国际数据合规热点速递

2022年10月 植德<国际数据合规热点速递> （自2022年10月1日至2022年10月31日） —植德律师事务所— 北京|上海|深圳|武汉|珠海|海口 Beijing|Shanghai|Shenzhen|Wuhan|Zhuhai|Haikouwww.meritsandtree.com 目录 一、美国篇4 1.美英两国政府间《为打击严重犯罪而访问电子数据的协议》生效4 2.美国加利福尼亚州州长签署两项新法案以保护堕胎隐私数据4 3.美国总统拜登签署行政命令实施《跨大西洋数据隐私框架》4 4.前Uber首席安全官因向黑客支付赎金被认定犯妨碍司法罪5 5.亚利桑那州总检察长与谷歌就欺诈用户获取位置数据达成8500万美元的和解5 6.LifeBridgeHealth同意以950万美元就2018年数据泄露事件的集体诉讼达成和解5 7.美国白宫发布关于加强国家网络安全的简报6 8.伊利诺伊州北部联邦地区法院判决伯灵顿北方圣太菲铁路运输公司违反生物识别隐私法并需赔偿2.28亿美元6 9.瑞典隐私保护局对Vklass展开数据泄露事件调查7 10.美国得州总检察长起诉Google违法收集、使用生物识别信息7 二、欧洲篇7 11.欧盟理事会正式通过《数字服务法》7 12.英国信息专员办公室发布《关于使用实时电话进行直接营销的指南》8 13.欧盟和日本拟协商将跨境数据流规则纳入经济伙伴关系协定8 14.欧洲议会批准关于跨欧盟边界共享信息的规则草案8 15.欧盟数据保护委员会通过程序方面的“愿望清单”和欧盟数据保护印章9 16.英国信息专员办公室发布《雇员监控指南草案》9 17.爱尔兰数据保护委员会发布有关Meta2021年数据泄露事件的调查决定草案 9 18.英国信息专员办公室因滥用客户个人信息对目录零售商Easylife处以148万英镑罚款10 19.欧盟委员会推出了欧盟首个获批的欧盟通用数据保护条例认证系统--Europrivacy10 20.英国ICO对建筑公司侵犯员工隐私的行为处以440万英镑罚款10 21.法国国家信息自由委员会对人脸识别数据库公司ClearViewAI处2000万欧元罚款11 三、其他篇11 22.澳大利亚采取行动加强银行和电信部门之间的信息共享11 23.世界经济与合作组织发布《数据跨境流动：评估关键政策和举措》报告1224.尼日利亚发布《2022年数据保护法案草案》12 26.巴西数据保护局发布《Cookies和个人数据保护指南》13 一、美国篇 1.美英两国政府间《为打击严重犯罪而访问电子数据的协议》生效 10月3日，美国司法部宣布美英两国政府间《为打击严重犯罪而访问电子数据的协议》生效。 该协议将允许服务提供商所持有的与预防、侦查、调查或起诉严重犯罪相关的信息和证据比以往任何时候都更快地被访问，使得执法机构更有效地获取将罪犯绳之以法所需的证据。两国将根据对方国家发出的合格的、合法的电子数据命令共享数据，而不必担心触犯对跨境披露的限制。 【来源：美国司法部】 2.美国加利福尼亚州州长签署两项新法案以保护堕胎隐私数据 10月3日消息，美国加利福尼亚州州长GavinNewsom近日签署两项新法案，使其成为法律，将对个人堕胎数据保护产生影响。 两项法案分别为AB1242号法案和AB2091号法案。AB1242号法案将通过阻止州外执法人员为推动反堕胎案件而对加利福尼亚公司执行搜查令等规定来保护堕胎数据隐私。AB2091号法案则禁止医疗服务提供者“为回应来自州外的传票或要求而发布有关寻求堕胎护理的个人的医疗信息”。 【来源：HealthITSecurity】 3.美国总统拜登签署行政命令实施《跨大西洋数据隐私框架》 10月7日，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政命令》， 以实施今年3月宣布的《跨大西洋数据隐私框架》下的承诺。 《跨大西洋数据隐私框架》是美欧之间就数据跨境流通的第三次尝试，该框架采用了新的美国情报收集隐私保护措施。此前的《安全港协议》、《隐私盾协议》均以欧盟法院认定无效告终。 《行政命令》要求对美国国家安全机构访问和使用欧盟和美国个人数据采取新的法律保障措施。其加强了当前美国情报收集对公民隐私自由的保障，并为个人数据被美国情报机构非法收集的公民创建了一套独立的、具有约束力的多层补救机制。 【来源：新浪财经】 4.前Uber首席安全官因向黑客支付赎金被认定犯妨碍司法罪 10月6日消息，美国联邦法院陪审团认定前Uber首席安全官JosephSullivan在美国联邦贸易委员会调查该打车软件2016年数据泄露事件期间，因未能向当局报告该事件及向黑客支付赎金而被认定犯有妨碍司法罪。 作为美国第一起针对公司高管因外部人员入侵而提起的重大刑事案件，一旦联邦法院正式宣判，该案将成为美国首次对数据泄露事件的首席执行官责任作出裁决的标志。目前，宣判日期尚未确定。 【来源：iapp】 5.亚利桑那州总检察长与谷歌就欺诈用户获取位置数据达成8500万美元的和解 10月5日消息，亚利桑那州总检察长MarkBrnovich宣布与谷歌就欺诈用户获取位置数据案达成8500万美元的和解。 亚利桑那州总检察长办公室于2018年开始调查该案，经调查发现，谷歌在用户禁用跟踪设置的情况下，仍收集和使用智能手机的位置数据。最终，双方就该欺诈用户获取位置数据行为达成和解，和解的大部分资金将归入州政府的普通基金。 【来源：iapp】 6.LifeBridgeHealth同意以950万美元就2018年数据泄露事件的集体诉讼达成和解 10月6日消息，LifeBridgeHealth已同意以950万美元就2018年数据泄露事件的集体诉讼达成和解。 案中，LifeBridgeHealth因感染恶意软件，使未经授权的个人可以访问托管其电子医疗记录、病人登记和计费系统的服务器。经调查，LifeBridgeHealth确认582,174 名患者的信息有可能被泄露，暴露的信息包括姓名、出生日期、地址、诊断、处方药物、临床和治疗信息、保险细节以及数量有限的社会安全号码。 根据和解条款，LifeBridgeHealth公司同意设立一个80万美元的基金来支付集体成员的索赔，并将投资790万美元用于额外的安全措施，以防止进一步的数据泄露，包括数据加密、网络监控、安全意识培训、资产跟踪和多因素认证。和解总额中剩余的77.5万美元将用于支付法律费用。 【来源：HIPPAJOURNAL】 7.美国白宫发布关于加强国家网络安全的简报 当地时间2022年10月11日，美国白宫发布了一份关于加强国家网络安全的简报 （以下简称“简报”）。该简报列举了美国政府为改善关键基础设施、确保全国电动汽车充电站等新基础设施的网络安全而采取的几项措施。简报中还列明了美国政府为打击勒索软件攻击而采取的一系列措施，例如阻止犯罪分子转移非法资金等。值得注意的是，简报中提及了为物联网设备开发标签的计划。上述标签将用于展现物联网设备的网络安全情况，帮助消费者判断哪些物联网设备符合最高的网络安全标准，已经开始在常见的高风险技术，如路由器和家用摄像头上使用。 【来源：美国白宫官网】 8.伊利诺伊州北部联邦地区法院判决伯灵顿北方圣太菲铁路运输公司违反生物识别隐私法并需赔偿2.28亿美元 伊利诺伊州北部联邦地区法院（位于芝加哥）判决伯灵顿北方圣太菲铁路运输公司 （下简称“BNSF”）违反伊利诺伊州生物识别隐私法（下简称“BIPA”），需向提起集体诉讼的卡车司机支付2.28亿美元赔偿。BIPA规定，收集生物识别信息必须经过书面同意，而BNSF公司在使用指纹系统来管理司机进出取货时，未经司机书面同意就收集了后者的指纹信息。陪审团据此认定BNSF违反BIPA达45,600次，以每次最高5000美元的额度最终对BNSF判处2.28亿美元赔偿款。据悉，伊利诺伊州目前是美国唯一拥有该项生物识别隐私规定的州，许多立法者曾尝试推翻该项法律，但至今仍未成功。 【来源：CBSNews】 9.瑞典隐私保护局对Vklass展开数据泄露事件调查 当地时间2022年10月19日，瑞典隐私保护局（下简称IMY）宣布对VklassAB学习平台的数据泄露事件展开调查。IMY称，目前该机构已接收约60起个人数据泄露事故的上报，分析指向的结果是，Vklass有关学校学生和教师的个人信息被违法下载。此外，根据欧洲《通用数据保护条例》（GDPR）的规定，该事件发生后，公司、当局和其它组织都有义务向IMY报告某些个人数据的泄露情 况。 【来源：DataGuidance】 10.美国得州总检察长起诉Google违法收集、使用生物识别信息 2022年10月20日，美国得克萨斯州总检察长针对谷歌公司提起诉讼，称其在未经许可的情况下收集用户的生物识别数据，违反了该州法律。总检察长帕克斯顿称，谷歌违反了该州一项消费者保护法，该法要求公司在收集用户的生物识别数据之前，必须告知用户并获得同意。根据在得州米德兰县地区法院提交的诉状，谷歌的生物识别数据收集行为可追溯至2015年，该州数百万居民受到影响。 【来源：个人信息与数据保护实务评论】 二、欧洲篇 11.欧盟理事会正式通过《数字服务法》 10月4日，欧盟理事会正式通过《数字服务法》（DSA），以确保一个更安全的网络环境。 DSA建立针对不同类型中介服务的分层责任框架，加强数字平台在打击非法内容和虚假信息及其传播方面的责任，并对“非法内容”的概念作了广义界定，有助于构建更加安全的在线环境。 下一步，经欧洲议会主席和欧盟理事会主席签署后，DSA将在欧盟官方公报上公布，并于生效后15个月开始适用于各公司。 【来源：EuropeanCouncil】 12.英国信息专员办公室发布《关于使用实时电话进行直接营销的指南》 10月5日消息，英国信息专员办公室发布《关于使用实时电话进行直接营销的指南》。 该指南涵盖了营销人员如何遵守《2003年隐私和电子通信条例》（PECR）的要求和建议的最佳做法。其中，包括概述了什么是直接营销电话，PECR规定的内容以及企业在使用实时电话时应考虑的因素。 【来源：ICO】 13.欧盟和日本拟协商将跨境数据流规则纳入经济伙伴关系协定 10月7日，欧盟委员会发布消息称，欧盟和日本将于2022年10月24日正式开始谈判，将有关跨境数据流动的规则纳入其经济伙伴关系协定。 欧盟委员会表示，双方的企业都应该受益，并指出欧盟的目标是“通过禁止不合理的数据本地化要求来确保跨境数据流动，同时保留欧盟在个人和非个人数据保护和网络安全领域的监管自主权。” 【来源：欧盟委员会】 14.欧洲议会批准关于跨欧盟边界共享信息的规则草案 10月10日，欧洲议会公民自由委员会批准关于跨欧盟边界共享信息的规则草案。 规则草案旨在通过澄清信息交流的程序、规则和时限，促进不同欧盟国家警察和边境官员之间的交流，同时加强欧洲刑警组织的作用。 根据新规则，执法当局应考虑到信息的使用目的，按照与本国当局相同的条件，从其他欧盟国家当局处获得信息。与此同时，欧洲刑警组织的安全信息交换网络应用程序将成为官方跨境交流的强制性渠道。 【来源：欧洲议会】 15.欧盟数据保护委员会通过程序方面的“愿望清单”和欧盟数据保护印章 10月12日，欧盟数据保护委员会通过了一份国家程序法方面的“愿望清单”，希望在欧盟层面实现协调，以促进《通用数据保护条例》的“有力和迅速执行”。 该份“愿望清单”是EDPB关于执法合作的维也纳声明中规定的关键行动之一，包括“数据保护机构的调查权力”和“程序性期限”。目前，该清单已送交欧盟委员会审议。另外，EDPB还根据GDPR第42（5）条通过了第一个欧盟数据保护印章。 【来源：EDPB】 16.英国信息专员办公室发布《雇员监控指南草案》 10月12日，英国信息专员办公室发布《雇员监控指南草案》，开展公众咨询。 该指南旨在根据数据保护立法提供关于监测工人的实用指南，并促进良好的做法。起