1.中国外交部发布《全球人工智能治理倡议》
围绕人工智能发展、安全、治理三方面系统阐述了人工智能治理中国方案,核心内容包括:坚持以人为本、智能向善,引导人工智能朝着有利于人类文明进步的方向发展;坚持相互尊重、平等互利,反对以意识形态划线或构建排他性集团,恶意阻挠他国人工智能发展;主张建立人工智能风险等级测试评估体系,不断提升人工智能技术的安全性、可靠性、可控性、公平性;支持在充分尊重各国政策和实践基础上,形成具有广泛共识的全球人工智能治理框架和标准规范,支持在联合国框架下讨论成立国际人工智能治理机构;加强面向发展中国家的国际合作与援助,弥合智能鸿沟和治理差距等。
2.中华人民共和国国务院发布《未成年人网络保护条例》
并将于2024年1月1日起实施。《条例》共七章六十条,主要从网络素养促进、网络信息内容规范、个人信息网络保护以及网络沉迷防治四个章节提出网络保护要求,综合考虑了未成年人身心健康和网络空间的规律特点,对现有的《未成年人保护法》、《网络安全法》和《个人信息保护法》进行了细化和完善。(详情请点击阅读原文查看“重点法规解读”
3.科技部等十部门联合印发《科技伦理审查办法(试行)》
4.国家密码管理局公布《商用密码应用安全性评估管理办法》
《商用密码应用安全性评估管理办法》旨在规范商用密码应用安全性评估工作,统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定,自2023年11月1日正式施行。(详情请点击阅读原文查看“重点法规解读”)
5.国家密码管理局发布《商用密码检测机构管理办法》
旨在贯彻落实《中华人民共和国密码法》《商用密码管理条例》规定,按照商用密码依法管理要求,细化商用密码检测机构管理措施。该办法从适用范围、监管体制、资质认定条件和程序、从业规范和监督检查及法律责任方面规定了商用密码检测机构的各项合规要求。
6.国家密码管理局发布关于《电子政务电子认证服务管理办法(征求意见稿)》公开征求意见的通知
该办法主要内容涵盖资质认定、申请流程、资质审查、外商投资安全审查、资质证书、信息公示以及资质变更等,以确保提供电子政务电子认证服务的机构满足特定条件,并强调安全和可靠性。
7.传染病防治法修订草案提请审议,强化传染病防治中个人信息保护
修订草案共十章一百一十五条,从传染病防治体制机制建设、应急处置制度、疫情救治保障体系等方面进行了修改完善。值得注意的是,修订草案强化了传染病防治中的个人信息保护,强调依法开展个人信息处理活动,确保个人信息安全,不得过度收集信息;疫情防控中采用的个人电子风险提示码不得用于疫情防控以外的用途。
8.工业和信息化部公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见
征求意见稿全文共五章,包括总则、企业分类分级、网络安全管理、支持与保障及附则,要求工业和信息化部统筹指导开展工业互联网安全分类分级管理工作,并强调工业互联网企业应承担本企业网络安全主体责任,建立健全企业内部网络安全管理制度,积极将网络安全纳入企业发展规划和工作考核,加大网络安全投入,加强网络安全防护能力建设,有效防范化解网络安全风险。(详情请点击阅读原文查看“重点法规解读”)
9.工业和信息化部网络安全管理局公开征求对《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》的意见
《工业和信息化领域数据安全风险评估实施细则(试行)》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务(包括对象、内容、评估机制、报送要求等),明确了行业主管部门监督管理评估活动的机制流程。(详情请点击阅读原文查看“重点法规解读”)
10.全国信安标委发布《生成式人工智能服务安全基本要求(征求意见稿)》
11.全国人大公开征求对《中华人民共和国保守国家秘密法(修订草案)》的意见
12.工信部公开征求对《关于创新信息通信行业管理优化营商环境的意见(征求意见稿)》的意见
13.工业和信息化部等六部门关于印发《算力基础设施高质量发展行动计划》的通知
该计划提出到2025年,计算力方面,算力规模超过300EFLOPS,智能算力占比达到35%,东西部算力平衡协调发展。运载力方面,国家枢纽节点数据中心集群间基本实现不高于理论时延1.5倍的直连网络传输。存储力方面,存储总量超过1800EB,先进存储容量占比达到30%以上,重点行业核心数据、重要数据灾备覆盖率达到100%。应用赋能方面,打造一批算力新业务、新模式、新业态,每个重点领域打造30个以上应用标杆。
14.北京市经济和信息化局发布《北京市首席数据官制度试点工作方案》,全面推行政府首席数据官制度
该方案选取13家市级委办局、各区级政府和北京经济技术开发区作为试点单位,自行灵活设立首席数据官,职责范围包括推进数字政府建设、加强数据资源管理、提升指导监督能力、提高数字思维素养、促进人才队伍建设等。同时还鼓励各区级政府在选取有条件的下级单位开展试点工作,积极鼓励各类企业设立首席数据官。
15.浙江十一部门联合发布《网络交易平台企业落实主体责任清单》
16.上海数据交易所发布实施《上海数据交易所数据交易安全合规指引》的通知
17.上海市消费者权益保护委员会、上海市汽车销售行业协会联合发布《上海市汽车销售行业个人信息保护合规指引》
《上海市汽车销售行业个人信息保护合规指引》(“《指引》”)适用于汽车供应商、汽车经销商、汽车售后服务商、汽车服务或信息平台、保险机构、银行、金融机构等经营者,在提供汽车销售或服务过程中收集、使用、存储、加工、传输、提供、公开、删除个人信息等活动时,应遵守《指引》的规范和要求。
18.安徽省科学技术厅发布《安徽省通用人工智能创新发展三年行动计划(2023—2025年)》
力争到2025年,充裕智能算力建成、高质量数据应开尽开、通用大模型和行业大模型全国领先、场景应用走在国内前列、大批通用人工智能企业在皖集聚、一流产业生态形成,推动安徽省率先进入通用人工智能时代。
二、境内监管动态
1.国家数据局正式揭牌
2023年10月25日上午,国家数据局在京正式揭牌。国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
2.国家金融监督管理总局发布《关于警惕利用AI新型技术实施诈骗的风险提示》
该提示指出,面对利用AI新型技术实施诈骗的“拟声”“换脸”等手段,广大金融消费者需注意:网络渠道“眼见”不一定为实,转账汇款务必核验对方身份,保护好照片、声音等个人信息。
3.金融监管总局、中国人民银行、中国证监会发布金融消费者权益保护典型案例
此次发布金融消费者权益保护典型案例共28个,覆盖银行、证券、保险、支付等领域。
4.工信部关于侵害用户权益行为的APP(SDK)通报(2023年第6批,总第32批)
5.浙江省通管局通报8款侵害用户权益行为APP(2023年第8批)
6.广东省通管局通报2款未按要求完成整改APP并下架12款APP
广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动。2023年9月15日,广东省通信管理局向社会公开通报了25款存在侵害用户权益和安全隐患问题的APP,截至通报规定时限,经核查复检,尚有12款APP未按照要求完成整改反馈,为严肃处理上述APP的违规行为,广东省通信管理局决定对上述APP予以下架。
7.工信部等五部门公布2023年度虚拟现实先锋应用案例名单
经各地主管部门和有关单位推荐、专家评审和网上公示,工信部等部门确定了70项2023年度虚拟现实先锋应用案例,并要求各地在技术创新、应用落地、政府服务等方面对入选案例加大支持力度,推动优秀成果规模化应用。
8.浙江省网信办依据《数据安全法》对杭州某科技公司作出行政处罚
9.因未履行数据安全义务,某企业被南昌市网信办处罚
10.数据泄漏后擅自删库,某科技公司被上海市网信办依法处罚
11.个人信息保护不当,宁夏6家物业公司被处罚
宁夏石嘴山市公安机关在检查中发现,多个物业公司办公电脑存储大量小区业主家庭住址、身份证号码、联系方式等个人信息,且存储数据未经加密处理,办公电脑未设开机密码,对个人信息未实行分类管理、未采取加密及去标识化等技术措施,导致业主个人信息泄露风险。因此,公安机关依据《个人信息保护法》对6家物业公司予以行政警告处罚并责令其限期整改。
12.电商经营者泄露百万条个人信息获刑,并支付公益损害赔偿金
13.黑客入侵致近2万条学员信息被泄露!黑客落网,培训机构被处罚
厦门网警进一步检查发现,机构未落实数据安全保护主体责任,未建立人员安全意识教育培训及责任追究制度,未采取信息系统防病毒防网络攻击等技术措施,构成未履行网络安全保护义务的违法行为。因此,厦门网警依据《网络安全法》对该教培机构处以罚款1万元、对直接负责的主管人员处以罚款5000元的行政处罚。
14.广州互联网法院:电商平台应对虚拟财产交易承担安全保障义务
15.天津滨海新区法院:跳过、屏蔽“青少年模式”入口弹窗功能构成不正当竞争
三、境外资讯
1.欧洲数据保护监管机构(EDPS)发布对《人工智能法案》的最终建议,该法案已进入谈判最后阶段
该建议重申,在《人工智能法案》适用之日已经使用的人工智能(AI)系统,包括作为欧盟大型IT系统组成部分的人工智能系统,应遵守《人工智能法案》的要求适用日期,不应免除《人工智能法案》的范围。这些建议还欢迎欧洲人工智能办公室(AIOffice)的成立,并支持人工智能办公室集中执行《人工智能法案》的目标。对此,建议指出,EDPS随时准备与国家监管机构一起开展联合调查。此外,这些建议还要求赋予EDPS作为人工智能办公室管理委员会正式成员的投票权。
2.欧洲委员会发布个人数据跨境传输示范合同条款C-P模块修订草案
3.欧盟委员会发布最新人工智能示范合同条款草案
4.EDPS发布关于人工智能责任规则的意见
5.法国数据保护局(CNIL)发布关于美国数据跨境传输充分性认定的Q&A
具体问题包括什么是充分性认定、为什么需要对美国适用新的充分性认定、EU-USDPF的关键内容是什么、充分性认定何时生效、有效期多长以及在充分性认定之前提交至CNIL的涉及美国数据传输的投诉如何处理等问题。根据该问答,数据控制者如需依赖充分性认定向位于美国的数据接收方进行数据跨境传输,则应确保该接收方被列入美国商务部公开的清单中,并确保处理的数据类别和涉及的组织在核证范围内。否则,需依赖其他传输机制并进行数据传输影响评估(TIA)。其中,TIA可参考欧盟委员会在新的充分性认定中对美国法律环境的分析。
6.英美数据桥生效
7.英国DSIT为应用商店运营商和开发人员发布更新的实践守则
8.美国《纽约儿童数据保护法案》提交议会
该法案是先前提交给参议院的S7695法案的配套法案。该法案以保护18岁以下儿童为立法目的,针对运营商设置规则。该法案中的“运营商”被定义为运营或提供网站、在线服务、在线应用程序、移动应用程序或连接设备,且直接或间接收集和维护个人数据或者允许他人收集与用户有关的个人数据的组织。该法案规定,运营商除非根据《儿童在线隐私保护法》(COPPA)获许,否则不得处理12岁以下用户的个人数据。此外,该法案中还规定了获得知情同意的要求、禁止购买和出售用户个人数据,以及运营商与第三方之间处理协议的条件等。
9.美国加利福尼亚州州长签署《删除法案》
10.美国康涅狄格州《在线隐私法》生效
(ConnecticutGeneralAssembly)官网
12.韩国PIPC宣布颁布个人信息跨境传输条例
13.韩国PIPC宣布试行事前适当性审查制度
“事前适当性审查制度”从2023年10月13日起试行,旨在通过预先评估《个人信息保护法》(PIPA)的合规情况,确保在人工智能等新服务和技术中安全使用个人信息。事前适当性审查制度采用三步程序:在规划和准备开发新服务和新技术的过程中,如果企业不能确定其运营是否违反了《个人信息保护法》,可以申请由PIPC进行事前适当性审查;在全面分析企业的个人信息处理环境和数据流后,PIPC讨论并确定PIPA合规计划;以及企业按照商定的合规计划提供服务,而PIPC则有权监督计划的实施。最后,PIPC认为,根据试点运行的结果,全面实施预计将于2024年1月进行。
一份针对网络基本要素,另一份针对网络信任,旨在帮助企业更好地了解使用云服务的风险和责任,并形成国家网络安全标准。特别地,上述两份指南是与新加坡三大云服务供应商合作开发的,其中内容包括:明确组织(云服务用户)和云服务供应商之间的责任分工,根据组织规模提供不同的责任模式;为三大云服务供应商提供针对特定供应商的指南;以及解决云服务用户的主要安全问题。
15.德国联邦数字化和交通部发布数字战略
数字战略为数字化问题提供了原则化指引,并构成了联邦政府2025年前数字政策的总体框架。包括网络安全、数字主权、关键技术、人工智能、虚假信息和平台监管、消费者权利等诸多方面,并确保数字服务和产品从一开始就以安全、用户友好和数据保护友好的方式设计,使消费者权利更容易得到保护。
16.俄罗斯《联邦信息、信息技术和信息保护法》修正案生效
该修正案聚焦于规范互联网网站和移动应用程序收集、使用用户偏好信息进行推广的行为。修正案规定,互联网网站和移动应用程序所有者不得使用侵犯公民或组织合法权益的推荐技术,不得使用推荐技术提供违反俄罗斯联邦法律的信息。此外,互联网网站和移动应用程序所有者应在网站或应用程序上发布推荐技术规则,确保用户了解推荐技术使用情况。
17.加拿大隐私专员办公室(OPC)与菲律宾共和国国家隐私委员会签署数据保护谅解备忘录
交换有关调查的信息;
在调查违反隐私和数据保护法的行为时相互协助;
协调对跨境数据泄露的联合调查;
关于隐私和数据保护趋势的知识共享和培训;
探索创新和实验性的数据共享方法。
18.OECD发布《智慧城市的数据治理:挑战与前进之路》报告
报告指出,智慧城市旨在通过数字技术和数据利用提高公民福祉、促进可持续发展、优化公共服务,以人为本地解决城市和区域发展问题。创建有效的数据治理战略、政策和框架,提高数据质量和应用数量,同时在透明框架中保持数据安全和个人隐私,是发展智慧城市的关键。
四、境外监管动态
1.美国联邦贸易委员会就消费者对人工智能的担忧发布报告
美国联邦贸易委员会(FTC)特别强调了消费者对训练AI模型所需的大量数据的关切,尤其是消费者在互联网上发布的内容可能会在未经其同意的情况下被抓取用于模型的训练,以及随之而来的对消费者保护和市场竞争的影响问题。
此外,FTC还指出了消费者对生物特征数据使用的担忧,特别是用于训练模型或生成“声纹”的通话或录音。最后,FTC指出了消费者对人工智能应用方式的担忧,特别是利用生成式人工智能进行邮件钓鱼、语音诈骗等,可能让一些诈骗陷阱变得更难识别。
2.加拿大隐私监管机构通过关于年轻人隐私和工作场所隐私的决议
3.西班牙数据保护局更新违规咨询工具及违规通知工具
该工具可帮助数据控制者决定是否应向监管机构通知个人数据泄露事件,这有助于数据控制者确定是否通知受违规影响的数据主体。
4.美国联邦贸易委员会宣布与TransUnion就其违反《公平信用报告法》达成1,500万美元的和解协议
在向联邦法院提起的诉讼中,FTC和消费者金融保护局(CFPB)指控TransUnionRentalScreeningSolutions,Inc.及其母公司TransUnionLLC(TransUnion)违反了《公平信用报告法》,未能确保其租户背景筛选报告中所含信息的准确性。
5.美国多州总检察长联盟就违反《儿童在线隐私保护法》及其他有害儿童的行为起诉Meta
指控其设计和部署对儿童和青少年有害的成瘾功能,并在未事先告知并获得父母同意的情况下收集13岁以下儿童的个人数据。
6.美国纽约州总检察长与Personal-Touch就数据泄露问题达成35万美元的协议
数据泄露发生在2021年1月20日,源起于一名Personal-Touch员工打开了网络钓鱼电子邮件中附加的恶意文件,此次攻击泄露了约316,845名纽约自然人的个人和医疗信息。总检察长办公室(OAG)的调查确定,Personal-Touch未能采取合理的数据安全保障措施来保护患者和员工数据。Personal-Touch的信息安全和风险管理计划是非正式且不成熟的。其员工的安全培训不足,访问控制不力,缺乏持续监控系统,并且未能对个人和医疗数据进行加密。
7.美国新泽西州总检察长就数据泄露与Blackbaud达成4,950万美元的和解协议
8.因超出管辖权,美人脸识别公司在英上诉成功或免罚750万镑
法院认为,虽然其人脸识别处理活动可能落入《英国通用数据保护条例》的地域管辖范围内,但由于该行为(法律执法活动)不在其实体活动管辖范围内,因此ICO无权依据《英国通用数据保护条例》作出处罚。
9.法国CNIL因电子营销缺陷对GroupeCanal罚款60万欧元
CNIL认定GroupeCanal+曾与一些公司签订合同,以其名义发送电子邮件营销信息,但GroupeCanal+无法提供证据证明这些公司已获得数据主体的有效同意。其次,CNIL还发现GroupeCanal+存在违反GDPR第12、13和14条规定的情形。
10.瑞典隐私保护局因H&M违反直接营销规定对其罚款35万瑞典克朗
11.英国信息专员办公室因Snap可能未正确评估隐私风险而对其发布初步执法通知
Snap于2023年2月向英国Snapchat+用户推出了“MyAI”功能,并于2023年4月向英国更广泛的Snapchat用户群推出了该功能。英国信息专员办公室(ICO)暂时认定,Snap在推出“MyAI”之前进行的风险评估没有充分识别和评估生成式人工智能技术带来的数据保护风险,尤其是针对13至17岁儿童的数据保护风险。ICO指出,其通知中的调查结果是临时性的,在作出最终决定之前,其将仔细考虑Snap提出的任何申述。
12.泄露2.3万名用户个人数据,PayPal在韩被罚逾9亿韩元
韩国隐私监管机构表示处罚原因为Paypal在安全系统管理方面存在疏忽,导致自2021年12月起,发生了三轮数据泄露事件,使约2.3万名用户的个人数据被泄露,并且没有及时向当局报告泄露情况。
五、重点法规解读
1.欧洲委员会发布个人数据跨境传输示范合同条款C-P模块修订草案
2023年10月19日,欧洲委员会(TheCouncilofEurope)发布基于《个人数据自动化处理中的个人保护公约》(ConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData,下称“《第108+号公约》”)的《个人数据跨境传输示范合同条款》修订草案(ModelContractualClausesfortheTransferofPersonalData,下称“MCCs”)模块二,适用于数据控制者(Controller)[1]向数据处理者(Processor)[2]的数据跨境传输场景(下称“MCCs(C-P)”),规定了适当的保障措施,包括数据输出方[3]和输入方的义务、可强制执行的数据主体权利和有效的法律补救措施。
“MCCs(C-P)”主要修订了条款第10条、第11条、第13条、第23条。在处理透明度方面,比之前多提供了一个选项,即数据输入方[5]必须按要求向数据主体提供一份完整包含本条款及双方填写的附件的副本;在数据的准确性与最小化上,增加了个人数据[6]与处理目的关系要求;对数据安全中的个人数据性质和数量的处理[7]上,增加了个人数据的范围、背景和目的;为23.1通知(a)多提供了一个选项,如果数据输入方被迫保存、准许访问、提供或披露从数据输出方转移给第三方[8](包括公共机构)的个人数据,数据控制者应立即通知数据主体。
2.EDPS发布关于人工智能责任规则的意见
欧洲数据保护监督员(EDPS)于2023年10月11日发布了其关于欧盟委员会的两项提案,《产品责任指令》(PLD)和《关于将非合同民事责任规则适用于人工智能的指令》(AILD)的第42/2023号意见。
前述两项提案是支持人工智能在欧洲部署的一揽子措施的一部分,其中还包括一项制定人工智能系统横向规则的立法提案(拟议的《人工智能法》)。由于人工智能系统的特征,如不透明、自主性、复杂性、持续适应和缺乏可预测性,可能会给个人寻求补救因使用人工智能系统而造成的伤害造成重大障碍。提案的总体目标是使赔偿责任规则适应数字时代,确保因人工智能(AI)遭受损害的受害者享有与未涉及人工智能系统的受害者享有同等的保护水平。
EDPS完全支持提案的目标。在意见书中,EDPS提出了一些具体建议。包括呼吁联合立法者确保因欧盟机构、机构和机构生产和/或使用的人工智能系统而遭受损害的个人享有与因私人行为者或国家当局生产和/或使用人工智能系统所遭受损害的人同等水平的保护;将AILD提案第3条和第4条规定的程序保障措施应适用于人工智能系统造成的所有损害,无论其分类为高风险或非高风险;以及应明确要求提供商和用户根据AILD提案第3条以可理解和普遍理解的形式披露信息等。EDPS还建议AILD提案明确确认其不损害欧盟数据保护法,以免以任何方式限制个人的潜在补救途径。
最后,EDPS建议立法者考虑进一步减轻举证责任的额外措施,以应对人工智能系统对欧盟和国家责任规则有效性构成的挑战。同样,EDPS建议缩短AILD提案中规定的审查期。
当然,意见书中明确,该意见不排除EDPS未来提出的任何额外意见或建议,特别是在发现进一步问题或获得新信息的情况下。此外,该意见不影响EDPS根据条例(EU)2018/1725行使其权力时可能采取的任何未来行动。
3.英国DSIT为应用商店运营商和开发人员发布更新的实践守则
10月24日,英国科学、创新与技术部(DSIT)更新了应用商店运营商和开发商的行为准则(后简称“行为准则”),行为准则最初于2022年12月9日发布。DSIT强调行为准则规定了应用商店运营商和应用程序开发商需要遵守的最低安全和隐私要求。为保护用户的安全和隐私,行为准则重申了应用程序商店经营者和应用程序开发者应当遵循的八项原则:
第一,确保只有符合代码安全和隐私基线要求的应用程序才被允许在应用程序商店上架,这项原则主要适用于AppStore运营商;
第二,确保应用程序遵守安全和隐私的基本要求,这项原则主要适用于应用程序开发人员和平台开发人员;
第三,实施漏洞披露流程,这项原则主要适用于应用程序开发人员和应用程序商店运营商;
第四,保持应用程序更新以保护用户,这项原则主要适用于应用商店运营商、应用开发者和平台开发者;
第五,以便捷的方式向用户提供重要的安全和隐私信息,这项原则主要适用于应用商店运营商和应用开发者;
第六,为开发者提供安全和隐私指导,这项原则主要适用于AppStore运营商;
第七,向开发人员提供明确的反馈,这项原则主要适用于AppStore运营商;
第八,确保在发生个人数据泄露时采取合理措施,这项原则主要适用于应用程序开发人员和应用程序商店运营商。
4.美国加利福尼亚州州长签署《删除法案》
10月10日,美国加利福尼亚州州长纽森签署了名为《删除法案》的参议院第362号法案,使《删除法案》正式生效。该法案旨在促进加州消费者保护法律(包括2018加州消费者隐私法案(CCPA)、2020加州隐私权益法案(CPRA))下有关消费者信息删除权的行使。《删除法案》将建立一个中心化的数据删除平台机制,要求适用《删除法案》的数据经纪人注册并支付注册费用以建设、维护该平台,并向该平台提供某些信息,从而使该平台成为消费者个人信息删除权的一站式执行机制。
依据《删除法案》,数据经纪人指“在明知的情况下收集,并向第三方出售与本企业无直接关系的消费者个人信息”的企业,但不包括某些征信机构、金融机构、保险机构和医疗机构。同时,有关针对数据经纪人的执法权力将从加州总检察长办公室移交至加州隐私保护局(CPPA),后者将同时负责数据删除平台的建设、维护和管理。前述有关个人信息删除权的一站式执行机制平台将于2026年前建立,各数据经纪人有义务在2026年8月1日起,每45天访问一次该删除机制以审查和处理消费者的删除权,并在收到删除请求后45天内完成数据删除。《删除法案》还规定了一系列针对数据经纪人的披露、监督、审计机制。
5.美国康涅狄格州《在线隐私法》生效
2023年10月1日,康涅狄格州《在线隐私法》(全称“康涅狄格州《在线隐私、数据和安全保护法》,theConnecticutActConcerningOnlinePrivacy,Data,andSafetyProtections”)生效,该法案根据《州预算法》第207节的规定,对康涅狄格州《个人数据隐私和在线监控法》(CTPDA)进行修订。
《在线隐私法》第1至5节主要涉及CTPDA范围的扩大、对健康信息披露的限制,以及包括消费者健康数据控制者在内的新定义。具体而言,《在线隐私法》对CTDPA的修订体现在,规定任何人不得从事以下行为:
允许任何雇员或承包商访问消费者健康数据,除非该雇员或承包商有合同或法定的保密义务;
向任何数据处理者提供对消费者健康数据的访问权限,除非数据处理者遵守《康涅狄格州法典》第42-521条的规定;
在任何精神健康设施、生殖健康设施或性健康设施的一千七百五十英尺范围内使用地理围栏技术建立虚拟边界,以识别、跟踪、收集消费者的数据,或向其发送有关消费者健康数据的任何通知;或
在未事先征得消费者同意的情况下,出售或提议出售消费者健康数据。
此外,《在线隐私法》对CTDPA的适用范围进行了修订,规定有关消费者健康数据和消费者健康数据控制者的条款,适用于在本州开展业务的自然人和法人以及生产针对康涅狄格州居民的产品或服务的自然人和法人。
注释
[1]控制者:单独或与他人共同对信息处理拥有决策权的自然人或法人、公共当局、服务机构、代理机构或任何其他机构。
[2]处理者:代表数据输出方并根据数据输出方的指示处理个人数据的自然人或法人、公共机关、服务机构、代理机构或任何其他机构。
[3]数据输出方:位于向数据输入方传输个人数据的2018年第128届部长委员会修订的《个人数据处理中的个人保护公约》(ETS第108号)缔约国的控制方。
[4]非缔约国:尚未批准2018年第128届部长委员会修订的《个人数据处理中的个人保护公约》(ETS第108号)或该公约尚未生效的国家。
[5]数据输入方:数据输出方向其传输个人数据的处理者,该处理者非2018年第128届部长委员会修订的《个人数据处理中的个人保护公约》(ETS第108号)缔约方的国家。
[6]个人数据:与已识别或可识别的个人(以下简称"数据主体")有关的任何信息,无论其国籍或居住地如何。
[7]处理:对个人数据进行的任何操作或一系列操作,如收集、存储、保存、更改、检索、披露、提供、删除或销毁,或对此类数据进行逻辑和/或计算操作。在未使用自动处理的情况下,处理是指在一组结构化的个人数据中对这些数据进行的操作或一系列操作,这些数据可根据特定标准进行访问或检索。
[8]第三方:非本条款缔约方的自然人或法人、公共当局、服务机构、代理机构或任何其他机构,但个人数据由数据导入者转给第三方,与数据导入者位于相同或不同的司法管辖区。