编译 | 韩嘉艺、唐海林、张文朝、陆梅、程潇莹（中央财经大学）

审校 | 张金平（中央财经大学）张奕欣、邢潇（国家互联网应急中心）

指导编制 | 卓子寒（国家互联网应急中心）

1. 希腊司法部向议会提交关于通信和隐私保护的法案

2022年11月29日，希腊司法部宣布已将《通信监控、网络安全和隐私法案》提交议会。该部表示，法案旨在平衡国家机关在进行通信监控时的公民隐私利益和国家安全利益。一是该法案中涉及“国家安全”的内容被大幅限缩，被定义为与履行国家基本职能和保障希腊公民根本利益有关的内容，具体涉及国防、外交政策、能源安全和网络安全等方面。二是该法案出于国家安全的考虑规定了提供信息解密证明文件的要求，特别是解密请求必须包括构成风险的因素、解密的对象或内容，以及绝对必要的期限。三是该法案要求减少对犯罪个人信息的解密，有关机关只在针对有重大影响的犯罪时才能去解密个人信息。四是该法案拟在电信和邮政总秘书处网络安全总局内设立一个统一的网络安全参考中心，旨在帮助国家提升检测和应对网络攻击的能力。

https://www.dataguidance.com/news/greece-bill-protection-communications-and-privacy

2. 德国数据保护会议更新了《电信和电话媒体数据保护和隐私联邦法》指南

2022年11月30日，德国数据保护会议（DSK）发布了关于《电信和电话媒体数据保护和隐私联邦法》（TTDSG）指南的最新版本。与前一版本相比，该指南涉及更新的内容主要包括：一是同意的有效性；二是根据GDPR第6(1)(c)条和第6(1)(e)条规定进行数据处理的合法性；三是向第三国转移个人数据；四是同意条款的设计；五是数据主体的权利，特别是GDPR第13、15和17(1)条规定的权利。其中，对于向第三国转移个人数据，该指南强调转移前应确认第三国是否获得了欧盟的第三国充分性认定，如果没有就要采取其他替代性解决机制；如选择欧盟委员会提供的标准合同条款时，个人数据处理者还要额外进行个案审查第三国的法律和做法是否减损了标准合同条款所设定的个人数据保护要求。

https://www.dataguidance.com/news/germany-dsk-updates-ttdsg-guidance

3. 隐私未来论坛发布亚太地区隐私规则比较研究报告

2022年11月30日，隐私未来论坛（FPF）发布了题为“平衡亚太地区的组织责任和隐私自我管理”的报告，比较了亚太地区14个司法管辖区处理个人数据的法律要求，包括澳大利亚、中国、印度、印度尼西亚、中国香港、日本、中国澳门、马来西亚、新西兰、菲律宾、新加坡、韩国、泰国和越南。该报告对上述国家或地区处理个人数据的保护法规进行了比较分析，研究发现许多亚太地区的国家或地区已经开始讨论如何摆脱以同意为中心的隐私处理做法。对此，该报告一是提出了上述隐私处理做法的替代方案，并加重处理个人数据的组织责任；二是提出了一种基于问责制的数据保护方法，要求对个人数据的所有者和控制者进行问责；三是分析了上述司法管辖区在处理个人数据的法律要求上存在差异，但也存在共性，可以利用这些共性来促进亚太地区不同法律体系之间的融合。

https://www.dataguidance.com/news/international-fpf-releases-report-comparing-privacy

4. 美国卫生与公众服务部（HHS）发布使用在线跟踪技术满足HIPAA的合规建议

2022年12月1日，负责执行《健康保险可携性与责任法》（HIPAA）的美国卫生与公众服务部（HHS），通过下属民权办公室（OCR）发布医疗服务相关机构使用在线跟踪技术时应遵守HIPAA规则的公告。OCR指出，这些主体可能将用户电子健康信息分享给在线跟踪技术供应商如谷歌、Meta等公司，由其通过在线跟踪技术收集和分析互联网用户使用该网站或移动应用程序的信息，用户在使用医疗服务相关机构的网站或应用时可能会提供个人医疗记录号码、就诊预约信息、个人联系信息以及IP地址等，这些信息可能反映出个人过去、当前和未来的健康状况、医疗支出，因而医疗服务相关机构与在线跟踪技术供应商共享这些信息可能违反HIPPA规则。该公告提出了这些医疗服务相关机构使用在线跟踪技术时应满足HIPPA的合规建议：一是在隐私政策中向用户声明可能使用在线跟踪技术；二是确认使用在线跟踪技术的目的，继而与在线跟踪技术提供商签订电子健康信息合作协议，明确其相应权限及确保其获取电子健康信息与协议所明确的共享目的而言是最小必要的。如果在线跟踪技术提供商不签订该合作协议，该供应商则应从用户处获得授权，否则不能将电子健康信息共享给这些供应商；三是开展风险评估并采取相关的管理措施。

https://www.hhs.gov/about/news/2022/12/01/hhs-office-for-civil-rights-issues-bulletin-on-requirements-under-hipaa-for-online-tracking-technologies.html

5. 阿根廷数据保护局发布修订《个人数据保护法》执行分类的决议

2022年12月1日，阿根廷数据保护局（AAIP）发布了《个人数据保护法》中犯罪分类规定的修订决议，将犯罪分类分为轻微、严重和非常严重，并规定了制裁等级。其中，轻微罪行包括未向国家数据库登记直接处理个人数据，未及时向国家数据库报告变更、更新或取消事项的情形，以及未及时向国家个人数据保护局要求的正确形式提供信息；严重罪行包括向国家数据库登记时申报虚假数据，在没有充分法律依据的情况下处理个人数据，收集个人数据时侵犯数据主体的知情权，未能按所述目的处理个人数据以及保留数据的时间超过法定登记时间；非常严重罪行包括没有在隐私政策中报告处理个人数据负责人的身份数据；保留不准确的个人数据或未能进行更正、更新或删除；将个人数据转移到个人信息保护水平不充分的国家或地区，以及没有匿名收集和处理敏感数据。

https://www.dataguidance.com/news/argentina-aaip-issues-resolution-amending-enforcement

6. 意大利数据保护局对Alpha Exploration公司罚款200万欧元

2022年12月5日，意大利数据保护局（Garante）宣布了对Alpha Exploration公司处以200万欧元罚款的决定，并出具了合规令。Garante启动调查是由于媒体报道称社交网络Clubhouse在处理个人数据时存在违规问题，该局于2021年2月收到有关Clubhouse数据处理的匿名投诉。另外，Garante查实Clubhouse是由一家在欧盟没有分支机构的美国公司Alpha Exploration的应用程序向公众提供信息的。在调查结束时，Garante驳回了Alpha Exploration公司认为其不适用GDPR的抗辩，并确认该公司违反了GDPR的相关规定。鉴于查明的违规事实，Garante对其罚款200万欧元，并命令Alpha Exploration公司遵守与Clubhouse处理活动的有关规定。

https://www.dataguidance.com/news/italy-garante-fines-alpha-exploration-2m-multiple-gdpr

7. 爱尔兰数据保护委员会对Guerin Media公司罚款6000欧元

2022年12月5日，爱尔兰数据保护委员会（DPC）宣布地区法院对Guerin Media公司处以6000欧元罚款的决定。DPC指出，Guerin Media公司未经当事人同意，擅自向他们发送了营销邮件，违反了未经同意发送营销通信的相关规定。同时DPC表示，该决定旨在提醒所有通过电子邮件、短信或未经事先联系和约定而进行电话推销等从事电子营销的组织，若不遵守相关法规可能会面临DPC提起的犯罪指控。

https://www.dataguidance.com/news/ireland-dpc-announces-6000-fine-against-guerin-media

8．英国信息专员办公室对五家拨打非法营销电话的公司进行处罚

2022年12月7日，英国信息专员办公室（ICO）对五家英国公司发布了总计43.5万英镑的罚款决定，原因是它们大量拨打非法营销电话，违反了2003年《隐私和电子通信条例》第21条和第24条的规定。经调查，ICO发现这些公司总共拨打了50万个非法营销电话，其中一些电话主要是针对老年弱势群体。ICO还指出这些公司在通话中对用户施加压力来获取个人支付相关的信息。

https://www.dataguidance.com/news/uk-ico-fines-five-businesses-%C2%A3435000-unlawful-marketing

9. 罗马尼亚国家个人数据处理监管局发布公共部门在公共场所使用视频监控系统的指南

2022年12月7日，罗马尼亚国家个人数据处理监管局（ANSPDCP）发布了公共部门在公共场所合法使用视频监控系统的指南。ANSPDCP指出，根据GDPR第6(1)条的规定，公共部门使用视频监控系统处理个人数据必须至少符合一个合法的处理依据。公共部门作为数据控制者，处理个人数据时应当遵守基于国家或欧盟法律规定的义务，必须对个人数据采用充分且安全的方式进行适当的处理，该处理仅限于与既定法律目的相关。ANSPDCP指出，通过创新使用或实施新技术（如面部识别）大规模处理个人数据时，数据控制者必须开展个人数据保护影响评估。

https://www.dataguidance.com/news/romania-anspdcp-publishes-guidance-public-entities-use

10. 日本和英国达成数字合作伙伴关系

2022年12月7日，英国和日本建立英日数字合作伙伴关系，这是一个双方共同为公民、企业和经济体提供具体数字政策成果的战略框架，旨在加强覆盖网络安全、人工智能等14个领域的合作。该合作伙伴关系初步侧重以下四个方面：数字化基础设施和技术、数据、数字监管和标准以及数字化转型。根据协议，他们将共同探索在数据创新措施方面的合作，以及共同致力于研究值得信赖、以人为中心和负责任的人工智能开发和应用。

https://iapp.org/news/a/uk-japan-reach-digital-partnership/

11. 法国数据保护局对Free公司罚款30万欧元

2022年12月8日，法国数据保护局（CNIL）宣布，对互联网服务提供商Free SAS处以30万欧元的罚款，原因是其违反了GDPR第12、15、17、32和33条的规定，未尊重数据主体权利和确保用户数据安全。CNIL调查发现，Free没有充分保障数据主体的权利，特别是访问权和删除权，在存储和传输加密文件时未采取适当的数据安全保护措施。除了上述罚款决定，CNIL还责令Free遵守关于便利数据主体行使访问权的规定，并要求其在收到通知之日起三个月内向CNIL提交整改证明，若未在要求的日期前提交相关材料，将额外罚款500欧元/天。

https://www.dataguidance.com/news/france-cnil-fines-free-300000-data-security-and-data

12. 美国电子隐私信息中心宣布对Rocket Money违反《多德-弗兰克法案》和《公平信用报告法》的行为提出控告

2022年12月7日，美国电子隐私信息中心（EPIC）宣布，纽约大学科技法律和政策诊所代表EPIC对Rocket Money的母公司提出控告，指控其违反了2010年《多德-弗兰克华尔街改革和消费者保护法》（Dodd-Frank Act）和1970年《公平信用报告法》（FCRA）。EPIC指出，Rocket Money的界面采用了损害客户利益的黑暗模式（通过页面设计诱导消费者采取无意识的行为），Rocket Money作为一家消费者报告机构，将其客户的信用报告用于自我宣传营销，这种行为违反了FCRA的规定。具体来说，控告声称Rocket Money的应用程序利用黑暗模式操纵用户为其服务付费，并采用误导性和存在风险的消费者数据处理做法。

13. 欧盟法院裁决搜索引擎必须删除明显不准确的搜索结果

2022年12月8日，欧盟法院（CJEU）对Google案（C‑460/20）作出初步裁决，该案与GDPR第17条规定的删除权有关。此案源于投资公司的两名经理要求Google删除基于他们姓名的搜索结果，这些结果涉及批评该集团投资模式的文章链接，并要求Google删除以缩略图形式呈现的一些照片。但Google拒绝了这些要求，称其不清楚这些文章中包含的信息是否准确。欧盟法院认为，个人数据的保护权不是绝对的，应在个案分析的基础上与其他基本权利相平衡，但如果所引用的内容中包含一部分重要信息是不准确的，则不能考虑言论和信息自由权。并且，证明信息明显不准确的责任在于请求删除相关内容的人，如果请求人提交了充分的证据，那么搜索引擎运营商必须同意这一请求。关于缩略图，欧盟法院认为，在权衡以缩略图形式展示的照片时，必须考虑这些照片的信息价值，而不是这些照片在互联网发布时的背景。下一步，将由提出初步裁决的德国联邦法院根据欧盟法院的上述意见对谷歌案作出具体判决。

https://www.dataguidance.com/news/eu-cjeu-holds-search-engines-must-delete-search-results

14. 丹麦数据保护局建议对Danske购物中心过度使用闭路电视监控行为罚款35万丹麦克朗

2022年12月8日，丹麦数据保护局（Datatilsynet）宣布，已向警方报告Danske购物中心在特定区域安装闭路电视监控系统的行为，并建议对其罚款35万丹麦克朗。Danske购物中心在几个公共厕所区域安装了闭路电视监控系统，并在摄像机视图中的特定位置进行了技术处理（即作黑色标记），目的是为了防止这些区域发生故意破坏和盗窃、保护顾客的安全。但是，Datatilsynet评估认为，该技术解决方案不足以确保客人在使用洗手间时不会被拍摄，可能过度使用了闭路电视监控系统，违反了GDPR要求的数据最小化原则。

https://www.dataguidance.com/news/denmark-datatilsynet-recommends-dkk-350000-fine-danske

15. 英国数字、文化、媒体和体育部发布应用商店运营商和开发者业务守则

2022年12月9日，英国数字、文化、媒体和体育部（DCMS）发布了一份针对应用商店运营商和开发商的业务守则。DCMS强调，业务守则是自愿遵守的，包括一系列以清晰易懂的方式向用户提供安全和隐私信息的新措施。守则规定，一是在无需开发商付费的位置与消费者共享安全和隐私信息。二是即使用户禁用可选功能和关闭访问权限，如阻止应用程序打开麦克风或访问用户位置信息，应用商店运营商和开发者也必须允许用户使用该应用程序。三是必须实施健全透明的审查程序，确保只有符合业务守则要求的应用程序才能在应用商店发布。若应用程序出于安全和隐私原因未在其平台上发布相关信息，应用商店应向开发人员提供拒绝上架的明确证明，并概述需要更改的要素。四是业务守则要求应用商店开发商和运营商在发现数据安全漏洞时，通知包括其他开发商和运营商在内的利益相关方及受影响的用户采取保障措施。五是当应用程序商店运营商收到应用程序违规通知时，必须考虑是否应该禁用该应用程序。

https://www.dataguidance.com/news/uk-dcms-publishes-code-practice-app-store-operators-and

16. 西班牙数据保护局对Orange Espagne非法处理个人数据行为罚款7万欧元

2022年12月9日，西班牙数据保护局（AEPD）决定对Orange Espagne罚款7万欧元。投诉人声称，第三方在未经其同意或知情的情况下，与手机、宽带账号管理软件服务提供商Orange Espagne签订了一份合同，导致其个人数据被纳入公共信用信息系统。Orange Espagne辩称，投诉人称第三方采用欺诈手段实施了这些活动，但其并没有向Orange Espagne报告身份被盗窃的情况，因此公司在没有得到相关文件证明的情况下，没有正当理由认为这是一种欺诈性行为。但AEPD驳回了Orange Espagne的辩护理由，并指出该公司未开展尽职调查，没有提供个人数据可携带性记录。AEPD强调，合法性原则要求数据控制者在处理第三方数据时能够证明其行为的合法性。鉴于此，Orange Espagne违反了GDPR第6(1)条的规定，将投诉人的个人数据纳入公共信用信息系统并进行后续处理，且未能证明其与投诉人签订的合同合法或已经征得投诉人的同意收集个人数据。

https://www.dataguidance.com/news/spain-aepd-imposes-70000-fine-orange-espagne-unlawful

17． 欧盟委员会发布欧盟-美国数据隐私框架充分性决定草案

2022年12月13日，欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定草案》。该充分性决定草案是在对美国最新法律框架进行评估后作出的，其中包括拜登总统签署的行政命令以及建立数据保护审查法庭（DPRC）的条例。基于对欧盟-美国数据隐私框架的深入评估，充分性决定草案的结论是：美国确保了对从欧盟转移到美国的个人数据的充分保护水平。此外，充分性决定草案认定：一是透明度义务和商务部对欧盟-美国数据隐私框架的管理保证了隐私框架的有效应用；二是美国法律中的监督机制和补救途径能够在实践中识别和惩罚违反数据保护规则的行为，并为数据主体提供法律救济；三是美国当局对数据主体基本权利的干涉，特别是出于刑事执法和国家安全目的，仅限于实现相关合法目的所必要的范围，并且针对此类干涉存在有效法律保护。欧盟委员会同时发布了关于充分性决定草案的问答，该问答指出，相较此前的隐私盾设置的监察员机制，新补救机制有显著的改进，欧盟公民能够向“公民自由保护官”（该官员负责确保美国情报机构遵守隐私和基本权利）提出投诉，并有权就保护官的决定向新设立的DPRC提出上诉。目前充分性决定草案已送交欧洲数据保护委员会（EDPB）征求意见。此后，欧盟委员会将寻求由欧盟成员国代表组成的委员会的批准。同时，欧洲议会也有权审查该充分性决定。

https://www.dataguidance.com/news/international-european-commission-publishes-draft