国际数据合规热点速递

2022年8月 植德<国际数据合规热点速递> （自2022年8月1日至2022年8月31日） —植德律师事务所— 北京|上海|深圳|武汉|珠海|海口Beijing|Shanghai|Shenzhen|Wuhan|Zhuhai|Haikouwww.meritsandtree.com 目录 一、美国篇4 1.美国联邦贸易委员会推进亚马逊使用“黑暗模式”的调查4 2.美国联邦贸易委员会探索打击商业监视和宽松数据安全实践的规则4 3.美国卫生与公众服务部民权办公室对违反HIPAA隐私规则的医疗机构处以 300,640美元的罚款6 4.美国联邦贸易委员会起诉Kochava涉嫌销售个人敏感地理位置数据6 5.美国移民权利组织起诉LexisNexis违规收集个人数据6 6.美国Snapchat同意以3500万美元就违反《生物识别信息隐私法》的集体诉讼达成和解7 7.丝芙兰同意以120万美元就未经告知出售消费者个人信息的集体诉讼达成和解 8 二、欧洲篇9 8.欧盟法院关于解释GDPR特殊类别个人数据的规则9 9.法国数据保护机构对广告技术公司Criteo提出6000万欧元罚款，Criteo回应坚决反对9 10.苏格兰拟通过世界首个将生物特征数据用于警务和刑事司法的实践守则10 11.爱尔兰公民自由委员会宣布对甲骨文提起集体诉讼10 12.EDPB发布《关于认证作为数据跨境传输工具的指南》11 三、其他篇11 13.印度政府撤回《个人数据保护法(草案)》11 14.摩尔多瓦和波兰数据保护当局签署个人数据保护合作协议11 15.斯洛文尼亚数据保护当局发布有关个人数据保护影响评估的指南12 16.南非信息监管机构成立执法委员会12 17.澳大利亚隐私监管机构调查TikTok12 18.俄罗斯联邦数字发展、电信和大众传媒部发布声明，明确未经同意不得收集生物识别数据13 19.澳大利亚联邦法院因违法收集安卓用户位置数据对谷歌处以6000万澳元罚款 13 20.越南颁布法令详细说明《网络安全法》有关数据本地化、犯罪数据收集的要求 14 21.土耳其数据保护当局发布《遗传数据处理注意事项指南（草案）》14 22.巴西司法部决定再罚Facebook15 一、美国篇 1.美国联邦贸易委员会推进亚马逊使用“黑暗模式”的调查 BUSINESSINSIDER报道，美国联邦贸易委员会正在推进对亚马逊在其Prime服务促销活动中涉嫌使用"黑暗模式"的调查。该机构向亚马逊的现任和前任员工发出了传票，以寻求该公司用来积累和维持Prime会员资格的潜在欺骗性和操纵性做法的细节信息。 【来源：IAPP/BUSINESSINSIDER】 2.美国联邦贸易委员会探索打击商业监视和宽松数据安全实践的规则 美国联邦贸易委员会（FederalTradeCommission，FTC）8月11日宣布，委员会正在探索相关法律法规，以打击有害的商业监控和松懈的数据安全保障。商业监控指收集、分析人员信息并从中获利的业务，大规模的商业监控增加了数据泄露、欺诈、操纵和其他滥用行为的风险。美国联邦贸易委员会的拟议法规制定预先发布通知以征求公众意见，主要针对两个问题：1、商业监控和数据泄露带来的危害；2、是否需要新的法律法规来保护人们的隐私信息。 FTC主席LinaM.Khan说：“许多公司现在大规模地收集个人的隐私数据，并进行一系列处理和利用。经济日益数字化，再加上可以无休止地收集用户隐私数据的商业模式，以及这些数据的使用方式的随意性——意味着潜在的非法行为可能很多。我们今天的目标是开始建立健全公共记录，以告知FTC是否应该发布法律法规来解决商业监控和数据安全实践，以及这些法律法规应该是什么样子。” 商业监控业务可以刺激公司收集大量消费者信息，其中只有一小部分是消费者主动分享的。据报道，公司在消费者连接到互联网时对其进行监控——他们在线活动的各个方面、他们的家人和朋友网络、浏览和购买历史、位置和身体活动，以及广泛的其他个人详细信息。 公司使用算法和自动化系统来分析他们收集的信息。他们通过在庞大且不透明的消费者数据市场上出售信息、使用它来投放广告或利用它来销售更多产品获利。 FTC正在就商业监视做法的广泛的、潜在的担忧征求意见。例如，一些公司未能充分保护他们收集的大量消费者数据，从而使这些信息面临泄露的风险。越来越 多的证据表明，一些基于监视的服务可能会使儿童上瘾，并导致各种心理健康和社会危害。 虽然自动分析公司收集数据行为的系统还不多，但研究表明，这些系统容易出现错误、误差和偏见。因此，商业监控做法可能会基于种族、性别、宗教和年龄等受法律保护的特征歧视消费者，损害他们获得住房、信贷、就业或其他关键需求的能力。 其他担忧源于公司难以避免商业监控的方式。一些公司要求人们同意商业监控作为服务的条件。不希望与其他方共享个人信息的消费者可能会被拒绝提供服务，或者需要支付额外费用以保护其个人信息的私密性。消费者注册后，公司可能会更改其隐私条款，以进行更广泛的监控。公司越来越多地采用不合理的营销手段来影响或强迫消费者分享个人信息。 在过去的二十年里，FTC利用其在FTC法案下的现有权力，对侵犯隐私和危害数据安全的公司采取了数百项执法行动。这些案例包括与第三方共享健康相关数据、收集和共享隐私的电视观看数据以进行定向广告，以及未能实施合理的安全措施来保护隐私的个人数据。 然而，FTC过去的工作表明，仅执行FTC法案可能不足以保护消费者。FTC阻止非法行为的能力有限，因为该机构通常无权对最初违反FTC法案的行为寻求经济处罚。相比之下，全面建立明确的隐私和数据安全要求并赋予委员会对首次违规行为寻求经济处罚的权力的规则可以激励所有公司更加一致地投资于合规实践。 有关如何就FTC的拟议法律法规制定预先通知提交评论的信息包含在《联邦公报》通知中。提交意见的截止日期为未来几天在《联邦公报》上发布通知后的60天。 公众还将有机会在2022年9月8日的虚拟公共论坛上分享他们对这些主题的意见。 如今数据安全的重要性已经被全球各个国家各地民众一致肯定，相关企业已不能随意收集和滥用个人数据，但具体的法律法规仍不完善，这需要未来一段时间全球范围内的持续合作和深入实践。 【来源：FTC/OpenMPC】 3.美国卫生与公众服务部民权办公室对违反HIPAA隐私规则的医疗机构处以300,640 美元的罚款 8月23日，美国卫生与公众服务部民权办公室（OCR）因违反《健康保险流通与责任法案》（HIPPA）隐私规则而对新英格兰皮肤科和激光中心（NEDLC）处以300,640美元罚款。 该中心在丢弃带有患者姓名、出生日期、样本采集日期和采集样本提供者姓名的标签的标本容器时，被发现不当删除了受保护的健康信息。 【来源：U.S.DepartmentofHealth&HumanServices】 4.美国联邦贸易委员会起诉Kochava涉嫌销售个人敏感地理位置数据 据TechCrunch消息，美国联邦贸易委员会（FTC）在当地时间8月29日宣布，已对数据中间商Kochava提起诉讼，称其出售数亿手机的地理位置数据，这些涉及个人隐私信息的数据可能会使人们暴露在“耻辱、跟踪、歧视、失业甚至肢体暴力”的威胁中。 该诉讼旨在阻止Kochava收集涉及敏感地理位置的数据，并要求该公司删除已经收集的数据。 联邦贸易委员会指出，这些数据可用于追踪个人行踪，包括那些进出敏感位置的人，例如生殖健康诊所、家庭暴力/无家可归者收容所、成瘾康复中心和礼拜场所等场所的访问情况。 这起诉讼表明，联邦贸易委员会正在打击移动数据中间商，这些中间商从消费者手机上收集和转售数据。此前，苹果还对追踪数据进行了重大反思，更新了移动操作系统，允许消费者选择不按应用程序收集某些数据。 【来源：华尔街日报】 5.美国移民权利组织起诉LexisNexis违规收集个人数据 根据移民倡导者周二提起的诉讼，数据经纪人LexisNexisRiskSolutions涉嫌违反 伊利诺伊州法律，收集和聚合大量个人信息并将其出售给包括联邦移民当局在内的第三方。 活动人士和两个移民倡导团体认为，结果是“对公民自由的严重威胁”。该诉讼要求库克县法官阻止数据经纪人未经同意出售个人信息。 投诉还指出，出售给执法部门的LexisNexis的Accurint产品包含不公开的信息，包括矫正预订、车辆碰撞记录和车牌阅读器数据库。 “通过使用Accurint，执法人员可以无需通过传票、法院命令或其他法律程序而获得信息来监视和跟踪消费者”投诉称，并指责LexisNexis的技术启用“一个拥有几乎所有美国成年消费者档案的大规模监控状态”。 总部位于乔治亚州的LexisNexisRiskSolutions的代表拒绝置评，理由是此为未决诉讼。 【来源：数据法律观察】 6.美国Snapchat同意以3500万美元就违反《生物识别信息隐私法》的集体诉讼达成和解 Snap公司（Snapchat的母公司）在伊利诺伊州关于其使用面部识别技术的集体诉讼案中达成了3500万美元的和解。该诉讼称，Snapchat违反了BIPA法律，在未经用户同意的情况下，收集和储存了使用其镜头和过滤器的用户的生物识别数据。2015年11月17日之后居住在伊利诺伊州并使用Snapchat流行的AR功能的居民可能有资格获得和解的一部分。 Snap公司只是根据BIPA受到惩罚的最新一家公司--该法要求公司在收集用户的生物识别数据之前必须征得同意。这项法律的独特之处在于，它允许公民个人起诉可能违反法律的公司。今年早些时候，Facebook就其旧的照片标记系统达成了650 美元的和解，谷歌也就谷歌照片中使用面部识别功能达成了1亿美元的和解。 据《芝加哥论坛报》报道，符合条件的伊利诺伊州居民可能有资格获得58美元至 117美元的赔付。伊利诺伊州的居民可以在今年11月5日前提出索赔。 尽管同意和解，但Snap公司并没有承认任何不当行为。公司发言人在给《论坛报》的一份声明中写道，出于谨慎考虑，Snapchat今年早些时候向伊利诺伊州居民发出 了一份应用内同意通知。它还否认通过其应用程序收集的生物识别数据可用于识别特定人群。"Lenses不会收集可用于识别特定人的生物识别数据，或进行面部识别，"Snap说。"例如，Lenses可以用来识别眼睛或鼻子是脸部的一部分，但不能识别眼睛或鼻子属于任何特定的人。" 【来源：凤凰网科技】 7.丝芙兰同意以120万美元就未经告知出售消费者个人信息的集体诉讼达成和解 美国加利福尼亚州（下称“加州”）总检察长罗伯·邦塔（RobBonta）在发布会上表示，著名化妆品品牌丝芙兰（SEPHORA）就其侵犯消费者隐私一事与加州居民达成和解协议，决定支付120万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制。 据了解，去年6月，邦塔所在部门针对各大在线零售商开展执法检查，其后发现丝芙兰存在多项违规问题。首先，丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实，允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。 其次，丝芙兰未能向消费者提供退出个人信息出售的相关渠道，未以显著的方式提供“不要出售我的个人信息”的选项。此外，Mozilla去年推出的全球隐私控制 （GlobalPrivacyControl，GPC）功能一旦启用，浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见，拒绝回应用户不愿出售个人信息的诉求。 诉状显示，邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》 （CCPA）的相关条款，要求其在30天内采取补救措施。然而，丝芙兰并未采取任何行动，邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。 近日，邦塔在一场新闻发布会上披露了该事件的