1. 英国脱欧后的数据立法或推迟

英国数字、文化、媒体和体育部（DCMS）官员表示将进一步就《数据保护和数字信息法案》（the Data Protection and Digital Information Bill）进行公开咨询，这意味着英国脱欧后的新数据立法可能会面临延迟。早在今年7月，DCMS发布了新的数据法案，旨在获得欧盟委员会第三国个人信息保护充分性认定的前提下 “更新和简化” 英国的数据保护框架，替代脱欧前在英国实施的GDPR，展现英国脱欧的优势。尽管细节似乎已经确定，但为了尽快让所有相关利益团体在实现欧盟充分性认定和经济创新与发展的平行目标下达成共识，DCMS推迟了该法案进入下议院二读的进程。

https://techmonitor.ai/policy/geopolitics/data-protection-bill-uk-gdpr-replacement-brexit

2. 2022年IAPP欧洲数据保护大会即将举行

2022年国际隐私专业协会( IAPP)欧洲数据保护大会将于11月16至17日在比利时首都布鲁塞尔召开。会议不乏热点话题，从欧盟和美国之间新《隐私盾协议》的批准流程，再到欧洲数据保护委员会明年就人脸识别技术监管和GDPR认证问题要求成员国数据保护专员可能采取的共同执法行动。从战略层面上来说，此次会议的主题有以下两项：一是需要弄清《数据治理法》（DGA）,《数据服务法》（DSA）,《数据市场法》（DMA）, 《网络信息系统指令》（NISD）, 《数据法》（DA）中相关术语的法律意义，帮助人们理解这些法律的主要要求、条款和执行机制等。二是关于数据主权的内涵，目前欧盟和成员国领导人之间对此尚未达成共识,包括了贸易友好的定义和彻头彻尾保护主义的概念。数据主权概念的更友好还是更具保护主义有两个重要指标，一个是数据本地化、市场准入限制方面的要求，例如欧盟委员会近期提议出台欧盟健康数据空间条例（要求欧盟医疗电子数据存储在欧盟境内）则是拟采取更具保护主义的数据主权；二是获得欧洲云服务网络安全认证的难易程度，例如欧盟网络安全局起草的云服务网络安全认证规则将导致非欧盟云服务商难以获得该认证也代表一种保护主义的数据主权。

https://iapp.org/news/a/a-view-from-brussels-the-upcoming-iapp-europe-data-protection-congress-2022/

3. 日本个人信息保护委员会就医疗机构处理个人信息发布警报

2022年11月2日，日本个人信息保护委员会（PPC）发布了关于医疗机构处理个人信息的警告,指出多家医疗机构在向第三方提供手术视频之前没有首先获得伦理委员会的许可。具体来说，PPC规定了处理手术视频时必须遵守的规则，其中医疗机构处理手术视频与《个人信息保护法》中定义的个人信息相对应。一是PPC详细规定，企业经营者在向第三方提供个人信息时，必须明确使用目的，并且不得超出实现指定目的所需的范围处理视频。二是PPC指出，未经相关人员事先同意，企业经营者不得向第三方提供个人信息，向患者解释视频将用于学术研究是不够的,因为PPC规定医疗器械制造商不属于学术研究机构范畴。三是PPC规定，企业经营者必须采取必要和适当的措施，防止他们处理的个人信息泄露，当员工处理个人信息时，他们必须对员工进行必要监督，以确保上述个人信息的安全。

https://www.dataguidance.com/news/japan-ppc-issues-alert-handling-personal-information

4. 欧盟《数字市场法》（DMA）自11月1日起生效

《数字市场法》（DMA）将于2022年11月1日起正式生效。欧盟委员会指出，DMA通过明确在网络平台经济中充当 “守门人” 的公司需要遵守的一系列义务。DMA生效后将进入实施阶段，并于2023年5月2日开始适用。在2023年7月3日前，如果潜在的 “守门人” 达到DMA规定的门槛，则其必须将核心平台服务通知欧盟委员会。随后，欧盟委员会将有45个工作日来评估有关企业是否符合上述门槛，并指定他们为“守门人”。欧盟委员会还规定，在指定“守门人”后，这些“守门人”将有六个月的时间来遵守DMA的要求。此外，欧盟委员会表示正在制定一项DMA实施细则，明确通知程序的具体要求。

https://www.dataguidance.com/news/eu-dma-enters-force

5.黑森州数据保护机构对允许非法数据传输的浏览器发出警告

德国黑森州数据保护机构（HBDI）于2022年11月3日发布警告,指出一些浏览器,特别是包含基于云功能的浏览器为了用户更舒适的使用互联网而为其输入提供“改进”或“智能”写作支持，一旦这些功能在浏览器上处于激活状态，可能意味着用户输入的所有内容在没有GDPR所要求的法律依据的情况下被传输到浏览器制造商的服务器。因此，HBDI建议黑森州各类组织检查他们使用的浏览器设置，并在必要时进行调整，以确保遵守数据保护规则。为此，HBDI还指出，如果担心激活浏览器上的智能写作功能会对IT安全造成危险，可以联系当地信息安全专家。

https://www.dataguidance.com/news/hesse%C2%A0hbdi-warns-against-browser-settings-allow

6.西班牙数据保护机构对CaixaBank数据违规罚款2.5万欧元

基于用户的投诉,西班牙数据保护机构（AEDP）于2022年11月2日决定对CaixaBank违反GDPR第16条的行为处以25000欧元的罚款。投诉人声称CaixaBank没有及时充分地处理他们的个人数据纠正请求,如未更正他们在CaixaBank家庭银行在线平台上可访问的地址。AEPD调查后确认CaixaBank未更新申诉人的地址，并忽略了投诉人发出的多次更改请求,违反了GDPR第16条。

https://www.dataguidance.com/news/spain-aepd-fines-caixabank-25000-violation-article-16

7.美国金融犯罪执法网络称银行系统遭勒索软件入侵事件增加

美国金融犯罪执法网络（FinCEN）于2022年11月1日发布一份题为“2021年7月至2021年12月期间《美国银行保密法》相关数据显示银行系统遭勒索软件入侵的趋势”的金融趋势分析报告。其中，《美国银行保密法》相关数据指的是根据《美国银行保密法》向FinCEN提交的银行网络安全威胁相关信息。FinCEN强调，2021年1月1日至6月30日期间至少发生了458起勒索软件事件，2021年7月1日到12月31日期间又发生了793起勒索事件，共涉及金额近12亿美元。此外，FinCEN还指出，勒索软件事件自2020年以来显著增加，且2021下半年向FinCEN报告的事件中约75%与俄罗斯勒索软件有关。

https://www.dataguidance.com/news/usa-fincen-issues-report-increased-ransomware-payments

8.加利福尼亚州就CCPA 修订草案征询公众意见

加州隐私保护机构（CPPA）于2022年11月3日发布了《2018年加州消费者隐私法》（CCPA）的修订草案，并正在对此征求公众意见。草案修订的主要内容包括：进一步明确敏感个人信息的使用规则、消费者选择退出个人信息销售或共享的权利行使机制、企业使用个人信息的目的限制规则等。

https://www.dataguidance.com/news/california-cppa-requests-public-comments-revised

9.美国电子隐私信息中心就《外国情报监视法》改革提交意见

美国电子隐私信息中心（EPIC）于2022年11月7日宣布，已就隐私和公民自由监督委员会审查《外国情报监视法》（FISA）第 702 条的政府监控项目提交了评论。FISA第702条授权美国国家安全部门（NSA）对在美国境外、使用美国通讯服务提供商所提供服务的非美国公民进行通信监控，前提是该部门向外国情报监视法院（FISA Court）提交一份书面申请，一旦获得其批准，该安全部门就可以在最长一年内对申请中指明的特定非美国公民进行通信监控，即要求美国通讯服务提供商提供该人的通信内容（即后门搜查），且该服务提供商必须提供。EPIC特别敦促该委员会应建议国会禁止使用缺乏证据的后门搜查，加强隐私保障措施，如让外国情报监视法院发挥更大的作用，加强非美国人隐私保护立法，限制情报部门绕过刑事案件中的通知要求等。

https://www.dataguidance.com/news/usa-epic-submits-comments-reform-section-702-fisa

10.韩国通信委员会宣布手机数据泄露预防计划

韩国通信委员会（KCC）于2022年11月8日宣布，已制定一项手机数据泄露预防计划，包括移动运营商、韩国消费者组织协会和研究机构在内的各种利益相关者都参与其中。KCC特别强调，该计划主要通过利益相关者进行讨论，旨在找到妥善解决手机数据泄露的方案，分析数据泄露案例，并讨论电信部门防止数据泄露的政策措施。

https://www.dataguidance.com/news/south-korea-kcc-announces-cell-phone-data-breach

11.西班牙数据保护局对BBVA数据违法罚款8万欧元

西班牙数据保护局(AEPD)于2022年11月10日对Bilbao Vizcaya Argentaria (BBVA)银行处以8万欧元的罚款，原因是违反了GDPR第5(1)(f)条和第32条。AEPD指出，申诉人要求BBVA为他们的账户提供所有权证明，但他们收到了一份涉及第三方个人的合同副本；申诉人已通知BBVA该该文件没有被销毁，申诉人可以继续通过与BBVA的联系聊天获得该文件。经调查，AEPD确认BBVA向申诉人提供了一份载有第三方个人数据的合同，违反GDPR第5(1)(f)条有关个人信息完整性和保密性原则的要求，对其处罚5万欧元；而且，BBVA在违规发生时没有采取足够的技术和组织措施来防止提供第三方合同的情况，构成违反GDPR第32条，对其罚款3万欧元。

https://www.dataguidance.com/news/spain-aepd-fines-bbva-80000-violating-integrity-and

12.澳大利亚新南威尔士州立法要求政府机构发出数据泄露通知

《2022 年隐私和个人信息保护修正案》将为新南威尔士州政府机构创建一个强制性的数据泄露通知计划，以应对公民个人数据泄露。司法部长马克·斯皮克曼（Mark Speakman）表示，该法律将通过强制公共机构对个人信息泄露事件通知隐私专员和那些可能受影响的个人。

https://iapp.org/news/a/new-south-wales-legislation-would-require-data-breach-notification-for-government-agencies/

13.欧洲数据保护监管局呼吁改善《欧洲媒体自由法案》的数据保护措施

欧洲数据保护监管局（EDPS）于2022年11月14日发布有关《欧洲媒体自由法案》的意见。EDPS对旨在防止部署高度先进的军用级间谍软件的提议措施表示关切，认为这些措施不足以有效保护包括媒体自由在内的欧盟基本权利和自由。因此，EDPS认为，开发或部署这类间谍软件的例外情况应极为有限，并应以非常精确的方式加以界定，同时还应辅之强有力的数据保护措施。此外，EDPS建议明确列出公开某些个人信息的公共利益目的，以及根据这些目的应当公开的个人数据类别。

https://www.dataguidance.com/news/eu-edps-releases-opinion-eu-media-freedom-act-calls

14.欧洲数据保护监管局发布TechSonar2022-2023报告

2022年11月10日，欧洲数据保护监管局（EDPS）发布了《2022-2023年TechSonar报告》，该报告建立在EDPS的一种信念之上，即其认为预测未来数字世界风险和损害的多方利益相关者进行对话是保障隐私权和数据保护基本权利的最有效方式之一。该报告特别分析了一些选定的技术，即央行数字货币、假新闻检测系统、元宇宙、联邦学习和合成数据，并分析了每一项技术对数据保护产生的可预期积极和消极影响。

https://www.dataguidance.com/news/eu-edps-publishes-techsonar-2022-2023-report

15.英国信息专员对Zuwyco公司非法营销行为罚款16万英镑

英国信息专员（ICO）于2022年11月11日对 Zuwyco 处以16万英镑的罚款，原因是该公司违反了《2003年英国隐私和电子通信（EC指令）法规》（PECR）第21和24条。具体而言，在2021年1月1日至8月1日期间，Zuwyco使用公共电信服务，以直接营销为目的，向被列入ICO“谢绝来电”名单的用户/数据主体拨打了93558个未经请求的电话，违反了PECR的第21(1)(b)条。此外，Zuwyco没有按照PECR第24条的规定，向接收电话的人提供PECR第24(2)条所指明的资料。ICO命令Zuwyco在处罚通知发出之日起30天内采取补救措施：一是不以直接营销为目的使用公共电子通信服务给符合下列任一情况的数据主体拨打未经请求的电话：（1）之前已经通知Zuwyco他们不希望收到此类电话；或（2）至少在通信28天前在ICO的登记簿上登记了他们的号码，并且没有通知Zuwyco他们不反对此类电话；二是如果Zuwyco使用公共电子通信服务进行直接营销通信，应确保向通信接收者提供来电者的姓名，并在接收者要求时提供来电者的地址或可以免费联系到他们的电话号码。值得注意的是，ICO表示，对Zuwyco的16万英镑罚款最迟必须在2022年12月9日之前支付，如果该公司在2022年12月8日之前全额支付罚款，则罚款金额可减少至12.8万英镑。然而，ICO进一步指出，如果该公司决定行使其上诉权，将无法获得这种因提前付款享有的折扣。

https://ico.org.uk/action-weve-taken/enforcement/zuwyco-limited-mpn/

原文来源：关键基础设施安全应急响应中心

“投稿联系方式：010-82992251 [email protected]”