是否有有关隐私的法律?

<h1>1974年的隐私法</h1>
<blockquote>目前,欧洲委员会正在审查拟议的框架,欧洲数据保护委员会的意见. 欧洲隐私倡导组织可能会受到批评,但是如果框架生存,则可能是企业在欧盟和U之间传输数据的方法.s.</blockquote>
<h2>数据保护和隐私法</h2>
<p><strong>如所述 <em>第三节. 隐私与安全</em>, 数据保护需要采用整体系统设计方法,该方法结合了法律,行政和技术保障的组合.</strong> 首先,ID系统应由保护个人数据,隐私和用户权利的法律框架为基础. 许多国家都采用了不仅适用于身份系统的一般数据保护和隐私法,而且还适用于其他政府或私营部门活动,涉及处理个人数据. 根据有关隐私和数据保护的国际标准(请参阅专栏8),这些法律通常具有针对个人信息的收集,存储和使用的广泛规定和原则,包括:</p>
<ul>
<li><strong>目的限制.</strong> 个人数据的收集和使用应限于目的:(1)在法律上陈述,因此(至少在理论上)在数据收集时可以知道个人;或(2)个人已同意.</li>
<li><strong>比例和最小化.</strong> 收集的数据必须是 <em>与目的相称</em> ID系统的目的是避免不必要的数据收集和&ldquo;功能蠕变&rdquo;,这两者都可以创造隐私风险. 这通常可以表达出来,只能收集&ldquo;最低必要&rdquo;数据(包括交易元数据)来实现预期的目的.</li>
<li><strong>合法.</strong> 个人数据的收集和使用应合法完成.G., 涉及同意,合同必要性,遵守法律义务,保护重要利益,公共利益和/或合法利益.</li>
<li><strong>公平和透明.</strong> 个人数据的收集和使用应公平透明地完成.</li>
<li><strong>准确性.</strong> 个人数据应该是准确和最新的,并且不准确地应纠正.</li>
<li><strong>存储限制.</strong> 个人数据(包括交易元数据)的保留时间不得超过所需的目的所需的时间. 关于交易元数据,可以为保留此类数据的时间提供选择.</li>
<li><strong>增强隐私技术(宠物).</strong> 使用保护隐私的技术的要求(e.G., 通过消除或减少个人数据的收集,防止不必要或不希望的个人数据处理,并促进遵守数据保护规则的统治化的令牌化).</li>
<li><strong>问责制</strong>. 根据上述原则处理个人数据,应由适当的独立监督授权和数据主体本身监控.</li>
</ul>
<p>一般而言,应出于特定目的而合法获得(通常是通过自由同意)合法获得个人信息,并且不适用于政府或第三方的未经授权的监视或分析,或未经同意而用于未连接的目的(除非法律另有规定要求). 最后,用户应拥有有关它们的数据的某些权利,包括获得和纠正有关它们的错误数据的能力,并具有寻求补救以确保这些权利的机制.</p>
<p>以下各节描述了与机构监督,数据安全,数据共享,跨境数据传输和用户同意有关的一些特定数据保护保障.</p>
<p><strong>方框8. 欧盟一般数据保护法规(GPDR)</strong></p>
<p>就现有框架而言 <strong>欧盟(欧盟)</strong> 2016 <em>通用数据保护法规(GDPR)</em> 是全面监管数据保护和隐私的最新示例,为国际良好实践设定了新的门槛. 以现有原则为基础(e.G., 经合组织的隐私原则),它已成为该领域全球工作的重要参考点. GDPR的第5条阐述了上述核心原则,要求个人数据收集,存储和使用:</p>
<ul>
<li>与数据主体有关的合法,公平和透明的方式处理;</li>
<li>用于指定,明确和合法的目的;</li>
<li>足够,相关且限于与它们的处理目的有关的必要条件;</li>
<li>准确,必要时保持最新状态;</li>
<li>以允许识别数据主体的形式不再需要为处理个人数据的目的所需的必要条件;和</li>
<li>以确保适当安全性的方式处理.</li>
</ul>
<p>此外,欧盟成员国必须规定监督权以监视法规的应用(第51(1)条). 但是,许多成员国以前曾根据欧盟数据保护指令(指令95/46/eu)建立了自己的监督当局;现任欧盟数据保护制度.</p>
<p>当GDPR在2018年武力时,它引入的一些新的权利和职责仍然是政策界的辩论,并且有关其在实践中申请的许多法律问题仍然存在. 但是,该框架的关键原则在很大程度上起源于较早的欧洲法律,并不是欧洲或GDPR的新事物。. 它们在欧洲以外的许多国家数据保护和隐私法中以一种或另一种形式反映,主要是由于对其优点的普遍认识.</p>
<h5>机构监督</h5>
<p><strong>数据保护和隐私总体以及关于ID系统的隐私通常受到独立监督或监管机构的监督</strong> 确保遵守隐私和数据保护法,包括保护个人权利. 监督当局可能是政府官员,申诉专员或几个成员的机构. <strong>这种权威的真正独立性是关键因素</strong>, 随着独立性通过结构性因素衡量,例如权威的组成,任命成员的方法,行使监督功能的权力和时间范围,分配足够的资源以及在不外部干扰的情况下做出有意义的决策的能力(e).G., 参见独奏会117 <em>GDPR</em>).</p>
<p>监督当局可能会处理公众投诉,即使收集数据的每个人都可以诉诸外部有约束力的法律程序,最终至少在法律方面就. 在补救措施方面,当局可能有权授权ID系统纠正,删除或破坏不准确或非法收集的数据.</p>
<p>具体而言,欧洲理事会(COE) <em>保护个人关于自动处理个人数据的公约</em> (公约108, <em>COE 2018</em>) – 最近被更新为公约108+ – 指示 <strong>这种权威的权力和职责可能包括</strong>:</p>
<ul>
<li>监视,调查和执行遵守个人隐私和数据保护权的职责;</li>
<li>监控发展及其对个人隐私和数据保护权的影响的职责;</li>
<li>收到投诉并进行对个人隐私和数据保护权的可能侵犯的调查的权力;</li>
<li>就违反此类权利和秩序补救措施或有意义的制裁做出决定的权力;</li>
<li>促进公众对个人权利的认识以及持有和处理个人数据的实体的职责的职责;和</li>
<li>特别关注儿童和其他弱势个人的数据保护权的义务.</li>
</ul>
<p>COE进一步建议,监督当局也可能拥有其他权力和职责,例如:</p>
<ul>
<li>在实施数据处理操作之前发表意见;</li>
<li>就立法或行政措施提供建议;</li>
<li>推荐行为守则或将案件提交国家议会或其他国家机构;</li>
<li>发行定期报告,发表意见和其他公共沟通,以使公众了解其权利和义务以及一般数据保护问题.</li>
</ul>
<p><strong>方框9. 数据隐私和保护监督机构的示例</strong></p>
<p>这 <strong>爱沙尼亚数据保护检查员</strong><em>, 成立于1999年,</em> 是由《数据保护法》,《公共信息法》和电子通讯法授权的监督权. 监察局的任务是保护爱沙尼亚宪法所规定的以下权利:</p>
<ul>
<li>获取有关公共当局活动的信息的权利;</li>
<li>私人生活和家庭生活的不可侵犯的权利;和</li>
<li>访问收集的数据的权利</li>
</ul>
<p>在 <strong>南非</strong>, 2013年《个人信息保护法》第4章建立了信息监管机构,这是一个独立的机构,仅遵守宪法和法律. 该机构是由国民议会的建议任命的,该委员会由国民议会中代表的所有政党成员组成. 最终对国民议会负责. 它具有广泛的监督职能,包括:进行公共教育,监控和执行遵守法律,咨询利益相关者并在反对派之间进行调解,处理个人投诉,进行相关研究,发行行为和准则范围,以及促进跨境合作. 它的监视功能包括定期评估和监视参与个人数据处理并监视数据主体唯一标识符的公共和私人机构. 请注意,截至2018年8月,该法案尚未完全生效.</p>
<p>在菲律宾,2012年的《数据隐私法》建立了独立国家隐私委员会. 该委员会附属于信息与通信技术部,由一名隐私专员领导,该委员会由两名副隐私专员(一名负责数据处理系统,一名负责政策和计划负责)的委员会领导. 这三位隐私专员必须是信息技术和数据隐私领域的专家,所有这些都必须由总统任命为三年任期,并且有资格重新任命第二个任期. 委员会有自己的秘书处. 委员会的许多职责包括监视遵守数据隐私法;接受和调查投诉;定期发布与数据保护有关的所有法律指南;审查和批准个人信息控制器自愿采用的隐私法规;就拟议的国家或地方法规,法规或程序的数据隐私含义提供意见;并与其他国家 /地区的数据隐私调节器进行协调(请参阅2012年菲律宾数据隐私法,第二章.)</p>
<p>在里面 <strong>英国</strong>, 1984年《数据保护法》介绍了信息专员(以前是数据保护注册商)的作用,尽管根据1998年的《数据保护法》,授予信息专员的权力增加了范围,最近,《数据保护法》 2018. 信息专员是由官方任命的独立官员,并经营英国信息专员办公室(ICO). ICO由数字,文化,媒体和体育部(DCMS)赞助,并最终向议会报告. 它是一个独立的监管机构,旨在监视,调查和执行英国的所有适用数据保护和隐私立法(包括苏格兰,在有限的范围内).</p>
<h5>数据安全</h5>
<p><strong>个人信息应牢固地存储和处理,并保护未经授权或非法处理,丢失,盗窃,破坏或损害.</strong> 考虑到网络攻击的威胁,对于数字ID系统而言,该原理变得越来越重要. 典型的措施,以确保法律框架下可以规定的数据安全性 – 其中一些是在详细讨论的 <em>第三节. 隐私与安全</em>-包括:</p>
<ul>
<li>个人数据的加密</li>
<li>个人数据的匿名化</li>
<li>个人数据的假名</li>
<li>使用或生成个人数据的数据和系统的机密性</li>
<li>使用或生成个人数据的数据和系统的完整性</li>
<li>物理或技术事件后,能够恢复使用或生成个人数据的数据和系统</li>
<li>正在进行的测试,评估和评估使用或生成个人数据的系统的安全性</li>
</ul>
<p>许多国际标准也 <strong>对数据控制者施加职责,以通知数据主体</strong> <strong>数据泄露影响其个人数据.</strong> 此外,各国可能制定旨在识别和减轻网络威胁的法律,以及对未经授权访问,使用或更改数据的惩罚的立法(请参阅下面的网络安全部分)<strong>.</strong> 最后,法律框架应包括 <strong>未经授权访问,使用或更改个人数据的足够罚款</strong> 由数据管理员和第三方,包括以下犯罪:</p>
<ul>
<li>未经授权访问ID系统或其他数据库持有个人数据</li>
<li>未经授权的ID系统或其他数据库的监视/监视持有个人数据或未经授权使用个人数据</li>
<li>未经授权的更改收集或存储的数据作为ID系统或其他数据库的一部分,持有个人数据</li>
<li>未经授权的干扰ID系统或其他数据库持有个人数据</li>
</ul>
<p><strong>方框10. 安全漏洞通知法的示例</strong></p>
<p>这 <strong>欧盟的</strong> GDPR要求在意识到这一事件的72小时内,要求&ldquo;无延迟且可行的情况下&rdquo;,&ldquo;没有过度延迟,在可行的情况下&rdquo;向监督权发出通知.通知必须详细详细介绍有关违规的某些信息,包括相关数据主体的类别和大概数量以及违规的可能后果(第33条). 同样,除某些例外情况下,如果违规行为&ldquo;可能会导致自然人的权利和自由造成高风险&rdquo;,则对受影响的单个数据主体的通知必须&ldquo;不延迟&rdquo;,并且此通知至少应具有需要通知监督管理局的相同信息(第34条).</p>
<p>几乎每个州 <strong>美国</strong> 有违反通知法规,通常要求私人或政府实体通知个人涉及个人身份数据的安全漏洞,并阐明构成安全漏洞的内容,通知要求(例如时间和方法)和豁免(例如,用于加密信息).</p>
<p>在 <strong>南非,</strong> 《保护个人信息法》 2013年第4条(截至2018年8月尚未生效)要求信息监管机构,国家监督​​机构,在发现后合理地将违规的数据主体通知数据主体妥协 – 考虑执法的合法需求或确定妥协范围并恢复责任方信息系统完整性的合理措施. 该通知必须提供足够的信息,以允许数据主体采取保护措施,以应对数据泄露的潜在后果,包括. 信息监管机构可以指示责任方公开有关安全漏洞的信息,如果这会保护可能受到影响的个人(南非保护个人信息法,2013年第4条,第22条).</p>
<h5>数据共享</h5>
<p>由于跨数据库的信息链接加剧了隐私和数据保护问题,因此法律框架可以 <strong>通过规定来减轻风险 <em>全部</em> 政府和非政府实体共享ID系统中个人数据的目的</strong>. 此外,公共实体可能仅限于获得以其功能证明的特定信息(i.e., &ldquo;需要知道&rdquo;原则).</p>
<p><strong>信息共享的潜在好处包括:</strong></p>
<ul>
<li>政府和公民的便利;</li>
<li>更好的政府服务交付;</li>
<li>当数据主体更改地址时,无缝服务转移;</li>
<li>改善风险管理;</li>
<li>消除了随着努力的重复而节省成本;和</li>
<li>通过更有效地使用数据提高效率(请参阅E.G., <em>Perrin等. 2015</em>)</li>
</ul>
<p><strong>但是,政府机构之间的信息共享,即使不是井井有条,可以变成一个&ldquo;后门&rdquo;,允许对个人隐私和数据保护保障进行规避.</strong> 全面的人口数据库,例如作为ID系统的一部分建立的数据库,是执法部门的诱人资源,尤其是当它们包含生物识别技术时. 与收集有关 <strong>脱氧核糖核酸</strong> 与其他生物识别数据一样,可以使用的信息不仅可以用于识别个人的目的,而且还可以作为调查他或她是否已犯罪的证据.</p>
<p>即使没有互操作性的技术兼容性,也可以进行此类信息共享. 例如,警.</p>
<p>政策制定者和法院在保护注册人的隐私和支持刑事调查之间取得适当的平衡而苦苦挣扎. 解决此类问题的一种方法可能是应用适用于其他形式的搜索和癫痫发作的相同规则,例如要求获得认股权证. 这可能是有益的,而在这方面已经达到了个人隐私和公共利益之间的平衡. 有关学术工作和媒体中有关此问题的进一步讨论和引用,请参阅 <em>IDEEA工具</em>).</p>
<p><strong>方框11. 数据共享安排的示例</strong></p>
<p>第4(2)条 <strong>欧洲联盟</strong> <em>2016</em> <em>警察和刑事司法数据保护指令2016/680</em> 要求用于其他目的(可能是ID系统或民事注册)收集的个人数据,可以通过相同或其他控制器处理与犯罪相关的目的 <em>仅有的</em> 就以下方面而言:(a)为此有法律授权 <em>和</em> (b)这种处理是必要的,并且与收集个人数据的目的成正比. (见E.G., 欧盟理事会,执法中的数据保护)</p>
<p>在 <strong>印度</strong>, 这 <em>2016年Aadhaar法案</em> 根据适当的法院命令,提供信息披露,不包括&ldquo;核心生物识别信息&rdquo;,只有在印度唯一身份识别机构(UIDAI)才有机会就披露提供意见. 它还提供了信息,包括核心生物识别信息,&ldquo;为国家安全的利益&rdquo;,在政府官员的指导下,在某个职级以上,这已由中央政府的命令授权,并受到监督的审查内阁秘书和法律事务部政府的秘书和电子技术和信息技术部的委员会组成.</p>
<p>在 <strong>澳大利亚</strong>, 联邦 <em>1988年隐私法</em> (修订)包含其&ldquo;隐私原则&rdquo;之一,即未经个人同意,不得将出于特定目的收集或为特定目的收集的个人提供个人信息. 但是,对于执法机构或代表执法机构进行的相关活动&ldquo;合理必要&rdquo;的情况有一个例外,其中包括警察在预防,检测,调查,起诉,起诉或惩罚中使用或披露刑事犯罪 – 以及法律授权或法院命令授权的使用和披露的例外. 必须以书面形式指出与执行相关活动的使用作为促进问责制的一种机制. (另请参阅《隐私法》改革 – 对执行功能的影响)</p>
<h5>跨境数据传输</h5>
<p><strong>跨国家边界传输的个人数据的安全一直是国际共识的驱动力之一,以保护个人数据的基本原则</strong>. 例如,在OECD隐私框架中阐明的原则(<em>经合组织2013</em>)关于个人数据的跨界流的是,数据控制器&ldquo;在其控制下对个人数据保持责任,而无需考虑数据的位置&rdquo;(在1980年通过并于2013年修订,第17条).</p>
<p>但是,由于国外数据保护标准的不确定性,许多国家限制了个人数据的域外转移. 在某些情况下或在第三国的数据保护标准被认为足够的情况下,可以允许进行此类转移. 对于国家ID系统,民用注册和选民注册系统的个人数据,这尤其敏感. 除了跨越边界传输数据外,法律框架还可能包括区域或国际互操作性的安排或对其ID系统的相互认可.</p>
<p><strong>方框12. GPDR限制数据传输</strong></p>
<p>这 <strong>欧盟的</strong> GDPR限制了欧洲经济领域以外的个人数据传输,但在某些情况下. 如果欧盟委员会发出决定确定接收国&ldquo;确保足够的保护水平&rdquo;,则允许此类转移(第45条). 这样的决定需要对国家数据保护框架进行全面评估,包括适用于个人数据和监督和补救机制的保护措施. 在包括加拿大(商业组织),以色列,瑞士和美国在内的12个国家(包括隐私盾牌框架),已经采取了足够的决定.</p>
<p>2018年7月,欧盟和日本同意认识到彼此的数据保护体系是同等的,欧盟委员会开始正式发布充分决定的过程. 同样,英国正在寻求从欧洲委员会获得适当的决定,以申请英国退出欧盟(英国脱欧). 在其他情况下,也允许向非欧盟国家进行转移,例如,如果转让人提供了&ldquo;适当的保障措施&rdquo;,可以通过几种方式建立,包括公共当局之间具有法律约束力的协议,某些合同条款(E).G. 欧盟委员会的模型条款)或存在批准和可执行的行为守则等(GDPR第46条).</p>
<h5>用户同意和控制</h5>
<p>一个广泛接受的隐私原则是 <strong>个人的个人数据仅应在该个人的同意下收集和使用</strong> 除非有其他法律依据以进行此类收集和使用(请参阅《附件II》 <em>IDEEA指导说明</em>). 如果同意是收集的基础,则向个人透明披露他/她的个人数据的性质以及此类数据的预期用途对于同意是有意义的.</p>
<p>许多国际和区域标准和国家法律和国家法律对收集和使用个人信息的同意要求有例外,政府根据法律权威收集数据,例如为ID系统收集的数据(例如,请参阅欧盟委员会的国际模型合同数据传输). 如果不需要或获得同意,透明度至少可以提供明确易于的解释,以确保公众信任并防止误解. 可以通知个人将哪些信息视为公开,哪些信息将保持机密.</p>
<p>一些国家以易于理解的文档的形式使用&ldquo;隐私政策&rdquo;,该文档用简单的语言解释了如何收集和使用个人信息. 但是,公共意识运动对于传播有关个人数据的收集和使用信息也至关重要. 这些可以解决误解和疑虑,并确定问题和投诉的渠道.</p>
<p><strong>方框13. 用户同意法的示例</strong></p>
<p>处理的个人数据是特殊类别数据(例如,生物识别数据), <strong>欧盟的</strong> GDPR指定必须满足其他条件,其中之一是获得个人对处理的&ldquo;明确&rdquo;同意(GPDR第9条). 目前尚不清楚标准同意和明确同意之间是否存在差异(由于标准同意必须是具体的,知情的和平权的行动). 但是,鉴于GDPR仅是最近实施的,很可能会发出进一步的指导以澄清这一点.</p>
<p>这 <strong>加利福尼亚</strong> <em>2018年消费者隐私法</em> 适用于某些收集加利福尼亚居民个人信息的企业,并将在2020年生效. 与GDPR不同,该法在收集个人信息之前并不严格要求同意,在大多数情况下. 但是,在信息收集时,消费者必须收到通知&ldquo;有关要收集的个人信息类别以及应使用个人信息类别的目的&rdquo;(CAL. COV. 代码§178.100(b). 其他信息必须在在线隐私政策或网站上披露,并每12个月更新一次(CAL. COV. 代码§178.130(a).</p>
<p>在 <strong>澳大利亚</strong>, 联邦 <em>1988年隐私法</em> (修订)包含其&ldquo;隐私原则&rdquo;之一,即未经个人同意,不得将出于特定目的收集或为特定目的收集的个人提供个人信息. 但是,对于执法机构或代表执法机构进行的相关活动&ldquo;合理必要&rdquo;的情况有一个例外,其中包括警察在预防,检测,调查,起诉,起诉或惩罚中使用或披露刑事犯罪 – 以及法律授权或法院命令授权的用途和披露的例外. 必须以书面形式指出与执行相关活动的使用作为促进问责制的一种机制. (请参阅《隐私法》第6节,《澳大利亚隐私原则》第6条,以及隐私法改革 – 对执行职能的影响)</p>
<p>除了用户同意外,许多法律和监管框架 – 包括经合组织的隐私框架,第3章(第3章)<em>经合组织2013</em>)和国际公民权利和政治权利盟约<em>, 一般性评论16第17条(UN 1988),欧洲理事会</em> 公约108<em>+</em> ((<em>COE 2018</em>), <em>和</em> APEC隐私框架,第23C条(<em>APEC 2004</em>)-包括 <strong>个人访问,审查,纠正和删除有关他们的个人数据的权利.</strong> 即使在强制性的ID方案中,就个人数据的特定方面(例如生物识别数据(尤其是遗传材料),先前的已婚姓氏)或名称的名称,也可能出现&ldquo;擦除权&rdquo;或&ldquo;被遗忘的权利&rdquo;收养孩子的亲生父母(例如, <em>Kelly&Satola 2017,Kindt 2013,Chadwick 2014</em>). 确保访问,审查,正确和删除个人数据的权利的法律措施应通过明确的行政程序和技术措施进行实践,以实现个人监督和申诉的措施.</p>
<p>最后, <strong>一些法律和法规框架将数据可移植性保证为个人权利</strong>. 数据可移植性是指轻松移动,复制或传输个人数据从一个技术环境到另一个技术环境的能力. 这种可移植性允许个人在其他情况下使用收集的数据. 关于商业企业,这种可移植性降低了消费者被锁定成单个服务提供商的风险,否则该服务提供商比竞争对手有优势. 就ID系统而言,这种权利有可能使个人可以使用该系统收集的个人数据用于其他技术应用,从而阻止消费者&ldquo;锁定&rdquo;服务.</p>
<h2>1974年的隐私法</h2>
<p>1974年修订的《隐私法》 5 U.s.C. §552a,建立一项公平信息惯例守则,该守则管理,维护,使用和传播有关个人的信息. 记录系统是在机构控制下的一组记录.</p>
<p>《隐私法》要求机构通过联邦登记册上的出版物发表公开通知其记录系统. 单击此处查看司法部记录系统及其联邦登记册的列表. 《隐私法》禁止在没有个人书面同意的情况下披露有关个人的记录,除非披露是根据十二个法定例外的披露. 该法案还为个人提供了寻求访问和修正其记录的手段,并列出了各种代理记录要求.</p>
<h2>《隐私法》概述</h2>
<p>《 1974年《隐私法》,2020年版的概述&rdquo;是现有隐私法判例法的全面论文. 有关概述的任何疑问都可以直接伸向隐私和公民自由办公室.</p>
<h2>你.s. 隐私法:完整指南</h2>
<p><img src=”https://info.varonis.com/hubfs/Varonis_June2021/Images/david-harrington-1-300×300.jpg” /></p>
<p>美国有一个关于数据隐私的拼凑而改变的法律网络. 虽然没有全面的联邦隐私法令,但几项法律确实关注有关隐私的特定数据类型或情况.</p>
<p>但是,如果没有整体法规,则不清楚为公司提供的各种个人信息提供了哪些保护措施. 尽管缺乏全面的隐私框架,但处理或存储数据的组织仍负责保持最新法规的最新状态,以确保合规性.</p>
<p>本指南提供了大专业的详细信息.s. 隐私法律并分享一些最新更新和更改. 您也可以下载此详细的情况说明书,以便在u上快速背景.s. 数据保护法.</p>
<h3>获取美国数据保护合规性和法规的免费基本指南</h3>
<ul>
<li>在线隐私和安全:如何处理?</li>
<li>你.s. 垂直重点的隐私法</li>
<li>新U.s. 国家数据隐私法</li>
<li>哪些隐私要求适用于我?</li>
<li>数据隐私常见问题解答</li>
</ul>
<h2>在线隐私和安全:如何处理?</h2>
<p>与其他形式的沟通不同,例如物理邮件,在线隐私和安全性更难管理. 这可能会使个人容易受到隐私的侵犯.</p>
<h3>互联网安全和欺骗性广告:它们如何联系?</h3>
<p>互联网彻底改变了我们的生活和工作,提供了前所未有的信息和通信的访问. 但是,随着这种连通性的提高,隐私带来了新的风险. 每个人的生活现在都在线,留下了数字化的个人数据痕迹,不道德的企业或个人可以利用这些数据.</p>
<p>值得庆幸的是,数据隐私法规定了个人数据的收集,使用和披露,并设定了企业如何处理敏感数据的标准. 联邦贸易委员会(FTC)是U中这些法律的主要执行者.s. 近年来,FTC已针对将消费者误导其数据安全和隐私惯例的公司采取了几项执法行动.</p>
<p>例如,在2012年,FTC指控该公司将其隐私政策歪曲了其服务用户后与Google达成和解。. 根据付款条款,Google同意支付22美元.罚款500万,改变其隐私惯例. 最近,在2018年,FTC因欺骗用户控制其个人信息的可见性而对Facebook采取了行动. 同样,在与FTC的和解协议下,Facebook同意支付50亿美元的罚款,并对其隐私措施进行重大更改.</p>
<p>这些案件表明,FTC愿意对违反消费者隐私法的公司打击. 这些示例还为未来的互联网隐私诉讼树立了关键的先例 – 随着人们的生活继续在线移动,必须制定强大的法律来保护数据免于剥削.</p>
<h3>GDPR vs. CCPA:您如何.s. 和欧盟隐私法比较?</h3>
<h2>GDPR vs. CCPA:它们有何不同?</h2>
<ul>
<li><strong>广泛范围:</strong> 适用于全球所有组织或监视欧盟公民数据的组织</li>
<li><strong>一致的执行:</strong> 违反公司对公司的罚款</li>
<li><strong>专门的监督:</strong> 需要任命数据保护官来监督合规性</li>
</ul>
<ul>
<li><strong>范围狭窄:</strong> 仅适用于在加利福尼亚开展业务的组织</li>
<li><strong>不一致的执法:</strong> 通过针对违反公司的诉讼赋予居民执法权</li>
<li><strong>缺乏监督:</strong> 不需要任命官员来监督执法</li>
</ul>
<p>美国和欧洲拥有最全面的数据安全和隐私法;欧盟的一般数据保护法规(GDPR)于2018年生效,而《加利福尼亚州消费者隐私法》(CCPA)于2020年生效.</p>
<p>GDPR和CCPA设定了有关服务提供商必须处理个人数据的严格标准,包括确保数据收集是透明,安全的,并在有关个人的同意下获得. 这些标准还为个人提供了了解收集哪些个人数据的权利,并允许他们访问并要求删除它.</p>
<p>CCPA和GDPR之间的主要区别在于,GDPR适用于处理或打算处理欧盟公民敏​​感数据的任何组织. 对于任何处理欧盟公民个人数据的组织,GDPR合规性都是必须的,无论他们是否客户. GDPR也没有实体收入或处理阈值要求.</p>
<p>CCPA仅涵盖在加利福尼亚开展业务的实体. 该法规适用于满足阈值的实体,例如年度收入超过2500万美元,任何处理超过50,000个人的个人数据的组织,以及那些从出售数据中获取其收入的50%的实体.</p>
<p>这些要求意味着GDPR比CCPA具有更大的影响力和保护. 例如,就执法而言,GDPR为违反其规定的服务提供商提供了厚重的罚款. 相比之下,如果有侵犯消费者权利.</p>
<p>最后,GDPR要求公司任命数据保护官,而CCPA没有这样的要求. 尽管GDPR和CCPA是强大的数据保护法,为个人提供了强大的权利和保护,但GDPR的适用性超出了您.s. 边界,使其成为当今最深远的数据保护结构之一.</p>
<p>对于组织而言,至关重要的是与法律顾问进行协商并仔细考虑适用于他们的法律,以确保遵守每个适用要求.</p>
<h2>你.s. 垂直重点的隐私法</h2>
<p>一般来说,隐私法分为两类:垂直和水平. 垂直隐私法保护医疗记录或财务数据,包括个人的健康和财务状况等详细信息.</p>
<p>横向隐私法关注组织如何使用信息,而不管其上下文如何. 这些法律所涵盖的数据类型包括指纹,视网膜扫描,生物识别数据和其他个人身份信息,例如姓名和地址.</p>
<h2>数据隐私法:您需要在2023年知道</h2>
<p><img src=”https://www.osano.com/hubfs/assets/blogs/featured/JailHouse.png” alt=”数据隐私法:您需要在2023年知道” /></p>
<p>实际上,每个国家都颁布了某种数据隐私法,以规范信息的收集方式,数据主体的通知方式以及一旦传输数据的控制对数据主体的控制权. 未能遵守适用的数据隐私法可能会导致罚款,诉讼,甚至禁止在某些司法管辖区使用该网站. 导航这些法律法规可能会令人生畏,但是所有网站运营商都应熟悉影响用户的数据隐私法律.</p>
<p>这是您应该意识到2023年的法律和法规. 我们将随着新法律的通行证更新此列表.</p>
<h2> <strong>你.s. 数据隐私法</strong> </h2>
<p>尽管多年来提出了许多建议,但没有一项全面的联邦法律管理U中的数据隐私.s. 然而. 《美国数据隐私保护法》(ADPPA)比其任何前辈都更加遵循立法过程,但它仍然面临重大障碍. 截至撰写本文时,仍然不确定该行为是否会克服或屈服于这些障碍.</p>
<p>然而,与此同时,各个国家的行动而不是等待联邦政府. 有一个复杂的特定部门和中等特定法律的拼凑而成,包括解决电信,健康信息,信用信息,金融机构以及市场营销的法律和法规.</p>
<h3>FTC</h3>
<p>U的重要执法机构.s. 是联邦贸易委员会(FTC). 它代表消费者保护的权力来自《联邦贸易委员会法案》(FTC法案),该法对其授权的商业实体具有广泛管辖权,以防止不公平或&ldquo;欺骗性贸易惯例.&ldquo;</p>
<p>FTC利用其权力发布法规,执行隐私法,并采取执法行动来保护消费者. 例如,FTC可能会对以下组织采取行动:</p>
<ul>
<li>无法实施并维护合理的数据安全措施</li>
<li>无法遵守组织行业的任何适用的自我调节原则</li>
<li>未能遵循已发表的隐私政策</li>
<li>以一种未在隐私政策中披露的方式转移个人信息</li>
<li>制作不正确的隐私和安全表示(i.e., 向消费者和隐私政策撒谎)</li>
<li>无法为个人数据提供足够的安全性</li>
<li>通过收集,处理或共享消费者信息来侵犯消费者数据隐私权</li>
<li>参与误导性广告实践</li>
</ul>
<p>在线管理信息收集的其他联邦法律包括:</p>
<ul>
<li>儿童在线隐私保护法(COPPA),该法控制有关未成年人的信息的收集</li>
<li>《健康保险可移植性和会计法》(HIPAA),该法控制着健康信息的收集</li>
<li>Gramm Leach Bliley法案(GLBA),该法案管理银行和金融机构收集的个人信息</li>
<li>《公平信用报告法》(FCRA),该法监管信用信息的收集和使用</li>
<li>保护学生教育记录隐私的《家庭教育权与隐私法》(FERPA)</li>
</ul>
<h2> <strong>国家数据隐私法</strong> </h2>
<p>你.s. 其州有数百个部门数据隐私和数据安全法. 州检察官一般监督数据隐私法,管理收集,保存,保护,处置和使用从其居民那里收集的个人数据,尤其是关于数据泄露通知以及社会保险号的安全性. 有些仅适用于政府实体,有些仅适用于私人实体,而另一些则适用于两者.</p>
<p>除了部门隐私法,.s. 正经历着在州一级推动隐私立法的巨大动力. 那是因为联邦政府尚未找到有关如何广泛立法的共识. 没有等待,消费者,消费者倡导者甚至公司都将州立法者推动了自己的规则. <br /></p>
<p>当然,公司宁愿遵守一个联邦标准,而不是雇用律师和隐私专业人员,投资合规工具,并建立一个强大的合规计划,涵盖所有适用的州法律. 但是国家认为,缺乏任何数据隐私保护比过于复杂的数据隐私保护更具破坏性. <br /></p>
<p>加利福尼亚开始了多米诺骨牌效应. 迄今为止,迄今为止只有五个州(加利福尼亚州,科罗拉多州,康涅狄格州,犹他州和弗吉尼亚州)确实能够通过一项全面的法律,但迄今为止,许多州正在尝试. 即使他们的早期账单在以前的立法会议上失败了,他们也是共和党人和民主党人在任何交易达成最终目的地之前开始修正的工作的参考:州长的办公桌。. <br /></p>
<p>这是事物立场的崩溃. <br /></p>
<p><img src=”https://no-cache.hubspot.com/cta/default/4785246/924b8add-d395-43ab-9728-64f50c766627.png” alt=”下载清单:您2023年州数据隐私法的行动计划” width=”” /></p>
<h3>加利福尼亚隐私权法(CPRA)</h3>
<p>迄今为止,最全面的州数据隐私立法是《加利福尼亚隐私权法》(CPRA). CPRA于2020年11月通过一项投票倡议通过,并修改了加利福尼亚先前的州隐私法,《加利福尼亚隐私保护法》(CPPA). 它于2023年1月1日生效.</p>
<p>CPRA是跨部门立法,介绍了重要的定义和广泛的个人消费者权利,并对收集有关加利福尼亚居民或从加利福尼亚居民收集个人信息或从. 这些职责包括告知数据主体何时以及如何收集数据;允许他们选择退出数据收集;允许他们访问,纠正和删除此类信息;并限制企业如何将个人信息转移到其他实体.</p>
<p>上述许多要求也包含在CCPA中,但是一旦CPRA通过,法律被修改为以下内容:</p>
<ul>
<li>纠正权:更新并增加了消费者纠正个人信息不准确的权利.</li>
<li>限制权:这授予消费者限制其敏感个人信息的使用和披露的权利.</li>
<li>敏感的个人信息:这更新了个人信息的定义. 某些类型的信息,例如消费者的社会安全号码,必须通过特殊保护来处理.</li>
</ul>
<ul>
<li>违反儿童数据的罚款增加了三倍</li>
<li>扩大违反责任的责任超出了对未加密数据的违反责任,以披露凭证(例如电子邮件地址或密码),这可能会导致访问消费者的帐户</li>
<li>限制公司可以将消费者信息保留的时间仅限于必要的和&ldquo;成比例&rdquo;的时间,因为它首先收集的原因</li>
<li>要求与第三方,承包商和外部服务提供商合作的公司在合同上要求这些组织对与第一方共享的数据具有相同水平的隐私保护</li>
</ul>
<p>CPRA最重要的功能之一是执法. 尽管州检察官通常会处理隐私案件(除非FTC都参与,否则它通常是合伙企业,但CPRA仍建立了新的隐私监管机构.</p>
<p>加利福尼亚隐私保护局(CPPA)可以罚款犯罪者,举行有关侵犯隐私行为的听证会,并澄清隐私准则. 这是一个由五人组成的董事会,在CPRA于2023年7月1日生效后六个月开始执行.</p>
<p><img src=”https://no-cache.hubspot.com/cta/default/4785246/9619f2d1-2a05-4b89-b71f-7c501ab440e9.png” alt=”下载指南 – 分解您需要完成的CPRA合规性所需的主要任务。” width=”” /></p>
<h3> <strong>弗吉尼亚州的消费数据保护法(CDPA)</strong> </h3>
<p>弗吉尼亚州的消费数据保护法(CDPA)于2021年3月2日通过. 它授予弗吉尼亚州消费者对数据的某些权利,并要求法律涵盖的公司遵守他们收集的数据,如何对待和保护其以及与之共享的规则. <br /></p>
<p>该法律包含与欧盟一般数据保护法规(GDPR)规定和CPRA的一些相似之处. 它适用于在弗吉尼亚州开展业务的实体,或出售针对弗吉尼亚居民的产品和服务,还符合以下一个:</p>
<ul>
<li>控制或处理100,000或更多的个人数据</li>
<li>控制或处理至少25,000名消费者的个人数据,并通过出售个人信息来赚取50%的收入 <br /></li>
</ul>
<p>CDPA要求法律涵盖的公司在处理敏感数据之前获得选择加入的同意,以协助消费者行使其数据权利(只要通知消费者,就可以收集非敏感的数据)出售并允许他们选择退出数据收集. 它还要求公司为用户提供明确的隐私通知,使消费者能够退出有针对性的广告. 此外,它要求数据经纪人尊重消费者选择退出数据处理的请求,以及其他要求.</p>
<p>CDPA于2023年1月1日生效. <br /></p>
<h3>科罗拉多隐私法(CPA)</h3>
<p>2020年6月,科罗拉多州成为第三位U.s. 陈述通过隐私法. 《科罗拉多州隐私法》授予科罗拉多州居民对数据控制器和处理器的义务的权利. 它包含与加利福尼亚州的CPRA,弗吉尼亚州的CDPA和欧盟GDPR的一些相似之处. <br /></p>
<p>尽管有相似之处,例如某种形式的选择退出权,敏感数据的特殊保护以及采用某些逐个设计的原则,但细节中存在重大差异.<br />CPA适用于从100,000个科罗拉多州居民那里收集个人数据或从25,000个科罗拉多州居民那里收集数据的企业,并从该数据的出售中获得收入. <br /></p>
<p>一旦法律于2023年7月1日生效,法律将列出授予科罗拉多州居民的五个权利. 他们是:</p>
<ul>
<li>选择排除目标广告的权利,出售其个人数据或被介绍</li>
<li>访问公司收集的数据的权利</li>
<li>纠正收集到的数据的权利</li>
<li>请求收集的数据的权利已删除</li>
<li>数据可移植性的权利(即获取数据并将其移至另一家公司的权利) <br /></li>
</ul>
<p>法律中有17份毛毯豁免. 数据豁免包括:</p>
<ul>
<li>如果收集数据是出于科罗拉多州健康保险法的目的</li>
<li>如果收集数据或收集数据的实体已经由某些部门法律涵盖,包括COPPA或《家庭教育权与隐私法》(FERPA)</li>
<li>如果数据已被取消识别或化名</li>
<li>如果消费者报告机构维护和使用数据</li>
<li>如果数据用于就业记录目的 <br /></li>
</ul>
<p>由于该法律在2023年中期生效,因此企业应期望通过规则制定在上半年对法律进行最新消息.</p>
<h3>犹他州消费者隐私法</h3>
<p>2022年3月,犹他州成为制定全面消费者隐私法的第四个州,该法将于2023年12月31日生效. 《犹他州消费者隐私法》(UCPA)从CDPA,CPA和CPRA中获取. <br /></p>
<p>该法律适用于产生超过2500万美元的年收入的数据控制器和处理器:要么:</p>
<ul>
<li>每年控制或处理100,000多名消费者的个人数据,或</li>
<li>从销售个人数据和控制或处理25,000或更多消费者的个人数据中获得超过50%的实体总收入.</li>
</ul>
<p>与科罗拉多州和弗吉尼亚州的法规类似,某些类型的个人数据也有豁免。但是,它们在实体和数据级别都更加广泛.</p>
<p>该法律不适用于代表政府实体,部落,高等教育机构,非营利公司,业务伙伴,符合HIPAA及其相关法规的受保护健康信息的定义的信息,以及更多相关法规的定义,以及更多信息的政府实体或第三方。.</p>
<p>由GLBA(《 Gramm-Leach-Bliley法案》)和FCRA中的信息(公平信用报告法)统治的金融机构也不受UCPA的约束. 在就业过程中处理或维护的数据也是豁免的.</p>
<p>消费者有权:</p>
<ul>
<li>确认控制器是否正在处理其个人数据并访问或删除提供的个人数据</li>
<li>以便携式,可访问的格式获取其个人数据的副本</li>
<li>选择退出针对性广告或销售的个人数据处理 <br /></li>
</ul>
<p>与CDPA和CPA相反,UCPA不包括选择分析的权利,也不包含纠正其数据中不准确性的权利. <br /></p>
<h3>康涅狄格州的数据隐私法</h3>
<p>康涅狄格州的第五个也是最近的国家,采用了全面的消费者隐私法. 参议院第6条或&ldquo;有关个人数据隐私和在线监控的法案&rdquo;(CTDPA),于2023年7月1日生效. <br /></p>
<p>该法律还从弗吉尼亚州和科罗拉多州的法规中获取,有几次离开. 它适用于上一个日历年的企业:</p>
<ul>
<li>100,000或更多康涅狄格州居民的受控或处理的个人数据,不包括仅控制或处理的个人数据以完成付款交易的居民;或者</li>
<li>受控或处理不少于25,000的消费者的个人数据,并从出售个人数据中获得了超过25%的总收入.</li>
</ul>
<p>该法律是第一个指定付款交易数据不遵守法律的法律,这是针对处理信息以完成交易的小型企业,例如餐馆. 消费者可以为目标广告,出售给第三方和分析而退出数据处理.</p>
<p>该州允许在2024年12月31日之前进行60天的治疗违法行为. <br /></p>
<h3>纽约盾法</h3>
<p>2019年7月,纽约通过了Stop Hacks并改善了电子数据安全性(SHIELD)法案. 该法律修改了纽约现有的数据泄露通知法,并为收集有关纽约居民信息的公司创建更多的数据安全要求. 截至2020年3月,该法律完全可以执行.</p>
<p>该法律扩大了消费者隐私的范围,并为纽约居民提供了更好的保护,以免受其个人信息的数据泄露. 它要求拥有纽约居民的私人信息的雇主&ldquo;开发,实施和维护合理的保障措施,以保护私人信息的安全,机密性和完整性.透明 <br /></p>
<p>去年,即2022年,州检察长与一个组织达成了60万美元,原因是未达到最低标准,导致安全性违反了安全性和个人信息泄漏. 虽然最近没有法律更新,但它仍然非常活跃和执行,如本解决方案所示.</p>
<h3>其他州级数据隐私法</h3>
<p>加利福尼亚,犹他州,弗吉尼亚州,康涅狄格州和科罗拉多州是第一个制定具有全国影响的广泛立法的州,但许多其他U.s. 各州也在考虑数据隐私法.</p>
<p> 目前,密歇根州,俄亥俄州,宾夕法尼亚州和新泽西州有积极的立法. 有20多个州有非活动立法的州,将来可能会再次提出或陷入新的立法.</p>
<h2> <strong>欧洲</strong> </h2>
<p>欧盟一般数据保护法规仍然是土地的法律,但是最近在欧盟通过了与数据隐私相关的新法律 – 尤其是《数字服务法》和《数字市场法》. 2023年也有几个建议. 这是GDPR上的复习,以及您应该跟踪的其他建议列表,以使组织在2023年保持最新数据的最新状态.</p>
<h3> <strong>一般数据保护法规(GDPR)</strong> </h3>
<p>迄今为止颁布的最关键的数据保护立法是一般数据保护法规(GDPR) . 它管理着从欧盟28个成员国中任何一个居民收集的数据的收集,使用,传输和安全性. 法律适用于所有欧盟居民,无论该实体的收集个人数据的位置如何. 最多可予以全球周转额的罚款最高2000万欧元或不遵守GDPR的组织的罚款. GDPR的一些基本要求包括:</p>
<h4>同意</h4>
<p>必须允许数据主体在收集个人数据之前明确,明确的同意. 个人数据包括通过使用cookie收集的信息. 根据GDPR,某些信息通常不在美国不考虑&ldquo;个人信息&rdquo;,例如用户的计算机IP地址。.</p>
<h4>数据泄露通知</h4>
<p>如果数据泄露会影响用户的个人信息,组织必须在72小时内通知监督当局和数据主体.</p>
<h4>数据主体的权利</h4>
<p>数据主体(收集和处理数据的人)就其个人信息享有某些权利. 这些权利应在组织网站上的清晰,易于访问的隐私政策中传达给数据主体.</p>
<p><ol>
<li>通知的权利. 当获得数据时,必须了解数据主体的收集和使用,以获取其个人数据.</li>
<li><strong>访问其数据的权利.</strong> 数据主体可以通过数据主题请求请求其个人数据的副本. 数据控制者必须解释收集的手段,正在处理的内容以及与之共享的人.</li>
<li><strong>纠正权.</strong> 如果数据主体的数据不准确或不完整,他们有权要求您纠正它.</li>
<li><strong>擦除权.</strong> 数据主体有权要求在30天内以某些理由删除与它们相关的个人数据.</li>
<li><strong>限制处理的权利.</strong> 数据主体有权要求限制或抑制其个人数据(尽管您仍然可以存储它).</li>
<li><strong>数据可移植性的权利.</strong> 数据主体可以随时安全安全地将其数据从一个电子系统传输到另一个电子系统,而无需破坏其可用性.</li>
<li><strong>反对权.</strong> 数据主体可以反对其信息用于营销,销售或与服务相关的目的. 在执行法律或官方授权的情况下,不适用于公共利益或组织需要处理数据以为您提供您注册的服务时,执行任务的权利不适用. <br /></p></ol>
<p><img src=”https://no-cache.hubspot.com/cta/default/4785246/8870afc8-1c67-4323-b03f-53bd2e915b64.png” alt=”如果你” width=”” />
</ol></p>
<h3> <strong>数字服务法(DSA)</strong> </h3>
<p>新法规通过引人注目的平台(例如Google和Facebook)来解决非法和有害内容,以删除不符合某些标准的内容. 欧盟理事会认为,主要原则是&ldquo;非法离线必须是非法的&rdquo;. 《数字服务法》(DSA)于2022年11月16日生效. 法律的不同规定将在不同的时间生效,法律将于2024年2月17日完全生效.</p>
<p>它适用于四类业务:</p>
<ul>
<li>提供网络基础架构的中介服务,例如ISP</li>
<li>托管服务,例如云和网络托管服务</li>
<li>在线平台将卖方和消费者融合在一起,例如在线市场,社交平台和应用商店</li>
<li>非常大的在线平台,这些平台被定义为在线平台,可达到欧洲4.5亿消费者的10%以上</li>
</ul>
<p>每个类别都面临不同的要求.</p>
<p>以上所有类别都必须:</p>
<ul>
<li>从事法院命令和诉讼,内容审核工作等等透明度报告</li>
<li>更新服务条款以说明基本权利</li>
<li>与国家当局合作</li>
<li>建立当局的联系点,并在必要时进行法律代表</li>
</ul>
<p> <br />托管服务,在线平台和非常大的在线平台必须:</p>
<ul>
<li>提供通知和行动机制,使用户能够注意到企业删除的潜在非法内容</li>
<li>举报刑事犯罪</li>
</ul>
<p> <br />在线平台和非常大的平台必须:</p>
<ul>
<li>实施投诉和补救机制</li>
<li>确定可信赖的旗手,其专业知识为其内容通知增加了特殊的权重</li>
<li>采取措施反对滥用通知和反通知</li>
<li>如果他们具有市场功能,请采取特殊行动,例如审查第三方供应商的证书,遵守合规性原则等等</li>
<li>不是针对儿童的广告或基于用户的特殊特征而定为广告</li>
<li>为内容推荐系统提供透明度</li>
<li>将面向用户的透明度用于在线广告实践 <br /></li>
</ul>
<p> <br />非常大的平台必须:</p>
<ul>
<li>采用风险管理实践并建立危机响应协议</li>
<li>默许外部,独立审核,建立内部合规功能,并对</li>
<li>为用户提供基于分析的内容建议的选择</li>
<li>与当局和研究人员共享数据</li>
<li>遵守自由的行为代码</li>
<li>在危机响应情况下与当局合作</li>
</ul>
<p>欧盟数据保护机构可以访问,从中获取信息并检查服务提供商以告知订单和制裁. 如果发现企业违规,则可能会在上一个财政年度被罚款高达年度全球营业额的6%. 如果违反了DSA下的信息义务,则最高罚款限制为前一年收入或全球营业额的1%. <br /></p>
<h3> <strong>《数字市场法》</strong> </h3>
<p>《数字市场法》(DMA)涵盖了最大的数字平台,称为&ldquo;看门人&rdquo;,其中包括Facebook,Apple,Microsoft和Google等公司. DMA旨在为数字公司提供竞争环境,并防止守门公司对竞争对手施加不公平的条件. 例如,不允许像亚马逊这样的公司以使亚马逊自己的产品和服务优势在其网站上对产品进行排名.</p>
<p>如果是守门人,则将其视为:</p>
<ul>
<li>具有强大的经济地位,对欧盟市场的重大影响,并且在多个欧盟成员国中活跃</li>
<li>将大型用户群与大量企业联系起来的中介机构很强</li>
<li>已经或很快将在市场上拥有根深蒂固的立场,这取决于公司在过去三个财政年度中是否符合之前的两个标准</li>
</ul>
<p>在DMA下,有资格成为看门人的企业必须:</p>
<ul>
<li>不要从事自我偏见,守门人在守门人平台上通过同等的第三方产品或服务来推广自己的产品和服务</li>
<li>未在未经同意的情况下收集的上下文之外重复使用用户的数据</li>
<li>未经同意,没有跟踪网守平台之外的用户</li>
<li>允许企业和最终用户之间的沟通和内容访问</li>
<li>确保广告中介服务的价格和费用透明度</li>
<li>在平台上向用户提供营销或广告性能数据的访问</li>
<li>使用户可以轻松更改其默认设置和卸载软件</li>
<li>确保第三方技术可以与守门人自己的</li>
<li>确保最终用户的数据可移植到其他系统</li>
<li>为企业在看门人平台上实时访问其数据</li>
<li>不能阻止用户向当局投诉</li>
<li>不需要用户注册其他服务作为访问给定服务的条件</li>
<li>不使用企业的非公开数据与他们竞争</li>
<li>和更多</li>
</ul>
<p>违反DMA的守门人可能会受到年度全球营业额的10%的罚款,或者在反复违规的情况下最多可罚款20%. 更重要的是,反复违规可能会导致非财务补救措施,例如强迫剥离. <br /></p>
<h2> <strong>欧盟提议在2023年观看 <br /></strong></h2>
<h3> <strong>欧盟.s. 数据隐私框架 <br /></strong></h3>
<p>尽管这不是法律本身,但欧盟 – .s. 数据隐私框架是意识到的重要因素.</p>
<p>以前,将欧盟公民数据转移到U中的企业.s. 依靠一个名为&ldquo;隐私盾牌&rdquo;的框架来确保数据得到充分保护,但是在Schrems II法院案件中,该框架被视为无效. 从那时起,企业一直依靠欧盟委员会批准的标准合同条款为数据传输提供法律保护.</p>
<p>但是,这些子句有些动摇。你.s. 如果企业受到《外国情报监视法》(FISA)第702节的约束,则不应依靠它们,这使您可以.s. 情报服务以进行外国通信的搜索,其中包括欧盟公民的数据. 第702节的复杂性不在此博客的范围之内,但要知道的关键是,何时企业何时受到第702节的约束. 因此,SCC的使用风险很高,但是在欧盟和U之间没有其他法律框架.s.</p>
<p>直到最近,.</p>
<p>2022年10月7日,拜登总统发布了一项行政命令,以增强美国信号监视活动的保障措施. 该命令概述了新的欧盟U.s. 数据隐私框架,包括其他安全措施,欧盟和U的补救机制.s. 认为自己的权利受到侵犯的公民,并对已转移到U的外国公民数据有更大的保护.s. 此外,该框架要求情报机构对与监视相关的政策和程序进行更新,然后进行隐私和公民自由监督委员会的审查.</p>
<p>目前,欧洲委员会正在审查拟议的框架,欧洲数据保护委员会的意见. 欧洲隐私倡导组织可能会受到批评,但是如果框架生存,则可能是企业在欧盟和U之间传输数据的方法.s.</p>
<h3>电子私人监管</h3>
<p>电子私人监管(EPR)已经很长时间了. 它的目的是在2018年与欧盟的一般数据保护法规一起生效,但已经停滞了多年. 2022年3月,欧盟理事会达成了草案的同意,但直到至少2023年才期望法规. 此外,如果EPR在2023年确实生效,则将有24个月的过渡期. 因此,最早的企业必须在2025年之前符合.</p>
<p>EPR,如果通过的话,将为前法律不涵盖的传统电子通信服务和实体创建隐私规则,例如WhatsApp,Facebook Messenger和Skype. <br /></p>
<p>它将为电子通信的隐私创建更强大的规则,并且适用于通信内容和&ldquo;元数据&rdquo;,即描述其他数据的数据. 根据EPR,服务提供商和电子通信网络必须事先获得用户的同意,然后才能处理其电子通信元数据. <br /></p>
<p>重要的是,它还会在cookie上创建更直接的规则. 它将允许用户同意或拒绝在浏览器级别上跟踪cookie,并且还可以澄清,网站无需获得所谓的&ldquo;非私人侵入性饼干.&rdquo;这些cookie允许网站功能诸如&ldquo;购物车&rdquo;之类的功能来跟踪用户订购的内容. 这还要求组织使最终用户每年至少撤回其先前授予的同意. <br /></p>
<h3> <strong>AI行为</strong> </h3>
<p>《欧盟的人工智能法》将适用于开发或采用&ldquo;高风险&rdquo; AI系统的欧盟开展业务的任何公司. 这些系统会影响就业,信贷,医疗保健和其他关键领域.</p>
<p>该法案于2021年引入,目前正在欧洲议会中考虑. 截至撰写本文时,该法案将在2023年第一季度的某个时候进行投票. 但是,鉴于AI的复杂性,该投票可能会延迟以纳入进一步的修正案.</p>
<p>《 AI法》将在域外适用,这意味着法律将在欧盟内有客户或用户,有效地使其成为全球法规.</p>
<p>根据该法案,具有适用AI系统的企业必须:</p>
<ul>
<li>进行影响评估,保留记录并履行透明度义务</li>
<li>不开发可用于以可能造成心理或身体伤害的方式操纵人的行为的系统.</li>
<li>不开发可用于利用特定群体的脆弱性的系统,因为它们的年龄,身体或精神残疾或行为可能会造成心理或身体伤害.</li>
<li>不开发可以根据年龄或身体或精神残疾来利用脆弱群体的系统.</li>
<li>不开发系统在执法部门中提供实时远程生物识别数据.</li>
</ul>
<h2> <strong>其他国际数据隐私法</strong> </h2>
<p>全球有130多个数据隐私法律,在此博客文章中列出并描述每个人都不可行. 但是,以下是一些重要的法规,可能适用于您的业务.</p>
<ul>
<li><strong>巴西保护个人数据的一般法律,或Lei Geral deProteçãodadosPessoais(LGPD)</strong>:该法律于2020年生效,并包含与GDPR的许多类似规定. 在我们专门的博客文章《巴西隐私法》《 LGPD》中了解有关法律的更多信息.</li>
<li><strong>加拿大的个人信息保护和电子文件法(PIPEDA)</strong>:Pipeda在2000年获得同意,于2009年全力以赴,当时被认为是一项进步法律. 它是2015年的《数据隐私法》最新更新的,但仍未达到GDPR的监管标准.</li>
<li><strong>中国的个人信息保护法(PIPL)</strong>:PIPL于2021年11月颁布成法律,并广泛地映射到GDPR的规定. 但是,它的某些细节确实有所不同,尤其是通过赋予个人更少的权利,要求更严格的同意标准并施加更严厉的处罚。.</li>
</ul>
<h2> <strong>通过合规平台降低复杂性和风险</strong> </h2>
<p>这篇文章涵盖了一些最近更新的主要法律. 这不包括许多较小的法律,这些法律最近还没有更新,以及上述法规的详细信息,这些法规在杂草中对于博客文章来说太深了. 尽管如此,这个帖子长了5,000个字!</p>
<p>对于知道他们只需要遵守一项法律并且无意扩展到其他司法管辖区的企业,就可以在内部处理合规性. 它需要时间,资源和精力,但这是可行的. 一旦您的业务遵守多个法律,完全本土的合规方法很快就会被不同法律要求的复杂性所淹没. 复杂性带来风险和收入流降低,无论是通过罚款和罚款,可用于创收的资源转移的资源,还是失去消费者信任的损失.</p>
<p>无论是遵守一项法律还是多个法律,有兴趣保护其收入免受风险投资在合规平台上的企业. 该类别的解决方案通过其功能和功能正式化了隐私专业人员的知识,使隐私新手和授权隐私专业人员都一样.</p>
<p>例如,Osano平台为企业提供了一种要求企业要求,记录和采取消费者同意的手段,这是CPRA,根据GDPR所需的特定类型的同意书,还是根据任何其他隐私法. 它还简化了对DSAR的接受,管理和行动的过程. Osano的专有供应商隐私分数数据库还确保您可以构建一个供应商生态系统,以降低风险并保持警觉,以防供应商的隐私姿势中的新兴问题,例如最近的诉讼或隐私政策更改. 结果是对您业务中数据隐私状况,供应商业务和整个市场的数据隐私状况的提高情境意识.</p>

  图形卡仍然昂贵2021