作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、国家互联网信息办公室就《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见
2、中国银保监会印发《银行保险机构信息科技外包风险监管办法》
3、国家网信办公布《互联网信息服务深度合成管理规定(征求意见稿)》
4、《医疗卫生机构信息公开管理办法》将于2月1日起施行
5、国标《重要数据识别指南》征求意见稿发布
6、《信息安全技术 网络安全从业人员能力基本要求(征求意见稿)》征求意见
7、《浙江省公共数据条例》将施行 提出不得强制收集生物识别信息重复验证
8、深圳出台数据条例“处罚细则”:数据交易、算法歧视等在列
9、上海出台《企业数据合规指引》:鼓励企业设立数据合规部门,不建议由法务部门履行合规管理职能
二、执法动态
1、2022首张千万级罚单:东亚银行违反信息查询等规定
2、工信部:加大手机软件广告治理力度
3、滴滴、满帮、货拉拉等8家公司被约谈提醒
4、小红书因未及时处置危害未成年人的信息被罚30万
三、司法审判
1、平台个人信息案件的法院审理思路:以全国首例适用《个人信息保护法》案件为例
2、全国首例算法推荐案:今日头条传播《延禧攻略》构成侵权
3、网站转载行政机关已合法公开的个人信息不构成侵权
四、新闻事件
1、国务院印发《“十四五”数字经济发展规划》
2、黑龙江省发布大数据产业发展规划
3、首份隐私计算合规白皮书:数据合规人才缺口巨大
4、《北京工业互联网发展行动计划(2021-2023年)》发布
五、域外观察
1、2.1亿欧元!法国对谷歌和脸书开出巨额罚单
2、德国FCO拟调查谷歌的数据垄断行为
3、亚马逊必须面对COVID-19健康检查的生物识别隐私诉讼
4、脸书因数据滥用在英国面临23亿英镑的集体诉讼
5、欧洲刑警组织被命令删除大量非法收集的个人信息
6、英大臣:如果脸书不遵守新《网络安全法》,扎克伯格“绝对可能入狱”
7、拜登政府将成立网络安全审查委员会
8、欧盟委员会将发布《数据法》草案
9、欧洲数据保护机构:通过同意弹窗收集的数据违反 GDPR,必须删除
10、谷歌有限责任公司诉劳埃德—代表人诉讼被驳回
一、立法动态
1、国家互联网信息办公室就《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见
“网信中国”公众号于1月5日发布国家互联网信息办公室关于《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见的通知。《征求意见稿》提出,应用程序为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。根据《征求意见稿》,应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。 值得注意的是,《征求意见稿》还提出,应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,严格落实未成年用户账号实名注册和登录要求,不得以任何形式向未成年用户提供诱导其沉迷的相关产品和服务。(来源:中新网)
2、中国银保监会印发《银行保险机构信息科技外包风险监管办法》
近日,中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》),进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作。《办法》明确,信息科技外包是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。除上述外包行为以外,随着近年来银行保险机构在各个领域与第三方的合作越来越多,其中不少合作涉及机构重要数据和客户个人信息处理,为充分保护金融消费者权益,防止敏感信息泄露和不当使用,对银行保险机构与其他第三方合作当中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动,需按照《办法》相关要求进行管理。《办法》规定,银行保险机构在实施信息科技外包时应当坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;保障网络和信息安全,加强个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。(来源:民主与法制网)
3、国家网信办公布《互联网信息服务深度合成管理规定(征求意见稿)》
1月28日,国家互联网信息办公室公布了《互联网信息服务深度合成管理规定(征求意见稿)》(以下称《规定(征求意见稿)》)。《规定(征求意见稿)》提出,深度合成服务提供者应当建立健全辟谣机制,发现深度合成信息服务使用者利用深度合成技术制作、复制、发布、传播虚假信息的,应当及时采取相应的辟谣措施,并将相关信息报网信等部门备案。《规定(征求意见稿)》共二十五条,主要规定了以下五个方面的内容:一是明确了制定目的依据、适用范围和总体要求;二是明确了深度合成服务提供者主体责任。要求建立健全算法机制机理审核、信息内容管理、从业人员教育培训等管理制度;三是明确了深度合成信息内容标识管理制度。要求深度合成服务提供者对使用其服务所制作的深度合成信息内容,通过有效技术措施添加不影响用户使用的标识,依法保存日志信息,使深度合成信息内容可被自身识别、追溯;四是明确了监督管理相关要求;五是明确了法律责任、解释部门和施行日期。(来源:中新网)
4、《医疗卫生机构信息公开管理办法》将于2月1日起施行
国家卫生健康委等三部门联合印发的《医疗卫生机构信息公开管理办法》,将于2月1日起施行。《办法》适用于医疗卫生机构,包括基层医疗卫生机构、医院和专业公共卫生机构,进一步明确医疗卫生机构信息公开的范围、方式、责任和监管。《办法》规定医疗卫生机构根据本机构特点和自身实际服务情况,有以下信息的应当主动公开:机构基本概况、公共服务职能;机构科室分布、人员标识、标识导引;机构的服务内容、重点学科及医疗技术准入、服务流程及须知等;涉及公共卫生、疾病应急处置相关服务流程信息;医保、价格、收费等服务信息;健康科普宣传教育相关信息;招标采购信息;行风廉政建设情况;咨询及投诉方式;其他法律、法规、规章等规定的应当主动公开的内容。(来源:中国新闻网)
5、国标《重要数据识别指南》征求意见稿发布
信安标委近日发布《重要数据识别指南(征求意见稿)》。该国家标准拟解决重要数据安全管理的适用对象和适用范围问题。在标准编制过程中,一方面充分吸收国内外重要数据安全保护经验,参考NIST SP 800-60《将各类信息与信息系统映射到安全类的指南》、NIST SP 800-171《保护非联邦系统和机构的受控非密信息》等国外指南,并重点借鉴了NIST SP 800-59《国家安全系统识别指南》,另一方面注重落实我国《网络安全法》《网络安全审查办法》及相关法律法规和政策文件中关于重要数据的有关规定,分析重要数据的属性、面临的威胁和主要分布情况,提出与国际标准接轨、适合我国国情,具有可操作性的重要数据的识别过程和方法,为各部门、各行业制定本部门、本领域的重要数据清单提供指导,为加强重要数据管理安全管理提供支撑。(来源:信安标委官网)
6、《信息安全技术 网络安全从业人员能力基本要求(征求意见稿)》征求意见
1月17日,全国信息安全标准化技术委员会秘书处下发关于国家标准《信息安全技术 网络安全从业人员能力基本要求》征求意见稿征求意见的通知并表示,该标准在内容制定上主要参考了我国人社部职业分类大典、我国网络安全实际就业情况、信安标委研究项目《网络安全从业人员专业能力评价指南》、信安标委研究项目《网络空间安全人员岗位分类与能力要求》、美国NICE框架等相关内容。该标准项目适用于党政机关、网络运营者、网络安全教育和科研机构等各类组织对网络安全从业人员的识别、培养和管理,也可供从事或将从事网络安全工作的人员参考。组织可参考此标准合理规划网络安全岗位,用人单位可参考此标准进行工作岗位招聘、培训和技能考核,被招聘人员也可参考此标准提升个人能力,并进行职业路径规划。国家可通过此标准加强网络安全从业人员的管理,摸清网络安全从业人员底数及结构,并统筹构建人员管理体系。(来源:数据保护官微信公众号)
7、《浙江省公共数据条例》将施行 提出不得强制收集生物识别信息重复验证
《浙江省公共数据条例》已经浙江省第十三届人民代表大会第六次会议表决通过,将于3月1日起施行。条例从拓展公共数据范围、明确公共数据平台建设规范、完善公共数据收集归集规则、建立公共数据充分共享机制、构建公共数据有序开放制度、设立公共数据授权运营制度、健全公共数据安全管理规范等方面对公共数据管理作出规定。针对社会关心的个人信息采集问题,条例要求公共管理和服务机构收集数据时,不得强制要求个人采用多种方式重复验证或特定方式验证。已经通过有效身份证件验明身份的,不得强制通过收集指纹、虹膜、人脸等生物识别信息重复验证。(来源:新华网)
8、深圳出台数据条例“处罚细则”:数据交易、算法歧视等在列
近日,深圳市市场监督管理局印发《深圳经济特区数据条例行政处罚裁量权实施标准》,对其职权范围内的数据执法事项裁量标准进行界定,数据交易、不正当竞争、算法歧视等在列。(来源:数据保护官微信公众号)
9、上海出台《企业数据合规指引》:鼓励企业设立数据合规部门,不建议由法务部门履行合规管理职能
近日,上海市首份《企业数据合规指引》(下称《指引》)出台。《指引》明确,一般由董事会直接设立企业合规部门,不建议由法务部门履行合规管理职能。企业最高管理者作为数据合规的第一责任人,需确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。《指引》鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。企业应向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门,下设数据合规管理部门等各类专业合规部门。《指引》还明确要求数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。(来源:数据保护官微信公众号)
二、执法动态
1、2022首张千万级罚单:东亚银行违反信息查询等规定
1月10日,中国人民银行上海分行公布了一张巨额罚单,罚单显示,东亚银行违反信用信息采集、提供、查询及相关管理规定。对于上述违法违规行为,中国人民银行上海分行对东亚银行处以罚款人民币1674万元,责令限期改正。东亚银行(中国)回应领1674万元罚单:已根据监管要求悉数进行整改。(来源:中国人民银行上海分行)
2、工信部:加大手机软件广告治理力度
近日,河北石家庄市网友邹先生在人民网“领导留言板”反映,有些手机软件开屏广告是“摇一摇”进入的,如果手机没拿稳,轻微摇晃一下,就会进入广告,建议相关部门督促改进。对此,工业和信息化部回应称,前期已针对APP开屏弹窗信息“关不掉”“乱跳转”问题进行专项整治,目前主要互联网企业开屏信息“关不掉”已基本解决,“乱跳转”误导用户问题发现率也大幅下降,治理取得积极成效。近期,发现部分企业采用“摇一摇”“扭一扭”作为跳转链接,用户在非知情自愿的情况下,仅轻微摇动或扭动即误触发页面跳转,这给广大用户带来了困扰。工信部已组织召开专题会议,要求涉及的主要互联网企业落实主体责任,优化参数设置,合理设置开屏信息跳转方式,切实尊重用户真实意愿,保障用户合法权益。据抽查,相关互联网企业已积极落实整改。工信部表示,下一步,将继续加强监督,强化提升用户感知,为广大群众营造更安全、更健康、更干净的APP应用环境。(来源:人民日报)
3、滴滴、满帮、货拉拉等8家公司被约谈提醒
2022年1月20日上午,交通运输新业态协同监管部际联席会议办公室对满帮、货拉拉、滴滴货运、快狗打车等4家互联网道路货运平台公司进行约谈,对滴滴出行、曹操出行、T3出行、美团出行等4家网约车平台公司进行提醒。约谈提醒指出,近期货车司机集中反映互联网道路货运平台随意调整计价规则、上涨会员费,诱导恶性低价竞争,超限超载非法运输等问题,涉嫌侵害从业人员合法权益,引发货车司机普遍不满和社会广泛关注。约谈提醒要求,各平台公司要正视自身存在的问题,认真落实企业主体责任,举一反三,立即进行整改。(来源:数据保护官微信公众号)
4、小红书因未及时处置危害未成年人的信息被罚30万
近日,小红书关联公司行吟信息科技(上海)有限公司新增行政处罚信息,具体事由为发现用户发布、传播含有危害未成年人身心健康内容的信息,没有立即停止传输相关信息,采取删除、屏蔽、断开链接等处置,被罚30万元,处罚单位为上海市黄浦区文化和旅游局。对此,小红书回应称:该处罚系因12月份央视报道提及的未成年信息审核漏放问题。小红书将持续提升对不良信息的识别能力,持续提升平台治理能力。据了解,用户可通过平台举报渠道,对不良信息进行举报,小红书平台将重点处理此类举报。(来源:数据保护官微信公众号)
三、司法审判
1、平台个人信息案件的法院审理思路:以全国首例适用《个人信息保护法》案件为例
原告王某诉称:其使用微信账号登录被告腾讯公司运营的微视APP,该APP会获取原告的全部微信好友信息,原告在登录和使用的过程中,微视APP从未告知原告会收集和使用上述信息,原告也从未明确授权微视APP收集和使用上述信息。原告认为,被告未明示告知收集信息的使用规则、目的、方式和范围,且未经原告同意使用其微信个人信息,包括地区、性别和微信好友关系等,微视APP的强制授权行为侵害了原告的隐私及个人信息权益,故向法院起诉,要求被告赔礼道歉并删除所有信息。
被告答辩称:该司通过《微信软件许可及服务协议》《微信隐私保护指引》向用户告知了收集、使用用户所在地区、性别信息,以及用户在使用微信与其他软件互通时,其他软件可以获取用户公开或者传输的信息,即已告知用户包括微视在内的软件将获取用户微信信息;此外,该司通过用户使用微信登录的方式获取用户授权同意,不侵害原告隐私和个人信息权益。
本案系互联网社交平台用户就收集和处理用户信息的纠纷,涉及互联网社交平台个人信息和隐私的法律认定标准以及平台处理个人信息行为的合法性、正当性和必要性原则。本案是广东省第一宗审理个人数据的案件,也是个保法生效后全国第一宗适用个保法案件。将民法典和个人信息保护规则的适用在实际案例中明确,将为人民群众维护其合法权益提供保障,为企业规范利用个人信息提供指引,也为数字经济在法治轨道上健康发展提供了法治保障。(来源:数据保护官微信公众号)
2、全国首例算法推荐案:今日头条传播《延禧攻略》构成侵权
近期,北京市海淀区人民法院对北京爱奇艺科技有限公司(以下简称“爱奇艺公司”)诉北京字节跳动科技有限公司(以下简称“字节公司”)侵害《延禧攻略》信息网络传播权一案作出判决,对网络服务提供者的注意义务、算法推荐的侵权注意义务等作出明确认定,对相关案件具有重要的指导意义。
原告爱奇艺公司诉称,其系在线视频平台“爱奇艺”的经营者,经授权依法享有热播影视作品《延禧攻略》(以下简称延剧)在全球范围内独占的信息网络传播权,并为此支付了巨额的版权费用,有权针对侵权行为依法进行维权。延剧在爱奇艺公司运营的爱奇艺平台进行全网独家播出期间,播放量超过150亿,产生了巨大的热播效应。字节公司未经授权,在延剧热播期间,通过其运营的今日头条App利用信息流推荐技术,将用户上传的截取自延剧的短视频向公众传播并推荐,侵权播放量极高,其中单条最高播放量超过110万次。爱奇艺公司认为字节公司在应知或明知侵权内容的情况下,未尽到合理注意义务,存在主观过错,侵害了爱奇艺公司对延剧享有的信息网络传播权,请求判令字节公司赔偿经济损失2921.6万元及维权开支78. 4万元。
字节公司辩称,爱奇艺公司的证据不足以证明其对延剧享有独家信息网络传播权。涉案短视频由用户自行上传,字节公司仅提供信息存储空间服务。字节公司作为网络服务提供者,已尽到合理注意义务,不存在任何侵权的主观过错,不构成侵权。
经审理,法院认定字节公司具有充分的条件、能力和合理的理由知道其众多头条号用户大量地实施了涉案侵权行为,属于法律所规定的应当知道情形。字节公司在本案中所采取的相关措施,尚未达到“必要”程度。字节公司不仅仅是信息存储空间服务,而是同时提供了信息流推荐服务,理应对用户的侵权行为负有更高的注意义务。最终,字节跳动公司的涉案行为构成帮助侵权,并判定赔偿原告经济损失150万元及诉讼合理开支50万元,共计200万。(来源:数据保护官微信公众号)
3、网站转载行政机关已合法公开的个人信息不构成侵权
被告A公司在其运营的网站××上发布的“深圳公租房轮候排名查询系统_深圳安居房”内容中涉及冯某某姓名、身份证号码、选定项目及选定房号的信息,均与深圳市住房和建设局官网依法公开发布《xx花园一期等三个公共租赁住房项目选房结果公示》内容一致,未对冯某某的姓名进行干涉、盗用、假冒。A公司主张在冯某某投诉后已经及时删除涉案链接,冯某某提交一审法庭的2020年4月16日查询的视频可显示其搜索结果为转载删除后的百度快照残留痕迹。
法院认为,A公司转载了深圳市住房和建设局在其官网发布的《XX花园一期等三个公共租赁住房项目选房结果公示》,在该公示结果中,公布了冯某某身份证号(隐藏后四位)、选定项目、面积。易图公司网站内查询内容与该公示结果一致。易图公司转载国家机关发布的公示信息,未窜改内容,并无不当,并未干涉、盗用、假冒冯某某的姓名。退一步讲,即便转载内容存在不当,在冯某某投诉后,A公司已经在冯某某起诉前及时删除争议涉案链接。
对于百度公司是否侵犯冯某某姓名权的问题,百度公司提供搜索引擎,通过搜索关键词客观呈现搜索结果,并不存在过错。在冯某某起诉后,百度公司亦及时屏蔽了涉案信息。冯某某主张百度公司侵害其姓名权,缺乏依据,本院不予支持。(来源:数据保护官微信公众号)
四、新闻事件
1、国务院印发《“十四五”数字经济发展规划》
国务院日前印发《“十四五”数字经济发展规划》(以下简称《规划》),明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。《规划》部署了八方面重点任务。一是优化升级数字基础设施。加快建设信息网络基础设施,推进云网协同和算网融合发展,有序推进基础设施智能升级。二是充分发挥数据要素作用。强化高质量数据要素供给,加快数据要素市场化流通,创新数据要素开发利用机制。三是大力推进产业数字化转型。加快企业数字化转型升级,全面深化重点行业、产业园区和集群数字化转型,培育转型支撑服务生态。四是加快推动数字产业化。增强关键技术创新能力,加快培育新业态新模式,营造繁荣有序的创新生态。五是持续提升公共服务数字化水平。提高“互联网+政务服务”效能,提升社会服务数字化普惠水平,推动数字城乡融合发展。六是健全完善数字经济治理体系。强化协同治理和监管机制,增强政府数字化治理能力,完善多元共治新格局。七是着力强化数字经济安全体系。增强网络安全防护能力,提升数据安全保障水平,有效防范各类风险。八是有效拓展数字经济国际合作。加快贸易数字化发展,推动“数字丝绸之路”深入发展,构建良好国际合作环境。围绕八大任务,《规划》明确了信息网络基础设施优化升级等十一个专项工程。(来源:新华网)
2、黑龙江省发布大数据产业发展规划
近日,省工信厅关于印发《黑龙江省大数据产业发展规划(2021—2025年)》(以下简称《发展规划》),提出到2025年,大数据产业测算规模达到140亿元,产业生态更加繁荣,融合应用更加深入广泛。建成哈尔滨全国大数据中心重要基地,打造大数据新型工业化产业示范基地,融入全国一体化大数据中心协同创新体系,全省现代化大数据产业体系基本形成,大数据产业将成为我省经济发展新的增长极和支撑经济社会转型的重要驱动力。《发展规划》提出了四大发展重点任务,一是强化大数据产业支撑。提出加强基础设施建设、提升科技创新能力、汇聚基础数据资源三个具体发展方向。二是优化大数据产业生态。提出培育大数据产业主体、推动大数据产业集聚、探索数据要素市场三个具体发展方向。三是深化大数据融合应用。提出农业大数据融合应用、工业大数据融合应用、公共服务领域大数据融合应用三个具体发展方向。四是筑牢数据安全保障体系。提出完善数据安全保障体系、加强技术和服务支撑、加强制度建设和监督管理、加强风险评测和应急处置四个具体发展方向。(来源:黑龙江日报)
3、首份隐私计算合规白皮书:数据合规人才缺口巨大
近日,中国信通院云计算与大数据研究所联合蚂蚁集团等企业机构共同发布了《隐私计算法律与合规白皮书》(以下简称“白皮书”),首次系统阐述了隐私计算的合规价值。蚂蚁集团副总裁韦韬认为,步入数据密态时代,隐私计算已经成为实现数据合规的关键技术,这已经不仅仅是个单独技术问题,还涉及密码学、大数据、法律等多学科,未来面向此类需求的人才和教育缺口巨大。近年来,隐私计算以“可用不可见”“可算不可识”的技术特点受到关注。白皮书比较系统地解释了各类技术如何实现数据保护、法律效果如何,给了企业在保护个人信息安全上提出了指导。中国信通院云大所总工程师王蕴韬介绍,白皮书阐述了隐私计算的五点合规价值:有助于参与者履行法定的安全保障义务;有助于践行最小必要原则,防止数据滥用;有助于实现一定条件下的匿名化;有助于减轻授权同意的合规隐患;有助于开发数据的使用价值。(来源:中国青年报)
4、《北京工业互联网发展行动计划(2021-2023年)》发布
近日,北京市经信局发布《北京工业互联网发展行动计划(2021-2023年)》。行动计划披露,北京市将全面实施供给质量提升三大行动、产业集群培育三大工程,到2023年,北京将建设成为引领全国、影响世界的工业软件创新高地、工业互联网平台赋能高地、工业互联网安全服务高地和工业互联网产业发展高地。届时,北京市工业互联网核心产业规模达到1500亿元。行动计划对工业互联网发展提出了多项目标:突破一批工业软件核心关键技术,形成一批在重点行业基本可用的国产研发设计类工业软件,打造一批市场化服务能力突出的高端工业软件产品,培育一个具有国际影响力的工业软件开源社区;形成10个以上面向重点行业的国内一流工业互联网平台,培育50个以上具有全国影响力的系统解决方案供应商;形成50个以上的工业互联网安全关键技术产品,培育50家具有核心竞争力的网络安全企业;推动京津冀工业互联网协同发展,建设高水平产业集群,形成龙头企业带动、合作共赢的产业生态,工业互联网核心产业规模达到1500亿元。(来源:央广网)
五、域外观察
1、2.1亿欧元!法国对谷歌和脸书开出巨额罚单
据法新社消息,当地时间6日,法国监管部门对谷歌(Google)公司和Meta平台有限公司的脸书社交平台(Facebook)处以2.1亿欧元(约15.1亿元人民币)的罚款,表示他们违反法国数据隐私规则。法国数据监管机构——国家信息与自由委员会(CNIL)给出的理由是,这两家公司的产品通过多种方式,变相不允许用户拒绝cookie。监管机构对谷歌开出的罚单高达1.5亿欧元,超过了该委员会在2020年12月对该公司开出的1亿欧元罚单,创下新高。此外,法国监管部门对脸书开出6000万欧元的罚单。CNIL表示,这两家公司有三个月的时间来调整其做法,如届时还未调整到位,罚款金额将提升至每天10万欧元。自2018年5月以来,欧盟在整个欧盟范围内实施的新规定增加了谷歌和脸书等美国科技公司面临的压力。(来源:中国新闻网)
2、德国FCO拟调查谷歌的数据垄断行为
谷歌在欧洲面临着进一步的反垄断压力,德国监管机构将使用新的权力,更详细地调查这家科技巨头的数据垄断。这家搜索引擎巨头与欧洲大陆的监管机构有着曲折的恩怨情仇,欧盟委员会在短短三年内对谷歌进行了三次巨额罚款:第一次是2017年罚款28亿美元,第二次是2018年罚款50亿美元,第二次是2019年罚款17亿美元。此外,法国监管机构不久前才对谷歌和Facebook处以2.1亿欧元的罚款。近日,德国联邦卡特尔办公室(FCO,德语:Bundeskartellamt)宣布将利用去年生效的新反垄断法——允许其“更早、更有效地采取干预措施”——调查谷歌的商业行为。在周三上午发布的一份声明中,德国监管机构表示,将调查这家科技巨头对个人数据的使用情况,以及谷歌展示平台(Google Showcase platform)的使用情况。该平台显示的内容来自当地新闻提供商,如明镜报、德国明星周刊和德国时代周报。“这是非常重要的一步,因为根据这一决定,FCO现在可以对谷歌的具体反竞争行为采取行动,”监管机构主席安德烈亚斯·穆特(Andreas Mundt)表示。“我们已经开始调查谷歌对个人数据的处理,并更详细地处理谷歌新闻展示问题。”(来源:数据保护官微信公众号)
3、亚马逊必须面对COVID-19健康检查的生物识别隐私诉讼
亚马逊公司未能说服伊利诺伊州的一名联邦法官驳回一项诉讼,该诉讼指控该公司在履行仓库中非法收集员工的 "面部几何 "扫描,作为COVID-19健康检查的一部分。美国芝加哥地区法官Mary Rowland周一拒绝驳回这项拟议的集体诉讼,其中一名前雇员指控该电子商务公司根据《伊利诺伊州生物识别信息隐私法》(BIPA)在未经适当同意的情况下收集其面部和其他数据。亚马逊是根据伊利诺伊州法律被起诉的众多企业之一,该法律被认为是美国处理生物识别隐私最严格的法律之一。亚马逊和其来自Perkins Coie的一名律师周一没有立即回应评论请求,原告公司Stephan Zouras的一名律师也没有回应。(来源:数据保护官微信公众号)
4、脸书因数据滥用在英国面临23亿英镑的集体诉讼
脸书的母公司Meta在英国面临一起重大集体诉讼,该公司被指控滥用市场支配地位,利用英国用户的个人数据。诉讼是由英国国际和比较法研究所高级研究员、竞争法论坛主任Lovdahl Gormsen代表4400万英国脸书用户提起的。诉讼称,脸书用户为使用软件付出了“不公平的代价”。“在一个自由和公平的市场中,竞争应该带来更低的价格和更高的质量”,Lovdahl Gormsen说。“但市场上的公司越大,我们的选择就越少。脸书以牺牲用户利益为代价,滥用市场支配地位。”
此案将受英国《竞争法》管辖,Lovdahl Gormsen的律师要求Meta赔偿在2015年10月至2019年12月期间受到该公司做法影响的人至少23亿英镑,外加利息。该诉讼认为,脸书对用户强加了“要么接受,要么放弃”的条款和条件,提取他们的数据来建立详细的个人信息,然后用来产生利润。该案件是一个选择退出集体诉讼,这意味着用户不需要主动参与寻求损害赔偿。除非他们选择不这样做,否则在指定期间登录英国脸书帐户的任何人都包括在该案例中。英国反垄断监管机构竞争和市场管理局(CMA)2020年7月的一份报告强调了脸书和谷歌等公司的市场力量后,据此Gormsen提起了诉讼。报告指出,两者都使用默认设置来鼓励人们放弃他们的数据,前者还以接受个性化广告作为使用条件。该诉讼将很快提交给英国竞争上诉法庭,该法庭将考虑是否允许该案件进入审判。(来源:数据保护官微信公众号)
5、欧洲刑警组织被命令删除大量非法收集的个人信息
近日,英国《卫报》(The Guardian)报道了一个重磅级消息:欧盟数据保护监管机构(EDPS)下令,强制欧盟旗下的欧洲刑警组织(Europol)删除所非法持有的、超过六个月的数据,并用一年时间梳理出它可以合法保留的数据。《卫报》的报道显示,欧洲刑警组织被指控非法持有大量受法律保护的个人信息,并有成为「欧洲NSA」的嫌疑。同时,该组织还计划将这些数据进行挖掘分析,用于人工智能与机器学习算法的训练。Europol 否认它们曾利用这些数据进行任何不当行为,并称它们虽然持有大量非法获取的个人数据,但并不打算利用这些数据「为非作歹」,也没有成为「美国NSA」的野心。2021年12月,监管机构与欧洲刑警组织的对峙到达了白热化状态,事情的严重性不断升级,甚至吸引了欧盟内政事务总干事 Monique Pariat 出席会议。但这次会议上,欧洲刑警组织还是没有回复EDPS对合法保留数据的担忧。最后,EDPS不得不发布一个让欧洲刑警组织删除超过六个月数据的决定。EDPS的裁决结果表明:在安全与隐私的权衡之间,欧洲决策者选择了站在「隐私」的一方。(来源:数据保护官微信公众号)
6、英大臣:如果脸书不遵守新《网络安全法》,扎克伯格“绝对可能入狱”
据英国天空新闻频道、《独立报》报道,英国数字、文化、媒体和体育部大臣娜丁·多里斯日前警告称,如果社交媒体脸书不遵守该国新的《网络安全法》,该平台创始人兼CEO扎克伯格“绝对”有入狱风险。报道称,英国《网络安全法》法案补充了一系列刑事犯罪事项,以此迫使社交媒体公司对非法内容采取更快的行动。(来源:钛媒体)
7、拜登政府将成立网络安全审查委员会
据《华尔街日报》报道,近日,拜登政府正在召集一个专家小组,审查影响政府和企业的网络安全问题。据报道,由私营企业和政府专家组成的新成立的网络安全审查委员会将首先解决Log4j漏洞问题。该漏洞是广泛使用的Java日志库Apache Log4j中的一个漏洞,于2021年12月被发现。该漏洞可被黑客用来接管计算机服务器,有可能使从消费电子产品到政府和企业系统都面临网络攻击的风险。《华尔街日报》称,新的网络安全团队将对重大网络安全事件进行调查并发布报告,并补充说关于该团队的细节预计将在周四晚些时候公布。据报道,该委员会将与美国国家运输安全委员会有一些相似之处,后者负责调查事故并倡导运输安全。然而,据报道,网络安全委员会将缺乏传唤权,是国土安全部的一部分。白宫没有立即回应评论请求。(来源:网络安全探究)
8、欧盟委员会将发布《数据法》草案
Euractiv报道,欧盟委员会计划在2月23日推出其关于非个人数据的数据法。根据透露的消息,委员会的草案将包括关于共享数据、公共机构访问条件、国际数据传输、云转换和互操作性的规定。该法律将对联网产品的制造商、数字服务提供商和用户进行监管。该提案讨论了整个欧盟产生的数据如何“成倍增长”,但数据“集中在相对少数的大公司手中”。(来源:数据保护官微信公众号)
9、欧洲数据保护机构:通过同意弹窗收集的数据违反 GDPR,必须删除
欧洲数据保护机构表示,网站上出现要求用户同意数据收集的弹出窗口违反了 GDPR 规则,现在必须删除以这种方式收集的数据。数据保护领域的专家表示,虽然同意弹出窗口不太可能结束,但这些窗口收集用户数据的方式以及他们可以用这些数据做什么可能会发生变化。(来源:数据保护官微信公众号)
10、谷歌有限责任公司诉劳埃德—代表人诉讼被驳回
2021年11月10日,英国最高法院一致驳回了理查德-劳埃德先生对谷歌提起代表诉讼的企图。Lloyd先生被上诉法院称为消费者保护的捍卫者,他根据1998年《数据保护法》("DPA 1998")第13条,在非法处理苹果IPhone用户的数据后,为这些用户寻求赔偿。他建议将每个用户的赔偿金统一为750英镑,这将使谷歌承担30亿英镑的账单。(来源:数据保护官微信公众号)