夜雨聆风点击蓝字,关注我
2026年第18周
本周要闻
德国 DSK:发布租房场景信息采集指南2.0版
德国联邦信息安全局(BSI):发布C5:2026版云安全标准
意大利GPDP:App 权限过度、未做 DPIA 被罚 587.7 万欧元
要点新闻
DSK发布《关于向潜在租户征集个人数据指南2.0版》
德国联邦及州独立数据保护监管机构会议(DSK)发布《面向租房意向人的自述信息采集指南》2.0版(2026年1月版)。该指南强调:随着租赁流程推进(看房、表达意向、最终筛选),允许查询的信息和个人数据就越多,必须与具体阶段和目的相匹配。
指南用多类典型采集场景说明“可收集/不可收集”的边界,核心判断标准包括:房东利益是否正当、数据处理是否为签订租约所必需、以及数据主体隐私权益是否优先。指南还明确了已收集数据在何种情况下应予以删除。
🔗 指南链接:https://www.datenschutzkonferenz-online.de/media/oh/OH_Einholung_von_Selbstauskuenften_Mietinteressenten_V2.pdf
德国联邦信息安全局发布C5:2026云计算安全标准
德国联邦信息安全局(BSI)发布新版C5标准。C5(Cloud Computing Compliance Criteria Catalogue)自2016年以来一直是德国云应用安全审计的重要参考框架。
新版在吸收近年技术与监管实践后,对容器管理、后量子密码、机密计算等主题新增或细化要求,并进一步完善多租户隔离与供应链管理等既有领域。
据原文介绍,C5:2026在内容和结构上与欧洲云安全认证体系(EUCS)相关工作成果保持紧密衔接,同时参考了CSA Cloud Controls Matrix v4、ISO/IEC 27001:2022及NIS2指令等要求。BSI此前通过社区草案征集了云服务商、审计人员与顾问的实践反馈。当前先发布英文版,后续将补充德文版,并计划发布通用云主权评估标准。
🔗 标准介绍链接:https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html
🔗 英文PDF链接:https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2026/C5_2026_en.pdf?__blob=publicationFile&v=6
意大利数据保护局对BancoPosta与Postepay应用运营方作出处罚
意大利数据保护局(GPDP)对“BancoPosta”和“Postepay”两款应用的运营方处以587.7万欧元罚款。
处罚理由包括:应用对移动终端内容和数据请求的访问权限范围过宽;未完成数据保护影响评估(DPIA);技术和组织措施不足。该案延续了监管机构对移动应用权限最小化与高风险处理前置评估要求的执法重点。
🔗 处罚决定链接:https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10241568
国际动态
欧盟年龄验证 App发布后暴露安全和架构问题
欧盟委员会在4月15日发布欧洲年龄验证应用,定位为可在平台侧用于年龄证明的工具。随后安全研究人员公开演示了可在短时间内绕过部分保护机制的测试结果,暴露了实现层面的安全风险。
🔗 欧盟委员会发布链接:https://commission.europa.eu/news-and-media/news/european-age-verification-app-keep-children-safe-online-2026-04-15_en
🔗 安全研究报告链接:https://blog.mean.ceo/the-eu-age-verification-app/
EDPB 致函欧盟委员会讨论INGO注册义务
欧洲数据保护委员会(EDPB)就国际非政府组织(INGO)注册要求向欧盟委员会发送函件,议题涉及跨境数据传输相关监管问题。
🔗 函件页面链接:https://www.edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-european-commission-regarding-ingo-registration_en
🔗 函件PDF链接:https://www.edpb.europa.eu/system/files/2026-04/edpb_letter_20260420_regarding_ingo_registration_requirements_en.pdf
EDPB 发布2025年Support Pool of Experts项目报告
欧洲数据保护委员会(EDPB)发布2025年Support Pool of Experts(SPE)项目报告。原文指出,SPE是EDPB 2024—2027战略第二支柱的一部分,用于支持成员机构执法与协作能力建设。
🔗 报告页面链接:https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/report-use-spe-external-experts-2025_en
🔗 报告PDF链接:https://www.edpb.europa.eu/system/files/2026-04/edpb-annual-report-support-pool-experts-programme-2025_en.pdf
法国国家信息与自由委员会发布AI系统开发GDPR合规建议
法国国家信息与自由委员会(CNIL)发布AI系统开发合规建议,主题为如何在AI系统研发阶段满足GDPR要求。
🔗 建议链接:https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
最新司法判决
德国策勒高等地区法院(OLG Celle)案号3 ORbs 113/25
德国汉堡行政法院(VG Hamburg)案号17 K 2480/23
VG Hamburg在2026年1月22日判决中,将监管机关依据GDPR第58条对搜索引擎运营者采取的纠正措施限定为“具体下架命令”。
法院认为,监管机关不得要求谷歌在涉及特定自然人姓名检索时,抽象且主动地在全球范围屏蔽某类含色情或类似内容的结果;此类禁令超出GDPR框架下对搜索引擎的干预权限。
监管机构动态
巴登-符腾堡数据保护监管机构发布企业委员会选举中出生日期处理说明
巴登-符腾堡州数据保护监管机构就 企业职工代表委员会(Betriebsrat)选举 中“出生日期能不能公开”这个问题作了澄清:选民名单公开版通常不应带出生日期;候选人名单公开时则通常可以带出生日期。
🔗 说明链接:https://www.baden-wuerttemberg.datenschutz.de/geburtsdatum-betriebsratswahl-2026/
德国联邦及州独立数据保护监管机构会议发布数字暴力投诉协作通报
德国联邦及州独立数据保护监管机构会议(DSK)发布通报,涉及与专门监管机构就投诉处理和数字暴力议题开展交流。
🔗 通报链接:https://www.baden-wuerttemberg.datenschutz.de/pm-dsk-spez-ab-april/
莱茵兰-普法尔茨与巴登-符腾堡监管机构联合发布第15届Speyer论坛通报
莱茵兰-普法尔茨数据保护与信息自由专员机构与巴登-符腾堡同类机构、Speyer 德国行政科学大学联合发布新闻通报,内容涉及第15届“数字生活世界”斯派尔论坛。
🔗 新闻稿链接:https://www.datenschutz.rlp.de/service/aktuelles/detail/15-speyerer-forum-zur-digitalen-lebenswelt-digital-souveraen-wer-oder-was-entscheidet-im-modernen-rechtsstaat
—— END ——
我在德国搞数据合规
