随着数据保护的挑战和要求的不断演变,数据隐私仍然是世界各地安全和合规专业人士心中的一个热门话题。
欧洲数据隐私监管 - 隐私保护2.0
2022年2月,所谓的跨大西洋数据隐私框架(TADPF)公布,但详细内容仍有待发布,TADPF可能:
包括新的保障措施,以限制美国监控机关对数据的访问。
包括两级补救制度,调查和解决欧盟个人对美国监控机关获取数据的投诉,其中包括独立的数据保护审查委员会;和
加强对情报活动的监督。
欧盟委员会和美国政府一旦就TADPF达成一致,则将进入审批程序。欧盟或许会在2023年初做出适当性决定。在此期间,数据进口商和出口商可依赖其它数据传输工具,如新的欧盟标准合同条款(见下文),或者《通用数据保护条例》(GDPR)第49条的减损规定,如个人具体同意。
欧洲数据隐私监管 - 标准合同条款
欧盟委员会在2021年6月发布新的标准合同条款(SCCs),其内确立了若干截止期限:
· 现有四个模块SCCs,企业可根据具体情况处理其数据传输。
· 新SCCs中包括“对接条款”,为将来增加额外当事方(例如,子处理者)提供灵活性。
新SCCs条款使得不再必须签订单独数据处理协议(DPA)。
现在必须进行数据传输影响评估,记录传输的具体情况、进口国的法律,以及为进口数据设置额外保障措施。
如果数据处理操作尚未修改,在2022年12月27日之前,以前的数据传输可以依赖旧协议。
2022年12月27日之后,如果没有充分性决定,企业不能依赖旧SCCs将数据传输到美国和其他国家。
在英国脱欧后,英国采用了不同的制度。对于来自英国的数据传输,在2022年9月之前,新的处理安排可以使用旧SCCs,在2024年3月之前可以依赖旧SCCs。
欧洲数据隐私监管 - 数据传输影响评估
数据传输影响评估会是很复杂的一项工作,特别是考虑到没有一般标准,欧盟委员会也没有提供模板帮助完成这一过程。
评估由几个部分组成,包括风险分析,要求作出困难的确定,需要深入研究美国法律,而欧洲出口商可能没有能力进行这种确定。
欧洲数据隐私监管 - 数据主体访问请求
在回应数据主体访问请求(DSAR)时,重要的是要注意各司法管辖区的隐私法所赋予的访问权范围,以及回应的最后期限(可能从一个月到45天)。同样重要的是,对数据源的熟悉掌握。
美国数据隐私的发展
在美国方面,数据隐私立法依然很活跃。加利福尼亚、弗吉尼亚、科罗拉多、犹他和康涅狄格五个州的数据隐私法将于2023年中期至后期生效。
生物识别数据隐私:监管格局
目前,只有伊利诺伊州、德克萨斯州和华盛顿州颁布了生物识别隐私法,尽管在2022年,至少有八个州考虑制定新的生物识别法。
大多数情况下,伊利诺伊州的生物识别数据隐私法似乎成为这一领域立法活动发展的灵感来源。
没有生物识别立法的州很可能会把伊利诺伊州的法律作为模板。
人工智能(AI)监管情况
目前,美国联邦几个机构正在考虑涉足潜在的人工智能监管,包括食药监、平等就业机会委员会、住房和城市发展部以及交通部。联邦贸易委员会正在考虑制定法规,以“遏制松懈的安全做法,限制滥用隐私,并确保算法决策不会导致非法的歧视”。此外,2022年《算法责任法案》正在美国众议院和参议院待审。
最近,伊利诺伊州和科罗拉多州颁布了人工智能相关立法,目前有17个州正在考虑人工智能法案。其它多个州已经成立工作小组,研究未来的人工智能立法。
AXEL SPIES
特别法律顾问
华盛顿/法兰克福
点击阅读原文查看全文
上海/北京
香港
长按二维码关注摩根路易斯微信公众号
获取最新法律资讯
摩根路易斯律师事务所因其卓越的客户服务、法律创新能力及对业界的杰出贡献而驰名。我们的办公室遍布全球,横跨北美州、亚洲、欧洲及中东地区。在全球2200名律师及专业人士的精诚合作下,我们致力于为全球各领域的跨国公司乃至初创型公司提供最精英的法律服务。如需了解更多信息,请访问我们的网站:www.morganlewis.com。