近期，“英美数据桥”正式确定，将于10月12日生效。加州议会通过新法案，赋予个人信息删除权，强化数据经纪人监管。新西兰隐私保护机构发布指南，指导AI使用中的隐私保护。爱尔兰数据保护机构对TikTok处以3.45亿欧元罚款。波兰数据保护机构对ChatGPT启动GDPR合规调查。

1. “英美数据桥”正式确定，将于10月12日生效

9月21日，英国科学、创新和技术大臣在议会上确定了新的充分性条例，促进了“英美数据桥”（UK-US data bridge）的生效。“英美数据桥”又称“欧美数据隐私框架的英国扩展”（DPF 扩展）。通过DPF 扩展认证的美国企业可接收来自英国的个人数据，而无需再签署其他国际数据跨境协议。早在2023年6月，美国和英国就发布联合声明承诺建立“数据桥”，通过新的“数据桥梁”促进英国和美国之间个人数据的自由流动。据悉，“英美数据桥”将于10月12日生效。

信息来源：

https://www.gov.uk/government/publications/uk-us-data-bridge-supporting-documents

2. 加州议会通过新法案，强化数据经纪人监管

9月14日，加州立法机关通过SB362。该法案将对数据经纪人提出新的要求并授予个人新权利，尤其是个人的信息删除权。法案要求数据经纪人在加州隐私保护局登记注册，数据经纪人每三年要接受一次独立的合规审计。数据经纪人应当建立一个信息删除机制，一旦消费者提出删除请求，拥有其个人信息的数据经纪人均应当删除相关数据。收到消费者删除请求的数据经纪人不得出售或分享消费者个人信息。接下来，法案将进入州长签署阶段。

信息来源：

https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB362

3. 新西兰隐私保护机构发布指南，指导AI使用中的隐私保护

9月21日，新西兰隐私专员发布一份名为《人工智能与信息隐私原则》（Artificial intelligence and theInformation Privacy Principles）的文件。文件明确信息隐私原则(IPP)适用于构建和使用AI工具的每个阶段。新西兰隐私专员表示，事前开展隐私影响评估(PIA）是防范相关风险的重要措施之一。

信息来源：

https://www.privacy.org.nz/publications/statements-media-releases/ai-tools-and-the-privacy-act-commissioner-issues-new-guidance/

4. 爱尔兰数据保护机构对TikTok处以3.45亿欧元罚款

9月15日，爱尔兰数据保护委员会（DPC）宣布对TikTok处以3.45亿欧元罚款，原因是其未遵守GDPR有关儿童用户个人数据处理的规定。DPC调查发现，在2020年7月31日至12月31日期间，TikTok存在一系列违反GDPR规定的行为，包括默认将13至17岁儿童用户的账户设置为公开状态，未经验证为非儿童用户提供“家庭配对”功能，未向儿童用户充分告知平台信息处理规则等。除高额罚款外，TikTok还需在三个月内（到2023年12月初）纠正其违规行为。

信息来源：

https://www.natlawreview.com/article/irish-regulator-fines-tiktok-345-million-euros-0

5. 谷歌与加州监管就位置隐私保护指控达成9300万美元和解协议

9月14日，美国加州总检察长罗布·邦塔宣布与谷歌达成9300万美元的和解协议。据悉，谷歌在未经知情同意的情况下收集、存储和使用用户的位置数据用于消费者分析和广告投放。除支付9300万美元外，谷歌还同意接受相关禁令条款，包括启用与位置相关的账户设置时向用户显示附加信息，提供有关位置跟踪的更多透明度，向用户披露他们的位置信息可能会用于广告个性化等。

信息来源：

https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-93-million-settlement-regarding-google%E2%80%99s

6. 波兰数据保护机构对ChatGPT启动GDPR合规调查

9月20日，波兰数据保护机构宣布正在对OpenAI的人工智能聊天机器人ChatGPT展开调查。此前有投诉称ChatGPT的运营违反了欧盟GDPR的多项规定，例如“以非法和不可靠的方式”以及不透明的方式处理数据。

信息来源：

https://iapp.org/news/a/polands-dpa-announces-investigation-into-openai/

7. 斯里兰卡国家政务云被攻击，四个月数据被删除

9月11日消息，斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。经调查，此次攻击可能始于2023年8月26日，当时一名gov[dot]lk域用户表示，在过去几周内收到了可疑链接并且可能有人点击了其中一个。虽然系统和备份在攻击发生后12小时内恢复，但由于系统没有对2023年5月17日至8月26日期间的数据进行备份，因此所有受影响的账户都永久丢失了该时间段内的数据。

信息来源：

https://www.infosecurity-magazine.com/news/ransomware-sri-lanka-government/