国际网络安全和数据隐私审查与展望-2024

2024 年 2 月 16 日 国际网络安全和数据隐私审查和展望 - 2024 在连续第六年的情况下，且在2024年发布盖伯森·邓恩年度美国网络安全与数据隐私展望和审查之后，我们提供这份独立的国际展望和审查。 正如往年一样，本展望与回顾提供了关于全球隐私和网络安全法律法规过去和发展前景的概览。 在2023年，数据保护法规继续在多个国际司法管辖区得到采纳。瑞士、英国、印度、越南和沙特阿拉伯等国家通过了新法律、修正案或实施条例，为新一轮重要的数据隐私制度铺平了道路。预计相关机构将充分利用其权力，在不久的将来实施并执行各自的数据保护立法。 在欧盟(“EU“) ， 欧盟监管机构继续适用和执行《通用数据保护条例》 (”GDPR”) 积极地， 而欧洲数据保护委员会 (“EDPB“) 发布并更新了各种指南 ， 提供了对 GDPR 的有用解释。 最后 ， 我们注意到欧洲数字监管领域的大量发展。 我们在今年的国际网络安全和数据隐私展望和审查中涵盖了这些主题和更多内容。 I. 欧洲联盟 A. 欧盟 - 美国数据隐私框架 正如我们在2023 年国际展望与回顾， 欧盟 - 美国隐私盾于 2020 年 7 月 16 日被Schrems II裁决欧洲联盟法院 (“CJEU”).[1]为了取代隐私盾并保护跨境数据流动 ， 欧盟委员会已启动对欧盟和美国之间的个人数据传输采取适当决定的过程 (“欧盟 - 美国数据隐私 框架“) 。 2023 年 7 月 10 日 ， 欧盟委员会通过了关于欧盟 - 美国数据隐私框架这一决定认为，美国确保了个人数据从欧盟转移到美国公司时达到与欧盟相当的充足保护水平。新的欧盟-美国数据隐私框架引入了新的具有约束力的保障措施以解决CJEU提出的所有关切，包括将美国情报机构访问欧盟数据的范围限制为必要和相称的，并建立了数据保护审查法院（Data Protection Review Court）。“DPRC“） ， 欧盟个人将可以访问。 美国公司可以通过承诺遵守一套详细的隐私义务，从而加入欧盟-美国数据隐私框架。 B. 网络信息安全指令 关于在欧盟 2022 / 2555 中实现高度共同网络安全措施的指令(EU)[2](“NIS 2 指令）于2023年1月16日生效，并取代了关于在整个欧盟范围内网络和信息系统高共同安全水平措施的（EU）2016/1148号指令（“网络信息安全” or “NIS”). 《NIS 2指令》为各受该指令涵盖的行业（如能源、运输、健康和数字基础设施领域，例如云计算服务提供商、数据中心服务提供商、公共电子通信网络或服务提供商）以及数字服务提供商（例如在线市场平台提供商、社交网络服务平台提供商）的网络安全风险管理措施和报告义务设定了基准。 此外，《网络安全指令》（NIS 2 Directive）设定了报告义务的基础标准。特别是，如果一起事件对受该指令覆盖的服务供应产生了重大影响，相关部门必须在合理时间内通知相关机构。 成员国必须在 2024 年 10 月 17 日之前采取并公布符合 NIS 2 指令的必要措施。[3] C. 《数据治理法》 2022 年 5 月 30 日关于欧洲数据治理的法规(EU) 2022 / 868(“数据治理法案”)[4], 于2023年9月24日正式生效。该条例旨在增加数据共享的信任度，加强机制以提高数据可用性，并克服重新使用数据的技术障碍，特别是在与公共部门的合作方面。特别是，《数据治理法》允许新的数据中介作为可信赖的角色参与数据经济，并制定了规则以促进数据公益。 D. 《数字运营弹性法》 2022 年 12 月 14 日关于金融部门数字运营弹性的第 2022 / 2554 号条例 (EU) (“数字运营弹性法案” or “DORA”),[5]which focuses on preventing and mitigating cyber threats，于2023年1月16日生效，并将于2025年1月17日起适用于金融机构（包括信贷和支付机构、电子货币机构、加密资产服务提供商）以及信息技术领域（"ICT“) 第三方服务提供商。 特别是在金融科技领域，金融实体的管理机构将负责定义、批准和监督ICT风险的管理。金融实体还将有责任向相关监管机构报告重大ICT相关的事件。此外，《数字化运营风险管理框架》（DORA）还包含了与ICT第三方服务提供商与金融实体之间签订的合同安排相关的具体要求。 E. 数据法 2023 年 12 月 22 日 ， 关于公平获取和使用数据的统一规则的第 (EU) 2023 / 2854 号条例[6]被刊登在欧盟官方期刊上。大部分数据法案的规定将于2025年9月12日生效，但有些规定将分别于2026年9月12日和2027年9月12日生效。 在《数据法案》的关键措施中，条例要求制造商和服务提供商允许其用户（公司或个人）访问并重新利用由使用其产品或相关服务生成的数据。此外，《数据法案》旨在简化向第三方共享用户数据以及转换提供者（可移植性）。最后，条例禁止在数据共享中使用不公平的合同条款。 F. 《网络复原法》 2022 年 9 月 15 日关于数字元素产品网络安全要求法规的提案(“网络弹性法提案旨在保护消费者和企业免受缺乏安全功能的产品的影响，从而确保更高的网络安全水平。 特别是在提案中引入了对在欧盟内生产、进口和分销具有数字元素产品的制造商、进口商和分销商的强制性网络安全要求和义务。任何产品中存在的漏洞或任何影响其安全性的事件都必须由制造商报告给欧洲网络安全局（EU Agency for Cybersecurity）“ENISA）。关键产品（例如，操作系统、防火墙或网络接口）将受到特定合规程序的约束。 本提议如获采纳，将在所有成员国直接适用。违反制裁的处罚将根据具体的违规行为而定（最高可达1500万欧元或公司前一财政年度全球总营业额的2.5%，以较高者为准）。 2023年11月30日，理事会和欧洲议会就提出的法规达成了临时协议。该协议现已提交欧洲议会和理事会正式批准。一旦获得批准，公司将有两年时间适应新的要求。 G. EDPB 指南 EDPB 更新了有关各种主题的现有指南 ， 包括 ： i.关于 GDPR 下行政罚款计算的指南 04 / 2022,[7]旨在为监管当局的罚款设置提供清晰透明的基础。 ii.关于 GDPR 第 65(1)(a) 条的适用的指南 03 / 2021,[8]旨在根据《欧洲联盟基本权利宪章》、GDPR及相关规定阐明适用的法律框架和主要程序阶段。 iii.关于在执法领域使用面部识别技术的指南 05 / 2022,[9]旨在告知有关面部识别技术及其在执法情境下的适用法律框架（特别是执法指令）的相关属性。 iv.关于识别控制器或处理器的牵头监管机构的指南 8 / 2022,[10]旨在更新先前版本的这些指南，因为需要进一步澄清，特别是在共同控制人背景下“主要建立机构”的概念，并考虑EDPB 2020年第07号指南中关于控制器和处理者的概念。 v.关于数据主体权利的指南 01 / 2022 - 访问权,[11]旨在就如何在实践中落实准入权提供指导。 vi.GDPR 下的个人数据泄露通知指南 9 / 2022,[12]旨在更新之前版本的这些指南，因为有必要对非欧盟机构涉及个人数据泄露的通知要求进行澄清。 vii.关于认证作为转让工具的准则 07 / 2022,[13]旨在为基于认证将个人数据转移到第三国或国际组织的数据转移提供关于GDPR第46条第2款第（f）项的应用指南。 viii.关于第3条应用与第五章国际传输规定之间互动关系的指南（GDPR，2021年5月）,[14]旨在澄清欧洲数据保护委员会（EDPB）认为应适用第五章要求的情景。为此，EDPB已识别出三项累积性标准，以将数据处理操作认定为跨境传输。 ix.关于社交媒体平台界面中欺骗性设计模式的指南 03 / 2022 ： 如何识别和避免它们,[15]旨在为社交媒体提供者（作为社交媒體的控制方、设计者和使用者）提供实用建议，以评估并避免侵犯GDPR要求的所谓“欺骗性设计模式”在社交媒体界面中的使用。 EDPB 还发布了公众咨询指南 ， 包括 ： i.关于电子隐私指令第 5 (3) 条的技术范围的指南 2 / 2023[16]旨在对《电子隐私指令》第5(3)条的应用范围进行技术分析，即明确“存储信息或获取存储在订阅者或用户终端设备中的信息”这一短语所涵盖的内容。 ii.关于第 37 条执法指令的第 01 / 2023 号准则[17]旨在为欧盟成员国主管当局向第三国当局或执法领域内有相关能力的国际组织转移个人数据的《执法指令》第37条的应用提供指导。 二、监督机构的执行情况 在2023年，欧盟《通用数据保护条例》（GDPR）和欧洲议会及理事会于2002年7月12日发布的关于电子通信领域个人数据处理和隐私保护的第2002/58/EC号指令（“电子隐私指令”)[18]继续被成员国监督当局应用和执行，并对违规者处以巨额罚款。我们列出了2023年发布的以下重要罚款： •2023年6月15日，法国监督机构对一家全球广告技术巨头因多项与定向广告实践相关的GDPR违规行为处以4000万欧元的罚款。[19]该公司专注于“行为再营销”，即通过跟踪互联网用户的导航行为来展示个性化广告。特别是，当局认为该公司未能证明数据主体给予了同意。 •2023年9月28日，意大利监督机构对一家电力和天然气供应商处以1000万欧元的罚款，原因是该供应商通过处理不准确且过时的客户数据激活了未经请求的合同，在自由市场中进行操作。[20]该机构还下令采取纠正措施，如实施合同准确性验证系统、预警系统以识别不当的数据采集行为，并加强针对销售代理的审计程序。 •2023年4月13日，意大利监督机构对一家电信巨头因非法处理数百万个人数据用于营销目的（具体而言是未经任何同意或即使被呼叫个体已在公共退出登记簿上）处以760万欧元的罚款。[21] •2023年10月5日，克罗地亚监督机构对一家债务催收公司处以547万欧元的罚款，原因是该公司缺乏适当的技术措施来保护个人数据、缺乏合法依据以及未能向数据主体告知其健康数据和电话记录的处理情况。[22] •法国监督机构于2023年4月17日发布了一项决定，对一家面部识别公司处以520万欧元的罚款，原因是该公司未能遵守2022年10月作出的禁令。早在2022年10月，该机构就对该公司处以2000万欧元的罚款，并要求该公司不得在没有法律依据的情况下收集和处理法国个人的数据，并在回应数据访问请求后删除这些个人的数据。该禁令还附带了延迟一天支付10万欧元的罚款，为期两个月。机构认为该公司未遵守该命令，并对其处以逾期罚款。[23]. •2023年6月12日，瑞典监督机构对一家提供音频流媒体服务的公司因访问权利方面的不足之处处以5800万瑞典克朗（约合490万欧元）的罚款。[24]该机构认为，该公司未提供关于在个人提出访问请求时如何使用个人数据的信息，并指出这些信息必须易于理解。此外，如技术性质等难以理解的个人数据不仅需要用英语解释，还可能需要用个人自己的语言进行解释。 本土语言。权威机构进一步发现，在调查的三项投诉中有两项涉及的访问请求处理方面，该公司存在失败。 •2023年8月28日，瑞典监督局对该保险公司因在其在线平台上泄露数十万客户敏感数据而罚款3500万瑞典克朗（约300万欧元）。[25] •2023年7月28日，西班牙数据监督机构对一家银行因未遵守设计内置和默认的数据保护要求以及未实施适当的安全措施以应对潜在风险，处以250万欧元的罚款。[26] •2023年5月4日，克罗地亚监督机构对一家债务催收公司处以226万欧元的罚款。调查发现该公司的三项违反《通用数据保护条例》（GDPR）的行为，具体包括未向数据主体通报数据处理活动、未与数据处理器签订数据处理协议以及未采取适当的技术和组织措施。[2