数据控制者的义务；与数据泄露有关的义务和国际数据传输的条件等。

https://assets.kpmg.com/content/dam/kpmg/ge/pdf/2023/12/Personal-Data-Guide-ENG.pdf

7.土耳其宣布修订《个人数据保护法》

2024年3月12日，土耳其个人数据保护局（KVKK）通过第32487号官方公报宣布了对《个人数据保护法》（Law on the Protection of Personal Data No.6698，LPPD）的修订。具体而言，本次修订主要对《个人数据保护法》第6条、第9条、第18条进行了修改，并增加了新的临时条款。具体内容如下：第一，对特殊类别个人数据处理相关条款的修改。第二，关于向国外传输个人数据相关条款的修改。

https://kvkk.gov.tr/Icerik/7834/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununda-Yapilan-Degisiklikler-Hakkinda-Kamuoyu-Duyurusu

8.2024政府工作报告提出推动解决数据跨境流动问题

2024年3月5日，国务院总理李强在政府工作报告中介绍今年政府工作任务中提出，“扩大高水平对外开放，促进互利共赢”。在加大吸引外资力度部分提到，“落实好外资企业国民待遇，保障依法平等参与政府采购、招标投标、标准制定，推动解决数据跨境流动等问题。

https://www.gov.cn/yaowen/liebiao/202403/content_6936345.htm

9.上海印发《上海外资研发中心提升计划》表示支持外资研发中心研发数据依法跨境流动

2024年3月12日，上海市人民政府办公厅印发《上海外资研发中心提升计划》（以下简称《计划》）。《计划》旨在吸引外资研发中心在本市集聚和提升能级，支持外资研发中心开展高水平研发活动，激发科技创新能力，更好服务上海国际科技创新中心建设，推动外资高质量发展。《计划》提出：支持外资研发中心研发数据依法跨境流动。加快建立健全数据资源交易流通、跨境传输、安全保护等制度和标准规范。鼓励外资研发中心通过数据安全管理认证，提高数据安全管理能力和水平，形成符合数据安全要求的标准或最佳实践，在符合法律法规要求、确保安全前提下，提升数据跨境流动的便利性。在中国（上海）自由贸易试验区（含临港新片区）按照数据分类分级保护制度，依法制定需要纳入管理范围的数据清单和重要数据目录，清单和目录以外的数据出境，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

https://www.shanghai.gov.cn/nw12344/20240312/8496fe67c56f4dc4b60ee5dc7810d698.html