McAfee首席隐私官预测，随着期待已久的《1988年隐私法》更新生效，澳大利亚对隐私要求的采纳是一个“令人兴奋”的发展，最终将隐私从学术领域带入组织政策结构。

安全公司McAfee的首席隐私官米歇尔·丹尼迪（Michelle Dennedy）作为长期的隐私倡导者在全球扮演着重要角色。她表示，澳大利亚决定严肃对待隐私问题——新法规规定，一旦发生违规行为，将处以高达170万美元的罚款——使得隐私的整个概念“对真实的人来说”是真实的。

“在澳大利亚，一项具有法律效力和某些特定性的法律允许您的数据专员主动采取行动，”她告诉澳大利亚CSO。“在隐私领域，这让我们感到兴奋，因为它确实让公众意识到、谈论和思考。现在（围绕隐私）有很多动力；这不是利基，也不是学术。”

新的隐私条例整合了之前关于个人身份数据处理的不同指南，对私营和公共部门组织施加了一致的条件，并明确了各方在数据方面的权利和责任。

但丹尼迪——多年来一直活跃在全球隐私环境中，最近撰写了一本书《隐私工程师宣言》（the privacy Engineer’s Manifesto）——比许多人更清楚现实生活中的转变有多么困难。

2022年6月16日，下议院提出并通过了法案C-27，该法案旨在制定《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》，并对其他法案进行相应和相关修订，也被称为《数字宪章实施法2022》（“DCIA 2022”）。2021，《2020年数字宪章实施法案》的C-11法案未能通过。2022年DCIA分为三个主要部分，旨在制定三项新法案，即《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》。

在本文中，OneTrust DataGuide Research概述了DCIA 2022的各个部分及其主要条款，重点介绍了业务的关键发展和注意事项。

介绍

DCIA 2022旨在制定规则来管理个人信息的保护，并以一种承认个人对其个人信息的隐私权，以及组织收集、使用或披露此类个人信息的相关需求的方式，以达到理性人士认为适当的目的。

为确保这一点，DCIA 2022将适用于以下个人信息方面的每个组织：

随着弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州最近都颁布了全面的隐私立法，隐私和消费者数据保护法在美国各地不断上升。这些法律的颁布意味着美国的数据控制者面临新的义务，而消费者则欢迎他们提高数据保护权，以更好地保护消费者隐私。

《2020年加州隐私权法案》（“CPRA”）和《弗吉尼亚州消费者数据保护法案》（“CDPA”）将于2023年1月1日生效，虽然科罗拉多州参议院法案21-190《科罗拉多州隐私法案》（“CPA”）和《康涅狄格州个人数据隐私和在线监控法案》（“CTDPA”）将于2023年7月1日生效，而《犹他州消费者隐私法案》（“《UCPA》”）将于2022年12月31日生效。尽管上述法律并未明确提及Cookie的使用，他们的许多强制性要求影响了组织对Cookie的尊重。

在这篇深入的文章中，我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧，以期制定出一种协调一致的合规方法。

2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第二部分类似，本文旨在突出PDPA中的关键条款，重点关注PDPA下的个人权利和责任。

数据主体权利

知情权（第21、23和41条）

当根据通知给数据主体的目的收集、使用或披露个人数据时，数据控制者仅需以与之前通知给数据对象的目的不同的方式收集、使用和披露个人数据，其中：

• 数据主体已被告知此类新目的，并且在收集、使用或披露之前获得同意；或
• 它符合PDPA或其他法律的规定。

在收集个人数据时，除非数据主体已经知道此类详细信息，否则控制器必须告知数据主体：

2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第三部分类似，本文旨在强调PDPA的关键条款，重点关注数据控制者和数据处理者的义务，包括数据保护官员任命（“DPO”）、违约通知和向外国的数据传输。此外，PDPA的二级法律草案提供了关于数据控制者义务的进一步信息。

数据控制器

数据安全（第37条）

数据管理员需要采取适当的安全措施，以防止未经授权或非法丢失、访问、使用、更改、更正或披露个人数据。具体而言，必须在必要时或技术发生变化时审查此类措施，以有效维护适当的安全和保障。

关于处理个人信息的安全措施的通知草案（“安全措施通知草案”）规定了防止未经授权或非法丢失、访问、使用、更改、更改或披露个人信息的最低安全要求。

2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于个人数据保护法的三部分系列的第二部分和第三部分类似，本文旨在强调个人数据保护的关键条款，重点关注其适用范围、重要定义以及收集、使用和披露个人信息的依据。

适用范围

一般和部门应用（第3至5节）

《个人数据保护法》适用于泰国的数据控制者或数据处理者收集、使用或披露个人数据，无论此类收集、使用和披露是否发生在泰国。如果数据控制者或数据处理者在泰国境外，PDPA将适用于个人数据的收集、使用或披露，其中涉及以下活动：

• 向在泰国的数据主体提供货物或服务，无论数据主体是否付款；或
• 监测数据主体的行为，该行为发生在泰国。

PDPA澄清，它将不适用于许多情况，包括：

2022年4月21日，《2018年加州消费者隐私法》（“CCPA”）下的规则制定权已正式移交给加州隐私保护局（“CPPA”）。此后不久，在2022年5月5日，现有CCPA最终法规被转移到《加利福尼亚州法规》第11篇第6部分，将其纳入《法规》的一部分，由CPPA管辖。最后，在2022年5月27日，CPPA宣布将于2022年6月8日召开董事会会议，除其他事项外，将讨论其在CCPA下的拟议条例草案（“CPPA拟议条例草案”），该草案与会议通知和议程一起发布。

在本文中，OneTrust数据指南概述了CPPA拟议条例草案、与原始CCPA最终条例相比的关键添加和删除，以及企业下一步可以预期的内容。

关键补充

新的CPPA拟议条例草案涉及多个关键领域，其中包括透明度和通知、消费者权利、服务提供商和第三方合同相关事宜，以及对财务激励等其他主题的澄清。然而，值得注意的是，这套CPPA拟议条例草案只是预期的一套条例中的一套。除其他一些主题外，预计还将对进一步的主题（如数据保护影响评估、自动处理和分析）制定更多法规。

巴西目前正在完善其监管饼干的方法，并在这方面提供更广泛的指导。来自Rennó、Penteado、Sampaio Advogados的Celina Bottino、Vinicius Padrão和Flávia Parra Cano讨论了这一领域的当前发展以及欧盟在这一问题上采取的方法的相关性。

介绍

2018年8月14日的第13.709号法律《一般个人数据保护法》（经2019年7月8日第13.853号法律修订）（“LGPD”）未对Cookie做出任何具体规定。cookie可以定义为可以存储在计算机或移动设备上的小文本文件，通常包含与某个人访问的网站相关的数据。存储在这些Cookie中的信息可能包括非个人数据，如语言偏好设置，但也可能包括个人数据，例如IP地址或用户名。与《一般数据保护条例》（第（欧盟）2016/679号条例）（“GDPR”）类似，LGPD采用了个人数据的广义定义，被理解为关于已识别或可识别自然人的任何信息（《LGPD》第5条第1款）。因此，由于某些Cookie可能包含能够识别自然人的信息，因此它们将被视为个人数据，受LGPD要求的约束。

《美国数据隐私和保护法案1》（“ADPPA”）虽然仍在审查中，但与现有隐私立法有许多相似之处，包括澳大利亚1988年隐私法案（“隐私法案”）。来自Sainty Law的Katherine Sainty和Aisling Hamilton介绍了ADPA的一些主要特征，以及ADPA与隐私法的比较。

什么是ADPPA？

ADPPA是一项隐私法案草案，如果获得通过，将赋予美国公民前所未有的数据隐私权。这是一项综合性法案，创建了一个框架，为个人提供更大的隐私保护，并限制实体收集、访问和使用个人数据的方式。

ADPPA是第一个旨在保护美国数据和隐私的主要联邦框架，它代表了一个重要的妥协，因为它得到了民主党和共和党的支持。

ADPA涵盖什么和谁？

ADPA保护覆盖数据“覆盖数据”定义为：

“识别或链接或合理链接到个人或设备的信息，该设备识别或链接到一个或多个个人，包括衍生数据和唯一标识符。”。

覆盖数据特别不包括未识别数据、员工数据和公开可用信息，这些数据在ADPA中分别定义。

022年6月16日，个人数据保护局（“KVKK”）在其官方网站上发布了第6698号个人数据保护法（“法律”）范围内的忠诚度计划审查指南草案，以供公众咨询，直到2022年7月16日为止，KVKK接受利益相关者对指南草案的意见，BTS&Partners提供了KVKK在指南草案中提出的要点的总结。

尽管指南草案不具有法律约束力，因为它反映了KVKK的大多数建议，这些建议已经在不同的案例中提出，并且由于KVKK指南一旦定稿，通常不会受到重大修订，在土耳其提供忠诚度计划的数据控制员应考虑根据指南草案审查其数据处理活动。

忠诚度计划的定义

在指南草案中，忠诚度计划被定义为“所有或部分策略，例如通过处理客户的个人数据，使其对业务具有特定性或可识别性，跟踪客户的购物习惯，为客户提供积分/礼物/优势，以换取购物。”，以及通过分析处理后的个人数据提供个性化的产品/服务，或旨在增加业务销售额和利润同时为客户提供利益的单边或合作计划。

应注意的是，KVKK并未对其他主要工作领域（如零售、电子商务市场）的服务提供商提供的忠诚度计划以及直接和单独运营忠诚度计划的公司提供的忠诚度项目做出任何区分。