垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 1 全球数据立法动态 美国网络安全和基础设施局（'CISA'）于 2021 年 8 月 18 日发布了《保护敏感信息和个人信息免受勒索软件导致的数据泄露》指南，作为对恶意网络行为者利用勒索软件渗出数据，然后威胁说如果受害者不支付赎金，就出售或泄露渗出的数据的回应。特别是，该指南为所有政府和私营部门组织，包括关键基础设施组织，提供了关于预防和应对勒索软件导致的数据泄露的信息。此外，该指南鼓励各组织采取一种高度的意识状态，并实施他们提供的建议。此外，该指南分为三个方面，其中包括：  防止勒索软件攻击。  保护敏感信息和个人信息；以及  应对勒索软件造成的数据泄露。 伊利诺伊州州长 JB Pritzker 于 2021 年 8 月 27 日签署了《保护家庭隐私法》的众议院法案（'HB'）2553，使之成为法律。该法案特别规定，执法机构不得获取家庭电子数据或指示从私人第三方获取家庭电子数据，除非： 美国/CISA/勒索软件/数据泄露/指南 2021.8.31 · 美国/伊利诺伊州/《保护家庭隐私法》/签署 2021.8.31 全球数据合规周刊 数据 | 热点 | 动态 | 海外 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 2  执法机构获得了基于合理理由的法院命令；或  家庭电子设备的所有者同意自愿提供所需的家庭电子数据。 此外，该法案规定，如果执法机构获得了家庭电子数据，该机构必须在 30 天内销毁所有获得的信息，但如果有理由怀疑该信息包含犯罪活动的证据，或者该信息与正在进行的调查或未决的刑事审判有关，该机构的主管人员可以保留特定的信息。 瑞士联邦数据保护和信息专员（"FDPIC"）于 2021 年 8 月27 日宣布，它已承认欧盟委员会于 2021 年 6 月 4 日通过的新标准合同条款（"SCCs"）是向受瑞士法律管辖的第三国转移数据的有效机制。特别是，FDPIC 概述了委员会的标准合同条款可由数据出口商使用，前提是根据瑞士数据保护法进行必要的调整和修正。更具体地说，FDPIC 概述了从瑞士向其他国家转移个人数据须遵守 1992 年《联邦数据保护法》（'FADP'）第 6 条的规定，由于《通用数据保护条例》（条例（欧盟）2016/679）（'GDPR'）的治外法权，这种数据转移可能还须遵守 GDPR，特别是如果与欧盟居民有关的数据也被转移。在这一点上，FDPIC 概述了相关各方必须确定是否只有 FADP 或 FADP 和 GDPR 适用于他们的具体情况，并强调必须根据这种判断对 SCC 进行必要的修改。 此外，FDPIC 确认，委员会的旧 SCCs 仍可在 2021 年 9 月 27日前签订，并在 2022 年 12 月 31 日前的过渡期内使用。 《中华人民共和国数据安全法》自 2021 年 6 月 10 日颁布后，自 2021 年 9 月 1 日起施行。《数据安全法》规范数据处理活动，保障数据安全，保护合法权益个人和组织的利益等。 瑞士/FDPIC/批准/在瑞士法律下/使用SCCs 2021.8.31 中国/《数据安全法》/生效 2021.9.1 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 3 巴西众议院于 2021 年 8 月 31 日在第二轮投票中批准了第17/2019 号宪法修正提案的文本，该提案修正了巴西联邦宪法，将保护个人数据列入基本权利和保障，并确立了联邦在保护和处理个人数据方面的专属立法权。 印度数据安全委员会（'DSCI'）于 2021 年 8 月 20 日宣布，作为其部门隐私项目的一部分，推出其医疗部门隐私指南。特别是，该指南旨在为大型企业、中小型企业和初创企业带来隐私方面的最佳实践，特别是处理以患者为中心的健康信息的医疗服务提供者和实体。此外，该指南还概述了这些提供者应采取的实际步骤，以将隐私嵌入其组织实践中，其中包括：  确保准确和相称的数据收集以识别病人。  实现有效的患者沟通和患者知情同意。  保护患者的个人信息。  允许访问和纠正个人数据；以及  保持患者的匿名性。 此外，该指南还提供了关键概念的定义，以及隐私自我评估指南。 《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于 2021 年8 月 20 日通过，现予公布，自 2021 年 11 月 1 日起施行。 我国首部个人信息保护法明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。本法规定，任何组巴西/众议院/批准/保护个人数据/宪法修正案 2021.9.1 印度/DSCI/医疗保健行业隐私/指南 2021.9.1 中国/首部个人信息保护法、通过 2021.8 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 4 织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 数据安全与执法 美国证券交易委员会（SEC）于 2021 年 8 月 30 日宣布，它在三项诉讼中制裁了八家公司，因为它们在网络安全政策和程序方面的失误导致电子邮件账户被接管，暴露了各公司数千名客户和顾客的个人信息。美国证券交易委员会特别指出，这八家公司已经同意和解，这些公司都在美国证券交易委员会注册为经纪商、投资咨询公司，或兼有。 此外，美国证券交易委员会概述说，针对每家公司的命令都发现他们违反了 S-P 条例的第 30(a)条，也被称为保障规则，该规则旨在保护客户的机密信息。此外，美国证券交易委员会强调，在不承认或否认美国证券交易委员会的调查结果的情况下，每家公司都同意停止和制止今后违反被指控的条款，并支付罚款。 美国/SEC 对 8 家网络安全程序不完善的组织处以罚款 2021.8.31 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 5 国家隐私委员会（'NPC'）于 2021 年 8 月 26 日宣布，为了保护借款人的数据隐私权利，它已下令立即关闭四个在线借贷应用程序（OLA），即 JuanHand、Pesopop、CashJeep和 Lemon Loan。NPC 强调，这些 OLA 已经成为各种未经授权使用个人数据的投诉对象，这导致了对借款人的骚扰和羞辱，目前正在对违反 2021 年数据隐私法和其他 NPC 发布的文件进行调查。 除此之外，NPC 指出，根据 NPC 投诉和调查部（'CID'）的说法，这些 OLA 几乎获得了借款人移动设备中的所有数据，模拟了贷款申请人的注册过程并评估了源代码。此外，隐私专员 Raymund Liboro 说，禁止这四个应用程序的命令 "对于防止严重的隐私风险，保护和维护数据主体的隐私权至关重要"。 此外，NPC 澄清说，它是根据 CID 的调查结果发布的命令，CID 审查了这些应用程序，发现它们违反了 2021 年《数据隐私法》中的透明度、合法目的和相称性原则以及NPC 发布的《贷款相关交易的个人数据处理》。此外，NPC澄清说，例如，JuanHand 在使用个人数据方面有侵犯性，因为它可以读取借款人的事件日历和机密信息，添加和修改日历事件，并在借款人不知情的情况下向联系人发送电子邮件。 俄罗斯联邦通信、信息技术和大众传播监督局（"Roskomnadzor"）于 2021 年 8 月 26 日确认，莫斯科Tagansky 区法院分别已向 WhatsApp、Facebook 开出 400、菲律宾/NPC立即下架四款网络借贷应用 2021.8.31 俄罗斯/塔甘斯基区法院对WhatsApp、Facebook不遵守数据本地化规定分别罚款400、1500万卢布 2021.9.1 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 6 1500 万卢布的罚款。特别是，法院发现 WhatsApp、Facebook 未能确保使用位于俄罗斯境内的数据库来处理俄罗斯公民的个人数据。 消费者协会于 2021 年 8 月 31 日宣布，他们将与 Take Back Your Privacy Foundation（简称'TBYP'）合作，将Tik Tok Inc.告上法庭，要求 Tik Tok 停止其非法行为，删除所有非法收集的个人数据并支付赔偿。消费者协会特别指出，该组织此前曾对 Tik Tok 侵犯儿童隐私和消费者权益的行为提出索赔。 此外，消费者协会强调，赔偿金由 20 亿欧元组成，以使每个受到伤害的儿童获得固定的金额：  每个 13 岁以下的儿童在开始使用 Tik Tok 时可获得 1500欧元。  开始使用 Tik Tok 时，每个 13、14 或 15 岁的儿童可获得 1,250 欧元；以及  开始使用 Tik Tok 时，每个 16 岁或 17 岁的儿童罚款1,000 欧元。 此外，消费者协会表示，它与 TBYP 一起要求 Tik Tok 向他们支付该公司从被指控的索赔中获得的利润作为进一步赔偿。 荷兰/消费者协会对 Tik Tok 提起诉讼 2021.9.1 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 7 爱尔兰数据保护委员会（'DPC'）于 2021 年 9 月 2 日宣布，在欧洲数据保护委员会（'EDPB'）根据 GDPR 第 65（1）（a）条要求其根据一些因素重新评估并增加拟议的罚款后，它发布了一项决定，对 WhatsApp 爱尔兰有限公司进行罚款。 EDPB 特别强调，它要求 DPC 修改其关于违反透明度的决定草案、罚款的计算以及命令遵守的期限。更具体地说，EDPB 概述，除了 DPC 的调查结果，WhatsApp 在向用户提供信息方面严重违反了 GDPR 第 12、13 和 14 条，以及它进一步发现了所提供信息的其他缺陷，影响了用户了解所追求的合法利益的能力，因此要求 DPC 的决定包括对违反 GDPR 第 13(1)(d)条的裁定。此外，EDPB 概述说，还存在违反 GDPR 第 5(1)(a)条规定的透明度原则的情况，并要求在最终的罚款金额中反映出这一点。 此外，EDPB 提出了一些要求，并对罚款的计算本身进行了澄清。具体而言，EDPB 决定，根据 GDPR 第 83(4)-(6)条，企业的营业额并不完全与确定最高罚款金额有关，但在计算罚款本身时，也可以酌情考虑，以确保根据GDPR 第 83(1)条，罚款是有效、相称和劝阻的。因此，EDPB 认为，WhatsApp 的母公司 Facebook Inc.的综合营业额应包括在营业额计算中。此外，EDPB 首次对 GDPR第 83(3)条的解释进行了澄清，强调当面临相同或相关处理业务的多种侵权行为时，在计算罚款金额时应考虑所有的侵权行为。 最后，DPC 的最终决定包括一项在三个月内使处理业务符合规定的命令，这比 DPC 决定草案最初规定的六个月的时间框架有所减少，这是应 EDPB 的要求，它强调了确保在尽可能短的时间内遵守透明度义务的至关重要性。 爱尔兰/DPC在EDPB争端解决后对WhatsApp违反透明度的行为罚款2.25亿欧元 2021.8.25 垦丁律师事务所 W&W 国际法律团队 全球数据合规周刊 2021年9月3日 王捷、夏律 8 垦丁海外律师团队深耕海外多地区多条业务线，通过多年来积累的出海发了服务经验以