查看原文
其他

数据与电商每周监管要点 | 北京市通过首家企业个人信息出境标准合同备案

中伦数据合规团队 数据与电商研究室
2024-08-26

点击上方“数据与电商研究室”, 关注我们




本期目录

数据板块 

1

北京市通过首家企业个人信息出境标准合同备案

2

国家网信办发布深度合成服务算法备案信息

3

上海开展个人信息权益保护专项执法行动

4

中国消费者协会将在全国范围内开展 “反对强制关注公众号”消费监督工作

5

浙江省11部门联合出台《浙江省数据知识产权登记办法(试行)》

6

《贵州省政务数据资源管理办法》颁布

7

数据保护不力造成医院数据泄露,衡南县网信办开出6.2万元罚单

8

浙江省通信管理局通报18款侵害用户权益行为APP


电商板块

1

市场监管总局办公厅部署广告监管领域排查治理

2

市场监管总局发布《经营者集中反垄断合规指引(征求意见稿)》

3

广东市监、网信、通信三部门联合出手治理APP自动续费问题

4

河北公布关于网络餐饮的主体责任清单


域外板块

1

欧盟将就《数据法案》达成三方政治协议

2

EDPB通过关于申请批准控制者约束性公司规则(BCR-C)的最终版建议

3

CNIL因Criteo违反GDPR对其处以4,000万欧元罚款

4

美国参议员提出数据删除法案

5

宾夕法尼亚州通过保险数据安全法案

6

德克萨斯州通过遗传数据法案

7

巴西数据保护机构发布中小企业数据处理活动记录模板

数据板块

01

北京市通过首家企业个人信息出境标准合同备案

近日,北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过北京市市网信办组织的备案审核,备案号为“京合同备202300001”。该公司为首家通过订立标准合同实现个人信息合规出境的企业,标志着个人信息出境标准合同备案制度已在北京率先落地。

点击蓝色字体,可查阅我们已发布的解读文章:

02

国家网信办发布深度合成服务算法备案信息

2023年6月20日,国家网信办发布了关于深度合成服务算法备案信息的公告,公布了自《互联网信息服务深度合成管理规定》生效以来首批境内深度合成服务算法备案清单,涉及26家企业共41项深度合成类算法。

点击蓝色字体,可查阅我们已发布的“监管动态 | 首批境内深度合成服务算法备案清单公布”。

03

上海开展个人信息权益保护专项执法行动

自6月16日起,上海市市委网信办、市市场监管局以及部分行业主管部门开展为期半年的“亮剑浦江·消费领域个人信息权益保护专项执法行动”。本次专项行动重点聚焦餐饮店、商超购物、房产中介、汽车4S店等8个社会关注度较高、个人信息被滥用和过度索取乱象突出的消费场景,集中整治以下5类违法行为:

1)未经消费者同意,收集、使用消费者个人信息违法行为;

2)泄露、出售或者非法向他人提供所收集的消费者个人信息违法行为;

3)经营者未采取技术措施和其他必要措施确保信息安全,防止消费者个人信息泄露、丢失的行为;

4)未经消费者同意或请求,或者消费者明确表示拒绝的,向其发送商业性信息违法行为;

5)没有隐私政策,或者隐私政策中无收集使用个人信息规则,或者没有通过明显方式提示用户阅读隐私政策等收集使用规则的。

04

中国消费者协会将在全国范围内开展 “反对强制关注公众号”消费监督工作

2023年6月19日,中国消费者协会(以下简称“中消协”)发布公告称,将在全国范围内开展“反对强制关注公众号”消费监督工作。中消协在公告中提及,经营者将关注公众号或使用手机APP、小程序作为消费者行使权利或享受服务的前提,并在此过程中获取与服务无关的消费者个人信息的行为,已经违反了《消费者权益保护法》《个人信息保护法》的规定,侵害了消费者的自主选择权、公平交易权,消费者有权拒绝和举报。


针对扫码消费中存在的问题,中国消费者协会将在全国范围内开展“反对强制关注公众号”消费监督工作,消费者可将遇到的此类问题通过电子邮件(ccaxfjd@cca.org.cn)方式向中国消费者协会进行反映。

05

浙江省11部门联合出台《浙江省数据知识产权登记办法(试行)》

近日,浙江省市场监管局(省知识产权局)、省委网信办、省发展改革委、省经信厅、省司法厅、省商务厅、省大数据局、省法院、省检察院、人行杭州中心支行、浙江银保监局等11个部门联合制定出台《浙江省数据知识产权登记办法(试行)》,成为全国首个数据知识产权领域规范性文件,并将于2023年7月1日起施行。


6月19日,浙江召开数据知识产权制度改革实务公示会,通报数据知识产权制度改革最新进展,并在会上发放了首批数据知识产权登记纸质证书。

点击蓝色字体,可查阅我们已发布的“新法速递 | 比对三地数据知识产权登记立法”。

06

《贵州省政务数据资源管理办法》颁布

2023年6月21日,贵州省人民政府办公厅印发《贵州省政务数据资源管理办法》(以下简称《办法》),旨在进一步规范贵州省政务数据资源管理工作,推进政务数据“聚、通、用”。


《办法》共十一章53条,规定了数据目录、数据采集、数据存储、数据共享、数据开放、数据授权运营、数据调度、数据安全管理、监督检查等内容。

07

数据保护不力造成医院数据泄露,衡南县网信办开出6.2万元罚单

衡南县某医院未履行数据安全保护义务,造成部分数据泄露,违反《数据安全法》第二十九条规定。衡南县网信办依据《数据安全法》第四十五条规定,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对该医院合作的第三方技术公司及相关责任人处以1.2万元罚款。

08

浙江省通信管理局通报18款侵害用户权益行为APP

2023年6月22日,浙江省通信管理局发布《关于侵害用户权益行为18款APP的通报》(2023年第4批),本次通报APP主要聚焦于群众关注的实用工具、网上购物类、拍摄美化等类型,涉及的违法行为包括以下六类:

  • 违规收集个人信息;

  • 超范围收集个人信息;

  • 违规使用个人信息;

  • 强制用户使用定向推送功能;

  • APP强制、频繁、过度索取权限;

  • APP频繁自启动和关联启动。


电商板块

01

市场监管总局办公厅部署广告监管领域排查治理

6月19日,市场监管总局印发《市场监管总局办公厅关于扎实做好广告监管领域行风突出问题排查治理工作的通知》,就加强广告监管领域行风突出问题排查治理进行部署。


针对互联网广告治理,《通知》明确了监管方向:监管部门将紧扣直播带货广告、弹窗广告、“软文”广告等新型广告形式,加大互联网广告乱象清理整治力度。

02

市场监管总局发布《经营者集中反垄断合规指引(征求意见稿)》

6月19日,市场监管总局发布《经营者集中反垄断合规指引(征求意见稿)》(以下简称《合规指引》),意见反馈截止至7月3日。《合规指引》共六章35条,分为总则、经营者集中审查制度主要规定、重点合规风险、合规风险管理、合规管理保障、附则六部分。


《合规指引》列举了六个重点关注的经营者集中类型,并结合案例对经营者集中需要何时申报、如何申报等问题进行了明确。

03

广东市监、网信、通信三部门联合出手治理APP自动续费问题

6月14日,广东省市场监管局联合省委网信办、省通信管理局启动了互联网信息服务自动续费问题综合治理行动。


针对部分手机APP增值服务默认自动续费与取消难等关问题,广东省市场监管局从依法诚信经营、优化自动续费服务、严格执行明码标价规定、禁止实施价格欺诈行为、维护消费者合法权益、落实企业主体责任等六个方面对企业进行提醒告诫,并发布提醒告诫书。


接下来,监管部门将进一步强化互联网信息服务的事中事后监管,省市场监管局、省委网信办、省通信管理局将开展自动续费问题综合治理行动。

04

河北公布关于网络餐饮的主体责任清单

近日,河北市场监管局公布了《河北省网络餐饮服务第三方平台提供者食品安全主体责任清单》与《河北省入网餐饮服务提供者食品安全主体责任清单》。两份清单分别明确了网络餐饮服务第三方平台提供者入网餐饮服务提供者应依法落实的食品安全主体责任,同时列明了责任依据、处罚依据和法律责任。

1)网络餐饮服务第三方平台提供者应当履行依法备案、信息公示、入网审查、信息报送、自查评估以及事故处置等义务;

2)入网餐饮服务提供者应当履行具备主体资质、信息公示、制定管理制度、配备食品安全管理人员、执行禁止性食品经营规定等义务。


域外板块

01

欧盟将就《数据法案》达成三方政治协议

据Euractiv报道,目前《数据法案》已进入立法程序的最后阶段,欧盟理事会、欧洲议会、欧盟委员会预计将于下周就该法案达成三方政治协议。《数据法案》旨在规范工业数据的访问和共享,并涵盖了针对商业秘密、云服务商切换、产品安全等方面的内容,是一项针对工业数据的综合式立法。

02

EDPB通过关于申请批准控制者约束性公司规则(BCR-C)的最终版建议

2023年6月21日,EDPB发布了关于申请批准控制者约束性公司规则(BCR-C)的最终版建议。该版本对去年11月版本的申请建议进行了更新,在BCR-C的标准申请表中纳入了BCR-C批准标准,并对BCR-C的必要内容进行了解释和澄清,区分了BCR-C申请流程中必须包含的内容和必须向牵头数据保护机构提交的内容。


最终版建议自发布之日起生效,已经取得约束性公司规则批准的企业以及正在申请的企业均应使其约束性公司规则符合最终版建议的要求。

03

CNIL因Criteo违反GDPR对其处以4,000万欧元罚款

近日,法国国家信息与自由委员会(CNIL)公布了一则针对在线广告公司Criteo的处罚决定,因该公司违反《通用数据保护条例》(GDPR)对其处以4000万欧元罚款。


CNIL指出,Criteo收集了大量与互联网用户消费习惯相关的数据并将其用于推广其客户的商品,这些数据可在某些情形下重新识别到个人。Criteo通过Cookie收集用户数据,但并非采取任何措施确保合作伙伴在将其Cookie置于用户终端前已取得用户同意,违反了GDPR第7.1条。


此外,Criteo还存在隐私政策披露信息不完整、未充分响应访问权、删除权以及用户的撤回同意请求、未与共同控制者签署数据处理协议等违法行为。

04

美国参议员提出数据删除法案

近日,两名美国参议员向参议院提出了《数据删除与限制广泛跟踪和交换法案》(DELETE法案),旨在规范数据中介对个人数据的利用,保护用户个人数据安全。


DELETE法案将为用户创建在线申请渠道,以供用户通过一次性申请(single  submission)要求数据中介删除其个人数据,并停止继续收集其个人信息。所有以商业目的收集个人数据的数据中介及其他企业,在收到用户该请求后,都应当删除其已收集的用户个人数据,并不得继续收集。

点击蓝色字体,可查阅我们已发布的“案例采撷丨某知名媒体因非法交易用户数据在美被诉,凸显“私人信息市场”的合规风险”。

05

宾夕法尼亚州通过保险数据安全法案

近日,宾夕法尼亚州州长批准了一项关于保险数据安全的立法,旨在规范保险机构的数据处理活动,保障用户保险数据安全。


根据该法,保险持牌机构(根据宾夕法尼亚州保险法获得或需要获得许可、授权运营或注册的人)应当对网络威胁进行风险评估,包括第三方服务提供商可访问或持有的信息系统和非公开信息的安全性。此外,根据该法案,保险持牌机构还必须制定信息安全计划及信息安全事件应对策略,并应当在发生安全事件后的5个工作日内向主管机构报告。

06

德克萨斯州通过遗传数据法案

近日,德克萨斯州通过了一项关于个人遗传数据的立法,该法将于2023年9月1日生效。该法案适用于面向德克萨斯州消费者提供基因检测相关服务的基因检测公司,并明确了个人遗传数据(包含基因数据和生物样本数据)的使用要求和披露义务。


根据该法案,基因检测公司必须制定、落实并维护全面的数据安全制度,并向用户提供一份涵盖数据收集、同意、使用、访问、披露、转让、安全措施、保存、删除等内容的告知文本。此外,该法案还要求:

1)企业应用个人遗传数据进行市场宣传活动,应当取得明确同意;

2)企业转让、披露遗传数据、超期保存生物样本,以及出于基因检测目的以外的其他目的而使用人类遗传数据,均应当取得个人的明确单独同意。

07

巴西数据保护机构发布中小企业数据处理活动记录模板

近日,巴西数据保护机构(ANPD)发布了一份针对中小型企业的个人数据处理活动记录的简化模板,该模板仅包含ANPD实施监管活动所必需的相关信息,中小型企业可按照该模板,以简化的方式履行个人数据处理活动记录义务。


本文首发自公众号:数据与电商研究室

如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.


往 期 精 彩

相关文章


本期编辑:王梦迪 陈雨婕 唐静思

长按二维码一键关注

期待您的“赞”“分享”

继续滑动看下一个
数据与电商研究室
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存