一、英国政府宣布英美数据桥将于10月12日生效

　　【预警资讯】

　　当地时间9月21日，英国科学、创新和技术部 （DSIT） 公布《2023年数据保护（充分性）（美利坚合众国）条例》，确认了英美数据桥（U.K. - U.S. Data Bridge）的效力。自10月12日起，英国企业可以开始根据《英国通用数据保护条例》 （UKGDPR）第 45 条将个人数据传输至获得《欧盟-美国数据隐私框架英国扩展》（UK Extension）认证的美国组织，而无需采取进一步的保障措施。“英美数据桥”，是指在无需采取其他安全保障措施，即允许数据从英国跨境传输至美国的官方许可。“数据桥”类似于《欧盟通用数据保护调理》（EUGDPR）下的充分性决定（Adequate Decision），有利于在两个地域之间实现自由且安全的数据跨境传输。数据桥的建立意味着个人和企业能够以更便捷的方式、更低的成本、更自由地实现数据从英国流向美国，对于促进跨大西洋数据流动有着重要的作用。（资讯分类：境外，数据和隐私保护；资讯来源：英国政府官网） 

　　【预警提示】

　　建议在英美两国之间存在数据传输需求的企业提前做好认证准备工作。一是企业内部应当明确数据隐私框架下的执行原则与要求，包括数据完整性、安全性等基本原则和开展尽职调查、审计等补充原则；二是及时申请合规性认证。在数据隐私框架计划官方网站上开展自我认证，创建账户和文件夹，同时申请加入《欧盟-美国数据隐私框架》和《欧盟-美国数据隐私框架英国拓展》，并且缴纳相应的年费，以尽早通过数据桥实现数据共享、释放数据价值。

　　二、加拿大邮政公司出于营销目的收集和使用个人信息违法

　　【预警资讯】

　　当地时间9月19日，加拿大隐私专员办公室（OPC）公布对加拿大邮政公司（CPC）的调查结果，认为该公司出于营销目的收集和使用个人信息的行为，违反了《隐私法案》第5条。加拿大隐私专员办公室建议该公司停止目前未经个人授权，从信封外部间接收集个人信息并进行营销活动的做法；建议该公司采取更符合《隐私法案》要求的措施，并重新考虑可行的补救方案。（资讯分类：境外，数据和隐私保护；资讯来源：加拿大隐私专员办公室）

　　【预警提示】

　　建议企业将个人信息的收集环节作为数据合规工作的重中之重，确保个人信息后续处理应用和商业化开发的合法性。一是直接收集个人信息的企业应当将具备合法性基础作为数据收集的必要前提。除取得个人同意之外，企业可以适用“履行合同所必须”“履行法定职责或法定义务”“维护公共利益”“处理已公开的个人信息”等其他合法性基础，但其他合法性基础的适用具有严格的限制性，企业必须坚持客观合理的标准，仔细识别具体的数据收集场景是否满足不同合法性基础的适用要求；二是通过第三方间接收集个人信息的企业应该进行必要的尽职调查，要求数据提供方出具合法性基础的证明材料，确保数据提供方的数据来源合法，并在合同中明确双方的权利和义务，要求数据提供方采取必要的技术安全措施，以保障数据传输安全；三是应当主动向信息主体告知与其个人信息处理相关重要事项信息，包括：个人信息处理者的名称和联系方式、个人信息的处理目的和处理方式、处理的个人信息的种类和保存期限等。在处理个人信息的过程中，如果前款事项发生变更，企业应当将及时将变更部分告知个人，保障个人信息主体的知情权。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。