八月份的主要内容包括:
利益冲突: 企业应考虑重新评估其数据保护官的角色和职责,包括董事会和委员会中的双重角色,以防止因西班牙 AEPD 因相关失误而被处以 5,000 欧元罚款而产生利益冲突;
自动化决策:欧洲数据保护综述根据奥地利法院最近的一项判决,企业无需披露响应数据主体访问请求的自动化决策所使用的算法;
生物特征数据:使用或计划部署生物特征识别的组织可能希望根据英国 ICO 的指导草案来评估他们的实践,该草案明确了监管期望,例如,所使用的数据将被视为特殊类别数据,并且几乎总是需要进行数据保护影响评估;
数据抓取:企业应考虑主动加强其数据保护措施,包括速率限制、IP 阻止和针对数据抓取的法律行动,以响应最近多家数据保护机构发表的联合声明,阐述其监管期望;
数据最小化:继爱尔兰数据保护机构对 Airbnb 在验证过程完成后存储用户身份证件的行为进行谴责后,企业应考虑对身份证件采取严格的数据最小化政策;
数字服务法:在欧盟数字服务法最新的实施期限之后,大型在线平台应继续评估是否遵守该法案的义务,包括广告和内容审核;以及
黑暗模式:组织机构应考虑英国信息专员办公室和竞争与市场管理局在新的联合立场文件中提供的步骤,避免使用可能有害的数字设计策略来获取消费者数据,例如使用用户难以更改或不鼓励用户更改的默认设置。
这些发展及更多内容将在下文介绍。
西班牙 AEPD 因其数据保护官的利益冲突向一名控制者罚款 5,000 欧元
发生了什么:西班牙数据保护机构 AEPD 澳洲华人 因数据主体投诉对格拉纳达官方建筑师学院处以 5,000 欧元的罚款,认定该组织内数据保护官(“DPO”)的职责存在利益冲突,违反了 GDPR 第 38(6) 条。
GDPR 要求,DPO 的任命不得存在利益冲突,利益冲突可能源于以下情况:(i) 一定的资历;(ii) 企业成功带来的经济利益;或 (iii) 涉及企业数据处理活动的职责。
AEPD 认为,DPO 不能担任决定数据处理目的和方法的职位。DPO 的角色以及个人在该组织的管理委员会和常设委员会的平行任命都涉及受数据保护影响的职责,包括与招生和申请、处理请求、沟通和纪律措施、记录会议纪要、分配学校资金以及执行管理委员会的指导方针相关的职责。
该控制者还因在其隐私政策中没有 DPO 的正确联系信息,以及在未经用户同意的情况下使用 cookie 而被罚款 9,000 欧元。
要 企业可能希望审查其 DPO 的角色和职责,以确保 DPO 与涉及确定数据处理目的和方 如何解开电话号码 法的角色之间的职责适当分离。
奥地利法院限制自动决策逻辑的披露要求
发生了什 么:奥地利法院作出裁决,判定当控制者 c 电话号码(在本案中为信用排名机构)响应涉及自动决策的数据主体访问请求时,提供“有关所涉及逻辑的有意义的信息”的义务并不要求披露所使用的算法或数学公式。
相反,企业需要提供:(i)个人数据的类别及其相关性;(ii)如何通过自动化方式创建个人资料,包括所使用的统计方法;(iii)为什么个人资料与决策相关;以及(iv)个人资料实际如何用于决策。
要做什么:利用涉及个人数据的自动决策的企业可能需要审查其数据主体访问请求政策和实践,并考虑根据奥地利法院的期望进行更新。
ICO 生物特征数据指南草案确认监管预期
事件经过:随着生物特征数据识别系统的使用日益广泛,包括用于访问身份验证和 MFA 目的,ICO 发布了关于生物特征数据识别系统使用的指导草案。最近,由于此类技术与人工智能系统的日益融合,其规模和数据保护风险变得更加复杂。
该指南的要点包括:
- 生物特征识别系统中使用的个人数据(无论是否成功识别或验证个人身份)都将满足 GDPR 对“生物特征数据”的测试,因此属于特殊类别数据;
- 使用生物特征识别系统“极有可能”触发准备数据保护影响评估(“DPIA”)的要求;
- 使用生物特征数据进一步开发其模型的生物特征识别系统提供商通常会成为此目的的控制者;
- 在大多数情况下,明确同意可能是处理生物特征数据的唯一有效条件(但获得此类同意可能存在困难);
- 评估和处理与处理生物特征数据相关的安全风险尤为重要,并且生物特征数据必须加密。
应对措施:已实施或正在考虑实施生物特征识别技术的企业应根据指南草案评估自己的实施情况。虽然指南尚未最终确定,但似乎不太可能发生重大变化,目前的草案为了解 ICO 当前的期望提供了有用的见解。指南草案的咨询期将于 2023 年 10 月 20 日结束,第二阶段的生物特征分类和数据保护指南草案预计将于 2024 年初出台。
数据保护机构联盟就数据抓取问题发表声明
发生了什么:一个横跨多个大洲的数据保护机构多元化联盟——GPA 国际执法合作工作组成员——批准了一份声明,概述了对社交媒体平台和其他网站的期望,以防止非法数据抓取并尽量减少相关的隐私风险,包括有针对性的网络攻击、身份欺诈、监视、分析和监视个人、未经授权的政治和情报收集以及不必要的直接营销和垃圾邮件。
报告强调,可公开访问的个人数据在许多国家仍然受到数据保护和隐私法的约束,未经授权收集此类数据可能构成可报告的违规行为。报告呼吁企业采取更多措施保护数据免遭抓取,包括通过增强和多层次的技术措施(如速率限制、使用情况监控、CAPTCHA、IP 阻止和其他主动机器人检测步骤)、在确认或怀疑有抓取行为时采取法律行动,并支持用户围绕隐私做出的决定(如主动告知用户如何使用增强隐私的设置)。
下一步:向公众提供个人数据的企业应注意该声明,因为这可能是监管机构对此类数据滥用行为感兴趣的潜在信号。此类企业可能希望根据声明中确定的具体措施,评估其保护此类数据的技术和组织措施是否充分。鉴于此类技术措施的局限性,企业可能还希望考虑尽量减少公开的信息量和敏感度,并更好地告知用户数据滥用的风险。依赖数据抓取的企业可能还想考虑这些期望会如何影响其业务模式。
Airbnb 因被发现扣留身份证明文件时间过长而面临谴责和整改令
发生了什么:爱尔兰 DPC 宣布,其于 2023 年 6 月对一位 Airbnb 房东提出的有关 Airbnb 处理她的个人数据以进行身份验证的投诉作出了裁定。
DPC 在投诉中提出的大部分实质性问题上都支持 Airbnb 的诉求,其中包括:
- 考虑到房东验证对现实世界的安全影响,以及 Airbnb 为此目的而制定的身份检查流程的狭隘定制,可以适当地依赖合法利益作为处理房东身份证件副本以验证其身份的合法依据。
- 在请求提供身份证明文件时遵守数据最小化原则。DPC 特别指出,Airbnb 对用户验证采取了分阶段方法,即仅在其他验证流程(例如将档案中的详细信息与公共来源进行比较)失败时才要求提供身份证明。
- 发布了符合 GDPR 透明度原则的隐私声明和其他文件,包括强调 Airbnb 可能会要求提供带照片的身份证明副本以验证房东身份。
尽管如此,DPC 还是要求 Airbnb 修改其内部政策和程序:(i)确保在验证用户身份后删除之前提交的有缺陷的身份证明文件;(ii)严格限制所有身份证明文件(包括有效文件)的存储期限,认定其在账户保持开通期间保留此类文件的现有政策违反了 GDPR。
该怎么办:企业应该对 DPC 的决定感到欣慰,该决定承认与身份验证相关的重要利益以及 Airbnb 为限制其收集身份证明文件的情况所做的工作。然而,该决定强调企业需要考虑与身份证明文件副本相关的保留政策,包括在成功验证后必须保留此类文件多长时间。
大型网络平台采取措施遵守《数字服务法》新规定
发生了什么:2023 年 8 月 25 日是欧盟《数字服务法》(“DSA”)实施的另一个关键日期,大型在线平台(“VLOP”)将受到 DSA 全部义务的约束。我们之前讨论过DSA 及其对 VLOP 的影响,包括禁止某些定向广告行为、要求平台监控和删除非法和有害内容,以及对广告和内容审核行为的严格透明度要求。
在合规期限到来之前,TikTok宣布了面向欧洲用户的新功能,旨在履行该法案规定的新义务。7 月,TikTok 进行了一次自愿压力测试,以评估完全遵守该法案需要做些什么。作为回应,TikTok 为欧洲用户推出了一些关键功能,包括让举报非法内容变得更加容易、提供关闭视频个性化推荐的选项,以及禁止针对 13 至 17 岁用户投放定向广告。
应对措施:企业应注意 DSA 将为其制定的合规义务以及适用的 DSA 实施时间表。虽然 DSA 目前仅对 VLOP 有效,但其范围内的其他实体必须在 2024 年 2 月 17 日之前遵守。企业应考虑 DSA 可能对其广告平台或 AI 和自动决策工具的使用产生什么影响,尤其是在内容审核和定向广告实践方面。
法国 CNIL 取消针对谷歌的 Cookie 同意禁令
发生了什么:法国 CNIL宣布其于 2021 年 12 月对 Google LLC 和 Google Ireland Ltd 发出的禁令已终止,该禁令要求 Google 允许位于法国的网站 google.fr 和 youtube.com 的用户以同样的方式拒绝和接受 Cookie。作为回应,Google 在接受按钮附近放置了一个名为“仅允许基本 Cookie”的拒绝按钮。2023 年 7 月 13 日,CNIL 的限制委员会裁定 Google 已遵守禁令并终止了该程序。
要做什么:由于 CNIL 继续成为 Cookie 实践的主要执行者,因此组织(尤其是处理法国个人的个人数据的组织)可能希望根据 CNIL 的最新期望(包括其关于该主题的指导)审查其当前的做法。
EDPB 第 65 条决议导致爱尔兰 DPC 对 TikTok 因处理儿童数据不当而处以 3.45 亿欧元罚款
发生了什么:EDPB 发布了具有约束力的决定,以解决有关 DPA 之间就爱尔兰 DPC 的调查 TikTok 处理 13 至 17 岁用户个人数据的决定草案产生的分歧。特别是,DPC 调查了 TikTok 是否未能确保其年龄验证流程充分保护儿童的隐私。其他欧洲 DPA 提出了异议,理由是:(i) 年龄验证的设计是否侵犯了数据保护;(ii) 某些设计实践是否侵犯了公平原则。
9 月 15 日,爱尔兰 DPC 宣布了 3.45 亿欧元的罚款,我们将在下个月的博客文章中对此进行分析。TikTok 还于 2023 年 4 月因非法处理 13 岁以下儿童的数据而被英国 ICO罚款1270 万英镑,这是 ICO 有史以来最大的罚款之一。
要做什么:企业在处理儿童数据时应特别注意确保合规性,尤其是:(i)年龄验证和父母同意收集机制;(ii)隐私声明和儿童数据收集的透明度和充分性;以及(iii)为特殊数据处理活动建立合法基础的任何必要评估。
英国 ICO 和 CMA 就网络欺诈行为发布联合立场文件
事件经过:英国信息专员办公室 (ICO) 和竞争与市场管理局 (CMA)联合发布了一份关于数字市场有害设计的立场文件,阐述了他们对在线架构选择如何破坏消费者对个人信息的选择和控制的看法。该文件强调了消费者有能力对其数据进行有意义的选择和控制的重要性,以及拥有数字业务的公司和用户体验设计师可以采取哪些实际方法避免潜在的有害做法,以提供关于个人数据处理的选择——尤其是“有害的推动和污蔑”、“确认羞辱”、“偏见框架”、“捆绑同意”和“默认设置”。
该怎么办:拥有网络业务的企业可能希望根据报告提供的可行步骤,审查其界面是否存在当局指出的潜在有害策略,此外还要审查英国 ICO 对暗黑模式的其他相关评论,以及《欧盟数字服务法》 对一系列涵盖的“暗黑模式”做法的编纂。
