2023年9月1日,英国上议院宣布对《在线安全法案》进行三读,期间仍可对该法案作进一步修改。《在线安全法案》旨在建立一个监管非法和有害网络内容的法律制度,并对搜索引擎和互联网服务提供商(包括提供色情内容的提供商)课予法律义务。《法案》在赋予通信办公室(Ofcom)权力认定“合法但有害”的内容基础上,明确了其作为在线安全监管机构的法律地位。
https://www.dataguidance.com/news/uk-online-safety-bill-introduced-third-reading
2023年9月4日,德国数据保护会议(DSK)发布公告,解释了欧盟委员会于2023年7月10日做出的关于欧盟-美国数据隐私框架充分性的决定。DSK表示,这些说明解释了欧盟-美国数据隐私框架的背景、内容、范围和应用,并提供了许多相关资料的链接。公告首先介绍了向第三国传输数据的情形,然后明确了数据主体以及数据出口方的信息,即向美国传输数据的德国数据控制者和数据处理者。最后,公告表明欧洲法院可能对欧盟-美国数据隐私框架进行司法审查,并根据欧盟法律适用。
https://www.dataguidance.com/news/germany-dsk-publishes-instructions-commissions-adequacy
2023年9月4日,阿根廷共和国官方公报发布第161/2023号决议,通过人工智能透明度和个人数据保护计划。公共信息获取机构(AAIP)表示,该计划旨在通过分析、监管和增强国家能力,支持公共部门和私营部门在人工智能方面的开发和利用,同时确保公民有效行使透明度和个人数据保护方面的权利。该计划还包括研究阿根廷监管进步、人工智能系统实施以及预防风险和漏洞的实践。此外,还将促进由该领域专家组成的多学科全询委员会的制度化,通过形成部门政策共识鼓励社会参与治理。
https://www.dataguidance.com/news/argentina-aaip-finalizes-establishment-ai-transparency
2023年9月5日,第292-1号《隐私修正案》提交新西兰议会审议。该修正案旨在修订《2020年隐私法》计划于2025年6月1日生效。该修正案将引入信息隐私原则(IPP3A),要求告知个人其个人信息是从除信息相关主体以外的其他来源收集的。但是,该修正案将取消现有信息隐私原则IPP3规定的义务,即告知个人未提供全部或部分信息将产生的后果(如果有)。该修正案还明确,信息隐私原则IPP3A不适用于2025年6月1日之前收集的个人信息。在数据传输方面,该修正案将修订《隐私法》第18条,规定信息专员可以根据个案情况或对某国家隐私法的评估,向司法部长提供建议。
https://www.dataguidance.com/news/new-zealand-privacy-amendment-bill-introduced
2023年9月5日,澳大利亚信息专员办公室(OAIC)发布报告,介绍了2023年1月至2023年6月根据数据泄露报告机制(NDB)收到的通知情况。该报告指出,在此期间,OAIC共收到409件数据泄露事件,同比2022年减少了16%。值得注意的是,该报告指出恶意或犯罪攻击是数据泄露的主要原因,占事件总数的70%,以及由人为错误造成的泄露被发现的速度最快,其中81%的泄露事件在30天或更短的时间内被发现,相比之下,仅有57%的系统故障所造成的泄露在同样的时间内被发现。同时该报告还指出,卫生和金融行业是报告数据泄露事件最多的行业。https://www.dataguidance.com/news/australia-oaic-releases-report-notifiable-data-breaches
2023年9月6日,德国数据保护机构(DSK)对德国联邦内政、建设和社区部(BMI)关于修改《联邦数据保护法》的草案建议提出意见。值得注意的是,除其他事项外,该法律草案还规定:(1)阐明该法对非公共机构的适用性;(2)修订对公共场所视频监控的规定;(3)实现数据保护监督的制度化,便于统一应用欧洲和国家的数据保护法;(4)在出现跨境数据传输共同责任的情况下明确主要的监管机构;(5)明确披露商业秘密且保密利益高于数据主体利益的情形排除适用信息权利。总体而言,DSK指出该草案需要进一步澄清,因为某些规定含糊不清,特别是与监管机构有关的规定。
https://www.dataguidance.com/news/germany-dsk-publishes-opinion-draft-law-amending
2023年9月7日,欧洲委员会宣布,瑞士联邦主席已提交《自动处理个人数据公约》的修正议定书(以下简称“108+公约”)的批准书。基于自动化处理个人数据产生的新挑战,108+公约旨在改进108公约并使之更加现代化。108+公约的特点包括:(1)加强有关比例、数据最小化和处理合法性等原则处理的要求;(2)扩大敏感数据目录,包括基因、生物特征数据以及有关工会成员资格和种族起源的数据;(3)数据泄露的通知义务;(4)提高数据处理的透明度;(5)自动化决策及AI发展背景下赋予新的个人权利;(6)必须履行“隐私设计”原则;(7)将数据保护原则应用于所有数据处理情形,包括出于国家安全原因进行的处理(对可能存在的豁免情形也须使其符合108+公约相关规定),在所有情况下须受到独立有效的监督和控制;(8)建立明确的跨境数据流动制度;(9)加强数据保护机构的权力和独立性,以及国际合作所必须的法律基础。
https://www.dataguidance.com/news/international-switzerland-ratifies-convention-108
2023年9月7日,土耳其个人数据保护局(KVKK)宣布Hotiç Ayakkabı(某鞋履和配饰品牌)内部发生数据泄露事件。个人数据保护局强调Hotiç Ayakkabı违反第6698号《个人数据保护法》第12(5)条规则泄露数据。根据违规通知,Hotiç Ayakkabı已从数据处理商处获得了有关管理平台权限的服务,该平台由数据控制者创建,用于发送短信和电子邮件。但在2023年6月6日,有未经授权人员试图登录该平台数据控制者帐户,并访问客户的手机信息。通过这种方式向相关个人发送包含针对网络钓鱼攻击内容的短信。此外,KVKK强调,受违规行为影响的人员和记录数量高达1,926,889,受影响的个人数据包括客户的手机信息等。
https://www.dataguidance.com/news/turkey-kvkk-announces-hotiç-ayakkabı-data-breach
2023年9月11日,美国卫生与公众服务部(HHS)公民权利办公室(OCR)宣布,在发生数据泄露和安全事件后,其已经与洛杉矶护理健康计划就可能违反《健康保险流通与责任法案》(HIPAA)达成和解。OCR根据2014年3月3日的一篇在线媒体文章对洛杉矶医疗服务进行了合规审查,该文章报道了洛杉矶医疗服务可能存在的数据泄露问题。OCR指出,洛杉矶护理健康计划同意支付130万美元作为和解金额,并强调该解决方案并不意味着由洛杉矶护理健康计划承担责任,也非HHS作出让步,洛杉矶护理健康计划没有违反《健康保险流通与责任法案》,不承担民事处罚责任。洛杉矶护理健康计划承诺将进行企业风险分析、制定并实施风险管理计划、进行隐私培训等措施,消除潜在的数据泄露安全隐患。
https://www.dataguidance.com/news/usa-ocr-announces-13m-settlement-la-care-potential
2023年9月12日,新西兰隐私专员办公室(OPC)启动儿童和青少年隐私计划,并向公众征求意见。OPC特别强调,意见内容涉及2020年《隐私法》对儿童和青少年个人数据的法律保护,以及这些法律规范是否为儿童和青少年的姓名、地址、年龄、照片、视频和家庭等个人数据提供了充分的保护。隐私专员表示:“我们想知道这些要求是否有效,或者我们是否需要做更多的工作来指导收集和使用儿童和青少年个人信息的组织。”本次征求意见鼓励卫生、教育和社会服务等部门从事儿童工作、倡导儿童权利的专业人员、非政府组织提出意见。
https://www.dataguidance.com/news/new-zealand-commissioner-requests-comments-children-and
2023年9月12日,荷兰消费者协会和数据隐私基金会(以下简称2个组织)宣布,他们已经就谷歌大规模侵犯用户隐私提起法律诉讼。自2个组织于2023年5月宣布对此提起诉讼以来,迄今已有8.2万人加入索赔行列。2个组织要求谷歌停止“通过在线广告活动持续监控和分享个人数据”的行为,并为“每名使用过谷歌的消费者”支付750欧元的赔偿金。对于此案,谷歌的一位发言人拒绝发表意见。https://www.reuters.com/technology/dutch-groups-sue-google-over-alleged-privacy-violations-2023-09-12/