Nota Sign安全合规白皮书

目录 1.1 背景 ---------------------------------------------------------------------------------------------------------------- 11.2 目的和范围 ------------------------------------------------------------------------------------------------------- 11.3 术语 ---------------------------------------------------------------------------------------------------------------- 2 二、法律与合规------------------------------------------------------------------------------------------------------------- 3 2.1 EU DPA 欧盟数据保护监管及立法 --------------------------------------------------------------------------- 32.1.1 EDPB（欧洲数据保护委员会）--------------------------------------------------------------------------- 32.1.2 DPC 爱尔兰数据保护委员会 ---------------------------------------------------------------------------- 52.1.2.1 大型科技公司的主要监管机构---------------------------------------------------------------- 52.1.2.2 典型案例 ------------------------------------------------------------------------------------------ 62.1.3 CNIL法国 --------------------------------------------------------------------------------------------------- 62.1.3.1 监管重点：Cookie及机构在线追踪技术 ----------------------------------------------------- 72.1.3.2 典型案例：对 Google 的处罚案例 ------------------------------------------------------------ 72.1.3.3 企业合规启示 ------------------------------------------------------------------------------------ 82.1.4 BfDI 德国 -------------------------------------------------------------------------------------------------- 82.1.4.1 典型案例 ------------------------------------------------------------------------------------------ 92.1.5 ICO 英国 --------------------------------------------------------------------------------------------------- 92.1.5.1 注册制 -------------------------------------------------------------------------------------------- 102.1.5.2 典型案例 ----------------------------------------------------------------------------------------- 102.1.6 AEPD 西班牙（Agencia Española de Protección de Datos）------------------------------------ 112.1.6.1典型案例------------------------------------------------------------------------------------------ 112.2 欧盟《通用数据保护条例》（GDPR）简介--------------------------------------------------------------------- 122.2.1 GDPR 处罚案例专题 ------------------------------------------------------------------------------------ 132.2.1.1 Meta因非法收集生物识别数据向德克萨斯州支付14亿美元赔偿 --------------------- 132.2.1.2 爱尔兰数据保护委员会对LinkedIn开出3.36亿美元罚单 ------------------------------- 142.2.1.3 Uber因未妥善保护司机数据被罚款3.24亿美元------------------------------------------ 14 2.2.1.4 Meta因密码管理不当被罚款1.02亿美元--------------------------------------------------- 142.2.1.5 利哈伊谷健康网络因数据泄露达成6500万美元和解 ------------------------------------ 142.2.1.6 万豪酒店就大规模数据泄露达成5200万美元和解--------------------------------------- 152.2.1.7 23andMe因数据泄露同意支付3000万美元和解 ---------------------------------------- 152.2.1.8 T-Mobile就数据泄露事件支付1575万美元和解金 --------------------------------------- 152.2.1.9 AT&T就云数据泄露支付1300万美元和解------------------------------------------------- 152.2.1.10纽约州从保险公司获得1130万美元和解金--------------------------------------------- 162.2.2 AI 产品处罚专题------------------------------------------------------------------------------------------ 162.2.2.1 OpenAI违反《通用数据保护条例》（GDPR）----------------------------------------------- 162.2.2.2 DeepSeek被全球数据保护机构启动调查并遭下架-------------------------------------- 172.2.2.3 Meta 被德国法院首判：可基于“合法利益”使用个人数据训练AI---------------------- 182.2.3 营销广告合规处罚专题 --------------------------------------------------------------------------------- 182.2.3.1 阿里速卖通DSA营销广告推送案调查 ------------------------------------------------------ 182.2.3.2 TCF 2.0 广告合规裁决：被裁定违反GDPR ------------------------------------------------ 192.2.4 欧洲数据跨境办法专题分析 --------------------------------------------------------------------------- 202.3 美国（America）------------------------------------------------------------------------------------------------- 242.3.1 CCPA 美国《加州消费者隐私法案》-------------------------------------------------------------------- 242.3.2 CPRA 美国《加州隐私权法案》------------------------------------------------------------------------- 262.3.3 14117号行政令------------------------------------------------------------------------------------------- 272.4 亚太区域（Aisa Pacific）-------------------------------------------------------------------------------------- 322.4.1 DEPA（数字经济伙伴关系协定）----------------------------------------------------------------------- 332.4.2 APEC-CBPR（跨境隐私规则）-------------------------------------------------------------------------- 342.4.3东盟（ASEAN）-------------------------------------------------------------------------------------------- 342.4.3.1东盟数据管理框架（东盟 ADMF）------------------------------------------------------------- 352.4.3.2《东盟数据自由流动》（东盟 AFCC）----------------------------------------------------------- 352.4.4亚太地区国家个人信息保护相关法律法规（Asia Pacific Phase1）------------------------------ 362.4.4.1 新加坡《个人数据保护法》（PDPA ）---------------------------------------------------------- 362.4.4.2 马来西亚《2010年个人数据保护法案》马来西亚-----------------------------------------