1. 欧洲数据保护委员会通过关于数据泄露示例的准则

2021年1月18日，欧洲数据保护委员会（EDPB）通过了关于数据泄露通知示例的准则。该准则旨在帮助数据控制 者确定如何处理数据泄露，以及在风险评估时需要考虑哪些因素。该准则涵盖了被国家监管机构（SA）视为最常见的数据泄露通知案例的清单，例如勒索软件攻击、数据泄露攻击；以及设备和纸质文件的丢失或被盗。该准则针对每个案例类别提供了最典型的良好实践或不良做法，给出了关于如何识别和评估风险的建议，强调了需要特别考虑的因素，并告知 数据控制着在哪种情况下应向监管机构和（或）数据主体通报。该准则将进行为期六周的公开征求意见。

2. 欧洲新版标准合同条款最新进展

2021年1月15日，欧洲数据保护委员会（EDPB）和欧洲数据保护监督员（EDPS）对新版数据传输合同条款（SCCs）发布了联合意见。

新版数据传输合同条款（SCCs）于2020年11月发布，分为两套，一套适用于欧洲经济区内部数据控制者和数据处理者之间的数据传输，另一套适用于将欧洲的个人数据传输至第三国。新版数据传输合同条款经欧盟委员会确认通过后，将取代现有SCCs。现有SCCs是根据1995年《数据保护指令》起草的，适用于欧洲经济区和欧洲经济区之外未被认定具备“充分数据保护水平”地区之间的个人数据传输，但欧盟《通用数据保护条例》生效后，SCCs未立刻更新，直至2020年11月。

15日EDPB和EDPS发布的联合声明对新版SCCs给予了肯定，但也提出了修改建议，包括：1）增加“衔接条款”以明确两套合同条款文件之间如何衔接，从而允许更多实体加入SCCs；2）进一步明确SCCs的适用范围；3）进一步明确某些第三方受益权；4）进一步明确数据中转传输相关的义务；5）进一步明确关于第三方国家政府获取公共数据相关法律要求的评估；6）进一步明确对监管机构通报的相关要求。

此外，EDPB主席表示，如果当前的SCCs文本在欧盟委员会通过，则新版SCCs有必要与此前EDPB发布的“补充措施”一同使用，以确保个人数据得到充分保护。

3. 欧盟就“云服务网络安全认证计划”草案征求意见

2020年12月22日，欧盟网络安全机构（ENISA）在官网发布“云服务网络安全认证计划（EUCS）”草案，开始面向公众征求意见，至2021年2月7日截止。

EUCS草案要点如下：

·基于自愿性参与；

·认证证书在欧盟范围内通用；

·适用于从基础设施到应用服务等各种云服务；

·将云安全级别分为“基础”、“重要”和“高”三个等级；

·包含对云服务提供商的透明度要求，如披露数据处理和存储地点以及适用法律等；

·认证证书初始有效期最长为三年，但此期间已获认证的云服务需接受至多一年一次的合格评定。

4. 美联邦贸易委员会审查科技巨头数据处理合规情况

BBC网站12月15日消息，美国联邦贸易委员会（FTC）已下令，要求亚马逊、Facebook和TikTok等9家科技企业就如何进行数据处理提交相关信息，以此对消费者隐私保护情况进行审查。FTC要求企业提供的信息包括：平台如何收集、使用、跟踪或评估个人和人口群体的信息；公司如何确定向用户显示何种广告和内容；是否针对个人信息使用算法或数据分析；隐私策略对儿童和青少年产生何种影响等。

5. 意大利反垄断监管机构对TikTok发起诉讼

Digital Watch 12月22日消息，意大利反垄断监管机构Garante以侵犯隐私权（尤其是未成年人的隐私权）为由而对TikTok发起了正式诉讼。Garante在一份声明中提到，其调查发现TikTok禁止13岁以下儿童登记注册的禁令很容易被规避，并且用户须知信息过于笼统，缺乏对儿童的针对性。TikTok还被指控在数据保存的时长和目的性、匿名方法的使用以及发送给非欧盟国家的数据所面临的后续用途等方面不够明确。TikTok有30天的时间提交意见。

6. 欧盟《通用数据保护条例》罚款激增

2021年1月19日《金融时报》消息，自2018年5月《通用数据保护条例（GDPR）》实施以来，共计开出了2.72 亿欧元的罚单。其中，超过半数由意大利和德国开出；1.59 亿欧元是过去12个月内开出的，与GDPR生效后头20个月相比增加了近40%。

迄今为止，依据GDPR开出的最大罚单，是2019年法国数据保护机构国家信息与自由委员会（CNIL）对谷歌开出的5000万欧元罚单，理由是谷歌未能就如何使用数据保持透明，且其个性化广告缺乏法律依据。其他受到巨额罚款的行业包括零售业、酒店业和石油行业。

同时，德国和荷兰监管机构收到的数据泄露通知（notifications）数量最多，过去一年共121165次，同比增加了近20%。

全国信息安全标准化技术委员会（TC260）秘书处

     电子标准院     上官晓丽       刘畅