美国新闻

加州隐私保护局发布修订条例

距离生效日期不到三个月，在 10 月 28 日至 29 日的董事会会议之前，加州隐私保护局于 2022 年 10 月 17 日发布了更新的加州隐私权法案条例草案以及修改摘要。

更新后的条例草案现在在“不成比例的努力”的定义中包括服务提供商、承包商和第三方。具体而言，根据更新后的法规草案，当企业、服务提供商、承包商或第三方花费的时间和资源显着超过不回应消费者数据而对消费者造成的合理可预见的影响时，这将是一种“不相称的努力”主体权利请求。

因此，企业、服务提供商、承包商或第三方将无需履行该请求。然而，基于同样的事实，如果企业、服务提供商、承包商和第三方没有制定适当的流程和程序来接收和处理消费者请求，他们将被要求履行此类请求。在这些情况下，“不成比例的努力”不会成为尊重消费者数据主体权利请求的可用例外。

此外，根据更新后的条例草案，企业将不再需要：

• 在收集通知中识别第三方数据收集者；
• 如果企业在没有推断消费者特征的情况下收集敏感个人信息，并提供隐私政策声明，则提供“限制权利通知”或“限制使用我的敏感个人信息”链接；和
• 显示他们是否已将选择退出偏好信号作为选择退出其网站上的销售和共享的有效请求进行处理。

科罗拉多州隐私法案条例草案现已发布

科罗拉多州总检察长办公室于 2022 年 9 月 30 日根据《科罗拉多州隐私法》发布了其条例草案版本。除其他外，条例草案将：

• 要求涵盖的实体在其隐私政策中描述每个处理目的；
• 需要至少提前 15 天通知隐私政策的“实质性或重大变更”，尤其是涉及：(1) 处理的个人信息类别； (2) 处理目的； (3) 消费者行使数据主体请求的方式；并要求同意引入“次要目的”进行处理的更改；和
• 更深入地了解数据保护评估中应包含哪些内容，这是在从事“存在较高伤害风险”的处理活动（例如分析、出售个人信息或将个人信息用于有针对性的广告）之前所必需的。
• 个人、企业和其他利益相关方可以在 2022 年 10 月 10 日至 2023 年 2 月 1 日期间对《条例》发表评论。评论必须在此处提交。

拜登总统签署行政命令以实施新的美国/欧盟数据传输协议

2022 年 10 月 7 日，拜登总统签署了一项关于加强对美国信号情报活动的保障的行政命令，该命令重点关注美国将采取的措施，以妥善处理欧盟 (EU) 居民的个人信息和现场政府监视投诉。这是拜登总统和欧盟委员会主席乌尔苏拉·冯德莱恩之间的共同努力，旨在建立新的欧盟-美国数据隐私框架并取代隐私护盾。它解决了 Schrems II 标记的导致隐私护盾失效的问题。值得注意的是，行政命令引入了一个独立且具有约束力的机制，如果符合条件的州和区域经济一体化组织中的个人认为其个人信息的收集方式违反了适用的美国法律，他们可以寻求补救。此外，行政命令为美国的信号情报活动引入了更多保障措施，并要求美国情报界组织相应地更新其政策和程序。欧盟委员会现在将接过接力棒，开始可能需要长达六个月的批准程序。与此同时，欧盟委员会发布了一份概述 EO 的问答文件。白宫简报在这里。

纽约考虑《纽约儿童数据隐私和保护法》

州参议员 Andrew Gounardes 介绍了参议院第 9563 号法案，即纽约儿童数据隐私和保护法。该法案类似于最近通过的加州适龄设计法。它旨在通过停止“掠夺性收集和出售他们的个人数据”，为 17 岁以下的个人“确保更安全的数字空间”。如果颁布，该法案将要求每个提供针对儿童用户的在线产品的实体完成数据保护影响评估，该评估需要包括：

• 儿童用户主要与在线产品互动或消费的方式；
• 儿童用户使用在线产品的平均时间，以及产品是否包含任何旨在延长或增加时间的功能；
• 收集、保留、处理和/或出售的任何类型的儿童用户数据的数量；
• 收集、保留、处理或出售此类数据的目的；和
• 实体与数据处理者或与其共享儿童用户个人数据的其他第三方的数据共享关系。

该法案还要求默认设置隐私，这需要预先设计在线服务，以便应用最严格的在线隐私设置，而无需用户手动输入。

CISA 要求就新的网络事件报告要求提供反馈

网络安全和基础设施安全局 (CISA) 是负责领导国家努力了解、管理和降低网络相关风险的机构，它发布了信息请求 (RFI)，以征求公众对实施网络事件报告的方法的意见根据 2022 年关键基础设施网络事件报告法案 (CIRCIA) 的要求。作为背景，CIRCIA 要求 CISA 制定和发布拟议规则制定通知以供公众评论和审查，其中包含有关网络事件和赎金支付报告的拟议规则。 CISA 认识到越来越多的网络事件是“我们国家面临的最严重的经济和国家安全威胁”之一，并表示它对以下方面的投入特别感兴趣：

拟议条例中使用的术语的定义和解释；

• CIRCIA要求提交报告的形式、方式、内容和程序；
• 其他事件报告要求，包括报告所利用漏洞描述的要求；和
• 其他政策和程序，例如实施法规所需的执行程序和信息保护政策。

要求在 2022 年 11 月 14 日或之前提出书面意见。可以通过此处的联邦电子规则制定门户网站提交意见。

NIST 发布消费产品物联网核心基线简介

2022 年 9 月 20 日，美国国家标准与技术研究院 (NIST) 发布了消费者物联网 (IoT) 产品的物联网核心基线简介。该出版物被描述为企业在购买物联网产品时考虑的起点，它确定了消费者物联网领域通常需要的网络安全能力。该配置文件就企业应如何处理资产识别、产品配置、数据保护、界面访问控制和软件更新提供了指导。该简介反映了 NIST 和利益相关者之间长达一年的合作努力。

IAB 发布多州隐私协议和隐私信号规范以征询公众意见

2022 年 10 月 14 日，互动广告局 (IAB) 发布了多州隐私协议 (MSPA) 草案以征求意见，这是一个更新的合同框架，旨在帮助发布商、广告商和广告技术中介遵守州综合隐私法将于 2023 年生效。MSPA 涵盖个人信息的销售、衡量和频率上限、上下文广告以及对敏感个人信息和与儿童有关的信息的使用的限制。它伴随着 IAB 技术实验室的美国州信号规范，于同一天发布以征求意见。美国州信号文件将取代 IAB 的美国隐私框架，该框架目前仅用于管理来自加利福尼亚的同意信号。尽管新规范可以在 IAB 的全球隐私平台中独立使用，但它们也可以与 MSPA 结合使用，以帮助公司管理多个州的同意信号。

 

首次 BIPA 审判为原告带来 2.28 亿美元的判决

2022 年 10 月 19 日，伊利诺伊州联邦陪审团根据该州的《生物特征信息隐私法》 (BIPA) 在集体诉讼中发现被告违反了 BIPA，导致 45,000 多名成员获得 2.28 亿美元的赔偿。在 Rogers 诉 BNSF 铁路公司案中，原告代表卡车司机类别声称 BNSF 铁路公司违反了 BIPA，因为没有：

• 在收集之前通知班级成员他们的生物识别标识符或信息正在被收集或存储；
• 告知班级成员收集生物识别标识符或信息的具体目的和期限；和
• 在收集之前获得班级成员的书面知情同意。

法院驳回了 BNSF 的法律辩护，即集体索赔被联邦法规优先，并认为 BNSF 员工充分参与了公司生物识别信息收集系统的管理和使用，陪审团可以发现 BNSF，而不仅仅是第三方承包商 Remprex LLC 违反了 BIPA。经过五天的审判，陪审团做出了有利于班级的裁决，认定 BNSF 鲁莽或故意违反了 BIPA 45,600 次。陪审团没有计算损害赔偿。相反，由于 BIPA 为每一次故意或鲁莽违规提供 5,000 美元的违约金（每一次疏忽违规为 1,000 美元），因此 Kennelly 法官适用了 BIPA 的损害赔偿条款，导致判决赔偿 2.28 亿美元。该判决不包括律师费，根据 BIPA，原告有权并且将不可避免地寻求。这个案例是对违反 BIPA 可能给雇主造成的潜在风险范围的重要提醒。

全球新闻

EDP​​B 发布个人数据泄露通知指南并欢迎评论

欧洲数据保护委员会 (EDPB) 发布了一套更新的《通用数据保护条例》下的个人数据泄露通知指南以征求意见。最初，EDPB 根据第 2016/679 号条例批准了第 29 工作组关于个人数据泄露通知的指南。该指南确认，如果未在欧盟设立的控制者受 GDPR 第 3 条第 2 款或第 3 条第 3 款的约束并遭到违反，它仍将受到 GDPR 第 33 条和第 34 条规定的通知义务的约束。然而，现在，仅代表在成员国的存在不会触发违约要求。出于这个原因，需要将违规行为通知给受影响的数据主体居住在其成员国的每个机构。通知必须按照控制者对其代表的授权并在控制者的责任下进行。

EDP​​B 将在 2022 年 11 月 29 日之前接受对指南的评论。可以在此处发表评论。

加拿大信息获取、隐私和道德常设委员会发布关于面部识别技术和人工智能的报告
加拿大信息获取、隐私和道德常设委员会发布了“面部识别技术和人工智能的日益增长的力量”，分析了当前有关面部识别技术和人工智能的法规，并就法律应如何在这些领域取得进展提出了建议。该报告首先解释说“面部识别技术需要用手术刀而不是斧头来监管。”它继续敦促加拿大政府：

• 定义面部识别技术的可接受用途；
• 对私营部门实体收集生物特征信息实施仅选择加入的要求；
• 禁止私营部门实体以提供生物特征信息为条件提供商品和服务；
• 修订《隐私法》和《个人信息保护和电子文件法》（PIPEDA），禁止捕捉加拿大人的图像以开发人工智能算法的做法；和
• 确保实施侧重于准确性、保留和透明度的隐私保护，以降低个人风险。

欧盟委员会发布新网络弹性法案提案

欧盟委员会计划通过《网络弹性法案》为联网设备引入网络安全要求。该法案将涵盖数字连接产品及其随附的数据处理解决方案，并排除特定行业法规涵盖的产品。该法案侧重于机密性、加密和目的限制，旨在解决物联网领域的漏洞。它还将提供一个网络安全要求框架，以管理此类产品的规划、设计、开发和维护，并在价值链的每个阶段履行义务，并规定有义务为这些产品提供注意义务。此类产品的整个生命周期。

丹麦数据保护局得出结论，谷歌分析必须辅以其他措施才能合法

丹麦数据保护局 Datatilsynet 最近审查了 Google Analytics 的设置和条款，并加入了奥地利数据保护局、法国数据保护局和意大利数据保护局的结论，即该工具在没有补充措施的情况下的一般使用违反了 GDPR .尽管这些决定是由各自的监管机构单独决定的，但它们代表了一个共同的立场。新闻稿称，该指南基于欧洲监管机构的决定和 Datatilsynet 自己的研究提供的信息。根据该决定，使用谷歌分析的企业在使用谷歌分析时应制定隐私保护计划，包括假名化；仅仅改变工具的设置是不够的。

此处提供了化名指南。新闻稿在这里。问答文件在这里。

ICO 发布关于使用实时电话进行直接营销的指南

英国信息专员办公室 (ICO) 发布了针对通过实时（非自动）电话进行直接营销、广告、销售、促销、筹款或竞选活动的公司的指南。该指南涵盖了营销人员如何在不违反 2003 年隐私和电子通信条例的情况下参与这些活动的建议最佳实践。具体而言，该指南解释说，营销人员必须避免致电过去曾明确反对电话的个人以及拨打电话号码电话偏好服务中未列出的。营销人员还必须显示他们用来拨打电话的电话号码，披露呼叫者的身份（例如，组织的名称），并在被要求时披露呼叫组织的联系方式。该指南进一步解释说，大多数类型的实时营销电话通常不需要征得同意。该指南规定，某些类型的电话，例如涉及养老金计划或索赔管理服务（部分定义为就赔偿、还款或任何其他损失补救措施提供建议）的电话需要征得同意。必要时，同意必须是具体的和知情的。指南在这里。

安大略省法律为电子监控政策制定了要求

2022 年 4 月 11 日，加拿大安大略省的立法者在安大略省就业标准法案 (ESA) 中增加了对工作场所电子监控政策的新要求。这些要求规定，在安大略省拥有 25 名或更多雇员的受省级监管的雇主必须制定有关工作场所电子监控的书面政策。这些要求不禁止电子监控，而是要求雇主对其电子监控实践保持透明。

合规的电子监控政策必须包括：

• 描述雇主如何以及在什么情况下可以对雇员进行电子监控；
• 雇主可将通过电子监控获得的信息用于何种目的；
• 制定保单的日期；和
• 对政策进行任何更改的日期。

雇主必须在规定的时间范围内，向其所有雇员以及被指派为该雇主工作的所有外派雇员提供一份书面政策的副本。有一条特殊规则适用于要求的第一年。在 2022 年 1 月 1 日雇用 25 名或更多员工的雇主必须在 2022 年 10 月 11 日之前制定关于员工电子监控的书面政策。该要求规定，从 2023 年开始，在随后的几年中，在任何一年的 1 月 1 日雇用 25 名或更多员工的雇主必须在当年 3 月 1 日之前制定关于对员工进行电子监控的书面政策。