个保法 | 15个关键议题：2022域外个人信息保护年度报告

在个人信息保护领域，从美国首部联邦层面的综合性隐私立法ADPPA被提上日程，到爱尔兰DPC向Meta开出数亿欧元的罚单，2022年有许多具有里程碑意义的事件发生，这些事件所反映的趋势以及引发的讨论对于该领域的研究具有重要的参考价值。在这些重大事件之外，2022年的执法案件、司法案件以及监管机构的工作动态亦值得关注，其对于生物数据保护、员工数据保护等细分领域的研究同样具有参考价值。在对2022年域外个人信息保护资讯进行整理和筛选后，本文选取了15个关键词，以此为提纲回顾2022年域外个人信息保护领域的立法、执法、司法以及监管工作动态，并总结其中体现的趋势以及反映的问题。

印度的个人数据保护立法可谓一波三折，命途多舛。在2019年12月，印度电子和信息技术部（Ministry of Electronics and Information Technology，MeitY）将《2019个人数据保护法案》（Personal Data Protection Bill 2019，PDP Bill 2019）提交至印度议会，这份法案中包含了关于个人数据权利、敏感数据和关键数据的本地化存储、个人数据跨境传输限制、违法处理数据的刑事责任等条款。该法案草案在公布之初，便有包括Meta、Google在内的多家大型科技公司对法案过于严厉的规定表达担忧，亦不乏关于草案给予政府部门过多豁免的批评。在2021年12月，印度议会联合委员会（Joint Parliamentary Committee，JPC）在对该法案进行近两年的审议后，向印度议会提交了审议报告，提出了81项修改意见以及12项建议。随后，在2022年7月，MeitY部长Rajeev Chandrasekhar向媒体表示，政府仍然坚持推动PDP的出台，但法案的出台日期需要推迟几个月。然而，在2022年8月3日，印度政府表示，考虑到JPC的审议报告所提出的修改意见过多，以致于其是在构建一个全面的法律框架，印度政府决定撤回PDP Bill 2019，并将在随后提出一个符合JCP意见的新法案。印度政府的这一决定意味着印度个人数据保护立法的进程将再度延缓。

随后印度政府公布的新立法草案，则进一步体现了印度政府正在保护个人数据、促进数据流通利用以及促进本国初创企业发展之间寻求平衡。在9月26日，MeitY部长Rajeev Chandrasekhar在接受媒体采访时表示，印度的数据保护立法在数据跨境流动方面不会效仿GDPR，其认为“数据跨境流动是互联网的本质，数据保护法案所需要解决的应该是数据安全和个人数据权利问题，而非本地化存储与否的二元对立问题”。随后，在2022年11月18日，印度MeitY发布了《2022数字个人数据保护法案》（The Digital Personal Data Protection Bill, 2022）草案，新版的草案相较于PDP Bill 2019大幅放宽了对个人数据处理者的要求，删除了对数据本地化存储以及建立数据保护机构（Data Protection Authority，DPA）的条款，亦放宽了个人数据跨境传输的要求，并以罚款取代了此前对泄露个人数据的刑事处罚条款。此外，据媒体报道，为避免数据保护法规对初创企业带来过于沉重的合规负担，印度政府正考虑在该法案中增加豁免条款，令初创企业无需遵守该法案。下一步，印度的新个人数据保护立法能否达到兼顾保护与发展、流动与安全等目标，值得进一步追踪和关注。

2022年，欧盟法院Schrems II判决对个人数据跨境的影响仍在持续，并且波及的范围不断扩大。2020年7月16日，欧盟法院在Schrems II案中裁定欧美之间的“隐私盾”（Privacy Shield）协议无效，且即便数据控制者采用标准合同条款（Standard Contractual Clause，SCC）作为数据跨境传输的依据，同样需要确保接收方所在国提供“与欧盟同等的个人数据保护水平”，这一判决大幅提升了欧美之间个人数据跨境传输的门槛。在2022年，许多美国科技公司在欧盟境内提供的服务，便因为其涉及个人数据跨境传输而遭到欧盟成员国DPA的调查，其中部分DPA更是明令禁止这些服务的使用。以Google Analytics服务为例，在6月，法国国家信息与自由委员会（Commission nationale de l'informatique et des libertés，CNIL）发布了一份关于使用Google Analytics服务的问答，认定Google Analytics服务跨境传输欧盟个人数据是非法的，其理由是Google Analytics服务即便采用SCC作为跨境传输的合法性依据，其条款也不能够确保在外国政府要求获取欧盟个人数据时提供充分的保护。基于类似的理由，意大利Garante认定网站使用Google Analytics服务违反了GDPR关于个人数据跨境的规定，因此所有的意大利网站都应暂停使用Google Analytics服务，以避免个人数据通过该服务传输至美国。除了Google Analytics，微软的Office 365服务所涉及的个人数据跨境传输活动也成为了DPA关注的重点。在11月，德国数据保护机构Datenschutzkonferenz（DSK）发布了一份关于Microsoft Office 365的调查报告，该报告指出个人数据跨境传输是使用Office 365的前提条件，且微软公司需要访问未加密、未匿名化处理的数据才能够提供相应的服务，而微软公司至今仍未能实现个人的完全本地化存储或者实施充分的附加保障措施，因此其个人数据跨境活动并不符合GDPR的要求。随后，DSK决定更是禁止了Microsoft Office 365在德国学校的使用。在DPA对美欧间个人数据监管趋严的情况下，尽可能避免个人数据跨境传输或将成为企业最为保险的解决方案，例如数据本地化存储或数据匿名化。在12月，微软宣布其将从2023年1月1日其分阶段向欧盟的公共机构和商业用户推出“欧洲数据边界” （EU Data Boundary）服务，以确保用户的数据能够在欧盟境内得到存储和处理，减少个人数据跨境传输的需求和规模。此外，对于无法控制和避免个人数据跨境传输的Google Analytics服务，CNIL建议采用代理的方式打破该服务所收集的IP地址与具体个人的关联，同时删除其他可能识别到个人的信息，以确保对个人数据的有效匿名化。但无论是数据本地化存储还是有效的匿名化处理，其都对企业提出了较高的技术要求，且可能为企业带来高昂的成本。因此，在实践层面，美欧间的个人数据跨境活动可谓寸步难行，陷入一片黑暗之中。

然而，从政策层面来看，此种黑暗或只是“黎明前的黑暗”，拟议的美欧跨大西洋数据隐私框架（Trans-Atlantic Data Privacy Framework）或将成为打破这一黑暗的曙光。在2022年3月5日，美国政府与欧盟委员会共同宣布，其原则上同意建立一个新的跨大西洋数据隐私框架，以解决欧盟法院在Schrems II判决提出的关切，促进美欧之间的数据传输；该框架将强化在美国情报活动中对隐私的保护，具体措施包括制定新的保障措施以确保为维护国家安全而获取个人数据的相称性、对情报活动和监控活动实施更为严格的监督、建立独立的救济机制以保障个人的权利和自由。在10月，为履行美国政府在该隐私框架中作出的承诺，同时为欧盟通过新的数据保护充分性决定提供基础，美国总统拜登签署了一份行政命令，旨在履行美国政府在该隐私框架中作出的承诺，该行政命令针对情报工作制定了一系列的隐私保障措施，并允许个人寻求独立的救济。随后，在12月13日，欧盟委员会公布了《欧盟-美国数据隐私框架充分性决定》（Adequacy Decision for the EU-U.S. Data Privacy Framework）草案，该草案包含了欧盟委员会对美国数据保护框架的评估结果，其拟认定美国新的法律框架提供了与欧盟水平相当的个人数据保护措施，进而认定其能够为从欧盟转移到美国的个人数据提供充分的保护。从具体内容上看，新的美欧数据隐私框架不仅加强了对个人数据处理活动的规制，同时还建立了一套具有独立性和拘束力的救济机制。对于企业而言，依该框架传输个人数据的公司，需要承诺履行一系列的隐私保护义务，包括删除个人数据的义务、在与第三方共享个人数据时确保个人数据得到保护的义务。对于政府机构而言，如前所述，美国的法律框架对以刑事调查和维护国家安全为目的而获取个人数据的行为制定了若干限制措施。在救济方面，对于企业违规处理个人数据的行为，欧盟居民将能够通过独立的争端解决机制或仲裁机制寻求救济；而对于政府机构获取个人数据的行为，欧盟居民能够在其个人数据被获取和使用之前，向新成立的数据保护法庭（Data Protection Review Court）寻求独立的审判和裁决。

在程序上，该份充分性决定的正式出台还需要一定的时间，其草案已经提交EDPB已征询其意见，并需要经过一个由欧盟成员国代表组成的委员会的审议和批准，此后欧盟委员会方可通过最终的充分性决定。若该充分性决定得到通过，其对于数据跨境传输的意义是显著的，位于欧盟境内的实体能够在不采取额外数据保护措施的情况下向美国的公司传输个人数据，这意味着企业或无需再支付高昂的成本以实现数据本地化存储或数据匿名化。在2023年，该充分性决定能否顺利出台，以及在该充分性决定出台前相关企业将会采取哪些措施以应对越发严格的监管要求，值得持续追踪和关注。

在2022年的域外立法动态中，联邦贸易委员会（Federal Trade Commission，FTC）计划推出的美国个人数据领域首部“部门法规”亦值得关注。2022年8月11日，FTC以3票赞成，2票反对的投票结果通过了《关于拟议中制度制定的预先通知》（Advance Notice of Proposed Rulemaking，ANPR），宣布其将制定《商业监视和数据安全规则》。在ANPR中，FTC从个人所面临的告知同意困境、企业滥用个人信息的问题以及当前个案执法模式的不足三个方面阐述了制定该部门法规的必要性，并针对“有害的商业监视和松懈的数据安全实践的性质及其普遍性”、“前述做法对消费者权益和公平竞争环境所才来的损害与收益”、“制定相应贸易规则的成本与收益”以及“保护消费者免受商业监视和松懈的数据安全实践之危害的相关政策措施建议”四个方面开展公众咨询，其咨询的内容涵盖了个人信息保护和规则制定的各个方面。

ANPR的出台，反映了作为美国个人信息保护领域主要执法机构的FTC，其工作模式从此前的个案执法向建章立制转变的趋势。在ANPR中，FTC指出，根据《联邦贸易委员会法》（Federal Trade Commission Act），FTC唯有制定了相关的部门法规，才能够对首次违反相关法规的行为进行罚款；因此，由于当前个人信息保护领域既没有综合性的国会立法，也没有相关的部门法规，因此FTC不能够对企业首次违规处理个人信息的行为进行罚款，这导致FTC难以有效阻止违规行为的发生。此外，FTC认为，当前采用的个案执法的模式难以为企业和消费者提供明确的行为指引和参考，个案裁决具有相当的不确定性，因此有必要通过制定成文法规来增强企业和消费者的可预期性。然而，FTC是否拥有在个人信息保护领域建章立制的权力，则引发了一定程度的争议。在ANPR表决中投赞成票的FTC主席Lina M. Khan以及FTC委员Kelly Slaughter表示，FTC计划制定隐私规则与国会的ADPPA立法并不冲突；而投反对票的FTC委员Noah Joshua Phillips则认为，相较于FTC，国会才是制定联邦隐私法规的适格主体，ANPR将FTC营造成一个在个人信息保护领域拥有近乎无限的规则制定权的机构，这是对国会立法权的侵犯。在FTC举办的公众论坛上，而美国商会技术参与中心（US Chamber of Commerce Technology Engagement Center）副总裁 Jordan Crenshaw也对FTC的规则制定权限提出质疑，认为只有国会才享有隐私、数据安全和算法领域的规则制定权。此外，科技智库TechFreedom也表示，FTC应当放弃制定隐私规则的计划，从而将隐私保护相关的“主要问题”留待国会立法解决。

目前，FTC仅发布了ANPR，《商业监视和数据安全规则》的具体草案仍未公布。在ADPPA进展受阻与FTC规则制定权限受质疑的情况下，FTC将会推出一份怎样的隐私规则草案，其不仅对于观察美国个人信息保护立法动态具有重要意义，对于探究部门法规的立法界限亦具有相当的参考意义。

在2022年，对儿童和青少年的个人数据保护是各国立法和执法工作的重点之一。在立法领域，ADPPA草案中拟就儿童个人数据保护作出专门规定，其将17岁以下的个人数据列为敏感个人数据，并提出禁止个人信息处理者向未成年人推送个性化广告。此外，ADPPA草案还将要求FTC设置一个保护儿童个人数据的专门部门，负责处理ADPPA中关于儿童和青少年隐私保护以及针对该群体营销活动的事宜。除了ADPPA这一综合性立法，美国关于保护儿童在线隐私的专门性立法亦有进展。在2022年7月，参议院商务、科学和运输委员会（the U.S. Senate Committee on Commerce, Science, and Transportation）批准了《儿童在线安全法》（Kids Online Safety Act）和《儿童和青少年在线隐私保护法案（修订案）》，这两份法案将加强对在线平台保护儿童隐私的要求，规定在线平台应采取措施组织其他人浏览、收集或分享未满16周岁个人的个人数据，并禁止使用基于未成年人个人数据构建的算法推荐系统，同时将赋予未成年人及其家长选择减少或拒绝接收算法推荐信息的权利。加州参议院亦通过了《加州适龄设计规范法案》（The California Age-Appropriate Design Code Act），该法案将“儿童”定义为18岁以下的自然人，并要求企业为儿童提供便于其理解的隐私规则，且企业不得收集、处理或共享儿童精确的位置信息作为默认的隐私选项。

在执法领域，多家企业则因为违规处理儿童个人信息而被个人数据保护机构开出高额罚单。例如，Instagram因其旧版本应用中默认展示13至17岁儿童账户的电子邮件和手机号，被爱尔兰数据保护委员会(Irish Data Protection Commission，DPC)认定其违反了GDPR的规定，进而收到了爱尔兰DPC开出的4.05亿欧元“天价罚单”。在美国，Epic也因其隐私默认设置未能充分保护儿童隐私，被FTC指控违反《儿童在线隐私保护法案》(Children’s Online Privacy Protection Act，COPPA)，最终需为此支付2.75亿美元的罚款。此外，Tiktok也因存在未经父母同意处理13岁以下儿童的个人数据、未能以通俗易懂的方式向用户提供隐私政策以及处理敏感个人数据缺乏合法性依据等违规问题，被英国信息专员办公室（Information Commissioner’s Office，ICO）罚款2700万英镑。

此外，采取哪些保护措施才能够充分、有效地保护儿童的个人数据，亦是值得关注的问题。当前保护儿童个人数据的途径主要有两种，一是赋予家长控制权，例如要求个人数据处理者获得家长同意才可以处理儿童个人数据；二是禁止对儿童个人数据的特定处理行为，例如禁止向儿童推送个性化广告，此种保护方式有着更强的“家父主义”的色彩。在2022年，赋予家长控制权的有效性遭到一定的质疑，通过禁止部分对儿童具有较高风险的个人数据处理行为似乎更受立法机构和监管机构的青睐。例如，在FTC发布的ANPR中，FTC就“要求获得家长的同意是否是保障儿童和青少年隐私的有效方式，是否存在其他更为有效或应当纳入考虑的保护机制”以及“是否有必要就针对儿童和青少年的个性化广告做出强制性限制，而不论父母是否同意儿童和青少年接收个性化广告”开展了咨询。加拿大魁北克省信息委员会（Commission d'accès à l'information du Québec）在其发布的题为“在数字时代更好地保护未成年人的个人信息”的报告中亦表示，仅依靠父母的同意来保护未成年人的个人数据是不够的，因为父母难以作出明智的选择，因此法律应当禁止某些可能对未成年人造成伤害的个人数据处理行为，例如禁止将未成年人的个人数据用于个性化广告的分析和推送、完全禁止出售未成年人的个人数据等。在未来，哪些个人数据处理行为会被禁止，以及两种保护途径的实践效果如何，值得进一步关注和研究。

2022年，各国DPA加强了对大型科技企业的监管和执法力度，对其违法处理个人数据的行为开出了多张天价罚单。3月，Meta因在12起数据泄露事件中未能证明其已经采取了适当的安全保障措施，被爱尔兰DPC罚款1700万欧元。5月，Google便因违规与第三方共享用户个人数据而被西班牙数据保护局（Agencia Española de Protección de Datos，APED）罚款1000万欧元；同月，Uber亦因未获用户同意而处理超过150万用户的个人数据，被意大利Garante罚款420万欧元。6月，法国国务委员会（Council of State）就亚马逊对CNIL处罚决定上述一案作出裁决，维持了CNIL在2020年对亚马逊未经用户同意使用非必需的Cookie收集个人数据的行为所作出的3500万欧元的罚款决定。8月，Google因违法收集用户的位置数据，最终需要支付6000万美元的罚款以解决其与澳大利亚监管机构的诉讼。9月，爱尔兰DPC就Instagram未能保护儿童隐私的违规行为对Meta作出了4.05亿欧元的初步处罚决定，在同月Meta又因收集用户个人数据未能获得有效同意而被韩国个人信息保护委员会（South Korea's Personal Information Protection Commission，PIPC）被罚款308亿韩元，Google也因同一违规情形被罚款692亿韩元；此外，在该月，Tiktok亦因未能保护儿童隐私而面临来自英国ICO的2700万英镑罚单。11月，因Facebook未能妥善保障个人数据安全，Meta再一次收到来自爱尔兰DPC高达2.65亿欧元的罚单。12月，除了Epic因违反COPPA需向FTC支付2.75亿美元的罚款，法国CNIL也就微软未经用户同意使用Cookie收集个人数据的违规行为，对其开出了6000万欧元的罚单。

从罚款的数量和金额来看，2022年各国DPA都加强了在个人数据保护领域的执法力度。据欧华律师事务所（DLA Piper）统计，2022年欧洲各国DPA总共开出了16.4亿欧元的罚单，这一数额是2021年的两倍⁴。在2021年，多家机构曾对GDPR实施以来的执法力度表示失望，尤其是爱尔兰DPC，包括Apple、Meta、Google在内的多家科技巨头总部都设立在爱尔兰，这意味着爱尔兰DPC是这些科技巨头的主要监管机构，然而在2018年至2021年，爱尔兰DPC履行其监管和执法职责的情况都未能达到人们的期望，使得GDPR的实施效果大打折扣。从2022年的执法情况来看，此种懈怠的执法态势似乎得到了扭转；爱尔兰DPC全年对Meta开出了6.87亿欧元的罚单，并且在年内完成了对Tiktok以及雅虎的调查报告及初步决定，这些调查报告和决定已经交至EDPB以及其他欧盟成员国的DPA以征求意见。但是，此种乐观的趋势能否持续下去仍存疑虑，其中一个重要原因便是欧盟及其成员国DPA不容乐观的财政状况。在9月，EDPB发布了一份关于欧盟成员国DPA获得所在国资源支持的统计报告，该报告调查发现，分别有77%和87%的DPA表示其财政经费和人员不足；此外，EDPB和EDPS的负责人也在该月就经费问题向欧洲议会和欧盟理事会发出公开信，认为当前的人员和预算远不足以支持两个机构履行法定的职责，进而导致GDPR的公信力被削弱。财政预算是影响DPA执法效果的重要因素。Access Now的报告曾指出，虽然各成员国DPA的预算自GDPR实施以来逐年增加，但是其相较于Google、Meta等科技巨头企业的营收而言仍然是微不足道的，这意味着大型企业能够利用其在实力上的优势，通过对DPA的处罚决定进行上诉来拖延决定的执行，并且DPA也需要投入大量的资源来应对这类诉讼。在2021年，Meta便就爱尔兰DPC对WhatsApp开出的2.25亿欧元罚单向法院提起诉讼，同时还就EDPB所作出的裁决向CJEU提起诉讼，要求CJEU撤销相关裁决；在2022年12月，CJEU先行作出裁决，裁定不受理Meta对EDPB裁决提起的诉讼，而Meta向爱尔兰法院提起的诉讼则未有结果。此外，对于爱尔兰DPC就Instagram侵犯儿童隐私而开出的4.05亿欧元罚单，Meta亦正计划向爱尔兰高等法院提起诉讼，请求法院撤销该处罚决定。“法律的生命在于实施”，若DPA未能获得充分的经费和人员保障，其或难以实现良好的执法效果，进而减损数据保护法规的实施效果。

在2022年，除了天价罚单，英国ICO对于公共机构违法处理个人数据行为的执法模式转变也值得关注。在6月，英国ICO发布了修订后的针对公共机构的执法办法，该办法将允许ICO利用其酌情权以减少对违规处理个人数据的公共机构的罚款，取而代之的则是发出通知、警告、谴责等柔性处罚手段，仅在严重违法的情况下才会对公共机构处以罚款，即“非必要，不罚款”。在9月，这一新的执法模式便得到了实践，英国ICO就英国国际贸易部（Department for International Trade，DIT）和英国商业、能源和工业战略部商业、能源和工业战略部(Department for Business, Energy & Industrial Strategy)未能在法定期限内相应个人行使查阅权的请求，向两部门发出执法通知（enforcement notice），这是七年以来ICO首次发出执法通知。在11月，ICO更是进一步将新的执法模式应用于此前已经开出的罚单当中，其同意将此前就内阁办公室（Cabinet Office）个人数据泄露事件开出的50万英镑罚单减免至5万英镑；同时，ICO还表示，在某些情况下罚款对于保持法规的威慑力并非如人们想象中的那么重要。这一新的执法模式对于减少罚款，缓解公共机构财政压力的效果是显著的。在对英国教育部（Department for Education,DfE）因尽调不力导致多达2800万儿童的个人数据被滥用的谴责相关新闻稿中，ICO表示，若没有“非必要，不罚款”的新执法模式，英国教育部将面临至少1000万英镑的罚款。目前，此种新执法模式仍然仅适用于公共机构，据ICO介绍，该执法模式将进行为期两年的试点；至于此后是否会将这种“刚柔并济”的执法模式推广到针对私营机构的执法活动中，目前并没有更多的消息。但值得注意的是，在12月初，ICO宣布其将公开自2022年1月以来对违规处理个人数据的企业和组织所发出的谴责，从而使公众知道ICO已经追究了这些违规企业的责任，且这些企业已经纠正了违规行为；与此同时，ICO表示，虽然罚款案件更能够吸引人们的注意力，但ICO所发出的谴责同样代表着其提高数据保护水平的努力。从这一表态来看，“非必要，不罚款”的新执法模式或在不远的将来扩展适用于私营企业，而此种“宽严并济”的执法模式效果如何，相较于巨额罚款的模式能否更好地避免违规处理个人数据行为的发生，值得进一步关注和研究。

在2022年6月24日，美国联邦最高法院公布了对“多布斯诉杰克逊案（Dobbs v. Jackson）”的判决，该判决推翻了50年前作出的“罗伊诉韦德案”判决，不再承认女性堕胎权受宪法保护，而是由国会和各州自行决定关于堕胎的政策。在个人信息保护领域，这一具有历史性意义的判决同样产生了重大的影响。由于各州可再次通过自行立法以将女性堕胎的行为定性为刑事犯罪，而与堕胎行为或意图相关的个人数据可能会被禁止堕胎州的执法部门用于调查和起诉，这进一步加重了人们对隐私及个人数据保护的担忧；为了避免相关个人数据被获取以及用于定罪，美国掀起了一轮加强女性堕胎相关个人数据保护的热潮。在此之中，数据经纪人所出售的可能被用于追踪堕胎者的数据成为各界关注的重点。早在该判决草稿被Politico网站曝光的5月，一家名为SafeGraph的数据经纪人便受到媒体和多位参议员的关注，有媒体调查发现，人们能够从该公司购买关于“计划生育中心”访客的行程轨迹，而其中的部分机构提供堕胎服务。除了媒体的关注，SafeGraph以及另一家数据经纪人Placer.ai亦遭受来自Elizabeth Warren等14名参议员的谴责，指责其收集和出售堕胎诊所访问者的定位数据，这些数据可能被用于对堕胎者的刑事检控。在业务遭受媒体和参议员的质疑后，SafeGraph以及Placer.ai都相继宣布永久停止出售关于堕胎诊所访问者的位置数据，以避免这些数据被禁止堕胎的州用于执法调查和起诉。

在联邦最高法院判决正式公布后，对于相关数据的保护力度得到进一步加强。在行政层面，美国卫生与公众服务部（U.S. Department of Health & Human Services）首先就患者隐私的保护发布指引，明确指出个人与堕胎相关的私人健康信息受到联邦法律和法规的保护，这些私人健康信息无需向第三方披露。随后，美国总统拜登在7月签署了一份行政命令，要求FTC采取额外的措施以保护个人隐私，具体措施包括打击与生殖医疗服务相关的数字监控活动、解决健康相关数据的共享和销售问题。在立法层面，加州在10月通过了两项保护堕胎者个人数据的法案，禁止加州的公司或执法者遵循州外的执法部门为调查在加州属合法的堕胎行为而发出的搜查要求，同时还禁止了健康服务提供者根据州外的传票或请求而提供堕胎者个人医疗数据的行为。此外，针对出售健康数据或位置数据的数据经纪人的行动仍在持续。在7月，多位民主党众议院就位置信息的保护问题致信包括甲骨文（Oracle）、亚马逊AWS在内的多家数据经纪人，询问其关于出售可能被用于识别堕胎者的位置数据的相关政策，以及其是否采取相应的措施来保障堕胎者的隐私以及相关数据不会被用于调查和起诉。除了数据经纪人出售的数据可能引致堕胎者被起诉，执法部门亦可能通过搜查令要求谷歌登企业提供其所收集的关于堕胎者的个人数据，这亦引发了媒体的关注。在7月，Politico 网站统计发现，谷歌在2018年至2020年间收到了来自禁止堕胎州警方的5764张搜查令，要求其提供相应的个人位置数据，这意味着在堕胎案判决后，这些州的执法部门也可能通过搜查令要求谷歌提供关于堕胎者的个人数据。对于此种可能性，谷歌表示，其将自动删除用户访问堕胎诊所、心理咨询中心等敏感地点的位置信息，以打消人们对于相关信息可能被用于起诉堕胎者的担忧。

堕胎案判决所激起的个人数据保护热潮，同时还引发了关于数据经纪人交易匿名数据合规与否的争议。前述受到媒体或参议员质疑的数据经纪人，其所出售的数据往往是经过匿名化处理的，例如SafeGraph在其公告中表示其采用了差分隐私技术来确保数据的匿名性，且其只出售与某些场所相关联的位置数据，而不会出售与个人相关联的数据。但当前并不存在完美的匿名化技术，经过匿名化处理的数据依然存在再识别的风险，因而各国监管部门往往要求企业不能“匿名后不管”，对匿名化数据的共享仍然要建立在尽职调查、风险评估的基础之上。匿名化数据再识别风险的存在，使得数据经纪人出售匿名化数据的合规性存在争议；其中，此种争议在FTC起诉数据经纪人Kochava的案件中得到了集中的体现。在8月，FTC对Kochava提起诉讼，指控其违法出售数亿条地理位置数据，而这些数据可以用于追踪和识别往返生殖健康诊所、宗教礼拜场所、无家可归者和家庭暴力庇护所、戒毒所等敏感场所的个人，进而导致这些人面临侮辱、跟踪、歧视、失业乃至暴力威胁；FTC要求该公司停止出售并删除这些涉及敏感场所的地理位置数据。对于FTC的指控，Kochava并未如SafeGraph一般顺从地停止出售相关数据的业务，而是强调其所出售的数据都是匿名数据，这些数据仅包含设备的广告识别ID、时间、经纬度坐标，并不能识别特定个人或与个人相关联，而FTC在诉讼中严重夸大了其出售这些数据可能对消费者带来的危害，因而要求联邦法院驳回FTC的诉讼。对于匿名化处理的问题，FTC在其起诉书中亦有提及，其指出Kochava出售的位置数据中的移动设备夜间位置数据，很可能暴露用户的家庭地址，并可通过与财产信息相结合识别具体用户的身份。目前，该案的审理还未有更新的消息，但若该案能够得到法院的实质审理和判决，或能为我们探究个人数据匿名化处理、数据经纪人合规经营等细分领域提供新的研究材料。

在个人数据安全方面，2022年个人数据泄露事件的数量和规模依然居高不下。据身份盗窃资源中心（Identity Theft Resource Center，ITRC）统计，仅美国在2022年便发出了1802份个人数据泄露通知，因此而受影响的用户超过4.2亿人，其数量与2021年十分接近⁵。除此之外，加拿大、英国、澳大利亚、印尼等国家亦有多起数据泄露事件发生，例如引发广泛关注的澳大利亚第二大运营商Optus遭遇的个人数据泄露事件，其存储的1000多万用户的账户信息被窃取，受影响的用户数量相当于澳大利亚总人口的40%。这些数据泄露事件的成因十分多样，既有因内部员工未经许可获取个人数据或因疏忽而导致个人数据被不当披露等“内因”，亦有系统漏洞被黑客利用或遭受黑客攻击等“外因”。对于个人数据处理者而言，这要求其需要在建立和完善“内外兼修”的数据安全体系方面投入充分的资源，且不能在数据安全问题上有一丝懈怠，否则将需要付出巨额的事后处置成本。根据IBM发布的《2022年数据泄露成本报告》（Cost of a Data Breach Report 2022），每起数据泄露事件的平均成本达到了435万美元，其中医疗健康领域的数据泄露成本最高，达到了1010万美元。而在个人数据泄露事件中，企业所需付出的后续处理成本或更高。在2022年，因发生个人数据泄露而收到来自DPA的巨额罚单或需支付巨额和解金以解决相关集体诉讼的案例并不罕见。除了前文提到的Meta因Facebook数据泄露事件被爱尔兰DPC罚款2.82亿欧元外，T-Mobile在7月就2020年泄露4000多万用户的个人数据，同意支付3.5亿美元作为对受到数据泄露事件影响用户的赔偿金，并承诺投入1.5亿美元以加强其网络安全建设；加拿大Desjardins公司亦则其内部雇员连续26个月窃取了该公司存储的个人数据，最终需要支付2亿美元的诉讼和解金；还有Robinhood Financial、LifeBridge Health、Waw、Dedalus Biology以及爱尔兰银行等因个人数据泄露事件而需支付数十万至数千万美元的罚款或诉讼和解金。此外，年内还有万豪、MCG Health等多家公司因个人数据泄露事件而被提起集体诉讼。值得注意的是，在数据泄露发生后，若数据处理者被认定怠于履行数据安全义务，不仅相关企业会被追究责任，企业的管理者亦可能受到制裁。例如，在10月，FTC针对Uber旗下的酒类电商平台Drizly所发生的数据泄露事件作出处罚决定，不仅命令该公司销毁非必要的数据，同时还要求该公司CEO James Cory Rellas遵守特定的数据安全管理要求，且即便未来Rellas从该公司离职，只要其在一家收集个人数据规模超过2.5万人的公司担任控股股东、CEO或负责信息安全工作的高管，其依然有义务遵循FTC作出的要求。由此可以看出，不仅企业自身需要建立数据安全体系，企业的管理者也需要有充分的数据安全意识，两者结合才能够对潜在的安全威胁作出及时的反映，从而确保用户的个人数据安全。

此外，个人数据处理者除了要充分履行数据安全义务，亦需要重视在数据泄露事件发生后的报告和通知义务。在2022年，有多家机构因未妥当履行报告和通知义务而遭到DPA的处罚。例如，波兰华沙大学临床中心因其错认为已经发生的数据泄露事件不会对数据主体的权利和自由产生重大影响，进而未向数据主体发出通知，亦未向DPA进行报告，被波兰DPA罚款约2000欧元。对于个人数据处理者应当就那些数据泄露事件通知数据主体以及报告相应的DPA，EDPB在年内也发布了《关于个人数据泄露通知的指南》（Guidelines 9/2022 on personal data breach notification under GDPR）草案，该指南将在此前WP29制定的《关于2016/679条例个人数据泄露通知的指南》（Guidelines on Personal data breach notification under Regulation 2016/679）的基础上，进一步明确数据处理者需要将数据泄露事件上报DPA以及通知数据主体的情形及程序。

无论是在GDPR亦或是拟议中的ADPPA当中，生物识别数据都被归入“敏感个人数据”当中，对此类数据的处理将受到法规更为严格的规制；在实践中，生物识别数据的保护亦是监管部门工作的关注重点。在2022年，生物识别数据的保护力度得到进一步加强，尤其是近年来快速发展和普及的人脸识别技术，其应用引发了各国DPA的高度关注。在执法领域，最具有代表性的应属运营大型面部识别数据库的Clearview AI公司在2022年因违规收集、处理面部识别数据而接连收到多国DPA开出的高额罚单。该公司通过在互联网公开平台上抓取个人的照片，建立了一个庞大的人脸数据库，从而使用户能够通过上传一张照片便能查询到该照片中的人在Facebook、Twitter等公众平台上的照片。在3月，意大利Garante认定，Clearview AI所建立的人脸数据库以及提供的服务存在违反透明度原则、处理个人数据缺乏法律依据、违反目的限制原则处理用户在网站上发布的个人数据等多项违规情形，因而对其罚款2000万欧元。在5月，英国ICO经过与澳大利亚信息专员办公室（Office of the Australian Information Commissioner）的联合调查后亦认定，Clearview AI对英国居民数据的收集和处理违反了英国的数据保护法规，亦对其开出了750万英镑的罚单，同时责令该公司立即停止从互联网上获取和使用英国居民的个人数据，而已经收集的个人数据应当从系统中删除。在7月，希腊数据保护局（Hellenic Data Protection Authority）也对Clearview AI作出罚款决定，同样认定其违反GDPR规定的合法性原则和透明度原则，且未能尊重数据主体所享有的权利，亦怠于履行GDPR第27条所规定的委任代表义务，最终决定对其处以2000万欧元罚款，并要求其删除涉及希腊居民的个人数据以及满足数据主体访问其个人数据的要求。在10月，Clearview AI再因未遵循CNIL发出的要求其停止收集和处理法国居民个人数据的通知，被CNIL处以2000万欧元的顶格罚款，并要求其在2个月内删除已经收集的个人数据，否则每天将加收10万欧元的罚款。至此，该公司仅在2022年便收到来自四国DPA的罚单，合计罚款金额超过了6800万欧元，这反映了各国DPA对人脸识别技术应用进行严监管的态度；然而，与Meta、Google不同，Clearview AI在欧洲境内并未设立运营机构或办事处，且该公司坚持认为其未在法国、希腊等欧盟成员国开展业务，因而不受GDPR的规制，这导致罚款金额虽然巨大，但并未得到实际的履行。对于此种跨境违规收集已公开个人数据的案件，各国DPA下一步将如何协调执法以确保法律的实施效果，其相关机制或还需要进一步的探索和完善。

除了对违规处理面部识别数据的企业进行处罚，各国亦在政策层面加强了对人脸识别技术应用的监管，其中最为激进的应属意大利Garante，其在11月宣布禁止安装和使用除用于司法调查和预防打击犯罪以外的人脸识别系统，该禁令将持续至2023年12月31日或相关专门性法规出台。在2022年，亦有多份关于规范人脸识别技术应用的指引出台，如EDPB在5月发布了《执法领域人脸识别技术应用指南》的草案，强调人脸识别工具只有在严格遵循执法规范并具有充分的必要性及合比例性的前提下才能够使用；且在公共场所部署远程人脸识别工具时，应当禁止根据性别、种族等歧视性理由对个人进行识别分类，同时还应禁止表情分析、情绪分析等面部识别技术的应用。对于经营者如何合规使用人脸识别系统的问题，在6月，加拿大信息专员办公室（Office of the Australian Information Commissioner，OAIC）发布了相关指南，指出经营者需避免在未获得顾客知情同意的情况下收集非必要的生物识别数据，且在运用面部识别工具时需要证明其收集人脸数据与防止盗窃或维护场所安全等目的具有合比例性。此外，对于人脸识别技术的监管还显现出全球化的趋势。在5月举办的第44届全球隐私大会上，来自120个国家和地区的DPA通过了一份关于在人脸识别技术中适当使用个人信息的决议（Resolution on Principles and Expectations for the Appropriate Use of Personal Information in Facial Recognition Technology），该决议提出了包括合法性原则、比例原则、必要性原则、透明度原则、问责制原则、数据保护原则在内的六大核心原则；该决议或将推动人脸识别技术监管标准的全球化，从而使各国的面部识别数据保护工作更为协调。

与欧盟更倾向于通过行政途径保护生物识别数据不同，在美国，对违规处理生物识别数据的行为的制裁和救济更倾向于通过司法途径实现。其中，伊利诺伊州的《生物信息隐私法》（Biometric Information Privacy Act，BIPA）成为了该领域集体诉讼的常客，多家企业因未获得个人明确同意便处理生物识别数据，被该州居民提起集体诉讼，最终需支付巨额的和解金。在3月，因其生产的电动汽车在未获得司机知情同意的情况下扫描司机的面部，以确保驾驶员在使用自动驾驶功能时仍在注视道路情况，特斯拉被该州居民提起集体诉讼，指控其违反了BIPA的相关规定。此外，在欧洲遭到多国DPA处罚的Clearview AI，同时也被多名伊利诺伊州居民起诉，指控其违反BIPA；且AT&T、沃尔玛等购买了该公司人脸数据库的企业以被列为被告。由于BIPA针对违规处理生物识别数据所规定的民事赔偿条款十分严厉，一旦企业被指控违反该法，其往往面临高额的索赔。根据BIPA，个人有权对企业每次过失违规处理生物识别数据的行为索赔1000美元，对每次故意违规处理生物识别数据的行为索赔5000美元，若涉及的用户较多或违法行为持续时间较长，企业或将面临数亿美元乃至数十亿美元的索赔；例如，BNSF铁路公司因未获书面同意便收集司机的指纹信息，被陪审团裁定应向4.5万名原告支付2.28亿美元的赔偿。虽然在司法实践中，大多数的案件都以和解结案，但企业所需支付的和解金亦十分高昂。在6月，谷歌同意支付1亿美元的和解金，以解决该州居民对其照片应用所搭载的人脸识别功能提起的集体诉讼；在该案中，该应用被指控未经用户同意便对照片进行人脸识别并以此排序，违反了BIPA。在7月，Tiktok所提出的9200万美元的和解协议也得到了联邦法官的批准，由于Tiktok同时被指控违反了BIPA，在未经同意的情况下收集了用户的面部和指纹数据，因而每位具有索赔资格的伊利诺伊州居民将能够获得163美元的赔偿，而非该州居民仅能获得27美元的赔偿。此外，因违反BIPA支付过千万和解金的公司还有Snapchat，这一“阅后即焚”的照片分享应用中的滤镜和镜片功能被指控在未经用户同意的情况下收集和存储生物识别数据，最终Snapchat同意支付3500万美元作为和解金。从2023年美国各州的隐私立法动态来看，多部类似BIPA的生物识别专门立法已经被提上日程，如纽约州的《生物识别隐私法》、亚利桑那州的《保护生物识别信息法案》，这些法案草案中都提出了类似BIPA的赔偿规则；因此，企业需要在生物识别数据保护方面投入更多精力，否则或将招致巨额的索赔。

司法保护是个人数据保护中的重要一环，其中不仅包括为个人行使个人数据权利提供司法保障，还包含对违规处理个人数据活动的索赔制度。在美国，企业因违规处理个人数据或个人数据泄露事件而遭到集体诉讼的司法案件十分常见，这些案件往往会以企业同意支付巨额的和解金收场。在2022年，除了前文提及的因数据泄露事件或违反BIPA而需支付高额和解金的司法案例外，Meta亦在年末就Facebook违法允许包括剑桥分析（Cambridge Analytica）在内的第三方访问用户个人信息的隐私诉讼，同意支付7.25亿美元的和解金，这一案件也成为美国迄今为止在隐私集体诉讼中达成的金额最高的和解协议。此外，金融科技公司Plaid因违规收集和出售消费者的财务数据，最终同意支付5800万美元的和解金以终结相关隐私诉讼，其同时还需要支付1100万美元的律师费以及删除违法收集的个人数据。巨额的民事赔偿不仅存在于私益民事诉讼当中，亦存在于由美国司法部、FTC或各州总检察长提起的诉讼当中，例如谷歌在年内与40个州的总检察长达成和解，同意支付3.9亿美元的和解金，以解决其因在用户关闭位置追踪功能后仍收集用户位置信息而引发的相关诉讼。从现有的司法案例来看，在美国的相关集体诉讼中，尤其是基于BIPA提出索赔请求，原告并不需要充分证明其因违规处理个人数据或数据泄露事件而遭受财产上的损失或精神上的严重损害。

在欧盟，个人向违规处理个人数据的数据控制者提出索赔的门槛或更高。虽然GDPR第82条第1款规定个人有权对因违反GDPR的行为而遭受的物质性或非物质性损失要求赔偿，但从10月欧洲法院总法律顾问（Advocate General）Campos Sanchez-Bordona所提交的一份法律意见来看，就“非物质性”损失索取赔偿并非易事。根据该份意见，GDPR所规定的赔偿一般是补偿性赔偿而非惩罚性赔偿，且对数据控制者提出索赔需要以存在相关联的物质性损害或非物质性损害为基础，而单纯的心理不安、焦虑或担忧等负面情绪并不能被认定为GDPR第82条第1款所规定的非物质性损害⁶。若该份法律意见获得法院的采纳，将意味着在欧盟对违法处理个人数据的数据控制者提出索赔将需要满足一定的条件和证明标准，而具体的证明标准则需要在各成员国的立法或司法实践中得到进一步明确。

由此可以看出，在个人数据的司法保护领域，美国与欧盟形成了司法保护模式的分野，两种模式均有优劣。美国的司法保护模式或将导致集体诉讼的泛滥，企业也可能因轻微的违规行为而需支付巨额的诉讼成本和赔偿金；而欧盟的司法保护模式则可能导致个人维权的成本过高，且个人往往难以收集充分的证据以证明其所遭受的损害及因果关系，这可能导致个人对诉讼望而却步。这两种司法保护模式的实践效果如何，其将采取哪些措施以扬长补短，值得进一步的关注和研究。

在个人数据保护领域中，员工的个人数据保护具有特殊性。一方面，企业基于人力资源管理、考勤、绩效考核或保护商业秘密等正当事由，不可避免地需要收集和处理员工的个人数据，亦可能采取视频监控等工作监控措施；另一方面，由于企业与员工之间是管理与被管理的关系，同意难以成为企业处理员工个人数据的合法性基础，因此企业必须“另寻他法”，此时如何认识“法定义务”、“正当利益”将对企业处理个人数据的合法性产生决定性的影响。在2022年，多国在保护员工的个人数据方面亦有显著进展，相继出台了相关的立法或指引。在立法领域，加州《工作场所技术责任法案》在4月被提交至议会专门委员会进行审议，该立法将限制电子监控系统以及自动化决策系统的使用，并规定雇主收集和处理员工个人数据所需要承担的义务；加拿大安大略省在10月则出台了新立法，要求雇佣人数超过25人的企业需要向员工披露其电子监控的政策，从而令员工知道其行为是否受到监控以及受到怎样的监控。此外，在年内，英国ICO陆续发布了《工作监控指引》（The Guidance On Monitoring At Work）以及《关于员工健康信息的数据保护指引》（Employment Practices Guidance – Information About Workers’ Health）的草案，这两份指引将在2011年发布的《工作数据保护守则》的基础上进一步明确合规开展工作监控以及处理员工个人数据的要求。

对于员工个人数据的保护不仅停留在纸面上，在实践中亦有多家企业因违规处理员工个人数据而遭处罚或诉讼。在处罚案例中，非法监控电子的电子邮箱是最为常见的违规情形，挪威的X AS公司以及意大利拉齐奥大区政府均是因过度监控员工的电子邮箱，被DPA认定其违反GDPR所规定的合法性原则及透明度原则，且侵犯了员工的隐私及通信自由；两家机构分别被罚款10万挪威克朗及10万欧元。此外，随着远程办公的快速推广，部分企业为方便管理员工而采取了屏幕监控、摄像头监控等措施，这些措施亦存在违规处理个人数据的风险。在年内，荷兰一公司便因在远程办公中过度监控员工而遭受不利的诉讼后果，该公司要求远程雇员在每天9小时的工作中打开网络摄像头并共享屏幕，遭到员工的拒绝后开除了该名员工；对此，荷兰法院认定其构成对员工私人生活的侵犯，判决该公司赔偿该名员工7.5万欧元。在保护员工个人数据方面，企业除了要避免过度收集员工的个人数据，亦需要妥当存储员工的个人数据，否则在引发个人数据泄露事件时亦会遭到DPA的处罚。在10月，英国的Interserve 公司便因未采取充分的安全保障措施，导致多达11.3万名员工的个人数据遭到泄露而被ICO罚款440万英镑。

值得注意的是，相较于违规处理员工个人数据的实际情况，上述案件或只是冰山一角。在9月，挪威数据保护机构Datatilsynet公布了一份关于工作监控的调查报告，有55%的受访员工表示对于雇主收集了哪些个人信息没有了解或了解甚少，且仅有不到10%的受访者表示其知道雇主正在使用监控工具，而另一份针对雇主的调查报告则显示17%的雇主表示其采取了工作监控措施。这一调查结果意味着有许多企业对员工实施的监控是秘密的，这有违GDPR所规定的透明度原则。相较于企业收集公众个人数据的行为，企业在内部管理中收集、处理员工个人数据往往不会引发广泛关注，只有在员工向DPA投诉时才会受到调查，因此关于企业违规处理员工个人数据的执法案例数量较少。但有BNSF铁路公司的巨额赔偿作为前车之鉴，企业切不可在员工个人数据保护方面掉以轻心。

许多网站都会利用Cookie收集用户的个人数据，从而记录和追踪用户的访问行为；这些个人数据既能够用于维护网站安全、提升用户体验，亦可被用于分析用户以推送个性化广告。在GDPR正式施行后，网站若要通过Cookie收集非提供服务所必需的个人信息，需要事先取得个人的同意；时至今日，虽然大部分的网站都设置了供用户同意或拒绝Cookie的按钮，但仍有企业因其网站在未获个人同意的情况下通过Cookie收集非必需的个人数据而被处罚的案例。例如，比利时Roularta新闻集团因此而被比利时数据保护局（L'Autorité de protection des données，APD）罚款5万欧元。

但Cookie的合规工作不能止步于“让用户点击同意按钮”，还需要确保用户所作出的同意是“知情”、“自愿”且“明确”的。在2022年，怎样的Cookie墙或Cookie横幅能够引致用户有效的同意，一直是各监管机构的工作重点。对此，法国CNIL和奥地利数据保护局（Datenschutzbehörde，DSB）都发布了关于Cookie的合规指引。奥地利DSB所发布的关于Cookie的问答内容与其他国家DPA所发布的大同小异，列举了Cookie合规使用所需要注意的事项，明确了单纯的继续浏览不能认定为“明确的同意”，并强调了Cookie横幅中同意和拒绝的按钮应当同样显眼。而CNIL则在其所发布的关于Cookie墙的指引中明确了合法性认定的标准，该指引在要求使用Cookie墙的网站必需向拒绝使用Cookie的用户提供替代选项的同时，允许网站运营者要求这些用户支付合理的费用，以弥补因此而导致的广告收入减损。值得注意的是，此种“付费拒绝Cookie”的模式并不能够在所有网站普遍适用，CNIL指出，如果网站所提供的内容或服务具有排他性（例如提供行政服务的网站）或具有垄断性，那么要求拒绝Cookie的用户付费或接受其他替代方案也是不合法的，因为这会导致用户作出非自愿的同意。由此可以看出，能够引致有效同意的同意和拒绝按钮设置，是Cookie合规的核心，其设计的指导原则可以概括为“同意与拒绝，需一样容易”，年内CNIL对微软开出的6000万欧元罚单则进一步印证了这一要求。在处罚决定中，CNIL指出，用户在微软运营的bing.com网站上选择拒绝Cookie比同意更加困难，用户同意使用Cookie只需要一步，而拒绝需要进行两步操作。基于此，CNIL认定这一复杂的拒绝机制设置阻碍了用户选择拒绝使用Cookie，这一做法侵犯了互联网用户同意的自由。值得注意的是，Cookie合规指引的完善以及相关案例的公布，其影响并不局限在这一特定领域当中；这些指引对于解释GDPR关于有效同意的规定同样具有参考意义，而相关的案例能够让企业在设置与个人数据处理相关的同意机制时更加明确法规的红线和禁区。

GDPR第42条和第43条规定了认证制度，满足相关标准的企业可以自愿申请认证，并获得相应的证书、印章或标志，从而证明其个人数据处理活动已经符合GDPR的规定。在规范层面，EDPB为认证制度出台了《关于GDPR第42、43条规定的认证和认证标准的01/2018号指南》以及《关于GDPR第43条对认证机构进行认可的04/2018号指南》，以期为认证制度的落地提供明确的指引。然而，在实践层面，从2018年GDPR生效施行至2021年，这一认证制度依然是一个 “停留在纸面上的制度”，直至卢森堡数据保护委员会（Commission nationale pour la protection des données，CNPD）在6月推出其GDPR-CARPA认证制度，并且在10月获得EDPB的正式批准，这一制度才真正“从纸面走向现实”。在EDPB就该认证制度作出的批准意见中，EDPB充分肯定了该标准与GDPR所要求的数据保护标准的一致性，且该标准还在指定DPO义务、数据主体的权利方面对申请认证的数据控制者作出了更高的要求，例如该标准要求数据控制者允许数据主体在特定情形下干预数据处理活动，以保障数据主体的权利。相较于得到EDPB顺利批准的GDPR-CARPA，由德国EuroPriSe Cert GmbH公司发起，并经德国北莱茵-威斯特法伦州DPA批准的欧洲隐私印章（EuroPrise）认证标准则未能顺利获批。在审查意见中，EDPB指出其在认证计划名称、实施范围、个人数据跨境传输、数据控制者与数据处理者之间的关系等多个方面的措辞及规定存在与GDPR不相符或过度模糊的问题，并提出了多项修改建议。

值得注意的是，无论是获批的GDPR-CARPA，亦或是未能获批的EuroPrise，其都不是GDPR第46条第2款第f项所规定的“可以作为跨境传输适当保障措施”的认证，这意味着可以用于跨境传输的GDPR认证计划实践仍是空白。但在规范层面，EDPB在2022年6月出台了《认证作为数据转移工具的指南》（Guidelines 07/2022 on certification as a tool for transfers），该指南明确了不同主体在跨境传输认证机制中所扮演的角色，并指明了对跨境认证机制的特别要求，例如为了维持同等数据保护水平，认证标准中需要包含对第三国数据法规评估、处理第三国政府机构提出的数据访问请求等要素。该指南在《关于GDPR第43条对认证机构进行认可的04/2018号指南》的基础上对跨境传输认证机制进行了进一步完善，而欧盟第一个可用于跨境传输的认证机制何时到来，以及其将会对数据跨境传输提出怎样的要求，我们拭目以待。

在2022年发生的域外个人信息保护相关事件中，本文挑选了15个关键词，以此为提纲整理了相关事件，并尝试从中探究域外个人信息保护领域的发展趋势。从整体上看，2022年各国的执法活动以及对个人信息的司法保护力度都十分亮眼，涌现了一批巨额罚款以及巨额赔偿案例；此外，各国监管机构也出台了多份合规指引，进一步完善了个人信息保护领域的规范体系。而在个人信息保护立法方面，虽然相关法案已经被列入立法日程，但其实际进展差强人意，未来仍有多方面的问题亟待解决。在细分领域，如生物识别数据保护、员工个人数据保护、Cookie合规等，其规则体系和保护实践都有喜人的进展。最后，在新的一年里全球范围内的个人信息保护领域将会如何发展，个人数据保护与利用的天平应当如何平衡，我们拭目以待。