2021年全球数据合规大事件回顾报告

杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 1 目录 2 0 2 1 全 球 数 据 合 规 年度大事件回顾 Photograph Credit : Filippo Peisino@Pexels 垦丁律师事务所 W&W 国际法律团队 王捷 夏律 宋佳凯 编制 G L O B A L D A T A P R O T E C T I O N B R E A K I N G E V E N T S O F T H E Y E A R 杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 2 目录Introduction .................................................... 3 Chapter1「全球数据立法动态」 ....................... 6 Chapter2「数据安全事件」 ............................ 70 Chapter3「诉讼与和解」 ................................ 81 Chapter4「数据执法」 ................................... 92 Chapter5「儿童隐私保护」 .......................... 116 Chapter6「自动化决策」 .............................. 122 Chapter7「高额罚款」 ................................. 125 Chapter8「数据传输和数据保护影响评估」 .. 140 Chapter9「人脸识别（生物识别数据）」 ..... 143 Chapter10「数据动态」 ............................... 148 我们的服务 ..................................................... 156 编者简介 ......................................................... 161 联系我们 ......................................................... 163 Photograph Credit : Pexels 垦丁律师事务所国际业务部杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 3 Introduction 2021 年，是中国数据合规元年。无论从立法的高度而言，如 2021 年施行的《数据安全法》、《个人信息保护法》，抑或从执法的强度来看，如“滴滴案”，数据合规问题都引起广泛关注。根据中国信息通信研究院《2021 数据安全行业调研报告》，97%的受访企业认为“合规需求”是开展数据安全能力建设的主要原因之一。对出海企业而言，不仅需要关注国内逐渐明晰、增强的数据跨境规则、本地化要求，更需要关注海外各国的立法动态与最新案例。 欧洲议会于 2021 年 12 月通过《数字市场法》（DMA）和《数字服务法》（DSA）草案，DMA 旨在限制国际互联网巨头不正当竞争行为，强化反垄断管理和大型数字平台公司市场行为规范，DSA 明确了网络平台和其他网络中介机构的尽职义务，尤其对大型在线平台提供者设定更高的透明度和问责制标准。美国旨在统一州隐私立法的示范法案《统一个人数据保护法》（UPDPA）通过，明确了数据控制者和处理者的义务、数据主体权利、数据保护评估要求，还为个人确立了私人行动权。旨在加强对美国消费者的数据隐私保护《数字问责和透明推进（DATA）隐私法案》也被重新提出，另有参议员提出《保护敏感个人数据法》，要求扩大美国财政部外国投资委员会对涉及美国人敏感个人数据交易的监督权。 其他法域的数据治理政策出台密集。例如，韩国个人信息保护委员会（PIPC）提交了《个人信息保护法》拟议修正案并进行公众咨询，修正案在促进数据主体权利和同意机制方面引入更多的清晰度，在数据传输和充分数据保护的要求方面与全球法规更加一致。日本 PIPC 发布的《个人信息保护法》修订指南引入了关于处理假垦丁律师事务所国际业务部杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 4 名信息、非法使用个人信息和数据泄露报告的指导。阿联酋通过的《阿联酋联邦个人信息保护法》不仅适用于阿联酋境内的数据控制者或数据处理者，还适用于在阿联酋境外设立的、对境内数据主体开展处理活动的数据控制者或数据处理者。沙特阿拉伯于 2021 年批准了新的《个人数据保护法》，旨在保护任何可能直接或间接识别用户的个人数据，规范个人数据的共享，防止未经同意收集和处理这些数据。白俄罗斯的《个人数据保护法》也已生效，印度、印度尼西亚仍在继续审议、讨论个人数据保护法案。此外，英国提出了《产品安全和电信基础设施（PSTI）法案》，要求消费类科技公司停止使用其设备的默认密码，制定漏洞披露政策。德国《联邦电信和电信媒体数据保护和隐私管理法》（TTDSG）生效，TTDSG 规范了在使用电信服务和电信媒体服务时的保密性和隐私保护，还改变了使用 cookies 和类似技术的法律框架。澳大利亚宣布拟出台《线上隐私法案》，要求 Facebook、Reddit 等社交媒体平台为 16 岁用户提供服务时，必须征得其父母的同意，同时在收集数据时，需优先考虑儿童的利益。 在执法层面，GDPR 执法案例作为体现监管态势的重要参照，为出海企业的数据保护合规工作提供风向标。据 Privacy Affairs 网站统计，截至 2021 年 12 月 9 日，GDPR 执法总数超过 900 起，总罚金超过 130 亿欧元。其中，亚马逊、Facebook 旗下即时通讯软件 WhatsApp 因违反 GDPR 分别被罚款 7.46 亿、2.25 亿欧元，成为GDPR 实施以来的前二高罚单。 在数字经济全球化的当下，中国出海企业作为跨境数据运营主体在业务合规过程中，必须考虑、评估国际政策法律环境的约束和实际影响力。 出海企业如需定制完整的数据合规方案，请联系我们。 垦丁律师事务所国际业务部杭州·广州·苏州·福州·上海 垦丁律师事务所·W&W 国际法律团队 未经许可 不得转载 不得作任何商业用途 5 「全球数据立法动态」 Photograph Credit : Naveen Anna