来源：网络法治国际中心

北京师范大学网络法治国际中心

数据治理全球系列

01

视频监控员工违反GDPR！德国一公司被罚1040万欧元

德国知名电商巨头Notebooksbilliger.deAG（以下简称“NBB”）在工作场所、仓库和公共区域安装摄像头，对其员工进行了为期至少两年的视频监控。1月8日，德国下萨克森州数据保护局（LfD Niedersachsen，以下简称“数据保护局”）以违反《通用数据保护条例》(GDPR)为由，对NBB处以1040万欧元的罚款。

据《德国联邦数据保护法》（BDSG）第26条的规定，雇员在从事专业活动时，有权不受雇主持续的工作和绩效控制。只有在对特定犯罪行为有合理怀疑的情况下，才能对特定雇员进行监控。

对于处罚结果，NBB辩称，安装摄像机的目的是防止和调查犯罪行为，跟踪仓库中的货物流向。数据保护局指出，即便如此，公司也应该首先采取更为“温和”的手段，如：在员工离开营业场所时，随机检查行李等。除非是对特定人员有合理怀疑的情况下，才可以在有限的时间内，使用摄像机进行监控。

数据保护局强调，NBB的视频监控既不限于特定的时间段，也不限于特定的员工。另外，这些监控记录往往被保存了60天，远超出了必要保存期限。还有一些摄像机安装在了销售区域，导致其客户也受到视频监控的影响。

数据保护官Barbara Thiel称，公司方需要了解，如此密集的视频监控，正在严重侵犯员工的权利。同时，员工也不必因为雇主对员工的普遍怀疑，就放弃个人权利。

此外，数据保护局指出，此次对NBB开出的罚款为GDPR生效以来，对此类违法行为处罚的最高金额。

来源：南方都市报

02

EDPB和EDPS通过关于新SCCs的联合意见

1月15日，EDPB和EDPS已就两套合同条款（SCCs）达成联合意见。一份是关于控制者和处理者之间合同的SCCs的意见，另一份是关于将个人数据转移到第三国的SCCs的意见。

控制者和处理者SCC将在整个欧盟范围内发挥作用，旨在确保控制者与其处理者之间的合同在整个欧盟范围内完全协调一致并具有法律确定性。

为使文本更加明确，并确保其在控制者和处理者日常工作中实际发挥作用，进行了若干修正。其中包括两份文件之间的相互作用、允许其他实体加入SCCs的所谓“对接条款”以及与处理者义务有关的其他方面。此外，EDPB和EDPS建议SCCs的附件尽可能明确各方在每次处理活动中的角色和责任——任何模糊之处都会使控制者或处理者难以履行其在问责原则下的义务。

根据GDPR第46(2)(c)条将个人数据转移到第三国的SCCs草案将取代现行国际转移的SCCs。现行国际转移的SCCs依据指令95/46通过，并需要更新以符合GDPR的要求。SCCs草案也要考虑欧盟法院“Schrems II”的判决，以及更好地反映涉及多个数据输入者和输出者的、最新且更复杂的处理过程的广泛使用。

特别地，新SCCs包括更具体的保障措施，以防目的地国家的法律影响到对条款的遵守，尤其是在公共当局提出具有约束力的披露个人数据的要求的情况下。

来源：EDPB官网

03

欧洲药品管理局宣布辉瑞新冠疫苗数据泄露

欧洲药品管理局（EMA）1月12日宣布，黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。“正在进行的对EMA的网络攻击的调查显示，一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露，”EMA在一份声明中报道。“执法部门正在采取必要的行动。”

最新情况是在辉瑞-BioNTech以及Moderna都表示，EMA已经通知这些公司，一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。

EMA总部设在阿姆斯特丹，是欧盟的一个主管卫生健康的机构，负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗，并在本月早些时候批准了Moderna COVID-19疫苗。

“该机构继续全力支持对数据泄露事件的刑事调查，并通知任何其他实体和个人，他们的文件和个人数据可能已经受到未经授权的访问，”该机构写道。

“该机构和欧洲药品监管网络仍在充分运作，与COVID-19药品和疫苗的评估和批准相关的时间表不受影响，”EMA指出。

EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者，同时美国和世界各地的医院也成为勒索软件攻击的受害者，在某些情况下对服务产生了负面影响。

来源：cnBeta

04

韩国一年内第三次修订《个人信息保护法》

2021年1月，韩国个人信息保护委员会向社会公众发布了《个人信息保护法（修正案草案）》。回顾这一年，韩国频频修订《个人信息保护法》，足见韩国对于个人信息保护问题的高度重视。这是因为，韩国在跨境数据流动领域有着天然的需求，作为战后经济急速发展的代表国之一，对外开放与贸易需要数据资源的不断流转。韩国在加入APEC跨境隐私规则体系（CBPR）之后，便开始进行欧盟充分性认定审查申请程序。不过，欧盟认为韩国的个人信息保护监督机构并不充分独立，《个人信息保护法》也不完善，两次中断了审查程序。韩国为了确保能够通过欧盟的审查，对韩国个人信息保护三大立法进行修订。

2020年2月4日，韩国对《信息通信网络的利用促进与信息保护等相关法》《个人信息保护法》《信用信息的利用与保护法》等个人信息保护相关法律作出大范围修订。不过，仅仅过了1个月，韩国又再一次修订了《个人信息保护法》，新增化名处理方式，进一步完善个人信息保护委员会的机构设置，加强其作为个人信息保护控制塔的功能，明确对与信息和通信服务提供商的个人信息处理等有关的特殊情况适用该法的特殊规定。

然而，韩国个人信息保护委员会仍认为《个人信息保护法》存在一些问题，需要加强在数字经济大的背景下公民可能被削弱的个人信息权利。同时，积极响应新技术新应用带来的个人信息保护新型挑战。为此，韩国拟再次修订《个人信息保护法》。

来源：信通院互联网法律研究中心

05

浙江成立App用户信息保护专业委员会 直播类成今年检测重点

1月11日，浙江省App个人信息保护监管会议在线上召开。会上，浙江省互联网协会秘书长、浙江省通信管理局网络安全管理处处长余建军公布了我的汤姆猫、单机斗地主等310款App主要存在的问题。他还透露，在线交易平台、网络直播、网络游戏类App将成为2021年的检测重点。

据余建军介绍，2020年浙江省通管局全年累计检测1200余款App，共发现241家互联网企业的310款 App存在问题。App存在的问题包括：无隐私政策、未经用户同意收集使用个人信息、未明示收集使用个人信息的目的、方式和范围、未经同意向他人提供个人信息、未按法律规定提供删除或更正，个人信息功能、未公布投诉举报方式等信息。第三方SDK问题也是2020年备受关注的焦点。此外，“欺骗诱导用户下载App”的行为也是App检测中的“扣分项”。

浙江省作为“互联网”大省，有众多电信和互联网企业，App的种类数量和下载量都位于全国前列。在去年工信部通报的444款存在问题的App中，浙江省占比7.21%；91款下架的App中，浙江省占比11%。

据悉，2021年App侵害用户权益保护检查将覆盖浙江省7000多家增值电信企业，并明确，在线交易平台、网络直播、网络游戏类将成为今年检测重点。

会上，App用户信息保护专业委员会正式成立。阿里巴巴、网易等20余家企业做出合规经营承诺，面向全省企业发出共同做好App个人信息保护的公开倡议。

此外，省内100余家互联网企业共同签署《浙江省App个人信息保护自律公约》，承诺自觉遵守部省两级监管要求，自觉维护用户合法权益。

来源：南方都市报

06

智借网络科技卖个人信息被罚320万 买方包括平安普惠

1月12日，中国裁判文书网公布了《北京智借网络科技有限公司、贤俊江等侵犯公民个人信息罪一审刑事判决书》，智借网络法人代表贤俊江、以及技术负责人赵奇英等人因侵犯公民个人信息罪被判刑。判决书显示，拍拍贷、你我贷、平安普惠等公司都是智借网络客户，从其购买包含姓名、身份证号、手机号等信息的公民个人信息。

经审理查明，2016年9月20日，贤俊江成立智借网络并担任法定代表人，从事贷款超市等业务。2018年1月至2019年7月间，贤俊江与赵奇英（技术部负责人）及齐豹（另案处理）等人共同商议孵化“一键贷”项目，并安排赵奇英负责“一键贷”项目技术开发与支持，后于2018年3月招募盛秋实作为“一键贷”项目负责人负责业务、商务及运营，于2018年7月招募王梦灿作为“一键贷”项目商务经理负责商务。

贤俊江、赵奇英、盛秋实、王梦灿等人明知公司没有贷款资质，仍编辑“一键贷”贷款申请页面投放网络，诱骗被害人申请注册，收集被害人个人信息。并且在未取得被害人授权情况下，通过API接口传输的方式，向下游多家不特定信息服务公司出售包含姓名、身份证号、手机号等信息的公民个人信息，销售金额共计人民币316.96万元。

江苏省仪征市人民法院认为，智借网络以及贤俊江、赵奇英等人违反国家有关规定，向他人出售公民个人信息，情节特别严重，其行为均已构成侵犯公民个人信息罪，依法应当予以惩处。最终智借网络被判处罚金320万元，贤俊江被判处三年有期徒刑，缓刑三年，赵奇英被判处一年六个月有期徒刑，缓刑二年。

来源：新浪科技

图文编辑：北京师范大学 仲瑶