垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 1 全球数据立法动态 乌拉圭数据保护局('urcdp')于2021年9月16日宣布了2021年6月8日的第23/021号决议,该决议对乌拉圭的国际数据传输制度进行了重要修改。该决议取代了2019年3月12日的第4/019号决议,并将美利坚合众国排除在适当的地区之外,此外还建议使用其他机制,如合同条款、有关各方的同意以及其他要素来证明转让的合理性,并给予公司六个月的时间向乌拉圭民盟提出这一理由。此外,urcdp强调,为了也与数据控制者和处理者合作,2021年9月8日发布了第41/021号决议,其中包括起草合同条款的指南。 土耳其个人数据保护局('kvkk')于2021年9月16日发布了关于处理生物识别数据的注意事项的指导意见。该指南确定了生物识别数据的定义、数据的处理方式、处理过程中应遵循的原则,以及应采取的措施。此外,指导意见指出,数据控制者将能够根据第6698号《个人乌拉圭/urcdp/数据传输制度/修改 2021.9.20 土耳其/kvkk/生物识别数据处理/注意事项/指南 2021.9.20 全球数据合规周刊 数据 | 热点 | 动态 | 海外 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 2 数据保护法》第4条和第6条规定的一般原则和条件来处理生物识别数据,但也要符合以下原则,如确保: ⚫ 基本权利和自由的本质。 ⚫ 处理方法适合并与实现处理目的相称,处理活动适合并与要实现的目的相称。 ⚫ 数据的保存时间为必要的时间,同时在必要性消失后毫不拖延地销毁数据。 ⚫ 根据法律第10条的规定,数据主体被告知;以及 ⚫ 已获得相关人员的明确同意。 印度议会联合委员会('jpc')于2021年9月20日通知说,它将举行进一步的会议来审议《2019年个人数据保护法案》,并要求延长其在2021年7月提交报告的时间。这些会议旨在比较在议会提出的法案与联合委员会迄今进行的讨论,以及联合委员会主席shri pp chaudhary提出的修正建议。 印尼国家网络和加密局("bssn")于2021年9月7日发布了基于微服务的应用程序和应用程序编程接口("api")的开发人员指南。该指南是由bssn针对最近涉及微服务的安全事件和漏洞而制定的。为此,该指南提供了与以下方面有关的安全策略示例: ⚫ 身份和访问管理。 ⚫ 服务发现机制。 ⚫ 安全通信协议。 ⚫ 安全监控。 ⚫ 可用性和复原力的提高。 ⚫ 完整性保证;以及 ⚫ 国家基于互联网的攻击。 印度/jpc/个人数据保护法案/继续审议 2021.9.20 印度尼西亚/bssn/基于微服务的应用和api/安全指南 2021.9.20 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 3 德国联邦网络局('bundesnetzagentur')在2021年9月20日发布了关于区块链技术的决策指南。与2020年7月发布的指南一起,该指南提供了一个问题清单,组织可以用来确定区块链技术在其运营中的潜力和价值。此外,该准则还涉及区块链与其他数字技术,如人工智能或物联网的结合程度。 德国巴伐利亚州数据保护局("baylfd")于2021年9月1日发布了同意准则。该准则旨在解释同意文书如何运作,并为巴伐利亚州公共当局的实践提供解释和应用支持。此外,该指南还详细说明了gdpr第6(1)(a)条规定的同意与gdpr第6(1)(e)条规定的法定处理权力之间的关系,这在公共部门中具有核心意义。 捷克电信局('ctu')于2021年9月15日宣布,众议院推翻了参议院的意见,以137票的多数通过了对第127/2005 coll.号法案(关于电子通信和某些相关法案的修正案)('电子通信法')的原始版本的转换修正案。ctu特别强调,该修正案现在将由捷克共和国总统签署,并将欧洲电子通信法落实到捷克法律中。 加拿大魁北克信息获取委员会(cai)于2021年9月21日宣布,欢迎通过第64号法案,即关于保护个人信息的立法规定现代化的法案('64号法案')。第64号法案引入了一个新的执法制度,包括最高金额为50,000加元德国/联邦网络局/区块链技术/指南 2021.9.21 德国/巴伐利亚州/baylfd公布了同意准则 2021.9.21 捷克/众议院/电子通信法/修正案 2021.9.21 加拿大/魁北克省/保护个人信息/64号法案/通过 2021.9.23 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 4 (针对个人)和10,000,000加元(针对企业)的货币行政处罚,如果金额更大,则为前一年全球营业额的2%,以及一项私人诉讼权。此外,第64 号法案对私营部门的要求进行了改革,如数据泄露报告、任命负责实施个人信息保护措施的人员,以及进行数据保护影响评估的要求。此外,cai强调,它已经在努力为充分行使其职责创造有利条件,包括赋予它的新权力,此外还采取措施增加其资源,这是成功和有效实施64号法案的必要条件之一。 此外,除了以下某些特定条款将在《64号法案》获得批准后一年内生效外,《64号法案》中的大部分条款将在《64号法案》获得批准后两年内开始生效: ⚫ 要求指定一名负责保护个人信息的人员。 ⚫ 报告保密事件的义务。 ⚫ 在商业交易过程中披露个人信息的例外情况;以及 ⚫ 为学习或研究目的披露个人信息的例外。 此外,围绕个人信息可携性权利的要求,从第64号法案获得批准之日起保持三年。 美国国会研究服务部('crs')于2021年9月22日发布了其关于欧盟-美国隐私保护和跨大西洋数据流的报告。报告特别讨论了美国和欧盟数据隐私制度的差异、隐私保护的发展和加强后续协议的前景、对美国利益的影响以及对国会的问题,并提供了相关背景。具体而言,报告概述了隐私保护框架、其主要原则和实施、以及执法行动、其无效性和在这方面对组织的任何指导,以及美国和欧盟之间数据流动的未来前景。 俄罗斯联邦通信、信息技术和大众传播监督局("roskomnadzor")于2021年9月22日根据2020年12月30日关于修订《联邦信息、信息技术和信息保护 美国/crs/欧盟-美国隐私保护和数据流/报告 2021.9.23 俄罗斯/roskomnadzor/社交网络登记册/推出 2021.9.23 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 5 法》的第530-fz号联邦法律推出了社交网络的登记册。roskomnadzor回顾说,该法律为社交媒体组织引入了自律义务,要求它们识别和阻止违反俄罗斯法律的内容。此外,roskomnadzor指出,该法还要求这些组织,除其他事项外,提供接收内容删除请求的机制,并公布有关年度报告。 在这方面,roskomnadzor指出,登记册的目的是监测组织对这些要求以及其他俄罗斯立法的遵守情况。更具体地说,该登记册包含了由roskomnadzor发布的任何命令的信息,社交网络的位置数据,以及为用户提供的服务。 最后,roskmonadzor证实,该登记册目前包括facebook、twitter、instagram、tiktok、likee、youtube、vkontakte和odnoklassniki。 加州隐私保护局委员会('cppa委员会')于2021年9月22日发出邀请,就《2020年加州隐私权利法》('cpra')下的拟议规则制定征求初步意见。cpra修正并扩展了2018年加州消费者隐私法('ccpa'),为了实施该法律,cppa委员会被赋予了实施和执行ccpa的行政权力、权威和管辖权,其职责包括更新现有法规,并采用新法规。在这方面,该邀请函呼吁公众提交与cppa委员会有权通过规则的任何领域有关的意见,这些意见将被用于制定新的法规,确定是否有必要修改现有法规,并以最有效的方式实现法律的监管目标。 具体而言,征求公众意见的主要议题包括: ⚫ 对消费者的隐私或安全构成重大风险的处理:企业进行的网络安全审计和风险评估。 ⚫ 自动决策事项。 ⚫ 由cppa委员会进行的审计。 ⚫ 与消费者权利有关的事项。 ⚫ 为回应消费者的知情请求而提供的信息;以及 ⚫ 信息和活动的定义和类别。 美国加州/cppa委员会/cpra下的拟议规则制定/征求公众意见 2021.9.23 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 6 塔吉克斯坦共和国议会于2021年9月7日公布了《塔吉克斯坦共和国信息法草案》。该法典草案为信息活动建立了法律基础,旨在通过建立合法的信息制度来落实信息的获取权和保护。更具体地说,该法典草案定义了包括信息安全、个人数据、未经授权的访问、用户和信息泄露等概念。此外,法典草案规定了数据主体的信息权和避免滥用信息的权利。此外,守则草案概述了保护可能因非法处理而对所有者、使用者和其他人造成伤害的信息的要求,包括采取安全措施,如组织和技术措施。此外,守则草案指出,应制定信息保护的要求、规则和条件。 数据安全与执法 美国证券交易委员会(sec)于2021年9月14日宣布,移动应用行业的替代数据提供商app annie inc.已经同意以1000万美元的价格解决证券欺诈指控,因为该公司在其数据的获取方式上存在欺骗性行为。此外,美国证券交易委员会的命令认为,app annie违反了1934年《证券交易法》第10(b)条的反欺诈条款以及该条款下的10b-5规则。此外,在不承认或否认调查结果的情况下,app annie同意发出停止令,并根据该命令支付上述罚款。 塔吉克斯坦/议会/信息法草案/公布 2021.9.24 美国/app annie与sec达成1000万美元的和解协议 2021.9.18 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 7 app annie处理的是替代数据,即公司财务报表或其他传统数据来源中没有的数据,如某一公司的应用程序被下载的次数、使用的频率以及该应用程序为公司带来的收入数额。 更具体地说,app annie向公司承诺不向第三方披露他们的数据,并向他们保证,他们的数据在被统计模型用于生成应用程序性能的估计值之前将被匿名化。尽管如此,根据sec的调查结果,从2014年底到2018年年中,app annie使用非汇总和非匿名的数据来改变其模型生成的估计值,使其更有价值地出售给交易公司。 丹麦数据保护机构("datatilsynet")于2021年9月17日宣布,它已向警方报告了南丹麦地区未能采取足够的安全措施来防止在其网站上无意中公布个人数据,并为此建议罚款50万丹麦克朗。datatilsynet特别指出,该决定是针对自2011年5月以来在该地区的网站上提供的介绍,包括约3,915名患者的健康数据和社会保险号码。 此外,尽管该地区使用了一个筛选工具,定期扫描他们的网站,以防止无意中公布社会安全号码,但所使用的工具无法扫描演示文稿中包含的基本个人数据。因此,datatilsynet发现,该地区没有实施适当的安全措施,对其网站上公布的材料进行质量控制,违反了gdpr。 丹麦/datatilsynet建议对南丹麦地区缺乏技术保障的行为罚款50万丹麦克朗 2021.9.20 垦丁律师事务所w&w国际法律团队 全球数据合规周刊 2021年9月26日 王捷、夏律 8 西班牙数据保护机构("aepd")于2021年9月14日发布决定,在ps/00193/2021程序中,对