企业合规风险预警信息（七）

　　域外动态

　　一、美国特拉华州议会通过消费者数据隐私法案

　　【预警资讯】

　　7月1日，美国特拉华州议会投票通过了一项隐私法案（HB154），法案待特拉华州州长签署后将正式通过，预计将于2025年1月1日生效。该法案将约束两类在特拉华州经营的企业：一是控制或处理超过35,000名消费者个人数据的企业，二是控制或处理超过10,000名消费者个人数据，并从中获得其总收入20%的企业。（资讯来源：美国特拉华州议会）

　　【预警提示】

　　建议涉及在美国特拉华州开展业务的企业，应持续关注法案的立法进程，识别判断是否受法案的约束，并适时开展相应数据合规管理工作。一是对收集个人信息实行分类管理。涉及处理敏感个人数据的，应在收集该数据前获得消费者的明确同意；涉及处理非敏感个人数据的，应在遵循必要、合法、目的限制的原则前提下收集该数据；二是建立健全消费者隐私政策。依照法案的明确要求，在收集处理消费者个人数据前，向相关消费者提供合理的、清晰的隐私通知，内容包括所处理的个人数据类别、处理目的、消费者如何行使其权利、控制者与第三方共享的个人数据类别等；三是完善数据处理活动的管控流程。制定与维护数据流清单，梳理所有数据处理活动的实际应用场景，将应用场景对应的合规要求嵌入到产品业务的全过程中。例如：企业为提供个人性化广告推荐服务而处理个人数据，应当开展事前的数据保护评估（DPA），并向消费者提供退出推荐服务的明显标志与选项。

　　二、欧盟法院认可德国反垄断执法机构有权审查数据侵权行为

　　【预警资讯】

　　7月4日，欧盟法院（CJEU）裁定，德国联邦卡特尔办公室（反垄断执法机构）在2019年命令Meta公司彻底改革其追踪用户互联网浏览和智能手机应用的方式时，并没有逾越其权力。判决中欧盟法院认为，成员国反垄断执法机构在调查科技公司是否通过排挤竞争对手而滥用其市场支配地位时，可以审查任何违反数据隐私规则的行为。（资讯来源：欧盟法院）

　　【预警提示】

　　在欧盟或向欧盟用户提供产品或服务而开展数据处理活动的企业，应重视欧盟《通用数据保护条例》的合规要求，强化数据（个人数据）合规管理。一是严格落实“告知-同意”规则的实施。当一款产品涉及提供多种业务功能时，应区分产品或服务的业务功能，不采用捆绑方式强迫个人一次性同意多种业务功能可能收集的个人数据或多个处理活动；同时确保个人拒绝同意时，不影响与该个人数据无关的业务功能的正常使用；二是事前开展针对数据融合业务的风险评估。对于将不同渠道和方式获得的数据进行融合与二次利用的工作，应要求业务部门协同合规管理岗位人员及其他相关方，开展事前的个人数据保护影响评估，并采取相应保护措施，例如：数据融合的处理目的超过与原来收集个人信息时所声称的目的，应当再次取得个人的明示同意；三是加强数据合规专项培训与宣贯。针对产品开发、产品运营、市场营销等关键业务岗位人员，开展场景化的数据合规培训，提高相关人员对数据处理活动的合规风险识别能力与意识，切实履行作为合规管理“第一道防线”的职责。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。