国际数据合规热点速递

2022年9月 植德<国际数据合规热点速递> （自2022年9月1日至2022年9月30日） —植德律师事务所— 北京|上海|深圳|武汉|珠海|海口Beijing|Shanghai|Shenzhen|Wuhan|Zhuhai|Haikouwww.meritsandtree.com 目录 一、美国篇5 1.拒绝投票，佩洛西反对拟议的《美国数据隐私和保护法》5 2.美驻华使领馆过度采集中方雇员信息，数据或供给美国情报部门5 3.美国国税局泄露12万纳税人个人信息，含姓名、联系方式和财务信息等5 4.XX内部计算机网络遭受黑客攻击6 5.XXX因违反伊利诺伊州《生物识别信息隐私法》面临集体诉讼6 6.谷歌就2018年位置数据诉讼“原则上”达成和解6 7.西北工业大学遭网络攻击，源头系美国国家安全局7 8.16家金融公司被处18亿美元罚款，违反记录保存规则8 9.美国政府问责局（GAO）：24个机构的隐私项目审查及关键发现8 10.华盛顿拟通过《停止算法歧视法案》，立法明确消除算法偏见9 11.网络攻击扰乱酒店供应链！XX酒店集团加盟商损失惨重10 12.纽约拟立法全面保护儿童数据隐私或将强制采取在线安全措施10 13.XXX支付3500万美元解决数据安全指控11 14.全球最大航空公司发生数据泄露事件11 15.美国国土安全部宣布首个针对各州地区网络安全拨款10亿美元的计划.11 16.拜登签署行政令阐明美国CFIUS审查将更关注特定国家安全风险12 17.美方将审计中概股，互联网巨头将首批接受审计底稿检查12 二、欧洲篇13 18.欧洲拟立法全面禁止人脸识别13 19.阻止欧洲刑警组织“囤积”个人数据！EDPS要求驳回两项修正案13 20.澳大利亚运营商Optus数据库泄露，约40%国民信息被盗14 21.欧盟《数字市场法》正式签署，将于六个月后实施14 22.欧盟《人工智能责任指令（提案）》发布14 23.社交巨头Instagram被裁定侵犯儿童隐私，罚款27.8亿创纪录15 24.英国信息专员办公室发布《匿名化、假名化及隐私增强技术指南（草案）》 15 25.法国国家信息与自由委员会发布《个人登录令牌或令牌访问》指南15 26.欧盟数据保护委员会就拟议的欧洲警察合作守则发表意见16 27.挪威数据保护当局发布员工监控工具调查报告16 28.法国数据保护当局因违反GDPR多项义务规定对infogreffe处以25万欧元罚款17 29.澳大利亚在发生大规模数据泄露后将全面修订隐私法17 三、其他篇18 30.香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒18 31.G7隐私监管机构讨论国际数据传输解决方案，推动数据流动立法合作.1832.俄罗斯《个人数据法》修正案生效19 34.印度尼西亚《个人数据保护法案》提交全体会议审议19 35.韩国个人信息保护委员会因违法个人信息保护法对Google和Meta罚款共计 1000亿韩元20 一、美国篇 1.拒绝投票，佩洛西反对拟议的《美国数据隐私和保护法》 近日，美国众议院能源和商业委员会通过了修订版的《美国数据隐私和保护法》（AmericanDataPrivacyandProtectionAct，ADPPA），该法案即将进入全众议院院投票阶段。其前景要取决于众议院议长南希·佩洛西（NancyPelosi）——她将决定何时或是否将在众议院审议全面的隐私法案。经过数周的支持和反对投票的敦促，佩洛西在国会重启之前发表了一份声明，称她不会对当前版本的ADPPA进行投票。佩洛西的立场影响了ADPPA的立法进程，而这又取决于投票前，就《美国数据隐私和保护法》可以达成什么样的协议。虽然佩洛西的选择并不意味着该法案的最终终结，但它可能被证明是“今年总体上通过该法律的可能性的现实终结”。。 【来源：IAPP】 2.美驻华使领馆过度采集中方雇员信息，数据或供给美国情报部门 近日，曾在美驻华使领馆工作的人士表示，美方涉嫌以“背调”为由强迫中方雇员提交个人、家庭甚至邻居的信息。据透露，其中除了几乎所有的亲属信息外，竟然还要提供一位邻居的信息，而且是必填项。赵平说，曾有美国使领馆的同事向他的邻居要电话，遭到邻居质疑：“美国人是不是不信任你们中国员工啊？”除了常规调查，有时驻美使领馆安全官还会直接与中方雇员进行安全审查谈话。态度趾高气扬，问话咄咄逼人，令人厌烦。更令人不安的隐患在于，这些被收集的个人信息的流向并不在他们自己掌控之中。中方雇员信息或被“分享”给美情报机构。。 【来源：网易】 3.美国国税局泄露12万纳税人个人信息，含姓名、联系方式和财务信息等 9月2日，美国国税局承认日前在其官网上泄露了一份涉及约12万纳税人的机密信息。美国国税局称，机密信息涉及的数据来自企业纳税申报表——990-T表，泄露的信息包括纳税人姓名、联系方式和拥有个人退休账户群体相关收入的财务信息，但不包括社会安全号码、完整的个人收入信息、详细的财务账户数据或其 它可能影响纳税人信用的敏感数据。目前，美国国税局表示泄露纳税人机密信息是无意之举，发现这一错误后已从网站上删除相关内容，后续将联系所有受影响的纳税人。 【来源：海外网】 4.XX内部计算机网络遭受黑客攻击 9月15日，XX（某打车软件）获悉内部计算机网络遭到黑客攻击，并在调查期间关闭了多个工程和内部通信系统。据报道，被指控的黑客向网络安全研究人员和《纽约时报》发送了电子邮件、云存储和代码存储库的图像。据与黑客通信的YugaLabs安全工程师SamCurry说称，该黑客是通过向XX员工发送短信并伪装成公司技术高层而获得访问权限的。 【来源：iapp】 5.XXX因违反伊利诺伊州《生物识别信息隐私法》面临集体诉讼 9月1日，美国伊利诺伊州居民JamesLuthe向当地法院提起诉讼，指控XXX （某美国零售巨头之一）通过摄像头、视频监控系统和ClearViewAI提供的“面部识别数据库”，非法收集、存储和使用生物识别数据，而未按照伊利诺伊州《生物识别信息隐私法》（BIPA）的要求获得伊利诺伊州公民的同意。该诉讼可能将被裁定为集体诉讼。BIPA规定，私人实体不得收集个人的生物识别标识符，除非其首先通知个人其标识符正在被收集，为什么以及收集多长时间，并收到该个人的“书面同意”作为回应。BIPA还规定，除其他要求外，私营实体不得出售、租赁、交易或以其他方式从个人的生物识别标识符中获利。 【来源：documentcloud】 6.谷歌就2018年位置数据诉讼“原则上”达成和解 9月13日消息，谷歌和智能手机用户达成了一项“原则上的协议”，以解决一项长达四年的联邦集体诉讼，该诉讼指控谷歌在用户选择不进行跟踪时跟踪他们的位置。该诉讼最初是由圣地亚哥居民拿破仑·帕塔西尔于2018年提起的，指控谷歌在“位置历史记录”设置被关闭的情况下仍旧收集位置数据，除非人们关闭一个单独的设置——“网络和应用程序活动”。目前，和解方案尚未最终敲定。 谷歌和消费者的法律顾问表示，他们计划“共同努力敲定一份长期和解协议”，并于10月12日发布另一份报告。 【来源：mediapost】 7.西北工业大学遭网络攻击，源头系美国国家安全局 9月5日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网 络攻击事件调查报告》（之一）。2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。本次调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。经技术分析与溯源，技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术，还原了攻击过程和被窃取的文件，掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13名，以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。 9月13日，国家计算机病毒应急处理中心发布《美国NSA网络武器“饮茶”分析报告》，报告显示，在西北工业大学的网络服务器设备上发现了美国国家安全局（NSA）专用的网络武器“饮茶”（NSA命名为“suctionchar”），“饮茶”编码复杂，高度模块化，支持多线程，适配操作系统环境广泛，包括FreeBSD、SunSolaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版，反映出开发者先进的软件工程化能力。“饮茶”还具有较好的开放性，可以与其他网络武器有效进行集成和联动，其采用加密和校验等方式加强了自身安全性和隐蔽性，并且其通过灵活的配置功能，不仅可以提取登录用户名密码等信息，理论上也可以提取所有攻击者想获取的信息，是功能先进，隐蔽性强的强大网络武器工具。在此次针对西北工业大学的攻击中，美国NSA下属特定入侵行动办公室 （TAO）使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。随着调查的逐步深入，技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对 中国发动了大规模的网络攻击活动。 【来源：国家计算机病毒应急处理中心】 8.16家金融公司被处18亿美元罚款，违反记录保存规则 美国监管机构当地时间27日对XX银行集团、XX银行等16家华尔街金融公司处以总计18亿美元（约合人民币129亿元）的罚款，原因是这些公司员工使用个人电子设备和手机应用程序商谈业务，却没有保存相关通信记录。众多华尔街银行多年来难以杜绝员工在上班期间使用个人电子设备，通常是完全禁止员工把个人设备带入交易大厅。新冠疫情暴发后，员工居家办公导致这一问题加剧。美国商品期货交易委员会一名委员则表示，员工使用个人设备是为了逃避监管，有时甚至是在高管指示下进行。那些高管明知违规，却想隐藏商业沟通内容。 【来源：环球网资讯】 9.美国政府问责局（GAO）：24个机构的隐私项目审查及关键发现 近年来，随着新技术的出现和个人信息的广泛利用，个人隐私的保护已成为一个十分重要的问题。联邦机构为各种政府项目收集和处理大量的PII，因此，他们必须确保他们收集、存储或处理的任何PII都不受未经授权的访问、篡改或丢失的保护。GAO审查联邦机构的隐私项目，包含了以下内容：(1)机构为确保隐私保护而建立的项目的程度；(2)机构在实施其隐私保护计划时所遭遇的挑战；(3)机构使用隐私影响评估报告的好处和限制；(4)有多少机构拥有专门处理隐私问题的高级官员。机构和隐私专家发现了隐私影响评估的好处，包括提供公共信息和管理风险。然而，他们也发现了可能限制评估有效性的因素，如机构并不总能尽早启动隐私影响评估，从而影响项目决策；隐私保护计划不知晓所有带有PII的代理系统；隐私保护项目无法让机构工作人员负责开发隐私影响评估。如果没有充分建立隐私保护计划的这些要素，机构就无法保证自己始终如一地实施隐私保护。在实施隐私保护计划时，机构最常面临的挑战如下。更多的信息共享可以帮助机构应对某些挑战。 【来源：赛博研究院】 10.华盛顿拟通过《停止算法歧视法案》，立法明确消除算法偏见 9月22日，在美国电子隐私信息中心（Ele