编译 | 韩嘉艺、张文朝、程潇莹

审校 | 张金平、张奕欣、邢潇

指导编制 | 卓子寒

1.欧盟法院总法律顾问就非法访问个人数据的非物质损害发表意见

2023年4月27日，欧盟法院（CJEU）发布一则新闻称，总法律顾问对保加利亚最高行政法院提起的初步裁决请求提出意见，该案件涉及公共机构持有的个人数据因遭受黑客攻击泄露的情况下，相关数据主体获得非物质损害赔偿的条件。总法律顾问认为，即使个人数据泄露，也不意味着数据控制者没有采取适当的数据保护措施，应由成员国法院对数据保护措施的内容、实施方式及其实际效果进行具体分析，确定所采取措施的适当性。总法律顾问还强调，数据控制者对数据保护措施的适当性负有举证责任，只有在高度证明其对损害结果没有任何责任的情况下，才能免除其责任。总法律顾问认为，未来数据主体担忧其个人数据被滥用，可能被认定为构成非物质性损害，如果数据主体能够证明自身遭受了真实且特定的精神损害并经法院审理确认，数据主体将获得赔偿的权利。

https://www.dataguidance.com/news/eu-ag-issues-opinion-non-material-damages-case-unlawful

2. 意大利数据保护局同意OpenAI公司在意大利恢复运营ChatGPT

2023年4月28日，意大利数据保护局（Garante）宣布，OpenAI公司已经按照Garante的要求，对ChatGPT采取一系列措施，现在基于这些措施恢复OpenAI公司在意大利的ChatGPT运营。OpenAI公司采取的措施包括：扩大向欧盟用户和非用户提供信息的范围；修订和澄清若干机制，并提出用户和非用户能够行使权利的解决方案，例如选择不同意处理用于训练算法的个人数据；在意大利用户注册的页面上，增加一个选项，使用户在使用该服务之前确认他们至少年满18岁，或者确认他们年满13岁且已获得父母的同意。

https://www.dataguidance.com/news/italy-garante-authorises-openai-reinstate-chatgpt

3.丹麦数据保护局要求医疗机构履行信息提供义务

2023年5月3日，丹麦数据保护局（Datatilsynet）宣布，Statens Serum医疗机构在处理个人信息时未履行信息提供义务，违反了GDPR的规定。Datatilsynet指出，该医疗机构在接收血液样本进行分析以及决定将剩余样本存储在丹麦国家生物银行时，没有根据GDPR第14(1)条至14(4)条的规定向数据主体提供数据处理的信息。该医疗机构辩称，履行该义务需要付出巨大行政和财务支出，根据GDPR第14(5)(b)条的规定，这种情况下应免于履行信息提供义务。Datatilsynet认为该医疗机构不符合GDPR第14(5)(b)条免除信息提供义务的规定，不能基于此条规定规避其信息提供义务。因此，Datatilsynet要求该医疗机构采取适当措施在规定期限内履行相关义务。

https://www.dataguidance.com/news/denmark-datatilsynet-requires-medical-institution

4. 克罗地亚个人数据保护局对B2 capital公司未经授权处理个人数据的行为罚款226.5万欧元

2023年5月4日，克罗地亚个人数据保护局（AZOP）宣布对B2 capital公司处以226.5万欧元的罚款。AZOP表示收到关于B2 capital公司未经授权处理大量个人数据的匿名举报，举报人提供了证据证明该公司购买信用机构未偿还债务者个人信息的u盘，其中包含约7万人的姓名、出生日期等。经过调查，AZOP发现B2 capital公司有四大违规行为：一是没有告知数据主体其处理数据的法律依据，违反了GDPR第13(1)条的规定；二是该公司对个人数据的不透明处理，违反了GDPR第6(1)条的规定；三是该公司作为数据控制者未能与数据处理者签订数据处理合同，违反GDPR第28(3)条的规定；四是该公司未能采取适当的技术和组织措施，违反了GDPR第32(1)(b)和32(2)条的规定。

https://www.dataguidance.com/news/croatia-azop-fines-b2-kapital-227m-unauthorised

5.欧盟法院排除GDPR下的严格罚款责任

2023年5月4日，欧盟法院（CJEU）对立陶宛卫生部下属的国家公共卫生中心诉立陶宛数据保护监察局（VDAI）一案作出判决。CJEU指出，该案涉及国家公共卫生中心开发的一款移动应用程序，该应用程序在2020年4月和5月收集了新冠肺炎患者接触者的个人数据。争议焦点在于数据控制者缺乏主观上违规的故意或疏忽（即没有任何过错）时是否应当处以行政罚款。对此，CJEU认为，必须将GDPR第83条规定的罚款，解释为只适用于制裁故意或过失的侵权行为，从而排除GDPR下的严格罚款责任。

https://www.dataguidance.com/news/eu-cjeu-issues-judgement-excluding-strict-liability

6. 欧盟法院解释获取个人数据副本的权利范围

2023年5月4日，欧盟法院（CJEU）在有关主体诉奥地利数据保护局（DSB）一案中作出初步判决。联邦行政法院要求明确，当数据控制者以汇总表的形式传输个人数据时，是否满足GDPR第15(3)条规定的提供正在处理的个人数据备份的义务，或者该义务是否还需要传输文件摘录、整个文件、以及从数据库中摘录的数据副本。对此，CJEU认为，根据GDPR的规定，数据控制者必须向数据主体提供所有数据的可靠和便于理解的副本。CIFU解释称，在不损害他人的权利和自由的情况下，数据主体有权获得数据的文件摘录、整个文件或从数据库摘录的副本。此外，CJEU提醒，“副本”一词并非指文件本身，而是指文件所载的个人数据。

https://www.dataguidance.com/news/eu-cjeu-interprets-extent-right-obtain-copy-personal

7.欧盟法院就GDPR获得赔偿权的条件作出初步判决

2023年5月4日，欧盟法院（CJEU）在有关主体诉奥地利邮政一案中作出初步判决。CJEU表示，奥地利邮政利用算法收集了涉及政治偏好的个人数据，旨在帮助奥地利某一政党。但数据主体并未同意该数据处理，并声称奥地利邮政收集并分析他们政治偏好的行为使他们遭受精神上的痛苦。针对损害赔偿，CJEU强调，GDPR规定获得赔偿权受三个递进式条件约束，并非所有违反GDPR的行为都会产生获得赔偿的权利。这三个递进式条件是：存在违反GDPR的侵权行为、损害的存在、损害和侵权行为之间的因果关系。此外，CJEU认为，获得赔偿的权利并不局限于达到一定严重性的非物质损害，GDPR没有任何关于损害评估的规定，在遵守平等原则和有效性原则的基础上，赔偿范围和标准应由每个成员国自行确定。

https://www.dataguidance.com/news/eu-cjeu-issues-judgment-gdpr-infringement-and-right

8.西班牙数据保护局对GSMA公司未进行数据保护影响评估罚款20万欧元

2023年5月4日，西班牙数据保护局（AEPD）公布了一份罚款决定，GSMA公司因违反GDPR第35条数据保护影响评估的规定被罚款20万欧元。一名曾受邀参加世界移动通信大会（MWC）的英国公民投诉称其在参加该会议时被强制要求上传护照照片。AEPD经调查后认为，GSMA公司为参会者建立了一个由第三方提供服务的身份识别系统，该系统基于面部识别和生物识别。然而，作为个人信息控制者，GSMA公司并未在收集和处理个人信息前进行实质性审查，也并未评估处理的风险、处理的必要性及其对相关方权利和自由的影响等。因此，AEPD认为GSMA公司未进行数据保护影响评估违反了GDPR第35条的规定。

https://www.dataguidance.com/news/spain-aepd-fines-gsma-200000-failing-carry-out-dpia

9.智利众议院通过个人数据保护法改革法案

2023年5月8日，智利众议院宣布通过《规范个人数据处理和保护以及建立个人数据保护局》相关法案，并将随后提交该法案至参议院审议。该法案规定了各种新定义和若干项数据主体权利，例如个人数据访问权、更正权、删除权和数据可移植性权利，同时规定数据主体有反对处理其个人数据的权利。具体来说，该法案包括以下几点：一是规范特殊类别数据的处理；二是概述数据控制者和处理者的下述义务：数据保护义务、采取技术和组织安全措施义务、违反相关安全措施时的报告义务；三是对通过第三方或代理机构进行的数据传输和处理活动作出规定；四是规定建立一个独立的机构作为个人数据保护机构。

https://www.dataguidance.com/news/chile-bill-reform-data-protection-law-passes-chamber

10.丹麦数据保护局认为有共同监护权的父母可以代表儿童行使其访问权

2023年5月8日，丹麦数据保护机构（Datatilsynet）发布新闻稿阐述了共同监护儿童适用GDPR第15条规定的数据主体访问权的行使问题。Datatilsynet明确指出，父母可以代表儿童提出访问请求，行使其访问权。任一方享有监护权的父母可以在未征得另一方同意的情况下代表孩子提出访问请求。若行使访问权需要获得双方父母同意，将会使问题变得复杂，同时违反了GDPR第12(2)条要求数据控制者为数据主体行使权利提供便利的规定。不过，Datatilsynet指出，在某些具体情况下，仍然需要父母双方同意才能请求访问儿童个人数据。

https://www.dataguidance.com/news/denmark-datatilsynet-addresses-right-access-behalf

11.伊比利亚美洲数据保护机构宣布对ChatGPT采取行动

2023年5月8日，伊比利亚美洲数据保护机构（RIPD）宣布，其将针对OpenAI运营的ChatGPT服务采取行动。RIPD认为，ChatGPT可能会对用户个人数据权利产生风险，这些风险包括缺乏法律依据处理个人信息、未能遵守数据保护条例规定的数据主体权利行使的规定、未经数据主体同意将个人数据转移给第三方、缺乏防止未成年人访问的年龄限制措施，以及可能没有足够的安全措施来保护所收集的个人数据。鉴于上述情况，RIPD决定对ChatGPT采取监控措施，并将在网络框架内进行协调行动。在行动结束和可能的风险解决之前，RIPD建议用户自行查阅与ChatGPT服务相关的隐私政策，以评估是否要提供其个人数据。

https://www.dataguidance.com/news/international-ripd-announces-coordinated-action-chatgpt

12.澳大利亚信息专员办公室与新西兰隐私专员办公室对Latitude Group公司发起联合调查

2023年5月10日，澳大利亚信息专员办公室（OAIC）宣布，其与新西兰隐私专员办公室（OPC）合作对澳大利亚消费金融公司Latitude Group的个人信息处理行为展开联合调查。此前，两国当局已经对该公司个人数据泄露事件进行了初步调查。OAIC表示，其调查集中在Latitude Group是否采取了合理措施，保护其存储的个人信息免遭滥用、干扰、丢失、修改或披露和未经授权的访问，以及是否采取了合理措施销毁或删除不再需要的个人信息。OAIC指出，如果调查结果显示，Latitude Group违反了一项或多项澳大利亚隐私原则，OAIC则有权要求该公司采取措施停止违法侵权行为，并就产生的任何损害结果进行赔偿。OAIC强调，如果该公司严重或反复违反澳大利亚隐私法，隐私专员有权请求联邦法院对其处以最高可达5000万澳元（约合3080万欧元）的罚款。此外，联合调查并不妨碍OAIC和OPC分别对该公司的违法行为做出单独决定。

https://www.dataguidance.com/news/australia-oaic-and-opc-launch-joint-investigation

13.欧洲议会反对根据欧美数据隐私框架批准美国的充分性决定

2023年5月11日，欧洲议会宣布一项决议，反对在欧盟-美国数据隐私框架（DPF）下通过美国充分性决定。议会强调，尽管欧美数据隐私框架优于此前的框架，但其仍未提供足够的保障。具体而言，欧洲议会议员认为欧美数据隐私框架仍允许在未经事先单独授权的前提下，批量收集个人数据并且没有规定明确的数据保留规则。此外，欧洲议会议员还认为数据保护审查法院（DPRC）决定的保密性将侵犯公民获取和更正其个人数据的权利。此外，美国总统有权解雇DPRC的法官和推翻其决定，将导致DPRC审查的独立性存疑。欧洲议会议员强调，数据传输的框架在未来必须是“可靠的”，对充分性的评估必须基于规则的实际执行情况，然而美国情报界的实践仍基于欧美数据隐私框架，此时无法评估其实际影响。因此，欧洲议会议员认为欧盟委员会不应根据现行欧美数据隐私框架作出充分性决定，同时敦促欧盟委员会确保未来的框架能够经受住法律挑战，并为欧盟公民和企业提供法律确定性。

https://www.dataguidance.com/news/eu-meps-adopt-resolution-against-granting-us-adequacy

14.德国数据保护会议发布关于主权云标准的立场文件

2023年5月11日，德国数据保护会议（DSK）发布了一份关于“主权云”应当达到标准的立场文件（编者注：主权云指在单一地理区域内提供满足数据驻留和法律要求的云服务，主权云有助于确保数据不受外部司法管辖控制，并为防止外国强制访问提供保护）。该文件重点关注数据保护以及数据主体在处理其个人数据时的权利和自由。立场文件强调，“主权云标准”旨在尊重所有相关各方的数字主权，主要针对云服务提供商和用户，无论其在数据保护法下的地位。“主权云标准”包含下列主题：透明度实现和可追溯性；数据主权和数据可控性；开放性；可预测性和可靠性；以及定期审查既定准则。

https://www.dataguidance.com/news/germany-dsk-publishes-position-paper-sovereign-cloud

15.美国田纳西州州长签署《信息保护法》法案

2023年5月11日，美国田纳西州州长批准签署了田纳西州《信息保护法案》。该法案将适用于在田纳西州开展业务或生产面向田纳西州居民的产品和向田纳西州居民提供服务，且收入超过2500万美元并符合下列标准之一的数据控制者或处理者：一是控制或处理至少17.5万名消费者的个人资料；二是控制或处理至少2.5万名消费者的个人信息，且从出售个人信息中获利超过其总收入的50%。该法案要求控制、处理或出售个人信息的企业遵守某些要求，保障消费者权利，包括知情权、访问权、更正权、删除权和数据可移植性权利，以及消费者选择拒绝出售个人信息、拒绝接收定向广告等权利。该法案还规定，若控制和处理行为遵守美国国家技术标准协会（NIST）的隐私程序或其他消费者隐私保护的有关政策、标准和程序，将可以成为控制者或处理者针对违法行为的抗辩理由。同时，该法案规定田纳西州总检察长拥有对涉嫌违反该法案的行为提起诉讼的职权。该法案将于2025年7月1日生效。

https://www.dataguidance.com/news/tennessee-bill-information-protection-act-signed