欧洲观察 | EDPB通过投诉模板和关于BCR-C批准申请的建议
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
欧盟:EDPB通过投诉模板和关于BCR-C批准申请的建议
欧洲数据保护委员会(EDPB)于2023年6月21日宣布通过了数据主体的投诉模板以及《关于申请批准和数据控制者约束性公司规则(BCR-C)中的要素、原则的建议》(以下简称为“建议”)的最终版本。
EDPB强调,该投诉模板旨在促进数据主体提交投诉以及数据保护机构(DPA)在跨境案件中后续的处理。该模板可用于由个人提出的投诉或由他人提出的投诉的情况。EDPB还开发了一个回执模板,旨在为投诉人提供关于下一步的信息,并强调针对DPA具有法律约束力的裁决获得有效司法救济的权利。重要的是,EDPB强调,DPA可自愿使用该模板,并可根据各自的国家要求进行调整。
关于建议,EDPB强调建议更新了现有的BCR-C参考资料,其中包含BCR-C的批准标准,并将其与BCR-C的标准申请表格合并。EDPB指出,建议的目的是:
· 提供更新的申请批准BCR-C的申请表;
· 澄清BCR-Cs的必要内容并提供进一步解释;
· 区分BCR-C中必须包含的内容和BCR申请中必须提交给BCR主管数据保护机构的内容。
垦丁W&W简评:
GDPR第47条规定,企业集团内部各成员或参与到共同经济活动的企业团体的成员之间可以使用约束性公司规则(BCR)实现个人信息跨境传输。而BCR-C适用于根据GDPR第3条将个人数据从GDPR地理范围内的控制者转移到同一集团内的其他数据控制者或数据处理者。目前所有的使用BCR-C或即将申请使用BCR-C实现个人信息跨境传输的控制者,应当注意其使用的BCR-C符合新颁布的建议中的要求。该建议目前仍然还在由EDPB进行最后的检查,并将在完成后于EDPB的官方网站上公布。
02
法国:Criteo公司因违反GDPR被数据保护局处以4000万欧元罚款
2023年6月22日,法国数据保护局(CNIL)发布了2023年6月15日SAN-2023-009号的审议意见,指出Criteo未验证个人数据处理是否已获得数据主体的同意,违反了GDPR下列五项规定,CNIL对Criteo的违规行为处以4000万欧元的罚款。
· GDPR 第7(1)条:未能证明获得数据主体的同意;
· GDPR 第12和13条:未能履行信息和透明度的义务;
· GDPR第15(1)条:未重视数据主体的访问权;
· GDPR第7(3)和17(1)条:未重视数据主体撤销同意和删除数据的权利;
· GDPR第26条:未在数据共同控制者之间签订协议;
在同意方面,CNIL表示,未经用户同意,Criteo用于目标广告的追踪器不能用于用户的终端上。尽管获得数据主体同意的工作由Criteo的合作伙伴(合作伙伴直接与用户进行接触)负责,但Criteo仍需核实并能够证明用户的同意。Criteo也没有采取任何措施来确保其合作伙伴有效地收集用户的同意,然后再进行处理数据的行为。同时,Criteo与其合作伙伴签订的合同中没有任何条款规定合作伙伴必须提供用户已同意的证明。
垦丁W&W简评:
出海欧盟的企业,若涉及个人数据的收集与处理方面的业务,在与合作伙伴签订的协议中应当具体规定GDPR对数据控制者或数据处理者要求的各自义务,若从其他控制者处获得个人数据,应当在有关协议中要求控制者提供已获得用户同意或者具备GDPR下规定的其他合法性基础的证明。若数据主体行使撤回同意或要求删除其数据的权利,企业在停止向该用户显示个性化广告的同时,还应当删除与该标识符相关的数据。企业在隐私政策中还应当具体和详细地描述数据主体的何种数据被使用以及使用的目的,以确保数据主体的知情权。
03
欧盟:数据保护组织联合会为数据保护官员发布人工智能和个人数据的常见问题指南
欧洲数据保护组织联合会(CEDPO)发布了一份针对数据保护官员(DPO)在AI和个人数据方面的"常见问题"指南。该指南针对数据还回答了数据保护与人工智能(AI)和机器学习软件之间的交叉问题。
· 通用数据保护条例(GDPR)对人工智能和机器学习的适用性;
· 自动化处理的范围;
· AI以及机器学习和数据处理之间的互动;
· ChatGPT和生成性人工智能;以及
· 欧盟《AI法案》的适用范围。
该指南建议DPO与其组织内的其他利益相关者联系并密切合作,形成一个企业内部的人工智能支持网络(AI champion network),以确保企业内人工智能技术和系统的使用是透明的、负责任的、公平的,并在遵守GDPR的前提下使用人工智能。
垦丁W&W简评:
2018年5月25日生效的GDPR为欧洲的数据保护提供了一个现代化的合规框架。根据GDPR的相关规定,出海欧盟的企业作为数据控制者或数据处理者应当考虑建立DPO,该项措施有助于企业实现个人数据合规进而成为企业的竞争优势。DPO可以参与所有与保护个人数据有关的事项,其任务之一是“告知数据控制者或数据处理者以及根据GDPR执行其义务的雇员关于数据保护的建议”。若企业发生数据泄露或其他事故,也必须立即咨询DPO。欧盟本次发布的常见问题指南有助于DPO与企业在个人数据与AI结合的方面更进一步结合,确保企业在遵守GDPR的规定下更高效地使用AI系统。
04
英国:ICO发布关于隐私增强技术的新指南
英国信息专员办公室(ICO)继2022年草案版本进行公开征求意见后,发布了新的隐私增强技术(PETs)指南。该指南面向数据保护官员(DPO),和其他在金融、医疗、研究领域使用大量个人数据集的企业,及中央和地方政府。
该指南第一部分侧重于PETs如何实现对数据保护法律的遵守,第二部分则介绍了更多的技术方法,概述了目前可用的PETs类型的细节。ICO敦促各组织在共享个人数据时应用PET,以确保数据的安全、安保和匿名性,并指出PETs可用于:共享匿名的个人信息,检测和预防金融犯罪和相关风险,如欺诈、洗钱和网络犯罪等。
垦丁W&W简评:
英国信息专员办公室一直在就隐私增强技术开展征求意见,并发布了《匿名化、假名化和隐私增强技术指南》。人工智能、物联网和云计算服务领域的企业,可以考虑适用PETs来促进安全、合法、高效地分享和使用个人数据。通过PETs来最大限度地减少个人数据的使用和提高数据安全性以及赋予个人权利,从而帮助企业遵守数据最小化原则,具体包括:对数据集的访问进行授权、未经授权将无法访问敏感数据、对个人信息进行加密或匿名等。同时,企业对隐私增强技术的适用必须与现行法律、政策和社会文化规范相互协调一致,以负责任的态度开辟新的发展机遇。
近期推荐阅读:
亚太观察|日本新《个人信息保护法》全文翻译【2023年4月1日施行】
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
主编介绍
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
资讯编写
陈凯婷
垦丁律师事务所W&W国际法律团队实习生