域外数据立法动态（4.24-4.28）

+ + + + + + + + + + + 

2023年4月25日

• 欧盟委员会指定第一批超大型在线平台和搜索引擎

• 缅因州重新引入类似于伊利诺伊州 BIPA 的生物识别隐私立法

• 印度《个人数据保护法案》草案删除了数据本地化条款

2023年4月27日

• 欧洲数据保护委员会为小型企业推出数据保护指南

• 加拿大的数字宪章实施法案通过二读

+ + + + + 

 NO.1 

欧盟委员会指定第一批超大型在线平台和搜索引擎

4月25日消息，欧盟委员会根据《数字服务法》 (DSA) 通过了第一项决定，指定了17 个 超大.型在线平台(VLOP) 和每月至少有 4500 万活跃用户的2 个超大型在线搜索引擎(VLOSE)：

（1）超大在线平台：

Alibaba AliExpress、Amazon Store、Apple AppStore、Booking.com、Facebook、Google Play、Google Maps、Google Shopping、Instagram、LinkedIn、Pinterest、Snapchat、TikTok、Twitter、Wikipedia、YouTube、Zalando

（2）超大在线搜索引擎：

Bing、Google Search

这些平台是根据他们在 2023 年 2 月 17 日之前发布的用户数据所作出的制定。

作出指定以后，这些公司必须在四个月内遵守 DSA 规定的新义务。包括：

（1）更多用户授权：

● 用户将清楚地了解为什么向他们推荐某些信息，并有权选择退出基于分析的推荐系统；

● 用户将能够轻松举报非法内容，平台必须认真处理此类举报；

● 不能根据用户的敏感数据（如种族、政治观点或性取向）展示广告；

● 平台需要给所有广告贴上标签，并告知用户是谁在推广它们；

● 平台需要以其运营所在成员国的语言提供易于理解、通俗易懂的条款和条件摘要。

（2）强保护未成年人：

● 平台将重新设计他们的系统，以确保高度的隐私、安全和未成年人的安全；

● 不再允许基于儿童画像的定向广告；

● 必须在指定后 4 个月向委员会提供特殊风险评估，包括对心理健康的负面影响，并最迟在一年后公布；

● 平台将不得不重新设计他们的服务，包括他们的界面、推荐系统、条款和条件，以减轻这些风险。

（3）更勤奋的内容审核，更少的虚假信息：

● 平台和搜索引擎需要采取措施解决与在线传播非法内容相关的风险以及对言论和信息自由的负面影响；

● 平台需要有明确的条款和条件，并认真、非任意地执行；

● 平台需要有一种机制，供用户标记非法内容并根据通知迅速采取行动；

● 平台需要分析他们的具体风险，并采取缓解措施——例如，解决虚假信息的传播和对他们服务的不真实使用。

（4）更高的透明度和问责制：

● 平台需要确保其风险评估及其对所有 DSA 义务的遵守情况经过外部独立审计；

● 他们将不得不向研究人员提供公开可用数据的访问权限；稍后，将为经过审查的研究人员建立一个特殊机制；

● 他们将需要发布在其界面上投放的所有广告的存储库；

● 平台需要发布有关内容审核决策和风险管理的透明度报告。

在通知指定决定后 4 个月内，指定平台和搜索引擎需要调整其合规系统、资源和流程，建立独立的合规系统，并向委员会报告其首次年度风险评估。

 NO.2 

缅因州引入了以伊利诺伊州“黄金标准”为蓝本的生物识别隐私立法

4月25日消息，缅因州立法机构的成员重新提出了一项生物识别信息隐私法案，类似于伊利诺伊州生物识别信息隐私法案。缅因州法案要求个人在私人实体获取或使用个人生物识别数据之前提供书面授权，禁止私人实体出售该信息。这一要求，主要仿照 2008 年伊利诺伊州的一项法律，该法律被认为是生物识别隐私的黄金标准。

与伊利诺斯州的生物识别信息隐私法一样，缅因州的法案包括一项私人诉讼权，这是一种允许人们单独起诉违反该法规的公司的法律机制。伊利诺伊州法律的这一组成部分是去年美国公民自由联盟与备受争议的面部识别软件公司 Clearview AI 之间达成和解的基础。

在缅因州，实体必须为因疏忽造成的违规行为支付 1,000 美元，为鲁莽或故意不当行为导致的违规行为支付 5,000 美元。虽然生物特征数据的定义因州而异，但缅因州的法案将其表示为虹膜、视网膜、指纹、面部或手部的声纹或图像，可用于识别个人身份。根据拟议的法律，缅因州的私人实体还必须制定一项政策，以保留和销毁他们收集的生物特征标识符。生物识别数据也必须在客户最后一次与公司有意互动后的一年内销毁，或者如果有人要求删除数据，则必须在 30 天内销毁。

去年引入了缅因州法案的类似版本，但由于该州私营部门的反对而失败。缅因州商会批评它“过于宽泛”，只挑出私人诉讼权。但缅因州是生物识别法规的先行者，该州在 2021 年禁止部分人脸识别技术的使用，

 NO.3 

印度《数字个人数据保护法案》草案删除了数据本地化条款

印度在拟议的《数字个人数据保护法案》的最新版本中，数据本地化条款发生了变化。印度政府希望所有创新者和初创企业都可以选择获取最佳技术和存储定价，因此，印度政府更改了最新版本的《数字个人数据保护法案》中的数据本地化条款。在最新版本的 2022 年《数字个人数据保护法案》中，该法案允许将个人数据传输到它通知的国家/地区。这与该法案的先前版本不同，该版本对敏感和关键个人数据的跨境传输有特殊的本地化规定。如果数据受托人表示他们将使用位于美国、日本或韩国的数据中心，那么只要数据中心尊重已同意并的印度公民的权利，就允许数据传输。

 NO.4 

欧洲数据保护委员会为小型企业推出数据保护指南

4月27日消息，欧洲数据保护委员会（EDPB）发布了一份数据保护指南，以帮助小型企业提高数据保护合规性。该指南旨在提高人们对 GDPR 的认识，并以易于理解的格式向中小企业提供有关 GDPR 合规性的实用信息。在指南中，中小企业将找到各种工具和实用技巧来帮助他们遵守 GDPR。它包括在EDPB 5 年的 GDPR 经验中收集的具体示例。

该指南涵盖了 GDPR 的各个方面，从数据保护基础知识到数据主体权利、数据泄露等。它包含视频、信息图表、交互式流程图和其他实用材料，可帮助中小企业将数据保护付诸实践。此外，该指南还概述了国家数据保护机构为中小企业开发的便利材料。

该指南目前提供英文版本，以后将提供其他欧盟语言版本。