内容由德恒律师事务所合伙人陈波博士提供,在此表示感谢!
本篇对2022年1月份国外数据最新立法动态予以回顾梳理,涉及国外数据立法热点。
1月5日,以色列政府对《隐私保护法》进行了实质性修订。该修正案被称为第14号法案(希伯来语版本),包括两套先前提出的法律更新。一旦颁布,这将是自1996年以来最大和最全面的更新,当时更新的数据处理条款被纳入法律。拟议的法案将使PPL仅部分与欧盟通用数据保护条例保持一致。新修正案的核心是新的程序和监管权力,这些程序和监管权力预示着与信息安全和有目的的处理违规行为相关的风险将急剧增加。由于数据是许多科技企业的核心资产,因此从数据保护的角度来看,以色列也是一个值得监控的司法管辖区,2022年很可能是以色列隐私法的转折点。1月7日,佛罗里达州参议员詹妮弗·布拉德利提出了1864号佛罗里达州参议院法案,即《佛罗里达州隐私保护法》(“FPPA”)。2022 FPPA为消费者提供了要求公司删除或更正其信息的权利,要求在佛罗里达州总检察长办公室内建立消费者数据隐私部门。该部门将负责执行FPPA,并直接向佛罗里达州总检察长报告,但是该法案不包含私人诉讼权。1月10日,美国康涅狄格州总检察长威廉·唐(William Tong)宣布了一份新的线上清单,旨在帮助企业在遇到影响康涅狄格州居民的数据泄露事件时遵守通知总检察长办公室的义务。根据康涅狄格州的法律,企业必须在不迟于受影响居民收到数据泄露通知时向总检察长办公室发出通知。威廉·唐总检察长表示:“这一新的线上清单将使我们的办公室和企业受益匪浅,使我们能够快速识别和解决突出的违规行为,同时向公司传达我们需要他们提供哪些信息以审查和答复该通知。”1月10日,联邦贸易委员会(Federal Trade Commission)的最终规则——根据《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley Act, GLBA)修订了《保护客户信息标准》(保障规则)生效。修正案可能要求许多金融机构重新审视和修改他们的政策和程序,例如风险评估、供应商监督和事件响应计划等领域的政策和程序。扩大了“金融机构”的定义,将从事美联储认定为金融活动附带活动的实体包括在内,这些活动主要是将“发现者(finders)”——为商品或服务的买卖双方提供平台的公司纳入保障规则的范围。增加旨在改善金融机构信息安全项目的问责制条款。增加旨在为涵盖的金融机构在如何开发和实施整体信息安全计划的特定方面提供更多指导的条款。对收集客户信息少于5000名的金融机构免除特定限制。1月11日,佛罗里达州众议院提出了一项有关消费者数据隐私的法案HB9。该法案要求控制者落实合理的安全程序和做法、采用并实施存储期限表、保障消费者的数据主体权利(包括删除权、更正权和拒绝出售或分享个人信息的权利),并为未成年人及其个人信息处理提供了一定程度的保护。美国议员提出《服务条款标签、设计和可读性法案》(TLDR)
1月13日,美国议员提出了《服务条款标签、设计和可读性法案》(TLDR),要求商业网站和移动应用创建简单易读的服务条款协议摘要。该法案将提高数据的在线透明度,确保消费者了解他们的个人数据是如何被收集和使用的。该法案要求服务条款摘要包括以下内容,从而给予消费者服务透明度:所收集的消费者信息的种类;所收集的数据是否为公司向消费者提供服务所必需的;消费者数据如何与第三方共享的图表;消费者是否可以删除其数据以及如何删除的说明;使用服务的消费者的法律责任,包括对服务内容的权利、强制仲裁和放弃集体诉讼的权利;过去三年内已报告的数据泄露事件清单。欧盟网络安全局(“ENISA”)发布可互操作的欧盟风险管理框架报告
1月13日,欧盟网络安全局发布了一份报告,分析了网络安全风险管理框架和方法的互操作性潜力。ENISA表示,报告的主要成果包括以下信息:确定现存较完善的国家和部门的风险管理框架及其组成部分;确定具体特征,如国家或国际范围、目标部门、目标受众、成熟度、符合相关标准以及与欧盟法规和立法的兼容性等;根据风险识别、风险评估和风险处理等一系列因素,制定评估已确定框架的互操作性潜力的方法;应用该方法来识别具有更高互操作性潜力的框架。1月14日,德国数据保护会议(“DSK”)宣布,就其于2021年12月1日生效的《电信和电话媒体数据保护和隐私联邦法案》(“TTDSG”)的指南展开公众意见征求。DSK特别指出,征求过程旨在审查并在必要时进一步完善该指南,但不会影响其有效性和适用性。日本个人信息保护委员会(“PPC”)发布指南修订草案
1月19日,日本个人信息保护委员会(“PPC”)于发布了关于妥善处理行政机关、地方公共机构和企业等主体的特殊个人信息的指南修订草案。该指南修订草案涉及“数据泄露”的上报和通知义务,这与日本《个人信息保护法》(2003年第57号法案,2020年修订,“APPI”)保持了一致。具体而言,该指南修订草案概述了发现数据泄露事件时应采取的措施和调查范围,并指出应审查和实施防止再次发生的措施。此外,该指南修订草案还规定了上报的大概时限,即自了解情况之日起的3至5天,并且原则上应在30天内确认。 据欧洲议会官网消息,当地时间1月20日,欧洲议会以 530 票对 78 票赞成通过《数字服务法》,在最终通过之前与欧盟委员会和欧盟理事会进行三部曲谈判。议会通过的文本包括针对定向广告的“更透明和知情选择”的规定,包括明确的选择退出和无跟踪器版本的在线平台。该草案还包括全面禁止向未成年人投放定向广告。《数字服务法》将改变处理非法或潜在有害在线内容的规则、在线提供商对第三方内容的责任、第三方供应商的审查义务以及在线用户基本权利的保护。这使得《数字服务法》不仅适用于欧盟的所有数字服务提供商(社交媒体、在线市场、在线平台等),也适用于其业务用户和客户。
1月25日,据cnBeta网消息,英国已成立一个国际数据传输专家委员会,以共同商谈国际数据传输问题。英国政府宣布了国际数据转移专家委员会的成立和就职会议,该会议旨在“帮助英国抓住更好的全球数据共享的机会”。该组织由20名成员组成,成员包括来自谷歌、万事达和微软等行业的代表,以及一系列隐私专业人士。英国数据部长Julia Lopez表示,该倡议将推动英国“推动国内外先进政策,确保人们、企业和经济体从安全和可靠的数据流中受益。”欧洲数据保护委员会发布了关于欧盟《通用数据保护条例》下的数据主体访问权的指南。并向成员国一致回应了有关cookie同意的询问。EDPB主席Andrea Jelinek说,该指南将“提供数据控制者以符合GDPR的方式回应访问请求的示例。”在有关cookie同意的信函中,EDPB提到了“确保协调实施”cookie同意规则的承诺,同时指出了委员会cookie工作组和更新的同意准则。该指南讨论了个人访问其数据的权利范围、评估数据主体访问请求的考虑因素,以及对用户权利的限制和约束。EDPB将在3月11日前接受公众对该指南的评论。《多德-弗兰克法案》第1033条规定,消费者有权以可用的电子格式访问自己的银行账户和交易数据。这一条款规定,CFPB必须通过一项与数据访问有关的规则。然而,这项规则的时间表一直不稳定,部分原因是CFPB的议程很满,而且CFPB的新主任、联邦贸易委员会的前成员Rohit Chopra需要时间来对这项规则做出自己的判断。在没有数据访问法规的情况下,使用数字应用程序的消费者面临许多不确定因素。鉴于移动应用的大量采用--许多是与银行合作提供的--以帮助消费者管理他们的财务,该规则的任何延迟对消费者和金融技术公司来说都是一个挫折。一些行业专家现在认为,CFPB将在4月召集一个小型企业审查小组。该小组将与受监管的小企业(可能包括农村和社区银行)会面,就如何尽量减少规则对小实体的影响征求意见,并被许多人认为是规则制定过程的开始,因为CFPB随后将被要求提供其提案的大纲。(END)
北京市海淀服务贸易和服务外包企业协会版权及免责声明:
1、凡本网注明"来源:北京市海淀服务贸易和服务外包企业协会"或"原创" 的所有作品,版权均属于北京市海淀服务贸易和服务外包企业协会所
有,其他媒体、网站或个人 转载使用时必须注明:"文章来源:北京市海淀服务贸易和服务外包企业协会"。违反上述声明者
本网将追究其相关法律责任。
2、凡本网注明 "来源:XXX(非北京市海淀服务贸易和服务外包企业协会)" 的作品,均转载自其它媒体,转载目的在于传
递更多信息,并不代表本 网赞同其观点和对其产生的任何结果负责。
