垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 1 全球数据立法动态 加州州长于2021年10月5日批准了关于隐私和消费者保护的第694号议会法案。该法案修订了2018年《加州消费者隐私法》('ccpa')第1798.140条,增加了'广告和营销'、'同意'和黑暗模式的定义,并修订了某些其他定义,如商业、商业目的和承包商。具体而言,该法案将同意定义为任何自由给予的、具体的、知情的和不含糊的消费者意愿的表示,消费者或其法定监护人以此表示同意为狭义的特定目的处理与消费者有关的个人信息。 此外,该法案对ccpa第1798.145条规定的例外情况做了某些修正,并澄清了2020年加州隐私权法案中关于加州隐私保护局规则制定时间的某些规定。 该法案的规定将于2022年1月1日生效。 全球数据合规周刊 数据 | 热点 | 动态 | 海外 美国加州/州长/ccpa/修订法案/签署 2021.10.11 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 2 美国总统乔-拜登于2021年10月8日签署了《2021年k-12网络安全法》,使之成为法律。该法案强调了通过实施强有力的网络安全实践来保护美国各地学校所维护的敏感信息的重要性。此外,该法要求网络安全和基础设施安全局('cisa')研究中小学面临的网络安全风险,并制定旨在帮助学校面对这些风险的网络安全指导方针,然后在自愿的基础上采用。此外,该法命令cisa揭示学校在确保安全方面所面临的挑战: ⚫ 这些学校拥有、租赁或依赖的信息系统;以及 ⚫ 敏感的学生和雇员记录。 ⚫ 最后,在研究完成后,法律要求cisa: ⚫ 开发一个为学校官员设计的在线培训工具箱; ⚫ 在国土安全部('dhs')的网站上公布研究结果、网络安全指南和工具包。 2021年10月8日第139号法令,通过了关于参加文化、体育和娱乐活动以及公共行政组织和保护个人数据的紧急规定,于2021年10月8日在官方公报上公布,并于次日生效。该法令在之前的公告中对《个人数据保护法》的一些条款进行了修订,其中包含了使国家立法适应gdpr的条款,规定公共行政部门以及公共控制的公司处理个人数据,如果是为了完成为公共利益而开展的任务或行使公共权力所必需,则始终允许。此外,该法令规定,这些实体也可以为公共目的在它们之间(有限的例外)分享个人数据,并向打算为其他目的处理数据的第三方分享。 美国/总统/网络安全/法案/签署 2021.10.11 意大利/官方公报/数据保护法关于为公共目的处理/法令/公布 2021.10.11 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 3 此外,该法令剥夺了意大利数据保护机构("garante")规定强制性措施的权力,以保证数据主体的利益,当处理是出于公共目的并根据gdpr第35条产生高风险时,此外,它取消了为确定和打击犯罪而保留电话和交通数据的要求,以符合garante制定的上述措施。 此外,该法令还引入了新的条款,涉及到garante在报复性色情问题上的权力。最后,该法令规定,担保人就国家恢复和复原计划(pnrr)发表意见的期限缩短为30天。 希腊数据保护局('hdpa')应公民保护部的要求,于2021年9月1日发布了第6/2021号意见('意见'),内容是关于题为'采取措施执行理事会2008年6月23日关于加强跨境合作,特别是打击恐怖主义和跨境犯罪的第2008/615 / jha号决定'的总统令草案('总统令')。《意见》指出,该总统令草案的主题涉及处理个人数据,包括生物识别数据(遗传指纹和指纹),以实现上述2008年6月23日理事会第2008/615 / jha号决定("决定")的目的,即促进和改善信息交流以及成员国对国家dna自动记录、自动指纹识别系统和车辆登记册的相互访问。此外,《意见》还指出了总统令草案中需要改进和/或澄清的具体要点。其中,《意见》指出,在总统令草案第6条中,省略了《决定》第1条和本总统令草案第1条中描述的预防和调查刑事犯罪的一般目的,明确说明或提及处理个人数据的具体目的会更安全。此外,第7条规定了经授权后为另一目的进行的处 希腊/hdpa/处理个人数据/法律草案/意见 2021.10.11 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 4 理,但没有具体说明由谁授权,因此应明确该条是指希腊从另一成员国收到的数据,而授权是指提供数据的国家,在这方面,由于该决定还提到需要与国家法律保持一致,这些不同的目的应在希腊立法中加以界定。 印度数据安全委员会('dsci')于2021年10月12日发布了一份关于加密和数字经济的白皮书。该白皮书侧重于使用加密的好处和挑战,特别是其对隐私和国家安全的影响。更具体地说,白皮书考虑了印度和其他国家目前的监管情况,强调了在强制规定可追溯性要求或以其他方式监管加密的使用方面的法律和技术影响。在这方面,白皮书指出,虽然加密技术确保了不同领域的信息和通信的保护,但其使用将需要与执法工作保持平衡。因此,白皮书提出了一些建议供政策制定者考虑,如建立执法能力和建立明确的政府黑客攻击规则。 澳大利亚内政部("dha")于2021年10月13日发布了一项全面的行动计划,旨在应对勒索软件事件的上升。内政部确认,"具体的强制性勒索软件事件报告制度 "是一个优先事项。此外,内政部计划引入一套新的网络敲诈罪,这些罪行针对的是以关键基础设施为目标的犯罪分子,以及将交易被盗数据和买卖恶意软件的行为定为犯罪。此外,内政部还计划为所有形式的网络敲诈引入 印度/dsci/加密和数字经济/白皮书 2021.10.13 澳大利亚/dha/勒索软件/行动计划 2021.10.13 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 5 一个独立的罪行,以确保使用勒索软件的犯罪分子面临更多的最高刑罚。值得注意的是,作为《2020年安全立法修正案(关键基础设施)法案》的一部分,计划设立一个类似的 "针对寻求针对关键基础设施的网络犯罪分子的独立加重罪"。此外,该计划澄清了政府对勒索软件的立场,即不要支付赎金,因为不能保证丢失的信息会被恢复。 2021年10月12日,印度电信部('dot')通过推特宣布,电信工程中心('tec')已经发布了《消费者物联网('iot')安全实践守则》。该守则基于安全设计原则和国际最佳实践,为物联网制造商、服务提供商、移动应用开发商和零售商提供了基线要求。为此,该守则概述了保障消费者物联网设备安全的13条准则,包括: ⚫ 每个设备的默认密码应该是唯一的,并要求用户在安装时重新设置; ⚫ 制造商和服务提供商应提供一个专门的联络点来管理漏洞报告; ⚫ 软件组件应定期更新; ⚫ 凭证和其他个人信息应被安全地存储;以及 ⚫ 应建立机制,允许消费者在需要时删除其个人数据。 印度/dot/消费者物联网安全实践/守则 2021.10.14 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 6 数据安全与执法 西班牙数据保护局('aepd')于2021年10月8日发布了ps/00279/2021程序的决定,根据gdpr第6条,对orange espagne, sau的数据处理者jazztel违反同意的行为罚款30,000欧元。该决定强调,申诉人在2021年1月3日至3月3日期间共收到30个电话以及来自不同号码的短信,其中他们自称是jazztel的员工,尽管申诉人从来没有成为jazztel的客户,因此没有给予他们同意。此外,该决定指出,申诉人要求orange公司作为数据控制者从其记录中删除他们的电话号码,强调尽管他们确认这样做了,但申诉人继续收到电话和短信。最后,最初的50,000欧元的罚款在两次自愿支付的情况下被降至30,000欧元。 卢森堡数据保护局('cnpd')于2021年10月5日公布了其2021年8月5日第31/fr/2-21号审议意见。根据gdpr第5(1)(f)、32(1)(a)和32(1)(b)以及33(5)条,该局于2021年8月5日公布了第31/fr/2-21号审议意见,对一家未透露姓名的保险公司处以135,000欧元罚款。并命令该公司在收到cnpd决定的通知后两个月内使 西班牙/aepd对orange espagne的数据处理者违反gdpr同意的行为罚款30,000欧元 2021.10.11 卢森堡/cnpd对不知名的保险公司处以135,000欧元的罚款 2021.10.11 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 7 其处理活动符合gdpr第5(1)(f)、32(1)(a)和32(b)条。 审议意见中提到,没有记录个人数据的泄露,没有通知作为相关机构的cnpd,也没有通知数据主体,没有实施适当的安全措施,最后也没有将数据保护官('dpo')的联系信息传达给cnpd。更具体地说,cnpd注意到,它在数据泄露后收到了一份投诉,保险公司向一个错误的电子邮件地址发送了多封电子邮件,其中包括个人信息,如姓氏、关于特定疾病的问题、提供健康保险的医生的姓氏以及同一医生的地址。 除上述违规行为外,cnpd还确定该公司的行为还导致违反了gdpr第33(1)、33(5)、34(1)和37(7)条。此外,cnpd要求该公司实施适当的安全措施,以保护通过电子邮件发送的特殊类别数据,例如采用加密、强大的密码等措施,或考虑到技术水平和相关最佳做法的任何其他方法,以确保类似的保护水平。 希腊数据保护局("hdpa")于2021年8月26日宣布,决定对dixons south east europe违反gdpr第15(1)、12(1)、(2)和(3)条的行为罚款20,000欧元。投诉人在行使其访问权时,曾要求公司提供与他有关的内部通信,但公司拒绝了。 希腊/hdpa对dixons south east europe违反gdpr有关访问权的规定罚款20,000欧元 2021.10.12 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年10月15日 王捷、宋佳凯 8 希腊数据保护局('hdpa')于2021年8月26日宣布,决定对national bank hellas sa违反gdpr的行为罚款20,000欧元。hdpa指出,国民银行未能正确评估数据主体行使其访问权的请求,违反了gdpr第15(1)、12(1)、(2)和(3)条。 瑞典隐私保护局("imy")于2021年10月12日宣布,它将在歧视问题监察员("do")通报有关一项分析工具的个人数据事件后启动调查,该分析工具用于改善网站的用户友好性,但在某些情况下能够收集和存储个人数据,包括来自do网站上访客能够用来提交提示和投诉的表格。imy特别指出,它将在do进行现场检查,以调查发生了什么,事件的程度,以及采取了什么措施来防止它再次发生。 2021年10月13日,个人信息保护委员会('pipc')在一份公告中宣布,对违反《2011年个人信息保护法》(2020年修订)(pipa)的个人处以1000万韩元的罚款。pipc澄清说,该个人违反了pipa第25(4)条,该条规定了视觉数据处理设备的安装和操作要求,包括这些设备的安装目的和操作时间,并提交了一份关于违规的纠正令。 希腊/hdpa对希腊国家银行违反gdpr有关访问权的规定罚款20,000欧元 2021.10.12 瑞典/imy在接到do的个人数据事件通