編譯 | 唐海林、韓嘉藝、陸梅

審校 | 張金平、張奕欣、邢瀟

指導編制 | 卓子寒

1.美國衛生與公眾服務部民權辦公室宣布與中央佛羅里達健康專家公司達成2萬美元和解

2022年12月15日，美國衛生與公眾服務部（HHS）下屬部門民權辦公室（OCR）宣布已經與中央佛羅里達健康專家公司達成和解。根據1996年《健康保險流通和責任法》（HIPAA）隱私與安全規則的相關規定，該公司向OCR支付2萬美元，并采取糾正行動計劃（CAP）。OCR指出，對健康專家公司的調查源于對個人數據訪問權的投訴。該投訴者是已故病人的親屬，據稱盡管她多次提出要求，但健康專家公司仍未能及時向她提供所需醫療記錄。經調查，OCR發現，健康專家公司違反了HIPAA訪問權標準，該標準要求相關方在收到訪問請求后30天內（特殊情況可以延長到60天）對訪問請求采取行動。因此，健康專家公司同意支付2萬美元作為和解金，并承諾開展CAP，包括制定和維護符合管理個人可識別健康信息隱私的聯邦標準的政策和程序，以及在上述政策和程序獲得批準后60天內，向HHS提供所有員工的培訓材料。

https://www.dataguidance.com/news/usa-ocr-announces-20000-settlement-health-specialists

2.英國和迪拜國際金融中心就深化數據伙伴關系發表聯合聲明

2022年12月15日，英國數字、文化、媒體和體育部和迪拜國際金融中心（DIFC）共同發布了一份關于深化英國政府與DIFC數據伙伴關系的聯合聲明。該聲明稱英國和DIFC的合作取得了重大進展，他們在評估雙方數據保護方面的法律和實踐達到高標準后，擬建立個人數據自由安全流動框架的做法獲得了阿拉伯聯合酋長國政府的回復。此外，聯合聲明還提到了迪拜最近發布的《公共機構個人數據共享總統指令》，該指令規定了DIFC向公共機構提供個人數據的要求。聯合聲明強調，英國和DIFC將同其戰略合作伙伴，以及各行業民間利益相關者一起，在全球更多領域開展合作，例如共同舉辦全球跨境隱私規則論壇。

https://www.dataguidance.com/news/international-uk-and-difc-issue-joint-statement

3.加拿大不列顛哥倫比亞省信息和隱私專員辦公室發布健康信息系統調查報告

2022年12月15日，加拿大不列顛哥倫比亞省信息和隱私專員辦公室（OIPC）發布了省公共衛生信息系統安全和隱私漏洞調查結果報告。OIPC發現該系統中存在以下漏洞：（1）缺乏對可疑活動的主動審計；（2）沒有用于管理應用程序漏洞的持續程序；（3）沒有在數據庫休眠時對數據庫內的個人信息加密；（4）缺乏對訪問系統的多重身份驗證的普遍要求。鑒于上述情況，OIPC建議省衛生服務管理局采取下列措施：（1）獲取、配置和部署針對隱私的主動審查系統；（2）通過多因素身份認證解決方案；（3）以及在數據庫休眠時對數據庫內的個人信息進行加密。

https://www.dataguidance.com/news/british-columbia-oipc-publishes-report-findings

4.歐盟委員會、議會和理事會共同簽署《歐洲數字權利和原則宣言》

2022年12月15日，歐盟委員會、歐洲議會和歐洲理事會的主席們共同簽署了《歐洲數字權利和原則宣言》（下稱《宣言》）。《宣言》由歐盟委員會于2022年1月提出，旨在支持2030年數字指南針目標。《宣言》表明了歐盟致力于安全和可持續的數字化轉型并將個人權利置于中心，指導政策制定者和公司應對新技術，甚至意圖引導全球數字化轉型。作為提高安全性和賦權的一部分，《宣言》致力于隱私和個人對數據的控制，強調每個人都有隱私權和個人數據保護權，后者包括個人對其個人數據的使用方式和共享對象的控制。此外，《宣言》規定，每個人都有權對其通信和電子設備上的信息保密，并不受非法在線監視、非法追蹤或攔截措施的影響。每個人都應該能夠確定自己的數字遺產，并決定自己的個人賬戶和信息在去世后會發生什么。最后，歐盟委員會表示它將持續監測進展情況，在數字生活的所有領域促進和實施這些原則，并實現2030年數字指南針的目標，并通過年度“數字十年狀況”報告進行展示。

https://www.dataguidance.com/news/eu-commission-parliament-and-council-sign-european

5.以色列隱私保護局提出數字資產管理中的隱私保護建議

2022年12月15日，以色列隱私保護局（PPA）聲明參與起草了以色列財政部發布的《以色列數字資產監管報告》，并對數字資產監管中的隱私保護提出建議。PPA稱數字資產在為經濟增長提供機會的同時，也給消費者和投資者帶來了巨大的風險。具體而言，在數字資產管理過程中，管理者遵守反洗錢法及稅法規定的報告義務可能侵害客戶的個人隱私。為幫助政府應對與數字資產有關的風險和機遇，PPA建議數字資產管理者采取適當的風險管理措施和監管措施，包括采用數字國家貨幣特定發行模式和執行隱私增強機制；同時采用兩級區分模式，即在以色列中央銀行和私人中介之間進行劃分，由后者向消費者提供服務，盡量減少對隱私的損害。https://www.dataguidance.com/news/israel-ppa-publishes-report-regulation-digital-assets

6.英國數字化、文化、媒體和體育部國務大臣重申《在線安全法案》中的兒童保護措施

2022年12月16日，英國數字、文化、媒體和體育部（DCMS）國務大臣米歇爾·多內蘭致信全國的父母、護理人員和監護人，重點介紹了《在線安全法案》中保護兒童在線安全的關鍵措施，包括：刪除兒童性虐待和恐怖主義內容，禁止兒童訪問涉及網絡暴力和色情內容的網站，要求平臺執行年齡限制措施和年齡檢查措施來保護兒童免受不當內容的侵害等。這些措施將有助于保護兒童并追究社交媒體公司的責任，同時也讓用戶在互聯網擁有更大的發言權。信中特別指出，平臺將對其網站上的內容承擔法律責任，他們必須保護用戶，否則將面臨數十億英鎊的罰款，甚至其網站在英國可能會被屏蔽。

https://www.dataguidance.com/news/uk-dcms-secretary-state-highlights-child-protection

7.弗吉尼亞州總檢察長呼吁蘋果和谷歌糾正應用商店中TikTok的年齡評級

2022年12月16日，弗吉尼亞州總檢察長（AG）杰森·米亞雷斯宣布與其他十四個州的總檢察長一起呼吁蘋果公司和谷歌公司立即采取行動，在年底前糾正其應用程序商店對短視頻社交平臺TikTok的年齡評級。總檢察長已向這兩家公司的首席執行官發出信函，指出其應用程序商店對TikTok的評級存在欺騙性，例如蘋果應用商店上允許TikTok顯示其符合12+年齡評級，但實際上TikTok顯示的實際內容應當納入到17+年齡評級。如果這兩家公司未能糾正評級，各州將對這兩家公司允許TikTok實施虛假陳述的行為保留采取法律行動的權力，包括訴訟和民事處罰。

https://www.dataguidance.com/news/virginia-ag-calls-apple-and-google-correct-age-ratings

8.美國國家情報局局長辦公室發布關于歐盟-美國數據隱私框架補救措施的實施指令

2022年12月16日，美國國家情報局局長辦公室（ODNI）發布了一項關于實施《歐盟-美國數據隱私框架》信號情報補救機制的指令。ODNI稱，該指令旨在管理某些信號情報活動的補救投訴的處理，并簡要介紹了一些符合條件州的公共機構可以通過何種程序傳送投訴以及ODNI公民自由保護官在特定投訴中的作用。該指令授權并規定了ODNI公民自由保護官員應調查、審查并在必要時下令對涉及投訴的違規行為進行適當補救的程序，還規定了有關公共機構應當在符合相關保密要求的前提下向投訴人傳達調查結論，并向美國數據保護審查法院提供必要支持。

https://iapp.org/news/a/odni-issues-implementation-directive-on-eu-us-data-privacy-framework-redress/

9.美國參議員要求聯邦貿易委員會調查Neustar公司向政府機構出售數據的行為

2022年12月16日，美國俄勒岡州參議員要求美國聯邦貿易委員會（FTC）調查互聯網基礎設施公司Neustar，并稱該公司向聯邦政府出售網民上網記錄時侵犯了數百萬人的隱私權。參議員要求調查這家公司是否告知消費者有關出售其敏感信息（網絡習慣）的信息。因大多數信息被分享的人都不知道自己與Neustar有過互動，這些數據主要是從Neustar向互聯網服務提供商提供的域名查找服務中獲得的。參議員稱，盡管Neustar的隱私政策顯示它可能會與其他人共享信息，但這些數據的直接出售（記錄顯示價值數百萬美元）會將一些用戶信息送往其他地方，這種行為應該進行披露。此外，如果Neustar在收購VeriSign的DNS業務后也出售了從VeriSign獲得的數據，那么情況會更糟，因為VeriSign向其客戶保證，它永遠不會分享他們的信息。參議員表示，根據FTC此前的案例，收購公司不能在未經通知的情況下更改被收購者此前作出的隱私承諾。如果Neustar沒有采取足夠的措施來提醒消費者它不再遵守這些承諾，那么該商業行為可能違反《聯邦貿易委員會法》。

https://reclaimthenet.org/wyden-investigate-neustar-privacy-government/

10.賓夕法尼亞州總檢察長與Herff Jones公司達成10萬美元和解

2022年12月16日，賓夕法尼亞州總檢察長（AG）宣布，他們已與Herff

Jones公司達成10萬美元的和解。經調查顯示，該公司未能在保護消費者的支付卡信息方面采取合理的數據安全措施，不符合支付卡行業數據安全標準（PCIDSS）的要求。和解協議要求Herff Jones維持下列旨在保護消費者個人信息的合理安全政策：一是指定員工協調和監督信息安全計劃；二是對存儲個人信息的網絡進行年度安全風險評估；三是進行年度員工培訓；四是設計和實施保護個人信息的合理安全措施，例如對其網絡進行滲透測試并實施合理的訪問控制；五是Herff

Jones必須遵守PCIDSS，并通過聘請一名合格的安全評估員來驗證合規性，該評估員將負責評估并提交合規證明。

https://www.dataguidance.com/news/pennsylvania-ag-reaches-100000-settlement-herff-jones

11. 澳大利亞競爭與消費者委員會對ING銀行罰款53280澳元

2022年12月16日，澳大利亞競爭與消費者委員會（ACCC）宣布對ING銀行違反和澳大利亞《消費者法》處以53280澳元的罰款。ACCC表示，ING銀行未履行任何數據共享義務，違反了消費者數據權（CDR）規則。此外，ACCC還發現，ING銀行違反了《消費者法》，在其網站上發布虛假或誤導性陳述，宣稱其網站是一個可供客戶共享數據的可靠系統，但事實并非如此。

https://www.dataguidance.com/news/australia-accc-fines-ing-bank-aud%C2%A053280-breaches-cdr

12.美國法官駁回Meta公司提出的3750萬美元和解請求

2022年12月19日，美國加州北區地方法院法官駁回了Meta公司提出的一項價值3750萬美元的隱私訴訟和解請求。法官指出，駁回和解請求有幾個考慮，包括擔心和解金額不合理，以及律師沒有提供足夠的信息說明他們如何確定7000萬人有資格提出索賠。經調查，Meta收集用戶的IP地址，泄露了有關位置的信息，違反了先前的隱私政策。Meta律師估計，大約有7000萬人有資格提出索賠，并且大約有100萬人會這樣做。而律師在8月份提交的動議文件中表示，7000萬人的數字受到一定的限制，因為Meta無法用可用數據確定集體訴訟成員人員。因此，律師們必須在2023年2月15日之前修改提案。

https://iapp.org/news/a/judge-denies-metas-proposed-37-5m-location-privacy-settlement/

13.歐盟監察員認為歐盟委員會對愛爾蘭數據保護委員會處理案件的監督“適當”

2022年12月20日，歐盟監察員結束了有關歐盟委員會監督愛爾蘭GDPR實施情況的調查，認為歐盟委員會每兩個月從愛爾蘭數據保護委員會處獲取一次關于其處理“大型科技”案件（包括跨境案件）概覽的做法是恰當的，能夠達到良好的監督效果。如果沒有這項措施，監察員會對歐盟委員會所依賴的信息是否充分產生嚴重懷疑。監察員還就如何改進雙月概覽程序提出了一系列建議，如在下一份關于GDPR實施情況的報告中，應盡可能多地提供非機密信息。

https://iapp.org/news/a/eu-ombudsman-finds-commissions-monitoring-of-dpc-cases-appropriate/

14.香港個人數據隱私專員公署發布環聯公司個人數據系統視察報告

2022年12月20日，香港個人資料私隱專員公署（PCPD）發布有關環聯公司個人數據系統的第R22-0684號視察報告。視察結果顯示，環聯在視察期間的個人信貸資料庫載有超過560萬名消費者的個人資料及信貸紀錄。整體來說，環聯重視保障其持有的個人資料，采取了良好的行事常規，其個人信貸資料系統的保安措施符合國際標準。此外，私隱專員希望通過視察結果，向日常需要處理大量客戶個人資料的機構作出下述建議︰一是設立個人資料私隱管理系統及委任專責人員作為保障資料主任；二是制訂地區性政策；三是履行企業社會責任及致力加強保障客戶個人資料私隱；四是監控個人資料的查閱情況；五是審慎聘任及管理資料處理者。

https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20221220.html

15.英國信息專員辦公室回應有關《數據保護和新聞業務守則》草案的評論

2022年12月21日，英國信息專員辦公室（ICO）發布信息專員約翰·愛德華的博客，回應了有關《數據保護和新聞業務守則》草案的評論。愛德華指出，由于萊文森調查（編者注：2011年卡梅倫政府啟動的，由大法官布萊恩·萊文森領導的對報紙行業的調查）和公眾對記者超越法律行為的關注，英國議會決定將記者和新聞界納入數據保護法的管轄范圍，并責成ICO制定《數據保護和新聞業務守則》，以幫助媒體理解和履行其法定義務。愛德華強調，該守則沒有任何內容構成對新聞自由的限制。在就準則草案進行磋商后，該草案仍在審議中，ICO一直在與記者和媒體人士進行溝通，以了解數據的使用方式以及法律將如何適用于他們。

https://www.dataguidance.com/news/uk-ico-responds-criticism-draft-data-protection-and

16.新西蘭隱私專員辦公室對Mercury IT公司數據泄露行為發起調查

2022年12月21日，新西蘭隱私專員辦公室（OPC）宣布對提供電信服務的Mercury IT公司展開數據合規調查。OPC指出，新西蘭高等法院曾于2022年12月20日發布關于禁止任何人存儲、發布或訪問從Mercury IT受攻擊事件中所獲信息的禁令。高等法院稱Mercury IT持有的大部分信息已被加密且無法訪問，但受到攻擊的信息仍可能存在被攻擊人威脅和泄露的風險。

https://www.dataguidance.com/news/new-zealand-opc-initiates-investigation-mercury-it

17.愛爾蘭數據保護委員會對推特數據泄露行為發起調查

2022年12月23日，愛爾蘭數據保護委員會（DPC）宣布依法對推特非法泄露用戶數據的行為展開調查。據多家國際媒體報道稱，推特公司的用戶個人信息數據集被公布于互聯網上，這些數據集包含了全球約540萬推特用戶的個人數據，數據類型上涵蓋了數據主體的推特ID、電子郵件地址和電話號碼。DPC表示已就此次個人數據泄露事件詢問推特公司，并初步認為其已違反了GDPR的相關規定，且違反的情況可能仍在繼續。對此，推特方面表示此次數據泄露是生成數據集的源代碼漏洞所造成的。

https://www.dataguidance.com/news/ireland-dpc-launches-inquiry-twitter-unlawful

轉載請注明來源：關鍵基礎設施安全應急響應中心

“投稿聯系方式：010-82992251 sunzhonghao@cert.org.cn”