域外数据立法动态（5.1-5.5）

+ + + + + + + + + + + 

2023年5月5日

• 西班牙数据保护局发布了“数据空间”工作指南

• EDPS发布关于国际犯罪数据共享协议的意见

• 爱尔兰数据保护委员会发布员工数据保护指南

• 美国军方从第三方购买“跟踪定位数据”

• 英国申请加入全球跨境隐私规则论坛

+ + + + + 

 NO.1 

西班牙数据保护局发布了“数据空间”工作指南

5月4日消息，西班牙数据保护局 （Agencia Española de Protección de Datos，AEDP）发布了一份指南，分析了与个人数据保护法规有关的数据空间的创建和使用。指南的适用对象是介入这些数据空间的控制者和处理者，数据保护官员和顾问，以及所有在数据共享模式框架内进行个人数据处理或授权、监督或协助处理的介入方。

该指南既涉及影响数据空间的基本监管框架，也涉及正在制定的规范框架，指南有几个章节专门讨论“数据空间设计中的数据保护的适用性”，以及数据保护官员在确保遵守法律方面的作用。

 NO.2 

EDPS发布关于国际犯罪数据共享协议的意见

 NO.3 

爱尔兰数据保护委员会发布员工数据保护指南

5月1日消息，爱尔兰数据保护委员会发布了新的员工数据保护指南。指南文件专门旨在协助作为数据控制者的雇主在处理其雇员、前雇员和未来雇员的个人数据时履行其数据处理义务和职责。雇主收集和处理有关潜在和现有雇员的大量个人数据。在某些情况下，雇主也可能继续处理前雇员的个人数据。这些个人数据包括姓名、地址和 PPSN 等基本信息，但也可能包括职业健康、病假、绩效评估或纪律处分等信息。因此，作为数据控制者的雇主必须注意他们在 GDPR 和 2018 年数据保护法下的责任、义务和义务。

该指南还包括员工监控和跟踪指南。GDPR第24（1）条要求数据控制者“实施适当的技术和组织措施”以遵守GDPR第5（1）（f）条。在就业背景下的技术和组织措施的例子包括措施，如但不限于假名化，匿名化，限制访问个人数据的授权人员，加密备份和测试，文件访问审计日志。

GDPR第24（2）条详细说明了适当的技术和组织措施“应包括由控制员实施适当的数据保护政策”。雇主可能希望实施专门针对处理员工数据的数据保护政策，并为处理客户或公众成员的任何个人数据制定单独的政策。雇主也可能为员工和客户或公众成员制定单独的数据保留和存储政策，为互联网、个人设备以及闭路电视的使用。这些政策将需要满足GDPR第13/14条规定的透明度义务，并且必须“易于获取和理解，使用清晰明了的语言”。

除雇主政策外，雇主还需考虑与代表其处理与其相关数据的任何第三方的关系。在这方面，数据控制者和处理者之间或联合控制者之间需要有适当的协议。

根据数据保护法，雇员享有一些具体的权利，可以随时了解和掌握其个人数据的处理情况。如果员工希望行使这些权利，雇主有一定的义务和时间限制进行配合。虽然数据保护权利来源于GDPR第15-22条和第34条，但员工在工作环境中最常行使的权利是访问个人数据的权利（第15条）和纠正的权利（第16条）。

 NO.4 

美国军方从第三方购买“跟踪定位数据”

据4月28日IAPP消息，美国军方向第三方应用程序购买世界各地人们的精细运动数据，这些数据是从看似无害的应用程序中收集的。在与此类数据销售相关的应用程序中，最受欢迎的应用程序是穆斯林祈祷和古兰经应用程序，该应用程序在全球拥有超过 9800 万次下载。其他包括一个穆斯林约会应用程序、一个流行的 Craigslist 应用程序、一个跟踪风暴的应用程序，以及一个可用于帮助的“水平”应用程序，例如，在卧室安装架子。

通过公开记录、对开发人员的采访和技术分析，美国军方使用或已经使用的两个独立的并行数据流来获取位置数据。一个依赖于一家名为 Babel Street 的公司，该公司创建了一个名为 Locate XUS 特种作战司令部（USSOCOM）的产品，这是一个负责反恐、镇压叛乱和特种侦察的军方分支机构，购买了 Locate X 以协助海外特种部队行动. 另一个流是通过一家名为 X-Mode 的公司，该公司直接从应用程序获取位置数据，然后将该数据出售给承包商，进而出售给军方。

向 X-Mode 发送数据的应用程序包括 Muslim Pro，这是一款提醒用户何时祈祷以及麦加相对于用户当前位置的方向的应用程序。根据Google Play 商店的数据，该应用程序在 Android 上的下载量已超过 5000 万次，根据Muslim Pro 的网站，在包括 iOS 在内的其他平台上的总下载量已超过 9800 万次。