作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、国家网信办、工信部等4部门联合发布《互联网信息服务算法推荐管理规定》
2、国家网信办发布《数据出境安全评估申报指南(第一版)》
3、国家网信办等3部门发布《互联网弹窗信息推送服务管理规定》
4、国家卫健委《医疗卫生机构网络安全管理办法》发布
5、国家网信办就《网信部门行政执法程序规定》公开征求意见
6、工信部《APP用户权益保护测评规范》等55项行业标准报批稿公布
7、CCIA《数据安全和个人信息保护社会责任指南》征求意见
8、《上海市智能网联汽车示范运营实施细则(试行)(征求意见稿)》:明确智能出租示范应用要求
9、《广东省企业首席数据官建设指南》发布:数据治理、数字增值、数据安全
二、执法动态
1、滴滴出行、T3出行、高德等11家平台被提醒式约谈
2、工信部通报47款侵害用户权益APP和SDK
3、建设银行因信息安全等问题:被罚50万、一员工被禁业 10 年
4、上海通管局:发现6家单位存在未落实通信网络安全防护管理责任
三、司法审判
1、首例算法推荐生效判决:爱奇艺诉某知名平台短视频侵权获赔百万
四、新闻事件
1、工信部《数据传输安全白皮书》发布
2、中国证监会、财政部与美国PCAOB签署审计监管合作协议
3、中央网信办:已有20余家拟赴国外上市企业申报网络安全审查
五、域外观察
1、EDPS为欧盟和日本的进一步跨境数据流谈判寻求解释
2、谷歌将向澳大利亚竞争和消费者委员会支付6000万澳元罚款
3、根据欧盟法院的裁决,敏感的个人数据包括间接披露性取向的数据
4、NIL对法国广告技术公司不遵守GDPR提出6000万欧元的罚款建议
5、Facebook 同意就剑桥分析的数据隐私诉讼达成和解
6、丝芙兰因违反加州数据隐私规定支付120万美元
一、立法动态
1、国家网信办、工信部等4部门联合发布《互联网信息服务算法推荐管理规定》
近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》)。《规定》明确了对于算法推荐服务提供者的用户权益保护要求。一是算法知情权,二是算法选择权,三是针对向未成年人、老年人、劳动者、消费者等主体提供服务的算法推荐服务提供者作出具体规范。《规定》明确,具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型等备案信息,履行备案手续。同时,明确了备案编号标注、备案信息变更、备案注销等相关事宜。(来源:网信中国微信公众号)
2、国家网信办发布《数据出境安全评估申报指南(第一版)》
8月31日,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信办规定的其他需要申报数据出境安全评估的情形。(来源:新浪新闻)
3、国家网信办等3部门发布《互联网弹窗信息推送服务管理规定》
近日,国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布《互联网弹窗信息推送服务管理规定》(以下简称《规定》),自2022年9月30日起施行。国家互联网信息办公室有关负责人表示,《规定》旨在加强对弹窗信息推送服务的规范管理,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展。《规定》要求,互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。《规定》强调,互联网弹窗信息推送服务提供者应当遵守优化推送内容生态、强化互联网信息服务资质管理、规范新闻信息推送、科学设定推送内容占比、健全推送内容审核流程、强化用户权益保障、合理算法设置、规范广告推送、杜绝恶意引流等九个方面具体要求。(来源:网信中国微信公众号)
4、国家卫健委《医疗卫生机构网络安全管理办法》发布
2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》。其中关于数据安全管理有以下几条:第18条:各医疗卫生机构应按照有关法律法规的规定,参照国家网络安全标准,履行数据安全保护义务,坚持保障数据安全与发展并重,通过管理和技术手段保障数据安全和数据应用的有效平衡。关键信息基础设施运营者应拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。第19条:应建立数据安全管理组织架构,明确业务部门与管理部门在数据安全活动中的主体责任,通过安全责任书等方式,规范本单位数据管理部门、业务部门、信息化部门在数据安全管理全生命周期当中的权责,建立数据安全工作责任制,落实追责追究制度。第20条:各医疗卫生机构应每年对数据资产进行全面梳理,在落实网络安全等级保护制度的基础上,依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。数据分类分级应遵循合法合规原则、可执行原则、时效性原则、自主性原则、差异性原则及客观性原则。第21条:各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订一次,建议相关人员每年度签署保密协议。每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态。加强数据安全教育培训,组织安全意识教育和数据安全管理制度宣传培训。结合本单位实际,建立完善数据使用申请及批准流程,遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则,严格执行业务管理部门同意、医疗卫生机构领导核准的工作程序,指导数据活动流程合规。第22条:各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查,防止数据安全事件发生。(来源:数据保护官微信公众号)
5、国家网信办就《网信部门行政执法程序规定》公开征求意见
国家互联网信息办公室于9月8日就《网信部门行政执法程序规定(征求意见稿)》向社会公开征求意见。征求意见稿规定,网信部门建立行政执法监督制度,上级网信部门对下级网信部门实施的行政执法进行监督。征求意见稿提出,网信部门实施行政处罚,应当遵循公正、公开的原则,坚持处罚与教育相结合,做到事实清楚、证据确凿、适用依据准确、程序合法、处罚适当、执法文书使用规范。网信部门应当加强执法队伍和执法能力建设,建立健全执法人员培训、考试考核、资格管理和持证上岗制度。征求意见稿还要求,网信部门应当建立健全对行政处罚的监督制度,实施行政处罚应当接受社会监督。公民、法人或者其他组织对网信部门实施行政处罚的行为,有权申诉或者检举;网信部门应当认真审查,发现有错误的,应当主动改正。(来源:金台资讯)
6、工信部《APP用户权益保护测评规范》等55项行业标准报批稿公布
2022年8月22日,工信部发布《移动互联网应用程序(APP)用户权益保护测评规范》等55项行业标准报批公示稿。公示截止时间为2022年8月22日—2022年9月22日。本次公示的标准中,与数据合规相关的标准主要包括:1、《APP收集使用个人信息最小必要评估规范 第5部分:设备信息》;2、《APP收集使用个人信息最小必要评估规范 第10部分:通话记录》;3、《APP用户权益保护测评规范》:本文件规定了APP用户权益保护的测评规范,包括针对违规收集个人信息、超范围收集个人信息、违规使用个人信息、定向推送、权限索取行为、自启动和关联启动行为、欺骗误导强迫行为、个人信息获取行为等违规行为的典型检测场景,以及针对移动应用分发平台信息展示和移动应用分发平台管理的检测细则。本文件适用于规范移动互联网应用程序提供者收集使用个人信息处理活动,也适用于主管部门、第三方评估机构等组织对移动互联网应用程序收集使用个人信息行为进行监督、管理和评估;4、《APP收集使用个人信息最小必要评估规范 第8部分:录像信息》;5、《移动应用软件安全评估方法》。(来源:数据保护官微信公众号)
7、CCIA《数据安全和个人信息保护社会责任指南》征求意见
9月6日,中国网络安全产业联盟(CCIA)数据安全工作委员会组织制定的《数据安全和个人信息保护社会责任指南》联盟技术规范已经完成征求意见稿,现面向社会公开征求意见。技术规范为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。技术规范适用于处理数据的组织,还适用于第三方评价组织在履行数据安全和个人信息保护社会责任的水平。在应用本文件时,建议组织充分考虑自身规模、性质、行业特征等。(来源:数据保护官微信公众号)
8、《上海市智能网联汽车示范运营实施细则(试行)(征求意见稿)》:明确智能出租示范应用要求
为加快城市数字化转型和智能交通创新发展、促进智能网联汽车产业迭代升级、规范智能网联汽车示范运营活动,上海交通委于8月22日发布《上海市智能网联汽车示范运营实施细则(试行)(征求意见稿)》,向社会公开征求意见。实施细则包括总则、管理机构及职责、示范运营申请与确认、示范运营管理、附则等内容,与现有智能网联汽车道路测试与示范应用管理体系衔接,为企业开展示范运营活动提供操作指引。实施细则明确了智能网联汽车示范运营的实施、延续及新增路径,同时对申请主体开展示范运营的行驶路线或区域、运行时段、管理平台、数据报送等提出要求;在现有道路测试和示范应用的管理基础上,明确智能网联汽车示范运营中止的相关情形,包括发生运营安全、网络及数据安全事故等。(来源:中国建设新闻网)
9、《广东省企业首席数据官建设指南》发布:数据治理、数字增值、数据安全
广东是数据大省,数据资源富集、产业基础雄厚、融合应用场景丰富。为贯彻落实国家和省有关工作部署,建设数据管理高端人才队伍,推动数字经济高质量发展,广东省工业和信息化厅组织开展了企业首席数据官专题调研,对300多家企业开展了问卷摸查,广泛了解掌握国内外企业首席数据官建设情况,并形成了调研报告。近日广东省工业和信息化厅发布《建设指南》,主要包括建设原则、建设内容、保障措施等3大部分内容。《建设指南》鼓励数字化基础较好、拥有较大规模数据资源、数据产品和服务能力较突出的企业设立 CDO,并提出了企业主导、政府推动、价值优先、多方协同四项原则。《建设指南》对 CDO 提出了五项岗位能力素质要求,即:数据资产管理领导能力、数据规划和执行能力、数据价值行业洞察能力、数据资产运营和增值能力、数据基础平台自研建设能力。(来源:数据保护官微信公众号)
二、执法动态
1、滴滴出行、T3出行、高德等11家平台被提醒式约谈
8月22日,交通运输新业态协同监管部际联席会议办公室对滴滴出行、T3出行、高德、曹操出行、首汽约车、美团打车、万顺叫车、享道出行、如祺出行、阳光出行、嘀嗒出行等11家平台公司进行了提醒式约谈。约谈指出,经梳理行业监测、群众来电来信及媒体报道等情况,发现部分平台公司存在企业主体责任落实不到位、侵害从业人员和乘客合法权益、非法营运突出、潜藏安全稳定风险隐患等问题。
(来源:数据保护官微信公众号)
2、工信部通报47款侵害用户权益APP和SDK
8月26日,工信部发布公告:依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部组织第三方检测机构对群众关注的酒店餐饮类、未成年人应用类等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查,对发现存在侵害用户权益行为的共227款APP(SDK)提出整改要求。截至目前,尚有47款APP(SDK)未按要求完成整改(详见附件),现予以通报。上述APP及SDK应在9月5日前完成整改落实工作。逾期不整改的,我部将依法依规组织开展相关处置工作。部分名单如下:
(来源:工业和信息化部信息通信管理局)
3、建设银行因信息安全等问题:被罚50万、一员工被禁业 10 年
2022年7月28日,上海银保监局发布《行政处罚信息公开表(沪银保监罚决字〔2022〕52号)》和《行政处罚信息公开表(沪银保监罚决字〔2022〕53号)》。
(来源:上海银保监)
4、上海通管局:发现6家单位存在未落实通信网络安全防护管理责任
8月15日晚,上海市通信管理局发布了关于通信网络安全防护管理情况的通报(2022年7月)。根据《网络安全法》《通信网络安全防护管理办法》《公共互联网网络安全威胁监测与处置办法》等法律法规和《上海市通信管理局关于加强电信和互联网行业通信网络安全防护管理工作的通知》要求,上海市通信管理局定期对上海市电信和互联网企业的通信网络安全防护管理情况进行督查审查,并对在上海市行政区域内提供通信网络安全评测、评估服务的网络安全专业机构及其信息通信领域安全服务资质予以备案登记。近期上海市通信管理局检查发现6家单位存在未落实通信网络安全防护管理责任等违规行为。同时,有18家单位的22个定级系统存在未按期落实通信网络安全防护管理整改要求等问题。上述单位应当在2022年9月15日前(本通报发布之日起30日内)落实整改工作。逾期落实整改的,上海市通信管理局将依法依规组织开展处置和执法工作。(来源:数据保护官微信公众号)
三、司法审判
1、首例算法推荐生效判决:爱奇艺诉某知名平台短视频侵权获赔百万
一段时间以来,短视频平台就影视作品的剪辑、传播合法性问题引起广泛社会关注。未经授权剪辑、传播影视作品的行为侵害作品信息网络传播权并无争议,争议主要集中于推送用户发布侵权视频的短视频平台,是否应当承担侵权责任,是否可以利用“避风港”原则免责。随着数字技术的发展,短视频平台已不再是传统的信息网络空间存储服务提供者,使用者通常都会发现平台APP比自己更“懂自己”,原因在于短视频平台的算法推荐服务。今年3月,无锡市滨湖区人民法院对北京爱奇艺科技有限公司诉北京某科技有限公司、北京某信息技术有限公司、中国某通信有限公司无锡市分公司侵害作品信息网络传播权纠纷一案作出判决,对短视频平台的算法推荐注意义务,以及提供基础网络接入、自动传输、自动存储的网络服务提供者的侵权责任等进行明确认定,对相关案件的审理具有指导、参考意义。
【案情简介】爱奇艺公司诉称:其是知名新媒体平台“爱奇艺”的经营者,享有电视剧《老九门》在境内的独占信息网络传播权。经调查发现,某知名短视频平台APP中存在大量关于电视剧《老九门》的侵权视频片段,该平台明知、应知涉案侵权内容,仍通过各类推荐行为向用户提供涉案侵权视频的在线播放及下载服务。经查,北京某科技有限公司(以下简称某短视频平台公司)、北京某信息技术有限公司(以下简称某信息技术公司)系短视频APP的经营者,该APP中的涉案侵权视频储存于中国某通信有限公司无锡市分公司(以下简称无锡某通信公司)的网络服务器中。某短视频平台公司、某信息技术公司的上述行为分流了“爱奇艺”平台的观看用户,严重侵害其合法权益。请求判令:1、某短视频平台公司、某信息技术公司立即删除某短视频平台APP中的被诉侵权视频;2、无锡某通信公司立即停止侵权,在网络服务器中删除被诉侵权视频;3、某短视频平台公司、某信息技术公司、无锡某通信公司赔偿经济损失及为制止侵权支付的合理费用共计195万元。
某短视频平台公司辩称:其未实施侵权行为,被诉侵权视频系用户自行上传,其未对视频内容进行编辑。某短视频平台公司日均活跃用户上亿,其作为视频分享平台难以审核海量视频中是否包含作品侵权内容。此外,爱奇艺公司主张的赔偿金额过高。
某信息技术公司辩称:其不是某短视频平台APP的经营者,仅提供信息存储服务,不构成侵权。
无锡某通信公司辩称:其作为网络接入服务提供者,不应当承担“通知+删除”责任,亦无法针对性的删除或断开某些特定视频连接。
【裁判结果】法院认为,某短视频平台APP中出现的《老九门》短视频,并非剧评,而是对电视剧《老九门》的具体情节进行浓缩讲解,已超出合理使用范畴,系侵权视频。无锡某通信公司、某信息技术公司为某短视频平台APP中的视频内容提供基础网络接入、自动传输、自动存储,其对被诉侵权行为无主观过错,不应承担共同侵权责任。某短视频平台公司将各类热播影视作品按照主题、内容主动进行选择、整理、分类推荐,并通过设置视频分类、智能索引、话题编辑等方式推荐涉案侵权视频,虽然侵权视频上传时间多在2020年,但并非处于热播期的影视剧才算“热播影视作品”,电视剧《老九门》具有相当高的知名度,何况国家版权局发布的《2016年度第五批重点作品预警名单》中包括涉案电视剧《老九门》,可认定某短视频平台公司构成“应知”。爱奇艺公司在证据保全公证前已多次通知某短视频平台公司删除涉案侵权作品,并提供初步权属证据与侵权作品明细,某短视频平台公司仍未予以删除,可认定某短视频平台公司构成“明知”。因此,某短视频平台公司存在主观过错,对被诉侵权视频的信息网络传播起到帮助作用,应当承担侵权责任。
关于赔偿数额,法院结合作品知名度、侵权情节、侵权规模等,着重从以下四个方面予以考量:一、作品知名度及权利保护方面,毋庸置疑,电视剧《老九门》可以说是2016年度悬疑类电视剧“剧王”,从各类宣传报道情况来看,拍摄成本大、收视率高,爱奇艺公司至今仍将《老九门》列为收费观看剧集。二、侵权情节及侵权规模方面,一方面应当注意到侵权视频的上传时间多在2020年,未在2016年热播期侵权,赔偿额度应当与热播期侵权有所区别;另一方面从某短视频平台APP“#老九门”话题的统计数据来看,至2021年7月6日,该话题下共有视频1.8万个,播放6.3亿次,至2021年11月8日,该话题下共有视频2.2万个,播放7.9亿次,仍然播放量巨大,且播量增长性强,从具体用户发布的视频内容来看,侵权视频并不仅涉及48集中的部分剧集,部分用户已对全部剧集进行编辑、发布。三、侵权过错方面,某短视频平台公司通过影视剧分类、索引、话题等方式多种方式向用户推荐侵权视频,且在爱奇艺公司多次通知其删除侵权视频后,仍未采取有效措施,过错程度较高。四、平台规模、性质方面,从某短视频平台公司规模及APP累计下载量来看,某短视频平台APP应属国内头部短视频平台,短视频平台企业的商业模式主要体现为流量经济,某短视频平台APP中的视频内容依靠用户上传,其本身不需要付出过多内容成本,却可以从用户上传的侵权视频所带来的流量中获取广告、直播、电子商务等方面的收益。从某短视频平台公司公示的业绩数据来看,其并非单纯的视频分享网站,线上营销服务已成为主要利润来源,根据权利义务相对等原则,利用流量获取高额经济利益的同时也要对流量来源——短视频尽到更高的注意义务。综上,酌情确定某短视频平台公司赔偿爱奇艺公司经济损失100万元,合理费用144200元。
日前,该案经无锡市中级人民法院二审维持,判决发生法律效力。
【典型意义】加强审查、删除侵权视频,可能会影响短视频平台用户粘性、削减流量,造成利润下滑,但“尊重知识产权”并非用户协议中的一句口号,享受流量经济的同时必须为内容付出成本。随着当前社会向人工智能的不断趋近,算法推荐技术在视频行业的应用只会越来越广泛、越来越深入,算法推荐服务提供者应当就算法推荐所带来的竞争优势承担更高的注意义务,采取行之有效的措施积极规制和预防侵权,而不是将“技术中立”作为豁免法律责任的理由。(来源:滨湖法院)
四、新闻事件
1、工信部《数据传输安全白皮书》发布
日前,由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)牵头组织编制的《数据传输安全白皮书》(以下简称《白皮书》)正式发布。据介绍,本次《白皮书》编制工作主要基于当前形势研判,聚焦数字政府建设、数字金融、互联网等领域中数据传输安全典型应用场景,探讨了主要风险点与解决方案,展望了数据传输安全发展趋势,以期集聚产业优势资源,加强协同合作交流,为政府部门提供决策参考,共绘产业发展新图景。《白皮书》研究认为:数据已成为关键生产要素,是数字经济创新发展的“石油”。与此同时,数据安全成为全球关注焦点,面临更多风险挑战。各行业各领域企业需要积极利用新技术不断提升数据安全保障能力。白皮书主要聚焦数字政府建设、数字金融、互联网等领域中数据传输安全应用较为典型的场景。(来源:云技术之家)
2、中国证监会、财政部与美国PCAOB签署审计监管合作协议
中国证券监督管理委员会、中华人民共和国财政部于2022年8月26日与美国公众公司会计监督委员会(PCAOB)签署审计监管合作协议,将于近期启动相关合作。合作协议依据两国法律法规,尊重国际通行做法,按照对等互利原则,就双方对相关会计师事务所合作开展监管检查和调查活动作出了明确约定,形成了符合双方法规和监管要求的合作框架。合作协议的签署,是中美双方监管机构在解决审计监管合作这一共同关切问题上迈出的重要一步,为下一阶段双方积极、专业、务实推进合作奠定了基础。依法推进跨境审计监管合作,将有利于进一步提高会计师事务所执业质量,保护投资者合法权益,也有利于为企业依法合规开展跨境上市活动营造良好的国际监管环境。收集整理一下与数据保护相关公开信息。(来源:数据保护官微信公众号)
3、中央网信办:已有20余家拟赴国外上市企业申报网络安全审查
今年2月15日修订后的《网络安全审查办法》正式实施。新修订的《网络安全办法》,将网络平台运营者开展数据处理活动影响或可能影响国家安全的这种情形纳入到网络安全审查中,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报审查。据网信办消息称,目前已有20余家拟赴国外上市企业申报网络安全审查。(来源:数据保护官微信公众号)
五、域外观察
1、EDPS为欧盟和日本的进一步跨境数据流谈判寻求解释
欧洲数据保护监督员发布了一项建议,要求欧盟理事会与日本就跨境数据流协议展开进一步谈判。尽管日本在2019年收到了欧盟的充分性决定,但欧洲数据保护监督员正在寻求澄清,说明谈判的规则不应阻止 "要求控制者或处理者在欧盟(或欧洲经济区)存储个人数据的措施"。(来源:数据保护官微信公众号)
2、谷歌将向澳大利亚竞争和消费者委员会支付6000万澳元罚款
据《卫报》报道,谷歌同意向澳大利亚竞争和消费者委员会支付6000万澳元的罚款。联邦法院发现谷歌误导了澳大利亚消费者,让他们相信该公司没有通过安卓设备收集他们的位置数据。本案的核心问题是,消费者是否理解谷歌会收集他们的数据,即使他们的网络活动处于关闭状态,或者正在使用移动应用程序。(来源:数据保护官微信公众号)
3、根据欧盟法院的裁决,敏感的个人数据包括间接披露性取向的数据
欧盟法院(CJEU)在OT诉Vyriausioji tarnybinės etikos komisija一案中的初步裁决澄清,间接披露性取向的数据被视为特殊类别的个人数据(敏感个人数据)。虽然该案涉及国家反腐败立法,但该案的相关问题集中在配偶或伴侣的名字是否构成敏感个人数据的处理,因为它揭示了性取向。根据欧盟法院的说法,它是。因此,处理这种数据--间接披露性取向的数据--的实体必须根据欧盟GDPR第6条确定处理的合法依据,并根据第9条确定处理的单独条件。在这里查找裁决。(来源:数据保护官微信公众号)
4、NIL对法国广告技术公司不遵守GDPR提出6000万欧元的罚款建议
8月5日,法国广告技术公司Criteo宣布该公司收到法国数据保护局(CNIL)的报告,称其存在各种违反欧盟《通用数据保护条例》(GDPR)的行为,并建议对Criteo处以6000万欧元的罚款。这项拟议的罚款是在隐私非政府组织“隐私国际”对Criteo提出投诉后提出的。根据CNIL的制裁程序,Criteo有权对报告做出回应,包括对指控的侵权行为和建议的制裁。在正式听证会后,CNIL制裁委员会将发布一份决定草案,并将其提交给其他欧洲数据保护机构(根据GDPR合作机制)。最终决定预计要到2023年中期才能做出。(来源:数据保护官微信公众号)
5、Facebook 同意就剑桥分析的数据隐私诉讼达成和解
据路透社报道,近日一份法庭文件显示, Meta旗下的Facebook在原则上同意了在旧金山联邦法院解决诉讼,该诉讼要求就剑桥分析在内的第三方访问用户数据进行赔偿。周五提交的文件中没有披露财务条款,该文件要求法官将集体诉讼搁置 60 天,直到原告和Facebook的律师最终达成书面和解。长达四年的诉讼指控 Facebook 通过与第三方(例如现已解散的英国政治咨询公司 剑桥分析)共享用户的个人数据违反了消费者隐私法。Facebook 曾表示,其隐私做法与其披露的内容一致,并且“不支持任何法律主张”。(来源:数据保护官微信公众号)
6、丝芙兰因违反加州数据隐私规定支付120万美元
近日,国际知名化妆品品牌丝芙兰被加利福尼亚州罚款120万美元。原因是,其在未事先通知消费者的情况下出售消费者个人信息且未处理客户选择不出售其数据的请求,这违反了《加州消费者隐私法》 (CCPA)。加州总检察长 Rob Bonta指出,在对在线零售商进行调查后,该州将侵犯数据隐私的行为告知了丝芙兰,但该零售商未能在 CCPA 提供的30 天宽限期内纠正这些问题。(来源:数据保护官微信公众号)