作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、《数据防泄露(DLP)技术指南》发布
2、信安标委发布《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》
3、《网络安全标准实践指南—信息系统灾难备份实践指引(征求意见稿)》公开征求意见
4、信安标委就国家标准《信息安全技术 信息安全控制评估指南(征求意见稿)》征求意见
5、信安标委就《网络安全标准实践指南——个人信息跨境处理活动认证技术规范(征求意见稿)》公开征求意见
6、交通运输部:加强道路客运电子客票信息安全管理 严防旅客个人信息等重要数据泄露
7、《广州市数字经济促进条例》发布
二、执法动态
1、中央网信办开展专项行动全链条治理网络暴力
2、中央网信办:推动算法综合治理工作常态化
3、国家邮政局、公安部、国家网信办联合启动邮政快递领域个人信息安全治理专项行动
4、工信部通报37款存在侵害用户权益行为APP
三、司法审判
1、非法获取、买卖明星航班信息 四人因侵犯公民个人信息被判刑
2、首例涉案数据被鉴定为情报的跨境交易案
四、新闻事件
1、我国数据产权保护将承认数据处理者合理收益
2、工信部:加快出台《工信领域数据安全管理办法》《APP个人信息保护管理规定》
五、域外观察
1、谷歌启动“隐私沙盒”全球测试,拟取代基于跟踪cookie的定向广告
2、EDPB通过关于新的跨大西洋数据隐私框架的声明
3、数据治理:欧洲议会批准促进欧盟内部数据共享的新规则《数字治理法案》
4、LV因虚拟试穿工具被卷入数据隐私诉讼
5、丹麦最大银行因违反GDPR被罚1000万
6、马斯克收购Twitter暴露出隐私雷区
7、谷歌搜索删除请求现在包括个人联系信息
一、立法动态
1、《数据防泄露(DLP)技术指南》发布
数据安全是数字经济健康发展的基石,而数据防泄露是数据安全治理的核心。中国信息协会信息安全专委会日前发布《数据防泄露(DLP)技术指南》,旨在提升数据安全管理能力,加快构建数字经济全方位安全保障体系,促进数据合理、合法、合规使用和流通。数据防泄露(DLP)是当前支撑数据资产保护的重要技术之一,也是实现数据分类分级的重要技术工具,但国内市场还未建立统一的标准。指南在助力夯实数据安全基座的同时,也在认知、选择、管理等数据防泄露相关方面为企事业用户提供指引,指导相关领域厂商、服务商等发展。指南联合发布方天空卫士高级技术总监杨明非说,完善的数据防泄露解决方案必须贯穿数据生命周期的全过程,在统一的数据安全策略下保护组织的核心数据资产。企业级数据防泄露(DLP)通过动态平衡数据安全与业务风险,建立持续、自适应的数据安全防御体系,帮助企业构建完善的数据防泄露解决方案,保护数据资产安全。(来源:新华社客户端)
2、信安标委发布《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》
全国信息安全标准化技术委员会近日发布《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》。该标准旨在落实《常见类型移动互联网应用程序必要个人信息范围规定》和《App违法违规收集使用个人信息行为认定方法》两项部门工作文件,沿袭了两项部门工作文件的重要概念,并进一步细化了App收集个人信息的要求,具有很强的实践参考价值。《App收集个人信息基本要求》以App类型划分为基础,区分不同类型以要求和附录相结合的形式明确了App收集个人信息中如何贯彻最小必要原则、如何确定必要个人信息范围、特定类型个人信息的收集处理方式、告知同意的具体要求、系统权限和第三方的管理方式。(来源:信安标委微信公众号)
3、《网络安全标准实践指南—信息系统灾难备份实践指引(征求意见稿)》公开征求意见
为指导各组织开展信息系统灾难备份实践工作,信安标委秘书处组织编制了《网络安全标准实践指南—信息系统灾难备份实践指引(征求意见稿)》,于4月26日面向社会公开征求意见。该实践指引为落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》要求,为解决大数据场景下云灾难备份应用中暴露出的安全问题,本实践指南分别面向服务提供方和服务需求方,给出了其在需求分析、功能设计、运行维护等方面可采取的安全措施。(来源:信安标委官网)
4、信安标委就国家标准《信息安全技术 信息安全控制评估指南(征求意见稿)》征求意见
4月7日,信安标委在其官网上公布了国家标准《信息安全技术 信息安全控制评估指南》征求意见稿,面向社会广泛征求意见。该文件为评审和评估信息安全控制措施的实施与运行提供指南,包括对信息系统控制的技术性评估,该评审和评估基于组织所建立的信息安全要求及技术性评估准则,适用于各种类型和规模的组织开展信息安全评审和技术符合性检查。该文件描述了信息安全控制措施评估过程,包括技术性评估。第五章提供背景信息。第六章提供信息安全控制措施评估的概述。第七章介绍评审方法。第八章介绍控制评估过程。(来源:信安标委官网)
5、信安标委就《网络安全标准实践指南——个人信息跨境处理活动认证技术规范(征求意见稿)》公开征求意见
4月29日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——个人信息跨境处理活动认证技术规范(征求意见稿)》(以下简称“《认证技术规范》”),面向社会公开征求意见。本次公开的《认证技术规范》则是首个对个人信息保护认证进行探索的官方文件。本实践指南依据有关政策法规要求,为落实《个人信息保护法》第38条建立个人信息保护认证制度提供认证依据。本实践指南从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形:a) 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动;b)《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。按照法律、行政法规、部门规章有关规定,需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估。中华人民共和国缔结或者参加的国际条约、协定,对向中华人民共和国境外提供个人信息的条件有规定的,按照其规定执行。(来源:信安标委官网)
6、交通运输部:加强道路客运电子客票信息安全管理 严防旅客个人信息等重要数据泄露
为深入贯彻落实《国务院关于印发“十四五”现代综合交通运输体系发展规划的通知》有关“提高道路客运联网售票水平,普及电子客票”的部署要求,近日,交通运输部办公厅印发《关于做好道路客运电子客票推广普及有关工作的通知》(以下简称《通知》),部署做好相关工作。《通知》强调,各省级交通运输部门要巩固拓展道路客运电子客票服务成效,严防道路客运电子客票服务联而不通、通返不通;加强道路客运电子客票信息安全管理,督促指导系统运营单位规范信息采集、传输、存储、应用流程,严防旅客个人信息等重要数据泄露;探索推进数据互联互通,积极推广道路客运电子发票,推进道路客运电子客票服务与旅游等领域信息服务的对接,有序推动道路客运与其他运输方式电子客票数据互联互通。(来源:央视新闻)
7、《广州市数字经济促进条例》发布
《广州市数字经济促进条例》日前经广东省十三届人大常委会第四十一次会议批准,将于2022年6月1日实施。《条例》作为国内首部城市数字经济地方性法规,将为广州数字经济发展提供重要法治保障。《条例》共设十一章,分为总则、数字产业化、工业数字化、建筑业数字化、服务业数字化、农业数字化、数字基础设施、数据资源、城市治理数字化、发展环境、附则,共八十九条。《条例》强调,数字经济发展应当以数字产业化和产业数字化为核心,推进数字基础设施建设,实现数据资源价值化,提升城市治理数字化水平,营造良好发展环境,构建数字经济全要素发展体系。(来源:财联社)
二、执法动态
1、中央网信办开展专项行动全链条治理网络暴力
为有效防范和解决网络暴力问题,切实保障广大网民合法权益,中央网信办近日部署开展“清朗·网络暴力专项治理行动”,聚焦网络暴力易发多发、社会影响力大的18家网站平台进行全链条治理。中央网信办有关负责人表示,这次专项行动将通过建立完善监测识别、实时保护、干预处置、溯源追责、宣传曝光等措施开展全链条治理。其中,明确建立健全识别预警机制,进一步细化网络暴力信息分类标准,强化行为识别和舆情发现,及时预警网络暴力苗头性、倾向性问题。建立健全网络暴力当事人实时保护机制,调整私信功能规则,及时过滤“网暴”内容,强化“一键防护”等应急保护措施,建立快速取证和举报通道,加大弹窗提醒警示力度,加强重点群体救助保护。中央网信办有关负责人要求,重点网站平台要按照统一部署,结合平台特点进一步细化明确目标要求、工作措施和完成时限,抓好任务落实。中央网信办将组织督导检查,对于落实不力、问题突出的网站平台,采取严厉处置处罚措施。互联网不是法外之地,各网站平台要加强宣传,引导广大网民严格遵守法律法规,尊重社会公德和伦理道德,共同抵制网络暴力行为,坚决防止网民遭受网络暴力侵害。(来源:新华网)
2、中央网信办:推动算法综合治理工作常态化
为加强互联网信息服务算法综合治理,有效推动《互联网信息服务算法推荐管理规定》(以下简称《管理规定》)落地见效,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,中央网信办牵头开展“清朗·2022年算法综合治理”专项行动。此次专项行动开展时间为即日起至2022年12月初,主要包括以下五个方面工作:组织自查自纠;开展现场检查;督促算法备案;压实主体责任;限期问题整改。此次工作目标为:聚焦网民关切,解决算法难题,维护网民合法权益,落地落实落好《管理规定》,深入排查整改互联网企业平台算法安全问题,评估算法安全能力,重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品,督促企业利用算法加大正能量传播、处置违法和不良信息、整治算法滥用乱象、积极开展算法备案,推动算法综合治理工作的常态化和规范化,营造风清气正的网络空间。(来源:央广网)
3、国家邮政局、公安部、国家网信办联合启动邮政快递领域个人信息安全治理专项行动
4月21日,国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议,部署开展为期半年的邮政快递领域个人信息安全治理专项行动。会议明确,一要聚焦解决突出问题,确保实现涉邮政快递领域侵犯公民个人信息违法犯罪得到明显遏制,社会公众对邮政快递面单信息保护直观感受明显改善,邮政快递领域信息安全管理短板弱项得到有效补强。二要摸清底数,各企业要全面开展排查,严格落实人防物防技防措施。三要坚持合成作战,提升打击效能,对侵害用户信息安全行为“零容忍”,严厉打击涉寄递电信诈骗、空包“刷单”等违法犯罪行为。四要严格依法监管执法,严肃查处追责,切实形成高压态势。五要加大整治力度,大力推广虚拟安全号码、隐私面单、网络身份认证等技术应用。六要夯实基础,加强关键信息基础设施安全保护,建立健全网络安全监测预警和网络安全事件应急预案。(来源:数据保护管微信公众号)
4、工信部通报37款存在侵害用户权益行为APP
工信部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,在近期组织第三方检测机构对移动互联网应用程序(APP)进行检查中发现尚有37款APP未完成整改,违规内容包括违规收集个人信息、超范围收集个人信息、频繁索取权限等。
(来源:工业和信息化部信息通信管理局)
三、司法审判
1、非法获取、买卖明星航班信息 四人因侵犯公民个人信息被判刑
【案情简介】被告人秦某某案发前系某航空公司客户服务中心客服代表,被告人李某某曾就职于四川某呼叫科技有限公司,负责某航空公司系统业务,两人因业务往来而熟识。借工作之便,两人可以查询到一些当红明星的航班信息,也因此身边时常有朋友来打探明星的“行踪”,久而久之,两人便动起了“歪心思”。2020年至2021年间,秦某某伙同李某某,直接或间接利用工作便利,违反国家有关规定,查询航班信息并向他人出售。经查,二人共同出售他人航班行踪轨迹信息1964条、其他公民个人信息370条,非法获利共计人民币40975.5元,秦某某单独出售他人航班轨迹信息383条、其他公民个人信息24条,非法获利6260元,李某某单独出售他人航班行踪轨迹信息731条、其他公民个人信息37条,非法获利共计人民币18 123元。
庭审中,秦某某供述,她从2019年便开始出售公民个人信息,购买信息的大多是追星的“粉丝”,部分“粉丝”获取舱单信息后,还会想办法调换座位以达到近距离追星的目的。被告人张某某、徐某某正是这样的“粉丝”,她们为了“追星”,多次从秦某某、张某某处购买航班信息。2020年至2021年间,被告人张某某从李某某处购买他人航班行踪轨迹信息426条、其他公民个人信息78条,被告人徐某某从秦某某、李某某处购买他人航班行踪轨迹信息192条,其他公民个人信息8条。
【法院认为】北京市朝阳区人民法院经审理认为,涉案舱单信息主要包括乘机人拼音姓名、航班号、舱位号、航班日期、订票日期等内容,对于购买者而言,上述信息可以单独反映,或可与其他信息结合反映特定自然人在具体时间点的行踪轨迹,属于刑法所保护的公民个人信息,四被告的行为构成侵犯公民个人信息罪。此外,在当今大数据时代,公民个人信息兼具人身属性与财产属性,且不仅与个人利益有关,也作为重要的社会资源而具有突出的公共属性,秦某某、李某某非法获取并出售公民个人信息的行为,造成众多不特定公民个人信息泄露,面临遭受侵害的风险,对个人信息保护领域的社会公共利益造成了实际损失,二人亦应当承担公共利益损害赔偿责任。
最终,朝阳法院一审判处被告人秦某某、李某某有期徒刑三年,罚金人民币四万元;追缴被告人秦某某违法所得人民币26747.75元、张某某违法所得38610.75元;禁止被告人秦某某、李某某自刑罚执行完毕之日起三年内从事航空客服代表类职业;责令被告人秦某某、李某某共同支付公共利益损害赔偿款40975.5元,被告人秦某某单独支付公共利益损害赔偿款6260元,被告人李某某单独支付公共利益损害赔偿款8123元;责令被告人秦某某、李某某注销买卖公民个人信息使用的微信号,删除存储在其中的公民个人信息数据,并在国家级新闻媒体就侵犯公民个人信息行为向社会公众公开赔礼道歉。被告人张某某、徐某某则分别被处以有期徒刑一年、罚金一万元及拘役五个月、罚金五千元的刑罚,同时法院依法对二人均宣告缓刑。
【法院提示】案件主审法官商登煜提示大家,现如今,对公民个人信息的保护愈发受到重视,刑法、民法以及个人信息保护法等法律规范均对此作出了相应规定。若因工作原因会接触到其他公民的个人信息,务必要遵守职业规范要求,履行保密义务,非法泄露公民个人信息不仅是民事侵权行为,严重的还将触犯刑法。对于因追星等原因想要打探他人个人信息的人而言,应当注意打探的方式和限度,否则一旦超出法律底线,也将为自己带来影响一生的不利后果。(来源:朝阳法苑)
2、首例涉案数据被鉴定为情报的跨境交易案
央视网消息(焦点访谈):4月15日是全民国家安全教育日。数字经济已经成为国际竞争的制高点,数据领域面临的国家安全风险日益突出,尤其是国家基础信息、国家核心数据日益成为境外情报窃密的重要目标。不久前,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。
王某,上海某信息科技公司销售总监,因涉嫌为境外刺探、非法提供情报罪,于2021年12月31日被上海市国家安全局执行逮捕。与王某一同被逮捕的,还有公司销售迟某、法定代表人王某。
2020年年底,上海某信息科技公司接到西方境外公司的项目委托。该境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要对中国的铁路网络进行调研,但是受新冠疫情的影响,委托境内公司采集中国铁路信号数据。为了挣钱,上海某信息科技公司很快应下了这个项目,但“境外公司”“铁路信号”“数据测试”这一系列的敏感词也让他们心存疑虑。公司法务了解了情况后,认为这个数据的流出是不可控的,而且也不知道境外公司拿到这个数据的最终目的是什么,因此非常有可能会危害到我们的国家安全,所以建议谨慎考虑开展这次合作。但为了谋取利益,对方催促项目要尽快开展,并把需要的设备清单提供给境内这家信息技术公司。器材设备普通易购,并非专用间谍器材。天线、SDR设备、电脑、移动硬盘,这样的设备清单,大大减小了境内公司的疑虑。这单生意操作十分简单,利润却十分丰厚。最终,双方约定合作,由上海这家公司按照对方要求购买、安装设备,在固定地点采集信号数据并进行移动测试和数据采集。为了规避风险,在双方的合同中,合作涉及的这些具体又敏感的内容完全没有被提及。在设备调试的过程中,对方突然提出让境内公司为他们开通远程登录端口的要求。对于境外公司的真实目的,这家信息技术公司心知肚明,但又选择与对方心照不宣,把远程端口的登录名和密码交给对方。在利益的驱使下,国内这家信息技术公司默许对方源源不断获取我国铁路信号数据。直到5个月后,该公司决定停止与境外公司合作,但公司两名员工不愿放弃如此高利润的项目。为了继续从中获取利益,两人寻找第二家公司与境外公司建立了合作关系,并直接拿到了9万元的分成。
国家安全部干警说:“通过勘验相关电子设备,仅仅一个月采集的信号数据就已经达到500GB,而这个项目已经实施了将近半年,可以想象所采集和传递到境外的数据是非常庞大的。”经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。经国家安全机关调查,这家境外公司从事国际通信服务,但它长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。在数据时代,境外一些机构、组织和个人,针对我国重要领域敏感数据的情报窃密活动十分突出,给国家安全和经济社会发展造成了重大风险隐患。
这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。目前,相关涉事公司员工已被逮捕。
中国国家铁路集团有限公司工电部通信信号处主管姜永富说:“虽然非法采集行为本身,不会影响高铁无线通信正常进行,也不影响列车安全。但是不法分子如果非法利用这些数据故意干扰或恶意攻击,严重时将会造成高铁通信无线中断,影响高铁运行秩序,对铁路的运营构成重大威胁;同时大量获取分析相关数据,也存在高铁内部信息被非法泄露,甚至被非法利用的可能。”(来源:央视网)
四、新闻事件
1、我国数据产权保护将承认数据处理者合理收益
国家知识产权局局长申长雨于4月24日在国新办举行的2021年中国知识产权发展状况新闻发布会上介绍,国家知识产权局已成立工作专班,形成了充分尊重数据处理者创造性劳动和资本投入、承认和保护数据处理者的合理收益等原则性思路。数据是数字经济发展的基础。我国是一个数据资源大国和数字经济大国。统计显示,2020年,以数据为支撑的数字经济增加值规模已达39.2万亿元,占GDP的比重达到38.6%,位居全球第二。实现数据资源合理流动、充分利用和有效保护需要解决好数据产权问题,完善相关制度设计。《知识产权强国建设纲要(2021——2035年)》和《“十四五”国家知识产权保护和运用规划》都对构建数据产权保护规则作出部署,要求实施数据知识产权保护工程,深入开展相关理论和实践研究。申长雨介绍,目前,国家知识产权局已成立工作专班,形成一些初步成果和原则性思路。一是坚持安全为先、发展为要,充分考虑数据安全、公共利益保障和个人信息保护。二是充分把握数据特有属性和产权制度发展规律,实现数据保护模式与数据资源特性高度契合,数据产权保护和数据有效利用有机统一。三是充分尊重数据处理者创造性劳动和资本投入,承认和保护数据处理者合理收益。四是要有利于数据流动和交易,能够促进繁荣数据市场,壮大数字产业,促进产业数字化转型,支撑经济高质量发展。据介绍,目前,国家知识产权局已经在浙江、上海、深圳等地开展数据知识产权保护试点,力争在立法、存证登记等方面取得可复制可推广的经验做法,为后续制度设计提供实践基础。其中,浙江已经建立了数据知识产权公共存证平台,并开始面向市场主体提供存证服务。申长雨介绍,下一步,国家知识产权局将继续加强与各方合作,加大理论研究和实践探索,加快推动我国数据产权保护制度的建立和完善。(来源:新华网)
2、工信部:加快出台《工信领域数据安全管理办法》《APP个人信息保护管理规定》
4月14日上午,国新办举行打击治理电信网络诈骗犯罪工作进展情况发布会,介绍打击治理电信网络诈骗犯罪工作进展情况,并答记者问。隋静指出,2022年,工信部还将重点做好以下几个方面工作:一是持续完善管理制度。加快出台《工信领域数据安全管理办法》《移动互联网应用程序个人信息保护管理规定》,研究制定APP收集使用个人信息、车联网、人工智能等重要领域数据安全标准,强化个人信息保护和数据安全监管。二是继续开展专项治理。针对涉诈、涉赌、涉网络黑灰产以及疑似恶意程序等不良APP,组织开展APP安全专项治理。建立不良APP安全监测处置技术能力,形成“主动发现、风险预警、依法处置、监管追责”的全流程闭环治理体系。三是保障用户权益。重点突出关键责任链监管,对应用商店、第三方软件开发工具包、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。四是开展协同共治。我们将加强与网信、公安等部门协同配合,推动构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,进一步营造更安全、更清朗、更可靠的个人信息保护和数据安全工作局面。(来源:国务院新闻办公室)
五、域外观察
1、谷歌启动“隐私沙盒”全球测试,拟取代基于跟踪cookie的定向广告
谷歌正试图用一种新的解决方案取代浏览器cookie,在隐私保护和广告收益中取得平衡。谷歌宣布了其隐私沙盒方案的下一阶段测试,即全球性隐私沙盒测试。谷歌隐私沙盒(Privacy Sandbox)指的是一个不断发展的广告定位技术栈,从本质上讲,隐私沙盒旨在为网络广告商提供向特定受众和兴趣发送广告的能力,并了解广告是否被观看以及是否有效,但这一方式需要符合欧洲《通用数据保护条例》(GDPR)和加州消费者隐私法案 (CCPA)等不断发展的隐私法律制度。此次测试专注于广告的相关性和测量,开发者可以开始在全球范围内测试Canary版本的Chrome浏览器中的主题、FLEDGE和归因报告API。一旦Beta版一切顺利,谷歌将在Chrome的稳定版中提供API测试,以扩大测试范围,让更多的Chrome用户参与进来。虽然构建隐私沙盒并不会那么顺利,不过谷歌预计其技术套件将包括Topics、FLEDGE和FLoC,并且逐步淘汰第三方cookie的方式(限制与第三方共享用户数据),从而避免损害用户隐私。(来源:数据保护官微信公众号)
2、EDPB通过关于新的跨大西洋数据隐私框架的声明
在声明中,欧洲数据保护委员会(European Data Protection Board, “EDPB”)对欧盟委员会和美国之间宣布原则上的政治协议表示欢迎,并表示它认为美国当局承诺采取措施保护欧盟个人的隐私和个人数据是在正确的方向。然而,EDPB 提醒,欧盟委员会和美国的联合声明尚不构成可依赖的法律框架,使欧盟和美国之间的转移合法化。目前,公司必须继续采取必要措施遵守欧盟通用数据保护条例和 Schrems II 判决的传输要求。(来源:数据保护官微信公众号)
3、数据治理:欧洲议会批准促进欧盟内部数据共享的新规则《数字治理法案》
近日,欧洲议会(European Parliament)以501票赞成、12票反对和40票弃权的结果通过了《数字治理法案》,以增加初创公司和企业的数据可用性,刺激创新。根据欧盟委员会的估计,从2018年到2025年,公共机构、企业和公民产生的数据量将增加五倍。这些新规则将允许使用这些数据,为欧洲数据空间铺平道路,使社会、公民和公司受益。《数字治理法案》(DGA)于2021年11月与理事会达成一致,旨在增加对数据共享的信任,建立关于数据市场中立性的新欧盟规则,并促进公共部门持有的某些数据的再利用。它将在健康、环境、能源、农业、流动性、金融、制造业、公共管理和技能等战略领域建立共同的欧洲数据空间。(来源:数据保护官微信公众号)
4、LV因虚拟试穿工具被卷入数据隐私诉讼
近日,时尚品牌LV(路易威登)因涉嫌在其网站上的虚拟试穿工具中收集消费者的生物识别数据而受到了诉讼指控(Theriot v. Louis Vuitton North America, Inc., 1:22-cv-02944 (SDNY))。根据原告Paula Theriot的说法,LV北美公司"邀请消费者通过其网站的“虚拟试戴”功能虚拟'试戴'其设计师的眼镜。" 然而LV在未取得用户同意的情况下,获取了用户 "详细和敏感的生物识别和信息,包括完整的面部扫描数据"。原告认为该做法违反了伊利诺伊州《生物识别信息隐私法》(BIPA)规定的 "明确授权"。目前,LV还未对此作出回应。律师Stephanie Sheridan认为,在后疫情时代越来越多的品牌推出了线上试穿设备,但是这些品牌应当认真考虑面向公众的隐私政策、适当的通知同意模式以及数据安全保障等方面的措施。(来源:数据保护官微信公众号)
5、丹麦最大银行因违反GDPR被罚1000万
丹麦最大的银行丹斯克银行因违反《通用数据保护条例》(GDPR)而面临丹麦数据保护局1000万丹麦克朗(近150万美元)的罚款。据报道,处罚的原因是其存储客户的个人数据时间过长,且未按GDPR的规定删除。罚款的同时,当局还建议丹麦警方对该银行进行追加处罚。按照该银行的说法,由于其内部的数据系统管理存在缺陷,加上其各个分行之间的数据联合也面临问题,所以未能及时删除数据。该银行执行副总裁Svejsrup表示将尽快处理这些数据。(来源:数据保护官微信公众号)
6、马斯克收购Twitter暴露出隐私雷区
近日,埃隆·马斯克达成协议以约440亿美元的价格收购Twitter。在他对此举的初步评论中,马斯克讨论了一系列目标,从“使算法开源以增加信任”到“解决垃圾邮件”和“验证所有人类”。目前还没有更多关于马斯克将如何引导Twitter的信息,但隐私和安全支持者说,这些初步评论描绘了一幅复杂的画面,说明这个社交媒体巨头在其新的领导下可能会走向何方,并揭示了相信平台来保护我们的个人信息的风险。与Facebook和其他执行“实名制”政策的平台不同,Twitter在很大程度上允许人们使用假名或保持匿名,这种做法在马斯克领导下可能会改变。此外,马斯克很快就能访问所有的Twitter用户数据,包括IP地址和直接信息的内容。美国网络安全法副教授杰夫·科塞夫认为,“在Twitter上有很多声音,而在像Facebook这样有实名制政策的平台上是听不到的。” 格里尔表示:“网络空间的极端集中化和私有化不成比例地伤害了那些没有机会接触传统媒体的人。”(来源:数据保护官微信公众号)
7、谷歌搜索删除请求现在包括个人联系信息
据ZDNet报道,谷歌扩大了其搜索删除请求,以包括更多的个人身份联系信息。虽然用户能够要求删除某些敏感信息,但他们现在可以要求从搜索结果中删除包括电话号码、电子邮件和物理地址在内的数据,以及可能造成身份盗窃风险的信息。在一篇博文中,谷歌搜索全球政策负责人Michelle Chang说,这些更新“为人们提供了保护他们在线安全和隐私所需的工具"。(来源:参考消息网)