杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 1 目录 2 0 2 1 全球数据合规 年度大事件回顾 Photograph Credit : Filippo Peisino@Pexels 垦丁律师事务所 W&W国际法律团队 王捷 夏律 宋佳凯 编制 GLOBAL DATA PROTECTION BREAKING EVENTS OF THE YEAR 杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 2 目录Introduction .................................................... 3 Chapter1「全球数据立法动态」 ....................... 6 Chapter2「数据安全事件」 ............................ 70 Chapter3「诉讼与和解」 ................................ 81 Chapter4「数据执法」 ................................... 92 Chapter5「儿童隐私保护」 .......................... 116 Chapter6「自动化决策」 .............................. 122 Chapter7「高额罚款」 ................................. 125 Chapter8「数据传输和数据保护影响评估」 .. 140 Chapter9「人脸识别（生物识别数据）」 ..... 143 Chapter10「数据动态」 ............................... 148 我们的服务 ..................................................... 156 编者简介 ......................................................... 161 联系我们 ......................................................... 163 「数全事件资讯」 ....................... 81 「诉讼与和解」 ........................... 81 「数据执法」 ............................. 116 「隐私保护」 ............................. 122 「科技巨头隐私动态」 ............. 125 「COVID-19」 .......................... 140 「人工智能与生物特征数据处理」 143 「数据动态」 ............................. 148 联系我们 ..................................... 163 Photograph Credit : Pexels 杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 3 Introduction 2021年，是中国数据合规元年。无论从立法的高度而言，如2021年施行的《数据安全法》、《个人信息保护法》，抑或从执法的强度来看，如“滴滴案”，数据合规问题都引起广泛关注。根据中国信息通信研究院《2021数据安全行业调研报告》，97%的受访企业认为“合规需求”是开展数据安全能力建设的主要原因之一。对出海企业而言，不仅需要关注国内逐渐明晰、增强的数据跨境规则、本地化要求，更需要关注海外各国的立法动态与最新案例。 欧洲议会于2021年12月通过《数字市场法》（DMA）和《数字服务法》（DSA）草案，DMA旨在限制国际互联网巨头不正当竞争行为，强化反垄断管理和大型数字平台公司市场行为规范，DSA明确了网络平台和其他网络中介机构的尽职义务，尤其对大型在线平台提供者设定更高的透明度和问责制标准。美国旨在统一州隐私立法的示范法案《统一个人数据保护法》（UPDPA）通过，明确了数据控制者和处理者的义务、数据主体权利、数据保护评估要求，还为个人确立了私人行动权。旨在加强对美国消费者的数据隐私保护《数字问责和透明推进（DATA）隐私法案》也被重新提出，另有参议员提出《保护敏感个人数据法》，要求扩大美国财政部外国投资委员会对涉及美国人敏感个人数据交易的监督权。 其他法域的数据治理政策出台密集。例如，韩国个人信息保护委员会（PIPC）提交了《个人信息保护法》拟议修正案并进行公众咨询，修正案在促进数据主体权利和同意机制方面引入更多的清晰度，在数据传输和充分数据保护的要求方面与全球法规更加一致。日本PIPC发布的《个人信息保护法》修订指南引入了关于处理假 杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 4 名信息、非法使用个人信息和数据泄露报告的指导。阿联酋通过的《阿联酋联邦个人信息保护法》不仅适用于阿联酋境内的数据控制者或数据处理者，还适用于在阿联酋境外设立的、对境内数据主体开展处理活动的数据控制者或数据处理者。沙特阿拉伯于2021年批准了新的《个人数据保护法》，旨在保护任何可能直接或间接识别用户的个人数据，规范个人数据的共享，防止未经同意收集和处理这些数据。白俄罗斯的《个人数据保护法》也已生效，印度、印度尼西亚仍在继续审议、讨论个人数据保护法案。此外，英国提出了《产品安全和电信基础设施（PSTI）法案》，要求消费类科技公司停止使用其设备的默认密码，制定漏洞披露政策。德国《联邦电信和电信媒体数据保护和隐私管理法》（TTDSG）生效，TTDSG规范了在使用电信服务和电信媒体服务时的保密性和隐私保护，还改变了使用cookies和类似技术的法律框架。澳大利亚宣布拟出台《线上隐私法案》，要求Facebook、Reddit等社交媒体平台为16岁用户提供服务时，必须征得其父母的同意，同时在收集数据时，需优先考虑儿童的利益。 在执法层面，GDPR执法案例作为体现监管态势的重要参照，为出海企业的数据保护合规工作提供风向标。据Privacy Affairs网站统计，截至2021年12月9日，GDPR执法总数超过900起，总罚金超过130亿欧元。其中，亚马逊、Facebook旗下即时通讯软件WhatsApp因违反GDPR分别被罚款7.46亿、2.25亿欧元，成为GDPR实施以来的前二高罚单。 在数字经济全球化的当下，中国出海企业作为跨境数据运营主体在业务合规过程中，必须考虑、评估国际政策法律环境的约束和实际影响力。 出海企业如需定制完整的数据合规方案，请联系我们。 杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 5 「全球数据立法动态」 Photograph Credit : Naveen Annam@Pexels 2021全球数据合规年度大事件回顾 Chapter1「全球数据立法动态」 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 6 Chapter1「全球数据立法动态」菲律宾/禁令/数据披露 菲律宾国家隐私委员会（NPC）于2021年1月11日 宣 布 发 布 一 项 针 对 lisensya.info的 禁 令 。lisensya.info是一家第三方网站运营商（以下简称 info）, info违规披露了网站注册司机的个人资料。针对info的调查于2020 年11月开始。NPC指出，该命令于2020年11月首次发布，但由于info未能 成功解决该侵犯隐私的指控且未能提供其相关做法的详细信息，该命令期限于 2020年12月进一步延长。NPC调查发现，info经营者未经数据主体知情同意 就向第三方提供了他们的个人信息，这违反了 2012年数据保密法。NPC还注意 到，info-直在进行网络钓鱼活动。因此，除了命令其停止运营外，国家电信委 员会也对info采取了行动，要求互联网服务提供商屏蔽该网站。 2021.1.12 俄罗斯/个人数据法修正案 俄罗斯国家议会（杜马）于2021年1月14曰发表了一份声明，概述了俄罗斯数 据保护领域的现行和即将出台的法律。杜马强调了规定隐私权和限制获取个人信 息的两项重要法律，即2006年7月27日关于个人数据的第152号联邦法（《个人数据法》）和2006年7月27日第149号联邦《信息、信息技术和信息保护法》。国家杜马强调，违反这些法律将追究行政或刑事责任。杜马还指 出，《个人资料法》修正案已于2020年12月通过，修正案明确了获得同意的 条件，且规定了被遗忘权，该修正案将于2021年3月1日生效。 2021.1.14 巴基斯坦/个人数据保护法案 巴基斯坦信息技术和电信部（MOITT）于2021年1月14日在Twitter上宣布，在与所有利益攸关方的磋商并听取建议之后，《2020年个人数据保护法案》已进入立法进程的最后阶段。该法案旨在确保消费者的隐私，同时促进经济发展。 2021.1.14 巴基斯坦/隐私声明/ WhatsApp 信息技术和电信部(MOITT)于2021年1月13日发表声明，解决WhatsApp LLC最近对隐私政策的变化引起的问题。MOITT强调，所有数字社交媒体平台都必须尊重巴基斯坦公民的隐私权。此外，交通部敦促这些平台加强与巴基斯坦政府的接触，以便有效地解决公众关注的问题。 2021.1.14 国际标准化组织/生物特征安全识别/新标准 国际标准化组织于2021年1月14曰宣布已发布了一系列关于生物特征安全的新标准。国际标准化组织概述说，因为生物特征识别技术作为核实身份的一种有效手段日益广泛使用，因此确保其安全性至关重要。新的一系列标准ISO/IEC19989"信息安全-生物特征系统安全评估标准和方法”已经出版，以帮助确保生物特征系统免受针对系统安全政策的攻击。该系列还涉及生物特征识别性能和攻击检测。 2021.1.14 欧盟/云服务/医疗机构 欧洲联盟网络安全机构（ENISA）于2021年1月18日发布了一份报告，帮助医疗机构安全地采用云服 2021全球数据合规年度大事件回顾 Chapter1「全球数据立法动态」 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 7 务，以应对网络安全挑战。该报告评估了电子健康记录、远程医疗等远程护理和医疗设备方面与云服务相关的网络安全问题，同时概述了欧洲卫生部门实施云服务的一套有效的做法。做法包括提高网络安全意识、加密敏感数据以及评估网络安全风险。此外，报告还强调了与云服务相关的一些数据保护问题，例如数据管理、删除个人数据，以及医疗服务提供商需要评估云服务提供商是否实施了隐私设计（Privacy By Design）。 2021.1.19 澳大利亚/安全指南 澳大利亚网络安全中心（ACSC）于2021年1月14曰发布了针对域名所有者的域名系统安全指南（《域名所有者指南》）和域名解析程序（《域名