跳转到主要内容

【网络安全】网络罪犯如何将“无害”的被盗或泄露数据转化为美元

通过合并来自多个来源的数据,网络犯罪分子可以建立被黑客账户所有者的档案,以支持其他攻击或提高社会工程活动的有效性。

现在距离2021已经快过半了,已经发生了二十多起引人注目的数据泄露事件,其中一些涉及脸书、LinkedIn、Instagram、US Cellular、T-Mobile、Geico和益百利等品牌。这些入侵期间窃取的数据将影响数百万用户,即使其中一些数据可能与电子邮件地址一样无辜。这是因为被盗数据不存在于筒仓中。

Forrester Research副总裁兼首席分析师杰夫·波拉德(Jeff Pollard)解释说:“这些东西不存在于真空中。”。“一个漏洞中可能有一个电子邮件地址,另一个漏洞的更多信息与该电子邮件地址对应。”

Pollard警告不要单独查看每个违规行为,因为数据可以汇总和汇编,以收集有关个人的更多细节。“一个面包屑会导致另一个,”他说,“由于普遍存在的漏洞,可以将东西放在一起,从而可以找到另一个人。”

【数据隐私】CPO警告说,数据隐私必须统一IT工程、法律和政策目标

McAfee首席隐私官预测,随着期待已久的《1988年隐私法》更新生效,澳大利亚对隐私要求的采纳是一个“令人兴奋”的发展,最终将隐私从学术领域带入组织政策结构。

安全公司McAfee的首席隐私官米歇尔·丹尼迪(Michelle Dennedy)作为长期的隐私倡导者在全球扮演着重要角色。她表示,澳大利亚决定严肃对待隐私问题——新法规规定,一旦发生违规行为,将处以高达170万美元的罚款——使得隐私的整个概念“对真实的人来说”是真实的。

“在澳大利亚,一项具有法律效力和某些特定性的法律允许您的数据专员主动采取行动,”她告诉澳大利亚CSO。“在隐私领域,这让我们感到兴奋,因为它确实让公众意识到、谈论和思考。现在(围绕隐私)有很多动力;这不是利基,也不是学术。”

新的隐私条例整合了之前关于个人身份数据处理的不同指南,对私营和公共部门组织施加了一致的条件,并明确了各方在数据方面的权利和责任。

但丹尼迪——多年来一直活跃在全球隐私环境中,最近撰写了一本书《隐私工程师宣言》(the privacy Engineer’s Manifesto)——比许多人更清楚现实生活中的转变有多么困难。

【加拿大DCIA】加拿大:2022年数字宪章实施法案-您需要了解的内容

2022年6月16日,下议院提出并通过了法案C-27,该法案旨在制定《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》,并对其他法案进行相应和相关修订,也被称为《数字宪章实施法2022》(“DCIA 2022”)。2021,《2020年数字宪章实施法案》的C-11法案未能通过。2022年DCIA分为三个主要部分,旨在制定三项新法案,即《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》。

在本文中,OneTrust DataGuide Research概述了DCIA 2022的各个部分及其主要条款,重点介绍了业务的关键发展和注意事项。

介绍

DCIA 2022旨在制定规则来管理个人信息的保护,并以一种承认个人对其个人信息的隐私权,以及组织收集、使用或披露此类个人信息的相关需求的方式,以达到理性人士认为适当的目的。

为确保这一点,DCIA 2022将适用于以下个人信息方面的每个组织:

【美国Cookie合规】美国:加利福尼亚州、弗吉尼亚州、犹他州、科罗拉多州和康涅狄格州的Cookie法规-朝着和谐的方向发展

随着弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州最近都颁布了全面的隐私立法,隐私和消费者数据保护法在美国各地不断上升。这些法律的颁布意味着美国的数据控制者面临新的义务,而消费者则欢迎他们提高数据保护权,以更好地保护消费者隐私。

《2020年加州隐私权法案》(“CPRA”)和《弗吉尼亚州消费者数据保护法案》(“CDPA”)将于2023年1月1日生效,虽然科罗拉多州参议院法案21-190《科罗拉多州隐私法案》(“CPA”)和《康涅狄格州个人数据隐私和在线监控法案》(“CTDPA”)将于2023年7月1日生效,而《犹他州消费者隐私法案》(“《UCPA》”)将于2022年12月31日生效。尽管上述法律并未明确提及Cookie的使用,他们的许多强制性要求影响了组织对Cookie的尊重。

在这篇深入的文章中,我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧,以期制定出一种协调一致的合规方法。

【泰国PDPA】泰国:PDPA下的权利和执行-第三部分

2019年《个人数据保护法》(“PDPA”)是泰国第一部全面的数据保护立法,最初计划于2020年5月27日生效。然而,由于新冠肺炎大流行而推迟了两轮,PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”),旨在确保对个人数据的保护,并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第二部分类似,本文旨在突出PDPA中的关键条款,重点关注PDPA下的个人权利和责任。

数据主体权利

知情权(第21、23和41条)

当根据通知给数据主体的目的收集、使用或披露个人数据时,数据控制者仅需以与之前通知给数据对象的目的不同的方式收集、使用和披露个人数据,其中:

  • 数据主体已被告知此类新目的,并且在收集、使用或披露之前获得同意;或
  • 它符合PDPA或其他法律的规定。

在收集个人数据时,除非数据主体已经知道此类详细信息,否则控制器必须告知数据主体:

【泰国PDPA】泰国:确保遵守PDPA-第二部分

2019年《个人数据保护法》(“PDPA”)是泰国第一部全面的数据保护立法,最初计划于2020年5月27日生效。然而,由于新冠肺炎大流行而推迟了两轮,PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”),旨在确保对个人数据的保护,并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第三部分类似,本文旨在强调PDPA的关键条款,重点关注数据控制者和数据处理者的义务,包括数据保护官员任命(“DPO”)、违约通知和向外国的数据传输。此外,PDPA的二级法律草案提供了关于数据控制者义务的进一步信息。

数据控制器

数据安全(第37条)

数据管理员需要采取适当的安全措施,以防止未经授权或非法丢失、访问、使用、更改、更正或披露个人数据。具体而言,必须在必要时或技术发生变化时审查此类措施,以有效维护适当的安全和保障。

关于处理个人信息的安全措施的通知草案(“安全措施通知草案”)规定了防止未经授权或非法丢失、访问、使用、更改、更改或披露个人信息的最低安全要求。

【泰国PDPA】泰国:PDPA关键原则-第一部分

2019年《个人数据保护法》(“PDPA”)是泰国第一部全面的数据保护立法,最初计划于2020年5月27日生效。然而,由于新冠肺炎大流行而推迟了两轮,PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”),旨在确保对个人数据的保护,并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于个人数据保护法的三部分系列的第二部分和第三部分类似,本文旨在强调个人数据保护的关键条款,重点关注其适用范围、重要定义以及收集、使用和披露个人信息的依据。

适用范围

一般和部门应用(第3至5节)

《个人数据保护法》适用于泰国的数据控制者或数据处理者收集、使用或披露个人数据,无论此类收集、使用和披露是否发生在泰国。如果数据控制者或数据处理者在泰国境外,PDPA将适用于个人数据的收集、使用或披露,其中涉及以下活动:

  • 向在泰国的数据主体提供货物或服务,无论数据主体是否付款;或
  • 监测数据主体的行为,该行为发生在泰国。

PDPA澄清,它将不适用于许多情况,包括:

【美国CPPA】加利福尼亚州:CPPA拟议条例草案——您需要了解的内容

2022年4月21日,《2018年加州消费者隐私法》(“CCPA”)下的规则制定权已正式移交给加州隐私保护局(“CPPA”)。此后不久,在2022年5月5日,现有CCPA最终法规被转移到《加利福尼亚州法规》第11篇第6部分,将其纳入《法规》的一部分,由CPPA管辖。最后,在2022年5月27日,CPPA宣布将于2022年6月8日召开董事会会议,除其他事项外,将讨论其在CCPA下的拟议条例草案(“CPPA拟议条例草案”),该草案与会议通知和议程一起发布。

在本文中,OneTrust数据指南概述了CPPA拟议条例草案、与原始CCPA最终条例相比的关键添加和删除,以及企业下一步可以预期的内容。

关键补充

新的CPPA拟议条例草案涉及多个关键领域,其中包括透明度和通知、消费者权利、服务提供商和第三方合同相关事宜,以及对财务激励等其他主题的澄清。然而,值得注意的是,这套CPPA拟议条例草案只是预期的一套条例中的一套。除其他一些主题外,预计还将对进一步的主题(如数据保护影响评估、自动处理和分析)制定更多法规。

【巴西Cookie合规】巴西:ANPD在LGPD下对Cookie的第一种方法

巴西目前正在完善其监管饼干的方法,并在这方面提供更广泛的指导。来自Rennó、Penteado、Sampaio Advogados的Celina Bottino、Vinicius Padrão和Flávia Parra Cano讨论了这一领域的当前发展以及欧盟在这一问题上采取的方法的相关性。

介绍

2018年8月14日的第13.709号法律《一般个人数据保护法》(经2019年7月8日第13.853号法律修订)(“LGPD”)未对Cookie做出任何具体规定。cookie可以定义为可以存储在计算机或移动设备上的小文本文件,通常包含与某个人访问的网站相关的数据。存储在这些Cookie中的信息可能包括非个人数据,如语言偏好设置,但也可能包括个人数据,例如IP地址或用户名。与《一般数据保护条例》(第(欧盟)2016/679号条例)(“GDPR”)类似,LGPD采用了个人数据的广义定义,被理解为关于已识别或可识别自然人的任何信息(《LGPD》第5条第1款)。因此,由于某些Cookie可能包含能够识别自然人的信息,因此它们将被视为个人数据,受LGPD要求的约束。

【全球隐私法比较】国际:比较美国ADPPA与澳大利亚隐私法

《美国数据隐私和保护法案1》(“ADPPA”)虽然仍在审查中,但与现有隐私立法有许多相似之处,包括澳大利亚1988年隐私法案(“隐私法案”)。来自Sainty Law的Katherine Sainty和Aisling Hamilton介绍了ADPA的一些主要特征,以及ADPA与隐私法的比较。

什么是ADPPA?

ADPPA是一项隐私法案草案,如果获得通过,将赋予美国公民前所未有的数据隐私权。这是一项综合性法案,创建了一个框架,为个人提供更大的隐私保护,并限制实体收集、访问和使用个人数据的方式。

ADPPA是第一个旨在保护美国数据和隐私的主要联邦框架,它代表了一个重要的妥协,因为它得到了民主党和共和党的支持。

ADPA涵盖什么和谁?

ADPA保护覆盖数据“覆盖数据”定义为:

“识别或链接或合理链接到个人或设备的信息,该设备识别或链接到一个或多个个人,包括衍生数据和唯一标识符。”。

覆盖数据特别不包括未识别数据、员工数据和公开可用信息,这些数据在ADPA中分别定义。

订阅 CPO