✦动态跟踪✦
01、瑞士担心政府数据在网络攻击中被泄露
6月2日,瑞士政府表示,因其软件提供商Xplain于5月23日遭Play勒索软件团伙攻击,导致政府数据面临网络威胁。攻击者声称窃取了包含个人数据在内的机密数据、财务和税务详细信息等文件,并向Xplain勒索赎金。6月12日,瑞士政府在其门户网站上发布新闻稿警告称,因遭遇NoName黑客组织发起的持续性DDoS攻击,导致瑞士联邦管理局的各个网站及其在线服务访问中断。此外,瑞士议会网站也在同月遭遇了NoName发起的DDoS攻击。
02、俄罗斯指责美国情报部门监控俄境内iphone
6月2日,俄罗斯卡巴斯基报告称,未知攻击者自2019年以来,利用苹果iMessage零日漏洞,在其员工iPhone上安装远控软件,收集系统和用户信息,并执行攻击者发出的命令,莫斯科及部分国家分部员工均受影响。同日,俄罗斯情报与安全部门联邦安全局(FSB)发表声明称苹果公司故意向美国国家安全局提供后门,用来在俄国内iPhone上传播间谍软件,受害者包括俄罗斯政府官员,以及以色列、中国与部分北约成员国驻俄大使馆的工作人员。此外,俄罗斯计算机应急响应小组(RU-CERT)也在同日发布警报,将联邦安全局的声明同卡巴斯基的报告归并为同一起事件。
03、Spotify因未能响应数据主体请求被瑞典隐私保护局处罚
6月14日,瑞典隐私保护局(IMY)对音乐服务平台Spotify罚款58,00万瑞典克朗,因其未能充分保障用户的个人数据访问权。2019年,非营利组织NOYB起诉Spotify未在用户提出要求时,向其提供用户数据来源、接收者、处理目的、数据传输情况等足够全面且清晰的个人数据处理信息,涉嫌违反《通用数据保护条例》(GDPR)第12条。经调查,IMY指出用户获得全面且清晰的个人数据处理信息,是行使更正权、删除权等其他权益的先决条件。尽管Spotify会根据要求向用户提供其处理的个人数据,但未充分告知公司如何使用这些数据,因此很难判断其个人数据的处理是否合法,违反了GDPR第12(1)条关于“透明性”的规定。对此,Spotify表示将提起上诉。
04、美国政府悬赏1000万美元征集有关Clop勒索软件的情报
6月17日,美国国务院的正义奖赏计划(RFJ)发布一悬赏通知,悬赏1000万美元以获取CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络攻击者与外国政府联系起来的信息。5月27日,Clop勒索软件团伙声称其利用MOVEit Transfer安全文件传输平台中的零日漏洞,窃取了全球数百家公司、机构或高校的数据,且陆续在数据泄露网站上列出组织名称进行勒索,如若不支付赎金将泄露相关数据,受害者包括美国能源部的两个机构和农业部的一个机构。
05、G7集团数据保护和隐私机构召开圆桌会议
6月20日至21日,G7数据保护和隐私机构围绕数据和隐私保护议题,以及可信数据自由流动(DFFT)、新兴技术、加强执法合作这三大重要支柱召开圆桌会议,并发布相关公告。针对DFFT,公告指出七国将致力于讨论不同法律体系与国际框架中的数据跨境流动机制,并继续努力寻找不同机制之间的共同点和趋同要素,以便促进未来的互操作性。针对新兴技术,公告强调新技术开发者和使用者需证明其遵守法律义务,确保实施风险缓解措施,并与相关数据保护机构(DPAs)进行必要协商;同时强调了隐私增强技术(PETs)的重要性,以及在部署PETs时需考虑市场竞争等其他领域的监管规定。针对加强执法合作,公告强调各DPAs之间需加强对话与国际合作,通过双边方式和执法合作分享最佳做法。基于前述观点,G7数据保护和隐私机构将通过《2023/24年行动计划》进一步深化合作。
06、大众汽车因未能充分满足客户数据访问请求被罚款4万欧元
6月22日,意大利数据保护局宣布对大众汽车公司罚款4万欧元,因其未充分处理用户的数据访问请求,违反了GDPR第12条、第15条的规定。意大利数据保护局指出,当投诉人向大众汽车公司申请访问关于该公司拒绝贷款租赁汽车的所有文件时,大众汽车只提供了一份投诉人为申请贷款而提交的文件副本,并邀请投诉人自行查看其信用度评估信息,这一行为违反了GDPR相关规定。此外,该局表示,大众公司有义务提供其获得的所有信息,包括投诉人的信用度评估信息。
07、丹麦数据保护局授权足球俱乐部使用面部识别系统
6月22日,丹麦数据保护局宣布授权足球俱乐部Brøndby IF在体育场馆以及在体育场馆举行的比赛中使用面部识别技术。依据该授权,Brøndby能够使用监控摄像头的图像,在其系统中登记违反秩序规则的个人,并自动进行面部识别,以便禁止这些人后续再次进入体育场馆。同时,丹麦数据保护局要求Brøndby必须确保在收集个人数据时遵守披露义务,并提供正在进行访问控制的相关信息,包括是否使用面部识别技术处理生物特征数据等。
08、亚马逊或面临其在欧盟区域内首起个人隐私集体诉讼
6月27日,荷兰隐私保护基金会(SDBN)表示将针对亚马逊大规模侵犯用户隐私的行为提起集体诉讼。SDBN指出,亚马逊不仅通过自有平台收集个人数据,还通过大量第三方App收集个人数据,且在用户明确拒绝或未充分告知数据用途的情况下,非法存储cookie来跟踪用户在外部网站上的活动,从而对用户构建“极其全面的档案”,并向广告商出售以获取利润。SDBN还指出,亚马逊未经必要的安全保障措施,非法将用户数据传输至美国,且未妥善存储这些数据,导致发生多起黑客攻击和数据泄露事件。综上,SDBN要求亚马逊停止其非法行为,并对约500万名荷兰用户进行赔偿。
09、韩LG HelloVision公司因未采取个人信息保护措施被罚12亿韩元
6月28日,韩国个人信息保护委员会(PIPC)宣布对LG HelloVision公司处以12.302亿韩元(约合人民币10000元)的罚款,因其忽略了对个人信息处理系统入侵拦截检测系统的运营,且未对网络漏洞采取安全保障措施,导致46000多名用户个人信息被泄露,同时存在拖延报告和通知个人信息泄露事件的行为,违反了韩国2011年《个人信息保护法》(2020年修订)(PIPA)第29条和第39-4(1)条的规定。除罚款外,PIPC要求该公司采取经常性网络漏洞检查和软件安全保护措施,以积极防范数据安全事件的再次发生。
10、英国与新加坡签署《数据合作谅解备忘录》
6月28日,英国与新加坡以2022年英国新加坡数字经济协议与2020年英国新加坡自由贸易协议为基础,签署《新兴技术谅解备忘录》和《数据合作谅解备忘录》,以进一步深化两国在网络安全、人工智能方面的数据和技术研究合作。其中,《数据合作谅解备忘录》承诺:(1)增加两国之间的数字贸易,相互学习应用数据改善公共服务和政府效率的经验;(2)建立新的政府间战略对话,讨论国内数据监管、保护和国际数据转移等内容;(3)分享关于使用数据促进经济增长的研究和实验;(4)制定一套关于发布匿名化政府数据集的新标准,改善全球合作;(5)分享政府内部以及政府与企业之间的数据管理最佳实践。
11、四家公司因使用Google Analytics跨境传输数据被处罚
6月30日,瑞典数据保护机构(IMY)针对CDON、Coop、Dagens Industri和Tele2四家公司就使用Google Analytics(一种用于测量和分析网站流量的工具)将个人数据传输到美国的行为进行审计,并对其中两家公司Tele2和CDON分别处以1200万和30万瑞典克朗罚款,同时裁令前述公司停止使用该统计工具。审计中,IMY认定这些公司所采取的技术安全措施不足以确保接收方所在国(美国)的数据保护水平与欧盟/欧洲经济区的基本一致,虽然这四家公司均签署了标准合同条款并以此为由通过Google Analytics传输个人数据,但在标准合同条款之外还需要额外的保障措施。
12、欧盟委员会拟提出新法规以提高GDPR跨境执法效率
7月4日,欧盟委员会提出一项新法规草案,拟为欧盟各国数据保护机构适用GDPR处理跨境个人数据保护案件的情形制定具体的程序规则,以简化各数据保护机构之间的合作,协调各机构在跨境案件中的行政程序,从而增强跨境案件的调查、执行效率。对此,欧盟委员会发布了有关拟定该法规的问答网站页面,并澄清拟定法规并不会改变GDPR下的“一站式”体系,也不会影响GDPR的任何实质性内容。另外,拟定法规将明确个人在提出投诉时需要提交的内容,并要求个人适当参与跨境案件调查执行过程。
13、法国数据保护机构发布关于API共享个人数据的建议
7月7日,法国数据保护机构(CNIL)发布了关于通过应用程序编程接口(API)共享个人数据的技术建议,该建议适用于通过API共享的所有类型的个人数据,无论该数据是开放的还是受限的,也无论数据处理者是公共组织还是私营机构的。CNIL建议,在以下情形使用API共享个人信息:数据经常更新、用户需要定期访问、数据存储的用处较小(即对数据进行一次性使用或连续处理,无需历史记录)等。关于API共享个人数据的风险应对,CNIL建议应考虑以下因素:数据库权限类型为只读还是写入;颁发授权和访问数据的条件等。此外,CNIL建议参与数据共享的组织应向个人提供清晰完整的有关个人数据处理和提供的信息,并建议通过使用API来自动执行数据主体权利请求,以减少数据主体请求的手动操作。
14、EDPS调整组织结构以应对数据保护挑战
7月10日,欧洲数据保护监管机构(EDPS)宣布调整其组织结构,为“未来不断变化的数据保护挑战做好准备”。这些变化包括任命EDPS前主任Leonardo Cervera Navas为监管机构首任秘书长。Navas的任务是“向EDPS提供战略建议,并负责监督EDPS的活动”。为了确保数据保护法的有效执行,EDPS设立了部分特定部门,主要包括:监测欧盟自由、安全和司法领域的部门,有效处理个人投诉并对欧盟机构、部门、办事处和办事机构(EUIs)处理个人数据的方式进行及时调查的部门,以及向EUIs提供有关数据保护事务全面性建议的部门。此外,EDPS重新调整了技术和隐私部门架构,包括建立针对IT系统进行详尽监督和审计的专门部门,预测新技术及其对隐私和数据保护影响的部门,以及发展数字化转型的独立部门。此外,EDPS还就人工智能方面成立了专门的工作组,以确保该技术的使用充分遵守数据保护法。
15、欧盟与新西兰缔结自由贸易协定,包含数据保护相关内容
7月10日,欧盟与新西兰签署自由贸易协定(FTA),其中内容包括促进数据流动、防止不合理的数据本地化要求以及保持高标准的个人数据保护。目前该协议已递交欧洲议会审议,在欧盟和新西兰完成批准程序后即可生效。7月13日,欧盟委员会宣布,在布鲁塞尔举办的第29届欧盟-日本峰会上,欧盟和日本在后述议题方面就加强合作达成一致:一是人工智能,包括生成式人工智能;二是数据治理和推广最佳实践,以实现数据的相互信任和自由流动;三是加强网络安全保障。
16、美国国会指出三家报税公司违规共享纳税人数据
7月12日,美国国会议员发布一项报告指出,H&R Block、TaxAct、TaxSlayer这三家报税服务公司,与谷歌、Meta多年共享数千万纳税人的个人财务数据,违反了美国禁止纳税人在未经客户同意的情况下共享纳税申报信息的规定。根据报告,这三家公司使用嵌入在其网站上的访问者跟踪技术,在未经同意或适当披露的情况下向科技公司发送了数千万美国人的个人信息。除了姓名、电话号码、电子邮件地址等个人数据外,共享的信息列表还包括纳税申报状态、调整后的总收入、退税规模等详细信息,甚至包括纳税人在填写税表时点击的按钮和文本字段相关信息。
17、韩国PIPC发布在线人力资源招聘平台个人信息保护自律规则草案
7月12日,韩国个人信息保护委员会(PIPC)公布了《网络人力资源招聘平台个人信息保护自律规则(草案)》(简称《草案》),旨在为处理大规模敏感个人信息(如视频和语音记录等)的招聘机构和在线招聘系统提供强有力的个人信息保护指导。该规则草案规定了在线人力资源招聘平台应采取的个人信息保护措施,包括为每个账户持有人设置访问权限,应用除ID和密码以外的其他身份验证方法,防止员工之间共享账户,以及仅允许处理招聘人员账户的视频和音频信息等。根据规则草案要求,当用户下载求职者上传的任何文件时,必须提供加密功能,并且必须设置求职者信息的最长搜索期限,以限制在此期限结束时的访问。
18、丹麦数据保护机构就搜索引擎删除权行使相关指南进行补充
7月13日,丹麦数据保护机构(Datatilsynet)宣布对其关于搜索引擎删除权的现有指南作出补充,以回应公民的相关咨询。该指南指出,当GDPR第17(1)条规定的条件之一适用时,数据主体有权要求搜索引擎删除其搜索结果(即去除其搜索结果的索引),具体条件包括:当个人数据不再为收集或处理用途所需;当数据主体撤回同意,并且没有其他合法理由再进行处理;以及依据欧盟或其成员国的法律义务,数据控制者必须删除数据等情形。此外,该指南还指出了权利行使的例外情况,并就索引去除的程度和范围进行了解释。
19、美国FTC针对ChatGPT隐私保护情况展开调查
7月13日,据美国CNN报道,美国联邦贸易委员会(FTC)向OpenAI发出了一份长达20页的民事调查要求书,以调查OpenAI推出的ChatGPT是否存在“涉及隐私或数据安全的不公或欺骗行为”,以及“与损害消费者利益有关的不公或欺骗行为”“名誉损害”等违反《联邦贸易委员会法》的行为。对此,FTC要求OpenAI提供有关其处理个人数据、向用户提供不准确信息的可能性以及对消费者造成损害(包括声誉损害)的风险等相关记录,包括“如何获取用于训练大型语言模型的数据”,ChatGPT“生成有关真实个人虚假陈述的能力”等,并要求OpenAI提供其收到的任何公众投诉、其涉及的诉讼清单。
20、挪威数据保护机构禁止Facebook及Instagram投放行为广告
7月17日,挪威数据保护机构(Datatilsynet)宣布了一项临时禁令,禁止Meta旗下的Facebook和Instagram两大社交平台基于用户行为及位置等信息对挪威用户投放“定向广告”,除非平台获得挪威用户的明确同意,或仅基于用户在个人简介中提供的信息进行投放。Datatilsynet表示,两大平台的定向广告涉及“通过高度不透明和侵入性的监控和分析操作来处理非常私密和敏感的个人数据”,可能导致用户数据被滥用,同时也对言论自由、信息自由产生负面影响。该禁令将于8月4日生效,为期三个月,或直至Meta投放行为合规,并能让用户随时退出定向广告,则可取消禁令。如果Meta违反该禁令,将面临每天100万挪威克朗(约70万元人民币)的罚款。
✦深度分析✦
1、欧洲委员会公布个人数据跨境传输示范合同条款
6月27日,欧洲委员会(CoE)发布《个人数据跨境传输示范合同条款》模块一,规制数据控制者(Controller)之间的数据跨境传输行为(下称“MCCs(C-C)”)。MCCs(C-C)以《个人数据自动化处理的个人保护公约》(108+公约)为依据,适用于从非欧盟成员国的公约缔约国向非缔约国传输个人数据的情形,公约缔约国可自主决定是否将其作为数据跨境传输的标准合同,而非强制适用。CoE表示,后续MCCs还将增加其他模块。
数据进口方相关权利义务规定
MCCs(C-C)主要从数据安全保障措施(第8条)、目的限制(第9条)、处理的透明性(第10条)、准确性和数据最小化(第11条)、保留期限限制(第12条)、数据安全保护(第13条)、特殊类别数据的保护措施(第14条)、再转移(第15条)、授权处理(第16条)、文件保留(第17条)、数据主体权利保障(第18条)、救济措辞(第19条)、法律责任(第20条)等方面,规定了数据进口方的权利与义务,规定其必须通过实施适当的技术和组织措施,履行其在本合同下的义务,如果有必要,数据出口方应配合并向其提供合理协助,以使其遵守相关义务。
数据安全保障措施要求
MCCs(C-C)在附件3中明确列举了数据进口方应当采取的技术和组织措施,主要包括:
个人数据的假名化和加密措施;
确保处理系统和服务的持续机密性、完整性、可用性和弹性相关措施;
确保在发生物理或技术事件时及时恢复个人数据可用性和可访问性的措施;
定期测试、评估技术和产品有效性的过程;
确保数据处理安全的组织措施;
对用户识别和授权的措施;
在传输过程中对个人数据的保护措施;
个人数据在存储期间的保护措施;
确保个人数据处理相关物理安全的措施;
确保事件记录的措施;
确保系统配置的措施,包括默认配置;
针对内部IT和IT安全治理与管理的措施;
工艺和产品的认证/保证措施;
确保数据最小化的措施;
确保数据质量的措施;
确保有限的数据保留的措施;
确保问责制的措施;
允许数据可移植性和确保数据删除的措施。
2、欧盟委员会通过对“欧盟—美国数据隐私框架”的充分性决定
7月10日,欧盟委员会通过了对欧盟—美国数据隐私框架(EU-U.S. Data Privacy Framework,下称“DPF框架”)的充分性决定,认为美国在此框架下能够为欧洲经济区(EEA)至美国的数据传输提供与欧盟相当的充分保护水平。根据GDPR规定,当欧盟委员会决定第三国、第三国的某一地区、某个或多个特定的部门或某国际组织已经确定达到充分的保护水平时,数据便可以向第三国或国际组织转移,且这样的数据转移不需要经过任何特别授权。基于此,企业可以通过承诺履行一揽子DPF框架要求的隐私义务加入DPF框架,并依据该框架将个人数据从欧盟传输到美国,而无需其他额外保护措施。该项充分性决定的通过意味着自2020年7月SchremsⅡ案废除原DPF框架后(该案中,欧洲法院认定在原DPF框架下美国无法对欧洲经济区内数据提供充分保护),欧美之间新的数据跨境传输机制得以重新建立。
为实现新DPF框架的建立,美国与欧盟展开多次磋商的同时,采取多项措施以针对性修补导致原DPF框架无效的事项。2022年10月,美国总统拜登签署《关于加强美国信号情报活动保障措施的行政命令》(下简称“第14086号行政命令”),白宫发表声明称,该行政命令是“指导美国为履行美国在欧盟—美国数据隐私框架的承诺而采取的必要步骤”。第14086号行政命令及相关情报程序要求无论公民国籍为何、居住国何在,都应当充分考虑个体隐私和公民自由,并要求情报工作开展须符合下述两个程序条件:一是仅在有必要推进经过验证的情报优先事项时进行,二是仅在与该优先事项相称的程度和方式范围内进行。2023年7月3日,美国国家情报局(ODNI)根据第14086号行政命令的要求发布其情报程序,进一步实施有关数据隐私与公民自由的保障措施。
2023年7月4日,美国商务部发布关于实施DPF框架的声明。2023年7月7日,《欧盟—美国数据隐私框架》充分性决定修订草案的审议以24个成员国赞成的票数通过.
2023年7月10日,欧盟委员会正式通过了对DPF框架的充分性决定,美国司法部(DoJ)下属的美国隐私和公民自由办公室就欧盟委员会发表声明。DoJ强调,欧盟委员会的充分性决定使美国司法部长根据第14086号行政命令第3(f)条,对于欧盟以及欧洲经济区(EEA)下的挪威、冰岛和列支敦士登为合格国家的决定生效。
2023年7月11日,美国国际贸易管理局(ITA)发布咨询公告。该公告对希望加入DPF框架的组织的自我认证期限、组织加入英国对DPF框架扩展条款及《瑞士—美国数据隐私框架》的事项作出了说明。
(国家工业信息安全发展研究中心 李文婷 杨晓伟 蒋楷郁)