【欧洲数据保护】数据保护更新–2022年9月

Data protection

• The government calls for an open consultation on unauthorised access to online accounts and personal data
• ICO issues guidance on Privacy-Enhancing Technologies
• Data Protection and Digital Information Bill paused as DCMS hints at further changes
• Retained EU Law (Revocation and Reform) Bill introduced to parliament

Cyber security

• Cyber Resilience Act proposed by the European Commission
• Electronic Communications (Security Measures) Regulations set to introduce tougher obligations for telecoms providers

Enforcement

• TikTok at risk of £27 million ICO fine for breaches of children's privacy laws
• ICO reprimands Virgin Media over DSAR response delays
• Record €405 million fine issued by Irish Data Protection Commission against Instagram
• EDPB rules on conflicting fines issued by two supervisory authorities

Civil litigation

• Belgian Market Court refers the Belgian Data Protection Authority's IAB Europe ruling to CJEU
• German court clarifies Schrems II application in relation to subsidiaries of US-parent companies
• CJEU Advocate General issues opinion on the relevance of EU GDPR in competition authority decisions

数据保护

政府呼吁就未经授权访问在线账户和个人数据进行公开协商

内政部已发出信息征集（“征集”），以寻求了解如何减轻个人在网络安全和网络犯罪方面的责任负担。

该呼吁的范围概述了，尽管有一系列立法，包括1990年《计算机滥用法》；英国一般数据保护条例（“UK GDPR”）；和《2018年数据保护法》（“DPA”）；帐户访问“仍然是一个严重的潜在漏洞，可能导致未经授权的访问和网络犯罪”。通话大纲中提出了这样做的原因，包括密码安全漏洞，但内政部寻求获得个人和企业对以下方面的意见：

未经授权访问在线账户和个人数据的相关风险和危害；目前为解决问题而采取的行动；以及应采取的解决问题的措施，以及由谁负责这些措施。

Call的一个有趣的特点是它强调企业需要适应个人安全负担增加的时代；建议在线帐户登录过程在默认情况下应该是安全的，而不是过度依赖于客户采取保护措施。正如我们在4月份的公告（此处）中所报告的，网络安全漏洞的频率继续增加，超过三分之一的英国企业在过去12个月内发现了网络攻击。该呼吁旨在支持政府制定新举措，通过更新英国的网络安全，保护公众在线。

可以在此处访问咨询，并在2022年10月27日之前提交答复。

ICO发布隐私增强技术指南

2022年9月7日，信息专员办公室（“ICO”）发布了匿名化、假名化和隐私增强技术指南草案（“指南草案”）的第五章。在2021 6月的公告中，我们讨论了指南草案的第一章（其中介绍了匿名化）；在2021 10月份的公报中，我们讨论了第二章（讨论匿名的有效性），并在2022年2月的公报中讨论了指南草案的第三章。

《指南草案》第五章重点介绍了隐私增强技术（“PET”），旨在为组织提供所需的帮助，以证明数据保护的设计方法。

《指南草案》将PET描述为“通过最小化个人数据使用、最大化数据安全和/或增强个人能力，体现基本数据保护原则的技术”。

《指南草案》将PET分为三个功能组：

• 减少个人可从合成数据等数据中识别性的PET。这些措施通过最小化处理的个人数据数量来降低风险，但就其性质而言，可能会降低数据的质量或效用，使其不属于真实数据。隐藏数据的PET，例如同态加密，它允许在不发现明文的情况下处理加密数据。分割数据集或对部分数据引入访问控制的PET。这种PET降低了可识别性风险，从而提高了加工的安全性。
• 《指南草案》详细解释了PET的工作方式以及数据控制员使用PET的方式，尤其是提高个人数据处理的安全性，并通过设计和默认方式证明数据保护。然而，《指南草案》也指出了PET可能存在的缺陷，例如潜在的不成熟市场和缺乏有效使用PET的专业知识。
• 《指南草案》解释说，PET可以允许公司在分析数据（包括敏感数据）的同时共享和合作，同时保持隐私。这将为大数据创新提供重要机会，同时又不损害此类公司的法律责任。

ICO关于《指南草案》的咨询将持续到2022年12月31日，本章可在此阅读。

数据保护和数字信息法案暂停，因为DCMS暗示有进一步的更改

在任命伊丽莎白·特拉斯为首相后，《数据保护和数字信息法案》（“法案”）的二读被推迟，以给部长们更多的时间审议该法案。在我们7月份的公告中，我们深入探讨了法案提议更新和简化英国数据保护框架的变化。该法案将对英国GDPR、DPA和英国隐私和电子通信条例进行广泛修订，作为英国政府保留欧盟法律的一部分。该法案的二读定于2022年9月5日进行，尚未确定新的日期。

法案的进展和全文可以在这里找到。

2022年10月3日，在保守党会议上，数字、文化、媒体和体育（“DCMS”）国务秘书米歇尔·多尼兰（Michelle Donelan）暗示，该法案可能会在重新提交议会之前进行修改。她说：“我们将用我们自己的商业和消费者友好的英国数据保护系统取代GDPR”，并批评她认为当前体制中“不必要的法规和扼杀商业的因素”。DCMS将取而代之的是“从世界各地的其他公司那里获取最好的信息，形成一个真正定制的英国数据保护系统”。由于目前形式的法案仍保留GDPR的核心内容，这表明DCMS可能仍打算对其进行重大修改。

向议会提交的保留欧盟法律（撤销和改革）法案

保留的欧盟法律（撤销和改革）法案（称为“脱欧自由法案”）旨在取消英国脱欧后保留的欧盟法的优先地位。这将使议会更容易修改、废除或替换英国约2400条保留的欧盟法律。英国脱欧自由法案包含一个日落日期，在此之前，所有保留的欧盟法律必须被撤销或纳入英国法律。这将影响许多不同的条款，尤其是在数据保护方面，英国GDPR和重要的欧洲数据保护案例法。

《脱欧自由法案》有以下关键条款：

• 日落保留的欧盟法律：保留的大部分欧盟法律将于2023年12月31日到期，除非另有保留。
• 结束保留的欧盟法律的至高无上地位：英国政府将确保英国国内立法优先于保留的欧盟直接立法。
• 同化法律：2023年12月31日之后保留的任何欧盟法律将被同化，欧盟的解释特征将不再适用。
• 促进偏离保留的欧盟判例法：英国脱欧自由法案将为英国国内法院提供更大的自由裁量权，以偏离保留的判例法。
• 修改保留的欧盟法律：保留的欧盟直接立法的地位将被降级；
• 其他法规中的权力将被修改，以便于更容易地修改保留的欧盟立法；以适当考虑为准。

在政府没有任何迹象表明其打算根据《脱欧自由法案》（或提供该信息的任何时间表）撤销、保留或修订哪些法规的情况下，由于英国GDPR是在英国保留的欧盟直接立法，我们建议它将消失，除非在2023年12月31日之前保留。它可能会在法案下保留，无论它以何种形式重新提交给议会。

政府正在维护保留的欧盟法律的状态仪表盘，包括此处提供的关键数据保护立法。

网络安全

欧洲委员会提议的网络弹性法案

欧洲委员会公布了《网络弹性法案》（“CRA”）的提案。其重点是为具有数字元素的产品提供网络安全要求，并加强网络安全规则，以确保欧盟成员国的硬件和软件产品更加安全。CRA被提议反对网络攻击对个人和公司的数量和影响的增加，预计到2021，全球每年的网络犯罪成本将达到5.5万亿欧元。

CRA将带有数字元素的产品定义为“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。CRA的重点目标是欧盟内的制造商，但在某些领域，它也将扩展到分销商和进口商。CRA将不适用于已经引入欧盟市场的此类产品，除非它们已经过实质性修改。此外，CRA不适用于云服务，如软件即服务产品，这些产品将受我们在2022年5月公告中讨论的NIS2指令草案的监管。

CRA制定了两个主要目标和具体目标。两个主要目标是：

• 1.通过减少产品整个生命周期的漏洞，为安全产品的开发创造条件；和
• 2.在选择和使用带有数字元素的产品时，向个人提供网络安全信息。

CRA规定成员国任命国家市场监督机构，在相关地区进行监督。此外，根据CRA，成员国有权在其他纠正措施中对不遵守行为设定行政罚款。CRA将最高罚款设定为：

• 1.不超过15000000欧元，或者如果违法者是企业，不超过上一财政年度全球年营业额的2.5%，以不符合附件1中基本网络安全要求和第10条和第11条义务的较高者为准；
• 2.不超过10000000欧元，或者如果违规者是企业，不超过其上一财政年度全球年营业额的2%，以不遵守CRA下任何其他义务的较高者为准；和
• 3.不超过5000000欧元，或者如果违法者是企业，不超过其上一财政年度全球年营业额的1%，以向公告机构和市场监督机构提供不正确、不完整或误导性信息的较高者为准。

电子通信（安全措施）条例将为电信供应商引入更严格的义务

经过协商和调查，政府确认将根据2021《电信（安全）法》（“法案”）向议会提交新的《电子通信（安全措施）条例》。我们在3月份的公报中报告了咨询和调查情况，并解释说，与国家网络安全中心和Ofcom共同制定的新法规和业务守则（统称为“一揽子计划”）将对公共电信提供商产生重大影响。

该文件包涵盖的义务和法律责任包括（但不限于）：确保网络提供商了解并记录网络架构安全漏洞的风险，并采取措施降低风险；保护网络管理工作站免受传入信号和更广泛互联网的影响；以及保护能够监控或分析英国网络和服务的使用或运营的工具。在初步咨询和调查之后，一揽子计划已经更改，以明确安全措施将针对网络中最需要保护的部分。该方案还包括对国家恢复能力、安全修补和供应商遗留网络保护的进一步指导。

Ofcom将监督该法案的遵守情况，并将被授予权力，允许他们检查电信供应商的场所和系统，以及罚款权力。

该套餐包括供应商履行某些义务的时间表，包括：

• 通过控制访问并考虑其改变网络运营的能力来考虑供应链风险；了解其安全风险，能够通过定期报告识别异常活动；和保护监视和分析其网络的软件。
• 公共电信供应商必须在2024年3月之前履行这些义务。

执行

TikTok因违反儿童隐私法而面临2700万英镑的ICO罚款风险

ICO已向TikTok Inc和TikTok Information Technologies UK Limited（合称“TikTok”）发出意向通知，表示ICO打算因TikTok违反数据保护法规而对其进行罚款。

ICO确定了2018年5月至2020年7月期间TikTok的一些可能违反数据保护法的行为，包括：未经父母同意处理13岁以下儿童的数据；未能以简洁、透明和易于理解的方式向用户提供适当的信息；以及在没有合法依据的情况下处理特殊类别数据。

虽然ICO的调查结果是临时的，但信息专员约翰·爱德华兹指出，“提供数字服务的公司有法律义务实施[儿童隐私]保护，但ICO的临时观点是TikTok没有达到这一要求”。有趣的是，可能的违规行为涵盖了《适龄设计规范》实施窗口之前的一段时间，以及将儿童的最大利益作为首要因素的要求。我们在这里的五月公告中详细考虑了这一要求。专员还确认，ICO正在对可能没有充分保护儿童数据的数字服务公司进行六次进一步调查。

如果在考虑了TikTok的陈述后，ICO支持其临时调查结果，则TikTok可能会因涉嫌数据保护违规而被处以2700万英镑的罚款。

ICO 2022年9月26日的声明可以在这里全文阅读。

ICO因DSAR响应延迟而谴责维珍传媒

ICO在对其遵守数据主体访问请求（“DSAR”）的情况进行调查后，谴责了维珍传媒（Virgin Media）有限公司（“维珍传媒”）。

ICO发现，在2021 7月至2022年4月期间，维珍传媒在回应DSAR时，多次未遵守英国GDPR第15条和第12（3）条。特别是，维珍传媒被发现没有在没有不当延误的情况下，至少在法定时限内，履行其对DSAR作出回应的义务。

ICO利用《英国GDPR》第58条规定的权力，对维珍传媒进行谴责，而不是罚款。惩戒是ICO使用的一种强制机制，在罚款之前，给不符合规定的公司一段时间来纠正其不合规行为。就维珍传媒而言，ICO建议维珍传媒采取进一步措施，确保DSAR在相关法定期限内得到响应，维珍传媒确保其拥有足够的人力资源来正确响应DSAR。ICO已向维珍传媒提供了最初三个月的最后期限，以证明其符合ICO，ICO还将要求自谴责之日起六个月内进行进一步更新。

ICO最初的谴责可以在这里阅读。

爱尔兰数据保护委员会对Instagram处以创纪录的4.05亿欧元罚款

爱尔兰数据保护委员会（“DPC”）针对Meta Platforms Ireland Limited（“Instagram”）就Instagram上收集的儿童个人数据违反欧盟一般数据保护条例（“EU GDPR”），已向其处以4.05亿欧元的罚款。

罚款是根据欧洲数据保护委员会（“EDPB”）在DPC的决议草案之后通过的一项具有约束力的决定。这件事的具体事实涉及公开披露Instagram商业帐户功能的儿童用户的电子邮件地址和电话号码，以及使用Instagram的儿童个人帐户的“默认公开”设置。EDPB的决定考虑了德国、法国、芬兰、意大利、荷兰和挪威监管机构的各种反对意见。鉴于这些反对意见，EDPB要求增加违反GDPR第6（1）条的规定，即“公共违约”处理是必要的还是相称的。因此，TikTok对欧盟GDPR的具体违规行为（DPC就此发布罚款）包括：

• 关于公平处理的第5（1）（a）条和第5（l）（c）条；
• 关于合法处理的第6（1）条；
• 关于透明度的第12（1）条；
• 第24条关于Instagram作为数据管理员的责任；
• 关于通过设计和违约保护数据的第25（1）条和第25（2）条；
• 与数据保护影响评估相关的第35（1）条。

罚款是欧盟GDPR下发布的最大罚款之一，也是DPC发布的最大罚金。据报道，Instagram正在考虑上诉罚款。DPC关于罚款的公开声明可以在这里阅读。

EDPB关于两个监管机构发布的冲突罚款的规则

EDPB已根据GDPR第65条行使其权力，以解决不同司法管辖区两个监管机构罚款之间的差异。

法国数据保护监管局（“CNIL”）因违反欧盟GDPR向雅高股份有限公司（“雅高”）发出了最初100000欧元的罚款。这些违规行为与雅高集团未能考虑到反对接收营销信息的权利以及行使访问权的困难有关。欧洲经济区的各个监管机构都收到了关于雅高的投诉，由于雅高的主要机构位于法国，因此法国国家情报局是调查的主要监管机构。CNIL在将其决定草案分发给其他监管机构后，根据可用的最新财务信息（2019/2020财年），发布了罚款金额。

根据《欧盟GDPR》第60条，CNIL有义务与其他相关数据保护机构合作，以达成相互接受的欧盟GDPRs申请，同时，波兰数据保护机构（“波兰DPA”）将其对罚款数额的异议通知CNIL。鉴于罚款占雅高营业额不到百分之二十，波兰DPA认为拟议罚款不会有效、适度或具有劝阻性。CNIL在量子计算中考虑到侵权行为不是结构性的，雅高在调查后采取了纠正措施。此外，根据欧盟GDPR第83（2）（k）条，CNIL认为2019年至2020年间雅高营业额的显著下降（由于新冠肺炎大流行）是一个缓解因素。

EDPB给出了同意波兰DPA的三个主要原因，即：

• （i）罚款的相关上一年营业额应为最终决定（2020/2021）的前一年，而不是将决定分发给其他监管机构（2019/2020）时的最新财务信息；
• （ii）有关的营业额数字不应双重计算为减轻因素和罚款上限；以及（iii）考虑到雅高的营业额，罚款数额不足以起到劝阻作用。
• EDPB将罚款增加至600000欧元，以达到《欧盟GDPR》第83（1）条的效果，通过征收有效、适度和具有劝阻性的罚款。

要阅读EDPB的英文修订决定，请单击此处。

民事诉讼

比利时市场法院将比利时数据保护局的IAB Europe裁决提交给CJEU

比利时市场法院是比利时上诉法院的一部分，就欧洲互动广告局（“IAB Europe”）对比利时数据保护局（“比利时DPA”）裁决的上诉，向欧盟法院（“CJEU”）提交了一些初步问题。我们之前在2月份的公告（此处）中报告称，IAB的透明度和同意框架（“TCF”）有助于管理用户对在线个性化广告的偏好，并在实时竞标中发挥关键作用。TCF通过首次使用网站或应用程序时弹出的许可管理平台来实现这一点。弹出窗口充当一个界面，用户可以在其中同意收集和共享其个人数据或对象以进行各种类型的处理。TCF将这些首选项捕获到用户设备上的代码中（“TC字符串”）。

IAB Europe不认为它是TC字符串的数据控制器。然而，与此相反，比利时DPA认为TC字符串是个人数据，因此IAB Europe是数据控制者。此外，比利时DPA发现，IAB Europe违反了其作为欧盟GDPR规定的数据控制人的义务，涉及：（i）缺乏法律依据；（ii）缺乏处理的法律依据；（iii）设计措施的责任、安全和隐私（包括与国际转让有关的措施）；以及（iv）各种控制人义务。比利时市场法院已就TC字符串是否可以被视为个人数据并使IAB Europe成为控制人一事向CJEU提出质疑。预计到2023年才会做出的CJEU决定，如果它发现IAB Europe是符合比利时DPA决定的数据控制者，可能会对在线广告产生广泛影响。这可能导致广告机构承担更为繁重的数据保护义务。

比利时市场法院判决书的修订本可以在这里阅读英文版。

德国法院澄清了Schrems II关于美国母公司子公司的申请

卡尔斯鲁厄高等地区法院（“OLG卡尔斯鲁赫”）裁定，作为一家美国公司的子公司，不足以自行认定存在个人数据的国际转移。

OLG Karlsruhe面临的案件集中在德国授予一家公司的公共采购合同，该公司将使用位于卢森堡的子公司将个人数据存储在位于德国的物理服务器上。作为对公共招标合同奖励审查的一部分，巴登-维尔滕贝格公共采购商会（“Vergabekammer BW”）认为，承包商的美国母公司可以访问存储的数据这一事实构成了《通用数据保护条例》第44条规定的数据转让。该转让不会吸引实质上等同于Schrems II要求的个人数据保护水平。

8月，巴登-维尔滕堡数据保护局对Vergabekammer BW的决定表示关注。特别是，它担心潜在访问风险与实际访问风险不同，为了实现个人数据的国际传输，需要真正的传输来构成“处理”。此外，Vergabekammer BW的决定受到质疑，因为它在多大程度上考虑了子公司与其美国母公司之间使用的技术和组织措施（例如加密和遵守后Schrems II SCC）。

OLG Karlsruhe认为，一家公司是美国实体的子公司这一事实不足以假设它会允许其美国母公司在违反子公司对德国交易对手的合同义务的情况下访问存储的个人数据，这与Schrems II之前的假设相反。这些合同义务构成了一项保护措施，旨在在国际传输情况下保护个人数据，Vergabekammer BW应对此给予更多考虑。OLG Karlsruhe没有具体解决是否需要真正访问才能构成传输的问题。

OLG Karlsruhe为传达其决定而发表的公开声明可在此阅读（仅德语）。

CJEU倡导者就欧盟GDPR在竞争主管机构决策中的相关性发表一般性意见

欧盟法院首席辩护官Athanasios Rantos提出了竞争主管机构能够考虑欧盟GDPR合规问题的可能性，尽管没有执行欧盟隐私法的管辖权。

2022年9月20日，作为Facebook、WhatsApp和Instagram母公司Meta提出的挑战的一部分，杜塞尔多夫高等地区法院将竞争主管部门是否可以考虑欧盟GDPR的问题提交给了欧盟法院，兰托斯就此向欧盟法院提出了无约束力的意见，反对德国联邦卡特尔管理局禁止Meta集团公司进行某些数据处理活动。

Rantos认为，在考虑一家公司是否滥用了其市场支配地位时，竞争主管机构可以解释“与竞争法有关的规则以外的规则，例如[欧盟]GDPR的规则”。在这样做时，竞争主管机构仍必须考虑到其通知相关监管机构并与之合作的义务，以便以与此类数据保护机构一致的方式解释欧盟GDPR。该意见表明，竞争主管机构可以将遵守欧盟GDPR视为其竞争规则裁决的一个附带问题，但竞争主管机构可能不会直接执行欧盟GDPR。

虽然总检察长的意见不具约束力，但这增加了竞争主管部门在考虑违反竞争规则时关注数据保护规定的可能性。总检察长的意见可以在这里全文阅读。

本文：https://cioctocdo.com/data-protection-update-september-2022