作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、国家互联网信息办公室发布《互联网用户账号信息管理规定》
2、国家互联网信息办公室公布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》
3、国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行
4、国家市监局、网信办发布《数据安全管理认证实施规则》
5、国标《应用商店App个人信息处理规范性审核与管理指南》征求意见稿发布
6、《数据资产评估指导意见》征求意见稿发布
7、国家网信办《个人信息出境标准合同规定》公开征求意见
8、信安标委发布《个人信息跨境处理活动安全认证规范》
9、《厦门数据条例》征求意见:强调公共数据的分级开发和融合开发
二、执法动态
1、网络安全审查办公室对知网启动网络安全审查
2、最高检:严厉打击行业“内鬼”泄露公民个人信息违法犯罪
三、司法审判
1、天津人脸识别案居民胜诉:小区以刷脸作为唯一通行方式二审被改判违法
四、新闻事件
1、“中国+中亚五国”数据安全合作倡议
2、数安法一周年 全国首批“数据经纪人”诞生
3、中央深改委《关于构建数据基础制度更好发挥数据要素作用的意见》:建立数据产权制度、数据交易制度、数据协同治理模式
五、域外观察
1、谷歌因违反俄罗斯个人用户“数据本地化”法规被罚款
2、苹果新政:App必须提供删除账号及相关个人数据功能,7月起实施
3、微软被控侵犯消费者的生物隐私信息,面临集体诉讼
4、EDPB发布GDPR下行政罚款计算指南
5、加拿大隐私法案:个人数据和人工智能新的使用规则
6、Meta公司因病人数据被秘密发送至Facebook而被起诉
7、法国监管机构发布要求网站分析符合GDPR要求的指导意见
一、立法动态
1、国家互联网信息办公室发布《互联网用户账号信息管理规定》
6月27日,国家互联网信息办公室发布《互联网用户账号信息管理规定》(以下简称《规定》),自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。《规定》明确,互联网用户账号信息是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息;互联网信息服务提供者,是指向用户提供互联网信息发布和应用平台服务的主体。国家网信部门负责全国互联网用户账号信息的监督管理工作。地方网信部门依据职责负责本行政区域内的互联网用户账号信息的监督管理工作。《规定》明确了账号信息管理的规范,要求互联网信息服务提供者履行账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力;建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度;完善投诉举报受理、甄别、处置、反馈等机制;建立健全互联网用户账号信用管理体系;对违法违规注册、使用账号信息的情形采取相应的处置措施。国家互联网信息办公室有关负责人指出,互联网用户账号信息治理需要政府、企业、网民等多方主体共同参与,弘扬社会主义核心价值观,维护国家安全和社会公共利益,营造更加清朗的网络空间。(来源:央视网)
2、国家互联网信息办公室公布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》
国家互联网信息办公室于6月17日公布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》,向社会公开征求意见。征求意见稿规定,跟帖评论服务提供者应当严格落实跟帖评论服务管理主体责任,依法履行对注册用户进行真实身份信息认证、建立健全用户个人信息保护制度、建立健全信息安全管理制度等义务。征求意见稿明确,跟帖评论服务是指互联网站、应用程序以及其他具有舆论属性或社会动员能力的网站平台,以发帖、回复、留言、“弹幕”等方式,为用户提供发表文字、符号、表情、图片、音视频等信息的服务。征求意见稿提出,跟帖评论服务提供者应当建立用户分级管理制度,对用户的跟帖评论行为开展信用评估,根据信用等级确定服务范围及功能,对严重失信的用户应列入黑名单,停止对列入黑名单的用户提供服务,并禁止其通过重新注册等方式开设账号使用跟帖评论服务。此外,还规定跟帖评论服务提供者、跟帖评论服务使用者和公众账号生产运营者不得通过发布、删除、推荐跟帖评论信息以及其他干预跟帖评论信息呈现的手段侵害他人合法权益或者谋取非法利益。不得利用软件、雇佣商业机构及人员等方式散布信息,恶意干扰跟帖评论正常秩序,误导公众舆论。(来源:新华网)
3、国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行
国家互联网信息办公室6月14日发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,修订发布新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。国家互联网信息办公室有关负责人介绍,《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来,对于维护网络信息内容生态,保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用,新情况新问题不断出现,需要适应形势发展进行修订完善。新《规定》共27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。新《规定》提出,应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,自觉遵守公序良俗,积极履行社会责任,维护清朗网络空间。新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。国家互联网信息办公室有关负责人强调,应用程序提供者和应用程序分发平台应当按照新《规定》要求,切实履行责任和义务,依照相关法律法规加强自身管理,主动接受社会监督,不断促进应用程序信息服务健康有序发展。(来源:国家网信办)
4、国家市监局、网信办发布《数据安全管理认证实施规则》
2022年6月9日,国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。《数据安全管理认证实施规则》包括适用范围、认证依据、认证模式、认证实施程序。认证证书和认证标志、认证实施细则、认证责任其部分。(来源:质量与认证)
5、国标《应用商店App个人信息处理规范性审核与管理指南》征求意见稿发布
6月17日,信安标委在其官网上发布《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》征求意见稿,并公开征求意见。该标准主要针对当前普遍存在App个人信息收集使用不规范的问题提出指南。应用商店在App个人信息保护中发挥重要作用,提高应用商店有助于推动App源头治理。目前应用商店对App个人信息处理活动的审核管理面临缺乏标准依据、缺乏实操指南的问题,该标准为应用商店的App个人信息处理规范性审核与管理提供统一标准,助力App收集使用个人信息安全评估治理工作的规范化,促进应用商店分发的App达到个人信息处理相关安全基线要求,维护公民在网络空间的合法权益。标准的主要内容包括应用商店运营者对App审核管理的总体流程框架、App进入应用商店前的个人信息处理活动审核和App进入应用商店后的个人信息安全管理等。(来源:信安标委)
6、《数据资产评估指导意见》征求意见稿发布
6月8日,中国资产评估协会下发了《数据资产评估指导意见(征求意见稿)》,以规范资产评估机构及其资产评估专业人员在数据资产评估业务中的实务操作,更好服务新时代经济发展和新时代生产要素市场。《评估意见》包含了总则、基本遵循、评估对象及操作要求、数据质量评价、评估方法、披露要求等内容。(来源:中国资产评估协会)
7、国家网信办《个人信息出境标准合同规定》公开征求意见
6月30日,国家互联网信息办公室发布了《个人信息出境标准合同规定(征求意见稿)》,并向社会公开征求意见。《征求意见稿》提出,个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称标准合同)。个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。《征求意见稿》明确,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。《征求意见稿》要求,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;(六)其他可能影响个人信息出境安全的事项。(来源:澎湃新闻)
8、信安标委发布《个人信息跨境处理活动安全认证规范》
为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,信安标委秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。本实践指南依据有关政策法规要求,为落实《个人信息保护法》建立个人信息保护认证制度提供认证依据。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求;对于开展跨境处理活动的个人信息处理者,还必须符合本实践指南的要求。本实践指南从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。(来源:信安标委)
9、《厦门数据条例》征求意见:强调公共数据的分级开发和融合开发
6月2日厦门市发布《厦门经济特区数据条例(草案征求意见稿)》,公开征求意见。条例从数据资源、数据要素市场、数据安全、应用与发展、法律责任等方面做出规定,为促进数据作为生产要素在市场中发挥作用、推动数字经济的发展提供法治保障。其在第七条规定,在本市政务部门和公共服务组织探索建立首席数据官制度。首席数据官由单位相关负责人担任,协同管理数据工作与业务工作,提升本单位的数字化管理能力和管理水平。在第二十七条规定了公共数据分级开发的内容:本市公共数据资源实行分级开发。市人民政府确定的公共数据资源一级开发主体,承担公共数据资源的安全保障、开发利用、市场化运营、服务管理等具体工作,接受市大数据主管部门的指导和监督。自然人、法人和非法人组织可以作为二级开发主体,获取经一级开发主体初步开发的数据资源进行开发和运营。二级开发主体根据市场需求规划应用场景,需要一级开发主体汇聚治理的数据资源的,经市大数据主管部门同意后,可以在一定期限和范围内以市场化方式开发和运营特定数据产品,并获得收益。(来源:数据保护官微信公众号)
二、执法动态
1、网络安全审查办公室对知网启动网络安全审查
网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我重大项目、重要科技成果及关键技术动态等敏感信息。(来源:中国网信网)
2、最高检:严厉打击行业“内鬼”泄露公民个人信息违法犯罪
近日,最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》(下称《通知》)。要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施,参与网络空间治理,强化刑事检察和公益诉讼检察职能衔接协作,实现全链条打击、一体化网络治理。《通知》要求,深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作,积极配合“清朗”系列专项行动,探索积累常态化监督办案的典型经验、要完善刑事检察、公益诉讼检察协作机制、要进一步提升调查取证能力水平,增强刑事附带民事公益诉讼质效、要进一步加强网络空间系统治理和溯源治理。(来源:最高人民检察院)
三、司法审判
1、天津人脸识别案居民胜诉:小区以刷脸作为唯一通行方式二审被改判违法
【案情简介】顾某居住于天津市和平区诚基经贸中心,该小区物业公司采用人脸识别作为出入小区的验证方式。2021年8月2日至5日期间,顾某与兰州城关物业服务集团有限公司天津分公司(以下简称“城关天津公司”)诚基经贸中心项目部工作人员多次沟通,要求删除其人脸信息,并向其提供无障碍出入小区的方式,但物业公司拒绝了顾某的要求。此后,顾某委托律师事务所向城关天津公司发出律师函,提出同样要求,后者签收律师函后,并未与顾某或其代理人联系。2021年9月,顾某将兰州城关物业服务集团有限公司及城关天津公司告上法庭。顾某诉称,被告拒绝删除其人脸识别信息、使用人脸识别作为出入物业服务区域的唯一验证方式,侵犯了原告的人格权,违反了处理人脸信息需要遵循的合法、正当、必要原则。城关天津公司辩称,人脸识别信息采集是经过业主委员会、综合洽理办公室、社区、街道办共同完成的工作,同时在天津市公安局和平分局进行联网监控,并符合现在疫情管控要求,原告人脸信息只在门禁上使用。
【法院一审】此案一审的案由被法院定为隐私权纠纷。依据《民事诉讼法》第六十四条“当事人对自己提供的主张,有责任提供证据”的规定,一审法院判决认为,原告顾某并未提交被告对其信息存在泄露、篡改、丟失的相关证据,且提供的相关证据不能证明二被告侵犯了其隐私权。故原告的诉讼请求没有事实和法律依据,不予支持,驳回全部诉讼请求。
【当事人上诉】顾某不服一审判决,后上诉至天津市第一中级人民法院。上诉人认为,本案的主要法律问题是个人信息保护而非隐私权,一审法院适用法律错误,案由选择错误。其未主张个人信息被泄露、篡改、丢失,无需提供相关证据,一审法院对举证责任的认定有误。
【法院二审】二审法院对一审法院查明的事实予以确认,认为本案系因处理个人信息引发的纠纷,案由应确定为个人信息保护纠纷。
二审法院审理指出,城关天津公司基于涉案小区人员密集、安全防范难度较大的情况,在征得业主及物业使用人同意的情形下,于2020年2月启用人脸识别系统作为业主及物业使用人出入验证方式,能够更精准识别出入小区人员,在新冠肺炎疫情防控中发挥了较大作用,并不违反法律规定。但二审法院同时指出,根据2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第10条规定,如果有业主或者物业使用人不同意采取上述验证方式而请求物业公司提供其他合理验证方式的,物业公司不能以智能化管理为由予以拒绝。二审法院认为,顾某在办理入住时虽然同意城关天津公司提取其人脸信息作为通行验证方式,但其后多次就城关天津公司提取人脸信息作为唯一的验证通行方式提出异议。城关天津公司以人脸识别验证方式系业主委员会同意拒绝为顾某提供其他验证方式的抗辩理由,与前述规定相悖。城关天津公司关于使用人脸识别验证方式是按照疫情防控的相关规定和要求的主张,亦无证据证实。
【裁判结果】最终,二审法院撤销一审判决,要求城关天津公司删除顾某人脸信息,并提供其他通行验证方式,赔偿合理费用6200元。(来源:数据保护官)
四、新闻事件
1、“中国+中亚五国”数据安全合作倡议
2022年6月8日,“中国+中亚五国”外长第三次会晤在努尔苏丹举行。会晤通过《“中国+中亚五国”数据安全合作倡议》。倡议部分内容如下:中华人民共和国、哈萨克斯坦共和国、吉尔吉斯共和国、塔吉克斯坦共和国、土库曼斯坦、乌兹别克斯坦共和国(以下简称各方)欢迎国际社会在支持多边主义、兼顾安全发展、坚守公平正义的基础上,为保障数据安全所作出的努力,愿共同应对数据安全风险挑战并在联合国等国际组织框架内开展相关合作。各方重申,各国应致力于维护开放、公正、非歧视性的营商环境,推动实现互利共赢、共同发展。与此同时,各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全。各方欢迎政府、国际组织、信息技术企业、技术社群、民间机构和公民个人等各主体秉持共商共建共享理念,在平等、相互尊重和互利原则基础上,齐心协力促进数据安全。各方强调,应在相互尊重基础上,加强沟通交流,深化对话与合作,共同构建和平、安全、开放、合作、有序的网络空间命运共同体。(来源:新华网)
2、数安法一周年 全国首批“数据经纪人”诞生
日前,经广东省政数局批准同意,广州市海珠区率先推出全国首批“数据经纪人”名单。首批入选的3家“数据经纪人”试点企业分别是广东电网能源投资有限公司、广州金控征信服务有限公司、广州唯品会数据科技有限公司。这3家企业分别涉及电力行业、电子商务、金融等领域,均拥有丰富的社会数据和成熟的运营经验。据介绍,数据经纪人是在政府的监管下,具备开展数据经纪活动资质的机构。该机构要具备生态协同能力、数据运营能力、技术创新能力、数据安全能力和组织保障能力,围绕重点领域开展数据要素市场中介服务,推动数据流通规范化。数据经纪人主要有三方面的职责:一是受托行权,即数据拥有者可以授权数据经纪人行使权力;二是风险控制,在数据流通交易过程中起到中介担保作用;三是价值挖掘,挖掘数据要素价值,充当数据价值发现者、数据交易组织者、交易公平保障者、交易主体权益维护者等多重角色。海珠区首创了“数据经纪人”分类分级标准:根据“数据经纪人”自身基础及业务范围可划分为技术赋能型、数据赋能型、受托行权型三个类别;按照企业数据管理能力成熟度等级、信息安全等级保护等级、企业自有(或实际控制)数据规模等条件,以及相关试点企业数据采集和处理是否符合国家相关安全要求等因素,将“数据经纪人”分为三个等级。(来源:数据保护管微信公众号)
3、中央深改委《关于构建数据基础制度更好发挥数据要素作用的意见》:建立数据产权制度、数据交易制度、数据协同治理模式
中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平6月22日下午主持召开中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》等。习近平在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。会议指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。(来源:数据保护管微信公众号)
五、域外观察
1、谷歌因违反俄罗斯个人用户“数据本地化”法规被罚款
俄罗斯首都莫斯科一家法院16日以一再拒绝落实俄罗斯个人用户“数据本地化”相关法律规定为由,对美国谷歌公司处以1500万卢布(约合26万美元)罚款。这是谷歌公司继2021年7月后再次因同样问题受罚。据俄新社当天报道,去年7月,谷歌公司在俄因违反该国个人用户“数据本地化”的相关法律规定被罚款300万卢布(约合5.1万美元 )。此后,谷歌公司并未及时整改,而是继续使用位于美国和欧盟国家的服务器来存储俄用户个人数据。根据2015年生效的一项俄罗斯法律,外国技术企业必须将俄用户的个人数据存储在俄境内的服务器。(来源:新华网)
2、苹果新政:App必须提供删除账号及相关个人数据功能,7月起实施
日前,苹果在官方网站发布消息,要求提交至App Store且支持账户创建的应用程序,必须加入能够让用户在应用程序内删除其创建账户的功能,并需在6月30日前完成更新。苹果宣布,2022年的全球开发者大会(WWDC2022)将于6月6日至6月10日进行,并称已准备好实施之前延迟的更新要求,提供删除账户及储存的个人数据便是其中一项。在此次发布的提醒内容中,苹果对账户删除功能做出以下规定:账户删除选项必须在APP中易于找到;如果APP提供通过苹果账户登陆,开发者须确保用户的身份令牌在账户被删除后完成撤销;开发者需让用户能彻底删除帐户及与该帐户关联的个人数据,这包括与他人共享的用户生成的内容,例如照片、视频、文字帖子和评论,而不能仅提供暂时禁用或停用帐户的功能;受严格监管行业的APP可以提供额外的服务流程,辅助帐户删除的过程。同时,开发者应遵守有关存储和保留用户帐户信息以及处理帐户的法律要求,包括遵守不同国家或地区的法律。此前,由于此要求的复杂性,为了给开发人员提供更多时间来更新APP,苹果曾多次延迟实施日期,最近设定的截止日期为6月30日。(来源:21世纪经济报道)
3、微软被控侵犯消费者的生物隐私信息,面临集体诉讼
近日,一位名叫Pasinee Bhavilai的用户对微软公司提起了集体诉讼,Bhavilai声称微软公司违反了伊利诺伊州生物识别信息隐私法,在未获得知情同意的情况下收集其Windows 10和Windows 11操作系统上的照片应用程序用户的面部生物识别数据。原告称Windows 10 和 11 中的微软照片应用程序使用面部识别技术来自动识别具有人物特征的图像并确定某些特征,例如面部表情。此外,原告称,照片应用程序能够自动识别一个人的面部特征,并找到该特定人出现的所有图像并将其组合在一起。原告认为,Windows10和11的应用程序的处理活动没有取得用户的同意,也没有告知处理的期限,因此违反了伊利诺伊州BIPA。Bhavilai希望代表伊利诺伊州的符合条件的个人集体进行诉讼,本案将在伊利诺伊州库克县巡回法院大法官法庭审理,案件编号为No. 2022-CH-04962。(来源:数据保护官微信公众号)
4、EDPB发布GDPR下行政罚款计算指南
2022年5月12日,欧洲数据保护委员会("EDPB")通过了关于欧盟《通用数据保护条例》(“GDPR”)下行政罚款计算的04/2022号指南(“指南”)。该指南旨在统一监管机构(“SA”)在计算GDPR罚款金额时使用的方法,并提供说明性的例子以帮助组织了解计算方法。(来源:数据保护官微信公众号)
5、加拿大隐私法案:个人数据和人工智能新的使用规则
加拿大联邦自由党于6月16日提出了隐私法案,这将使加拿大人对商业实体如何使用他们的个人数据有更多的控制权,对不遵守规定的组织进行罚款,并对人工智能的使用引入新的规则。根据该法案,个人对其数据享有自决权、可携权、删除权等权利,不遵守规定的公司将被罚其全球收入的5%或2500万美元。此外,该法案首次制定了关于开发人工智能系统的规则,并对滥用新兴技术的人进行刑事处罚。(来源:数据保护官微信公众号)
6、Meta公司因病人数据被秘密发送至Facebook而被起诉
据Bloomberg报道,近日Meta公司正面临起诉。根据原告的说法,当病人访问一些医疗机构的门户网站时,私人医疗数据被秘密地分享给了Facebook。据周五在旧金山联邦法院提起的诉讼称,Facebook的Pixel追踪工具在未经授权和违反联邦和州法律的情况下,将患者的通信和其他所谓的“安全”信息转移。原告声称这是代表数百万患者的集体诉讼,原告要求对违约行为、违反联邦电子通信隐私法和侵犯隐私等诉求进行补偿性和惩罚性赔偿。目前,Meta公司没有立即回应评论请求。(来源:数据保护官微信公众号)
7、法国监管机构发布要求网站分析符合GDPR要求的指导意见
继2020年欧盟法院(CJEU)裁定“隐私保护”无效后,从欧盟到美国的个人数据转移要求欧盟公司实施额外的保障机制,因为CJEU认为美国立法没有提供足够的保障来防止公共当局(包括情报部门)访问进口数据的风险。在这一裁决之后,一些欧盟监管机构(SA)收到了来自Max Schrems的协会None of Your Business(NOYB)的投诉,涉及欧盟数据控制者使用美国的网站分析解决方案来衡量在线受众(分析服务解决方案)。2022年2月,继奥地利国家统计局于2021年12月采取的立场之后,法国数据保护局(CNIL)向欧盟数据控制者发出了一百多份正式通知,理由是分析服务解决方案的使用导致了向美国的转移不够规范。这些通知提出了一个问题,即在GDPR第五章的规定之外,技术措施或设置是否可以允许分析服务解决方案的合规使用。(来源:数据保护官微信公众号)