新年重磅 | 2022全球数据合规年度大事件回顾

2022年，是中国数据合规发展快速迅猛的一年。

《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》正式实施一年，配套的相关法规政策及制度规范正在逐步落地实施，并趋向完整，同时在司法层面以及执法层面均得到有力的强化。

2022年9月1日正式实施的《数据出境安全评估办法》明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定，对于中国数据合规的发展具有里程碑的意义；为方便出海企业对数据出境进行自我评估及后续业务顺利开展，2022年6月30日国家互联网信息办公室起草了《个人信息出境标准合同规定（征求意见稿）》；8月31日国家互联网信息办公室发布了《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明，该指南的目的在于指导和帮助数据处理者规范、有序申报数据出境安全评估。

可以看出，我国对于数据出境的规定已经较为详细，随着各项配套文件和制度的发布和施行，出海企业作为数据控制者和处理者需要关注的要点将会越来越多。

另一方面，对出海企业而言，不仅需要关注国内越来越明确、规范、具有执行力的数据跨境规则以及我国本地化的要求，也需要重点关注出海目标国或地区的前沿立法动态与最新执法案例。

在立法层面，2022年海外不断推陈出新，对于数据合规的各个方面都推出了新的法案及指引，同时据观察，2022年有更多的国家和地区对数据合规提出了要求，总体来说，2022年全球数据合规相关的立法动态呈快速增长的状态。

在欧盟，2022年2月23日公布了《数据法：关于公平访问和使用数据的统一规则的法规提案》；2022年4月6日，欧洲议会通过了《数据治理法》、欧洲数据保护委员会（EDPB）公布了作为数据传输工具的行为准则的指南定稿、欧盟和美国就跨大西洋数据传输的新框架达成了原则协议；2022年7月18日欧盟27个成员国一致宣布最终批准《数字市场法》（DMA）。

在美国，出现了第一个获得两党和两院支持的美国综合性联邦隐私法案《美国数据隐私和保护法案》草案、同时还发布了《算法责任法案》草案；在州级立法方面，加州立法机关通过《加州适龄设计规范法案》，该法案是一部儿童在线安全法案；《加州隐私权法案》（CPRA）于2023年1月1日生效，在此之前CPPA发布了更新的法规草案，在个人信息收集和使用限制、收集个人信息的通知以及限制使用敏感个人信息的权利等方面进行了更新的规定。

在亚太地区，印度取消了其拟议的《个人数据保护法案》，取而代之的是修改后的《数字个人数据保护法案》，随着年底的临近，该法案正在进行公众咨询。该法案放弃了数据本地化标准，同时包含了公平、合法和透明、数据最小化、存储限制和问责制等原则；印度尼西亚通过了《个人数据保护法案》，规定了对公民个人数据处理不当的处罚。它还授权总统任命监督机构的成员来执行法律，这是立法过程中的症结所在；日本《个人信息保护法》（2020年修订版）于2022年4月1日正式生效；泰国第一部综合数据保护法PDPA在2022年6月1日生效。

在中东地区，迪拜政府于 2022 年 4 月 4 日发布规范迪拜数字服务的提供的法律《数字服务法》；沙特数据和人工智能管理局（“SDAIA”）于2022年11月20日就其对《个人数据保护法》的拟议修正案发起了公众咨询。

在其他大洲及地区，阿根廷公共信息获取署启动了磋商程序，开始改革其2000年通过的《个人数据保护法》，修改主要参考了欧盟《通用数据保护条例》的规定；澳大利亚第二大电信公司Optus发生大规模数据泄露事件，促使立法者提出《2022年隐私法修订案》，该法案将对屡次发生数据泄露事件的公司处以5000万澳元的罚款；加拿大下议院提出数字宪章实施法案C-27法案，并于11月提交。C-27法案包含了三项立法：《消费者隐私保护法》、《个人信息和数据保护法庭法》以及《人工智能和数据法》。

本文仅摘录《2022年全球数据合规大事件回顾》的部分内容，欢迎有具体数据合规服务需求的客户关注本公众号“出海互联网法律观察”，并在后台回复“2022回顾”获取本汇编全文。

汇编团队：垦丁W&W国际法律团队

王捷、常孝雯、郭佳仪   编制

关联阅读：

• 年末重磅 | 《个人信息保护与数据合规法律汇编V3.0》更新至2022年12月（附下载）
  

• 鸿篇巨制 | 2021年全球数据合规大事件回顾

• 【重磅发布】2020年全球数据合规大事件回顾

• 六大维度对比：十国/地区数据保护规则要点 |（附出境实务100问）

• 纯干货！十国/地区数据保护主要维度横纵对比（下）（附出境100问）

  
  

报告预览

垦丁数据合规主要产品及服务

整体服务

-数据合规整体评估及合规方案落地 -

•  我们已经为数十家头部及一线大型互联网企业、世界五百强企业提供了专业 的数据合规法律服务，对过去三年内企业数据合规需求进行分析与调研后，我们 特别针对企业在数据合规方面的常见需求版块，为您提供覆盖企业业务场景的全 生命周期数据合规解决方案；

•  针对企业现有情况进行摸底排查，找出合规差距，并就合规差距提出合规落地方案，搭建适合企业实际情况的合规制度及流程，梳理各种业务场景并提出合规化建议，完善各种法律文件等，使企业整体上符合《数据安全法》、《个人信息保护法》以及相关法律法规的要求。

数据合规常年顾问服务

- 日常数据合规实操落地建议 -

•  解答企业与数据合规有关的法律咨询，出具法律意见；•  优化和完善企业与数据合规有关的法律文书；•  为企业提供数据合规立法动态等资讯推送；•  数据合规有关纠纷的协助处理，出具律师函等；•  为企业提供一定数量的培训服务；•  其他与数据相关的常年法律顾问服务。

专项服务

- 产品数据合规全生命周期合规服务 -

• 就企业某一服务、某一产品、某一商业模式等进行专项的数据合规整体评估，进行数据合规差距分析，并出具和落地合规整改方案。

- 数据出境风险评估服务 -

•  对公司涉及数据出境的风险场景进行尽调与盘点；

•  数据出境具体情况排查与分析，以及数据出境合规路径分析与建议；

•  数据风险自评估报告与数据出境安全申报全流程服务与支持。

- 个人信息保护制度体系搭建-

• 结合企业的具体情况，根据最新的法律要求，制定或完善内部数据合规管理制度文本，搭建配套的管理流程，包括但不限于协助公司建立数据全生命周期安全保护制度、数据安全事件预防与应急响应机制、对供应商、合作方的数据合规管控管理制度、数据分类分级制度、用户数据权益及投诉处理制度、数据安全保障制度、数据安全审计管理制度等等各类配套制度，并就制度的有效实施提供落地支持。

- 个人信息保护影响评估服务 -

• 就《个人信息保护法》规定需要，做个人信息保护影响评估的事项，为企业提供个人信息保护影响评估服务。 

-员工个人信息合规服务-

• 就企业的员工个人信息保护，从招聘、背调、入职、在职、离职等整个生命周期环节进行专项数据合规评估，并出具和落地合规解决方案。

- 个人信息保护诉讼服务-

• 企业涉数据合规、个人信息保护、隐私等诉讼服务。

- 数据合规法律培训、数据合规官认证服务-

•  企业定制式数据合规法律培训服务、数据合规官认证服务。

- APP产品信息收集、权限检测工具服务-

• 企业 App 产品信息收集与权限检测工具服务 。

- 数据新规、资讯速递服务-

• 企业数据合规最新法律法规解读与全球数据合规资讯速递服务。

- 其他 -

• 其他企业需要的与数据合规有关的专项服务。

垦丁全球其它产品及服务

- 海外公司治理 -

• 包括海外公司设立的协助，找合适的中介资源，提供海外公司治理的有效治理方式和手段，措施，理顺多个海外主体的管理问题，股东会，董事会决议管理，海外签章，认证等问题。

- 跨境投融资 -

• VIE股权架构设计，股权协议起草，主体收购、并购等问题。

- 诉讼 -

• 提供与数据有关的起诉或应诉等服务，垦丁具有丰富的数据相关的诉讼经验。

- 工具服务 -

• APP个人信息合规检测工具【隐士】：一款高效、便捷的APP个人信息合规检测工具，为移动应用（APP）个人信息安全提供多方位全面体检，形成简洁易懂的专业检测报告，帮助APP经营者高效，低成本地开展APP合规问题自查，满足监管要求，助力隐私合规。

编者介绍

王捷律师专注于网络法领域的研究和实务，特别是互联网产品整体综合合规、出海业务合规，以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、芯片制造商、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏，以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年+ 的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线，业务领域覆盖国际浏览器、国际信息流、海外品牌营销、广告联盟、短视频、音乐娱、应用分发及各类创新与孵化业务与项目型法律工作；专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展欧美、印度、东南亚、中东、非洲等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第12届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

扫描添加微信，

敬请备注姓名、单位、领域和来意。

个人信息保护：

十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定

十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务

十国/地区数据保护法十大合规要点对比 | #8 数据保护官（DPO/个人信息保护负责人）任命要求

十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

十国/地区数据保护法十大合规要点对比 | #6 数据影响评估（DPIA/PIA）要求

十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

精品解读：

【如何做一块安全的饼干】之cookies的用户告知与法律基础

游戏出海：

实务|Adjust手游出海指南-东南亚篇

干货|Google移动游戏东南亚出海策略

游戏出海如何进行合规？听听垦丁律所海外业务负责人王捷怎么说

游戏出海三人游—日本篇

游戏出海三人游-韩国篇（下）

游戏出海三人游-韩国篇（上）

跨境电商：

【值得收藏】中国跨境电商的商业模式与生态链条剖析

【重磅】《跨境电子商务零售进口法规案例汇编》发布