编译 | 韩嘉艺、唐海林、陆梅

审校 | 张金平、张奕欣

指导编制 | 卓子寒

1.欧盟《数字服务法》自2022年11月16日生效

2022年11月16日，《数字服务法》（Digital Services Act，简称DSA）正式生效。欧盟委员会指出，DSA适用于所有将消费者与商品、服务或信息内容联系起来的数字服务，旨在通过设定全新义务，将数字平台置于新的透明度和问责制框架之下，从而减少网络危害和应对在线风险，为在线用户的利益提供强有力的保护。欧盟委员会还强调，DSA是全球首个线上平台监管工具，为在线网络平台监管方法设定了国际基准。在DSA生效后，在线平台将有三个月的时间（即在2023年2月17日前）报告其网站上终端用户的活跃数量。根据这些用户数量，欧盟委员会将评估该平台是否应该被指定为超大型在线平台或搜索引擎，这些平台将有四个月的时间来履行DSA规定的义务，包括开展第一次年度风险评估工作并向欧盟委员会报告。欧盟委员会指出，欧盟成员国须在2024年2月17日（DSA的最晚适用日期）之前增设数字服务协调员（独立的行政机构，可以审计在欧洲范围内用户超过4500万的公司），届时DSA将适用于其范围内的所有平台。

https://www.dataguidance.com/news/eu-dsa-enters-force

2.美国联邦贸易委员会延长加强消费者金融数据保护的期限

2022年11月15日，美国联邦贸易委员会（FTC）宣布延长《消费者信息保障规则》（简称《保障规则》）的遵守期限至2023年6月9日。FTC强调，《保障规则》要求非银行金融机构（如抵押贷款经纪人、机动车经销商、发薪日贷款人），研发、实施和维护一个全面的安全计划，以确保其消费者的数据安全。延长规则期限的原因在于有一系列报告称，执行信息安全计划的合格人员短缺，升级安全系统所需的设备因供应出现问题而延期，再加之新冠肺炎疫情加剧了这些困难，使得小型机构难以遵守规则。

https://www.dataguidance.com/news/usa-ftc-extends-deadline-enhancing-consumers-financial

3.韩国个人信息保护委员会对IMO公司罚款780万韩元

2022年11月16日，韩国个人信息保护委员会（PIPC）经调查确认IMO 公司违反与实施安全措施义务相关的要求，且没有公布数据泄露的情况，IMO公司违反了《个人信息保护法》（2021）第29条和第39-4(1)条规定，故对IMO公司处以780万韩元（约5662欧元）罚款。

https://www.dataguidance.com/news/south-korea-pipc-fines-imo-krw-78m-pipa-violations

4.菲律宾国家隐私委员会发表关于《亚太经济合作组织跨境隐私规则》的声明

2022年11月17日，菲律宾国家隐私委员会（NPC）发布关于《亚太经济合作组织跨境隐私规则》（APEC CBPR）体系的概览，并称于2011年建立的APEC CBPR体系旨在满足公民对隐私保护的期望，同时支持信息的自由流动。此外，NPC还称菲律宾于2020年正式加入APEC CBPR体系，旨在通过最大限度地降低数据流动壁垒和采用与其他司法管辖区一致的数据隐私标准，为菲律宾企业进入亚太地区寻求更大的市场铺平道路。NPC强调，选择加入APEC CBPR体系的组织应对其收集或接收的所有个人信息，如采取符合该体系要求的隐私政策和做法，此后可将个人信息跨境转移至其他参与APEC的经济体。任一通过认证的组织即可加入APEC CBPR体系，CBPR将对其具有约束力，并将由适当的隐私执法机构强制执行，以确保组织遵守APEC CBPR计划要求。此外，NPC强调，当该组织拥有APEC CBPR认证，则表明该组织采取了保护个人数据的适当技术和组织措施，因此该认证对公司评估向其传输个人数据的第三方非常有用。

https://www.dataguidance.com/news/philippines-npc-publishes-statement-apec-cbpr-system

5.罗马尼亚国家个人数据处理监管局对Raiffeisen银行罚款28,000 欧元

2022年11月16日，罗马尼亚国家个人数据处理监管局（ANSPDCP）发布Raiffeisen银行因违反GDPR第25(1)、32(1)、32(2)和32(4)条的规定，对其处以28000欧元的罚款和两次警告。ANSPDCP提到，启动调查是在Raiffeisen银行提交多份数据泄露通知后。事件一是，在更新客户数据的过程中，银行工作人员在系统输入了错误的电子邮件地址，并将包含另一客户个人数据的文件发送给了该客户。事件二是，Raiffeisen银行通过电子邮件将机密数据发送给了非相关人员。事件三是Raiffeisen银行向一个客户发送了三个与信贷额度有关的数据，但该客户实际上没有申请此类服务。据此，ANSPDCP发现Raiffeisen银行没有采取足够的技术和组织措施，确保与自然人享有权利和自由处理风险相对应的安全级别。https://www.dataguidance.com/news/romania-anspdcp-fines-raiffeisen-bank-28000-multiple

6.法国数据保护局对Discord公司处以80万欧元罚款

2022年11月17日，法国数据保护局（CNIL）宣布，对Discord公司因违反GDPR第5(1)(e)条、第13条、第25(2)条、第32条和第35条的规定，处以80万欧元的罚款。具体来说，Discord公司实施的以下行为违反了GDPR的规定：缺乏书面数据保留政策，违反了第5(1)(e)条规定；缺乏向数据主体提供的保留期信息，违反了第13条规定；未能向用户通知语音信道连接和向第三方传输的信息，或未采取适当的技术措施确保在有上述信息的情况下可以实现数据传输，违反了第25(2)条规定的默认的数据保护义务；接受由六个字符组成的密码，包括字母和数字，违反第32条规定；确定无需进行数据保护影响评估（PIA），违反了第35条规定。在计算罚款时，CNIL综合考虑了Discord公司违规行为的性质、涉及的数据主体数量，非处理个人数据的商业模式以及Discord在CNIL执法程序中的配合等情况。

https://www.dataguidance.com/news/france-cnil-fines-discord-800000-data-security-and

7.印度电子和信息技术部发布《数字个人数据保护法案》草案征询公众意见

2022年11月18日，印度电子和信息技术部（MeitY）在推特上发布新的《数字个人数据保护法案》草案，并公开征询公众意见。该草案适用于（1）在印度境内在线收集或者离线收集被数字化的个人数据；（2）在印度境外但向印度境内数据主体提供商品或服务时收集的数据。值得注意的是，该草案要求个人数据转移到印度以外的特定国家和地区时，须经印度中央政府评估。此外，该草案设立印度数据保护委员会，负责监管和执法，如果有主体严重违反该草案，委员会可处以最高5亿卢比（约4360万人民币）的罚款。

https://www.dataguidance.com/news/india-meity-issues-new-digital-personal-data-protection

8.英国信息专员办公室发布国际数据传输风险转移评估指南

2022年11月17日，英国信息专员办公室（ICO）宣布对国际数据传输指南进行了更新，其中包括转移风险评估（TRA）的新内容和一个新的TRA工具。ICO表示，TRA特定章节阐明了由欧洲数据保护委员会（EDPB）提出的替代性方法，旨在为数据主体提供可行的权利保护，同时确保评估合理且适当。新的TRA工具中包含了六个问题，并提供了指导和表格帮助组织处理这些问题，其针对数据类别提供了一个初始风险指标，并且将重点放在转移是否会显著增加侵犯隐私或其他人权的风险问题上。ICO强调其正在从事指导工作，逐条向企业展示如何使用《国际数据传输协议》（IDTA）和《欧盟标准合同条款》（SCCs）的附录。

https://www.dataguidance.com/news/uk-ico-publishes-guidance-tras-international-data

9.澳大利亚政府宣布针对网络犯罪集团采取有针对性的行动

2022年11月12日，澳大利亚政府宣布，澳大利亚联邦警察局和澳大利亚信号局（即澳大利亚网络间谍部门）已启动联合行动，调查、打击和瓦解网络犯罪团体，重点打击勒索软件集团。该政府强调，该行动将根据目标可能造成的危害和对国家利益的威胁来确定目标的优先打击顺序，并将增强政府与国际伙伴和盟友在该领域的合作。该行动将收集情报、确定网络犯罪团体的头目、所使用的网络和基础设施，并干扰和阻止他们的行动。此外，为响应全球反勒索软件倡议，该政府计划从2023年初组建一个虚拟的国际反勒索软件工作组，并将联合政府间的主要国际利益相关者制定有效的解决方案来应对勒索软件威胁。

https://www.dataguidance.com/news/australia-government-announces-targeted-action-against

10.意大利国家网络安全局与意大利认证机构签署《网络安全认证管理协议》

2022年11月14日，意大利国家网络安全局（ACN）宣布其与意大利认证机构Accredia签署了一项合作协议，旨在管理合格评定机构（如认证机构、检查机构、测试实验室）的认证，确保公共和私人的信息安全。ACN解释说，网络安全认证是欧洲市场中公民和企业选择IT产品和服务的一个可靠指标。

https://www.dataguidance.com/news/italy-acn-signs-agreement-accredia-cybersecurity

11.各方主体对美国联邦贸易委员会关于商业监视和数据安全规则制定的回应

2022年11月21日前后，美国商会、加利福尼亚州总检察长罗伯·邦塔（Rob Bonta）、电子隐私信息中心（EPIC）、欧洲数据保护专业公署（EDPS）、爱尔兰公民自由委员会（ICCL）以及加利福尼亚州隐私保护局（CPPA）等对美国联邦贸易委员会（FTC）三个月前拟定的商业监视和数据安全规则征求意见稿发表意见。值得关注的是美国商会强调，鉴于FTC法定职权的限制，只有美国国会才有权规定这一领域的规则，任何其他机构的做法都只会增加数据隐私与安全领域本已复杂规则体系，故建议FTC应停止当前的规则制定工作。

https://www.dataguidance.com/news/usa-responses-ftc-proposed-rulemaking-commercial

12.日本Wacom公司披露了一个潜在影响14万余名客户的数据泄露问题

2022年11月21日，日本Wacom有限公司发布了一则通知，提到一个潜在影响147,545名客户个人信息的数据泄露事件。Wacom证实，由于未经授权的访问，导致部分个人信息已泄露。受影响的个人信息包括客户的信用卡信息，如持卡人姓名、卡号、有效期、安全码和电子邮件地址。对此，Wacom表示：“为了防止类似事件再次发生，将加强安保措施和监控系统。”此外，Wacom称其已向日本个人信息保护委员会（PPC）和当地警方报告了此次泄露事件。

https://www.dataguidance.com/news/japan-wacom-addresses-data-breach-potentially-affecting

13.日本个人信息保护委员会关于实施个人信息保护影响评估的声明

2022年11月22日，日本个人信息保护委员会（PPC）在推特上发布了一份关于实施个人信息保护影响评估 （PIAs）的声明。该委员会解释称，实施PIAs的流程包括：准备工作、识别风险、评估风险以及降低风险。此外，个人信息保护委员会指出，根据业务的规模和性质以及个人信息的内容，有多种不同的方法供企业选择，企业应选择最合适的方法实施评估。对此，委员会参考了2022年6月30日发布的PIAs实施指南，以协助个人信息保护影响评估更好的实施。

https://www.dataguidance.com/news/japan-ppc-releases-statement-pia-implementation

14.美国总检察长联盟敦促苹果公司解决应用商店中第三方应用程序隐私漏洞问题

2022年11月21日，新泽西州等10个州的总检察长联盟（简称AGs）致函苹果公司，表示对其应用商店中可用于跟踪、收集或存储用户生殖健康数据的第三方应用程序隐私漏洞的担忧。AGs要求苹果公司确保其应用商店的程序应符合隐私标准，这些标准是避免用户生殖健康数据被滥用的必要条件。值得注意的是，AGs敦促苹果公司要求应用程序的开发人员向苹果公司证明或在其隐私政策中明确表示他们将采取以下措施：一是删除用户使用应用程序的不重要数据，包括用户的地理位置、搜索历史，以及任何其他可能搜索、访问或帮助提供生殖健康的相关数据；二是当应用程序可能向第三方披露与生殖健康相关的用户数据时，须向用户发出明确且显著的通知，并要求应用程序仅在收到有效的传票、搜查令或法院命令时才可以披露有关信息；三是对于收集用户生殖健康数据或将用户健康数据同步存储在苹果设备上的应用程序，至少要执行与苹果公司在该数据方面相同的隐私和安全标准。

https://www.dataguidance.com/news/usa-ags-urge-apple-address-privacy-gaps-third-party

15.奥地利联邦行政法院维持数据保护局关于被遗忘权的决定

2022年11月20日，BVwG根据GDPR第17条被遗忘权的规定维持了奥地利数据保护局（DSB）对于谷歌执行被遗忘权的决定。在该案中，申诉人要求谷歌公司删除有关其个人的67条搜索条目，但被谷歌公司拒绝。由此，申诉人向DSB提出申诉，称其根据GDPR第17条享有的被遗忘权受到侵犯，DSB支持了其中10条搜索条目的删除，驳回了其他搜索条目的删除请求。BVwG在判决中指出，DSB平衡了《欧盟基本权利宪章》第7条和第8条保障的申诉人的隐私权和数据保护权，以及数据控制者和第三方的言论自由和信息自由等基本权利。具体而言，法院判决时重点审查DSB作出决定时提及的下列因素：数据主体在公共生活中的作用和信息中的公共利益；所公布数据的事实准确性和社会适当性；公布的目的和背景；有关信息的类型，特别是其对数据主体私人生活的敏感性，以及由于数据处理而发生实质性或非实质性损害的可能性或实际发生的可能性；数据公布后所经过的时间；以及任何受影响的第三方的权利和义务。

https://www.dataguidance.com/news/austria-federal-administrative-court-upholds-dsb-0

16.罗马尼亚国家个人数据处理监督局对荷兰国际集团银行罚款2万欧元

2022年11月21日，罗马尼亚国家个人数据处理监督局（ANSPDCP）对荷兰国际集团银行（ING）进行调查后，决定对其处以2万欧元罚款。ANSPDCP在ING银行提交数据泄露通知后启动了调查。ANSPDCP称，该安全事件涉及未经授权即披露和访问ING银行客户的个人数据。被访问的个人数据包括与身份证件相关的身份信息、联系方式、银行数据（拥有的交易和产品、与银行卡相关的数据）以及网上银行用户名和密码。ANSPDCP指出这一事件导致了第三方实施支付行为。调查结果显示，ING银行没有实施充分的技术和组织措施来确保与自然人权利和自由风险相应的安全保护水平，这导致银行客户的个人数据未经授权即被披露和访问，违反了GDPR第32(1)条和第32(2)条的规定。

https://www.dataguidance.com/news/romania-anspdcp-fines-ing-bank-20000-data-security

17.欧盟网络安全局发布《网络和信息系统安全投资》报告

2022年11月23日，欧盟网络安全局（ENISA）发布其关于欧盟《网络和信息系统安全投资》的最新报告。该报告调查了基本服务运营商（OES）和数字服务提供商（DSP）如何投资于网络安全，并符合《网络和信息系统安全指令》（NIS指令）的目标，同时还概述了OES和DSP中IT安全人员配置、网络保险以及信息安全组织等方面的情况。该报告显示，从总体上看，一些绝对值，如IT和信息安全预算或用于信息安全的IT预算的百分比与前一年相比明显降低。此外，该报告还发现以下结论：NIS指令、其他监管义务和威胁环境是影响信息安全预算的主要因素；重大安全事件的直接预估成本中位数为20万欧元，是前一年的两倍，表明事件的成本在增加；医疗保健和银行业仍然是事故成本最高的两个行业；86%的OES和DSP已经实施了第三方风险管理政策；以及40%的受访OES没有针对非IT人员的安全意识计划。

https://www.dataguidance.com/news/eu-enisa-releases-nis-directive-investments-report

18.欧盟数据保护委员会就实施《美国海外账户税务合规法》的政府间协议发布回应

2022年11月4日，欧盟数据保护委员会（EDPB）发布关于实施《美国海外账户税务合规法》（FATCA）的回应，并于2022年11月25日发布关于成员国与美国之间缔结政府间协议（IGAs）的回应。EDPB指出，一是评估实施FATCA的不同政府间协议与GDPR的兼容性不属于EDPB的职权范围，这应由主管监督机构在当地监测和执行GDPR的相关规定，并按要求提供其正在进行的程序信息。二是考虑到不同成员国存在共同的数据保护方面的问题，由监督机构共同确定可以向其各自国家主管部门提出关于IGAs与GDPR原则的一致性问题。三是EDPB不能提供监管机构与各自政府就审查IGA的讨论情况的详细信息，透露这些细节可能会对国家层面采取的行动存在威胁。四是评估成员国和美国之间双边缔结不同协议的兼容性不属于EDPB的职权范围，应由不同的监督机构来监督和执行对其管辖范围内的数据主体的个人信息的保护。

https://www.dataguidance.com/news/international-edpb-issues-responses-intergovernmental

19.新加坡个人数据保护委员会对斐瑞医院罚款58,000新元

2022年11月18日，新加坡个人数据保护委员会（PDPC）公布了对斐瑞医院（Farrer Park Hospital）案件的处理决定，因斐瑞医院的数据泄露行为违反了《个人数据保护法》（PDPA）第24条的规定，对其处以58,000新元（约合人民币30,850元）的罚款。PDPC强调，在此次斐瑞医院的数据泄露事件中，大约有9,271封内部邮件从两个员工账户转发到第三方邮箱，泄露了3,539人的个人数据，其中包括1,923人的医疗敏感个人信息。尽管斐瑞医院在事件发生后采取了补救措施，但PDPC认为斐瑞医院没有实施合理的安全措施来保护电子邮件账户中的个人信息且逾期承担责任。

https://www.dataguidance.com/news/singapore-pdpc-fines-farrer-park-hospital-sgd-58000