全球数据合规资讯 | 欧盟和美国已就跨大西洋数据传输的新框架达成了"原则协议"

W&W国际法律团队出海互联网法律观察

2024-08-25

热点新闻

欧盟委员会宣布颁布《网络安全条例》以及《信息安全条例》
欧洲对外行动署（EEAS）宣布关于隐私和个人数据保护的联合声明
美国证券交易委员会 (SEC) 公布了针对上市公司的新网络安全披露规则提案
欧盟理事会宣布已就《数字市场法》（DMA）达成临时政治协议
欧盟和美国已就跨大西洋数据传输的新框架达成了"原则协议"
日本个人信息保护委员会（PPC）对违反APPI第23条非法披露破产个人信息的行为，向某公司做出行政处罚
英国竞争和市场管理局（CMA）决定接受Google用其一组隐私沙盒工具替代第三方cookie的承诺
韩国个人信息保护委员会（PIPC）因数据泄露对16家企业共计罚款超1亿韩元
美国消费者信用报告机构TransUnion Sounth Africa就数据泄露事件发表声明

全球数据立法动态

欧盟委员会/网络安全条例/信息安全条例/法案

3月22日，欧盟委员会提出《网络安全条例》与《信息安全条例》提案，以在欧盟各机构、机关、办事处之间建立共同的网络安全和信息安全措施，加强欧盟对网络威胁和事件的复原力和响应能力，并确保在全球恶意网络活动不断上升的情况下，建立一个有弹性、安全的欧盟公共管理。《网络安全条例》致力于为网络安全领域的治理、风险管理和控制建立一个法律框架，成立一个新的机构间网络安全委员会，以推动和监测该条例的实施。《信息安全条例》旨在为欧盟所有的机构、机关、办事处建立一套最低限度的信息安全规则和标准，以在信息威胁不断演变的情况下为它们的信息交流提供有力与一致的保护。

2022.3.23

欧洲/EESA/隐私和个人数据保护/联合声明

欧洲对外行动署（"EEAS"）于2022年2月23日宣布了欧盟、澳大利亚、科摩罗、印度、日本、毛里求斯、新西兰、韩国、新加坡和斯里兰卡关于隐私和个人数据保护的联合声明。EEAS特别强调，信息和数字技术的快速技术发展在这一领域带来了新的挑战。

EEAS陈述其旨在提升数据和隐私保护水平和国际合作的制度框架，包括亚太地区、欧洲以及其他地区：

涵盖私营和公共部门的综合法律框架和政策;
核心原则，如合法性、公平性、透明度、目的限制、数据最小化、有限数据保留、数据安全和问责制;
个人的可执性权利，包括访问、纠正、删除和有关自动决策的保障措施，如透明度和质疑结果的可能性;
跨境传输保障措施确保传输中的数据安全；
由专门的监督机构进行独立监督，并提供有效的补救措施

此外，EEAS指出，跨境监管机构之间需要密切合作，以确保制定此类标准。

2022.3.23

美国/SEC/上市公司新网络安全披露规则/提案

美国证券交易委员会 (SEC) 公布了针对上市公司的新网络安全披露规则提案，旨在使网络安全相关事件报告、治理和风险管理标准化，并强调网络安全作为公司治理的一个维度越来越重要。如果通过，这些规则将要求上市公司披露：

在公司确定事件为“重大”后的四个工作日内披露任何网络安全事件；
描述其网络安全风险管理政策和程序、治理实践；
董事会成员在何种程度上拥有网络安全专业知识。

拟议规则的公众意见征询期截至 2022 年 5 月 9 日。

规则要求在已知范围内披露以下信息：

事件何时被发现以及是否持续；
事件性质和范围的简要说明；
是否有任何数据被盗、更改、访问或用于任何其他未经授权的目的；
事件对注册人运营的影响；
注册人是否已补救或目前正在补救事件。

2022.3.24

欧盟理事会/数字市场法/临时政治协议

欧盟理事会于2022年3月25日宣布，已就《数字市场法》（"DMA"）达成临时政治协议。DMA旨在透过对大型网上平台制定规则，使数码业更公平、更具竞争力，并确保作为大量用户的守门人，这些平台不会滥用职权，损害希望接触这些用户的公司的利益。

理事会与议会达成一致，平台成为守门人的资格条件为：

要么在过去三年中在欧盟内的年营业额至少为75亿欧元，要么市场估值至少为750亿欧元;
每月至少有4500万最终用户和至少10 000名在欧盟建立的商业用户等。

理事会指出，守门人的义务包括：

确保用户有权在与订阅类似的条件下取消订阅核心平台服务;
确保用户有权对于最重要的软件（例如Web浏览器），在安装操作系统时默认情况下不需要此软件等。

同时，协议规定了守门人禁止的行为，对违反规定的守门人将被处以全球营业额总额10%的罚款，多处违规的，罚款额为全球营业额的20%。

2022.3.25

欧盟委员会/美国政府/跨大西洋数据传输新框架/原则协议

2022年3月25日，欧盟委员会主席在与美国总统的一份声明中宣布，欧盟和美国已就跨大西洋数据传输的新框架达成了"原则协议"（agreement in principle）。新的框架将使欧盟和美国之间可预测和值得信赖的数据传输成为可能。

此外，欧盟司法专员和美国商务部长宣布美国政府和欧盟委员会已决定加强关于加强欧盟-美国隐私保护框架的谈判，以遵守欧盟法院在数据保护监管机构诉Facebook爱尔兰有限公司、Schrems中的判决。

2022.3.25

全球数据执法

日本/PPC/非法披露个人破产信息/处罚

日本个人信息保护委员会（"PPC"）于2022年3月23日宣布，根据《个人信息保护法》（"APPI"）第42条，对违反APPI第23条非法披露破产个人信息的行为，向某公司做出行政处罚。PPC指出，该公司未经事先同意将破产个人的个人信息存储在数据库中并在其网站上提供，使该信息可供业务经营者本身以外的个人使用。

PPC认为，该公司披露个人信息的行为违反了APPI第23条的规定。为此，PPC表示，在网站上列出的破产个人可能会使破产个人在人格和财产方面受到歧视。

PPC做出以下处罚决定：

该公司停止在网站上提供破产人的个人信息；
确保通过网站提供个人数据受隐私政策的约束；
获得个人的同意并根据APPI第23条采取其他措施；
收到PPC的通知，确认已采取上述措施；
在收到PPC的通知，即可以通过网站恢复提供个人数据之前，不会恢复通过网站提供个人数据。

最后，PPC强调，如果违反其命令，PPC将寻求根据APPI第83条施加处罚，并正在考虑提起刑事指控。

2022.3.23

英国/CMA/谷歌隐私沙盒 / 决定

近日，英国竞争和市场管理局（CMA）公布最终决定，接受Google关于在Chrome浏览器上移除第三方cookies以及用其一组隐私沙盒工具替代第三方cookie的承诺。

2022年3月23日，CMA批准Google任命荷兰国际集团为监督受托人，以监督上述承诺条款的遵守情况。

经CMA批准，酌情任命相关技术专家，以支持荷兰国际集团在承诺下的监督责任；
向CMA提供书面报告，说明荷兰国际集团对谷歌遵守承诺中的具体规定的评估；
向谷歌提出其应采取的任何必要措施，以确保承诺得到遵守；
如果荷兰国际集团有理由怀疑谷歌没有遵守承诺中的一个或多个条款，无论其主观上是故意还是过失，都应及时向CMA书面报告。

2022.3.24

韩国/PIPC/16家企业共计罚款超1亿韩元/数据泄露

2022年3月23日，个人信息保护委员会（PIPC）在调查数据泄露事件后，对16家企业违反《2011年个人信息保护法》（2020年修订）（PIPA）处以罚款，罚款总金额超过1亿韩元。PIPC强调，经调查发现，前述企业先后存在没有报告或延迟报告数据泄露事件，违反居民登记号码的处理，没有为正在处理的数据建立加密措施，没有销毁收集或使用的目的或保留状态已失效的个人信息，以及没有采取足够安全措施来保护个人信息等行为，违反了PIPA第21条、第24条、第29条、第34条等规定，故对这16家企业进行罚款等制裁。

2022.3.24

美国/TransUnion Sounth Africa/数据泄露

美国消费者信用报告机构TransUnion Sounth Africa（TSA）就数据泄露事件发表声明，称犯罪第三方通过滥用客户授权获得对TSA服务器的访问权限，收集并发布了从TSA和其他来源获得的数据。事发之后，TSA立即暂停了客户的访问，聘请了网络安全和取证专家，并展开了调查。

调查结果认为：

犯罪第三方通过滥用授权客户的凭据获得了对 TransUnion South Africa 隔离服务器的访问权限不属于勒索软件攻击。
面对犯罪第三方的勒索要求，TransUnion表示拒绝支付勒索金。

TSA的强硬态度也促使第三方转变了策略——他们计划为被窃取个人信息的客户提供购买“保险”的机会，如果小型企业愿意支付10万美元，大型企业支付100万美元，黑客团队便承诺不泄露特定客户的个人信息。

此外，TSA针对此次网络安全事件计划做出一些改进措施，将不断寻找方法来进一步加强对未经授权访问TSA系统或数据的任何形式的防御，其中包括在IT 基础架构中实施的许多额外安全措施。同时聘请了第三方专家来评估TSA的安全协议。

2022.3.25

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

资讯编写

程旭阳

垦丁律师事务所W&W国际法律团队实习生。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

互联网出海法律实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

重磅发布 | 元宇宙与NFT合规问答手册

重磅发布 | 元宇宙产业及元规则体系合规蓝皮书