全球数据合规资讯周报 | 欧盟议会发布实施《数字市场法案》

W&W国际法律团队出海互联网法律观察

2024-08-25

热点新闻

美国犹他州《消费者隐私法》（UCPA）生效，使犹他州成为美国第四个制定全面消费者隐私立法的州
美国白宫和欧盟委员会发布关于《新的跨大西洋数据隐私框架原则协议》的联合声明书
欧盟议会发布实施《数字市场法案》，预期将在2022年10月生效
新加坡个人数据保护委员会（PDPC）发布了《基本匿名化指南》
欧盟议会通过《关于破坏隐私的加密规制》的提案
瑞典隐私保护局（IMY）因非法处理个人数据对某金融科技公司罚款750万瑞克朗
英国市场与竞争管理局（CMA）宣布将对苹果公司开展进一步的反垄断调查
美国伊利诺伊州地方法院批准了TikTok及其附属应用程序侵犯儿童隐私案的和解方案，TikTok及其母公司将支付110万元
美国关于Meta的面部数据隐私诉讼进入审判阶段

全球数据立法动态

美国/犹他州/消费者隐私法/生效

2022年3月24日，犹他州州长签署了《犹他州消费者隐私法》（UCPA），使犹他州成为第四个制定全面消费者隐私立法的州。该法律于2023年12月31日生效。

UCPA很大程度上借鉴了《弗吉尼亚州消费者数据保护法》（VCDPA）、《科罗拉多隐私法》（CPA）和《加州消费者隐私法》（CCPA）。但UCPA的实质内容对消费者隐私的规定采取了比前三部法律更有利于商业的方法。

根据UCPA，处理儿童数据是唯一需要肯定同意的活动，但与VCDPA和CPA不同，UCPA不要求消费者同意后才能处理敏感数据，该法仅要求控制者在处理消费者的敏感数据之前，向消费者提供“明确的通知和选择退出的机会”。在回应消费者的要求方面，VCDPA和CPA要求控制者为请求被拒绝的消费者提供申诉程序，但UCPA中没有包括这一义务。

2022.3.26

美国/欧盟/新跨大西洋数据隐私框架原则协议/联合声明

美国白宫和欧盟委员会于2022年3月25日发布了关于《新的跨大西洋数据隐私框架原则协议》的联合声明书。这两个机构特别强调，新框架旨在：

将建立新的保障措施，以确保美国的信号监视活动在追求既定的国家安全目标方面是必要和相称的;
建立两级独立补救机制，要求进行采取补救措施，其中包括数据保护审查法院；
加强对美国信号情报活动的监督;以及
确保组织将承担强制性义务，要求参与的公司和组织遵守隐私护盾原则，并证明自己已经遵守这些原则。

此外，白宫进一步概述参与的公司和组织必须继续遵守隐私护盾原则，并证明自己遵守了这些原则，而欧盟个人将可以使用多种保护途径来维护自身的利益，包括通过替代性争议解决和具有约束力的仲裁。

2022.3.26

欧盟议会/数字市场法案/实施

殴盟议会发布实施《数字市场法案》，预期将在2022年10月生效，《数字市场法案》的出台可能会对一些巨头公司在欧洲的业务模式产生重要影响。

该项法案规定的内容主要有：

确保用户可以使用平台服务；
对于一些必要的软件，在用户安装操作系统时不能设置默认安装；
允许用户开发商公平地使用手机的附加功能，不能故意设置非兼容模式；

另外，法案禁止公司做出以下行为：

通过技术手段将自己产品或服务的排名放在其他产品排名之上；
平台在商业用户之间设定不公平的条件；以及
要求应用开发商在其应用平台上架时必须使用特定服务。

2022.3.28

新加坡/PDPC/基本匿名化/指南

新加坡个人数据保护委员会（PDPC）于2022年3月31日发布了《基本匿名化指南》，旨在为企业提供如何正确执行各种数据集的基本匿名化和去识别化的指导。该指南概述了基本的匿名化概念和实例，并列出匿名化的具体步骤，其中包括：

了解所持有的个人数据记录，特别是数据属性以及对个人的不同程度的可识别性和敏感性;
通过删除直接标识符和假名化来规避对个人数据的识别;
应用匿名化技术，如字符屏蔽、泛化;
评估个人数据被识别的风险，特别是与数据保留以及内外部数据共享有关的风险；以及
通过实施技术和流程控制，将此类风险纳入事件管理计划以及采用法律措施来降低个人数据被重新识别和披露风险。

此外，该指南还包含五个附件，涵盖基本的匿名技术、共同数据属性、重新识别风险评估和匿名化工具。

2022.3.31

欧盟议会/破坏隐私的加密规则/提案

根据CoinDesk的报道，欧盟议会通过《关于破坏隐私的加密规制》的提案。这些提案旨在将适用于超过 1,000 欧元的常规支付的反洗钱（AML）要求扩展到加密行业。他们还取消了加密支付的门槛，因此即使是最小的加密交易也需要确定付款人和接收人，包括使用非托管或自托管钱包的交易。

另外，欧盟议会正在讨论的进一步措施可能会导致不受监管的加密货币交易所与传统金融系统的隔离，还讨论了一项单独的法律提案，将停止向“不合规”的加密服务提供商进行转移，其中包括那些未经授权在欧盟运营或不隶属于或在任何司法管辖区设立的服务提供商。

2022.4.1

全球数据执法

瑞典/IMY/某公司非法处理个人数据/罚款

瑞典隐私保护局（IMY）于2022年3月29日公布了罚款决定。IMY指出，Klarna 是一家金融科技公司，它以许多不同的方式处理很多人的个人数据，Klarna 提供的有关公司如何处理个人数据的信息应正确且尽可能完整，但IMY看到了不足之处。因此，IMY对Klarna违反GDPR的行为处以750万瑞典克朗的罚款。

IMY表示，Klarna 没有提供关于在公司的一项服务中处理个人数据的目的和法律依据的信息。其次，该公司提供了不完整和误导性信息，以说明与瑞典和外国信用信息公司共享数据时，不同类别个人数据的接收者是谁。再者，Klarna没有提供关于个人数据被转移到欧盟或欧洲经济区以外的哪些国家的信息，也没有说明个人可以在哪里以及如何获得适用于转移到第三国的保障措施的信息。此外，Klarna没有提供关于数据主体权利的充分信息，包括删除数据的权利、数据可移植性的权利以及反对处理个人数据的权利。

2022.3.29

英国/CMA/苹果公司/反垄断调查

英国市场与竞争管理局（CMA）于2022年3月30日发布对苹果在英国IOS和IpadOS设备上分发应用程序的行为的调查进程，宣布将对苹果公司开展进一步的反垄断调查。

CMA指出，苹果在APP Store是开发者在苹果系列设备商分发第三方应用程序的唯一途径，也是苹果客户访问第三方应用程序的唯一途径。经调查显示，所有通过应用商店提供的应用程序都必须得到苹果公司的批准，但批准的条件是应用程序开发商需要同意某些特定条款。因此，开发者投诉认为这些条款导致应用开发商只能通过APP Store发布应用程序。另外，一些应用程序的内部程序必须通过苹果支付才能实现升级服务等，但是苹果公司从中收取高比例的佣金。

CMA的调查重点是苹果公司在苹果设备上分发应用程序是否具有支配地位，以及是否通过制定不公平条款而构成滥用市场支配地位。

2022.3.30

美国/伊利诺伊州/TikTok/儿童隐私

美国伊利诺伊州北区地方法院批准了TikTok及其附属应用程序Musical.ly侵犯儿童隐私案的和解方案，TikTok及其母公司将向一个和解基金支付110万美元。

该集体诉讼于2019年提交，指控该平台未经父母同意“跟踪、收集和披露”13岁以下儿童的个人身份数据，声称这些行为违反了《儿童在线隐私保护法》（COPPA）。

该和解方案将在集体成员中分配，即在13岁以下注册TikTok或Musical.ly的美国用户。

2022.3.30

美国/Meta/面部数据隐私诉讼/审判阶段

此前，美国地方法官批准了一项历史性的 6.5 亿美元和解协议，以解决 Meta 未经同意收集和存储用户面部数据的指控。后原告代表另行提起集体诉讼。法官于2022年3月24日作出裁决，将伊利诺伊州的《生物特征信息隐私法》（BIPA）解释为Facebook 必须向非用户提供通知并征得其同意显然是不合理的，因为这些非用户实际上对 Facebook 完全陌生，并且与 Facebook 没有任何关系。

然而，法官发现 Meta 仍可能因违反 2008 年伊利诺伊州法律的另一项条款而承担责任，该条款要求获取人们生物特征数据的公司制定书面政策，解释数据将如何使用以及将保留多长时间。伊利诺伊州隐私法对每次疏忽违规处以 1,000 美元的民事罚款，对每一次故意违规行为处以 5,000 美元的民事罚款。伊利诺伊州 Facebook 用户的诉讼现已和解，估计涉及到的数据主体约为 700 万人，这可能会给 Facebook 造成 470 亿美元的损失。

2022.4.1

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

资讯编写

程旭阳

垦丁律师事务所W&W国际法律团队实习生。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

互联网出海法律实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

重磅发布 | 元宇宙与NFT合规问答手册

重磅发布 | 元宇宙产业及元规则体系合规蓝皮书