国际数据立法、执法、司法持续发展。瑞士新修订的《联邦数据保护法》及实施条例9月1日生效。印度《数字个人数据保护法》或将迎来6个月的实施过渡期。加州《数据经纪人法》相关修订法案已进入三读。加州隐私保护局发布《风险评估条例（草案）》《网络安全审计条例（草案）》。

数据跨境仍是国际关注重点。东盟正式启动《东盟数字经济框架协议》谈判，数据跨境流通是核心议题之一。英国与新加坡达成新战略伙伴关系，涵盖探索促进跨境数据流动机制。谷歌旗下的Fitbit因数据传输问题在欧洲面临三起投诉。TikTok爱尔兰数据中心投入运营，推进欧洲数据的本地存储。

此外，人工智能，尤其是生成式人工智能的隐私保护问题引发关注。ChatGPT开发者OpenAI在欧美面临数据保护相关指控。

1. 东盟正式启动《东盟数字经济框架协议》谈判

9月3日，东盟启动了东盟《数字经济框架协定》（Digital Economy Framework Agreement，DEFA）谈判工作，以促进东盟成员国密切合作，创建可持续和包容性的数字生态系统。谈判重点关注数字贸易、跨境电商、网络安全、数字身份证、数字支付、数据跨境流通等新兴议题。谈判将由东盟DEFA谈判委员会全面负责，预期2025年完成。

信息来源：

https://asean.org/asean-launches-worlds-first-regionwide-digital-economy-framework-agreement/

2. 英国与新加坡达成新战略伙伴关系，探索促进跨境数据流动机制

9月9日，英国政府发布声明称英国与新加坡签署一项新战略合作伙伴关系协议，将加强双方在安全、科技创新和研发方面的共同合作。其中包括双方探索促进跨境数据流动机制，通过多边机制（包括东盟）促进采用可互操作的数字系统，交流数字转型及数字经济最佳实践。

信息来源：

https://www.gov.uk/government/publications/uk-singapore-joint-declaration-9-september-2023

3. 加州隐私保护局发布《风险评估条例（草案）》

8月28日，加州隐私保护局（CPPA）发布《风险评估条例（草案）》（Draft Risk Assessment Regulations），并于9月8日委员会会议讨论。草案对应当开展风险评估的情形以及评估内容作出了规定。根据草案，包括出售或共享个人信息、处理敏感 个人信息、使用自动决策技术促进敏感决策、AI尤其是生成式AI训练、公共场所监控等七种情形下企业应当事前开展风险评估。评估内容至少应包含处理行为简介、个人信息类别及目的、处理方式、处理好处、对隐私的负面影响及缓解措施等。对于使用人工智能或自动决策技术处理个人信息的，草案还规定了附加要求。

值得注意的是，CPPA尚未针对网络安全审计、风险评估或自动决策正式启动规则制定程序。该文件仅旨在促进相关讨论。

信息来源：

https://cppa.ca.gov/meetings/materials/20230908item8part2.pdf

4. 加州隐私保护局发布《网络安全审计条例（草案）》

8月28日，加州隐私保护局（CPPA）发布《网络安全审计条例（草案）》(Draft Cybersecurity Audit Regulations)，并于9月8日委员会会议讨论。草案对需要开展年度网络安全审计的情形、审计要求、审计范围等作出了规定。草案将企业年收入、处理个人信息数量、员工数以及销售或分享个人信息收入在年收入占比作为是否存在“重大风险”，需要开展年度网络安全审计的考量因素。草案要求网络安全审计应当具备真实性和独立性，由独立的审计师完成，审计包括内部审计和外部审计，审计结果应直接向企业董事会或管理层报告。审计内容包括网络安全计划、网络安全风险等内容。

信息来源：

https://cppa.ca.gov/meetings/materials/20230908item8.pdf

5. 加州《数据经纪人法》或将修改，强化数据经纪人信息删除义务

9月7日，加利福尼亚州议会对参议院362号法案（SB 362）进行审议，目前正在三读程序。SB 362将对加州现行的《数据经纪人法》进行修改。法案要求加州隐私保护局（CPPA）在2026年1月1日前建立一个信息删除机制，一旦消费者提出删除请求，拥有其个人信息的数据经纪人均应当删除相关数据。不执行删除请求的将承担相应的民事、行政责任。此外，法案还强化了数据经纪人信息披露义务，要求数据经纪人注册并披露名称、联系方式、办公地点、是否收集未成年人个人信息、消费者的精确地理位置和生殖健康数据等信息。

信息来源：

https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB362

6. 瑞士新修订的《联邦数据保护法》及实施条例9月1日生效

9月1日，瑞士新修订的《联邦数据保护法》（Federal Act on Data Protection ，FADP）及其实施条例生效。一同生效的还有《FADP实施条例》以及修订后的《数据保护认证条例》。修订后的FADP适用范围与GDPR一致，适用于自然人个人数据的处理，不再包含法人实体的数据。敏感数据定义已扩展至包括遗传和生物识别数据。

信息来源：

https://www.lexology.com/library/detail.aspx?g=e6cf737c-bc48-4b4c-b3f4-7eba16352fa6

7. 瑞士数据保护机构发布《数据保护影响评估情况说明》

8月31日，瑞士联邦数据保护机构发布《数据保护影响评估情况说明》（Merkblatt zur Datenschutz-Folgenabschätzung），为数据保护影响评估目的、保护对象、适用情形以及可能的结构提供指南。个人数据处理行为是否会对数据主体基本权利带来高风险，应当结合数据处理的性质、范围、目的、情况等因素确定。数据保护影响评估可能涵盖包括负责人、数据处理情况、潜在的高风险、风险降低措施、所采取措施对潜在的高总风险的影响、评估结果等内容。

信息来源：

https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/dsfa.html

8. 英国信息专员办公室发布《关于发送包含敏感个人信息的电子邮件指南》

8月30日，英国信息专员办公室（ICO）发布《关于发送包含敏感个人信息的电子邮件指南》。ICO建议各机构采取技术和组织措施，以减轻通过电子邮件发送个人信息时涉及的风险。此外，该指南还提醒各机构注意在发送敏感个人信息时不要使用密件抄送电子邮件功能。该指南建议各机构可采取以下措施：在电子邮件系统设置规则，以便在电子邮件发件人使用抄送字段时提供提醒和警告；关闭自动完成电子邮件功能，以防止系统在收件人邮箱中建议电子邮件地址；使用国家网络安全中心（NCSC）电子邮件安全检查工具；以及应用消息延迟功能，允许在单击发送按钮后删除或编辑电子邮件。

信息来源：

https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/ico-publishes-new-guidance-on-sending-bulk-communications-by-email/

9. 印度或给企业6个月过渡期以遵守《数字个人数据保护法》

9月5日消息，印度电子信息技术国务部长近日表示，政府可能会给业界六个月左右时间来遵守《数字个人数据保护法》（Digital Personal Data Protection Act）。不过他补充表示，确切的过渡时间将在G20活动结束后与业界磋商决定。印度于8月9日通过《数字个人数据保护法》。

信息来源：

https://www.business-standard.com/industry/news/rules-for-dpdp-act-ready-will-have-consultations-post-g20-mos-it-123090400790_1.html

10. 法国议员请求欧洲法院废除《欧美数据隐私框架》

9月6日消息，法国议员P.Latombe 向欧洲法院提交了一份长达33页的文件，要求废除《欧美国数据隐私框架》（ EU-U.S.Data Privacy Framework，DPF），理由主要包括：DPF缺乏有效权利救济保障机制，尤其是新设立的数据保护审查法院（DPRC）程序缺乏透明度；DPF违反GDPR 最小化和相称性原则，尤其是美国当局大量收集个人数据。此外，Latombe认为DPF目前仅提供英文版本，且没有在欧盟官方公报上发布，不符合程序要求。据悉，P.Latombe不仅是法国议员，还是法国数据保护局成员。不过P.Latombe称其是作为一名普通的欧盟公民，而不是作为法国议员、CNIL 专员提出请求。

信息来源：

https://www.lexology.com/library/detail.aspx?g=6516a3f1-f063-4b92-8371-3c0a89808b41

11. 因存在安全缺陷，一保险公司被瑞典数据保护局罚款280万欧元

8月28日消息，瑞典数据保护局调查发现，保险公司Trygg-Hansa未采取适当的技术措施保障数据安全，导致2018年10月至2021年2月间65万名的客户数据可能被未经授权的访问，其中包括敏感个人数据，例如健康数据、财务信息、联系方式、社会安全号码、保险持有量等。瑞典数据保护局对该公司处以3500万瑞典克朗（约 280 万欧元）的行政罚款。

信息来源：

https://edpb.europa.eu/news/national-news/2023/sweden-sa-imy-issues-administrative-fine-against-insurance-company-security_en

12. 谷歌旗下的Fitbit因数据传输问题在欧洲面临三起投诉

8月31日消息，欧洲隐私权非营利组织noyb向奥地利、荷兰和意大利的数据保护机构投诉，指控谷歌旗下的 Fitbit非法将欧盟用户数据传输至美国等地，主要理由为Fitbit获得的“用户同意”不满足充分告知、具体明确以及用户自愿等要求，不属于GDPR规定的有效同意，且Fitbit 用户无法撤回同意，用户数据向欧盟境外传输的必要也存疑。

信息来源：

https://techcrunch.com/2023/08/30/fitbit-gdpr-data-transfer-complaints-noyb/

13. ChatGPT开发者OpenAI被指控违反GDPR 

8月31日消息，波兰数据保护机构收到一起关于ChatGPT开发者OpenAI违反GDPR的投诉。据悉，这是波兰DPA收到的第一起关于ChatGPT数据保护问题的投诉，投诉涉及ChatGPT个人数据处理的合法基础及透明度、数据主体权利保护、隐私设计等问题。此前意大利DPA曾因隐私保护问题禁止OpenAI处理数据，并指示其解决在法律依据、信息披露、用户控制和儿童隐私保护等方面存在的问题。

信息来源：

https://techcrunch.com/2023/08/30/chatgpt-maker-openai-accused-of-string-of-data-protection-breaches-in-gdpr-complaint-filed-by-privacy-researcher/

14. TikTok爱尔兰数据中心投入运营，用于存储欧洲用户数据

9月6日消息，TikTok位于爱尔兰的第一个欧洲数据中心投入运营。该数据中心将用于存储欧洲经济区 (EEA)、英国和瑞士的TikTok 用户数据。据悉，TikTok计划在欧洲建立三个新数据中心（两个在爱尔兰，一个在挪威）实现更多本地数据存储、减少跨地区数据传输并减少员工对用户数据的访问，以应对欧洲监管的隐私保护担忧。TikTok欧洲公共政策副总裁Theo Bertram表示，已聘请总部位于英国的网络安全公司NCC Group来独立审计TikTok的数据中心工作。

信息来源：

https://www.scmp.com/tech/big-tech/article/3233564/tiktoks-first-european-data-centre-begins-operations-address-privacy-concerns-over-china-ties

15. Mozilla报告显示欧美市场25个汽车品牌均存隐私问题

9月6日消息，Mozilla基金会发布的一份报告显示，汽车是其调查过的“隐私保护最堪忧”的产品类别。此次被调查的对象包括丰田、大众、宝马、雷诺等在内共25家汽车品牌，涉及美国和欧洲市场。调查结果显示，被调查的25个汽车品牌都被发现从用户那里收集不必要的信息用于非车辆驾驶的用途。收集的信息包括医疗信息、行驶速度和地点、播放的歌曲、遗传信息，甚至还包括性生活信息等。有84%的汽车公司会与外部共享或出售用户数据。92%的司机几乎无法控制自己的个人数据。

信息来源：

https://foundation.mozilla.org/en/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/

16. OpenAI及微软被指窃取数据训练AI模型，在美再次面临隐私集体诉讼

9月7日消息，OpenAI及微软在旧金山联邦法院再次面临消费者隐私集体诉讼，被指控开发ChatGPT和其他生成人工智能系统时违反多项隐私法，尤其是非法获取及使用数亿互联网用户个人信息用于训练人工智能模型。早在今年6月OpenAI及微软就曾面临类似指控。

信息来源：

https://www.reuters.com/legal/litigation/openai-microsoft-hit-with-new-us-consumer-privacy-class-action-2023-09-06/

《欧盟-美国数据隐私框架》要点、影响及启示