全球数据保护资讯 |个人信息保护法初审在即，专家提出五大立法内容值得重点关注

个人信息保护法初审在即，专家提出五大立法内容值得重点关注

一直备受关注的个人信息保护法草案即将揭开神秘面纱于本月正式亮相。

十三届全国人大常委会第七十二次委员长会议决定于10月13日至17日在京举行十三届全国人大常委会第二十二次会议。根据委员长会议建议，本次常委会将审议全国人大常委会委员长会议关于提请审议个人信息保护法草案的议案。

据了解，按照全国人大常委会立法规划和立法工作计划安排，从2018年开始，法工委就会同中央网络安全和信息化委员会办公室在认真总结网络安全法等法律实施经验、深入研究个人信息利用和保护中的突出问题、借鉴有关国家和地区法律制度的基础上，抓紧开展个人信息保护法的研究起草工作。

清华大学法学院教授程啸指出，此次个人信息保护法中五方面内容值得期待：

首先，如何通过确立科学合理的个人信息处理规则来协调自然人的个人信息权益保护与信息自由流动、合理使用之间的关系。

其次，对于个人信息权益的内容和行使要进行更具体的规范。目前对于是否需要规定被遗忘权、个人数据可携带权等仍然存在很大的争论。

再次，对于国家机关和承担行政职能的法定机构处理个人信息的专门规定。

第四，对于个人信息的跨境转移加以科学规范。

第五，个人信息安全问题，即如何通过综合的措施(自律和他律)来保护个人信息的安全，防止出现个人信息泄露、非法买卖、非法利用等，以及个人信息被泄露或被非法利用后的民事责任、行政责任以及刑事责任等。

来源：法治日报/朱宁宁

因违法收集员工个人信息，H&M被处以3530万欧元罚款

H&M公司因非法对数百名员工开展监控，而面临3530万欧元罚款。

通过汉堡数据保护局（HmbBfDI）为期一年的调查，发现H&M公司存在大范围的调查员工假期、就医症状以及病情诊断等详细信息等隐私侵犯行为。

该公司部分管理人员还会在非正式聊天中进一步挖掘私人信息，包括家庭问题或宗教信仰，并将此作为员工工作绩效及任用决定的参考素材。

HmbBfDI局长Johannes Caspar表示，“此次案件证明，德国国内仍然存在着完全无视数据保护规则的行为。”

他还补充道，巨额罚款“完全合理，旨在威慑那些不尊重个人隐私的企业行为。”

H&M方面已经就此事向纽伦堡服务中心的员工们“致歉”。

该公司表示，“目前就职于服务中心的所有员工，以及2018年5月GDPR生效以来至少拥有1个月工作期的全部人员，都将获得相应的经济补偿。”

该零售商还在其第三季度报告中表示，已经采取“有力措施”以纠正公司内部可能存在的相关违规问题。

来源：安全内参

深圳综合改革试点实施方案发布，“数据产权”和“数据隐私”被重点提及

近日，中共中央办公厅、国务院办公厅印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案（2020－2025年）》（以下简称《方案》），并发出通知，要求各地区各部门结合实际认真贯彻落实。

其中，《方案》重点提及加快培育数据要素市场。要求率先完善数据产权制度，探索数据产权保护和利用新机制，建立数据隐私保护制度。试点推进政府数据开放共享。支持建设粤港澳大湾区数据平台，研究论证设立数据交易市场或依托现有交易场所开展数据交易。开展数据生产要素统计核算试点。

早在今年7月15日，深圳市司法局就在官网公布了《深圳经济特区数据条例（征求意见稿）》（下称《条例》）的通告全文。《条例》首次提出了自然人、法人和非法人组织依据法律、法规和本《条例》的规定享有数据权。规定自然人对其个人数据依法享有数据权；规定公共数据属于新型国有资产，其数据权归国家所有，由深圳市政府代为行使数据权；规定数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权。

《条例》还拟从两个方面解决数据开发利用中的自然人隐私保护问题。一是通过规定自然人对个人数据享有数据权保护自然人隐私。个人数据包括隐私数据，其不仅关涉个人权益，同时也是优化营商环境的关键一环。二是确立数据安全管理规范保护自然人隐私。通过对数据安全责任及具体措施的规定，解决数据收集、数据处理、数据共享、数据开放、数据销毁等全数据生命周期中可能产生的数据安全问题，进而实现对自然人隐私的保护。

来源：每日经济新闻

摩根士丹利因2016年数据泄露被罚款6000万美元

因2016年对两处数据中心进行清退时的不当处置，以及由此引发的客户信息泄露风险，投资银行摩根士丹利正面临美国政府高达6000万美元的罚款裁定。

该银行于今年夏季向财富管理客户报告了此项问题，称这些设施中的某些硬件在运抵回收站时，仍保存有部分客户数据。美国财政部下辖货币监察长办公室于上周四宣布，该银行在2019年对存储客户数据的网络设备进行清退期间也出现过类似的问题，并将对两起案件进行合并处罚。

在这两起事件中，摩根士丹利方面都“未能充分评估将清退工作进行分包所引发的风险，包括未能在供应商选择及监控方面进行充分的尽职调查，也未能正确处置存储在待清退硬件设备上的库存数据。”

该公司曾在今年年初向多家投资机构报告称，尽管监管不力，但由于其硬件的严密配置方式，客户数据不太可能因此而真正外泄。而作为对货币监察长办公室声明的回应，该银行强调目前并未发现任何未经授权的客户数据滥用情况。

在一份声明中，摩根士丹利表示“我们一直在跟踪事件动向，就目前来看并不存在客户信息遭到访问或滥用的情况。此外，我们也建立起增强安全程序，包括持续欺诈监控，并将不断加强对客户信息的保护性控制措施。”

摩根士丹利需要直接向美国财政部支付罚款，6000万美元这一数额也与今年美国政府针对各金融机构其他网络安全事件做出的处罚决定相一致。货币监察长办公室年初曾就2019年大规模数据泄露问题，对Capital One处以8000万美元罚款。

来源：安全内参

爱尔兰暂时中止禁止脸书向美传输数据，脸书否认有意撤出欧洲

近日，爱尔兰高等法院发言人表示，法院暂时冻结了爱尔兰数据保护委员会（Data Protection Commission，DPC)对Facebook的调查，从而中止了爱尔兰DPC提出的停止Facebook向美国传输欧盟用户数据的初步裁决。

欧盟与美国之间的跨境数据传输主要基于“隐私盾”协议，但实施已四年的“隐私盾”协议，近期被欧盟法院判决无效。法院认为，美国未向欧盟公民提供质疑监视的可诉权利，他们的个人数据无法得到应有的保护。受此判决影响，在“隐私盾”框架下获得认证的5384家公司需重新考虑跨境数据传输机制。此外，欧盟监管机构对Facebook采取的措施是上述判决出来后实施的第一个重要步骤。

早前，爱尔兰DPC向Facebook发出停止向美国传输欧盟用户数据的初步决定。当地时间9月9日，Facebook证实，爱尔兰DPC已经开始审查它如何将数据转移到美国。

为寻求解除爱尔兰DPC提出的禁止将个人数据从欧盟转移到美国的初步决定，Facebook主张采取法律行动，并向爱尔兰高等法院提供宣誓书。宣誓书中，Facebook爱尔兰数据保护主管兼副总法律顾问Yvonne Cunnane表示，爱尔兰DCP的措施违反公平程序，并且在未进行充分调查、过早地判断、偏离既定程序和不平等对待等多方面不合法。同时，他强调，如果上述决定执行，Facebook不清楚如何在欧盟继续提供Facebook和Instagram服务。

近日，爱尔兰高等法院发言人表示，爱尔兰高级法院暂时中止爱尔兰DPC对Facebook跨大西洋数据传输的调查。

据报道，法官Charles Meenan单方面授予Facebook提出质疑的许可。他表示自己更赞同暂停DPC的调查，但同时，他补充，DPC可以在接到通知后向Facebook申请解除暂缓令。

北京理工大学法学院教授洪延青分析，此次爱尔兰高等法院支持Facebook的诉求，主要是因为爱尔兰DPC在做出决定时存在程序性方面的瑕疵，并不是对实体问题做出判断。

来源：南方都市报

法院：搜索引擎爬取一般公开网络信息不侵权，但通知后应采取措施

近日，北京市高级人民法院在微信公众号“京法网事”公开一起案例。

去年10月，孙某某发现十年前上传至某校友录网站的一张头像证件照，突然出现在百度搜索引擎网站，且置顶于以其姓名为关键词的搜索结果中。孙某某要求百度删除证件照，但未获任何回复。因此，孙某某以侵犯隐私权、个人信息权益为由，将百度诉至法院。

法院一审认定，个人姓名与证件照结合构成个人信息。虽孙某某未授权对涉案信息进行全网公开，但百度无法预见一般公开网络信息为未经授权公开的个人信息，其使用行为不存在过错，但收到通知后应及时采取措施，因怠于采取措施造成损失的，构成侵权。

法院认定，孙某某仅授权校友录网站运营者在一定范围内使用和公开涉案信息，并且该网站的门户地址已无法访问，普通网络用户不能通过常规方式查找到涉案照片。但由于存放该照片的精确服务器地址仍向用户开放，搜索引擎利用爬虫技术可访问涉案照片。而百度的搜索行为使得涉案信息可被全网用户检索获取，客观上导致该信息在授权范围之外被公开，属于未经同意处理个人信息的行为。

不过，百度作为全网信息搜索引擎服务提供者，需对海量信息进行搜索、存储、归目等，不应苛求其对所有信息是否侵权进行逐条甄别和主动审查；并且，目前尚无证据表明百度对涉案信息进行超越搜索引擎中立服务目的的选取、编辑、推荐等；此外，现有证据不能显示涉案信息被大规模搜索或使用，以至于达到搜索引擎运营者可明显感知的程度。

法院认为，在通知删除前，百度对涉案信息不存在明知或应知的主观过错，不构成对孙某某个人信息权益的侵害。但通知删除后，网络服务提供者应及时采取必要措施，遏制侵权行为的扩大。而百度在有能力但并未采取如屏蔽、断开链接等方式的情况下，导致涉案侵权损失的进一步扩大，构成对孙某某个人信息权益的侵害。

来源：京法网事

小区刷脸进引争议：物业有权强制采集居民人脸信息吗？

来源：

江西电信用户欠费三个月将纳入个人征信

来源：

北京德和衡律师事务所

网络安全和数据合规团队

吴沈括

北京德和衡律师事务所高级顾问

wushenkuo@deheng.com

北京德和衡律师事务所合伙人

xinxiaotian@deheng.com

史  蕾

北京德和衡（深圳）律师事务所合伙人

shilei@deheng.com

北京德和衡律师事务所合伙人

zhouyang@deheng.com

电商系列

电商系列（二）丨电商平台个性化展示如何做到便利与合规两相宜

电商系列（三）丨电商平台的主动审查义务及其合理边界

上周回顾

往期回顾

全球数据保护资讯 |午夜生效前，美国法官阻止特朗普政府执行TikTok下载禁令（2020.09.23）