美国电话营销者被处以2.25亿美元罚款！

·热点新闻 · 

·澳大利亚众议院于2021年3月16日通过了2021年在线安全法案的第三次审阅，随后于2021年3月17日提交澳大利亚参议院。

·欧洲数据保护委员会（EDPB）于2021年3月16日公布了其2021年和2022年的工作计划。

·美国政府问责局（GAO）于2021年3月10日发布了关于网络安全和基础设施安全局（CISA）的报告，内容包括采取必要行动确保组织结构的变化为美国带来更有效的网络安全。

·新加坡《2021年电子交易（修正）法》于2021年3月19日生效。

·美国联邦通信委员会（FCC）于2021年3月17日对约翰·C·斯皮勒（John C.Spiller）和雅各布·A·米尔斯（Jakob A.Mears）处以2.25亿美元罚款。

·伍德克里克（WoodCreek）供应商服务有限公司于2021年3月5日通知美国卫生和公共服务部公民权利办公室（OCR），该公司发生了一起涉及207,000人的数据泄露事件，OCR目前正在对此进行调查。

·美国国会研究服务（CRS）于2021年3月17日发布了关于欧盟数据传输要求和美国情报法律的报告。

·英国信息专员办公室（ICO）于2021年3月18日公布了有关三个组织的报告。

资讯详情：

「法规文件」

澳大利亚/在线安全法案

·澳大利亚众议院于2021年3月16日通过了2021年在线安全法案的第三次审阅，随后于2021年3月17日提交澳大利亚参议院。该法案旨在为澳大利亚人创建一个新的网络安全框架，该框架阐明了基本的网络安全期望，以改善和促进网络安全，扩大防止网络欺凌计划，以发现在社交媒体以外的服务上出现的危害，并将应用分发服务和互联网搜索引擎服务的提供商纳入新框架的职权范围。2021.3.16

欧盟/工作计划

·欧洲数据保护委员会（EDPB）于2021年3月16日公布了其2021年和2022年的工作计划。具体而言，EDPB概述了2021年和2022年的首要任务，其中包括指导方针、促进遵守GDPR的建议、国家监管机构的有效执法和合作、对新技术采取基于权利的基本方针并在欧盟和全球层面促进数据传输的高标准。更具体地说，EDPB拟采用指引和建议包括行为守则作为数据传送机制、补充措施、罚款计算以及一站式机制。2021.3.16

美国/网络安全/基础设施/报告

·美国政府问责局（GAO）于2021年3月10日发布了关于网络安全和基础设施安全局（CISA）的报告，内容包括采取必要行动确保组织结构的变化为美国带来更有效的网络安全。GAO表示，为了使CISA执行2018年CISA 法案的要求，国土安全部的CISA领导层发起了一项组织转型倡议，现已完成包括确定一个组织结构在内的三个阶段中的两个阶段。此外，GAO发现，虽然CISA计划在2020年12月前全面实施转型，但到2021年2月中旬，已经完成了第三阶段94项计划任务中的37项。此外，在尚未完成的任务中，有42项已经超过了计划完成的日期。GAO向CISA提出了11条建议，包括：

l 为已超过其完成日期的第三阶段任务确定新的预期完成日期，优先考虑对特派团效能至关重要的任务；

l 为完成转换计划建立一个总体的截止日期；

l 全面处理已部分解决或未解决的六项改革实践；

l 制定战略来缓解仍然突出的三个基础设施挑战。2021.3.16

欧盟/技术准则

·欧洲联盟网络安全机构（ENISA）于2021年3月17日发布了根据“欧洲电子通信代码”（EECC）报告事件的技术准则。准则概述了根据欧洲经济合作委员会第40条提交事件报告和年度摘要报告的格式和程序。该指南涵盖了跨境信息共享，包括事件报告模板以及一些事件实例。2021.3.18

澳大利亚/电讯拦截/年度报告

·澳大利亚内政部于2021年3月18日发布了关于1979年“电信（拦截和接入）法”的209-20年年度报告。该报告内容涵盖电信拦截、存储的通信和电信数据等，概述了执法机构提出的11项技术援助请求，允许它们向服务提供者寻求自愿援助，以提供与刑事调查或国家安全事项有关的数据或援助。报告指出，其中一份报告由澳大利亚刑事情报委员会（Australian Criminal Intelligence Commission）发布，三份报告由澳大利亚联邦警察发布，七份报告由新南威尔士州警察发布。2021.3.19

新加坡/电子交易/修正案生效

·新加坡《2021年电子交易（修正）法》于2021年3月19日生效。修正案力求修正《电子交易法》（Cap. 88）以实现执行联合国国际贸易法委员会2017年7月13日通过的贸易法委员会《电子可转让记录示范法》，并与《联合国国际合同使用电子通信公约》第10条保持一致。此外，修正案规定，电子可转让记录不应仅仅以电子记录的形式为理由而被剥夺法律效力、有效性或可执行性，并进一步界定了“电子记录”、“电子可转让记录”和“可转让单证或工具”等术语。此外，使用电子可转让记录需要征得同意。最后，在法律规则要求签字的情况下，如果使用可靠的方法确定此人的身份并表明该人对电子可转让记录所载信息的意图，则符合这一要求。2021.3.20

「数据执法」

澳门/非法电话销售/罚款

·澳门个人数据保护办公室（GPDP）于2021年3月12日宣布于2020年11月对好事来公司因从事非法电话销售活动判处总计324万澳门币罚款。GPDP发现，该公司在开展电话销售活动时没有合法依据，也没有给予个人获得信息和提出反对的权利，这违反了“个人数据保护法”。除行政处罚外，GPDP还命令该公司停止对所使用的个人数据的任何进一步处理，并删除此类个人数据。2021.3.16

美国/电话营销诈骗/罚款

·美国联邦通信委员会（FCC）于2021年3月17日对约翰·C·斯皮勒（John C.Spiller）和雅各布·A·米尔斯（Jakob A.Mears）处以2.25亿美元罚款。这两人使用了包括RingEagle和Jsquared电信在内的企业名称进行电话营销。FCC特别强调，大约有10亿个自动电话（其中许多是非法诈骗）出售短期、有限期限的健康保险计划，这些电话谎称提供来自著名健康保险公司（如蓝十字、蓝盾和信诺）的健康保险计划。2021.3.18

西班牙/安全漏洞/罚款

·西班牙数据保护局于2021年3月17日宣布对欧洲航空公司Leineas Aereas，SA处以60万欧元的罚款。其向AEPD发出有关未经授权查阅联络资料及银行户口的安全漏洞通知，该漏洞影响了约48.9万人及150万份资料纪录。AEPD表示该公司违反GDPR第32条第(1)款，没有制定适当的技术和组织措施以确保适当的安全水平，罚款50万欧元；违反GDPR第33条，没有及时向AEPD的报告，拖延了41天，罚款10万欧元。2021.3.18

「数据泄露」

美国/数据泄露/勒索软件攻击

·伍德克里克（WoodCreek）供应商服务有限公司于2021年3月5日通知美国卫生和公共服务部公民权利办公室（OCR），该公司发生了一起涉及207,000人的数据泄露事件，OCR目前正在对此进行调查。WoodCreek指出，该漏洞影响到了其供应商NetGain Technology LLC，后者在2020年11月24日至2020年12月3日期间遭受了勒索软件攻击。此外，WoodCreek指出，载有医疗记录系统的服务器未遭数据泄露，但扫描的临床和财务数据以及档案服务器上的其他业务记录已被攻击者窃取。WoodCreek强调说，雇员、承包商、申请人、提供者、父母、监护人和病人的数据受到了损害，包括他们的姓名、出生日期、社会保障号码、学生身份号码、健康保险单号码、银行帐号、简历、成绩单、考绩、犯罪背景调查报告、文凭、学位、董事会证书副本、禁毒署证明书和雇员健康信息。2021.3.16

「数据传输」

美国/数据传输/情报收集

·美国国会研究服务（CRS）于2021年3月17日发布了关于欧盟数据传输要求和美国情报法律的报告：理解Schrems II以及它对欧盟和美国隐私保护的影响。本报告审查了欧洲联盟法院（CJEU）数据保护专员诉Facebook爱尔兰有限公司，Maximillian Schrems（“Schrems II”）一案判决的影响，概述了欧盟关于国际数据转让的法律，包括Schrems II决定，并审查与Schrems II决定有关的美国监视法。此外，报告还讨论了美国国会的考虑因素，包括：

l 这一行政行动可以解决Schrems II中提出的一些情报收集问题，例如通过一项行政命令限制大量情报收集和提供额外的补救机制；

l 在美国和欧盟之间谈判一项外交解决办法，其中可包括一个新的框架，以取代隐私盾牌，或缔结一项关于数据转让的条约；

l 通过法律要求，解决欧盟委员会的关切问题，例如修订“外国情报监视法”，或制定一项允许外国当事人向法庭提出申诉的诉讼理由。2021.3.18

「数据共享」

英国/沙箱报告

·英国信息专员办公室（ICO）于2021年3月18日公布了有关三个组织的报告，这些组织在处理道路安全和减少暴力问题方面得到了监管沙箱的援助，分别是是Tonic Analytics、大伦敦管理局（GLA）和住房、社区和地方政府部（MHCLG）。ICO指出，沙箱有助于这些组织实现其目标，同时确保数据共享符合数据保护法。

l 具体而言，Tonic分析报告规定，沙箱协助发展伽利略方案，就适当选择处理的合法基础、在从事数据共享的多个组织建立符合规定的组织结构、数据的决策和处理以及完成数据保护影响评估等方面提供指导。

l 此外，GLA的报告强调，沙箱帮助开发和增强了GLA托管的SafeStats，这是一个现有的多机构平台，它为数据共享实践和大数据处理的影响等提供了指导。

l 最后，MHCLG报告提到了ICO提出的建议，其中包括：

u 数据最小化；

u 加工的必要性和相称性；

u 为执法目的，包括刑事犯罪数据的处理；

u 查明数据共享举措带来的风险；

u 制定三个组织实施的技术和组织措施，以保护正在处理的个人数据的安全和完整性。2021.3.19

主编简介：

王捷 

执业律师，垦丁W&W国际法律团队负责人，荷兰RuG国际经济法与商法硕士，曾任职阿里巴巴大文娱集团，深耕海内外多条业务线，已为视源股份、360、迅雷、小红书、租租车、得物、步步高小天才、NuSkin等多家知名互联网公司及大中型外资企业提供专业法律服务。

王捷律师拥有近10年的科技型公司实务经验与中外律所从业背景，专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：13650790754

魏彤

垦丁W&W国际法律团队数据合规专家

前大型欧盟集团数据安全官和出海游戏公司法律合规顾问，荷兰UM国际经济法与商法硕士。熟悉海外各国家地区的数据隐私保护法律体系如GDPR、CCPA、LGPD、APPI、PIPA等，了解中国互联网企业出海和跨国公司进入中国的数据合规需求。支持业务涉及多国隐私协议撰写、内容安全政策解读把控、产品全生命周期数据合规评估、儿童数据收集及适用合规方案、数据跨境传输等。业务经验涉及欧盟、东南亚、拉美、美国等出海热门市场。

资讯编写

王湄怡

就读于广东海洋大学法政学院，垦丁律师事务所W&W国际法律团队实习生。

协助全球数据合规资讯周刊编写。追踪各国数据合规执法状况。协助编撰《全球数据合规资讯手册》、《2020全球数据合规年度大事件回顾》，参与翻译《2019美国国家安全与个人数据保护法案》、《关于在新型冠状病毒响应期间确定必要的关键基础设施工作者的备忘录》。参与第四届网络法实务大会志愿者工作。