编译 | 唐海林、韩嘉艺、陆梅

审校 | 张金平、张奕欣、邢潇

指导编制 | 卓子寒

1.美国卫生与公众服务部民权办公室宣布与中央佛罗里达健康专家公司达成2万美元和解

2022年12月15日，美国卫生与公众服务部（HHS）下属部门民权办公室（OCR）宣布已经与中央佛罗里达健康专家公司达成和解。根据1996年《健康保险流通和责任法》（HIPAA）隐私与安全规则的相关规定，该公司向OCR支付2万美元，并采取纠正行动计划（CAP）。OCR指出，对健康专家公司的调查源于对个人数据访问权的投诉。该投诉者是已故病人的亲属，据称尽管她多次提出要求，但健康专家公司仍未能及时向她提供所需医疗记录。经调查，OCR发现，健康专家公司违反了HIPAA访问权标准，该标准要求相关方在收到访问请求后30天内（特殊情况可以延长到60天）对访问请求采取行动。因此，健康专家公司同意支付2万美元作为和解金，并承诺开展CAP，包括制定和维护符合管理个人可识别健康信息隐私的联邦标准的政策和程序，以及在上述政策和程序获得批准后60天内，向HHS提供所有员工的培训材料。

https://www.dataguidance.com/news/usa-ocr-announces-20000-settlement-health-specialists

2.英国和迪拜国际金融中心就深化数据伙伴关系发表联合声明

2022年12月15日，英国数字、文化、媒体和体育部和迪拜国际金融中心（DIFC）共同发布了一份关于深化英国政府与DIFC数据伙伴关系的联合声明。该声明称英国和DIFC的合作取得了重大进展，他们在评估双方数据保护方面的法律和实践达到高标准后，拟建立个人数据自由安全流动框架的做法获得了阿拉伯联合酋长国政府的回复。此外，联合声明还提到了迪拜最近发布的《公共机构个人数据共享总统指令》，该指令规定了DIFC向公共机构提供个人数据的要求。联合声明强调，英国和DIFC将同其战略合作伙伴，以及各行业民间利益相关者一起，在全球更多领域开展合作，例如共同举办全球跨境隐私规则论坛。

https://www.dataguidance.com/news/international-uk-and-difc-issue-joint-statement

3.加拿大不列颠哥伦比亚省信息和隐私专员办公室发布健康信息系统调查报告

2022年12月15日，加拿大不列颠哥伦比亚省信息和隐私专员办公室（OIPC）发布了省公共卫生信息系统安全和隐私漏洞调查结果报告。OIPC发现该系统中存在以下漏洞：（1）缺乏对可疑活动的主动审计；（2）没有用于管理应用程序漏洞的持续程序；（3）没有在数据库休眠时对数据库内的个人信息加密；（4）缺乏对访问系统的多重身份验证的普遍要求。鉴于上述情况，OIPC建议省卫生服务管理局采取下列措施：（1）获取、配置和部署针对隐私的主动审查系统；（2）通过多因素身份认证解决方案；（3）以及在数据库休眠时对数据库内的个人信息进行加密。

https://www.dataguidance.com/news/british-columbia-oipc-publishes-report-findings

4.欧盟委员会、议会和理事会共同签署《欧洲数字权利和原则宣言》

2022年12月15日，欧盟委员会、欧洲议会和欧洲理事会的主席们共同签署了《欧洲数字权利和原则宣言》（下称《宣言》）。《宣言》由欧盟委员会于2022年1月提出，旨在支持2030年数字指南针目标。《宣言》表明了欧盟致力于安全和可持续的数字化转型并将个人权利置于中心，指导政策制定者和公司应对新技术，甚至意图引导全球数字化转型。作为提高安全性和赋权的一部分，《宣言》致力于隐私和个人对数据的控制，强调每个人都有隐私权和个人数据保护权，后者包括个人对其个人数据的使用方式和共享对象的控制。此外，《宣言》规定，每个人都有权对其通信和电子设备上的信息保密，并不受非法在线监视、非法追踪或拦截措施的影响。每个人都应该能够确定自己的数字遗产，并决定自己的个人账户和信息在去世后会发生什么。最后，欧盟委员会表示它将持续监测进展情况，在数字生活的所有领域促进和实施这些原则，并实现2030年数字指南针的目标，并通过年度“数字十年状况”报告进行展示。

https://www.dataguidance.com/news/eu-commission-parliament-and-council-sign-european

5.以色列隐私保护局提出数字资产管理中的隐私保护建议

2022年12月15日，以色列隐私保护局（PPA）声明参与起草了以色列财政部发布的《以色列数字资产监管报告》，并对数字资产监管中的隐私保护提出建议。PPA称数字资产在为经济增长提供机会的同时，也给消费者和投资者带来了巨大的风险。具体而言，在数字资产管理过程中，管理者遵守反洗钱法及税法规定的报告义务可能侵害客户的个人隐私。为帮助政府应对与数字资产有关的风险和机遇，PPA建议数字资产管理者采取适当的风险管理措施和监管措施，包括采用数字国家货币特定发行模式和执行隐私增强机制；同时采用两级区分模式，即在以色列中央银行和私人中介之间进行划分，由后者向消费者提供服务，尽量减少对隐私的损害。https://www.dataguidance.com/news/israel-ppa-publishes-report-regulation-digital-assets

6.英国数字化、文化、媒体和体育部国务大臣重申《在线安全法案》中的儿童保护措施

2022年12月16日，英国数字、文化、媒体和体育部（DCMS）国务大臣米歇尔·多内兰致信全国的父母、护理人员和监护人，重点介绍了《在线安全法案》中保护儿童在线安全的关键措施，包括：删除儿童性虐待和恐怖主义内容，禁止儿童访问涉及网络暴力和色情内容的网站，要求平台执行年龄限制措施和年龄检查措施来保护儿童免受不当内容的侵害等。这些措施将有助于保护儿童并追究社交媒体公司的责任，同时也让用户在互联网拥有更大的发言权。信中特别指出，平台将对其网站上的内容承担法律责任，他们必须保护用户，否则将面临数十亿英镑的罚款，甚至其网站在英国可能会被屏蔽。

https://www.dataguidance.com/news/uk-dcms-secretary-state-highlights-child-protection

7.弗吉尼亚州总检察长呼吁苹果和谷歌纠正应用商店中TikTok的年龄评级

2022年12月16日，弗吉尼亚州总检察长（AG）杰森·米亚雷斯宣布与其他十四个州的总检察长一起呼吁苹果公司和谷歌公司立即采取行动，在年底前纠正其应用程序商店对短视频社交平台TikTok的年龄评级。总检察长已向这两家公司的首席执行官发出信函，指出其应用程序商店对TikTok的评级存在欺骗性，例如苹果应用商店上允许TikTok显示其符合12+年龄评级，但实际上TikTok显示的实际内容应当纳入到17+年龄评级。如果这两家公司未能纠正评级，各州将对这两家公司允许TikTok实施虚假陈述的行为保留采取法律行动的权力，包括诉讼和民事处罚。

https://www.dataguidance.com/news/virginia-ag-calls-apple-and-google-correct-age-ratings

8.美国国家情报局局长办公室发布关于欧盟-美国数据隐私框架补救措施的实施指令

2022年12月16日，美国国家情报局局长办公室（ODNI）发布了一项关于实施《欧盟-美国数据隐私框架》信号情报补救机制的指令。ODNI称，该指令旨在管理某些信号情报活动的补救投诉的处理，并简要介绍了一些符合条件州的公共机构可以通过何种程序传送投诉以及ODNI公民自由保护官在特定投诉中的作用。该指令授权并规定了ODNI公民自由保护官员应调查、审查并在必要时下令对涉及投诉的违规行为进行适当补救的程序，还规定了有关公共机构应当在符合相关保密要求的前提下向投诉人传达调查结论，并向美国数据保护审查法院提供必要支持。

https://iapp.org/news/a/odni-issues-implementation-directive-on-eu-us-data-privacy-framework-redress/

9.美国参议员要求联邦贸易委员会调查Neustar公司向政府机构出售数据的行为

2022年12月16日，美国俄勒冈州参议员要求美国联邦贸易委员会（FTC）调查互联网基础设施公司Neustar，并称该公司向联邦政府出售网民上网记录时侵犯了数百万人的隐私权。参议员要求调查这家公司是否告知消费者有关出售其敏感信息（网络习惯）的信息。因大多数信息被分享的人都不知道自己与Neustar有过互动，这些数据主要是从Neustar向互联网服务提供商提供的域名查找服务中获得的。参议员称，尽管Neustar的隐私政策显示它可能会与其他人共享信息，但这些数据的直接出售（记录显示价值数百万美元）会将一些用户信息送往其他地方，这种行为应该进行披露。此外，如果Neustar在收购VeriSign的DNS业务后也出售了从VeriSign获得的数据，那么情况会更糟，因为VeriSign向其客户保证，它永远不会分享他们的信息。参议员表示，根据FTC此前的案例，收购公司不能在未经通知的情况下更改被收购者此前作出的隐私承诺。如果Neustar没有采取足够的措施来提醒消费者它不再遵守这些承诺，那么该商业行为可能违反《联邦贸易委员会法》。

https://reclaimthenet.org/wyden-investigate-neustar-privacy-government/

10.宾夕法尼亚州总检察长与Herff Jones公司达成10万美元和解

2022年12月16日，宾夕法尼亚州总检察长（AG）宣布，他们已与Herff Jones公司达成10万美元的和解。经调查显示，该公司未能在保护消费者的支付卡信息方面采取合理的数据安全措施，不符合支付卡行业数据安全标准（PCIDSS）的要求。和解协议要求Herff Jones维持下列旨在保护消费者个人信息的合理安全政策：一是指定员工协调和监督信息安全计划；二是对存储个人信息的网络进行年度安全风险评估；三是进行年度员工培训；四是设计和实施保护个人信息的合理安全措施，例如对其网络进行渗透测试并实施合理的访问控制；五是Herff Jones必须遵守PCIDSS，并通过聘请一名合格的安全评估员来验证合规性，该评估员将负责评估并提交合规证明。

https://www.dataguidance.com/news/pennsylvania-ag-reaches-100000-settlement-herff-jones

11. 澳大利亚竞争与消费者委员会对ING银行罚款53280澳元

2022年12月16日，澳大利亚竞争与消费者委员会（ACCC）宣布对ING银行违反和澳大利亚《消费者法》处以53280澳元的罚款。ACCC表示，ING银行未履行任何数据共享义务，违反了消费者数据权（CDR）规则。此外，ACCC还发现，ING银行违反了《消费者法》，在其网站上发布虚假或误导性陈述，宣称其网站是一个可供客户共享数据的可靠系统，但事实并非如此。

https://www.dataguidance.com/news/australia-accc-fines-ing-bank-aud%C2%A053280-breaches-cdr

12.美国法官驳回Meta公司提出的3750万美元和解请求

2022年12月19日，美国加州北区地方法院法官驳回了Meta公司提出的一项价值3750万美元的隐私诉讼和解请求。法官指出，驳回和解请求有几个考虑，包括担心和解金额不合理，以及律师没有提供足够的信息说明他们如何确定7000万人有资格提出索赔。经调查，Meta收集用户的IP地址，泄露了有关位置的信息，违反了先前的隐私政策。Meta律师估计，大约有7000万人有资格提出索赔，并且大约有100万人会这样做。而律师在8月份提交的动议文件中表示，7000万人的数字受到一定的限制，因为Meta无法用可用数据确定集体诉讼成员人员。因此，律师们必须在2023年2月15日之前修改提案。

https://iapp.org/news/a/judge-denies-metas-proposed-37-5m-location-privacy-settlement/

13.欧盟监察员认为欧盟委员会对爱尔兰数据保护委员会处理案件的监督“适当”

2022年12月20日，欧盟监察员结束了有关欧盟委员会监督爱尔兰GDPR实施情况的调查，认为欧盟委员会每两个月从爱尔兰数据保护委员会处获取一次关于其处理“大型科技”案件（包括跨境案件）概览的做法是恰当的，能够达到良好的监督效果。如果没有这项措施，监察员会对欧盟委员会所依赖的信息是否充分产生严重怀疑。监察员还就如何改进双月概览程序提出了一系列建议，如在下一份关于GDPR实施情况的报告中，应尽可能多地提供非机密信息。

https://iapp.org/news/a/eu-ombudsman-finds-commissions-monitoring-of-dpc-cases-appropriate/

14.香港个人数据隐私专员公署发布环联公司个人数据系统视察报告

2022年12月20日，香港个人资料私隐专员公署（PCPD）发布有关环联公司个人数据系统的第R22-0684号视察报告。视察结果显示，环联在视察期间的个人信贷资料库载有超过560万名消费者的个人资料及信贷纪录。整体来说，环联重视保障其持有的个人资料，采取了良好的行事常规，其个人信贷资料系统的保安措施符合国际标准。此外，私隐专员希望通过视察结果，向日常需要处理大量客户个人资料的机构作出下述建议︰一是设立个人资料私隐管理系统及委任专责人员作为保障资料主任；二是制订地区性政策；三是履行企业社会责任及致力加强保障客户个人资料私隐；四是监控个人资料的查阅情况；五是审慎聘任及管理资料处理者。

https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20221220.html

15.英国信息专员办公室回应有关《数据保护和新闻业务守则》草案的评论

2022年12月21日，英国信息专员办公室（ICO）发布信息专员约翰·爱德华的博客，回应了有关《数据保护和新闻业务守则》草案的评论。爱德华指出，由于莱文森调查（编者注：2011年卡梅伦政府启动的，由大法官布莱恩·莱文森领导的对报纸行业的调查）和公众对记者超越法律行为的关注，英国议会决定将记者和新闻界纳入数据保护法的管辖范围，并责成ICO制定《数据保护和新闻业务守则》，以帮助媒体理解和履行其法定义务。爱德华强调，该守则没有任何内容构成对新闻自由的限制。在就准则草案进行磋商后，该草案仍在审议中，ICO一直在与记者和媒体人士进行沟通，以了解数据的使用方式以及法律将如何适用于他们。

https://www.dataguidance.com/news/uk-ico-responds-criticism-draft-data-protection-and

16.新西兰隐私专员办公室对Mercury IT公司数据泄露行为发起调查

2022年12月21日，新西兰隐私专员办公室（OPC）宣布对提供电信服务的Mercury IT公司展开数据合规调查。OPC指出，新西兰高等法院曾于2022年12月20日发布关于禁止任何人存储、发布或访问从Mercury IT受攻击事件中所获信息的禁令。高等法院称Mercury IT持有的大部分信息已被加密且无法访问，但受到攻击的信息仍可能存在被攻击人威胁和泄露的风险。

https://www.dataguidance.com/news/new-zealand-opc-initiates-investigation-mercury-it

17.爱尔兰数据保护委员会对推特数据泄露行为发起调查

2022年12月23日，爱尔兰数据保护委员会（DPC）宣布依法对推特非法泄露用户数据的行为展开调查。据多家国际媒体报道称，推特公司的用户个人信息数据集被公布于互联网上，这些数据集包含了全球约540万推特用户的个人数据，数据类型上涵盖了数据主体的推特ID、电子邮件地址和电话号码。DPC表示已就此次个人数据泄露事件询问推特公司，并初步认为其已违反了GDPR的相关规定，且违反的情况可能仍在继续。对此，推特方面表示此次数据泄露是生成数据集的源代码漏洞所造成的。

https://www.dataguidance.com/news/ireland-dpc-launches-inquiry-twitter-unlawful