亚太观察 | 澳大利亚:Meta因误导性数据保护声明被罚款2000万美元
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
澳大利亚:Meta因误导性数据保护声明被罚款2000万美元
2023年7月26日,澳大利亚竞争与消费者委员会(ACCC)宣布联邦法院已责令Meta的两家子公司即Israel公司和Onavo公司分别支付1000万美元罚款,法院认为上述公司在Onavo Protect 应用程序的数据收集和使用方面误导了消费者,未充分披露用户数据将被用于Onavo Protect以外的其他目的。
ACCC于2020年12月对Facebook(现称为Meta Platforms,Inc.)及其两家子公司提起诉讼,指控他们在向澳大利亚消费者推广Onavo Protect 移动应用程序时存在虚假、误导或欺骗行为。应用程序商店的列表显示,Onavo Protect应用程序收集的用户数据仅用于提供VPN服务。然而ACCC指出, Israel 和 Onavo 出于商业目的与母公司 Meta 共享匿名和汇总(aggregated)的用户活动数据。ACCC估计,该应用程序在2019年5月停止服务之前,在2016年2月至2017年10月期间被澳大利亚用户安装超过27万次。
联邦法院认定两家公司违反了《澳大利亚消费者法》,因为没有向用户披露他们的数据将被用于该应用程序相关用途之外的目的。除了罚款外,法院还要求两家子公司分担ACCC的法律费用。
垦丁W&W简评:
虽然Meta两家子公司的应用程序从技术上揭示了他们使用消费者数据的方式,但这些披露都包含在服务条款和隐私政策中,与应用商店中有关数据保护的声明相比,这些内容并没有清晰明确的表明消费者数据的使用目的。出海澳大利亚的企业若涉及提供应用程序服务,应当评估自身是否符合个人信息保护、网络安全、数据安全等方面的法律规制。对使用企业所提供的应用的注册用户,企业应当以清晰、明确的方式告知有关其个人数据的处理情况,审查应用的隐私声明中是否达到《澳大利亚消费者法》规定的访问目的的设计方式以及是否符合透明度的要求,及时作出调整。
02
韩国:PIPC发布《个人信息境外传输规定(草案)》,征求公众意见
2023年7月26日,韩国个人信息保护委员会(PIPC)公布《个人信息境外传输规定(草案)》,征求公众意见。关于该草案,PIPC指出:
· 境外传输专家委员会由不超过20名成员组成,其中包含一名主席,由PIPC主席提名产生;
· 境外传输专家委员会应PIPC的要求召开,其会议以非公开的方式进行;
· 根据PIPC的要求,个人信息保护认证机构和境外传输专家委员会对个人信息境外传输认证所保证的个人信息保护水平进行评估和审查,并将审查内容提交给PIPC;
· PIPC根据个人信息认证机构的评估和境外传输专家委员会审议的内容,包括同一认证的有效期,对个人信息境外传输的认证进行审议和决定;
· 根据PIPC的要求,境外传输专家委员会对境外传输目标国家的个人信息保护水平进行审查,并将审查内容提交给PIPC,PIPC通过上述机构的审议内容,决定是否认可目标国家具备足够的个人信息保护水平;
· 若PIPC认为目标国家的个人信息保护水平未达到韩国PIPA规定的要求,则可能会撤销对目标国家的充分性认证;
· 应PIPC的要求,由境外传输专家委员会审议是否需要暂停个人信息的境外传输,并根据《执行令》第29-12条规定的标准向PIPC提交审查内容;以及
· PIPC根据上述审查内容决定是否下令暂停境外传输,并将决定通知个人信息的管理者。
垦丁W&W简评:
该草案将更好地执行2020年韩国修订的《个人信息保护法》(PIPA)及《韩国个人信息保护执行令(2020年修订)》,同时也将进一步完善韩国的个人信息跨境传输制度。出海韩国的企业若作为个人信息管理者涉及个人信息的跨境传输业务,应当评估自身是否满足PIPA规定的条件及作为接收方的目标国家是否已获得PIPC指定的认证,该草案对个人信息传输的目标国的保护水平采取资格认定的方式进行。即对上述主体的个人信息保护水平和个人信息主体权利的保护是否充分进行评估和审查。
03
泰国:个人数据保护委员会就DPO法令草案征求公众意见
泰国个人信息保护委员会于2023年7月12日就有关数据控制者和数据处理者根据2019年《个人数据保护法》(PDPA)任命数据保护官的法令草案征求公众意见。如果获得批准,该法令草案将自政府公报公布之日起90日后生效。
垦丁W&W简评:
DPO作为数据保护机构、数据主体(个人)以及数据控制者或处理者之间(企业)的媒介,有利于保障企业合法、合规地进行数据处理活动,防止数据主体合法权益受损。泰国PDPC于2022年6月21日公布了关于PDPA的四项新公告,其中包括:数据保护官制作和保存个人数据记录的条款和措施以及数据保护官应当采取的安全措施。建议出海泰国的企业持续关注该法令草案的动态,谨慎选择适合的DPO作为企业及员工的顾问,并执行监督任务,其知识水平应当与企业在个人数据处理方面的风险及复杂性相适应。
04
印度:政府从下议院撤回关于DNA技术使用和应用的法案
《DNA技术(使用和应用)监管法案》于2019年7月8日提交给印度的下议院。该法案提议规范实验室和DNA库对DNA技术出于某些目的的使用和应用,例如对包括受害者、罪犯、嫌疑犯、失踪人员和身份不明的死者在内的特定人群的身份识别。
2023年7月24日,印度政府在2023年印度议会季风会议(monsoon session)期间从印度下议院撤回了《DNA技术(使用和应用)监管法案》。
垦丁W&W简评:
目前尚未公开资料阐述益都政府撤回该法案的原因,后续《DNA技术(使用和应用)监管法案》的规定仍有待进一步观察。出海印度的企业若涉及生物DNA领域的业务,建议持续关注该法案的相关动态,以便实时作出相应的调整确保合规,免受监管机构的问询和处罚。
05
印度:电信管理局发布关于OTT通信服务监管机制的咨询文件
2023年7月7日,印度电信管理局(TRAI)发布一份关于OTT通信服务监管机制和选择性禁止OTT服务的咨询文件。TRAI指出,印度电信部(DoT)于2022年7月要求TRAI为OTT提出一个合适的监管机制,包括与选择性禁止OTT服务有关的问题。DoT指出,有必要全面研究OTT服务的各个方面,包括监管、经济、安全、隐私等。
垦丁W&W简评:
印度通信部此前发布了2022年《印度电信法(草案)》以及对该草案的解释性说明。该草案旨在通过拓展OTT通信服务、人际通信服务、电子邮件、基于互联网的通信服务等来规范“电信服务”。出海印度的企业若涉及通信领域,建议关注该草案对OTT通信服务商的相关要求与规制,如该草案建议被许可人必须通过规定的可验证身份识别模式来识别接受其提供服务的人员以及允许用户事先同意接收某些消息和开启免打扰登记簿,以确保用户不会在未经事先同意的情况下接收指定信息等。同时出海企业还应当完善用户相关权利的行使程序,积极履行作为OTT通信服务商的义务。
近期推荐阅读:
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
欧洲观察 | 意大利:AGCM调查苹果涉嫌滥用IOS操作系统在市场的支配地位
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
欢迎对数据合规感兴趣的法务同行加入
【全球数据合规实务群】
请添加主编微信(jie-72)
(入群请详细备注姓名、单位、研究领域)
资讯编写
陈凯婷
垦丁律师事务所W&W国际法律团队实习生