跳转到主要内容

【数据隐私】CPO警告说,数据隐私必须统一IT工程、法律和政策目标

McAfee首席隐私官预测,随着期待已久的《1988年隐私法》更新生效,澳大利亚对隐私要求的采纳是一个“令人兴奋”的发展,最终将隐私从学术领域带入组织政策结构。

安全公司McAfee的首席隐私官米歇尔·丹尼迪(Michelle Dennedy)作为长期的隐私倡导者在全球扮演着重要角色。她表示,澳大利亚决定严肃对待隐私问题——新法规规定,一旦发生违规行为,将处以高达170万美元的罚款——使得隐私的整个概念“对真实的人来说”是真实的。

“在澳大利亚,一项具有法律效力和某些特定性的法律允许您的数据专员主动采取行动,”她告诉澳大利亚CSO。“在隐私领域,这让我们感到兴奋,因为它确实让公众意识到、谈论和思考。现在(围绕隐私)有很多动力;这不是利基,也不是学术。”

新的隐私条例整合了之前关于个人身份数据处理的不同指南,对私营和公共部门组织施加了一致的条件,并明确了各方在数据方面的权利和责任。

但丹尼迪——多年来一直活跃在全球隐私环境中,最近撰写了一本书《隐私工程师宣言》(the privacy Engineer’s Manifesto)——比许多人更清楚现实生活中的转变有多么困难。

【数据隐私趋势】从美国到津巴布韦:目前需要注意的3个全球数据隐私趋势

随着立法者和技术平台面临着开拓消费者数据新保护的压力,领先的隐私和政策专家阐述了定义信息经纪和数字广告未来的主要全球趋势。

消费者数据隐私的立法和实施范围比以往任何时候都更广。

随着美国比几年前更接近通过一项全面的联邦数据保护法,对数据传输的担忧在欧洲升温,包括印度和中国在内的世界上一些人口最多的国家正在努力制定新的个人数据立法提案,很明显,我们正处于一场全文化的清算之中。

Drum调查了顶级数据隐私和政策专家,了解全球数据保护的最大趋势。他们是这么说的。

1.立法洪水

尽管欧盟自2018年通过影响深远的《通用数据保护条例》(GDPR)以来一直在数据隐私改革方面处于领先地位,但它还没有对消费者数据进行监管。欧盟委员会提出了两个关键的立法框架-数字服务法和数字市场法-目前正在审议。根据欧盟委员会的网站,这两项法案旨在通过引入新的消费者保护措施来创建一个更安全的数字生态系统,同时也有助于“建立一个公平的竞争环境,以促进创新、增长和竞争力”。

【算法合规】美国FTC使用人工智能和算法指导

头条吹捧人工智能技术的快速进步。使用人工智能技术——机器和算法——进行预测、建议或决策,对提高福利和生产率具有巨大潜力。但它也带来了风险,如可能出现不公平或歧视性结果,或现有社会经济差异的持续存在。健康人工智能就是这种紧张关系的一个典型例子。最近发表在《科学》杂志上的研究表明,一种出于良好意图而使用的算法——将医疗干预目标对准病情最严重的患者——最终将资源输送给了更健康的白人人口,而损害了病情更严重的黑人患者。

好消息是,虽然人工智能和机器学习技术的复杂性是新的,但自动化决策并非如此,我们在联邦贸易委员会拥有处理使用数据和算法做出消费者决策所带来的挑战的长期经验。多年来,联邦贸易委员会提出了许多指控违反我们执行的涉及人工智能和自动化决策的法律的案件,并调查了该领域的许多公司。例如,1970年颁布的《公平信用报告法》(FCRA)和1974年颁布的平等信用机会法(ECOA)都涉及自动决策,金融服务公司几十年来一直将这些法律应用于基于机器的信用承销模型。我们还利用《联邦贸易委员会法》授权禁止不公平和欺骗行为,以解决因使用人工智能和自动化决策而造成的消费者伤害。

【PIPEDA】加拿大PIPEDA简介

遵守法律有许多要求。PIPEDA涵盖的组织在收集、使用或披露个人信息时,通常必须获得个人的同意。人们有权访问组织持有的个人信息。他们也有权质疑其准确性。

个人信息只能用于其收集目的。如果一个组织打算将其用于其他目的,他们必须再次获得同意。个人信息必须受到适当保障措施的保护。

在本页上

  • 该法如何适用
    • 省级隐私法
    • 跨越国界的信息
    • 联邦监管组织
  • 什么是个人信息?
  • PIPEDA没有涵盖哪些内容?
  • 你在PIPEDA下的责任

该法如何适用

PIPEDA适用于加拿大各地在商业活动过程中收集、使用或披露个人信息的私营部门组织。

法律将商业活动定义为具有商业性质的任何特定交易、行为或行为,或任何常规行为过程,包括出售、易货或租赁捐赠者、会员或其他筹款名单。

省级隐私法

艾伯塔省、不列颠哥伦比亚省和魁北克省都有自己的私营部门隐私法,被认为与PIPEDA基本相似。受实质上类似的省级隐私法约束的组织在该省范围内收集、使用或披露个人信息时,一般不受PIPEDA的约束。

【俄罗斯个人数据保护】2020年在俄罗斯做生意

一般方法

法律和监管框架

2006年7月通过了关于“个人数据”的第152-FZ号联邦法律(“数据保护法”),其中一些规定是基于俄罗斯2001年11月7日签署的1981年《关于在自动处理个人数据方面保护个人的斯特拉斯堡公约》(“斯特拉斯堡公约”)。

《数据保护法》提供了一个框架,由俄罗斯政府和政府当局的一些条例以及俄罗斯劳动和行政法的某些规定加以补充。

关键发展

2015年,《数据保护法》修订了个人数据本地化要求,根据该要求,俄罗斯公民的个人数据必须存储在位于俄罗斯的服务器上。2019年,除了之前的制裁措施(包括阻止访问侵权者的网站)外,还对违反这一要求的行为实施了巨额罚款。

2017年,违反个人数据法要求的行政罚款大幅增加。

2018年,俄罗斯签署了一项修正议定书,更新了《欧洲委员会关于在自动处理个人数据方面保护个人的第108号公约》。预计将修订《国家数据保护法》,以遵守本议定书。例如,应在俄罗斯法律中引入数据控制者通知数据保护机构和数据主体任何个人数据泄露的义务,以及基因数据作为一种新的敏感个人数据类别的概念。在现阶段,批准修正议定书的法律尚未通过。

【DPO】数据保护官还是首席隐私官?

数据保护官员的崛起

在GDPR筹备的最后几个月,欧洲见证了一项新工作职能的扩散。

欧洲各地的组织都在任命数据保护官员,以表面上实现对新法规的遵守。

从那时起,桥下流过很多水。各组织现在有机会以结构化的方式开展数据保护工作,并有机会体验哪些工作有效,哪些可以改进。

与此同时,在此期间,对更高级数据处理活动的业务需求显著增加。在GDPR开始实施之前的几年中,只有少数组织参与了更先进的数据处理活动,人工智能、机器学习和面部识别等技术现在已成为传统技术,并被许多组织部署在各种环境中,用于各种目的。

这种成熟度的提高和对隐私功能作用的深入理解促使各组织扪心自问:

什么是我们理想的组织数据保护设置?我们需要首席隐私官还是数据保护官,还是两者都需要?

在下面的文章中,我将研究这两种角色的好处,但我也将研究与每种角色相关的一些挑战,以及为什么这些挑战促使数据保护官员和组织质疑他们的理想设置。在本文的最后,我将分享我的观点,即什么样的组织结构可能是各种类型组织的理想选择。

【欧盟隐私保护】欧洲最高法院对敏感数据的裁决可能会迫使广泛的隐私保护重新启动

欧盟最高法院昨天做出的一项裁决可能会对在线平台产生重大影响,这些平台使用背景跟踪和分析以行为广告瞄准用户,或为推荐引擎提供信息,这些引擎旨在展示所谓的“个性化”内容。

影响可能更为广泛-隐私法专家建议,该判决可能会增加各种其他形式在线处理的法律风险,从约会应用到位置跟踪等等。尽管他们认为,由于运营商试图解开判决可能产生的复杂实际困难,新的法律转介也可能出现。

提交欧盟法院的案件涉及立陶宛关于国家反腐败立法的案件。但该判决的影响可能会在整个地区都能感受到,因为它明确表明了欧盟的《一般数据保护条例》(GDPR)在涉及可以对个人做出敏感推断的数据操作时,应该如何解释,该条例为处理个人数据设定了法律框架。

隐私观察者很快就注意到了这一点,并预计会对执法产生实质性的后续影响,因为CJEU的指导基本上指示该地区的数据保护机构网络避免对敏感数据的构成做出过于狭隘的解释,这意味着该集团最严格的隐私保护将使平台更难规避。

 

【GDPR】GDPR隐私影响评估

隐私影响评估(PIA)或数据保护影响评估(DPIA)工具是与《一般数据保护条例》(GDPR第35条)一起引入的。这是指控制者有义务在开始预期数据处理之前进行影响评估并记录。可以将评估捆绑到多个处理过程中。

【GDPR】Email营销

通讯邮件和电子邮件营销是在线营销领域的固定组成部分。基本上,禁止处理但有可能获得授权的原则也适用于用于发送电子邮件的个人数据。只有在数据主体同意或有其他法律依据的情况下,《通用数据保护条例》(GDPR)才允许进行处理。例如,这可能是为了保护控制者发送电子邮件营销的合法权益。《一般数据保护条例》序言部分47明确规定,该法律也适用于作为控制人合法利益的直接营销个人数据处理。

【GDPR】GDPR同意要求是什么?

避免大额GDPR罚款的一个简单方法是在使用用户的个人数据之前始终获得用户的许可。本文解释了GDPR同意要求,以帮助您遵守。

与普遍的看法相反,欧盟GDPR(一般数据保护条例)并不要求企业在将个人信息用于商业目的之前获得他人的同意。相反,同意只是GDPR第6条概述的六个法律基础之一。企业必须确定其数据处理的法律依据。

同意是最容易满足的,因为它允许你对数据做任何事情-只要你清楚地解释你要做什么并获得数据主体的明确许可。然而,正如谷歌最近通过5000万欧元的罚款得知的那样,你不能偷工减料。法国数据保护部门表示,该公司关于获得同意的说法既不“知情”,也不“明确”和“具体”

本文将重点讨论如何满足GDPR对作为法律基础的同意的要求。

有关GDPR的更多信息,请阅读我们的文章“什么是GDPR?”它提供了法律的概念概述。我们还发布了GDPR的全文。

GDPR要求数据处理有法律依据

GDPR在序言40中解释道:“为了使处理合法,应在相关数据主体的同意或其他合法基础上处理个人数据。”换句话说,同意只是你可以用来证明收集、处理和/或存储个人数据的合法依据之一。第6条提出了其他五个理由。

订阅 数据隐私