全球数据合规周刊(2021-09-10)
垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 1 全球数据立法动态 斯里兰卡信息和通信技术局('ICTA')于2021年9月5日发布了《个人数据处理监管法》的另一个最终草案,这是继2020年3月发布的版本之后的新版本,现已提交给内阁。特别是,ICTA强调,该立法旨在平衡依赖个人数据处理的企业的利益和个人数据被处理的个人利益,以确保透明度,以及处理活动的问责制。 此外,ICTA指出,这项立法对那些作为数据控制者和处理者的人规定了一些义务,并且根据这项新的立法,赋予数据主体一整套新的法定权利。此外,ICTA补充说,已经引入了一些规定,使数据保护局能够对不遵守新立法规定的实体发出指令,并且只对那些不遵守上述指令的实体进行行政处罚。此外,ICTA还澄清说,关于处罚的规定是有门槛的,而不是根据控制者的全球营业额计算的罚款。 斯里兰卡/ICTA//数据保护法案/最终草案 2021.9.6 · 全球数据合规周刊 数据 | 热点 | 动态 | 海外 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 2 申诉专员办公室("申诉专员")于2021年9月3日发布了其关于罚款令("MPO")方法的指南。该指南特别指出,《数据保护法》(2021年修订版)第55条授予监察员权力,可发出不超过250,000美元的MPO,并根据法律第56条,制定了关于MPO的补充指南,其中列出了评估监察员是否应施加MPO的因素,以及确定处罚金额的因素。具体而言,该指南强调,监察员使用两个额外的工具来协助评估和确定MPO,一个是违规严重程度评估工具,另一个是计算罚款的矩阵。因此,本指南试图解释这两个额外的工具。 挪威数据保护机构("Datatilsynet")于2021年9月3日发布了数据保护专员诉Facebook爱尔兰有限公司、Maximillian Schrems案(C-311/18)("Schrems II案")之后的数据转移更新指南。特别是,该指南概述了公司必须事先评估转移基础是否能真正发挥其应有的作用,如果转移基础不能确保对个人数据的充分保护,因此还必须实施额外的措施。 此外,指导意见强调, GDPR没有包含 "转移 "一词的定义,然而,根据指导意见,该术语包括个人数据被发送给欧洲经济区以外的人的情况,在这种情况下,欧洲经济区以外的人获得了存储在欧洲经济区的个人数据,因为那些能够获得个人信息的人有可能进一步使用它或与其他人分享它,例如在实际转移的情况。 此外,指导意见还概述了额外的措施可以是技术性的、法律性的或组织性的,通常不同类型的措施应该结合起来,然而,在实践中什么是有效的,必须在个案的基础上分析考虑。此外,指导意见指出,当涉及到技术措施时,特别是强大的加密和密钥管理是核心,而假名化也是另一个非常实用的技术措施。至于法律措施,指导意见指出,这可能涉及到实施某些技术措施和密钥管理方面的措施的合同义务。此外,指导意见指出,关键的组织措施包括良好的培训和严格的访问管理。 最后,指导意见指出,尽管许多公司希望这样做,但Datatilsynet不能 "预先批准 "挪威公司的评估,因此,重要的是,公司要认真进行评估并妥善记录。 开曼群岛/监察员/罚款令/指南 2021.9.6 挪威/Datatilsynet/后Schrems II数据传输的指南/更新 2021.9.6 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 3 英国信息专员办公室('ICO')于2021年9月7日宣布,它将呼吁同为G7的数据保护和隐私主管部门合作,全面修改cookie同意弹出式窗口。特别是,ICO概述说,信息专员Elizabeth Denham将于2021年9月7日至8日与G7当局进行虚拟会面,提出关于如何改进当前cookie同意机制的想法,以期在更好地保护个人数据的同时,使网络浏览更顺畅、更有利于商业。在这方面,ICO提出,用户目前无法对其个人数据行使有意义的同意,原因是参与如此多的cookie同意请求导致了同意疲劳。 具体而言,ICO强调,它设想的未来是,网络浏览器、软件应用程序和设备设置允许人们根据自己的选择设置持久的隐私偏好,而不是每次访问网站时都要通过弹出窗口进行设置,认为这将确保人们的隐私偏好得到尊重,个人数据的使用被降至最低,同时改善用户的浏览体验,消除企业的摩擦。此外,ICO建议,这种方法在技术上已经是可行的,并且符合数据保护法,七国集团当局可以产生重大影响,鼓励技术公司和标准组织进一步开发和推出面向隐私的解决方案。 国际标准组织("ISO")于2021年8月31日发布了一项新标准,即ISO/SAE 21434《道路车辆--网络安全工程》,旨在解决道路车辆内电气和电子系统工程中的网络安全问题。特别是,ISO概述了新标准将有助于使制造商了解不断变化的技术和网络攻击方法,还定义了与网络安全工程有关的词汇、目标、要求和准则,以便在整个供应链中形成共识。 阿拉伯联合酋长国于2021年9月5日宣布,它将很快公布《联邦数据法》,作为其 "50个项目 "倡议的首批项目之一,该倡议涉及50个项目的路线图,旨在提高阿联酋的经济竞争力。 国际/英国ICO/呼吁/G7全面修订cookie同意弹窗 2021.9.7 国际/ISO/汽车网络安全标准/发布 2021.9.7 阿联酋/联邦数据法/即将公布 2021.9.8 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 4 数据安全与执法 个人信息保护委员会('PIPC')于2021年9月3日宣布,根据2011年《个人信息保护法》(2020年修订)('PIPA'),对两家企业经营者的过失进行了罚款。特别是,PIPC澄清说,它已经通过邮寄向这两个运营商提交了罚款,然而,他们没有提交任何回应。为此,PIPC向这两家未命名的运营商发出了罚款通知,金额分别为1,030,000韩元(约750欧元)和515,000韩元(约375欧元)。 欧盟法院('CJEU')总检察长Michal Bobek于2021年9月2日发布了C-175/20 SIA 'SS' v. Valsts ieņēmumu dienests案件的意见,此前拉脱维亚地区法院曾要求作出初步裁决。特别是,本案涉及申请人拒绝税务稽查局提交的信息请求,包括与申请人网站上发布的广告中的车辆底盘号码有关的信息,理由是信息请求的范围,据申请人称,构成GDPR第4(1)条意义上的个人数据,在法律上没有正当理由。在对上述案件发表的意见中,检察长Bobek同意申请人的意见,即汽车底盘号码应被视为GDPR意义上的与被识别或可识别的人有关的信息,即个人数据。 韩国/PIPC就两家经营者的疏忽行为发布罚款公告 2021.9.6 欧盟/欧盟委员会AG认为根据GDPR汽车底盘号码是个人数据 2021.9.8 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 5 大众损害与消费者基金会于2021年9月7日宣布,它已开始对TikTok公司大规模侵犯荷兰消费者的基本权利提起集体诉讼。该基金会特别指出,通过该集体诉讼,它试图为TikTok的所有用户站出来,而不仅仅是未成年人,它正在寻求阿姆斯特丹法院命令TikTok支付超过60亿欧元。此外,该基金会强调,TikTok的行为违反了各种法律和法规,它特别关注TikTok收集非常个人化的消费者信息,用于创建档案,并与广告商分享。 此外,该基金会指出,其研究表明,TikTok: ⚫ 在没有法律依据的情况下收集和处理个人数据。 ⚫ 对其用户不够透明。 ⚫ 将个人数据转移到中国和美国。 ⚫ 将详细的消费者资料用于广告目的和自动决策;以及 ⚫ 为TikTok服务的用户提供的保护不足,无法防止有害内容。 此外,该基金会强调,赔偿金包括60亿欧元,以便让那些受到伤害的人获得固定的金额: ⚫ 6-12岁的儿童每人可获得1,750欧元。 ⚫ 13-17岁的人获得1,500欧元;以及 ⚫ 18岁及以上的人获得1,250欧元。 个人数据保护局('KVKK')于2021年9月3日公布了对Whatsapp应用程序的审查摘要,其中对该公司处以1,950,000土耳其里拉(约195,000欧元)的罚款,因为它未能根据第6698号个人数据保护法('法律')第12条第1款采取必要的技术和行政措施来确保数据安全。特别是,KVKK概述了Whatsapp之前更新了其服务条款和隐私政策,要求该应用程荷兰/大众损害与消费者基金会对TikTok提出60亿欧元的索赔要求 2021.9.8 土耳其/KVKK对Whatsapp未采取技术和行政措施罚款190万土耳其卢比 2021.9.8 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 6 序的土耳其用户接受新的服务条款以继续使用该服务,并且在这些变化之后,它对WhatsApp发起了依职权调查。 此外,KVKK指出,在其调查后发现,尽管Whatsapp表示其处理是基于一些不同的法律依据,而且明确同意只在特殊情况下使用,但调查发现,由于服务条款被定义为通过要求用户批准服务条款与用户达成的协议,这意味着数据控制者依赖于通过条款获得的明确同意。此外,KVKK的结论是,当考虑到为包括向第三方转移在内的若干目的而征得用户的单一明确同意,并且没有提供其他选择,而且这些目的在服务条款中被合并,有效同意所需的自由意志因素已被破坏。 此外,KVKK指出,服务条款和隐私政策中的 "转移 "条款是由数据控制者以不可协商的方式提出的,数据主体被迫对整个合同表示同意,这导致向第三方转移数据成为使用服务的前提条件,违反了法律第4条规定的 "合法性和公平性 "原则。 法国数据保护局("CNIL")于2021年9月9日公布了其数据保护管理成熟度自我评估模型。CNIL特别强调,该模型将国际标准中定义的成熟度等级移植到数据保护管理中,并在五个成熟度等级中描述了与数据保护有关的八项典型活动。此外,CNIL解释说,该模型允许组织评估其自身的成熟度,并确定如何改善其数据保护管理,在这种自我评估的基础上,可以制定一个行动计划,以填补实践和每个组织的目标适当水平之间的差距。然而,CNIL补充说,该模型的目的不是为了确保事实上的遵守。 法国/CNIL发布数据保护成熟度自我评估模型 2021.9.10 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月10日 王琼飞、王捷、夏律 7 垦丁海外律师团队深耕海外多地区多条业务线,通过多年来积累的出海发了服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。 ,浙江垦丁律师事务所联合创始人&执业律师,浙江省 法学会竞争法学研究会理事。曾供职于腾讯和阿里法务部,负责诉讼维权事务, 十多年互联网法律领域服务经验。曾代理了包括 3Q大战、流量争夺、数据爬取、商业诋毁、平台责任等在内的一系列重大互联网案件,同时代表行业参与反不正当竞争法等涉及互联网领域的立法和司法解释工作。 ,W&W国际法律团队创始人,多家大型知名互联网企业法律顾问,执业律师,资深出海法律顾问。广东省法学会信息通讯法学研究会理事,荷兰 RuG 国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,荷兰海牙国际律师事务所以及比利时布鲁塞尔仲裁委员会,深耕
