热点新闻

爱尔兰 DPC因WhatsApp依赖合同作为处理数据的法律依据且违反透明度义务罚款550万欧元

(相关资料图)

法国 CNIL对VOODOO未经同意使用技术标识符进行广告宣传处以300万欧元罚款

西班牙 AEPD对Endesa Energía违反保密原则罚款50,000欧元

欧盟 CER和NIS 2指令开始生效

欧盟 《数字运营弹性法案》开始生效

菲律宾 NPC发布关于DPO和注册数据处理系统的通知

泰国 政府公报公布关于数字平台的皇家法令

韩国 PIPC发布防止网上购物时账户信息被盗的指南

全球数据立法动态

01

欧盟：CER和NIS 2指令开始生效

欧盟委员会于2023年1月16日宣布，《关于恢复关键基础设施复原力指令》（“CER指令”）《关于在欧盟全境实现高度统一网络安全措施的指令》（“NIS 2指令”）正式生效，同时废除《网络和信息系统安全规则》。

CER指令 加强关键基础设施的抗风险能力，要求成员国采取国家战略，定期进行风险评估，以确定对社会和经济至关重要的实体 。

NIS 2指令通过 大幅扩大属于关键实体的范围 ，以提升欧洲的整体网络安全水平。

2023.1.18

02

欧盟：《数字运营弹性法案》开始生效

《数字运营弹性法案》2022年12月27日在欧盟官方公报公布后，于2023年1月16日生效。该法从2025年1月17日起适用，并对所有成员国具有完全的约束力和直接适用。

该法案 引入欧盟金融服务部门的数字运营弹性要求， 要求相关公司采取措施确保他们能够承受、应对和恢复所有类型的信息以及ICT的中断和威胁。

此外，法案将 适用于所有提供金融服务的公司 ，如银行、支付提供商、电子货币提供商、投资公司和加密资产服务提供商等。

2023.1.25

03

菲律宾：NPC发布关于DPO和注册数据处理系统的通知

菲律宾隐私委员会（“NPC”）于2022年12月5日发布了关于DPO和注册数据处理系统的通知（第2022-04号通告）， 内容涉及个人数据处理系统的注册、自动决策或剖析、数据保护官（“DPO”）的指定等 。

所有涵盖的PIC和PIP应 在生效之日起180天内 ，通过NPC的在线注册系统 完成注册 。

2023.1.16

04

泰国：政府公报公布关于数字平台的皇家法令

泰国在政府公报上公布B.E. 2565皇家法令（“皇家法令”）。该法令规定了 数字平台服务的义务 ， 即提供电子中介服务、管理信息、通过计算机网络在企业、消费者和用户之间建立联系以进行电子交易等。

皇家法令要求数字平台服务在开始运营前向电子交易发展局通报法定信息，并每年更新信息情况。此外，数字平台服务还必须在使用前或使用时告知用户使用该平台的法定条件。 该皇家法令将在2023年8月20日生效。

2023.1.24

05

韩国：PIPC发布防止网上购物时账户信息被盗的指南

个人信息保护委员会（“PIPC”）于2023年1月19日发布了《防止网上购物时账户信息被盗的指南》。PIPC指出，许多互联网用户经常在多个网站上使用 相同 的账户ID和密码， 如果其中一个网站的账户和密码被查获，该账户可能会在其他网站上被盗 。PIPC建议网上用户采取系列措施，防止账户信息被盗造成损失。

2023.1.19

全球数据执法动态

01

爱尔兰：DPC因WhatsApp依赖合同作为处理数据的依据且违反透明度义务对其 处以550万欧元的罚款

爱尔兰数据保护委员会（“DPC”）于2023年1月19日宣布对WhatsApp爱尔兰有限公司处以550万欧元罚款， 原因是 该公司未履行透明度义务，且以合同作为处理数据的依据 ，违反GDPR第5(1)(a)和6(1)条的规定。

案件背景

WhatsApp爱尔兰在GDPR生效前更新了其服务条款，并通知用户新条款自其点击接受后生效。若用户拒绝接受新条款，则无法使用WhatsApp服务。

在接受更新的服务条款时，Whatsapp爱尔兰认为公司与用户之间签订了一份合同。 在提供服务时处理用户的数据是履行该合同、提供服务的改进和安全功能所必需的，并未违反GDPR规定 。然而，投诉人认为WhatsApp爱尔兰公司 “强迫”用户同意新的服务协议，违反GDPR规定 。

调查结论

相关监管机构（“CSA”）认为WhatsApp爱尔兰 违反透明度义务，未向用户清楚地解释WhatsApp爱尔兰处理个人数据的合法依据及实际情况，导致用户不清楚公司处理操作、目的及合法依据。

DPC认为， 投诉中“强迫同意”是否成立取决于WhatsApp爱尔兰是否有义务依赖同意作为其提供服务、服务改进、安全保障的合法基础。 针对该问题，DPC发现，WhatsApp爱尔兰并不需要依赖同意作为合法基础，因此不存在强迫同意的情形。

经欧洲数据保护委员会（“EDPB”）审议，DPC与EDPB达成共识，认为WhatsApp爱尔兰公司 无权依赖合同法律依据来提供 WhatsApp服务的服务改进和安全 （不包括 EDPB所称的“IT安全”）。因此，企业依赖合同作为合法处理数据的行为违反GDPR第6(1)条。此外，EDPB决定，DPC必须对WhatsApp的处理操作进行调查，以确定其是否处理符合GDPR第9条规定的特殊类别的个人数据。

结果

鉴于上述情况， DPC对 WhatsApp爱尔兰处以550万欧元的行政罚款，并责令其在六个月内使其处理操作符合GDPR的要求。

2023.1.19

02

爱尔兰：DPC对Airbnb违反数据最小化原则的行为采取纠正措施并予以训斥

数据保护委员会（“DPC”）副专员通过LinkedIn宣布了2022年9月14日发布的最终决定，其中对Airbnb Ireland UC违反GDPR第5(1)(c)、6(1)和12(3)条的行为进行谴责并要求企业采取相应的纠正措施。

案件背景

投诉人投诉Airbnb 未能在法定时限内满足删除请求和数据访问请求 。此外，当投诉人提交删除请求时，Airbnb要求他们通过提供身份证复印件来验证其身份，而他们之前并没有向Airbnb提供身份证复印件。

调查结论

DPC的相关决定已根据GDPR第60条提交给相关监管部门征求意见，其他相关监管部门并未提出反对意见。此外，DPC发现 Airbnb存在多项违法行为。 例如，公司在可以利用较少的数据来验证身份的情况下，要求投诉人通过提交带照片的身份证复印件来验证其身份，违反数据处理最小化原则。

结果

DPC根据GDPR第58(2)条对Airbnb进行了 谴责并命令其修改其处理删除请求的内部政策和程序 ，以确保个人在提出删除请求时不再需要提供带照片的身份证副本，除非Airbnb能够证明这样做的有效法律依据。

2023.1.16

03

法国：CNIL对VOODOO未经同意使用技术标识符进行广告宣传处以300万欧元罚款

法国数据保护机构（“CNIL”）于2023年1月17日宣布，它已于2022年12月29日发布了第SAN-2022-026号限制性委员会审议意见，对VOODOO SAS处以300万欧元的罚款，原因是企业 在用户没有明确表示同意的情况下，利用VOODOO应用程序收集用户的网页浏览信息，为广告目的使用IDFV标识符 ，违反第78-17号法案第82条。

案件背景

当出版商在App Store上提供一个应用程序时，苹果公司提供了一个技术识别系统IDentifier For Vendors（“IDFV”）， 允许该出版商跟踪用户对其应用程序的使用情况，从而可以跟踪用户的网络浏览行为，为用户定制个性化广告。

调查结论

在调查中，CNIL发现即使用户没有明确表示同意，VOODOO应用程序总利用IDFV标识符收集用户的网页浏览信息，进而用于个性化广告，违反法案第82条的义务。

结果

最终，CNIL对VOODOO违反法案第82条的行为 处罚300万欧元 。此外，CNIL对VOODOO 宣布了一项禁令，要求其在为广告目的使用IDFV标识符时获得用户的同意，并在通知决定后的三个月期限结束时，对该禁令附带支付每天20,000欧元的罚款。

2023.1.23

04

西班牙：AEPD对Endesa Energía违反保密原则罚款50,000欧元

西班牙数据保护机构（“AEPD”）于2023年1月12日公布了其在第PS/00230/2022号诉讼案中的决定，其中对Endesa   Energía S.A.U.处以50,000欧元的罚款，原因是Endesa Energía违反GDPR第32条， 将实际履行数据处理合同的相对方非法变更为第三人 。由于该企业自愿支付罚款，罚款额度最终降至40,000欧元。

案件背景

Endesa Energía在未经投诉人同意的情况下，将投诉人与Endesa Energía之间的数据处理协议相对方变更给第三人。此外，AEPD确认Endesa Energía在没有短信认证的情况下启动该变更程序。

调查结论

AEPD认为，上述情况下 存在个人数据安全漏洞（归类为保密漏洞） 。因为Endesa   Energía未经用户同意，允许第三方访问客户的个人数据， 实际的数据处理者并非与客户签署协议的相对方 。同时，在签署数据处理协议时，Endesa Energía提供无效的认证短信。综合判断，AEPD认为Endesa Energía侵犯了GDPR第32条。

结果

鉴于上述情况，AEPD对Endesa Energía的上述违规行为处以50,000欧元的罚款。然而，鉴于Endesa Energía 已经利用自愿支付的方式支付了40,000欧元的罚款，AEPD将罚额降至40,000欧元。

2023.1.18

05

意大利：亚马逊意大利物流公司因未回应前雇员的访问请求权而被Garante罚款20,000欧元

意大利数据保护机构（“Garante”）于2022年12月1日发布了第406号决定，其中对Amazon Italia Logistica s.r.l.公司处以20,000欧元的罚款，原因是该公司违反GDPR第12和15条， 未回应前雇员的数据访问请求。

案件背景

投诉人向亚马逊意大利物流公司发出多次请求，访问权他们在工作期间获得的专业证书。然而根据投诉人的说法，Amazon Italia Logistica公司从未作出回应。

调查结论

除上述情况外，Garante发现，Amazon Italia Logistica公司没有访问请求作出充分的回应。该公司辩称，在行使访问权的请求中，投诉人没有提到打算根据GDPR第15条行使这种权利。

Garante驳回了Amazon Italia Logistica的主张。正如欧洲数据保护委员会关于数据主体权利的第01/2022号指南所阐明的， 数据主体不需要在其请求中指明法律依据。 如果控制者对数据主体希望行使的权利有疑问，建议要求提出请求的数据主体解释其请求的目的 。 此外，Garante确定，亚马逊意大利物流公司没有充分告知投诉人其所要求的证书。因此，Garante得出结论，Amazon Italia Logistica违反了GDPR的第12条和第15条。

结果

最后，Garante对Amazon Italia Logistica公司处以20,000欧元的罚款， 并命令在其网站上公布该决定。

关键词：