1、杭州广州苏州福州上海 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 1 目录目录 2 0 2 1 全球数据合规 年度大事件回顾 Photograph Credit : Filippo PeisinoPexels 垦丁律师事务所 W&W 国际法律团队 王捷 夏律 宋佳凯 编制 G L O B A L D ATA P R O T E C T I O NG L O B A L D ATA P R O T E C T I O N B R E A K I N G E V E N T S O F T H E Y E A RB R E A K I N G E V E N T S

2、 O F T H E Y E A R 杭州广州苏州福州上海 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 2 目录Introduction . 3 Chapter1全球数据立法动态 . 6 Chapter2数据安全事件 . 70 Chapter3诉讼与和解 . 81 Chapter4数据执法 . 92 Chapter5儿童隐私保护 . 116 Chapter6自动化决策 . 122 Chapter7高额罚款 . 125 Chapter8数据传输和数据保护影响评估 . 140 Chapter9人脸识别（生物识别数据） . 143 Chapter10数据动态 . 14

3、8 我们的服务 . 156 编者简介 . 161 联系我们 . 163 Photograph Credit : Pexels 杭州广州苏州福州上海 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 3 Introduction 2021 年，是中国数据合规元年。无论从立法的高度而言，如 2021 年施行的数据安全法 、 个人信息保护法 ，抑或从执法的强度来看，如“滴滴案” ，数据合规问题都引起广泛关注。 根据中国信息通信研究院 2021 数据安全行业调研报告 ， 97%的受访企业认为 “合规需求” 是开展数据安全能力建设的主要原因之一。对出海企业而言， 不仅需要关注国

4、内逐渐明晰、 增强的数据跨境规则、 本地化要求，更需要关注海外各国的立法动态与最新案例。 欧洲议会于 2021 年 12 月通过数字市场法 （DMA）和数字服务法 （DSA）草案， DMA 旨在限制国际互联网巨头不正当竞争行为， 强化反垄断管理和大型数字平台公司市场行为规范，DSA 明确了网络平台和其他网络中介机构的尽职义务，尤其对大型在线平台提供者设定更高的透明度和问责制标准。 美国旨在统一州隐私立法的示范法案统一个人数据保护法 （UPDPA）通过，明确了数据控制者和处理者的义务、数据主体权利、数据保护评估要求，还为个人确立了私人行动权。旨在加强对美国消费者的数据隐私保护数字问责和透明推进（

5、DATA）隐私法案也被重新提出， 另有参议员提出 保护敏感个人数据法 ， 要求扩大美国财政部外国投资委员会对涉及美国人敏感个人数据交易的监督权。 其他法域的数据治理政策出台密集。例如，韩国个人信息保护委员会（PIPC）提交了个人信息保护法拟议修正案并进行公众咨询，修正案在促进数据主体权利和同意机制方面引入更多的清晰度， 在数据传输和充分数据保护的要求方面与全球法规更加一致。日本 PIPC 发布的个人信息保护法修订指南引入了关于处理假杭州广州苏州福州上海 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 4 名信息、非法使用个人信息和数据泄露报告的指导。阿联酋通过的阿联

6、酋联邦个人信息保护法不仅适用于阿联酋境内的数据控制者或数据处理者，还适用于在阿联酋境外设立的、对境内数据主体开展处理活动的数据控制者或数据处理者。沙特阿拉伯于 2021 年批准了新的个人数据保护法 ，旨在保护任何可能直接或间接识别用户的个人数据，规范个人数据的共享，防止未经同意收集和处理这些数据。白俄罗斯的个人数据保护法也已生效，印度、印度尼西亚仍在继续审议、讨论个人数据保护法案。此外，英国提出了产品安全和电信基础设施（PSTI）法案 ，要求消费类科技公司停止使用其设备的默认密码，制定漏洞披露政策。德国联邦电信和电信媒体数据保护和隐私管理法 （TTDSG）生效，TTDSG 规范了在使用电信服务

7、和电信媒体服务时的保密性和隐私保护，还改变了使用 cookies 和类似技术的法律框架。澳大利亚宣布拟出台线上隐私法案 ，要求 Facebook、Reddit 等社交媒体平台为 16 岁用户提供服务时，必须征得其父母的同意，同时在收集数据时，需优先考虑儿童的利益。 在执法层面，GDPR 执法案例作为体现监管态势的重要参照，为出海企业的数据保护合规工作提供风向标。据 Privacy Affairs 网站统计，截至 2021 年 12 月 9 日，GDPR 执法总数超过 900 起，总罚金超过 130 亿欧元。其中，亚马逊、Facebook 旗下即时通讯软件 WhatsApp 因违反 GDPR 分

8、别被罚款 7.46 亿、2.25 亿欧元，成为GDPR 实施以来的前二高罚单。 在数字经济全球化的当下， 中国出海企业作为跨境数据运营主体在业务合规过程中，必须考虑、评估国际政策法律环境的约束和实际影响力。 出海企业如需定制完整的数据合规方案，请联系我们。出海企业如需定制完整的数据合规方案，请联系我们。 杭州广州苏州福州上海 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 5 全球数据立法动态全球数据立法动态 Photograph Credit : Naveen AnnamPexels 2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师

9、事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 6 Chapter1全球数据立法动态菲律宾菲律宾/禁令禁令/数据披露数据披露 菲律宾国家隐私委员会（NPC）于 2021 年 1 月 11日 宣 布发 布 一项 针 对 lisensya.info 的 禁 令。lisensya.info 是一家第三方网站运营商（以下简称 info）, info 违规披露了网站注册司机的个人资料。针对 info 的调查于 2020 年 11 月开始。NPC 指出，该命令于 2020 年 11 月首次发布， 但由于 info 未能 成功解决该侵犯隐私的指控且未能提供其相关做法的详细信息， 该命令期

10、限于 2020 年 12 月进一步延长。NPC 调查发现，info 经营者未经数据主体知情同意 就向第三方提供了他们的个人信息，这违反了 2012 年数据保密法。NPC 还注意 到，info-直在进行网络钓鱼活动。因此，除了命令其停止运营外，国家电信委 员会也对 info 采取了行动，要求互联网服务提供商屏蔽该网站。 2021.1.12 俄罗斯俄罗斯/个人个人数据数据法修正案法修正案 俄罗斯国家议会（杜马）于 2021 年 1 月 14 曰发表了一份声明，概述了俄罗斯数 据保护领域的现行和即将出台的法律。杜马强调了规定隐私权和限制获取个人信 息的两项重要法律， 即 2006 年 7 月 27日

11、关于个人数据的第152号联邦法 （ 个人数据法 ）和 2006 年 7 月 27 日第 149 号联邦信息、信息技术和信息保护法 。 国家杜马强调， 违反这些法律将追究行政或刑事责任。 杜马还指 出，个人资料法修正案已于 2020 年 12 月通过， 修正案明确了获得同意的 条件，且规定了被遗忘权，该修正案将于2021 年 3 月 1 日生效。 2021.1.14 巴基斯坦巴基斯坦/个人数据保护法案个人数据保护法案 巴基斯坦信息技术和电信部（MOITT）于 2021 年 1月 14 日在 Twitter 上宣布，在与所有利益攸关方的磋商并听取建议之后，2020 年个人数据保护法案已进入立法进程

12、的最后阶段。 该法案旨在确保消费者的隐私，同时促进经济发展。 2021.1.14 巴基斯坦巴基斯坦/隐私声明隐私声明/ WhatsApp 信息技术和电信部(MOITT)于 2021 年 1 月 13 日发表声明，解决 WhatsApp LLC 最近对隐私政策的变化引起的问题。MOITT 强调，所有数字社交媒体平台都必须尊重巴基斯坦公民的隐私权。此外，交通部敦促这些平台加强与巴基斯坦政府的接触， 以便有效地解决公众关注的问题。 2021.1.14 国际标准化组织国际标准化组织/生物特征安全识别生物特征安全识别/新标准新标准 国际标准化组织于2021 年1月 14曰宣布已发布了一系列关于生物特征安

13、全的新标准。 国际标准化组织概述说， 因为生物特征识别技术作为核实身份的一种有效手段日益广泛使用， 因此确保其安全性至关重要。新的一系列标准 ISO/IEC19989信息安全-生物特征系统安全评估标准和方法”已经出版，以帮助确保生物特征系统免受针对系统安全政策的攻击。 该系列还涉及生物特征识别性能和攻击检测。 2021.1.14 欧盟欧盟/云服务云服务/医疗医疗机构机构 欧洲联盟网络安全机构 （ENISA） 于 2021 年 1 月 18日发布了一份报告， 帮助医疗机构安全地采用云服2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经

14、许可 不得转载 不得作任何商业用途 7 务，以应对网络安全挑战。该报告评估了电子健康记录、远程医疗等远程护理和医疗设备方面与云服务相关的网络安全问题，同时概述了欧洲卫生部门实施云服务的一套有效的做法。做法包括提高网络安全意识、加密敏感数据以及评估网络安全风险。此外，报告还强调了与云服务相关的一些数据保护问题，例如数据管理、删除个人数据，以及医疗服务提供商需要评估云服务提供商是否实施了隐私设计（Privacy By Design） 。 2021.1.19 澳大利亚澳大利亚/安全安全指南指南 澳大利亚网络安全中心（ACSC）于 2021 年 1 月 14曰发布了针对域名所有者的域名系统安全指南（

15、域名所有者指南 ） 和域名解析程序 （ 域名解析程序指南 ） 。域名所有者指南 概述了一些常见的预防针对域名的攻击建议，包括： 注册其他可通过常见键入错误或类似名称到达的域名； 在安全浏览块列表中添加欺骗性域，然后请求接收域或网站；通过使用多因素认证、 强登录凭据、 访问日志检查和最新信息检查来保护域管理帐户； 实施强有力的网络安全保护； 选择有弹性的提供者。 域名解析程序指南概述了一些防止域名系统解析服务器攻击的建议，包括： 保持域名系统软件的更新； 采用多因素认证； 限制行政特权； 维护和加强服务器的操作系统； 确保域名系统查询能够阻止使用未经授权的解析器的尝试； 通过解析器记录所有域名系

16、统查询以检测可疑的有效载荷，或者记录大量指向可疑域的查询。 2021.1.19 荷兰荷兰/报告报告/GDPR 适用适用 荷兰众议院于 2021 年 1 月 15 日发表了一份关于适用 GDPR 两年的报告。该报告 由托拜厄斯范甘特编写，其目的是查明 GDPR 应用中的瓶颈。报告评价 GDPR 使政府、 工业界和公民更多地认识到保护个人数据的重要性，但由于对规则的 解释和执行不明确，因此存在相当大的不确定性。 2021.1.20 美国美国/明尼苏达州明尼苏达州/消费者消费者数据隐私法数据隐私法 2021 年 1 月 7 日由众议员马哈茂德努尔将消费者数据隐私法弓|入明尼苏达州众 议院，该法案给予

17、消费者有关个人资料的各种权利， 让企业承担数据透明度的责 任， 并创造私人诉权等。 如果该法案获得通过， 将被称为 明尼苏达消费者数 据隐私法(Minnesota Consumer Data Privacy Act)，它将把个人数据义务的范围扩大到那些为明尼苏达州居民提供产品或服务并满足以下一项或多项条件的企业:在一年内， 控制或处理 10 万名或以上消费者的个人资料； 销售个人数据占总收入的 50%以上， 并处理或控制 25,000 名或更多消费者的个人数据。此外，该法案将为上述企业规定新的义务，包括： 数据控制器和处理器协议； 扩大数据主体的访问权、更正权、删除权、数据可移植性和选择退出权

18、； 关于处理未识别数据或假名数据的规则； 数据保护评估的要求； 关于使用面部识别的规则； 由总检察长强制执行和私人诉讼权利。该法案如获通过，将于 2021 年 7 月 31 曰生效。 该法案已提交商业金融和政策委员会。 2021.1.19 法国法国/报告报告 法国数据保护局(CNIL)于 2021 年 1 月 21 日发表了关于其在冠状病毒大流行期间活动的报告， 主要包括监管机构的作用和在危机时期个人数据保护方面面临的挑战。CNIL 的作用包括与公共当局合作、参与公众讨论和开展执法活动。 2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队

19、 未经许可 不得转载 不得作任何商业用途 8 CNIL 在 2020 年 3 月至 11 月期间处理了 40 起与冠状病毒大流行有关的投诉，这一期间的 160 项审计中有 23 项与大流行病有直接或间接联系。 2021.1.22 美国美国/俄俄克拉荷马州克拉荷马州/网上商业数据透明度法案网上商业数据透明度法案 俄克拉荷马州网上商业数据透明度法案草案于2020 年 1 月 2 曰提交俄克拉荷马州众议院。法案草案特别规定，任何人或任何在俄克拉荷马州经营网上业务或网页的公司或网站，如需收集消费者的个人数据资料，须在收集前，以清晰可读的格式，显眼地将收集的个人资料类别及使用该等类别的目的，公开在其网页

20、上。此外，草案亦强调，除非向消费者发出符合本部分规定的通知，否则企业不得收集额外类别的个人资料或将收集的个人资料用作其他用途。草案概述网站公告应向消费者提供以下资料： 收集关于该消费者的个人信息的类别；收集个人信息的来源类别； 收集、销售个人信息的业务或者商业目的； 与企业共享个人信息的第三方类别； 收集有关该消费者的具体个人资料； 对使用或访问网站或在线服务的个人消费者审查并要求更改其通过网站或在线服务收集的任 何消费者信息的过程的描述。 2021.1.23 瑞士瑞士/健康数据收集健康数据收集/准则准则 瑞士联邦数据保护和信息委员会(FDPIC)于 2020 年1 月 22 日发布了数据准则

21、，准则内容是 COVID-19期间对私营公司收集健康数据时的数据保护要求。部分私营公司希望在用户检验结果或者疫苗接种后结果呈阴性的情况下提供货物或服务，因此需要获取用户的健康数据。但 FDPIC 指出，以收集具体的健康为条件以获取货物或服务会影响数据主体的权利。准则提出了一些要求，包括考虑卫生当局的意见，确保数据处理的安全，并保证数据收集建立于必要的基础上。 此外， 私营公司不应剥夺不同意收集卫生数据的客户获得货物和服务的权利， 除非能够以其他方式保证用户获得这类货物或服务。 2021.1.26 东南亚东南亚/东盟东盟/数字数字计划计划 东南亚国家联盟(东盟)于 2021 年 1 月 22 日

22、公布了2025 年数字总体计划， 旨在指导东盟成员国在数字技术领域的合作。 该计划包括数据管理框架和合同条款范本， 并提出了东盟关于建立一个安全和变革的数字经济、 为企业和消费者提供信息技术和数字服务的生态系统的目标。 为此需要建立统一的数据保护条例以及强大的网络安全和数据治理最佳实践。 2021.1.27 丹麦丹麦/警方警方/数据共享数据共享 丹麦数据保护局于2021 年1月 27日发布了关于与警方分享个人数据的指南。 该指南旨在说明与警方分享个人信息的框架， 并审查了与警方分享个人数据的法律依据。此外，私营者或公共当局可以按照GDPR 以及数据保护法” 第 8 条的规定向警方分享个人数据，

23、 这些条款说明了处理刑事犯罪信息的国家规则。 2021.1.28 印度印度/支付支付/小册子小册子 印度储备银行于 2021 年1月 25日发行了一本关于印度支付系统的小册子。这本小册子概述了 2010-2020 这十年间数字支付系统的法律和监管环境。 具体内容有印度政府和印度储备银行为解决目前的数字化趋势而采取的各种举措， 以及适用于参与实2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 9 体的若干义务，包括数据存储义务和进行系统审计报告以评估网络和数据安全、供应商风险管理和事件管理的要求。

24、2021.1.28 哥伦比亚哥伦比亚/2020 审计审计报告报告 哥伦比亚数据保护局于 2021 年 1 月 28 日宣布参加国际数据隐私日”的纪念活动，并发布了 2020 年审查报告，报告概述了该局在 2020 年的一系列工作情况。在 2020 年期间，该局共收到 16,237 起投诉（平均每月 1,353 起） ，其中 89.9%被指控违反2008 年第 1266 号成文法， 主要投诉原因是不遵守信息质量原则” ； 10%违反 2012 年第 1581 号成文法（该法发布了保护个人数据的一般规定） ，主要投诉原因是未经授权收集和使用数据” 。执法方面，2020 年期间，共处以约 1,758

25、,094 欧元的罚款，并发布了 2,070 项命令以要求公司遵守保护个人数据的立法。 2021.1.29 阿联酋阿联酋/消费者消费者保护保护条例条例 阿拉伯联合酋长国中央银行(CBUAE)2021 年 2 月 1日宣布其已发布了 消费者保护条例 ， 该条例是金融消费者保护监管框架的一部分，并根据关于央行和金融机构及活动组织的 2018 年第 14 号联邦法令，建立保护许可金融机构 (LFIs)客户的法规。 CBUAE 指出，消费者保护条例旨在提高 LFIs 提供的有关产品和服务的信息质量。该条例规定了LFIs在信息披露、 透明度、 机构监管、市场行为、商业行为以及消费者数据和隐私保护等方面行为

26、。具体监管由详细标准进一步规定。 2021.2.2 新加坡新加坡/个人信息保护法修正案个人信息保护法修正案/生效生效 新加坡个人数据保护委员会(PDPC)宣布新加坡个人信息保护法(PDPA)修正案于 2021 年 2 月 1 曰生效。该修正案加强了组织问责和消费者保护、鼓励创新。 为了协助机构遵守规定， PDPC 更新了咨询指南以及消费者手册， 以指导遵循新的个人信息保护要求。PDPA 修正案内容包括： 强制性数据违反通知规定对同意义务的修订过分不当处理个人资料的违法行为禁止使用词典攻击和地址收集软件第三方 DNC 校验器的要求PDPC 接受自愿承诺作为其执行机制一部分的权力。 2021.2.

27、2 澳大利亚澳大利亚/小型企业小型企业/网络安全网络安全指南指南 澳大利亚网络安全中心(ACSC)于 2021 年 2 月 4 日发布了小型企业网络安全指南。 该指南涵盖了一些潜在的网络威胁，包括恶意软件、钓鱼邮件和勒索软件。此外，该指南还概述了小型企业如何通过关键的软件考虑因素来提高弹性， 比如默认设置自动更新和备份，使用多因素身份验证，同时设置访问控制、密码短语创建和员工培训的程序。 2021.2.4 新加坡新加坡/数据处理数据处理/数据泄露数据泄露 新加坡个人数据保护委员会(PDPC)于 2021 年 2 月1 日发布了与个人资料处理有关的协议的资料保护条款指南，进一步遵循 2012 年

28、个人资料保护法的修订案。该指南指出，承包商必须及时通知相关机构数据泄露的情况，并强调在通知后，该机构必须对数据泄露是否应予以通报进行评估。此外，如已确定有应呈报的违规行为， 机构必须在评估后三天内通知警务处， 并在合理的情况下通知每名受影响的人。 2021.2.4 2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 10 英国英国/网络安全网络安全/呼吁呼吁 英国下议院科学和技术委员会于 2021 年 2 月 4 日发布了一份报告， 警告政府对两家供应商推出的5G技术过于依赖，这对网络弹性和安全构成

29、了风险，并呼吁针对新兴技术制定新战略。该报告表示，英国决定排除华为技术有限公司的做法已经影响了供应链的多样化，政府必须紧急评估其对新兴技术供应商的潜在依赖，以避免类似的情况再次发生。此外， 报告呼吁政府在12个月内发布一份白皮书，内容应包括对全球标准技术差异风险的新评估、确定关键新兴技术和依赖高风险供应商的相关风险，并提出英国在这方面的策略。报告还建议政府建立一个常设论坛，以促进电信市场多元化的国际合作。 2021.2.6 英国英国/充分充分性决定性决定/脱欧脱欧/数据保护数据保护 欧洲联盟委员会于 2021 年 2 月 19 日启动了两项关于向英国转让个人数据的充分性决定的程序，一项是根据

30、GDPR,另一项是根据执法指令 （LED） 。程序评估了英国关于个人数据保护的法律内容和具体做法，例如公共当局获取数据的规则，并发布了充分性决定： 英国的保护水平基本上与GDPR和LED所规定的保护水平相同，能够确保在欧盟向英国转移的 GDPR 范围内的个人数据得到充分的保护。这一草案还有待进一步审批，需经过欧洲数据保护委员会（EDPB）和欧盟的comitology”程序的批准。 GDPR 第 45 条第 3 款和 LED 第 36 条第 3 款授予欧洲联盟委员会决定非欧盟国家确保充分保护水平”的权力，即作出充分性决定。决定作出后，该非欧盟国家可以无条件地将个人数据从欧盟转移到本国。因此，介于

31、英国脱欧后不再受到欧盟隐私规则的约束，充分性决定的结果是英国具备相应保护水平的凭证。如果该决定最终通过，有效期为四年，在此之后，如果英国的仍具有相应的保护水平，可以延长期限。 2021.2.23 曰本曰本/健康记录健康记录/信息处理信息处理/草案草案 曰本经济产业省（METI）发布了关于私人个人健康记录操作员处理信息的准则草案。METI 于 2021 年2 月 19 日公布了该草案。准则概述了适当处理个人信息的要求，包括披露、取得和撤回同意以及删除的权利。此外，准则还就个人信息的储存和安全措施提供了指导方案。具体而言，该准则将适用于卫生管理的信息，如医疗机构向个人提供的信息、个人自行测量或记录

32、的信息， 以及随后提供给医疗机构的信息。此外，该准则还将适用于提供私人健康记录服务和处理信息的私营企业经营者， 例如体检和只处理个人日常测量的健康信息的企业。 2021.2.23 日本日本/电力行业电力行业/网络安全网络安全/指南指南 日本经济产业省（METI）发布零售电力公司网络安全指南。 该指南已成为电力零售公司发布了一项网络安全准则。 该准则强调了与零售电力行业相关的网络安全威胁，并提供了减轻这些风险的措施。具体而言， 该准则概述了公司建立网络安全风险管理系统的步骤、 识别网络安全风险的方法和实施对策，以及关于组装应急系统的咨询意见。 2021.2.23 欧洲欧洲/网络安全网络安全/报告

33、报告 欧洲联盟网络安全机构 （ENISA） 于 2021 年 2 月 24日发表了一份关于第三代伙伴关系计划 （3GPP） 中安全控制&与关键安全控制有关的 5G 的报告，该计划主要关于 5G 网络技术规格的制定。 ENISA 指出，对网络安全的需求曰益增加，负责网2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 11 络安全政策制定和实施的国家监管当局必须对关键的安全控制有透彻的理解。该报告涉及 5G 网络安全的规范和标准化图景、 3GPP 为 5G 安全制定的技术规范的解释以及良好的安全实践等

34、。在良好的安全实践方面， 报告强调了用户永久标识符 （SUPI）的加密，使用网络或传输层上的安全协议来确保机密性和完整性，以及实现规范中定义的身份验证框架。 2021.2.25 巴西巴西/安全事件报告程序安全事件报告程序指南指南 巴西数据保护局（ANPD）于 2021 年 2 月 24 日公布了安全事件报告程序指南，详细说明了 2018 年8 月 14 日第 13.709 号法律和一般个人数据保护法 （LGPD） 规定的与数据泄露和其他类型事件有关的义务，并提供了一份详细表格供数据控制者和数据处理者填写。该指南解释了什么情况构成安全事件以及公司在发现安全事件时应做些什么。更具体地说，指南详细说

35、明了数据处理者在发生安全事件时与数据控制者通信的义务，并表示控制者有义务进一步通知 ANPD。 ANPD 的指南还列明了必须向监督当局通报的内容，以及在何种情况下应向数据主体报告安全事件已发生。 2021.2.25 印度尼西亚印度尼西亚/网络安全管理框架网络安全管理框架 印度尼西亚国家网络和加密局(BSSN)于2021年3月1 日发布了关于其网络安全监测方案的结果和统计数据的 2021 年报告。该报告旨在为网络安全利益攸关方提供一个参考框架，该框架可以帮助他们在各自组织或机构制定政策和网络安全管理步骤。同时，报告也考虑了新冠肺炎大流行带来的网络安全挑战，确定了一些网络安全威胁和常见漏洞，包括恶

36、意软件和电子邮件钓鱼。 2021.3.2 澳大利亚澳大利亚/雇主隐私义务指南雇主隐私义务指南/COVID-19 澳大利亚信息事务专员办公室(OAIC)于2021年2月23 曰发布了指南，帮助在 1988 年隐私法管辖范围内的实体在收集、使用、储存和披露与新冠肺炎疫苗有关的雇员健康信息时了解其义务。 OAIC 特别强调，雇主只有在极少数情况下，才能收集有关雇员接种疫苗情况的资料， 例如在雇员同意并对其职能和活动而言有合理需要。此外，只有为维持工作地点安全而需要的个人资料才应收集、使用或披露，且要遵守最低限度收集。 最后， OAIC 认为雇主必须采取合理措施， 确保雇员接种疫苗的状况和相关健康信息

37、的安全。 2021.3.2 爱尔兰爱尔兰/2021 年年度报告年年度报告 爱尔兰数据保护委员会(DPC)于 2021 年 2 月 25 日发表了其 2021 年年度报告。 报告强调， DPC 在 2021年共处理了 10,151 起案件，收到了 4,660 起基于GDPR 的个人投诉，解决了 4,476 起，其中包括在2021 年之前收到的 1,660 起投诉。此外卜，该报告列出的最常见的 GDPR 查询和投诉原因是访问请求、公平处理、披露、直接营销和被遗忘权。 2021.3.2 美国美国/弗吉尼亚州弗吉尼亚州/通过法案通过法案 美国弗吉尼亚州州长拉尔夫诺瑟姆签署通过了消费者数据保护法(CDP

38、A)，该法将于 2023 年 1月 1 日生效。大概内容如下： 范围： CDPA 的管辖范围包括在弗吉尼亚联邦开展业务的人员，或针对联邦居民生产产品或服务的人员，并2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 12 满足以下一项或多项要求： 在一年内，控制或处理至少 10 万名消费者的个人资料；或 控制或处理至少 25,000 名消费者的个人数据，并从个人数据销售中获得总收入的 50%以上。 消费者权益方面 CDPA 为消费者提供了若干权利，包括： 有权选择不为定向广告、个人资料出售或概要分析

39、之目的而处理个人资料 确认其数据是否正在处理的权利 修正不准确之处的权利 数据删除权 数据可移植性的权利 数据控制者的义务包括： 向消费者提供隐私通知 建立、 实施和维护合理的行政、 技术和实物数据安全做法，以保护个人数据的机密性、完整性和可获取性 进行和记录数据保护评估 使用数据处理者的合同要求。 2021.3.3 欧盟欧盟/6G/立法建议立法建议 欧洲联盟委员会于 2021 年 3 月 4 日宣布已通过一项关于迈向 6G 的智能网络和服务的联合承诺的立法建议。 委员会特别强调， 是否成功建设可靠的 5G基础设施将很大程度上决定 6G 的成功与否，这意味着 5G 主导市场至关重要。欧盟委员会

40、强调了确保新兴网络技术标准遵循欧洲价值观、界定关键技术标准和塑造下一代网络架构以保持欧洲供应商竞争力的重要性。 2021.3.5 波兰波兰/生物特征数据指南生物特征数据指南 波兰数据保护局(UODO)于 2021 年 3 月 3 曰发布了关于使用生物特征数据的指南。指南指出，生物特征数据的使用严重干扰了个人的隐私， 并有可能泄露特定类别的数据或导致歧视。因此，只有在特殊情况下才能使用生物特征数据，如 GDPR 第 9(2)条所述，在此之前还要进行数据保护影响评估，并考虑到数据保护的基本原则，如必要性、相称性和数据最小化原则。此外，指南指出，波兰许多实体使用生物特征数据时，没有适当地进行风险评估

41、，也没有分析是否可以采用一种较少侵犯隐私的方法来实现同样的目标。就这一点而言，该指南举例说明了 UODO 最近对一所过度处理儿童生物特征数据的学校采取的执法行动， 这表明使用生物特征数据也造成了歧视。 虽然华沙省行政法院推翻了上述案件，但 UODO 向最高行政法院提出了上诉。 2021.3.5 德国德国/汉堡汉堡/2020 报告报告 德国汉堡数据保护和信息自由专员(HmbBfDI)于2021 年 2 月 25 日发布了 2020 年活动报告。报告重点介绍了 2021 年以来的一些主要事态发展，包括： 新冠肺炎大流行引起的数据保护问题， 如与记录联系人追踪数据和视频会议系统的相关问题； 针对 H

42、&M 在线商店 AB&Co.Kg 违反员工数据保护规定罚款 3530 万欧元； 对未经他人同意在街上拍摄或拍摄其他人的个人的投诉等。报告统计，HmbBfDI 在 2020 年共收到 2,978 起投诉，2019 年为 2,527 起，报告的数据泄露总数从 611 起增加到686 起，主要原因是人为错误。 2021.3.9 美国美国/人工智能报告人工智能报告 美国人工智能国家安全委员会 (NSCAI)于 2021 年 32021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 13 月 1 曰向美国国会和拜

43、登总统提交了最终报告，并获得一致通过。该报告提供了到 2025 年让人工智能(AI)做好准备的策略，报告分为两部分： 在人工智能时代捍卫美国”部分建议美国政府如何负责任地开发和使用人工智能技术，以保护美国人民及其利益。它还关注了人工智能在国防和国家安全方面的意义和应用。 赢得科技竞争”部分建议政府必须采取的行动，以促进人工智能创新，提高国家竞争力，保护美国在与中国更广泛的战略竞争中的关键优势。 此外，NSCAI 委员关注了立即采取行动的四个支柱:领导： 在白宫设立一个技术竞争力委员会， 并组织国防部和情报部门来保卫美国并赢得技术竞争； 人才：委员们认为有必要在政府内部培养新的人才并扩大现有的项

44、目； 硬件：美国距离失去为其公司和军队提供动力的绝大多数尖端微电子技术非常近。报告强调，有必要重振国内半导体制造业，并确保它们领先中国两代人； 创新：报告概述了美国需要维持并增加人工智能研究的投资，为国内人工智能创新创造条件，推动突破，赢得技术竞争。这将通过建立国家人工智能研究基础设施，并将联邦政府在人工智能研发方面的投资翻倍，到 2026 年达到每年 320 亿美元。 2021.3.9 欧盟欧盟/基于大技术数据驱动的实践的数字消费者权基于大技术数据驱动的实践的数字消费者权利报告利报告 欧洲消费者组织（BEUC）于 2021 年 3 月 5 日发布了一份关于数字消费市场结构性不对称的报告。该报

45、告指出了与大科技数据驱动的商业模式相关的行为操纵、漏洞利用和个性化问题，同时专注于监控和同意、个性化定价和营销等。报告还强调，在线平台有兴趣最大化数据流和控制数字选择架构，并在其中向用户提供隐私政策。此外，该报告还概述了数据保护和消费者法律在确保个性化定价和营销公平方面的作用， 以及监管数据开发策略的必要性， 这些策略被视为与基于信息的广告相对应的策略。 2021.3.9 欧盟欧盟/2030 年数字愿景年数字愿景 欧盟委员会于 2021 年 3 月 9 日提出了到2030 年欧洲数字化转型的愿景和途径， 重点关注四个关键方向，即技能、基础设施、商业和政府。委员会的目标是： 促进所有公民的基本数

46、字技能并为员工提供获得新的专业数字技能的机会； 在互联互通、 微电子和海量数据处理能力（如 5G 能力、新数据处理技术和云基础设施）方面，建立可持续的数字基础设施； 加强企业的数字化转型， 确保公平和有竞争力的数字化经济，特别是在制造业、卫生、建筑业、农业和移动领域； 确保透过数码环境，提供易于使用、 高效率及具高度保安及私隐标准的个性化服务及工具，让所有人都能充分享受公共服务。 2021.3.10 乌克兰乌克兰/关键基础设施法案关键基础设施法案 乌克兰议会 （Verkhovna Rada）于 2021 年 3 月 9曰宣布， 已经提交了一项关于关键基础设施的法案。该法案解释了关键基础设施、

47、关键基础设施运营商以及关键功能和/或服务的定义，并明确了关键基础设施部门。 该法案详细规定了关键基础设施运营商的权利和责任， 例如对关键基础设施进行风险评估的要求、 与国家关键基础设施保护体系的其他主体交换风险和威胁信息、 要求制定和更新措施计划以确保关键基础设施的安全和恢复能力、 本地化计划、消除事故后果，并采取网络安全措施。该议案已送交委员会审议。 2021.3.10 2021 全球数据合规年度大事件回顾 Chapter1全球数据立法动态 垦丁律师事务所W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 14 英国英国/2021-2022 计划计划 由竞争和市场管理局 （CMA）

48、 、 信息专员办公室 （ICO）和通信办公室（Ofcom） 于 2021 年 7 月成立的数字监管合作论坛（DRCF）于 2021 年 3 月 10 日发布了首份 2021-2022 年年度工作计划，为这些机构如何扩大合作的范围和规模制定了路线图。该计划侧重于三个重点领域，即： 对工业和技术发展作出战略性反应； 制定监管方法，在不同监管重叠的情况下，提供一致的监管结果； 开发共享知识、专业知识、能力和资源的实用方法，如在人工智能（AI）和数据分析领域。 2021.3.11 欧盟欧盟/数据治理报告数据治理报告 欧盟委员会于 2021 年 3 月 10 日发布了一份关于政府和欧盟作用的报告，以及可

49、能的数据治理模型，以分配数据产生的价值。报告强调，政府需要在信息社会中采取行动并发挥充分作用，以便控制数据的产生和收集方式，以及数据产生的价值在社会中的分配方式。此外，报告还探讨了一些正在出现的数据治理模式，即数据共享池、数据合作社、公共数据信任和个人数据主权。此外，报告指出，欧盟及其成员国不应被动应对，而应积极主动，根据公共价值、开放、透明、公私伙伴关系和包容性的原则，向数字化治理迈进。欧盟委员会认为该报告的研究结果有助于欧盟在数据共享、技术和数据主权方面的新政策取向，包括欧洲数据战略和数据治理法案 。 2021.3.11 澳大利亚澳大利亚/在线安全法案在线安全法案 澳大利亚众议院于 202

50、1 年 3 月 16 日通过了 2021年在线安全法案的第三次审阅，随后于 2021 年 3月 17 曰提交澳大利亚参议院。该法案旨在为澳大利亚人创建一个新的网络安全框架， 该框架阐明了基本的网络安全期望，以改善和促进网络安全，扩大防止网络欺凌计划， 以发现在社交媒体以外的服务上出现的危害， 并将应用分发服务和互联网搜索引擎服务的提供商纳入新框架的职权范围。 2021.3.16 欧盟欧盟/工作计划工作计划 欧洲数据保护委员会 （EDPB） 于 2021 年 3 月 16 日公布了其 2021 年和 2022 年的工作计划。具体而言，EDPB 概述了 2021 年和 2022 年的首要任务，其中