垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 1 全球数据立法动态 加利福尼亚州参议院于2021年9月8日通过了关于基因检测公司数据处理的参议院法案。 此外，该法案要求直接面向消费者的基因检测公司向消费者提供有关该公司收集、使用、维护和披露基因数据的政策和程序的某些信息，并按规定获得消费者的明确同意。此外，该法案要求直接面向消费者的基因检测公司按照某些程序尊重消费者的撤销同意，并在撤销同意后30天内销毁消费者的生物样本。 日本个人信息保护委员会（'PPC'）于2021年9月10日宣布，它已经更新了关于《个人信息保护法》（2003年第57号法案，2015年修订）（'APPI'）一般准则的Q&A。PPC指出，Q&A是根据2020年对APPI的修订而更新的。为此，更新后的Q&A包括关于来自机器学习训练数据集的个人信息、面部识别的使用和个人信息泄露报告的补充信息。 加州/参议院/基因检测/数据处理法案 2021.9.13 日本/PPC/APPI一般准则Q&A/更新 2021.9.13 全球数据合规周刊 数据 | 热点 | 动态 | 海外 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 2 芬兰交通和通信局（"TRAFICOM"）于2021年9月13日发布了经修订的cookie指南。该准则特别概述了存储和使用cookie的一般条件是用户已给予同意。然而，该指南详细说明，所谓的必要cookies不需要同意。此外，指导方针强调，合法利益并不能成为存储和使用cookies的理由，但这必须基于《电子通信服务法》（917/2014）第205条中规定的标准。 此外，准则指出，服务提供者必须确保在打开服务或访问网站时，适当和及时地征求用户的同意，并向用户提供与cookies有关的信息。此外，准则还指出，在征求对存储和使用cookies的同意时，宜记录用户的选择，以便在用户在网站的不同部分移动时不必重复征求同意。 新加坡个人数据保护委员会（"PDPC"）于2021年9月14日发布了一系列用于ICT系统的资源，包括数据保护实践指南和防范常见类型数据泄露的手册以及检查清单。该指南汇编了过去PDPC建议中的最佳做法，各组织可以将其纳入其ICT政策、系统和流程。更具体地说，该指南概述了数据生命周期的每个阶段的以下关注领域： ⚫ 政策和风险管理实践。 ⚫ ICT控制措施；以及 ⚫ 标准操作程序和ICT操作。 另外，该手册还指出了ICT系统管理和流程中经常导致数据泄露的常见漏洞，以及解决这些漏洞的措施。此外，检查清单旨在帮助组织审查并确保适用于其业务运营的政策、技术控制和流程已经到位。 新加坡个人数据保护委员会（"PDPC"）于2021年9月14日宣布，它已经更新了《数据保护管理方案制定指南》（"DPMP"）和《数据保护影响评估指南》（"DPIA"）。PDPC特别指出，这两份指南已经更新，以纳入问责制的最佳做芬兰/TRAFICOM/Cookie指南修订版 2021.9.13 新加坡/PDPC/IT系统/最佳实践指南和检查表 2021.9.14 新加坡/PDPC/数据保护管理方案/DPIA指南/更新 2021.9.14 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 3 法，支持组织的政策和流程，并与2012年修订的《个人数据保护法》（2012年第26号）规定的新义务保持一致。在这方面，DPMP指南旨在帮助组织通过实施DPMP来发展和改善其数据保护做法，而DPIA指南则概述了组织在对系统和流程进行DPIA时的关键原则和考虑。 欧盟网络安全局（'ENISA'）于2021年9月13日宣布，它已经启动了一个网络安全评估方法，用于部门性多利益攸关方ICT系统的网络安全认证。ENISA特别指出，制定部门网络安全评估方法（'SCSA'）是为了能够为部门ICT基础设施和生态系统准备欧盟的网络安全认证计划。此外，ENISA指出，SCSA赞同根据与特定ICT产品、服务和流程的 "预期用途 "相关的风险来确定安全和认证要求。 此外，ENISA强调，SCSA的目标是专家级受众，特别是ICT专家、ICT安全专家和负责部门多利益相关者系统的决策者以及供应商，相关市场部门的例子包括移动网络、5G、电子身份、电子医疗、支付、移动即服务和汽车。 沙特阿拉伯数据与人工智能管理局（'SDAIA'）于2021年9月14日宣布，《个人数据保护法》已获部长会议批准。该公告特别指出，新法律旨在保护任何可能直接或间接识别用户的个人数据，防止未经同意收集和处理这些数据。 此外，SDAIA概述，在新的《个人数据保护法》中，"个人数据 "应包括姓名、身份证号码、地址、电话号码、个人记录、财务记录、图像、视频或任何其他识别数据。 此外，该法律旨在确保个人数据的隐私，规范个人数据的共享，并防止个人数据的滥用。 欧盟/ENISA/部门网络安全评估方法/公布 2021.9.14 沙特阿拉伯/部长会议/新数据保护法/批准 2021.9.14 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 4 该法律预计将在6个月内实施，它将在发布后180天内生效。 巴巴多斯总督桑德拉-普鲁内拉-梅森女士于2021年3月26日在《政府公报》上发布公告，颁布并实施《2019年数据保护法》（2019-29号法案）。特别是，该公告规定，该法自2021年3月31日起实施，但第50、51、52、55、56和57条除外。 具体而言，该法旨在保护个人隐私，并对个人数据的收集、保存、处理和传播进行监管。此外，该法规定了各种数据保护原则，如处理的公平性和合法性，同意的条件和儿童的同意，以及敏感个人数据的处理，并规范了个人数据的转移。此外，该法还规定了一些数据主体的权利，包括访问权、纠正权、删除权、限制处理权和数据可移植性，以及与直接营销和自动决策有关的其他权利。 比利时数据保护局（"比利时数据保护局"）于2021年9月15日宣布，它已在2021年4月8日的第04/2021号决定中批准了GDPR下的第一份国家行为准则。特别是，该行为准则与国家公证员协会有关，使GDPR的规定适用于该协会开展的处理活动。例如，该行为准则明确了任命数据保护官员的要求、数据安全措施、提高雇员对保护个人数据责任的认识的措施，以及数据主体的知情权。 此外，尽管比利时DPA概述了国家公证处将监督行为守则的遵守情况，但比利时DPA进一步解释说，在这种情况下，监督机构没有得到认可，因为该守则涉及到公共机构的活动。 巴巴多斯/2019年数据保护法/颁布 2021.9.15 比利时/DPA/GDPR下的首个公共部门公证员行为准则/批准 2021.9.16 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 5 数据安全与执法 意大利数据保护机构（"Garante"）于2021年9月10日宣布，它已要求爱尔兰数据保护委员会（"DPC"）在Facebook公司向意大利市场销售其智能眼镜之前，对该公司最近宣布的智能眼镜进行调查。特别是，Garante要求DPC就以下方面向Facebook进行调查： ⚫ Facebook处理个人数据的相关法律依据。 ⚫ 为保护偶尔被眼镜记录的人，特别是未成年人而采取的措施。 ⚫ 为收集的数据进行匿名化而采取的任何系统；以及 ⚫ 与眼镜相连的语音助手的特点。 德国伍珀塔尔地区法院于2021年7月29日公布了其2021年7月29日的裁决（案件编号：4 O 409/20），其中法院驳回了一项访问数据的要求，因为它被《德国民法典》第242条产生的滥用权利的异议所阻止。法院特别指出，滥用权利的异议是一项贯穿法律的原则，作为一种国家形式，它也要求在GDPR第15条的框架内有效。此外，法院指出，根据这一滥用权利的原则，除其他外，如果索赔人利用正式的法律地位或主张他或她没有值得保护的自我利益的东西，则不允许行使一项权利。此外，法院概述说，这两个方面在这里累积起来，凝结成不忠实的行为。此 意大利/Garante要求爱尔兰DPC调查Facebook智能眼镜 2021.9.13 德国/德国地区法院因滥用权利而驳回数据访问权请求 2021.9.14 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 6 外，法院表示，GDPR第15条旨在使数据处理操作的合法性得到检查，相关人员应该能够评估存储数据的范围和内容。法院表示，这些信息也是为了使数据主体能够行使他或她在GDPR下的其他权利，特别是GDPR第16条规定的更正权和GDPR第17条规定的删除权。 爱尔兰数据保护委员会（'DPC'）于2021年9月14日宣布，根据《2018年数据保护法》第110条，对Tik Tok公司遵守GDPR的情况发起两项调查。特别是，DPC概述说，第一次调查将审查Tik Tok对GDPR的数据保护设计和默认要求的遵守情况，因为它们涉及对18岁以下用户的平台设置和对13岁以下人员的年龄验证措施方面的个人数据处理。此外，DPC强调，本次调查还将审查Tik Tok在处理18岁以下用户的个人数据方面是否遵守了GDPR的透明度义务。 DPC表示，第二次调查将侧重于向中国传输数据，以及Tik Tok是否遵守GDPR对向第三国转移个人数据的要求。 2021年9月15日，韩国个人信息保护委员会（'PIPC'）对微软公司违反2011年《个人信息保护法》（2020年修订）（'PIPA'）的行为开出罚单。特别是，PIPC指出，经过调查，它对微软公司违反《个人信息保护法》第27-3条 爱尔兰/DPC对Tik Tok的数据保护设计/缺失和向中国的传输进行调查 2021.9.15 韩国/PIPC对微软违反PIPA的行为处以1200万韩元的罚款 2021.9.15 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 7 和第28条，延迟通知数据泄漏，以及访问控制失败，罚款1200万韩元（约10,300欧元）。 美国电子隐私信息中心（'EPIC'）于2021年9月14日宣布，美国众议院能源和商业委员会已批准向联邦贸易委员会（'FTC'）提供10亿美元的资金，以建立一个隐私局，专门用于改善数据安全和隐私，打击身份盗窃。 该倡议已于2021年9月9日宣布，作为委员会全体会议对其预算协调指示的立法建议的一部分，现在它已被委员会批准。 隐私局将处理与隐私、数据安全、身份盗窃、数据滥用和相关事宜有关的不公平或欺骗性行为或做法。 美国/众议院能源委员会批准拨款10亿美元在联邦贸易委员会设立新的隐私局 2021.9.15 垦丁律师事务所W&W国际法律团队 全球数据合规周刊 2021年9月18日 王捷、夏律 8 垦丁海外律师团队深耕海外多地区多条业务线，通过多年来积累的出海发了服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。 ，W&W国际法律团队创始人，多家大型知名互联网企业法律顾问，执业律师，资深出海法律顾问。广东省法学会信息通讯法学研究会理事，荷兰 RuG 国际经济法与商法硕士，曾任职阿里巴巴大文娱集团，荷兰海牙国际律师事务所以及比利时布鲁塞尔仲裁委员会，深耕海内外多条业务线，专业能力模块包括产品风险管控、业务流程搭建、风险