跳转到主要内容

欢迎访问我们的数据保护公告,介绍2022年7月起数据保护法的关键发展。

数据保护

  • 《数据保护和数字信息法案》提交议会
  • ICO推出ICO25咨询战略计划草案
  • 美国和英国就数据访问协议发表的联合声明
  • 欧洲议会正式通过《数字市场法案》和《数字服务法案》
  • 个人数据问题,以供向中国大陆提供服务的香港企业考虑

网络安全

  • ICO呼吁政府停止在WhatsApp上开展业务。
  • ICO和NCSC建议不要在联名信中支付勒索软件要求

执行

  • ICO调查人工智能系统是否显示种族偏见:
  • Amazon因在Cookies上滑倒而被勒令支付3500万欧元。
  • Facebook受到欧盟数据处理的威胁。
  • banDenmark因GDPR不合规而禁止谷歌工作区。
  • 希腊监管机构罚款Clearview 2000万欧元,并命令删除生物识别数据。
  • Garante警告TikTok Italy和TikTok Technology与基于合法利益的计划广告活动有关
  • CNIL罚款总计1000000欧元

民事诉讼

  • DSG Retail Limited诉ICO案(EA/2020/0048,2022年7月6日)
  • CJEU AG对数据主体访问请求的回应设定了高标准
  • 杜奇法院关闭了VoetbalTV案,但GDPR合法权益的平衡尚未恢复

数据保护

向议会提交数据保护和数字信息法案(UK)

2022年7月18日,《数据保护和数字信息法案》(“法案”)提交议会。该法案的目的是更新和简化英国的数据保护框架,英国政府希望该框架能够减轻组织的负担,同时保持高数据保护标准。在本摘要中,我们概述了法案提出的主要变更。

个人资料的定义

该法案保留了英国GDPR对个人数据的基本定义,即与已识别或可识别个人有关的任何信息。然而,该法案明确规定了何时应将个人视为“可识别的”,使其信息成为个人数据。与任何人手中的可识别性不同,只需考虑控制者或处理者或其他有合理可能接收信息的人是否有合理可能识别个人。这种更加主观的可识别性方法可能会缩小个人数据的范围。

处理的合法性

该法案列出了一些“公认”的合法权益,这些权益不需要完成评估,以平衡数据主体的权益与组织的合法权益。目前提议的清单包括“公共利益”事项,如国家安全、公共安全、国防、紧急情况、预防犯罪、保障和民主参与。根据现行法律,如果合法权益基础被视为处理数据的合法依据,则必须在所有情况下评估数据主体的权益。

限制原则的目的

英国GDPR中的目的限制原则规定,个人数据应为特定、明确和合法的目的收集,不得以与这些目的不兼容的方式进一步处理。条例草案澄清,控制人只需判断目的是否符合其本身获取个人资料的目的,而无须判断该等资料最初由第三者获取的任何目的。它还引入了其他场景,用于新目的的处理将与原始目的兼容,包括使控制器能够遵守其法律义务。

无理取闹的或过度的请求以及响应访问请求的时间限制

根据英国GDPR,拒绝数据主体访问请求(“DSAR”)的“明显无根据或过度”阈值被替换为“无理取闹或过度”的阈值。这是为了减轻企业的负担,因为新的门槛扩大了拒绝DSAR的情况。此外,该法案在确定请求是否符合新的阈值时引入了若干因素,例如控制人的资源、旨在造成痛苦或并非善意提出的请求以及滥用程序的请求。

向数据主体提供的信息

该法案使企业在处理用于研究、存档或统计目的的个人数据时遵守透明度义务的难度降低。即使数据是从第三方获得的,如果不可能或需要不成比例的努力,也不需要提供透明度信息。英国GDPR已包含类似条款,但仅适用于未直接从数据主体获取个人数据的情况。

自动决策

根据英国GDPR,数据主体有权不受制于完全基于自动决策的决策。该法案放宽了这一要求,只限制涉及特殊类别数据处理的自动决策。必须为此类决策制定额外的保障措施,例如,质疑决策的能力,以及向数据主体提供有关完全自动化决策的信息的要求。

英国以外的控制者或处者代表

该法案大大简化了合规性,取消了控制员和加工者在未在英国成立时任命英国代表的要求。

保存记录的责任

该法案规定控制员和加工者有义务保存其加工活动的记录,尽管内容要求没有目前那么规范。对这些要求的豁免也有所扩大。根据英国GDPR,目前的豁免是250人以下的组织在处理不太可能导致高风险、非偶然且不包括特殊类别或犯罪数据的情况下获得豁免。根据该法案,任何少于250人且不进行高风险处理的组织均可免于遵守记录保存要求,从而使这些企业在决定如何证明责任方面拥有更大的自主权。

在处理之前咨询ICO

该法案取消了英国GDPR下的咨询要求,该要求要求控制人在DPIA结果发现处理存在高风险且未采取措施降低风险时咨询ICO。

国际转移

向第三国和国际组织传输个人数据的制度大体上保持了英国GDPR下的现行制度。该法案没有在满足合法国际数据传输的法律要求方面给予更大的灵活性。然而,它确实引入了“数据保护测试”,让国务卿在制定适当法规时适用,出口商在依赖标准合同条款等保障措施将个人数据发送到海外时适用。这种基于结果的测试是,接受国司法管辖区的保护标准不得“严重低于”英国的标准。

为研究目的处理个人数据

该法案促进了为科学研究目的进行处理的广泛同意,并澄清了科学研究具有广泛的含义,包括私人资助的研究。

Cookie和类似技术

该法案将违反隐私和电子通信制度的罚款水平从目前的50万英镑提高到英国GDPR规定的水平;即年营业额的4%,即1750万英镑。它还扩大了cookie同意要求的豁免清单,不需要选择加入同意:(i)为了收集有关信息服务的统计信息,以便改进;(ii)为设备安装必要的安全更新;以及(iii)在紧急情况下识别个人的地理位置。

直接营销

英国GDPR的一般规则是,用于直接营销目的的电子邮件需要事先同意,除非组织已经获得了之前销售或提供商品或服务的个人的联系方式(有权选择退出)。该法案旨在将这种软选择适用范围扩大到非商业组织,以促进慈善、政治或其他非商业目的,前提是这些组织已从表达兴趣的个人处获得联系方式。

执行权

该法案保留了英国数据保护法的基本框架,并不代表与欧盟数据保护法有根本的背离。然而,随着该法案在议会获得通过(议会休会后的秋天将进行二读),任何进一步的变化都可能威胁到英国的适足地位,这可能会给在欧盟运营的英国企业造成巨大的行政障碍。

斯蒂芬森·哈伍德(Stephenson Harwood)的数据保护合伙人凯蒂·休森(Katie Hewson)表示担心,偏离当前法律框架太远可能会威胁英国的充分性地位,并评论说“这可能会给在欧盟运营的英国企业造成巨大的行政障碍”。

ICO发布ICO25战略计划草案供咨询

2022年7月14日,ICO发布了其三年战略计划草案ICO25。ICO25包含四个战略目标:(i)保护和赋予人民权力;(ii)增强负责任的创新和可持续经济增长能力;三促进公开、透明和问责制;(iv)持续发展ICO的文化、能力和能力。ICO25还包括一项年度行动计划,规定了ICO来年的优先事项。ICO目前正在就ICO25中所述的宗旨、目标和绩效指标进行咨询。咨询将于2022年9月14日结束,调查结果将用于通知ICO25计划的最终版本,该计划将于秋季发布。要访问视图调用,请单击此处。

美国和英国就数据访问协议发表联合声明

美国和英国发布了一份联合声明,阐明了一项旨在打击严重犯罪的数据访问协议(“协议”)将于2022年10月3日生效的意向。该协议将允许各国的调查人员更好地访问重要数据,以打击严重犯罪。每个国家的服务提供者所持有的与严重犯罪有关的信息和证据也将更容易获得。联合声明还澄清,该协议将维持民主和公民自由标准,但鉴于美国和英国当局将拥有访问个人数据的额外权力,尚不清楚该协议是否会对英国的欧盟适足地位产生任何影响。

欧洲议会正式通过《数字市场法》和《数字服务法》

2022年7月5日,欧洲议会正式通过了由《数字市场法》(“DMA”)和《数字服务法》(“DSA”)组成的数字服务一揽子计划。DMA将监管在欧盟运营的最大在线平台提供的主要服务,并要求这些平台(称为守门人)在日常运营中履行一系列义务和禁令,以确保公平和开放的数字市场。DSA将通过建立一个强大的透明和问责网络,并根据在线公司的角色和规模,对在线平台如何处理非法或潜在危害进行监管。DSA和DMA现在必须由欧盟理事会正式通过,然后在官方刊物上发表。这些法案预计将于今年晚些时候生效。

香港企业向中国大陆提供服务时应考虑的个人数据问题

史蒂芬森·哈伍德(Stephenson Harwood)的香港办事处与伟图律师事务所(Wei Tu)最近发布了一份简报,介绍了个人数据问题,这些问题对在香港(“HK”)经营的企业非常重要,这些企业向中国大陆(“PRC”)内的个人提供服务。中国的主要数据保护立法是《个人信息保护法》(“PIPL”),在香港是《个人数据(隐私)条例》(“PDPO”)。简报包括:

  • 中国和香港以外的业务必须遵守PIPL和PDPO的程度;
  • 企业在获得处理个人数据的同意后应采取的步骤;
  • 处理员工个人数据的建议;
  • 违反PIPL和PDPO的后果;和
  • 与跨境传输个人数据有关的要求。
  • 要完整阅读简报,请单击此处。

网络安全

ICO呼吁政府停止在WhatsApp上开展业务

ICO发布了一份报告,详细介绍了一项长达一年的调查,调查了卫生和社会保健部(DHSC)部长和官员在疫情期间使用私人通信渠道(包括私人电子邮件和WhatsApp)的情况。调查发现,由于缺乏明确的控制,以及短信应用的使用迅速增加,与政府应对疫情相关的重要信息丢失或处理不安全。ICO认识到,在整个大流行期间使用私人渠道带来了一些实际的运营效益,但有人担心,这种做法在没有对其适当性或风险进行任何审查的情况下仍在继续。ICO提出了几项建议,包括命令DHSC改善对信息自由申请的管理,解决现有信息自由指南中的不一致之处,并呼吁政府对私人通信渠道进行审查。根据GDPR还发布了一项谴责,要求DHSC改进其通过私人通信渠道处理个人信息的流程和程序。

ICO和NCSC建议不要在联名信中支付勒索软件要求

ICO和国家网络安全中心(NCSC)已联名致函律师会和律师协会理事会,提醒法律界人士建议客户在发生网络攻击时不要支付赎金。ICO已澄清,向攻击IT系统的犯罪分子支付款项不会被视为降低数据泄露所涉及个人的伤害风险,因此不会减少ICO执法行动产生的任何处罚。然而,ICO认识到风险的缓解,当组织试图充分了解和了解发生的情况时,他们已经在适当的情况下向NCSC提出了事件,或者可以证明遵守了适当的NCSC指导和支持。

执行

ICO调查人工智能系统是否存在种族偏见

ICO已经宣布,它计划调查人工智能系统在处理工作申请时是否表现出种族偏见。

ICO表示,人工智能驱动的歧视可能会“对人们的生活造成破坏性后果”,包括导致某人被拒绝工作或错误地拒绝银行贷款。ICO将调查“对使用算法筛选招聘申请的担忧,这可能会对来自不同背景的人的就业机会产生负面影响,”ICO说。

英国《全球数据保护法》第22条规定,数据主体“有权不受仅基于自动处理(包括特征分析)的决定的约束,该决定会对其产生法律影响,或对其产生类似的重大影响”,此类行为可能会触犯(也可能违反其他立法,如2010年《平等法》)。

亚马逊将不得不支付3500万欧元用于购买Cookie

亚马逊未能说服法国最高国家法院国务委员会,推翻法国监管局(“CNIL”)2020年12月的决定,该决定因亚马逊违反《法国数据保护法》规定的义务而处以3500万欧元的罚款,以获得部署cookie的明确同意,从而实现针对个人公民的个性化定向广告。CNIL认为,“[亚马逊]提供的信息在该网站的信息横幅中既不清楚也不完整”,并且“仅包含对所有cookie用途的一般和近似描述,没有详细说明其作用[定向广告]、拒绝权以及如何拒绝”。这一决定,以及在亚马逊纠正了已识别问题的情况下实施的重大罚款,向科技公司发出了一个重要的提醒:CNIL越来越注重保护互联网用户的隐私。

Facebook威胁欧盟数据处理禁令

随着爱尔兰隐私监管机构爱尔兰数据保护委员会(DPC)加倍下达命令,阻止Facebook向美国传输数据,Facebook面临着在整个欧盟被阻止的威胁,除非它对其数据处理进行根本性改变。

在一项有待其他欧洲数据保护机构审查的决定草案中,DPC告诉Facebook,其目前的设置违反了GDPR规则,并打击了Meta(Facebook的母公司)向美国传输大量数据的最后法律手段。

2020年,欧洲法院(ECJ)由于担心美国的监视做法,宣布欧盟-美国数据流协议隐私保护无效。这一裁决(通常称为Schrems II判决也使得使用标准合同条款(SCC)将个人数据传输到美国更加困难。DPC的决定现在意味着Facebook也可能被迫停止依赖SCC。

Meta一再警告称,这样的决定将关闭其在欧洲的许多服务,包括Facebook和Instagram。在提交给美国的文件中。美国证券交易委员会(SEC)于2021 3月表示:“如果不采用新的跨大西洋数据传输框架,我们无法继续依赖SCC或其他从欧洲到美国的数据传输替代手段,我们很可能无法在欧洲提供一些最重要的产品和服务,包括脸书(Facebook)和Instagram”。

这一阻止令如果得到欧洲国家数据保护监管机构的确认,也可能对更广泛的商业界产生连锁反应,因为在欧洲法院2020年裁决后,欧洲向美国发送数据的方式存在不确定性

这项决定草案也是在欧盟和美国就一项新的数据传输文本进行谈判的背景下做出的,该文本将允许像Meta这样的公司继续跨大西洋传输数据,而不管爱尔兰订单如何。2022年3月,双方在政治层面达成了初步协议,但有关法律细节的谈判已陷入僵局,据了解,年底前不太可能达成最终协议。

丹麦禁止谷歌工作区违反GDPR

丹麦监管局(“Datalisynet”)已成为最新一家发现谷歌工作区生产力套件的使用与GDPR不兼容的欧洲监管机构,原因是谷歌不符合国际数据传输标准。Datalisynet已全面禁止使用Google Workspace处理个人数据,直到进行了充分的文档和影响评估,并且处理操作符合GDPR。

Datalisynet的裁决是在丹麦东北部赫尔辛格尔市的小学对个人数据处理进行风险评估之后做出的,并将要求该地区所有公共部门组织从2022年8月起停止使用谷歌工作区,其中包括GMail和谷歌文档应用套件,以及Chromebook笔记本电脑。Datalisynet还表示,不遵守禁令的当事人可能会被监禁。

希腊监管机构对Clearview处以2000万欧元罚款,并下令删除生物识别数据

面部识别平台Clearview AI因其面部识别服务违反GDPR的若干条款而被欧洲另一家数据监管机构罚款2000万欧元(合2010万美元)。与英国、意大利和法国的监管机构一样,希腊监管机构也禁止Clearview处理居住在希腊的人的个人数据。它还命令它删除已经收集到的关于希腊公民的任何数据。

该决定涉及2021的一系列事件,从数据主体Marina Zacharopoulou于2021 3月提出的请求开始,以了解Clearview从公共互联网页面上刮取的图像数据库中有哪些她的数据。

据希腊代理机构称,该请求已得到确认,但Clearview在4月份回复了一封提醒邮件,称无法找到原始请求,并要求在过程中使用照片。该公司注意到一个格式问题,这可能是难以找到初始电子邮件的原因。这促使数据主体向监管机构投诉。

监管机构发现Clearview违反了GDPR,并鉴于“侵权的性质、严重性和持续时间,这不是一个孤立的事件,但它是系统性的,涉及其合法性处理的基本原则”,对其处以相当大的罚款,包括“缺乏合作”,Clearview因此拒绝出席关于此事的听证会。

作为回应,Clearview提出了与其他欧洲监管机构针对他们采取的行动相同的论点:在回应该决定时,Clearview的首席执行官Hoan Ton表示:“Clearview AI在希腊或欧盟没有营业场所,在希腊或欧洲没有任何客户,其产品从未在希腊使用过,并且不从事任何可能意味着其受GDPR约束的活动。”。

Garante警告TikTok Italy和TikTok Technology与基于合法利益的计划广告活动有关

意大利监管机构(“Garante”)最近根据GDPR第58(2)条和意大利数据保护法第154(1)(f)节向TikTok发出正式警告,根据其“合法利益”处理存储在用户设备中的数据将与当前监管框架(指令2002/58/EC第5(3)条和国家法律)相冲突,该框架:明确说明数据主体的同意是“在订户或用户的终端设备中存储信息或获取已存储信息”的唯一法律依据。

Garante还担心为保护在平台上注册的儿童用户而采取的措施,考虑到TikTok在实施适当的年龄验证措施以访问时遇到的困难,以及基于公司的合法利益,“个性化”广告(包括内容不合适的广告)将对14岁以下的儿童可见的相关风险。

担保公司保留在证明必要时采取额外措施的权利,包括紧急措施。鉴于Garante正在进行评估,TikTok拒绝进一步置评,但已确认其承诺“尊重我们用户的隐私,对我们的隐私做法保持透明,并遵守所有相关法规。”

CNIL罚款总计1000000欧元

CNIL已对法国能源公司Totalenergies France处以100万欧元的罚款,该公司在发现18起投诉中多次违反GDPR。这些违规行为包括:未能响应数据主体的访问请求(例如,未能披露收集个人数据的时间和方式);响应访问和删除请求;或者提供出于营销目的反对处理的选项。

民事诉讼

DSG Retail Limited诉ICO(EA/2020/0048,2022年7月6日)

高级法庭最近在DSG Retail Limited诉ICO案(EA/2020/0048,2022年7月6日)中做出判决,该判决是由于DSG Retire Limited(“DSG”)对信息专员于2020年1月7日发布的罚款通知(“MPN”)提出上诉,罚款DSG 500000英镑,这是1998年《数据保护法》规定的最高金额,针对2017-8年重大数据泄露事件中的大量数据安全故障。

第一法庭(“FTT”)裁定,尽管MPN“在法律上是错误的”,但250000英镑的罚款是适当的。FTT采用了一种“整体方法”[…]来遵守[第七项数据保护原则”(“DPP7”)(即“允许”在行使判断时有一定程度的宽容的义务),并拒绝将违约后补救行动视为早期违反DPP7的迹象。

DPP7要求组织采取适当的技术和组织措施,防止未经授权或非法处理个人数据,防止个人数据意外丢失、破坏或损坏。在ICO在MPN中依赖的十个违反DPP7的行为中,FTT发现只有两个是根据事实做出的(与DSG未能维护最新的安全补丁和DSG的密码策略问题有关,这些问题已向DSG的高级管理层提出,但未得到纠正)。鉴于因DSG的行为而面临风险的个人数据的性质和数量,FTT征收了巨额罚款,尽管有所减少。

CJEU AG为响应数据主体访问请求设置了高标准

总检察长Giovanni Pitruzzella(“AG”)最近就《GDPR》第15条下个人访问权的解释发表了意见(“意见”)。具体而言,根据《全球数据保护条例》第15(1)(c)条,本意见涉及个人访问“个人数据已披露或将披露给的接收方或接收方类别”信息的权利。专家组在案件C-154/21(“本案”)的背景下发表了意见,该案件目前正由欧洲法院审理。虽然欧洲法院不一定遵循该意见,但欧洲法院通常遵循AG的意见。

该意见规定:

《GDPR》第15(1)(c)条的措辞本身不足以对所提及的问题提供明确的答案,指出:(i)第15条第(1)(b)款中连续使用了“接收者”和“接收者类别”这两个术语,没有任何优先顺序,(ii)第15(1)(c)条未明确规定是否可以在“接收者”或“接收者类别”之间做出选择,或者谁(即数据主体或数据控制者)可能有权做出此类决定;然而,访问权的主要目的是使数据主体了解涉及其个人数据的处理活动,并验证此类处理的合法性,包括个人数据仅向授权接收人披露。专家组认为,将信息限制在接收者类别内不允许数据主体实现该目的;GDPR要求数据控制器响应数据主体访问请求,识别数据主体个人数据的特定接收者,并警告在至少两种情况下,控制器可以使用仅限于接收者类别的信息进行响应,即:(i)如果实质上不可能提供特定接收人的详细信息(如果控制人未确定接收人,则可以适用),或者(ii)如果请求明显没有根据或过多(证明这一点的责任由控制人承担)。

如果CJEU遵循AG的意见(如上所述,通常如此),则各组织在响应数据主体访问请求时可能会理所当然地确定个人数据的特定接收人。对许多组织而言,有效识别和映射个人数据披露的特定接收者将大大增加他们的行政负担。因此,CJEU的裁决需要更明确地说明对控制人的期望可能会提高。

荷兰法院结束了VoetbalTV案,但与GDPR合法利益的平衡尚未恢复

荷兰国务委员会行政管辖区(“RvS”)在VoetbalTV诉荷兰数据保护局(“DPA”)案中公布了其判决,该判决驳回了DPA的上诉,该上诉对Voetbalt处以575000欧元的罚款,理由是“非法”依据《GDPR》第6(1)(f)条中的合法利益理由处理纯粹出于商业目的的个人数据通过沿场地安装的摄像系统播放业余足球。该罚款已于2020年被一审法院取消。

本案的核心问题是什么确切地构成合法权益,以及在什么条件下为此目的处理个人数据是合法的。RvS裁定,处理数据的组织必须说明其利益所在,以及为什么需要处理该数据,然后由DPA评估数据控制员的实际活动,这些利益是否对应于所述利益,这些利益是否由数据处理服务,以及这些利益是否合理。

在发现罚款是错误的情况下,RVS发现荷兰DPA没有正确评估VoetbalTV提出的所有利益,因此没有意识到这些利益并非严格的商业性质。重要的是,荷兰DPA拒绝讨论纯粹的商业利益是否可以作为有效的合法利益,但没有关闭这一大门,而是选择将这一问题提交给CJEU。

本文:https://cioctocdo.com/data-protection-update-july-2022