跳转到主要内容

【中国PIPL】中国:SCC及其实施

自《个人信息保护法》(“PIPL”)于2021 11月1日生效以来,PIPL第38条提及的跨境数据传输标准合同条款(“SCC”)一直悬而未决。这使公司处于一个非常棘手的境地,在没有SCC的情况下,他们有法定义务遵守SCC。幸运的是,这种情况很快就会改变。2022年6月30日,中国网络空间管理局(“CAC”)向公众提交了PIPL1下SCC规定格式的草案。公众评论的截止日期为2022年7月29日,这意味着SCC很可能很快正式推出。Taylor Wessing LLP的Michael Tan博士、Julian Sun和Kyle Tong讨论了SCC草案及其重要性。

使用范围

SCC附带了一套关于如何使用SCC的规则,即个人信息出口标准合同条款草案(“条款草案”)。条款草案明确提到了《个人信息保护法》第38条,这意味着SCC只能用于此类法律下的个人信息保护。根据《规定草案》第4条,如果满足以下前提条件,SCC可作为国内公司在中国境外传输个人信息的法律依据:

【美国隐私保护】纽约:新法律规定了雇主对电子监控通知的要求

2021 11月8日,纽约州州长凯西·霍彻尔(Kathy Hochul)将参议院法案(“SB”)2628签署成为法律,该法案要求每个私营部门雇主在雇佣时向所有员工提供其电子监控做法的通知,并附上书面或电子员工确认书,更一般地说,在所有员工都能看到的“显眼位置”。自那时起,该法律于2022年5月7日生效。荷兰骑士律师事务所的Mark Francis和Sophie Kletzien总结了SB 2628的主要条款和含义,同时与其他州的法律进行了比较。

SB 2628的通过

新法律适用于州内所有私人雇主,无论其规模或实体类型如何,并对员工互联网使用和通信(包括电话、短信和电子邮件)进行监控。书面或电子形式的通知必须告知员工,任何和所有电话交谈、电子邮件通信以及互联网接入或使用可能“在任何时间和通过任何合法手段”受到监控。

该法律修订了《纽约综合法律》中的《民权法》,主要关注于保护员工的隐私权益,以及在新冠肺炎疫情爆发后已基本转向电子远程工作的员工。因此,新法律仅涵盖针对特定员工活动或通信的流程,不包括旨在管理传入或传出电子邮件、电话语音邮件或互联网使用的类型或数量,或仅为系统维护或安全目的而执行的活动。这种排除很重要,但考虑到使用监测工具实现多种目的的可能性,可能会产生一些灰色区域。

【巴西隐私保护】巴西:关于DPO的最新指南

巴西数据保护局(“ANPD”)的第一份指南(“指南”)涉及处理代理的定义和数据保护官员(“DPO”)的一般要求,发布近一年后,监管机构发布了更新版本,并进行了一些修改1,主要目的是澄清后者的作用。来自Fontes Tarso Ribeiro Advogados的Marcus Fontes、Bernardo JoséOliveira Araujo、Daniella Fernandes Ferrari、Beatriz Gomes Sampaio和Ana Paula Ferreira de Santana讨论了指南的更新版本以及巴西DPO的进一步预期发展。

关于处理代理,更新状态下的指南仅进行了少量修改,内容基本上与前一版本2相同。然而,相关更新涉及定义处理代理的流程图。该流程图主要用作区分单独控制器和联合控制器的视觉工具,代表了ANPD的一项出色举措,也是对巴西数据保护生态系统的一项受欢迎的贡献。

准则更新中引入的最重要修改是专门讨论DPO的章节,解决了前一版本准则提出的概念问题。此外,最新版本的指南确认,目前对DPO的注册没有监管要求,同时还提到了ANPD发布的其他法规,这些法规允许豁免为小企业和初创企业任命DPO。

【德国供应链】德国:供应链尽职调查法概述

随着对所有部门环境、社会和治理(“ESG”)的日益关注,要求企业遵守具体的人权和环境尽职调查义务,并受其法律约束。本文概述了将于2023年1月1日生效的《德国供应链尽职调查法》(“尽职调查法”),并讨论了其适用范围、定义和关键要求。

适用范围

《尽职调查法》适用于总部、主要营业地点、行政总部或注册办事处位于德国且通常雇用至少3000名员工的公司,无论其法律形式如何。值得注意的是,履行区域当局行政任务的实体被排除在《尽职调查法》之外,除非它们从事创业活动。

如上所述,对“通常”一词的解释需要对未来人员进行回顾和预测。考虑的期限应具有追溯性和前瞻性,并且必须足够长,以确保员工数量的短期波动不会影响《尽职调查法》的适用性。为此,员工数量的临时变化和相关波动不应对公司是否受尽职调查义务的约束产生任何影响。在这一点上,《尽职调查法》阐明,参考期的长短取决于具体情况,但应以财政年度为基础。

关于临时工,如果临时工的派遣期限超过六个月,则必须将其纳入雇员人数的计算中。ii在计算母公司员工人数时,还必须考虑《德国股份公司法》第15节定义的关联企业。

重要的是,从2024年1月1日起,雇佣员工的门槛将从3000人改为1000人。

【法国cookie墙】法国:cookie墙和付费墙的实用注意事项

网站运营商应注意,如果他们强迫访问者接受Cookie或付费访问,可能会触犯法律。法国数据保护局(“CNIL”)于2022年5月16日发布的关于网站cookie墙的最新指南为评估cookie walls的合法性提供了一些依据。Fox Rothschild LLP的GDPR合规与国际隐私合作伙伴兼主席奥迪亚·卡根(Odia Kagan)将该指南分解为网站运营商的实际步骤。

上下文

作为背景,cookie墙限制了互联网用户对其终端(如计算机或智能手机)上某些跟踪器的接受。如果用户拒绝Cookie,一些网站会要求金钱上的考虑:“付费墙”。

根据国家统计委员会的说法,对饼干墙的全面禁止是对同意自由的侵犯。它需要在个案基础上进行评估,这就是CNIL及其最新指南的意义所在。

注意事项

CNIL提供了一些有用的注意事项,以应对隐私法这一难题。

【DIFC】DIFC:查看数据保护法修正案

2020年5月21日,除《2020年数据保护条例》(“条例”)外,还颁布了《2020年第5号DIFC数据保护法》(“数据保护法”),于2020年7月1日生效,并于2020年10月1日起生效(统称为“DIFC立法”)。最近,在2022年3月8日,DIFC颁布了《DIFC法律修正法》,即20221年第2号DIFC法律(“修正法”),其中包括对若干DIFC法律的修正,包括《数据保护法》。本洞察文章概述了修订法颁布后数据保护法修订所带来的关键变化。

迪拜国际金融中心(“DIFC”)是阿联酋境内的一个金融自由区,阿联酋本身是由七个酋长国组成的联邦。作为金融自由区意味着阿联酋联邦民商法不适用,迪拜国际金融中心能够为所有民商事务创建自己的法律和监管框架。

《数据保护法》引入了各种要求,特别是使DIFC与欧盟的《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)更为一致。

值得注意的是,《数据保护法》的修正案反映了DIFC的承诺,即保持其在该地区隐私立法中的领先地位,并包括对个人司法补救程序和《数据保护法解释规则》的澄清,以及在请求访问被认为是无理取闹或重复的数据的情况下,加强对控制器和处理器的问责要求。

【美国员工监控】美国:键盘记录技术的员工监控和监管框架

为了应对新冠肺炎大流行,许多雇主将劳动力转移到远程工作。麦肯锡全球研究所(McKinsey Global Institute)的一份报告指出,这一趋势可能会继续下去,指出发达经济体多达25%的工人可能会继续每周在家工作三到五天,远远高于大流行前的水平1。随着这种混合工作模式变得越来越永久,雇主可能会寻求利用远程监控技术来提高远程员工的生产率,并确保远程员工能够访问组织的信息系统。

在这篇文章中,P.C.Epstein Becker&Green的Brian G.Cesaratto和Christopher Taylor讨论了击键记录作为雇主可能决定实施的技术之一,作为更广泛的远程员工监控/数据保护战略的一部分,以及雇主在使用该技术时应考虑的问题。

击键记录技术概述

顾名思义,键盘记录器监控并存储用户键盘上的每一次按键。虽然恶意行为者可以部署此类技术来过滤敏感数据,但雇主也可以出于合法的商业目的(例如网络安全或生产力),在雇员知情或不知情的情况下,有目的地将键盘记录器安装在雇主的计算机上。虽然该技术可以以多种方式部署,但两种常见的基于主机的键盘记录器包括基于API的键盘记录器和硬件键盘记录器。

【法国Cookie墙】法国:CNIL为cookie墙敞开大门-仔细审视新标准

法国数据保护局(“CNIL”)于2022年5月16日发布了其指南,概述了评估cookie墙合法性的标准,即互联网用户接受在其终端设备上存放cookie或类似跟踪技术的情况下限制访问服务的做法。特别是,该指南遵循了国务院2020年6月19日的决定,该决定认为CNIL不能像其在关于cookie和类似跟踪器的指南(“cookie指南”)的第一版中所预期的那样,全面禁止使用cookie墙,因此,在其最终有效版本中,一般不禁止此类做法。在这篇深入的文章中,我们将更仔细地研究CNIL制定的标准,同时也将指南定位在围绕cookie墙的复杂监管动态的更大背景下。

出身背景

如前所述,CNIL的新指南是在国家和欧盟层面上几个主要监管利益相关者编织的复杂监管拼凑的背景下制定的。多年来,Cookie墙一直是电子隐私监管的主要争议话题,其实施是否违反数据保护法下的同意自由这一关键原则是争论的焦点。

夹在EDPB和国务院之间?

欧洲普遍的监管方法是欧洲数据保护委员会(“EDPB”)在其关于2016/679号条例下同意的第05/2020号指南中目前倡导的方法,其中EDPB明确规定,“为了自由给予同意,对服务和功能的访问不得以用户同意存储信息或获取信息为条件(《指南》第39段)。

【日本APPI】日本:经修订的APPI下的假名化

《个人信息保护法》(2003年第57号法案,2015年修订)(“APPI”)的最新修正案于2020年推出(“2020年修正案”),于2022年4月1日生效。2020年修正为日本隐私法引入了新的“假名化”概念,并规定了如何处理此类信息。Baker McKenzie东京知识产权技术实践小组的Kensaku Takase和Hayato Higa概述了如何根据《应用程序保护法》使用假名信息,以及企业需要了解的规则,以保持遵守修正案。

上下文

虽然化名信息在其他司法管辖区作为一个概念存在,但根据2020年修正案处理化名信息的方式对日本来说是独特的,而且相当狭窄。本文概述了使用假名信息的各种好处。然而,存在重大限制,特别是假名信息只能用于企业内部目的,不能转让给第三方。因此,希望使用假名数据的企业需要仔细了解修订内容,以及他们允许和不允许的内容。

快速概述APPI下的个人信息类型

根据APPI,有几个与个人信息相关的关键术语,如个人信息、个人数据和敏感数据。此外,APPI规定了不同于个人信息的数据类型,包括匿名和假名信息。

【中国PIPL】中国:个人信息跨境处理认证规范

022年6月26日,中国国家信息安全标准化技术委员会发布了《个人信息跨境处理认证网络安全标准规范》(“规范”)指南。本规范为合法开展跨境数据处理活动的方法之一,即第三方认证提供了实施规则。该规范包含适用场景、获得认证的方式、基本原则、基本要求和保护数据主体权利的特殊要求。中伦律师事务所合伙人郑自清讨论了该规范及其内容。

性质和作用

本规范是推荐标准,而非强制性标准,因此,本规范下的要求不构成数据控制器或处理器的法定义务。本规范第3条还规定,自愿认证是获得认证的基本原则之一。

《个人信息保护法》(“PIPL”)第38条规定了五种跨境合法处理个人信息的方法,如下表所示。获得认证是一种方式。本规范旨在为可能参与该过程的机构和数据控制器/处理器提供认证指南。

Ways

Authority

Implementation rules

订阅