Защита персональных данных 2020: Как ужесточились требования к работе с персональными данными в 2021 году

Кибербезопасность и защита персональных данных — Детский мир

Обеспечение информационной безопасности

В эпоху развитых цифровых технологий защита личной информации сотрудников, партнеров и клиентов приобретает особенную важность. В этом направлении наша деятельность основана на Политике обработки персональных данных и Требованиях по обеспечению безопасности персональных данных, в которых указан состав персональной информации, которую мы собираем о наших клиентах и сотрудниках, а также прописана цель ее сбора, область применения и условия передачи третьим лицам.

Мы установили физические, электронные, договорные и управленческие меры безопасности, предназначенные для защиты безопасности и конфиденциальности личной информации клиентов и сотрудников. В 2020 году запущена программа обучения персонала ответственному отношению к персональным и корпоративным данным.

В компании используются следующие системы информационной безопасности:

• межсетевые экраны для фильтрации и блокировки нежелательного трафика;
• удаленный доступ пользователей с применением двухфакторной аутентификации;
• виртуальные частные сети VPN для безопасной передачи данных в рамках общедоступных сетей;
• система мониторинга трафика;
• антивирусная защита рабочих станций и серверов;
• удостоверяющий центр PKI;
• защита от спама;
• идентификация и контроль доступа к сети;
• системы мониторинга ИТ-инфраструктуры;
• установка и контроль обновлений безопасности;
• защита от DDoS атак;
• система защиты веб-приложений Web Application Firewall (WAF).

Обработка и защита персональных данных

Компания руководствуется следующими правилами и процедурами при приеме на работу сотрудников: с новым работником подписывается согласие на обработку, хранение и распространение его персональных данных. Также работники должны ознакомиться и подписать лист ознакомления с Политикой о персональных данных, о коммерческой тайне и прочими локальными нормативными актами Компании.

Персональные данные работников хранятся и обрабатываются в ИТ-системе «1С: Зарплата и управление персоналом». Личные дела работников хранятся в несгораемых железных картотеках, в отдельном помещении, которое закрывается на ключ. Доступ к нему имеют сотрудники кадровой службы, ответственные за обработку и хранение персональных данных.

В рамках поиска кандидатов Компания использует ресурсы следующих поисковых сайтов hh.ru, superjob.ru, worki.ru и avito.ru. У всех перечисленных контрагентов работа построена следующим образом — регистрируясь на сайте, кандидаты соглашаются размещать данные в открытом для работодателей виде и дают согласие на обработку персональных данных.

«Детский мир» также выступает оператором персональных данных клиентов. Эти данные собираются при заполнении анкеты в рамках бонусной программы, а также при регистрации на сайте detmir.ru или в мобильном приложении «Детмир». Данные хранятся у сертифицированных подрядчиков, обеспечивающих необходимый уровень защиты. В связи со спецификой бизнеса Компания также имеет доступ к персональным данным несовершеннолетних. Сбор, хранение и любое использование персональных данных детей происходят исключительно с согласия законных представителей.

Регистрируясь в Бонусной программе сети магазинов «Детский мир», а также принимая участие в конкурсах, законные представители несовершеннолетнего ребёнка выражают свое полное согласие на обработку своих персональных данных, персональных данных несовершеннолетнего ребенка, содержащихся в анкете Компании, и передачу данных ПАО «Детский мир» третьим лицам для целей обработки. Согласие действует до его письменного отзыва, которое можно отправить по адресу: 127238, г.

Москва, 3-й Нижнелихоборский проезд, д.3 с.6.

Субъекты персональных данных могут управлять предоставленными Компании персональными данными (личной информацией) по своему усмотрению. Бонусная программа предполагает, что только участник имеет право вносить изменения в персональные данные, указанные при регистрации.

Обучения персонала ответственному отношению к персональным и корпоративным данным

В Компании действует программа обучения персонала ответственному отношению к персональным и корпоративным данным. Цель программы — ознакомить сотрудников с Политикой обработки персональных данных и Требованиями по обеспечению безопасности персональных данных, а также обеспечить ответственное отношение к персональной информации. Создан соответствующий онлайн-курс, который сотрудники должны будут проходить ежегодно для подтверждения достаточности знаний в этой области.

Эксперты оценили объем «утечек» персональных данных россиян в 2020 году

Около 100 млн записей персональных данных россиян и их платежной информации «утекли» в сеть в 2020г. , говорится в исследовании компании-разработчика решений для обеспечения информационной безопасности организаций InfoWatch (есть в распоряжении «Ведомостей»). При этом основной причиной попадания личных сведений в открытый доступ стали действия сотрудников компаний, решивших заработать дополнительные средства.

«По предварительным данным, в глобальном масштабе за год утекло около 11 млрд записей персональных данных и платежной информации, из них в России — порядка 100 млн, то есть около 1% от количества записей, скомпрометированных во всем мире. В России в 2020 г. чаще всего обнаруживали утечки информации в хайтек-индустрии, сфере финансов и госсекторе», — рассказали эксперты. Они отметили, что в общемировом рейтинге на месте финансов находится сфера здравоохранения.

В 80% случаев причиной утечек в России были действия сотрудников компаний и финансовых организаций, сообщили в InfoWatch. Так, в условиях кризиса недобросовестные работники, в том числе менеджеры банков и операторы сотовой связи, пытались заработать на конфиденциальной информации. Аналитики отметили, что общая доля утечек в стране, связанных с действиями персонала, за год возросла примерно на три четверти.

Несмотря на это, общее число зарегистрированных в 2020 г. утечек вырастет незначительно, а в мире снизится на 3-5%, считают специалисты. Это связано с тем, что в период пандемии коронавирусной инфекции значительная часть «слитых» персональных данных ушла в «серую зону», то есть не фиксировались системами защиты и контроля, поскольку сотрудники многих предприятий перешли на удаленный режим работы на дому и использовали незащищенные личные компьютеры и роутеры. Кроме того, было создано большое количество теневых ИТ-ресурсов на бесплатных сайтах и мессенджерах, добавили эксперты.

Самая большая «утечка», по данным InfoWatch, в 2020 г. произошла из социального сервиса Whisper: были «слиты» все записи со дня основания ресурса в 2012 г. — около 900 млн. На втором месте сервис микроблогов Weibo, потерявший из-за хакерской атаки 538 млн записей. На третьем — косметическая компания Estee Lauder, которая сама оставила на облачном сервисе более 440 млн записей с данными клиентов.

Защита персональных данных

Уважаемые педагоги, родители (законные представители) и учащиеся!   Разработан портал «Персональные данные. Дети»  персональныеданные.дети, направленный на соблюдение конфиденциальности при использовании Интернет-среды.

 

Персональные данные

 

27 июля 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

 

Закон 1 июля 2011 года вступил в силу.

 

О персональных данных.  ВОПРОСЫ И ОТВЕТЫ. Разъяснения Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу.

 

Правовое основание обработки персональных данных

 

Законы

•  
•  
•  
•  
•  
•  

Приказы

Указы, постановления, распоряжения

Рекомендации

Защита персональных данных

Уважаемые педагоги, родители (законные представители) и учащиеся!   Разработан портал «Персональные данные. Дети» персональныеданные.дети, направленный на соблюдение конфиденциальности при использовании Интернет-среды.

 

Персональные данные

 

27 июля 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

 

Закон 1 июля 2011 года вступил в силу.

 

О персональных данных. ВОПРОСЫ И ОТВЕТЫ. Разъяснения Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу.

 

Правовое основание обработки персональных данных

 

Законы

•  
•  
•  
•  
•  
•  

Приказы

Указы, постановления, распоряжения

Рекомендации

Защита персональных данных

Защита персональных данных

Положение об обработке персональных данных

Политика обработки персональных данных

Сегодня реальность во многом заменяется виртуальным миром. Мы знакомимся, общаемся и играем в Интернете; у нас есть друзья, с которыми в настоящей жизни мы никогда не встречались, но доверяемся таким людям больше, чем близким. Мы создаем своего виртуального (информационного) прототипа на страничках в социальных сетях, выкладывая информацию о себе.

Используя электронное пространство, мы полагаем, что это безопасно, потому что мы делимся всего лишь информацией о себе и к нашей обычной жизни вроде бы это не относится.

Но на самом деле границы между абстрактной категорией «информация» и реальным человеком носителем этой информации стираются.

Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

• кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;
• кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию и сделать изгоем в обществе;
• с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас и заставлять совершать какие-то действия;
• и многое другое.

Поэтому защита личной информации может приравниваться к защите реальной личности. И важно в первую очередь научиться правильно, безопасно обращаться со своими персональными данными. 

В рамках информационно-публичной деятельности в области защиты прав субъектов персональных данных создан мультипликационный анимационный видеоролик «Береги свои персональные данные». Презентация ролика состоялась 1 июня 2016 года в Международный день защиты детей на официальных страницах Роскомнадзора в социальных сетях: https://t.co/Hak1VGeNjc, https://t.co/Gn9UX7QiOK.

Законодательство о конфиденциальности данных потребителей, 2020 г.

Содержание

Контакт

В последние годы ряд событий объединился, чтобы повысить осведомленность потребителей и обеспокоенность по поводу конфиденциальности: реализация Закона о конфиденциальности потребителей Калифорнии от 2018 года (CCPA), Общего регламента защиты данных Европы (GDPR) и продолжающиеся нарушения безопасности всех типов, а также все более широкое использование американцами Интернета для множества различных видов деятельности.

По данным Pew Research Center, более 80% американцев ежедневно выходят в Интернет. Из них 28% выходят в Интернет почти постоянно, а 45% выходят в Интернет несколько раз в день. Потребители теперь больше осведомлены о том, что предприятия, сайты социальных сетей и другие веб-сайты могут собирать и передавать свою личную информацию третьим лицам. Они также слышат больше о нарушениях безопасности, кибератаках и несанкционированном обмене личной информацией.

Хотя законодательные органы штатов уже много лет решают вопросы конфиденциальности в различных секторах, в 2019 году больше штатов, чем в предыдущие годы, приняли всеобъемлющее законодательство о конфиденциальности (например, CCPA) в дополнение к другим типам законодательства, направленным на защиту конфиденциальности потребителей в Интернете.Однако, несмотря на увеличение количества законопроектов, всеобъемлющее законодательство не было принято в 2019 году.

Количество счетов за конфиденциальность данных потребителей увеличилось в 2020 году по сравнению с 2019 годом, включая комплексные счета за конфиденциальность данных потребителей. В 2020 году было принято дополнительное законодательство, регулирующее сбор и использование биометрических данных или данных распознавания лиц коммерческими организациями. Однако было принято несколько законопроектов, поскольку пандемия Covid-19 нарушила законодательные сессии и резко изменила приоритеты.

Указанное ниже законодательство ограничивается регулированием практики конфиденциальности коммерческих организаций, онлайн-сервисов или коммерческих веб-сайтов, охватывая законодательство, касающееся конфиденциальности данных потребителей, включая счета, связанные с конфиденциальностью в Интернете, сбор биометрических данных потребителей, регулирование брокеров данных. и другие различные вопросы конфиденциальности потребителей. Законодательство, связанное с утечкой данных, сюда не включено, а некоторые дополнительные типы законов и законодательства о конфиденциальности рассматриваются отдельно в других ресурсах NCSL.

Законодательство о конфиденциальности данных потребителей, 2020 г.

Законопроекты

были рассмотрены по крайней мере в 30 штатах и ​​Пуэрто-Рико в 2020 году. Как отмечалось выше, в 2020 году было принято несколько законопроектов о конфиденциальности данных потребителей. Закон штата Мичиган SB 172 изменяет требования к страховщикам, предоставляющим клиентам политику конфиденциальности, а закон SB 101 штата Вирджиния позволяет продавцу сканировать машиночитаемую зону индивидуальных водительских прав для целей проверки, но требует, чтобы продавец уничтожил сохраненную информацию, когда цель, для которой она была предоставлена ​​и сохранена, была удовлетворена.Кроме того, были приняты три законопроекта Калифорнии, а именно:

• AB 82 требует, чтобы регистрационные сборы брокера данных использовались для компенсации затрат на веб-сайт в Интернете, где информация, предоставленная брокерами данных, доступна для общественности.
• AB 713 освобождает от действия Закона о защите прав потребителей информацию, которая была деидентифицирована в соответствии с указанным федеральным законом или политикой.
• AB 1281 освобождает от действия закона CCPA определенную информацию о занятости и личную информацию, используемую в деловых коммуникациях и транзакциях.

Кроме того, как было одобрено избирателями Калифорнии в ноябре, Предложение 24 Калифорнии, которое вступит в силу 1 января 2023 года, еще больше расширит законы штата о конфиденциальности данных потребителей. Это позволит потребителям: (1) запрещать предприятиям делиться личной информацией; (2) исправить неточную личную информацию; и (3) ограничить использование компаниями «конфиденциальной личной информации», например, точного геолокации; гонка; этническая принадлежность; религия; генетические данные; членство в профсоюзе; частные коммуникации; а также определенную сексуальную ориентацию, здоровье и биометрическую информацию.Он запретит предприятиям хранить личную информацию дольше, чем это разумно необходимо, и утроит максимальные штрафы за нарушения, касающиеся потребителей младше 16 лет. Он создаст Калифорнийское агентство по защите конфиденциальности для обеспечения соблюдения и выполнения законов о конфиденциальности потребителей и наложения административных штрафов.

Аризона

AZ HB 2728
Статус: сбой — отложен
Относится к биометрическим идентификаторам, относится к коммерческой цели, относится к согласию.

AZ HB 2729
Статус: сбой — отложен
Относится к персональным данным, относится к обработке, относится к стандартам безопасности.

AZ HCR 2013
Статус: сбой — отложен
Относится к данным потребителей, относится к конфиденциальности, относится к федеральным стандартам.

AZ SB 1614
Статус: сбой — отложен
Относится к данным потребителя, относится к конфиденциальности.

Калифорния

CA AB 82
Статус: введен в действие
Этот законопроект потребует внесения регистрационных сборов брокера данных в Фонд реестра брокеров данных, который в соответствии с этим законопроектом будет создан в Государственном казначействе, чтобы Департамент мог их потратить. юстиции, по решению Законодательного собрания, для компенсации затрат на веб-сайт в Интернете, где информация, предоставленная брокерами данных, доступна для общественности.

CA AB 713
Статус: введен в действие
Исключения из Закона о конфиденциальности потребителей Информация, которая была деидентифицирована в соответствии с указанным федеральным законом, была получена из медицинской информации, защищенной медицинской информации, индивидуально идентифицируемой информации о здоровье или идентифицируемой частной информации, в соответствии с указанной федеральной политикой. Запрещает предприятию или другому лицу повторно идентифицировать информацию, которая была деидентифицирована, если не соблюдается указанное исключение.

CA AB 846
Статус: Принят
Примечание : Положения первоначальной версии этого законопроекта, призванные разъяснить Закон о конфиденциальности потребителей Калифорнии 2018 года, были изменены из AB 846.

CA AB 873
Статус: сбой — отложен
Пересматривает определение деидентифицированной информации для целей Закона о конфиденциальности потребителей, чтобы оно означало информацию, которая не идентифицирует и не может быть связана прямо или косвенно с конкретным потребителем. Указывает, что личная информация включает в себя указанную информацию, которая, среди прочего, может быть разумно связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.

CA AB 981
Статус: сбой — отложен
Исключает право потребителя требовать от компании удалить или не продавать личную информацию потребителя в соответствии с Законом о конфиденциальности потребителей, если необходимо сохранить или передать персональную информацию потребителя совершить страховую сделку по запросу потребителя.

CA AB 1138
Статус: наложено вето
По разрешению физическому или юридическому лицу, которое ведет бизнес в штате и которое управляет веб-сайтом или приложением в социальных сетях, разрешать лицу младше указанного возраста создавать учетную запись на веб-сайте или в приложении, кроме случаев, когда веб-сайт или приложение получает согласие родителя или опекуна лица перед созданием учетной записи с использованием метода, который включает разумные меры, гарантирующие, что лицо, дающее согласие, является родителем или законным опекуном такого лица.

CA AB 1281
Статус: введен в действие
Распространяет исключения из Закона о защите прав потребителей на определенную информацию, собранную бизнесом о физическом лице, когда это лицо выступает в качестве соискателя вакансии, сотрудника, владельца, директора, должностного лица, медицинский персонал или подрядчик и личная информация, отражающая письменное или устное общение или транзакцию между предприятием и потребителем до указанной даты.

CA AB 1395
Статус: сбой — отложен
Запрещает физическому или юридическому лицу обеспечивать работу функции распознавания голоса в пределах штата без явного уведомления пользователя во время первоначальной настройки или установки интеллектуального динамика.Запрещает любые деидентифицированные фактические записи или транскрипции, собранные или сохраненные с помощью функции распознавания голоса производителем подключенного телевизора или интеллектуального динамика, от использования в каких-либо рекламных целях или для продажи.

CA AB 1416
Статус: сбой — отложен
Указывает, что Закон штата о конфиденциальности потребителей не ограничивает способность бизнеса соблюдать какие-либо правила или положения, принятые в соответствии с законами штата или федеральными законами.Устанавливает исключение из закона для бизнеса, который предоставляет личную информацию потребителя государственному учреждению исключительно для целей выполнения государственной программы, если выполняются указанные требования.

CA AB 1665
Статус: Не выполнено — отложено
Принимает Закон о спортивной тренировке. Учреждает Калифорнийский совет по спортивной подготовке в рамках Департамента по делам потребителей для выполнения лицензионных, регулирующих и дисциплинарных функций. Запрещает человеку тренироваться в качестве спортивного тренера или использовать определенные названия или термины без лицензии совета директоров.Требуется лицензированный спортивный тренер для занятий только в сотрудничестве с врачом и хирургом.

CA AB 2261
Статус: сбой — отложен
Требуется процессор, как определено, который предоставляет услуги распознавания лиц, среди прочего, для предоставления интерфейса прикладного программирования или других технических возможностей, выбранных процессором, для включения Контроллеры или третьи стороны для проведения законных, независимых и разумных тестов этих служб распознавания лиц на точность и несправедливые различия в производительности между отдельными подгруппами населения.

CA AB 2280
Статус: отклонен — ​​отложен
В этом законопроекте будет определяться «информация о личном медицинском свидетельстве» для целей закона, означающая индивидуально идентифицируемую информацию в электронной или физической форме о психическом или физическом состоянии человека, которое является собираются одобренным FDA коммерческим интернет-сайтом, онлайн-сервисом или продуктом, который используется физическим лицом по указанию поставщика медицинских услуг с основной целью сбора и который собирает индивидуально идентифицируемую личную информацию о здоровье человека путем прямого измерения психического или физического состояния человека или путем ввода данных пользователем о психическом или физическом состоянии человека. Законопроект будет предусматривать, что компания, которая предлагает потребителю программное обеспечение или оборудование для ведения личных медицинских карт, чтобы сделать информацию доступной для физического лица или поставщика медицинских услуг по запросу этого лица или поставщика медицинских услуг, чтобы разрешить лицо для управления своей информацией или для диагностики, лечения или управления состоянием здоровья человека считается поставщиком медицинских услуг в соответствии с требованиями Закона о конфиденциальности медицинской информации.

CA AB 3212
Статус: сбой — отложен
Запрещает физическому или юридическому лицу, ведущему бизнес в этом штате, которое управляет веб-сайтом в социальной сети или приложением, которое требует согласия на подписку, прежде чем продавать личную информацию несовершеннолетнего, чтобы получить согласие на продавать личную информацию несовершеннолетнего способом, отличным от общих условий и положений веб-сайта социальной сети или приложения.

CA SB 108
Статус: не выполнено — отложено
Вносит поправки в Закон о контроле над алкогольными напитками.Запрещает лицензиату использовать или продолжать использовать алкогольный сервер без действующей сертификации алкогольного сервера, начиная с указанной даты. Предоставляет начальнику отдела правопорядка, а также всем следователям, инспекторам и заместителям Бюро по контролю за каннабисом полномочия миротворцев, распространяющиеся на любое место в штате, когда они заняты осуществлением своих полномочий или выполнением своих обязанностей, налагаемых законами о расследовании.

CA SB 980
Статус: Нарушено вето
Утверждает Закон о конфиденциальности генетической информации.Запрещает компаниям, предоставляющим услуги по генетическому тестированию или тестированию на болезни, напрямую потребителям раскрывать генетическую информацию человека третьим лицам без получения предварительного письменного согласия лица. Требует, чтобы действия по судебному преследованию осуществлялись исключительно окружным прокурором, окружным советником, городским прокурором или городским прокурором.

Коннектикут

CT SB 134
Статус: сбой — отложен
Обеспокоен конфиденциальностью потребителей, требует, чтобы компании раскрывали предполагаемое использование любой личной информации и давали потребителям право узнавать, какой личной информацией обладает компания, и отказаться от продажи такую ​​информацию, а также для создания основания для иска и наказания за нарушение таких требований.

Флорида

FL HB 963
Статус: сбой
Относится к конфиденциальности данных потребителей, запрещает использование личных данных, содержащихся в общедоступных записях, для определенного маркетинга, сбора запросов и контактов без согласия лиц, содержит определения.

FL SB 1670
Статус: сбой
Относится к конфиденциальности данных потребителей, запрещает использование личных данных, содержащихся в общедоступных записях, для определенного маркетинга, сбора запросов и контактов без согласия людей, определяет условия.

Гавайи

HI HB 761
Статус: сбой — отложен
Указывает, что розничные продавцы могут предоставлять подтверждение покупки в электронной форме участнику программы частых покупок, требует, чтобы розничные торговцы, предлагающие электронное подтверждение покупки, имели разумные меры защиты для защиты участников. Персональные данные.

HI HB 2572
Статус: Не выполнено — отложено
Выполняет рекомендации Целевой группы по закону о конфиденциальности XXI века.

HI SB 418
Статус: сбой — отложен
Требует от компании раскрытия категорий и конкретных частей идентифицирующей информации, собранной о потребителе по проверяемому запросу потребителя, раскрывает личность третьих сторон, которым был продан бизнес или передал идентифицирующую информацию о потребителе по проверяемому запросу потребителя.

HI SB 1534
Статус: сбой — отложен
Требует от оператора мероприятия раскрывать количество билетов, доступных для продажи широкой публике, на мероприятие, запрещает развлекательные заведения, финансируемые за счет пожертвований, государственных средств или освобожден от налогов при заключении эксклюзивных контрактов на продажу билетов, запрещает продавцам билетов раскрывать личную информацию покупателей билетов.

HI SB 2451
Статус: сбой — отложен
Запрещает третьей стороне продавать или использовать личную информацию о потребителе, которая была продана третьей стороне бизнесом, если потребитель не получил явного уведомления, предоставляет явное письменное согласие , и предоставляется возможность воспользоваться правом отказа, определяет требования к уведомлению для предприятий.

HI SB 2185
Статус: Отказ — отложен.
Исключает нарушения конфиденциальности первой степени и определенные нарушения конфиденциальности второй степени, из квалификационных требований для отсроченного принятия заявления о признании вины или заявления о признании несогласия с нарушением конфиденциальности.Ограничивает государственное использование систем распознавания лиц, за исключением определенных обстоятельств.

Айдахо

ID HB 492
Статус: сбой — отложен
Устанавливает определенные обязательства для пользователей технологии распознавания лиц, определенные права для лиц, чьи данные распознавания лиц были собраны, а также определенные обязательства в отношении ответственности государственных органов, которые собирают или используют лица технология распознавания.

Иллинойс

IL HB 1426
Статус: Не выполнено — отложено
Вносит поправки в Закон о защите конфиденциальности граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL HB 2736
Статус: сбой — отложен
Создает действие о праве знать, предусматривает, что оператор коммерческого веб-сайта или онлайн-службы, собирающий через Интернет личную информацию об отдельных клиентах, проживающих в стране, которые используют или посещают ее коммерческие веб-сайт или онлайн-сервис должен уведомлять этих клиентов об определенной информации, касающейся их практики обмена личной информацией.

IL HB 2785
Статус: сбой — отложен
Создает Закон о защите конфиденциальности геолокации, определяет геолокационную информацию, приложение на основе местоположения, частное лицо и пользователя, а также предусматривает, что частное лицо не может собирать, использовать, хранить или раскрывать информация о геолокации из приложения на основе местоположения на устройстве пользователя, если только частное лицо сначала не получит утвердительное явное согласие лица после выполнения указанных требований к уведомлению, предусматривает исключения, предусматривает, что нарушение закона является незаконной практикой.

IL HB 2871
Статус: сбой — отложен
Создает Закон о регистрации брокера данных, требует, чтобы брокер данных ежегодно регистрировался у государственного секретаря, определяет брокера данных как бизнес или единицу бизнеса, отдельно или вместе, которые сознательно собирает и продает или лицензирует третьим сторонам полученную при посредничестве персональную информацию потребителя, с которым компания не имеет прямых отношений.

IL HB 3051
Статус: сбой — отложен
Создает Закон о защите конфиденциальности приложений, требует, чтобы организация, которая владеет, контролирует или управляет веб-сайтом, онлайн-сервисом или программным приложением, указала в своих соглашениях с клиентами или применимых условиях, является ли третья сторона Стороны собирают электронную информацию непосредственно с цифровых устройств лиц, которые используют или посещают их веб-сайт, онлайн-службу или программное приложение, требует раскрытия имен этих третьих сторон и категорий собираемой информации.

IL HB 3130
Статус: Не выполнено — отложено
Вносит поправки в Закон о конфиденциальности генетической информации, включает прямое коммерческое генетическое тестирование для потребителей в определение генетического тестирования.

IL HB 3357
Статус: сбой — отложен
Создает Закон о конфиденциальности данных, дает только краткое название.

IL HB 3358
Статус: сбой — отложен
Создает Закон о прозрачности и конфиденциальности данных, устанавливает, что люди имеют право на неприкосновенность частной жизни и личную имущественную заинтересованность в информации, относящейся к человеку, предусматривает, что организация, которая собирает данные через Интернет личная информация об отдельных потребителях должна раскрывать отдельную информацию относительно сбора информации, устанавливает, что потребитель имеет право отказаться от продажи информации о потребителе, создает определенные исключения.

IL HB 4975
Статус: сбой — отложен
Вносит поправки в Закон о защите личной информации, создает право интеллектуальной собственности на людей для продолжения использования личной информации, когда нарушение не устранено в течение тридцати дней или когда личная информация человека не может быть сертифицирована для полного извлечения от лица, участвующего в несанкционированном приобретении, или от тех, кому были переданы данные этого лица.

IL HB 5288
Статус: сбой — отложен
Создает Закон о конфиденциальности данных, обеспечивает регулирование использования и продажи данных, определяет условия, устанавливает права потребителей на копии информации, хранящиеся у лиц, которые контролируют и обрабатывают данные, предусматривает исправление неточных данных, предусматривает ограничения на использование личных данных, обеспечивает исполнение закона Генеральным прокурором, предусматривает гражданско-правовые санкции, отменяет самоуправление.

IL HB 5374
Статус: сбой — отложен
Внесены поправки в Закон о конфиденциальности биометрической информации, изменен срок письменного разрешения на письменное согласие, предусматривается, что письменная политика, разработанная частным лицом, обладающим биометрическими идентификаторами, должна быть выполнена доступный для лица, у которого должна быть собрана или была собрана биометрическая информация, предусматривает, что иск, возбужденный в соответствии с законом, должен быть возбужден в течение одного года после основания иска, возникшего при определенных обстоятельствах.

IL HB 5603
Статус: сбой — отложен
Создает Закон о конфиденциальности потребителей, предусматривает, что потребитель имеет право потребовать, чтобы компания, собирающая личную информацию потребителя, раскрыла этому потребителю категории и конкретные части личной информации, компания собрала, требует, чтобы компания, в момент сбора или до него, проинформировала потребителя о категориях личной информации, которая должна быть собрана, и целях, для которых категории личной информации должны использоваться.

IL SB 413
Статус: Не выполнено — отложено
Вносит поправки в Закон о защите конфиденциальности граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL SB 907
Статус: Не выполнено — отложено
Вносит поправки в Закон о защите конфиденциальности граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL SB 2134
Статус: сбой — отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку, создающую частное право на иск, вместо этого предусматривает, что любое нарушение, являющееся результатом сбора биометрической информации работодателем для трудоустройства, кадровых ресурсов , предотвращение мошенничества или обеспечение безопасности подлежат исполнительному органу Министерства труда, предусматривается, что сотрудник или бывший сотрудник может подать жалобу в Департамент, утверждая, что нарушение.

IL SB 2149
Статус: сбой — отложен
Создает право знать Закон о прозрачности и конфиденциальности данных, предусматривает, что оператор коммерческого веб-сайта или онлайн-сервиса, который собирает личную информацию через Интернет об отдельных клиентах, проживающих в или посетить его коммерческий веб-сайт или онлайн-сервис должен уведомить этих клиентов об определенной указанной информации, относящейся к его практике обмена личной информацией, требует, чтобы оператор предоставил определенную указанную информацию после раскрытия.

IL SB 2263
Статус: сбой — отложен
Создает Закон о конфиденциальности данных, обеспечивает регулирование использования и продажи данных, определяет условия, устанавливает права потребителей на копии информации, хранящиеся у лиц, которые контролируют и обрабатывают данные, предусматривает исправление неточных данных, предусматривает ограничения на использование личных данных, обеспечивает исполнение закона Генеральным прокурором, предусматривает гражданско-правовые санкции, отменяет самоуправление.

IL SB 2273
Статус: сбой — отложен
Создает Закон об автоматическом прослушивании, определяет условия, предусматривает, что для лица, предоставляющего какие-либо интеллектуальные услуги через проприетарный интеллектуальный динамик, незаконно хранить или делать запись или расшифровку любую речь или звук, записанные интеллектуальным динамиком, или использовать любое хранилище, запись или расшифровку любого голосового взаимодействия пользователя с голосовым пользовательским интерфейсом, или передавать такую ​​запись или расшифровку стенограмме третьей стороне для любых целей без получения явных информированное согласие.

IL SB 2330
Статус: сбой — отложен
Создает Закон о прозрачности и конфиденциальности данных, предусматривает, что любой бизнес, который обрабатывает личную информацию или деидентифицированную информацию, должен до обработки уведомить потребителя, к которому эта информация относится или принадлежит конкретной информации в соглашении об оказании услуг или в любом месте, легкодоступном на веб-сайте компании или в мобильном приложении, устанавливает право потребителей знать и предписывает типы информации, которую они могут запрашивать у предприятий.

IL SB 3299
Статус: сбой — отложен
Создает Закон о конфиденциальности потребителей, предусматривает, что потребитель имеет право потребовать, чтобы компания, собирающая личную информацию потребителя, раскрыла этому потребителю категории и конкретные части личной информации, компания собрала, требует, чтобы компания, в момент сбора или до него, проинформировала потребителя о категориях личной информации, которая должна быть собрана, и целях, для которых категории личной информации должны использоваться.

IL SB 3414
Статус: сбой — отложен
Создает Закон о защите частной жизни домашних хозяйств, предусматривает, что правоохранительные органы не должны получать электронные данные домашних хозяйств или направлять получение электронных данных домашних хозяйств от частных лиц или других третьих лиц, предусматривает исключения, предусматривает, что если правоохранительный орган получает электронные данные домашнего хозяйства в соответствии с законом, агентство должно уничтожить всю полученную информацию.

IL SB 3591
Статус: Отказ — Отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку, согласно которой преобладающая сторона может взыскать убытки с частного лица, которое по неосторожности нарушает закон за каждое нарушение закона, вместо этого предусматривает, что преобладающий Сторона может взыскать заранее оцененные убытки в определенной сумме или фактические убытки, в зависимости от того, что больше, и что такие убытки за небрежное нарушение со стороны частного лица должны быть взысканы только для одного сбора биометрических идентификаторов каждой потерпевшей стороны.

IL SB 3593
Статус: сбой — отложен
Внесены поправки в Закон о конфиденциальности биометрической информации, изменен срок письменного разрешения на письменное согласие, предусматривается, что письменная политика, разработанная частным лицом, обладающим биометрическими идентификаторами, должна быть выполнена доступный лицу, у которого должна быть собрана или была собрана биометрическая информация, предусматривает, что иск, возбужденный в соответствии с законом, должен быть возбужден в течение одного года после возникновения причины иска.

IL SB 3776
Статус: Отказ — Отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, предусматривает, что выигравшая сторона может взыскать только заранее оцененные убытки в размере 1000 долларов США или фактические убытки, в зависимости от того, что больше, за небрежное нарушение Закона против частного лица сторона-нарушитель, которая не является текущим или бывшим работодателем преобладающей стороны, предусматривает, что преобладающая сторона может взыскать фактические убытки только с частного лица, являющегося виновным, которое является текущим или бывшим работодателем преобладающей стороны.

Луизиана

LA HB 617
Статус: сбой — отложен
Обеспечивает защиту личной информации.

LA HB 654
Статус: сбой — отложен
Обеспечивает защиту личной информации.

LA HB 662
Статус: сбой — отложен
Относится к программному обеспечению распознавания лиц.

Массачусетс

MA HB 243
Статус: отказано — отложено
Относится к защите личных данных.

MA HB 349
Статус: сбой — отложен
Регулирует размещение рекламы в Интернете.

MA HB 350
Статус: сбой — отложен
Относится к онлайн-сбору личной информации от детей и несовершеннолетних.

MA HB 382
Статус: сбой — отложен
Относится к сбору, использованию, раскрытию или распространению личной информации от клиентов поставщиков телекоммуникационных или интернет-услуг.

MA HB 1403
Статус: сбой — отложен
Относится к конфиденциальности несовершеннолетних в Интернете.

MA SB 120
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей.

MA SB 1936
Статус: Не выполнено — отложено
Содействует сетевому нейтралитету и защите потребителей.

Мэриленд

MD HB 249
Статус: сбой
Разрешает потребителям требовать, чтобы компания не раскрывала личную информацию потребителя третьим лицам, и воспользоваться правом отказаться от раскрытия информации третьими лицами с помощью определенных настроек, включая настройку браузера, Расширение браузера или глобальная настройка устройства запрещает компании раскрывать личную информацию потребителя третьей стороне, если компания имеет определенные сведения или умышленно игнорирует тот факт, что потребителю не исполнилось 18 лет.

MD HB 307
Статус: сбой — отложен
Требует, чтобы каждое частное лицо, обладающее биометрическими идентификаторами или биометрической информацией, разработало письменную политику, доступную для общественности, устанавливающую определенный график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрическая информация требует, чтобы каждое частное лицо, обладающее биометрическими идентификаторами или биометрической информацией, соблюдало политику хранения и уничтожения частного лица, за исключением определенных обстоятельств.

MD HB 752
Статус: сбой
Запрещает человеку использовать сканирующее устройство для сканирования или считывания удостоверения личности человека или водительских прав для получения личной информации, запрещает лицам сохранять, продавать или передавать любую информацию, полученную из сканирование или считывание удостоверения личности или водительских прав человека предусматривает, что Закон не запрещает сотруднику правоохранительных органов использовать сканирующее устройство для записи, хранения или передачи информации, если они действуют в рамках своих обязанностей.

MD HB 784
Статус: сбой
Требует, чтобы определенные предприятия, которые собирают личную информацию потребителя, предоставляли потребителю определенные четкие и заметные уведомления в момент сбора или до него, разрешает потребителю подать определенный запрос информации в определенный бизнес, который собирает личную информацию потребителя, требует от определенного бизнеса выполнения определенного запроса информации определенным образом и в течение 45 дней после получения поддающегося проверке запроса потребителя.

MD HB 1065
Статус: сбой — отложен
Запрещает государственной сервисной компании и подрядчику делиться, раскрывать или иным образом делать доступной третьей стороне личную информацию клиента, за определенным исключением, запрещает коммунальной сервисной компании и подрядчик от продажи личной информации клиента требует, чтобы каждая коммунальная компания и подрядчик использовали разумные процедуры и методы обеспечения безопасности для защиты личной информации клиента от определенных несанкционированных действий.

MD HB 1578
Статус: сбой — отложен
Выражает мнение Генеральной Ассамблеи о том, что технология распознавания лиц может представлять определенные риски, а также обеспечивать различные преимущества, и что необходимы меры предосторожности, позволяющие использовать эту технологию различными способами. которые приносят пользу обществу, устанавливают определенные требования и определенные запрещенные действия, связанные с предоставлением услуг распознавания лиц определенными лицами, запрещают определенным государственным органам использовать услуги распознавания лиц при определенных обстоятельствах.

MD HB 1656
Статус: сбой — отложен
Требует, чтобы определенные предприятия, собирающие личную информацию потребителя, предоставляли потребителю определенные четкие и заметные уведомления в точке сбора или до нее, разрешает потребителю подать определенный запрос на информацию определенному бизнесу, который собирает личную информацию о потребителях, требует от определенного бизнеса выполнения определенного запроса на информацию определенным образом и в течение определенного времени, создает Фонд защиты конфиденциальности потребителей.

MD SB 476
Статус: сбой — отложен
Выражает мнение Генеральной Ассамблеи о том, что технология распознавания лиц может представлять определенные риски, а также обеспечивать различные преимущества, и что необходимы меры предосторожности, позволяющие использовать эту технологию различными способами. которые приносят пользу обществу, устанавливают определенные требования и определенные запрещенные действия, связанные с предоставлением услуг распознавания лиц определенными лицами, запрещают определенным государственным органам использовать услуги распознавания лиц при определенных обстоятельствах.

MD SB 957
Статус: сбой — отложен
Требует, чтобы определенные предприятия, которые собирают личную информацию потребителя, предоставили потребителю определенные четкие и заметные уведомления в момент сбора или до него, разрешает потребителю подать определенный запрос информации определенному бизнесу, который собирает личную информацию о потребителях, требует от определенного бизнеса выполнения определенного запроса на информацию определенным образом и в течение определенного количества дней после получения поддающегося проверке запроса потребителя.

Мэн

ME LR 2602
Статус: Не удалось — отложено
Относится к мерам по защите конфиденциальности потребителей от поставщиков онлайн-контента, приложений или услуг.

ME LR 2878
Статус: Не удалось — отложено
Относится к действию по расширению защиты конфиденциальности информации о потребителях в Интернете.

Мичиган

MI HB 4658
Статус: сбой — отложен
Регулирует сбор личной информации путем сканирования машиночитаемых, выданных государством водительских прав или удостоверений личности.

MI SB 172
Статус: Принят
Изменяет требования к страховщикам, предоставляющим клиентам политику конфиденциальности.

Миннесота

MN HB 112
Статус: Не выполнено — отложено
Относится к генетической информации, изменяет существующий закон об использовании генетической информации государственными учреждениями, создает новый закон о защите потребителей в отношении использования генетической информации.

MN HB 1030
Статус: сбой — отложен
Относится к телекоммуникациям и конфиденциальности данных, запрещает сбор личной информации без письменного согласия клиента.

MN HB 2917
Статус: сбой — отложен
Относится к конфиденциальности данных, требует от контроллеров предоставления, исправления или ограничения обработки персональных данных по запросу потребителя, требует, чтобы контроллеры предоставили уведомление о конфиденциальности и документ об оценке риска, предусматривает ответственность и гражданско-правовые санкции, наделяет генерального прокурора исполнительными полномочиями.

MN HB 2975
Статус: сбой — отложен
Относится к конфиденциальности данных, требует согласия перед тем, как поставщики предоставят аудио- или видеоданные третьим сторонам.

MN HB 3096
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей, дает потребителям различные права в отношении личных данных, налагает обязательства по обеспечению прозрачности данных на предприятия, создает частное право иска, обеспечивает исполнение со стороны генерального прокурора.

MN HB 3936
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей, дает потребителям различные права в отношении персональных данных, налагает обязательства на предприятия в отношении данных потребителей, обеспечивает исполнение со стороны генерального прокурора, требует отчета.

MN SB 433
Статус: сбой — отложен
Относится к телекоммуникациям, конфиденциальности данных, запрещает сбор личной информации при отсутствии письменного согласия клиентов.

MN SB 1553
Статус: сбой — отложен
Относится к коммерции, требует от поставщиков телекоммуникационных услуг соблюдения требований конфиденциальности в Интернете, определяет термины и изменяет определения, требует прямого одобрения раскрытия информации, позволяющей установить личность, увеличивает порог гражданской ответственности.

MN SB 2912
Статус: сбой — отложен
Относится к конфиденциальности данных, требует от контроллеров предоставления, исправления или ограничения обработки персональных данных по запросу потребителя, требует от контроллеров предоставления уведомления о конфиденциальности и оценки риска документа, предусматривает ответственность и гражданско-правовые санкции, наделяет генерального прокурора исполнительными полномочиями.

MN SB 4247
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей, дает потребителям различные права в отношении персональных данных, налагает обязательства на предприятия в отношении данных потребителей, обеспечивает исполнение со стороны генерального прокурора, требует отчета.

Миссури

MO HB 2375
Статус: сбой — отложен
Изменяет закон, касающийся защиты прав потребителей и правоприменения, ограничивая использование биометрических данных человека.

Миссисипи

MS SB 2548
Статус: Не выполнено
Создает Закон о конфиденциальности данных потребителей штата Миссисипи, разрешает потребителям запрашивать у компаний раскрытие определенной информации, разрешает потребителям запрашивать у компаний удаление личной информации, собранной компаниями, требует, чтобы компании раскрывали определенную информацию потребителям для информирования потребителей об их праве требовать удаления личной информации, а также для удаления личной информации, собранной о потребителях по запросу.

Небраска

NE L 746
Статус: Не выполнено — отложено
Принимает Закон Небраски о конфиденциальности данных потребителей.

Нью-Гэмпшир

NH HB 536
Статус: сбой — отложен
Запрещает компаниям использовать, раскрывать или сохранять биометрическую информацию о физическом лице.

NH HB 1236
Статус: Не удалось — отложено
Устанавливает основание для иска в случае нарушения требований конфиденциальности в отношении личной информации.

NH HB 1417
Статус: сбой — отложен
Расширяет запрет на сбор биометрических данных для частных лиц.

NH HB 1466
Статус: Не удалось
Устанавливает исключение из запрета на сканирование, запись, сохранение или хранение информации, полученной из водительских прав.

NH HB 1680
Статус: сбой — отложен
Предоставляет потребителям право требовать от компании раскрытия типа собираемой личной информации, цели, для которой она собирается, и категорий третьих сторон, которым она передается. , разрешает потребителям отказаться от продажи их личной информации, устанавливает частное право на иск и предусматривает дальнейшее исполнение со стороны генерального прокурора.

NH SB 316
Статус: отказано — отложено
Устанавливает уголовное наказание за неспособность защитить личную информацию другого человека.

Нью-Джерси

NJ AB 1181
Статус: в ожидании
Требуется, чтобы коммерческий веб-сайт в Интернете и операторы онлайн-услуг опубликовали свою политику конфиденциальности на видном месте.

NJ AB 2188
Статус: ожидается
Требуются коммерческие веб-сайты в Интернете и онлайн-сервисы для уведомления клиентов о сборе и раскрытии информации, позволяющей установить личность, и предоставления клиентам возможности отказаться.

NJ AB 2340
Статус: на рассмотрении
Запрещает коммерческим поставщикам мобильных услуг раскрывать данные о геолокации клиентов третьим лицам.

NJ AB 2489
Статус: ожидается
Запрещает коммерческим поставщикам мобильных услуг и разработчикам мобильных приложений раскрывать данные о местоположении клиентов третьим лицам.

NJ AB 3072
Статус: на рассмотрении
Относится к Закону об информации об электронном распознавании речи потребителя, запрещает работу функции распознавания голоса на подключенном устройстве до информирования пользователя о функции распознавания голоса во время первоначальной настройки или установки подключенного устройства.

NJ AB 3255
Статус: в ожидании
Требует от определенных предприятий уведомлять клиентов об определенной информации, касающейся сбора и продажи информации, позволяющей установить личность, и позволять клиентам соглашаться на сбор и продажу.

NJ AB 3283
Статус: на рассмотрении
Относится к государственному Закону о раскрытии и прозрачности подотчетности (ДАННЫЕ), устанавливает определенные требования к раскрытию и обработке информации, позволяющей установить личность, создает Управление защиты данных и ответственного использования в Отделе по делам потребителей.

NJ AB 3525
Статус: в ожидании
Требует от агентств по информированию потребителей усилить защиту личной информации потребителей.

NJ SB 236
Статус: сбой
Требуются коммерческие веб-сайты в Интернете и онлайн-сервисы для уведомления клиентов о сборе и раскрытии информации, позволяющей установить личность, и позволяет клиентам отказаться от участия.

NJ SB 269
Статус: в ожидании
Требует, чтобы определенные предприятия уведомляли субъектов данных о сборе личной информации, устанавливает определенные стандарты безопасности.

NJ SB 1223
Статус: в ожидании
Запрещает розничным торговым предприятиям хранить определенные данные с магнитных полос, требует возмещения затрат, понесенных финансовым учреждением из-за нарушения безопасности.

NJ SB 1257
Статус: Ожидается
Требуются коммерческие Интернет-сайты и онлайн-сервисы для уведомления потребителей о сборе и раскрытии личной информации, позволяет потребителям отказаться.

NJ SB 1317
Статус: в ожидании
Требует от агентств по информированию потребителей усилить защиту личной информации потребителей.

Нью-Йорк

NY AB 235
Статус: сбой — отложен
Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для использования для влияния на объем бизнеса, продажи или рынок делиться или оценивать эффективность маркетинговых практик или маркетингового персонала.

NY AB 431
Статус: сбой — отложен
Запрещает продажу отчетов с данными о занятости без письменного согласия потребителей, при условии, что такие отчеты с данными о занятости должны включать, помимо прочего, информацию о заработной плате и доходах, отработанных часах, истории потребителей и информация о медицинском страховании.

NY AB 1911
Статус: сбой — отложен
Устанавливает закон о биометрической конфиденциальности, требует от частных лиц, обладающих биометрическими идентификаторами или биометрической информацией, разработать письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнего взаимодействия физического лица с частным лицом, в зависимости от того, что произойдет раньше.

NY AB 2775
Статус: сбой — отложен
Запрещает любому лицу раскрывать медицинскую или личную информацию лицам, которые занимаются сбором и доступом к информации в коммерческих целях или чье использование такой информации будет связано с с маркетингом продукта или услуги без явного письменного разрешения субъекта данных.

NY AB 3308
Статус: сбой — отложен
Регулирует сбор, раскрытие и распространение личной информации, полученной поставщиком компьютерных услуг в сети, для обеспечения конфиденциальности информации о подписчиках и схемах заработной платы.

NY AB 3612
Статус: сбой — отложен
Требует, чтобы поставщики интернет-услуг предоставили клиентам копию своей политики конфиденциальности и получили письменное и явное разрешение от клиента перед передачей, использованием, продажей или предоставлением третьей стороне любая конфиденциальная информация такого клиента.

NY AB 3739
Статус: сбой — отложен
Вносит поправки в Общий закон о предпринимательской деятельности, ограничивает раскрытие личной информации предприятиями.

NY AB 3818
Статус: Не выполнено — отложено
Относится к принятию Закона о защите потребителей в Интернете, определяет условия, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности и практика сбора и использования данных, связанных с его рекламной деятельностью, содержит соответствующие положения.

NY AB 5306
Статус: сбой — отложен
Относится к использованию функций распознавания голоса в определенных продуктах.

NY AB 6351
Статус: сбой — отложен
Предоставляет потребителю право запросить у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых собирается эта информация, бизнес-цели для сбора или продажи информации, а также категории третьих лиц, которым эта информация передается.

NY AB 7268
Статус: сбой — отложен
Требуется явное и положительное согласие перед сбором, хранением или передачей любой личной информации, полученной в результате установки или использования системы, подключенной к умному дому, определенными лицами.

NY AB 7736
Статус: сбой — отложен
Устанавливает «Закон о ваших данных» с целью обеспечения защиты и прозрачности при сборе, использовании, хранении и передаче личной информации.

NY AB 8113
Статус: сбой — отложен
Требует от производителей умных динамиков получить подписанное письменное разрешение от пользователей перед сохранением голосовых записей.

NY AB 8526
Статус: сбой — отложен
Вводит в действие Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрытия своих методов деидентификации личной информации, принятия специальных мер безопасности при обмене данными и разрешения потребителям получать имена всех организаций, кому передается их информация, создает специальную учетную запись для финансирования нового Управления конфиденциальности и защиты данных.

NY A 10704
Статус: сбой — отложен
Устанавливает стандарты конфиденциальности для электронных медицинских товаров и услуг, требует согласия на сбор и / или передачу личной информации о здоровье или других личных данных.

NY SB 224
Статус: сбой — отложен
Вносит поправки в Общий закон о предпринимательской деятельности, ограничивает раскрытие личной информации предприятиями.

NY SB 518
Статус: сбой — отложен
Запрещает раскрытие личной информации поставщиком интернет-услуг без явного письменного согласия потребителя.

NY SB 1180
Статус: сбой — отложен
Запрещает поставщикам интернет-услуг раскрывать личную информацию, когда потребитель требует, чтобы его информация не разглашалась, определяет условия, делает исключения, налагает гражданский штраф.

NY SB 1203
Статус: сбой — отложен
Устанавливает закон о биометрической конфиденциальности, требует от частных лиц, обладающих биометрическими идентификаторами или биометрической информацией, разработать письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнего взаимодействия физического лица с частным лицом, в зависимости от того, что произойдет раньше.

NY SB 1204
Статус: сбой — отложен
Относится к использованию функций распознавания голоса в определенных продуктах.

NY SB 1464
Статус: сбой — отложен
Требует, чтобы требования интернет-провайдера сохраняли конфиденциальность всей информации о клиенте, если клиент не предоставил письменное согласие.

NY SB 2323
Статус: Не выполнено — отложено
Относится к принятию закона о защите прав потребителей в Интернете, определяет условия, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности и ее политике конфиденциальности. практика сбора и использования данных, связанных с его рекламной деятельностью, содержит соответствующие положения.

NY SB 2398
Статус: сбой — отложен
Вносит поправки в Общий закон о предпринимательской деятельности, касается личной информации держателя кредитной или дебетовой карты, добавляет почтовый индекс, адрес электронной почты, домашний, мобильный и рабочий телефонные номера в личная информация защищена.

NY SB 2500
Статус: сбой — отложен
Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для использования для влияния на объем бизнеса, продажи или рынок делиться или оценивать эффективность маркетинговых практик или маркетингового персонала.

NY SB 3147
Статус: сбой — отложен
Требует, чтобы розничные продавцы размещали предупреждающие знаки о отслеживании клиентов с помощью сотовых телефонов или других электронных устройств, предусматривает гражданские штрафы.

NY SB 3970
Статус: сбой — отложен
Запрещает продажу отчетов с данными о занятости без письменного согласия потребителей, при условии, что такие отчеты с данными о занятости должны включать, помимо прочего, информацию о заработной плате и доходах, отработанных часах, истории потребителей и информация о медицинском страховании.

NY SB 4411
Статус: сбой — отложен
Предоставляет потребителю право запросить у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых собирается эта информация, бизнес-цели для сбора или продажи информации, а также категории третьих лиц, которым эта информация передается.

NY SB 5245
Статус: Не удалось — отложено
Относится к продаже личной информации поставщиком интернет-услуг.

NY SB 5642
Статус: сбой — отложен
Вводит в действие Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрытия своих методов деидентификации личной информации, принятия специальных мер безопасности при обмене данными и разрешения потребителям получать имена всех организаций, кому передается их информация, создает специальную учетную запись для финансирования нового Управления конфиденциальности и защиты данных.

NY SB 6848
Статус: Не удалось — отложено
Относится к требованию регистрации брокеров данных и указанию генеральному прокурору поддерживать веб-сайт таких регистраций.

NY SB 7641
Статус: сбой — отложен
Требует от производителей умных динамиков получить подписанное письменное разрешение от пользователей перед сохранением голосовых записей.

Пенсильвания

PA HB 1049
Статус: сбой — отложен
Обеспечивает конфиденциальность данных потребителей, обеспечивает права потребителей и обязанности предприятий, связанные со сбором личной информации, а также обязанности генерального прокурора.

Род-Айленд

RI HB 7778
Статус: сбой — отложен
Создает Закон о прозрачности и защите конфиденциальности, требующий от поставщиков онлайн-услуг и коммерческих веб-сайтов, которые собирают, хранят и продают личную информацию, раскрывать, какие категории личной информации они собирают и каким третьим лицам они продают информацию.

RI SB 2430
Статус: сбой — отложен
Создает Закон о защите конфиденциальности потребителей, требует от предприятий, которые собирают, хранят или продают личную информацию, уведомлять потребителей и раскрывать информацию, а также об использовании информации предприятиями, предусматривает, что потребители могут отказаться и удалить личную информацию.

Южная Каролина

SC HB 4812
Статус: сбой — отложен
Вводит в действие Закон о конфиденциальности биометрических данных, устанавливает определенные требования для бизнеса, который собирает биометрическую информацию о потребителе, позволяет потребителю запрашивать у компании удаление собранной биометрической информации и запрещает продажа биометрической информации, устанавливает определенные стандарты обслуживания бизнеса, собирающего биометрическую информацию, устанавливает процедуру отказа потребителя от продажи биометрической информации.

Южная Дакота

SD SB 185
Статус: сбой
Регулирует использование технологии распознавания лиц.

Теннесси

TN SB 1841
Статус: сбой — отложен
Запрещает коммерческой организации по генетическому тестированию напрямую потребителю делиться личными данными генетических тестов или другой личной информацией о потребителе с третьей стороной без явного письменного согласия потребителя или повестку в суд, или постановление суда.

Юта

UT SB 249
Статус: сбой
Вводит в действие Закон штата Юта о конфиденциальности потребителей.

Вирджиния

VA HB 473
Статус: Ожидается — перенос
Относится к личным данным, относится к Закону о конфиденциальности штата Вирджиния, дает потребителям право доступа к своим данным и определения того, были ли они проданы брокеру данных, требуется контроллер, определенный в законопроект как лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных для облегчения запросов на осуществление прав потребителей в отношении доступа, исправления, удаления, ограничения обработки, переносимости данных, возражений и профилирования .

VA HB 955
Статус: Ожидается — Перенос
Относится к защите конфиденциальности детей в Интернете, запрещает любому лицу, которое управляет веб-сайтом в коммерческих целях и которое собирает или хранит личную информацию от пользователей или посетителей такого веб-сайта или в Интернете или о них. сервис от раскрытия личной информации, полученной от несовершеннолетних, для любых целей, за исключением случаев, когда личная информация предоставляется лицу, отличному от оператора, который обеспечивает поддержку внутренних операций веб-сайта, онлайн-службы или онлайн-приложения.

VA SB 101
Статус: Принят
Относится к информации о сканировании из водительских прав, позволяет продавцу сканировать машиночитаемую зону удостоверения личности или водительских прав, выданных Департаментом транспортных средств, для проверки подлинности таких или для проверки личности человека, когда человек запрашивает услугу в соответствии с членством или соглашением об обслуживании, позволяет продавцу провести такое сканирование для проверки личности.

VA SB 641
Статус: Ожидается — Перенос
Относится к гражданскому иску, относится к продаже личных данных, требует от лица, которое распространяет, получает, хранит или собирает личные данные о потребителе за плату, для реализации мер безопасности для защищать конфиденциальность личных данных потребителя, получать явное согласие бланка несовершеннолетнего перед продажей личных данных такого несовершеннолетнего, предоставлять потребителям доступ к их собственным личным данным, хранящимся в организации, и воздерживаться от хранения или продажи данных .

Вермонт

VT HB 157
Статус: сбой — отложен
Относится к принятию минимальных стандартов безопасности для подключенных устройств.

VT HB 899
Статус: сбой — отложен
Относится к продвижению защиты потребителей данных и технологий.

Вашингтон

WA HB 1503
Статус: сбой — отложен
Обязательства брокеров по регистрации проблем и защиты потребителей.

WA HB 1854
Статус: сбой — отложен
Защищает данные потребителей.

WA HB 2046
Статус: сбой — отложен
Повышает прозрачность данных потребителей.

WA HB 2742
Статус: сбой — отложен
Относится к управлению и надзору за личными данными.

WA HB 2759
Статус: сбой — отложен
Создает список прав потребителей данных.

WA SB 5376
Статус: сбой — отложен
Защищает данные потребителей.

WA SB 5377
Статус: сбой — отложен
Обеспокоенность продажами данных и управлением.

WA SB 6281
Статус: сбой — отложен
Относится к управлению и надзору за личными данными.

Висконсин

WI AB 870
Статус: сбой
Относится к доступу потребителя к личным данным, обрабатываемым контролером, предусматривает штраф.

WI AB 871
Статус: сбой
Относится к удалению персональных данных потребителей контроллерами, предусматривает штраф.

WI AB 872
Статус: сбой
Запрещает контроллерам использовать личные данные потребителей, предусматривает штраф.

WI SB 851
Статус: сбой
Относится к конфиденциальности данных потребителя, предоставляет полномочия по выработке правил, предусматривает штраф.

Западная Вирджиния

WV HB 4106
Статус: сбой — отложен
Относится к Закону о конфиденциальности биометрической информации.

WV HB 4898
Статус: сбой — отложен
Облагает операторов коммерческих данных общим налогом на услуги интеллектуального анализа данных.

WV SB 260
Статус: сбой — отложен
Сбор личной информации предприятиями розничной торговли для определенных целей.

Пуэрто-Рико

PR SB 1231
Статус: Ожидается
Создает Закон о защите конфиденциальности цифровых данных с целью защиты личной информации потребителей и гарантии права на неприкосновенность частной жизни в эпоху цифровых технологий.

Положения и условия LexisNexis

Дополнительные ресурсы

22 крупнейших штрафа GDPR в 2019, 2020 и 2021 годах (на данный момент) — обновлено в 2021 году

Миссия Tessian — обезопасить человеческий уровень , предоставив людям возможность выполнять свою работу наилучшим образом, не мешая безопасности.

Общий регламент ЕС по защите данных (GDPR) — один из самых жестких в мире законов о защите данных.

Согласно GDPR, органы по защите данных ЕС могут наложить штрафы до 20 миллионов евро (примерно 20 372 000 долларов США), или 4 процентов от мирового оборота за предыдущий финансовый год — в зависимости от того, какая сумма больше.

С тех пор, как GDPR вступил в силу в мае 2018 года, мы видели более 800 штрафов, наложенных в Европейской экономической зоне (ЕЭЗ) и Великобритании.

Штрафы в размере

GDPR значительно выросли за последние месяцы.Общая сумма штрафов GDPR, наложенных в третьем квартале 2021 года, составила почти 1 миллиард евро, что в 20 раз больше, чем сумма за первый и второй кварталы 2021 года вместе взятые.

Давайте взглянем на самые большие штрафы GDPR в 2019, 2020, 2021 годах, выясним, чем они были вызваны, и подумайте, как можно избежать штрафов за аналогичные нарушения.

Ищете информацию о достижении и поддержании соответствия? Мы исследуем решения для снижения риска электронной почты (вектор угроз №1 по мнению руководителей безопасности) на на этой странице .

Самые большие штрафы GDPR в 2019, 2020 и 2021 годах (пока)

1. Amazon — 746 миллионов евро (877 миллионов долларов)

Огромный штраф в размере

GDPR, объявленный Amazon в отчете о прибылях и убытках за июль 2021 года, почти в 15 раз превышает предыдущий рекорд.

Полные причины штрафа еще не подтверждены, но мы знаем, что причина связана с согласием на использование файлов cookie.

И это не первый случай наказания Amazon за то, как он собирает и передает личные данные с помощью файлов cookie.В конце 2020 года Франция оштрафовала Amazon на 35 миллионов евро после того, как технический гигант якобы не смог получить согласие на использование файлов cookie на своем веб-сайте.

Как можно было избежать штрафа: Заманчиво заставить пользователей «согласиться» на использование файлов cookie или затруднить отказ от файлов cookie, чтобы собрать как можно больше личных данных.

Но регуляторы недавно проявили серьезный аппетит к обеспечению соблюдения правил ЕС в отношении файлов cookie.

Если бы Amazon получила «добровольно данное», информированное и недвусмысленное согласие на подписку перед установкой файлов cookie на устройства своих пользователей, компания, вероятно, могла бы избежать этого огромного штрафа GDPR.

2. WhatsApp — 225 миллионов евро (255 миллионов долларов)

Всего через несколько месяцев после того, как колоссальный штраф Amazon по GDPR сбил Google с первого места по GDPR, WhatsApp поставил Google на третье место с штрафом, почти в пять раз большим, чем предыдущий рекорд поискового гиганта.

Ирландия обрушила на WhatsApp штраф в размере 225 миллионов евро, заявив, что служба обмена сообщениями не смогла должным образом объяснить свои методы обработки данных в своем уведомлении о конфиденциальности.

Ирландия не известна тем, что налагает крупные штрафы, несмотря на то, что в Европе проживает почти каждая крупная технологическая компания США.И даже этот штраф появился только после того, как другие органы ЕС по защите данных использовали механизм «единого окна», чтобы доказать, что он должен был быть выше.

Так что же WhatsApp сделал не так? Это сложно, и компания обжалует это решение. Но все сводится к тому, что WhatsApp якобы не смог объяснить свою правовую основу для обработки определенных данных — «законные интересы».

Как можно было избежать штрафа: Агентство DPA Ирландии заявило, что здесь виновато несколько непрозрачное уведомление о конфиденциальности WhatsApp — компании следовало предоставить информацию о конфиденциальности в легкодоступном формате на языке, понятном ее пользователям.

Если вы полагаетесь на «законные интересы», убедитесь, что вы объяснили , что это за интересы в отношении каждой соответствующей операции обработки.

3. Google — 50 миллионов евро (56,6 миллиона долларов)

Штраф в размере

, наложенный на Google в 2019 году и окончательно урегулированный после неудачной апелляции в марте 2020 года, был самым крупным за всю историю наблюдений до августа 2021 года.

Дело касалось того, как Google предоставил своим пользователям уведомление о конфиденциальности и как компания запрашивала их согласие на персонализированную рекламу и другие типы обработки данных.

Как можно было избежать штрафа: Google должен был предоставить пользователям больше информации в политиках согласия и предоставить им больший контроль над обработкой их личных данных.

4. H&M — 35 миллионов евро (41 миллион долларов)

5 октября 2020 года Управление по защите данных Гамбурга, Германия, оштрафовало розничного продавца одежды H&M на 35 258 707,95 евро — второй по величине штраф GDPR, когда-либо наложенный на то время.

нарушений Общего регламента по защите данных, совершенных H&M, были связаны с «мониторингом нескольких сотен сотрудников.«После того, как сотрудники уходили в отпуск или отпуск по болезни, они были обязаны присутствовать на собрании по возвращению на работу. Некоторые из этих встреч были записаны и доступны более чем 50 менеджерам H&M.

Старшие сотрудники H&M получили «обширные знания о частной жизни своих сотрудников… от довольно безобидных подробностей до семейных вопросов и религиозных убеждений». Этот «подробный профиль» использовался, чтобы помочь оценить работу сотрудников и принять решение об их приеме на работу.

Как можно было избежать штрафа: H&M, похоже, нарушила принцип минимизации данных GDPR — не обрабатывать личную информацию, особенно конфиденциальные данные о здоровье и убеждениях людей, за исключением случаев, когда это необходимо для конкретной цели.

H&M также должна была ввести строгий контроль доступа к данным, и компании не следовало использовать эти данные для принятия решений о трудоустройстве людей.

5. TIM — 27,8 миллиона евро (31,5 миллиона долларов)

15 января 2020 года итальянский оператор связи TIM (или Telecom Italia) был оштрафован итальянским агентством по защите данных Garante на 27,8 млн евро штрафа GDPR за серию нарушений и нарушений, накопившихся за последние несколько лет.

Правонарушения

TIM включают в себя ряд противоправных действий, большинство из которых является результатом чрезмерно агрессивной маркетинговой стратегии. Миллионы людей были засыпаны рекламными звонками и незапрашиваемыми сообщениями, некоторые из которых были в списках неконтактных и исключенных.

Как можно было избежать штрафа: TIM следовало более тщательно управлять списками субъектов данных и создавать специальные подписки для различных маркетинговых мероприятий.

6. British Airways — 22 миллиона евро (26 миллионов долларов)

В октябре ICO привлекла British Airways к штрафу в размере 26 миллионов долларов за нарушение, имевшее место в 2018 году.Это значительно меньше штрафа в размере 238 миллионов долларов, который ICO первоначально заявило о намерении выпустить еще в 2019 году.

Итак, что же произошло в 2018 году? Системы British Airway были скомпрометированы. Взлом затронул 400 000 клиентов, и хакеры получили в руки данные для входа в систему, информацию о платежных картах, а также имена и адреса путешественников.

Как можно было избежать штрафа: Согласно ICO, атаку можно было предотвратить, но у BA не было достаточных мер безопасности для защиты своих систем, сетей и данных.На самом деле кажется, что у BA не было даже таких основ, как многофакторная аутентификация, на момент взлома.

В дальнейшем авиакомпании следует ориентироваться на безопасность, вкладывать средства в решения по обеспечению безопасности и обеспечивать наличие строгих политик и процедур конфиденциальности данных.

7. Marriott — 20,4 миллиона евро (23,8 миллиона долларов)

Хотя это ошеломляющий штраф, на самом деле он значительно ниже, чем штраф в размере 123 миллионов долларов, который изначально был наложен ICO.

Итак, что случилось?

383 миллиона записей о гостях (30 миллионов жителей ЕС) были раскрыты после взлома базы данных о гостях сети отелей. Были раскрыты личные данные, такие как имена гостей, адреса, номера паспортов и данные платежных карт.

Примечание. Взлом произошел в системе бронирования Starwood Group в 2014 году. Хотя Marriott приобрела Starwood в 2016 году, взлом не был обнаружен до сентября 2018 года.

Как можно было избежать штрафа: ICO обнаружило, что Marriott не провела надлежащую юридическую проверку после приобретения Starwood.Им следовало сделать больше для защиты своих систем с помощью более строгой стратегии предотвращения потери данных (DLP) и методов деидентификации.

8. Ветер — 17 миллионов евро (20 миллионов долларов)

13 июля итальянское управление по защите данных наложило штраф в размере 16 729 600 евро на телекоммуникационную компанию Wind за ее незаконную деятельность по прямому маркетингу.

Правоприменительные меры начались после того, как регулирующий орган Италии получил жалобы на маркетинговые коммуникации Wind Tre. Сообщается, что Wind без их согласия заспамил итальянцев рекламой и предоставил неверные контактные данные, в результате чего потребители не могли отказаться от подписки.

Регулирующий орган также обнаружил, что мобильные приложения Wind вынуждали пользователей соглашаться на прямой маркетинг и отслеживание местоположения, а его деловые партнеры предпринимали незаконные действия по сбору данных.

Как можно было избежать штрафа: Wind должна была обосновать законную основу, прежде чем использовать контактные данные людей в целях прямого маркетинга. Это, вероятно, означало бы получение согласия потребителей — если бы оно не могло продемонстрировать, что отправка маркетинговых материалов соответствует его «законным интересам».”

По какой бы причине вы ни отправляли прямой маркетинг, вы должны убедиться, что у потребителей есть простой способ отказаться от подписки. И вы всегда должны следить за тем, чтобы Политика конфиденциальности вашей компании была точной и актуальной.

9. Vodafone Italia — 12,3 миллиона евро (14,5 миллиона долларов)

Штраф Vodafone Italia в ноябре 2020 года был наложен в связи с широким спектром предполагаемых нарушений GDPR, включая положения статей 5, 6, 7, 16, 21, 25, 32 и 33.

Так что же сделал Vodafone, что привело к такому количеству нарушений GDPR?

Проблемы с обработкой данных компании включали неспособность должным образом защитить данные клиентов, обмен личными данными со сторонними центрами обработки вызовов и обработку без законного основания — все это стало известно после жалоб на телемаркетинговую кампанию компании.

Как можно было избежать штрафа: Маркетинговые операции Vodafone могли спровоцировать расследование итальянского DPA, но управление данными и безопасность компании были здесь фундаментальными проблемами.

Vodafone мог бы избежать этого крупного штрафа, проводя регулярные проверки своих данных и надлежащим образом документируя все отношения со сторонними обработчиками данных.

10. Notebooksbilliger.de — 10,4 миллиона евро (12,5 миллиона долларов)

Немецкий продавец электроники notebooksbilliger.de (NBB) получил этот значительный штраф GDPR 8 января 2021 года. Штраф связан с тем, как NBB использовала камеры видеонаблюдения для наблюдения за своими сотрудниками и клиентами.

Система видеонаблюдения работала в течение двух лет, а NBB, как сообщается, вела записи до 60 дней. NBB заявила, что ей необходимо вести учет своих сотрудников и клиентов, чтобы предотвратить кражу. DPA Нижней Саксонии заявило, что мониторинг являлся вторжением в частную жизнь его сотрудников и клиентов.

Как можно было избежать штрафа: Штраф НББ отражает строгое отношение к системе видеонаблюдения в некоторых частях Германии.Регулирующий орган заявил, что программа видеонаблюдения NBB не ограничивается конкретным человеком или периодом.

Использование видеонаблюдения не запрещено GDPR, но вы должны убедиться, что это законный и соразмерный ответ на конкретную проблему. ICO Великобритании дает некоторые рекомендации по использованию видеонаблюдения в соответствии с GDPR.

11. Почта Австрии — 9 миллионов евро (10,23 миллиона долларов)

Крупнейший в Австрии штраф в соответствии с GDPR был наложен в сентябре 2021 года, когда Почта Австрии получила санкцию в размере 9 миллионов евро за якобы неспособность должным образом обработать запросы прав субъектов данных.

Если субъект данных надеялся получить доступ, удалить или исправить личные данные, хранящиеся в Почте Австрии, компания предоставила различные средства для отправки запроса, включая веб-форму, почту или номер телефона.

Однако единственным средством связи, которое почта Австрии не распознала, была электронная почта — и австрийское агентство DPA заявило, что почтовый перевозчик должен был разрешить субъектам данных подавать запрос о правах через любой носитель, который они предпочитают.

Как можно было избежать штрафа: служба Austrian Post (которая планирует обжаловать штраф) должна была обрабатывать запросы о правах субъектов данных, как бы они ни поступали — принуждение субъектов данных к использованию определенного метода связи и исключение электронной почты является неприемлемым способом чтобы облегчить их права.

12. Eni — 8,5 миллиона евро (10 миллионов долларов)

Eni Gas e Luce (Eni) — итальянская нефтегазовая компания, которая, как было установлено, совершала маркетинговые телефонные звонки без надлежащих юридических оснований.

Хотя телемаркетинг подпадает под действие Директивы о конфиденциальности, это еще один пример того, как любая обработка личных данных без надлежащей правовой основы может привести к штрафу GDPR.

Как можно было избежать штрафа: Eni должна была убедиться, что у нее есть надлежащая правовая основа для телемаркетинга, прежде чем звонить любому из своих клиентов или потенциальных клиентов.При этом итальянское DPA заявило, что надлежащим законным основанием было бы согласие.

13. Vodafone Spain — 8,15 миллиона евро (9,72 миллиона долларов)

Штраф

Vodafone в размере 8,15 миллиона евро, наложенный испанским DPA (AEPD) 11 марта 2021 года, на самом деле состоит из четырех штрафов за нарушение GDPR и других испанских законов, касающихся телекоммуникаций и файлов cookie.

Штраф Vodafone стал крупнейшим в Испании за год, когда AEPD наложил несколько существенных штрафов GDPR.

Штраф является результатом 191 отдельной жалобы на маркетинговую деятельность Vodafone. Vodafone якобы не принял достаточных организационных мер для обеспечения законной обработки личных данных людей.

Как можно было избежать штрафа: Комплексная серия юридических нарушений Vodafone, похоже, имеет одну общую черту: отсутствие организации и контроля над личными данными, используемыми в маркетинговых целях.

Всякий раз, когда вы передаете какую-либо деятельность по обработке на аутсорсинг третьей стороне, например, маркетинговому агентству, вы должны убедиться, что у вас есть четкая правовая основа для этого.

Ведите четкий учет, поддерживайте соглашения об обработке данных с подрядчиками и регулярно проверяйте свою деятельность по обработке, чтобы убедиться, что они законны.

14. Google — 7 миллионов евро (8,3 миллиона долларов)

С точки зрения соблюдения GDPR 2020 год не был удачным для Google.

Наряду с тем, что в январе компания проиграла апелляцию против французского DPA, в марте Шведское управление по защите данных Швеции (SDPA) оштрафовало Google за пренебрежение удалением пары результатов поиска в соответствии с европейскими правилами GDPR о «праве на забвение».

Как можно было избежать штрафа: Google должен был выполнить права субъектов данных, в первую очередь их право на забвение. Это также известно как право на стирание. Как? «Обеспечивая наличие процесса для ответа на запросы об удалении без неоправданной задержки и в течение одного месяца с момента получения».

Более подробную информацию о том, как выполнить запросы на удаление из ICO, можно найти здесь.

15. Caixabank — 6 миллионов евро (7,2 миллиона долларов)

Этот штраф в отношении финансовой компании Caixabank является крупнейшим штрафом, когда-либо наложенным испанским DPA (AEPD).

AEPD завершил наказание Caixabank 13 января 2021 года, побив предыдущий рекордный штраф в отношении GDPR в Испании в отношении BBVA, наложенный всего за месяц до этого. Это говорит о значительном ужесточении подхода со стороны испанского DPA.

Первая проблема, на которую приходится 4 миллиона евро из общей суммы штрафа, связана с тем, как Caixabank создал «правовую основу» для использования личных данных потребителей в соответствии со статьей 6. Во-вторых, Caixabank был оштрафован на 2 миллиона евро за нарушение требований прозрачности GDPR. в статьях 13 и 14.

Как можно было избежать штрафа: AEPD заявило, что Caixabank опирался на правовую основу «законных интересов» без надлежащего обоснования. Прежде чем полагаться на «законные интересы», вы должны провести и задокументировать «оценку законных интересов».

Компании также не удалось получить согласие потребителей в соответствии с GDPR. Если вы полагаетесь на «согласие», убедитесь, что оно соответствует строгим стандартам GDPR.

AEPD раскритиковал политику конфиденциальности Caixabank за предоставление расплывчатой ​​и непоследовательной информации о методах обработки данных.Убедитесь, что вы используете ясный язык в своих уведомлениях о конфиденциальности и поддерживаете их единообразие на разных веб-сайтах и ​​платформах.

16. BBVA (банк) — 5 миллионов евро (6 миллионов долларов)

Этот штраф в отношении гиганта финансовых услуг BBVA (Banco Bilbao Vizcaya Argentaria) датирован 11 декабря 2020 года.

Штраф BBVA является вторым по величине, когда-либо наложенным испанским DPA (AEPD), и имеет много общего с самым крупным штрафом AEPD в отношении Caixabank, наложенным в следующем месяце.

Принимая во внимание рекордный штраф против Caixabank, можно сделать вывод, что DPA Испании внимательно следит за соблюдением требований GDPR финансовыми учреждениями.

Как можно было избежать штрафа: AEPD оштрафовал BBVA на 3 миллиона евро за отправку SMS-сообщений без согласия потребителей. В большинстве случаев вы должны убедиться, что у вас есть согласие на отправку сообщений прямого маркетинга в соответствии с GDPR.

Оставшиеся 2 миллиона евро штрафа относились к политике конфиденциальности BBVA, в которой не было должным образом объяснено, как банк собирал и использовал личные данные своих клиентов.Убедитесь, что вы включили всю необходимую информацию в соответствии со статьями 13 и 14 своей политики конфиденциальности.

17. Fastweb — 4,5 миллиона евро (5,5 миллиона долларов)

Итальянское агентство DPA (Garante) 2 апреля 2021 года оштрафовало телекоммуникационную компанию Fastweb на 4,5 миллиона евро за участие в незапрошенном телефонном маркетинге без согласия.

В частности, Гаранта отметила, что Fastweb использовала «мошеннические» телефонные номера, которые компания не зарегистрировала в Реестре операторов связи Италии.

Как можно было избежать штрафа: Штраф Fastweb вытекает из правил телемаркетинга, которые изложены в итальянской имплементации Директивы о конфиденциальности, а не GDPR. Тем не менее, компания по-прежнему нарушила GDPR, не получив действительного согласия.

Важно помнить об этой взаимосвязи между основными законами ЕС о конфиденциальности. Директива о конфиденциальности требует, чтобы вы получали согласие на определенные действия, но GDPR устанавливает стандарт согласия, а этот стандарт очень высок.

18. Eni Gas e Luce — 3 миллиона евро (3,6 миллиона долларов)

Этот штраф — один из двух, наложенных на итальянскую нефтегазовую компанию Eni в декабре 2019 года. Это сложный случай, связанный с созданием новых учетных записей клиентов, но он сводится к несоблюдению Eni принципа точности GDPR.

Как можно было избежать штрафа: Защита данных — это не только конфиденциальность, но и такие вопросы, как управление записями. Eni должна была обеспечить точность и актуальность записей о клиентах.

19. Capio St. Göran AB — 2,9 миллиона евро (3,4 миллиона долларов)

Capio St. Goran — шведский поставщик медицинских услуг, на который был наложен штраф GDPR после проверки одной из своих больниц шведским DPA.

Проверка выявила, что компания не провела надлежащую оценку рисков и не внедрила эффективный контроль доступа. В результате слишком много сотрудников получили доступ к конфиденциальным личным данным.

Как можно было избежать штрафа: Проведение оценки воздействия на защиту данных (DPIA) является обязательным в соответствии с GDPR для контроллеров, предпринимающих определенные рискованные действия или обрабатывающих крупномасштабные конфиденциальные данные.

Eni должна была провести такую ​​оценку, чтобы определить, каким сотрудникам требуется доступ к медицинской документации. Доступ к конфиденциальным личным данным должен быть ограничен для тех, кому это необходимо.

20. Ирен Меркато — 2,85 миллиона евро (3,4 миллиона долларов)

В июне 2021 года итальянское агентство DPA оштрафовало энергетическую компанию Iren Mercato за проведение телефонной маркетинговой кампании без получения надлежащего согласия. Телефонные звонки проводились сторонней маркетинговой компанией, выступающей в роли обработчика данных.

Как можно было избежать штрафа: Многие из штрафов в нашем списке относятся к телемаркетингу и невозможности получить согласие, действительное в соответствии с GDPR.

Помните, что даже при использовании сторонних сервисов для проведения маркетинговых кампаний вы все равно можете нести прямую ответственность в соответствии с GDPR, если не создадите действительную правовую основу для обработки персональных данных.

21. Foodinho — 2,6 миллиона евро (3 миллиона долларов)

Служба доставки продуктов Foodinho получила этот значительный штраф в июне 2021 года после того, как итальянское агентство DPA обнаружило, что компания не соблюдала правила GDPR в отношении «автоматизированной обработки», в данном случае использования алгоритма для определения заработной платы и рабочего процесса сотрудников.

Было также установлено, что компания нарушила принцип «законности, справедливости и прозрачности» GDPR, не предоставив сотрудникам надлежащую информацию.

Как можно было избежать штрафа: Штраф Foodinho в основном касается относительно нишевой области соблюдения GDPR — «исключительно автоматизированной обработки с юридическими или аналогичными значительными последствиями».

Короче говоря, если вы принимаете исключительно на основе искусственного интеллекта решения в отношении людей, которые могут повлиять на их финансы, занятость или доступ к услугам, вы должны обеспечить человеческую оценку таких решений.

22. Национальное агентство по доходам (Болгария) — 2,6 миллиона евро (3 миллиона долларов)

В августе 2019 года в отношении Национального агентства по доходам Болгарии был наложен штраф после того, как организация пострадала от утечки данных, затронувшей 5 миллионов человек.

Взломанные данные включали имена людей, контактные данные и налоговую информацию. Болгарский DPA обнаружил, что агентство не приняло эффективных технических и организационных мер для защиты личных данных, находящихся под его контролем.

Как можно было избежать штрафа: Национальная налоговая служба Болгарии должна была провести тщательную оценку рисков своих операций по обработке и принять эффективные меры для защиты личных данных.

Хотя неясно, что вызвало эту утечку данных, стоит отметить, что Центр по борьбе с преступностью в Интернете ФБР называет электронную почту вектором угрозы номер один в киберпреступности.

Обеспечивая безопасность систем электронной почты своей компании, вы устраняете одну из основных уязвимостей и значительно снижаете вероятность утечки данных.

Посмотрите на китайский проект Закона о защите личной информации

Китай представил свой проект закона о защите личной информации для публичных консультаций окт.21, 2020. При внимательном рассмотрении проекта PIPL легко увидеть, что многие положения в нем основаны на Общем регламенте ЕС по защите данных.

Проект PIPL, который содержит 70 статей и огромные штрафы, после его вступления в силу станет первым всеобъемлющим законом Китая о защите личных данных. Несомненно, это окажет существенное влияние на компании, ведущие операции в Китае или ориентированные на Китай как рынок, несмотря на отсутствие бизнеса в Китае.

Проект PIPL также конкретно предусматривает различные принципы защиты данных, включая прозрачность, справедливость, ограничение цели, минимизацию данных, ограниченное хранение, точность данных и подотчетность.

Экстерриториальное применение закона

Проект PIPL применяется к обработке персональных данных физических лиц, которая происходит в Китае, независимо от национальности таких лиц. В отличие от Закона КНР о кибербезопасности, который предусматривает ограниченное экстерриториальное применение, проект PIPL предлагает четкое и конкретное экстерриториальное применение заграничным организациям и физическим лицам, которые обрабатывают персональные данные субъектов данных в Китае (1) с целью предоставления продуктов и / или услуги для субъектов данных в Китае; (2) для анализа или оценки поведения субъектов данных в Китае; или (3) при других обстоятельствах, предусмотренных китайскими законами и постановлениями.

Учитывая определенное сходство этого положения со статьей 3 (2) GDPR, в будущем не будет сюрпризом, если китайские регулирующие органы рассмотрят нормативный подход, проиллюстрированный в «Руководстве 1/2018 по территориальному охвату» Европейского совета по защите данных.

Определение «личные данные» и «обработка» в проекте PIPL почти такое же широкое, как и его эквивалентный термин в GDPR. Организации или отдельные лица за пределами Китая, которые подпадают под действие проекта PIPL, должны будут создать специальную организацию или назначить представителя в Китае, а также сообщить соответствующую информацию о своей внутренней организации или представителе китайским регулирующим органам.

Больше ясности в классификации ролей для обработки данных

В отличие от GDPR, проект PIPL не делает различий между контроллером данных и обработчиком данных, вместо этого распределяет ответственность и требования соответствия только «обработчику персональных данных», который в соответствии с проектом PIPL относится к организациям или частным лицам, которые независимо определяют цель и объем и средства обработки персональных данных. Обработчик персональных данных согласно проекту PIPL аналогичен контроллеру данных согласно GDPR.

Проект PIPL не предлагает конкретных обязательств для стороны, которой обработчик персональных данных (аналогично обработчику данных в соответствии с GDPR) поручил обрабатывать персональные данные, за исключением случаев, когда такая доверенная третья сторона должна обрабатывать персональные данные в соответствии с соглашения об обработке данных с обработчиком персональных данных и отказ от дальнейшей передачи третьим лицам без согласия обработчика персональных данных.

Совместные обработчики персональных данных должны в соответствии с проектом PIPL определять свои права и обязанности между собой посредством соглашения и нести солидарную ответственность перед субъектами данных.

Более законные основания для обработки персональных данных помимо согласия

В проекте PIPL, наконец, рассматривается один широко обсуждаемый вопрос в CSL, а именно согласие субъекта данных как единственное законное основание для обработки личных данных. Проект PIPL предусматривает следующую законную основу, за исключением законного интереса:

1. Согласие субъекта данных.
2. Необходимо для заключения или выполнения договора, стороной которого является субъект данных.
3. Необходимо для выполнения установленных законом обязанностей или обязательств.
4. Необходимо для реагирования на инциденты со здоровьем или необходимо для защиты жизни, здоровья и имущества субъекта данных или других лиц в экстренных случаях.
5. В разумных пределах для журналистики или надзора за СМИ в общественных интересах.
6. Другие обстоятельства, предусмотренные китайскими законами и постановлениями.

Долгожданная ясность относительно требования о согласии также предусмотрена в проекте PIPL, т.е.е. согласие должно быть осознанным, конкретным, свободно данным указанием пожеланий субъекта данных. Помимо этого, существуют более конкретные требования к согласию в различных контекстах:

1. Для обработки конфиденциальных личных данных требуется отдельное согласие на участие, которое включает, помимо прочего, расу, этническую группу, религиозные убеждения, личные биометрические данные, данные о здоровье, данные финансового счета и данные о местоположении.
2. Согласие родителей требуется для обработки персональных данных несовершеннолетних младше 14 лет, если обработчик персональных данных знает или должен был знать, что он обрабатывает данные ребенка.
3. Конкретное раскрытие информации в уведомлении о конфиденциальности и отдельное согласие требуется для передачи или совместного использования личных данных, механизмов автоматического принятия решений и т. Д. Следует иметь в виду, что на практике означает «раздельное согласие».

Требования к уведомлению о конфиденциальности в соответствии с проектом PIPL не сильно отличаются от текущих правил, предусмотренных в CSL и руководствах других регулирующих органов.

Более широкие требования к локализации данных и более четкие правила трансграничной передачи персональных данных

Проект PIPL предлагает более широкие требования к локализации данных по сравнению с существующими требованиями к локализации данных, применяемыми к операторам критически важной информационной инфраструктуры в рамках CSL.Обработчик персональных данных, который обрабатывает персональные данные в определенных объемах в КНР и CIIO, подчиняется требованиям локализации данных в соответствии с проектом PIPL, и любая трансграничная передача данных подлежит оценке безопасности, проводимой китайскими регулирующими органами. После обнародования закона Администрация киберпространства Китая установит пороговое значение числа.

Варианты механизмов трансграничной передачи персональных данных предусмотрены в проекте PIPL.Отдельное согласие субъектов данных требуется независимо от того, какой механизм трансграничной передачи данных используется. Для обработчиков персональных данных и CIIO, которые подпадают под требование локализации данных, требуется завершение оценки безопасности, организованной CAC. Другие обработчики персональных данных могут использовать любой из следующих механизмов:

1. Получение сертификата, выданного организацией, уполномоченной CAC.
2. Подписание соглашения о трансграничной передаче данных с зарубежными получателями данных.
3. Другие механизмы, предусмотренные другими законами и постановлениями.

Для трансграничной передачи персональных данных иностранным властям требуется предварительное одобрение китайских регулирующих органов в соответствии с проектом PIPL. Это соответствует проекту Закона о безопасности данных и недавно измененному Закону о ценных бумагах Китая, который в определенной степени проливает свет на точку зрения китайских регулирующих органов в этом отношении.

Дополнительные права субъекта данных

В проекте PIPL предлагались различные права субъектов данных, в том числе право на информацию и объяснение относительно обработки данных, право на доступ и запрос копии персональных данных, право на исправление, право на обработку возражений, право на отзыв согласия и право на удаление.Право на удаление подлежит меньшим ограничениям в соответствии с проектом PIPL, в отличие от того же права, предусмотренного в CSL.

Дополнительные защитные обязательства по защите персональных данных

Проект PIPL предусматривает различные меры управления и безопасности, которые не определены исчерпывающе с целью усиления защиты персональных данных на протяжении всего жизненного цикла персональных данных, например регулярные проверки соответствия, оценка рисков, периодическое обучение сотрудников, записи обработки персональных данных действия, протоколы для ответа на запросы субъектов данных, отчеты о нарушениях данных, меры по исправлению нарушений в данных и назначение ответственного за защиту данных (пороговое значение числа будет дополнительно предоставлено CAC).

Хотя в некотором смысле проект PIPL включал существующие правила, разбросанные по различным законам и постановлениям о кибербезопасности и защите данных, проект PIPL требует, чтобы обработчики персональных данных приняли целостную программу обеспечения соответствия требованиям защиты персональных данных.

Усиленная юридическая ответственность за нарушение проекта PIPL и судебного разбирательства по делу о конфиденциальности

Серьезные нарушения проекта PIPL, такие как незаконная обработка персональных данных или непринятие необходимых мер для защиты персональных данных, могут быть оштрафованы на сумму до 50 000 000 юаней (7 долларов США.4 миллиона) или до 5% от выручки предыдущего года.

При расчете штрафа в проекте PIPL ничего не говорится о том, будет ли «обработчик персональных данных» определенным юридическим лицом или группой аффилированных юридических лиц во всем мире или в Китае, которые участвуют в обработке данных, а также о том, будет ли доход от предыдущий год будет глобальным или просто китайским. Стоит следить за пробелом, если законодатель может учесть аналогичное понятие «обязательство» согласно GDPR при расчете штрафа.

Что касается личной ответственности в контексте нарушения проекта PIPL, персонал, который несет прямую ответственность за обработку персональных данных, может быть оштрафован на сумму до 1 миллиона юаней.

Существует также некоторое сходство со статьей 82 GDPR, где в проекте PIPL предполагается, что обработчик персональных данных виноват, когда против него предъявляются претензии субъектом (-ами) данных или представлением субъектов данных, если только обработчик персональных данных не может доказать, что это так. не виноват. Это положение, по-видимому, переложило бремя доказывания на обработчика персональных данных по сравнению с вступающим в силу Гражданским кодексом Китая, который предусматривает правила о деликтных правонарушениях, связанных с нарушением права на защиту данных.Поскольку обработчик персональных данных не полностью «освобожден от ответственности», но по-прежнему подлежит усмотрению суда, даже если обработчик персональных данных может доказать, что он не виноват, это кажется более строгим, чем статья 82 GDPR.

Партнер Fangda Partners Катарина Чжан также внесла свой вклад в это обновление законодательства.

Фото Лиама Рида на Unsplash

Закон о защите личной информации (проект): новый режим данных

21 октября 2020 года Закон о защите личной информации (проект) (« Проект ») был наконец обнародован.За счет всестороннего углубления китайской системы защиты личной информации проект усиливает защиту личной информации, принимая во внимание сложность экономической и социальной жизни. Выпуск проекта, состоящего почти из 8000 знаков, знаменует собой первую попытку Китая систематически и законодательно определить, установить и интегрировать положения о защите и регулировании личной информации. Проект не только включает в себя законодательные, нормативные и практические достижения Китая в области безопасности данных за последние годы, в том числе Закон КНР о кибербезопасности («Закон о кибербезопасности »), но также учитывает разнообразный законодательный опыт других юрисдикций в области защиты данных, например Общий регламент по защите данных (« GDPR »).

Судя по содержанию, Законопроект оправдывает ожидания юристов. Его интересные законодательные акты выявляются и разъясняются в промышленных, академических и исследовательских кругах. Помимо законодательных методов, заслуживающих обсуждения, закон дополнительно защищает «права и интересы в отношении личной информации» и «защищает позитивную экологию киберпространства». Это также «важное действие, способствующее здоровому развитию цифровой экономики».Глобальная цифровая экономика быстро растет, и изоляционизм данных растет из-за цифрового суверенитета. На этом фоне проект отражает обоснование Китая в отношении защиты личной информации и основную стратегию развития цифровой экономики, которую следует рассматривать с точки зрения конкуренции данных .

Из-за ограничения по длине мы обсудим девять избранных ключевых законодательных вопросов в Законопроекте, рассматривая как сравнительное право, так и экономическое развитие, чтобы оценить глубокое значение и будущие последствия этого законодательства.

I. Как мы рассматриваем возможно расширенный объем «личной информации»?

Определение личной информации является ключевым вопросом и логической отправной точкой законодательства о защите личной информации [1], поскольку оно напрямую определяет объем того, что предполагается защищать. Таким образом, это определение, как правило, является результатом неоднократного взвешивания законодателем различных правоотношений.

1. Различия между стандартом идентификации и стандартом соответствия и изменение стандарта

Коннотация и обозначение личной информации были развиты на основе ее определения в нескольких предыдущих законах и постановлениях КНР.Например, в соответствии со статьей 76 Закона о кибербезопасности под личной информацией понимается «разнообразная информация, которая записывается с помощью электронных или других средств и может использоваться отдельно или в сочетании с другой информацией для идентификации физического лица». В дополнение к применению вышеуказанного стандарта «идентификации», Гражданский кодекс включает «местонахождение и передвижения» в качестве дополнительной категории личной информации, в некоторой степени повторяя определение личной информации гражданина в Интерпретации нескольких вопросов, касающихся применения Закон об уголовных делах о нарушении личной информации граждан, рассматриваемых Верховным народным судом и Верховной народной прокуратурой (« Интерпретация »).Поскольку правоотношения, защищаемые уголовным законодательством, являются конкретными и целенаправленными, Интерпретация включает информацию, которая «может относиться к деятельности конкретного физического лица» в рамках личной информации. Обычно это подразумевает расширение объема личной информации за счет соблюдения стандарта «релевантности» в дополнение к стандарту «идентификации».

После принятия и принятия законопроект станет специальным законом о защите личной информации.Определение личной информации в Законопроекте окажет несравненное влияние на гражданские, уголовные и административные правоотношения. В статье 4 проекта личная информация определяется как «разнообразная информация, которая записывается с помощью электронных или других средств, и , относящаяся к идентифицированному или идентифицируемому физическому лицу». Это определение в определенной степени объединяет стандарты «идентификации» и «актуальности» и позволяет расширить понятие личной информации.

2. Ссылка и локализация

Вы, возможно, заметили, что в мировой законодательной практике непросто четко, точно и правильно определить конкретное значение личной информации. Стандарт «идентификация + актуальность» применяется в GDPR, одном из источников сравнительного права для законодательства Китая о защите данных. Согласно статье 4 GDPR, «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу.Однако такое определение также подвергается сомнению. Некоторые считают, что это «очень расплывчато и даже двусмысленно» [2] и может внести неопределенность в применение закона. Некоторые утверждают, что слишком широкое определение может сделать GDPR «законом всего» [3], а благие намерения обеспечить максимально полную защиту могут иметь неприятные последствия, приводя к перегрузке системы [4] и несбалансированности интересов, связанных с индустрией данных. .

На самом деле, ЕС тоже осознает эту проблему.Рабочая группа по защите данных по статье 29 предложила в своем мнении относительно концепции персональных данных, что область определения не должна быть чрезмерно расширена [5]. Однако GDPR фокусируется на защите «идентифицируемых» данных, не отделяя их от «идентифицированных» данных [6]. Данные будут считаться персональными данными, если конечной целью их обработки является идентификация субъекта данных. Таким образом, цель обработки персональных данных фактически связана с возможностью идентификации данных [7], и практические проблемы и противоречия все еще не решены.По сравнению с более радикальным «экспансионистским взглядом» ЕС, США придерживаются «редукционистского взгляда», руководствуясь общей правовой практикой, считая, что только информация, которая может быть фактически связана с конкретным человеком, является личной информацией [8]. Закон Калифорнии о конфиденциальности потребителей (« CCPA ») дает конкретное определение путем перечисления.

В мире по-прежнему «идентифицируемость» остается основным элементом определения личной информации. Однако с развитием технологий идентификации решение о том, можно ли идентифицировать персональные данные, на самом деле является динамичным процессом.Большой объем ранее не идентифицируемой информации может стать идентифицируемой после объединения. Таким образом, объем личной информации напрямую расширяется. В результате некоторые ученые предлагают различать личную и идентифицируемую информацию и разработать различные меры защиты. [9] Если поставить на место регулирующих органов, мы увидим необходимость и срочность усиления законодательства о защите личной информации в контексте стремительного развития цифровых технологий и частых нарушений прав и интересов в отношении личной информации.Принимая во внимание законодательную практику и опыт зарубежных юрисдикций, благие намерения защитить личную информацию могут иметь неприятные последствия, если понятие личной информации будет чрезмерно расширено. Незаконный сбор и злоупотребление личной информацией широко распространены на практике. Примечательно, однако, что субъект может быть идентифицирован или связан с единственной целью проверки, отличной от идентификации какого-либо конкретного человека, во многих сценариях, включая коммерческое машинное обучение и технические исследования, проводимые сегодня в быстро растущей цифровой экономике Китая.Расплывчатый или расширенный объем личной информации может ограничить обработку данных и помешать цифровой экономике полностью реализовать свой потенциал.

Несомненно, в условиях расцвета цифровой экономики в обществе нам, возможно, придется продолжить работу над основной концепцией личной информации в долгосрочной перспективе. Нужно ли различать цели идентификации личной информации? Нужно ли определять объем личной информации в определенном сценарии? Следует ли учитывать возможность обработки и анализа данных? Возможна ли относительная анонимность путем деидентификации перед передачей личной информации? С развитием технологий и экономики эти вопросы требуют от нас более глубокого мышления: как точно определить личную информацию, позволяющую гибкость на практике реализовать баланс интересов нескольких сторон на текущем этапе социального развития.

II. Является ли «экстерриториальное применение» временной контрмерой или тенденцией, обусловленной виртуальным пространством?

Эффект экстерриториального применения, предусмотренный в проекте, несомненно, является одним из наиболее важных и широко обсуждаемых законодательных моментов. В соответствии со статьей 3 законопроекта, закон должен применяться к обработке личной информации на территории КНР, а также к деятельности по трансграничной обработке личной информации физических лиц КНР: (1) с целью предоставления продуктов или услуги физическим лицам из КНР; (2) с целью анализа и оценки деятельности лиц КНР; или (3) при других обстоятельствах, предусмотренных законами и административными постановлениями.

1. Цель и практическая дилемма «длинной руки»

В связи с растущим вниманием и осознанием суверенитета данных, странам объективно необходимо конкурировать за право собственности на данные и экстерриториальную юрисдикцию. GDPR, Закон , разъясняющий законное использование данных за рубежом, (« CLOUD Act ») США, а также ряд иностранных законодательств содержат положения о «длительной юрисдикции». Правительства США и Индии инициировали ряд расследований и споров против зарубежных китайских предприятий под предлогом национальной безопасности и безопасности данных граждан.Учитывая вышеизложенное, существует необходимость в том, чтобы Законопроект дал положительный ответ.

Китай может следовать международному законодательству и реагировать на него. Несмотря на то, что в проекте установлена ​​юрисдикция «длинной руки», ее рациональность и применение требуют дальнейшего обсуждения. Некоторые считают, что экстерриториальное применение GDPR не является «лучшей практикой» в международном праве. В отсутствие международных правил защиты данных экстерриториальное применение GDPR фактически представляет собой ограничение прав на данные для граждан, не являющихся гражданами ЕС [10], и необоснованное препятствие для общих выгод в глобальной индустрии данных.Такая юрисдикция может поставить под сомнение целостность правоохранительных органов других суверенных стран и увеличить вероятность торговых и даже дипломатических конфликтов. [11] Кроме того, правоохранительные органы ЕС придерживаются мнения, что нецелесообразно требовать от зарубежных предприятий открытия филиалов или назначения представителей на территории принимающих стран [12]. Кроме того, высокие затраты на соответствие данных «отпугивают» многие предприятия, в том числе транснациональные компании.Статистика показывает, что 68% компаний, как ожидается, потратят от 1 до 10 миллионов долларов США на соответствие данных. [13]

2. Умеренная реакция и долгосрочное рассмотрение

Общепризнано, что юрисдикция с длинными рукавами может не соответствовать нормам международного права и что ограничения или запреты на офшорные операции с данными поставят под угрозу операционную мощь транснациональных компаний. Однако стало тенденцией создавать необходимый экстерриториальный эффект в законодательстве о данных юрисдикций по всему миру.Помимо GDPR, некоторые недавние законы о защите персональных данных, такие как PDPA Сингапура, POPIA Южной Африки и PDPL Египта, а также Закон Индии о защите персональных данных, содержат положения об обработке данных внутри страны, осуществляемой экстерриториальными органами. предприятия.

Однако, по сравнению с подробными правилами GDPR и CLOUD Act , которые прямо прибегают к экстерриториальному применению, проект просто отражает позицию Китая по защите личной информации, касающейся лиц из КНР.Например, в соответствии с GDPR и соответствующими руководящими принципами по экстерриториальному применению Европейского совета по защите данных (« EDPB ») ЕС [14] любое лицо, предлагающее товары или услуги в ЕС, должно подпадать под действие GDPR, где бы оно ни находилось. устанавливает и обрабатывает персональные данные субъектов данных, находящихся в ЕС. Кроме того, GDPR и эти руководящие принципы также предусматривают применение экстерриториального мониторинга.

Для транснациональных компаний обычно и необходимо обрабатывать данные пользователей в странах, где расположены их филиалы, или сотрудников группы.Хотя GDPR регулирует свою чрезмерно расширенную юрисдикцию в максимально возможной степени в различных руководствах и практиках, его стандарт «предложения услуг» технически охватывает почти все транснациональные компании, которые предоставляют услуги в ЕС, что приводит к большому количеству юрисдикционных конфликтов. Напротив, проект содержит умеренную оговорку об экстерриториальном применении, которая предусматривает, что только обработка внутренней личной информации «с целью предоставления продуктов или услуг лицам из КНР» должна быть ограничена.Это означает, что к экстерриториальному приложению добавляются «ограничения на цели обработки данных».

Кроме того, в последние годы все больше и больше китайских предприятий попадают в длинную юрисдикцию различных юрисдикций. Однако, если транснациональные компании предоставляют сетевые услуги Китаю, управляя оффшорным центром обработки данных, при отсутствии надлежащего регулирования большой объем внутренней личной информации может передаваться через границу без каких-либо гарантий. Только приняв экстерриториальное приложение, чтобы сделать офшорную обработку персональных данных транснациональными компаниями историей, будет обеспечена взаимная защита личной информации людей из КНР в эту эпоху.

Независимо от правил взаимности в международном праве и взаимной защиты внутренней личной информации, мы можем обнаружить, что правила экстерриториального применения на основе данных / сети неизбежны в эпоху цифровой экономики и глобализации. Движущие силы современной глобальной экономики включают взаимосвязь сетей, глобальный поток и интеграцию данных. Мы должны избегать препятствий на пути развития мировой экономики из-за нарушений, возникающих вне юрисдикции.Кроме того, глобализированное взаимодействие виртуального пространства требует от стран надлежащего расширения своей экстерриториальной юрисдикции с точки зрения безопасности данных и суверенитета данных, чтобы поддерживать порядок рыночной экономики, а также общественную безопасность и интересы. В конечном итоге отсутствие правил экстерриториальной юрисдикции существенно повлияет на защиту прав на личную информацию и осуществление суверенитета над данными.

Между прочим, в дополнение к законопроекту, чтобы компенсировать негативное воздействие, оказываемое экстерриториальной юрисдикцией иностранных государств, Китай недавно издал Закон о безопасности данных (проект) и предпринимает другие законодательные усилия в двух аспектах. — во-первых, наличие политик, таких как требование локализации данных для защиты личной информации и проверка безопасности критически важной информационной инфраструктуры и важных данных для самозащиты; и, во-вторых, оставляя необходимую гибкость для экстерриториального применения внутреннего законодательства, чтобы позволить необходимые контрмеры для защиты законных интересов страны и граждан в соответствии с «принципом взаимности» в международном праве.Например, статья 24 Закона о безопасности данных (проект) и статья 43 проекта предусматривают меры против дискриминационных мер, введенных иностранными юрисдикциями. С повышением осведомленности о суверенитете данных многие страны предусмотрели экстерриториальное применение в своем законодательстве о данных. Многонациональным компаниям необходимо проявлять осторожность в своей повседневной деятельности и иметь хорошо развитую систему соответствия данных, чтобы избежать «споров» по ​​поводу экстерриториальной юрисдикции на ранней стадии.

III. Преимущества и недостатки «абсолютного» права субъектов персональной информации на обработку информации

1. Расширение правовой базы обработки персональной информации

Статья 13 проекта впервые определяет, что обработка личной информации является законной только в том случае, если (1) было дано согласие, или это необходимо (2) для выполнения контракта, (3) для выполнения установленных законом требований. обязанности или обязательства, (4) для реагирования на чрезвычайные ситуации в области общественного здравоохранения или защиты жизни, здоровья и безопасности имущества физических лиц в чрезвычайной ситуации, (5) для защиты общественных интересов в разумных пределах и (6) в иных случаях, предусмотренных законами и административными постановлениями.

Хотя проект вводит новую правовую основу для обработки личной информации, все еще есть некоторые различия с GDPR. Четвертой правовой основой законопроекта является необходимость защиты жизни, здоровья и имущественной безопасности физических лиц в чрезвычайных ситуациях, тогда как GDPR предусматривает защиту жизненно важных интересов физических лиц. Напротив, проект более конкретен, избегая расплывчатости в понятии «жизненные интересы». Кроме того, хотя проект не предусматривает ситуаций, необходимых для защиты законных интересов контролеров или третьих лиц, как это делает GDPR, но «другие обстоятельства, предусмотренные законами и нормативными актами» в его всеобъемлющей статье могут охватывать такие ситуаций в значительной степени.Кроме того, обстоятельства, прямо предусмотренные законодательством, являются более конкретными и практичными, что позволяет избежать любого злоупотребления соответствующими терминами, которое может нанести ущерб правам и интересам субъектов информации.

Также стоит обсудить взаимосвязь между двумя основаниями «необходимость выполнения установленных законом обязанностей или обязательств» и «другие обстоятельства, предусмотренные законами и административными постановлениями». «Законодательное» требование первого требует, чтобы обстоятельства, к которым оно применяется, основывались на законах и нормативных актах, что согласуется со значением второго.Однако первое далее требует, чтобы обработка была «необходимой» в дополнение к «установленной законом», что на практике может означать ситуации, когда нет явных исключений для сбора личной информации в соответствии с законами и постановлениями, но такая личная информация должна быть обрабатываются в соответствии с требованиями законодательства. Кроме того, учитывая меры по предотвращению пандемии и борьбе с ней, проект также вводит правовую основу «необходимости справляться с чрезвычайными ситуациями в области общественного здравоохранения», что полностью отражает то, что закон идет в ногу со временем.

2. Права субъектов персональных данных на разных этапах экономического развития

В 2012 году Постоянный комитет Всекитайского собрания народных представителей в своем Решении об усилении защиты сетевой информации впервые предложил, что сбор и использование личной информации должны осуществляться с согласия лица, чья личная информация подлежит сбору. С тех пор, если иное не предусмотрено законами и административными постановлениями, «согласие» субъектов личной информации было основной правовой основой для обработки личной информации в Китае.Некоторые ученые даже считают, что это основание наделяет субъекта личной информации «абсолютным правом» на личную информацию. Статья 13 законопроекта впервые вводит более правовую основу для обработки персональных данных с законодательной точки зрения. Является ли разумным переход от единой правовой основы к множественной? Какие соображения стоят за этим?

Хотя только после введения в действие Гражданского кодекса признание прав личности в правах и интересах личной информации стало относительно ясным, на ранней стадии защиты личной информации, особенно в то время, когда право на неприкосновенность частной жизни и право на личную информацию не были полностью выделены, предоставление субъектам личной информации относительно «абсолютного» контроля имеет положительное значение для защиты прав и интересов личности, особенно прав и интересов личности.Однако с развитием больших данных и высоких технологий постепенно проявляются многочисленные интересы, связанные с личной информацией, такие как интересы субъекта информации, интересы пользователя информации и общественные интересы. Интересы субъекта информации в основном проявляются в защите личного достоинства и свободы. Поскольку личная информация носит социальный, инструментальный и функциональный характер, интересы пользователей информации также должны быть защищены, чтобы способствовать использованию и распространению личной информации.Кроме того, когда речь идет об общественных интересах, субъекту информации может потребоваться отказаться от некоторых из своих личных интересов или пожертвовать ими, чтобы обеспечить государственное управление [15].

В связи с этим предоставление информированного согласия единственной правовой основой для обработки личной информации фактически дает субъекту данных более абсолютное право контроля над своей личной информацией. В отличие от других относительно зрелых прав, таких как права интеллектуальной собственности, «владение» или «контроль» над личной информацией еще предстоит определить, и поэтому более абсолютное право контроля может отрицательно повлиять на создание системы комплексных прав в отношении личной информации, и может препятствовать распределению прав между разными субъектами.Таким образом, эта система абсолютного контроля при обработке личной информации с участием нескольких субъектов может привести к высоким затратам на авторизацию, а также замедлить технологическое и социальное развитие, вызывая большие трудности в экономической практике. Напротив, GDPR предусматривает пять юридических оснований в дополнение к согласию, чтобы достичь баланса между защитой личных данных и потоками данных. Что касается защиты потока данных, CCPA США даже не считает согласие строго предварительным условием обработки, а скорее использует «уведомление + отказ» как способ защиты прав и интересов потребителей.Международное сообщество предпочитает не рассматривать защиту прав и интересов субъектов персональных данных как единственную цель защиты персональных данных, а стремиться к достижению баланса между защитой данных и потоком данных, насколько это возможно.

3. Переход от личного контроля к многостороннему контролю для полной защиты прав и интересов данных

Гражданский кодекс уже включил «в случаях, предусмотренных законами и постановлениями» в качестве исключения для согласия, оставляя место для маневра, и включил обработку личной информации, которая была раскрыта на законных основаниях, защиту общественных интересов или законные права физических лиц как освобождение от ответственности.Проект дополнительно определяет четыре другие правовые основы в дополнение к согласию и «другим обстоятельствам, предусмотренным законами и нормативными актами», отражая, что система защиты личной информации постепенно переходит от индивидуального контроля к общественному контролю [16] и многостороннему контролю. Это не только соответствует веяниям времени, но и тенденциям международного сообщества. Переход от личного контроля к многостороннему контролю не препятствует защите личных прав и интересов субъектов личной информации контролировать личную информацию и позволяет субъектам, участвующим на различных этапах обработки личной информации, отказаться от своего контроля, основанного на абсолютном согласии. , позволяя им добиваться имущественных прав и интересов, которые могут быть заявлены в отношении личной информации.В настоящее время ключевой и сложной проблемой законодательства о данных является подтверждение правильности данных. Добавив больше субъектов контроля личной информации, будет полезно преодолеть теоретические и практические ограничения и установить новое правило о правах на данные, которое уравновешивает права и интересы субъектов личной информации и других субъектов обработки.

IV. Дилемма «согласия»

Законопроект развивает правила согласия в различных ситуациях. Согласно статье 14 законопроекта согласие должно быть дано физическим лицом при условии полного информирования, а также путем добровольного и явного выражения своего намерения; если законы и постановления требуют отдельного или письменного согласия, такие законы и постановления имеют преимущественную силу.Статья 24 проекта предусматривает, что отдельное согласие должно быть получено от субъекта личной информации до передачи соответствующей личной информации. В статье 30 проекта также говорится, что отдельное согласие должно быть получено от отдельных лиц перед обработкой конфиденциальной личной информации, и если законы и постановления требуют письменного согласия на такую ​​обработку, такие законы и постановления имеют преимущественную силу. В законопроекте впервые делается попытка классифицировать «согласие» в различных сценариях с законодательной целью.Еще неизвестно, возможно ли на практике точно определить «согласие», «отдельное согласие» и «письменное согласие».

1. Рациональность и сложность классификации правил о согласии

Законодательство о защите данных во всем мире затрагивает понятие «согласие», но в соответствии с различными правилами. Проект определяет «согласие» как «добровольное и явное выражение намерения лицами, обладающими полным знанием дела». По сравнению с GDPR, который требует, чтобы согласие выражалось в форме заявления или четкого позитивного действия, проект предусматривает более разнообразные способы выражения согласия.По сравнению с общим согласием, отдельное согласие уделяет больше внимания разрешению, предоставленному субъектом личной информации на основе полного знания и разумного рассмотрения для обработки личной информации. Теоретически это необходимо в качестве подкрепляющей меры к общему согласию.

Для обмена личной информацией с третьей стороной и обработки конфиденциальной личной информации, два сценария высокой конфиденциальности, отдельное согласие действительно обеспечивает более полное и более эффективное согласие субъекта информации в определенной степени.Поскольку в проекте отсутствует конкретное определение отдельного согласия, на практике оно обычно рассматривается как форма авторизованного согласия, а не общего согласия, и реализуется в форме отдельных подсказок или всплывающих окон. Однако, если отдельное согласие получено онлайн, особенно когда требуется сбор или обмен данными в режиме реального времени, это может вызвать беспокойство у пользователей, не защищая при этом свободную волю субъекта личной информации.

В качестве примера, в соответствии со статьей 24 проекта, обработчики личной информации должны получить отдельное согласие от физического лица, прежде чем предоставлять его / ее обработанную личную информацию третьей стороне.Тем не менее, это обычная практика обмена личной информацией с третьей стороной через SDK, широко распространенную и эффективную модель делового сотрудничества. Для крупных предприятий их услуги могут включать в себя несколько SDK от разных третьих сторон с разными целями и методами обработки, и такие SDK могут время от времени обновляться во время предоставления услуг. Получение отдельного согласия в виде всплывающего окна для каждого типа SDK может привести к чрезмерным затратам и недружественному взаимодействию с пользователем.Таким образом, учитывая стоимость соблюдения на практике и сложность реализации, еще предстоит проделать работу по разработке механизма согласия, который отвечает требованиям раздельного согласия, не доставляя неудобств пользователям.

По сравнению с общим согласием, письменное согласие подчеркивает не только право на полное знание объекта информации и действительность разрешения, но и возможность проверки данного согласия. Хотя эта концепция затрагивается в проекте, более конкретные сценарии применения и определение эффективного письменного согласия все еще ожидаются.Например, российский закон «О персональных данных» (Федеральный закон №152-ФЗ от 27 июля 2006 г.) предусматривает, что «согласие в форме электронного документа, подписанного электронной подписью, приравнивается к письменному согласию, содержащему рукописный текст. подпись субъекта персональных данных ». Подобные положения помогают прояснить границы письменного согласия в новой экономической среде, особенно в интернет-экономике.

2. Новые механизмы дачи согласия на открытие новых бизнес-форм

С законодательной точки зрения необходимо различать разные типы согласия, основанные на разных сценариях.Однако, поскольку определение различных типов согласия существенно повлияет на права и интересы соответствующих субъектов, это требует дальнейшего разъяснения в соответствующих нормативных актах или руководящих принципах по конкретному определению согласия и его применению. Между тем, как удовлетворить различные требования о согласии на адаптацию к новому механизму, предприятиям будут уделять пристальное внимание.

На практике следует признать, что политика конфиденциальности и запрос согласия имеют очень ограниченное влияние на напоминание субъекту личной информации.По мере изменения механизма предоставления согласия предприятиям рекомендуется дополнительно изучить, как расширить каналы для субъектов личной информации для управления своим согласием, например, с помощью панели управления. Это усилит эффект уведомления и согласия, с одной стороны, и снизит влияние повторяющихся напоминаний на взаимодействие с пользователем. Несмотря на рост затрат на соблюдение нормативных требований для предприятий, можно предвидеть, что предприятия могут принять соответствующие и прозрачные меры для предоставления субъектам личной информации определенных полномочий по управлению своей информацией в соответствии с принципом уважения воли субъектов личной информации.Это будет способствовать самостоятельной демонстрации практики соответствия и улучшит взаимодействие с пользователем. Учитывая, что после утверждения теории совокупности прав на личную информацию права собственности, связанные с личной информацией, также будут пользоваться большим спросом у руководства, усилия предприятий по соблюдению требований могут быть преобразованы в новые формы бизнеса, такие как ящик конфиденциальности.

V. Политические соображения по распределению обязательств обработчика: как найти баланс между защитой прав и интересов в отношении личной информации и содействием промышленному развитию?

Одним из законодательных новшеств является статья 21 проекта, в которой предусмотрены совместные и раздельные обязательства для двух или более процессоров, которые совместно обрабатывают личную информацию.В частности, лица, права и интересы которых в отношении личной информации нарушаются в результате совместной обработки данных, имеют право требовать возмещения убытков от любого из совместных процессоров. С точки зрения обеспечения надежной защиты личной информации, солидарная ответственность, несомненно, способствует защите права человека на предъявление иска, побуждая совместных обработчиков полностью согласовать обязательства безопасности для совместной обработки и побуждая их активно контролировать друг друга. защита данных.Однако в контексте продвижения цифровой экономики, как должен подход политики сильной защиты, представленный совместной и раздельной ответственностью для совместных переработчиков, реагировать на потребности в разработке новых бизнес-форм, которые «способствуют интеграции, трансформации и межотраслевому сотрудничеству предприятия » ^[17] ?

Предположим, что OEM-производитель хочет создать свой собственный Интернет транспортных средств (IOV), в котором навигационная служба управляется третьей стороной.Сторонняя навигационная служба напрямую использует датчики для сбора данных о местоположении пользователей, чтобы предоставлять услуги навигации и позиционирования в качестве непосредственного обработчика личной информации. Между тем, OEM использует такие местоположения, полученные и обрабатываемые навигационной службой, для интеллектуальной заправки топливом, интеллектуальной парковки, информации о поездках и других услуг IOV в качестве совместного обработчика такой личной информации. Согласно проекту, если OEM-производитель раскрыл такую ​​информацию о местонахождении другим лицам в своей бортовой службе доставки, сторонний совместный процессор также несет солидарную ответственность.Учитывая доступность схемы IOV , третья сторона не может полностью предвидеть возможность и риск такой утечки информации. Таким образом, чтобы избежать солидарной ответственности, она, вероятно, сократит свое сотрудничество с OEM или ограничит область применения схемы IOV OEM посредством контрактов, тем самым препятствуя развитию и сотрудничеству с отраслью IOV.

Приведенный выше сценарий показывает, что, если совместная обработка данных может быть разделена на части и разделение труда очевидно, это может быть несправедливым и мешает предприятиям участвовать в такой производственной кооперации, поскольку один из обработчиков данных должен нести солидарную ответственность. для обработки чужих данных.Тем не менее, если пользователи не могут рационально и четко понять разделение труда при предполагаемом нарушении совместных процессоров, очевидно, оправдано и необходимо возложить солидарную ответственность на совместных процессоров для защиты личных прав и интересов. Это также признано в судебной практике Китая. ^[18] На самом деле, наше законодательство всегда осторожно относилось к солидарной гражданской ответственности — солидарная ответственность в Гражданском кодексе, налагающая ограничения на поставщиков интернет-услуг, является хорошим примером. ^[19] Между тем, с точки зрения международного законодательства, хотя пункт 3 статьи 26 GDPR предусматривает, что «субъект данных может осуществлять свои права в отношении и против каждого из [совместных] контролеров», это до сих пор остается весьма спорным вопрос о том, можно ли это истолковывать как солидарную ответственность для совместных контролеров. ^[20] По всей видимости, еще предстоит пройти долгий путь в исследованиях политики о том, как уравновесить защиту прав и интересов людей и содействие промышленному сотрудничеству и развитию при распределении ответственности переработчиков — при условии рационального понимания разделение труда на переработку следует рассматривать как критерий суждения о распределении ответственности? Не слишком ли дорого стоит этот критерий в судебной практике, чтобы было более целесообразно предусмотреть солидарную ответственность раз и навсегда?

Аналогичные проблемы политики также возникают в статье 65 проекта, которая предусматривает, что «если обработчик личной информации может доказать, что он не виноват, его ответственность может быть уменьшена или освобождена» за его действия по обработке, которые нарушают права и интересы. в личной информации.Эта статья, похоже, приняла презумпцию ответственности по вине, то есть перекладывает бремя доказывания на процессор как на ответчика, который должен доказать, что он не виноват в обработке личной информации. Однако в этой статье также можно понять, что если обработчик докажет, что он не виноват, его ответственность за ущерб может быть только уменьшена, что, по-видимому, обеспечивает справедливое распределение ответственности. Кроме того, эта статья вместе со статьей 21 проекта поднимает еще один сложный вопрос о распределении ответственности: если предположить, что два совместных обработчика по совместным и нескольким обязательствам несут ответственность только за разные этапы обработки личной информации, а Сторона A может доказать что он не виноват, в то время как Сторона B не может, если нарушившее лицо требует, чтобы Сторона A несла ответственность за ущерб в соответствии со статьей 21, может ли Сторона A прибегнуть к статье 65 в качестве защиты? Как истолковать распределение ответственности в статье 65 в отношении совместной и раздельной ответственности совместных процессоров, чтобы устранить конфликты, и как найти баланс между правами и интересами виновной Стороны B, Стороны A без вины и нарушенного лица ? Независимо от теории распределения обязательств переработчиков, эта статья, несомненно, увеличит судебные издержки переработчиков и снизит их энтузиазм в поиске инноваций в индустрии цифровой экономики.Крайне важно продолжить подробное обсуждение того, как достичь тонкого баланса между решением проблем защиты личной информации в судебном порядке и защитой промышленного развития.

VI. Как установить «разумные границы» для обработки раскрытой личной информации?

1. Ограниченное «раскрытие» личной информации

Статья 28 законопроекта регулирует обработку раскрытой личной информации, предусматривая, что раскрытая личная информация может обрабатываться только в разумных пределах целей раскрытия; в противном случае обработчики должны проинформировать человека и получить его / ее предварительное согласие.Это означает, что «раскрытие информации» не может служить оправданием неограниченной обработки личной информации. Статья 1036 Гражданского кодекса включает «разумное использование раскрытой личной информации» в качестве основания для освобождения от ответственности за обработку личной информации (если субъекты личной информации явно не отказываются или обработка такой информации не нарушает их жизненно важные интересы). Статья 28 проекта, основанная на предыдущих положениях, дополнительно предписывает, что: (1) использование личной информации обычно ограничивается «целями, для которых раскрывается личная информация»; если использование личной информации выходит за рамки разумного объема, связанного с такой целью, должен применяться принцип «уведомление-согласие»; (2) личная информация должна использоваться разумным и осмотрительным образом, и если она оказывает существенное влияние на человека, должен применяться принцип «уведомление-согласие».Принимая во внимание гласность или открытость в определенном объеме раскрываемой личной информации, «согласие» больше не является принципом, которому нужно следовать, или необходимостью для обработки информации. Однако из приведенных выше положений видно, что «разумная осторожность» и «соблюдение цели» являются ключевыми элементами при определении границ обработки раскрытой личной информации. Для современных предприятий огромное количество операций по обработке личной информации не может происходить без использования раскрытой личной информации, такой как обычная практика «сканирования» общедоступной информации в Интернете.Таким образом, общественное беспокойство вызывает установление разумных границ обработки раскрытой личной информации для частных лиц и предприятий, включая сбор информации для коммерческого использования и распознавание человеческих лиц и другой биометрической информации, «раскрытой» в общественных местах.

2. Ссылка и применение принципа разумного ожидания конфиденциальности

Каким образом раскрытая личная информация может быть обработана «разумным и осмотрительным» образом, если такая информация раскрывается в неясных целях? В качестве справочного материала можно использовать принцип «разумного ожидания конфиденциальности».Поскольку решение по делу «Кац против Соединенных Штатов» [21] было вынесено в 1967 году, гражданин применял этот принцип для противодействия обыскам, проводимым государственными органами, когда его / ее конфиденциальность может быть нарушена в результате таких обысков (« Конфиденциальность правоохранительных органов »). В настоящее время, с развитием цифровой экономики, теоретики, которые обсуждают и изучают «конфиденциальность информации», используют этот принцип. Теоретически границы прав и интересов, которыми человек пользуется в отношении информации, должны определяться в информационных отношениях в конкретном сценарии [22] (Контекст), и его важным стандартом является «разумное ожидание конфиденциальности» — сбор, обработка и передача личной информации должна соответствовать разумным ожиданиям человека.Обычно считается, что, когда обработка личной информации выходит за рамки разумных ожиданий нормального и рационального человека в обществе, обработчик личной информации должен прямо уведомить этого человека, чтобы убедиться, что он / она понимает риски, связанные с такой обработкой. , и получить его / ее явное разрешение. [23] В реальном сценарии, например, известный загрузчик видео публично делится определенной личной информацией в видео. Из-за характеристик средств массовой информации такая личная информация может быть «вырвана из контекста» или «отредактирована по желанию», что приведет к ослаблению и даже стиранию цели такой раскрытой личной информации.Но, по крайней мере, можно разумно ожидать, что загрузчик не хочет, чтобы раскрытая личная информация обрабатывалась каким-либо образом, неблагоприятным для него / нее.

3. Динамически изменяемый стандарт разумных ожиданий наряду с отраслевыми и технологическими разработками

На практике далеко не просто определить разумное ожидание, самая большая неопределенность которого заключается в методе динамической оценки, сочетающем сценарии с отдельными случаями.В качестве альтернативного принципа обработки раскрытой личной информации он должен быть лучше с экономической точки зрения по сравнению с принципом «уведомление — согласие», в противном случае конструкция системы, основанная на разумных ожиданиях, не будет иметь практического значения. В то же время суждение о разумном ожидании конфиденциальности зависит от конкретной правоохранительной и судебной практики в отношении защиты личной информации. Предприятия, как обработчики личной информации, должны будут пройти процесс, аналогичный накоплению опыта, прежде чем наладить полезное взаимодействие в практике обработки раскрытой личной информации.

Разумное ожидание конфиденциальности основано на сознании конфиденциальности, присущем людям. Относительно говоря, особенно важно четко и четко определить разумный объем обработки, когда речь идет о личной биометрической информации, такой как человеческие лица, которая собирается и распознается в общественных местах, поскольку такой сбор менее заметен. Первый нашумевший случай, связанный с использованием распознавания лиц в Китае [24], был всего лишь спором о разумной сфере применения технологии распознавания лиц.Согласно статье 29 законопроекта, информация о лице относится к конфиденциальной личной информации. Поскольку она обычно «раскрывается» в общественных местах, незаметная обработка такой информации может привести к серьезным последствиям без необходимых юридических ограничений. Как предусмотрено в статье 27 законопроекта, обработка такой информации должна быть ограничена единственной целью поддержания общественной безопасности, и предприятия должны установить заметные знаки. Таким образом, законодательство четко исключает человеческие лица и другую биометрическую информацию из раскрываемой личной информации и строго ограничивает объем обработки информации о лицах, собираемой и распознаваемой в общественных местах без отдельного согласия физического лица, обязательными положениями.

Однако стоит отметить, что, за исключением тех, которые необходимы для общественной безопасности, биометрическая информация, такая как человеческие лица, радужная оболочка глаза и походка, имеет несравнимую точность и достоверность по сравнению с личной идентификационной информацией, такой как текущий идентификационный код устройства, номер мобильного телефона и IP-адрес. который, как ожидается, найдет широкое коммерческое применение. С популяризацией беспилотных супермаркетов, умных деловых районов, умных сообществ и даже умных городов, возможно ли для людей разумно ожидать, что открытая биометрическая информация будет собираться в ограниченной степени после того, как они войдут в подобное открытое или полуоткрытое пространство что (1) имеет заметные знаки, и (2) может значительно облегчить его пользователям? Для аналогичных новых форм бизнеса стоит заранее подумать о том, необходимо ли нам динамически подстраиваться под стандарт разумных ожиданий.

VII. От кибербезопасности к безопасности данных ： Как мы можем установить правила для локализации данных и трансграничной передачи в Китае?

1. Несколько путей для трансграничной передачи данных и дополнительные требования по локализации

Установление правил для локализации данных и трансграничных потоков уже давно является основным направлением законодательства о защите данных во всем мире. Помимо требований о «полном знании» и «отдельном согласии», проект дополнительно обогащает правила локализации данных и трансграничной передачи в соответствии с Законом о кибербезопасности.Проект расширяет круг субъектов обязательства по локализации данных с «операторов критически важной информационной инфраструктуры» до «обработчиков личной информации, которые обрабатывают личную информацию в объеме, достигающем порогового значения, установленного национальной администрацией киберпространства», и требует, чтобы два типа субъектов прошли проверку оценка безопасности национальной администрации киберпространства перед передачей личной информации за границу. Другие предприятия имеют право передавать данные за границу различными способами в соответствии с Проектом, если они отвечают любому из следующих трех условий: 1) «прохождение оценки безопасности национальной администрацией киберпространства (с предоставленными исключениями)»; 2) «аккредитован профессиональной организацией, назначенной национальной администрацией киберпространства»; или 3) «заключив договор, обеспечивающий тот же стандарт защиты личной информации, который предусмотрен настоящим законом».Таким образом, проект облегчает трансграничную передачу данных обработчиками с низким уровнем риска в целях удовлетворения коммерческих потребностей.

Проект имеет некоторое сходство с GDPR в том, что требование «аккредитации назначенными организациями» аналогично Обязательным корпоративным правилам GDPR, а требование «заключения контракта» связано со Стандартными договорными условиями GDPR. Кроме того, согласно статье 12 законопроекта, государство будет активно участвовать в разработке международных правил защиты личной информации и способствовать взаимному признанию правил и стандартов защиты личной информации с другими странами, регионами и международными организациями.Это говорит о том, что в будущем возникнет больше региональных альянсов для свободного потока данных благодаря международному взаимному признанию и другим средствам. Между тем, правовая основа для трансграничной передачи данных также будет усилена за счет обязательных положений частных соглашений и соответствующих стандартов признания.

2. Политика безопасности, ориентированная на сеть, на политику безопасности, ориентированную на данные

Суть регулирования трансграничных потоков данных в соответствии с Проектом заключается в требовании локализации данных.С точки зрения национальной стратегии, он выполняет важную функцию для защиты национального суверенитета над данными и защиты от транснациональных кибератак или угроз. Например, Соединенные Штаты очень рано начали стратегическое развертывание кибербезопасности. В последнее время администрация Трампа активно публикует стратегические стратегии, такие как Стратегия национальной безопасности, Стратегия кибербезопасности и Национальная стратегия кибербезопасности [25]. Национальная киберстратегия, в частности, делает особый упор на защиту данных и базовой инфраструктуры и обеспечит расширенную защиту данных, хранящихся в Интернете, в дополнение к киберпространству.[26] 8 октября 2010 года Министерство обороны США выпустило первую стратегию управления данными Министерства обороны США [27], которая рассматривается как переход от сетецентрической модели безопасности к модели безопасности, ориентированной на данные. [28]

Правило локализации, установленное статьей 40 проекта, также отражает нынешний переход спора о суверенитете из киберпространства в сторону данных. Если считается, что требование локализации в соответствии с Законом о кибербезопасности для операторов критически важной информационной инфраструктуры основано на кибербезопасности, то включение «процессоров, которые обрабатывают личную информацию в объеме, превышающем определенный порог» для такого требования в соответствии с Проектом, фокусируется на безопасности данных. .Он показывает, что законодательный акцент требований к локализации распространился с уровня кибербезопасности на уровень безопасности данных, а также прогресс законодательного мышления от сетецентрического к ориентированному на данные. Это положительный ответ законодателей в контексте соперничества за суверенитет данных во всем мире.

3. Будет ли это осуществимо, еще неизвестно

В правоохранительных органах могут возникать неясности относительно «процессоров, которые обрабатывают личную информацию в количестве, достигающем порогового значения».Один из аспектов неопределенности заключается в том, что вопрос о том, как определить объем обрабатываемой личной информации, может вызывать разногласия. Согласно Интерпретации, расчет объема обрабатываемой персональной информации основан на размере субъектов персональной информации. Однако на практике объем обрабатываемой предприятиями персональной информации постоянно меняется, что вызывает определенные трудности с определением конкретного объема. В экстремальных обстоятельствах, когда данные, относящиеся к сотрудникам транснациональной компании, достигают порога, установленного национальной администрацией киберпространства, будет ли компания нуждаться или обязана локализовать все данные своих сотрудников, собранные в Китае, в то время как в настоящее время хранятся за границей, как предусмотрено в Проект? Другой аспект заключается в том, что расчет на основе суммы может привести к обходу правил.Предприятия могут хранить данные отдельно в различных информационных системах, управляемых их дочерними компаниями, или обрабатывать данные от имени своих дочерних компаний, чтобы обойти требования локализации. Если это сработает, учитывая, что трансграничная передача или хранение за границей может происходить с таким же объемом данных материально, необходимо ли дальнейшее регулирование с помощью оценки трансграничной безопасности и других соответствующих правил?

Таким образом, для установления конкретных правил от компетентной администрации киберпространства могут потребоваться подробные правила или инструкции.Конечно, де-факто может иметь место совпадение между операторами критически важной информационной инфраструктуры и, например, обработчиками личной информации о том, что объем обрабатываемых личных данных достигает порогового значения. Если будет дополнительно подтверждено, что обработчики личной информации, инициирующие пороговое требование, рассматриваются как операторы критически важной информационной инфраструктуры, и, таким образом, требование локализации будет ограничено этими операторами критически важной информационной инфраструктуры в законодательстве, это может помочь решить указанную выше проблему в некоторой степени. .

VIII. Право на переносимость данных: «утопия» или «соломинка»?

Права физических лиц при обработке личной информации всегда находились в центре внимания в законодательстве о защите личной информации. В главе IV проекта более подробно разъясняется и детализируется проблема на основе существующих положений Закона о кибербезопасности и Гражданского кодекса. В проекте дополнительно подтверждаются права человека на получение информации, принятие решения, ограничение, отказ, консультации и копирование, исправление и удаление его или ее личной информации при обработке информации.Внутреннее законодательство о правах субъектов личной информации аналогично GDPR, Закону о защите данных Бразилии, LGPD и другим связанным положениям. Однако «право на переносимость данных» в соответствии со статьей 20 GDPR не включено в проект, Закон о кибербезопасности или Гражданский кодекс. Как указано в примечаниях к проекту, должно оставаться необходимое пространство для некоторых теоретических вопросов, которые все еще остаются спорными. Несмотря на практические трудности и законодательные соображения в отношении права на переносимость данных, все же рекомендуется рассмотреть необходимые корректировки этого права и его возможные будущие изменения в свете характеристик времени.

Согласно GDPR, право на переносимость данных в основном включает два аспекта: 1) «субъект данных имеет право загружать свои личные данные, хранящиеся у контроллера данных», и 2) «субъект данных должен иметь право на передачу его / ее личных данных напрямую от одного контролера к другому, если это технически возможно ». GDPR также предусматривает исключения, когда «осуществление права на переносимость данных не применяется к обработке, необходимой для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, и не должно отрицательно влиять на права и свободы других ».[29] Право на переносимость данных подвергалось сомнению со дня его введения как с точки зрения технической осуществимости, так и с точки зрения экономических затрат. Утверждалось, что такое право подорвет эффективность использования данных и, следовательно, не имеет ценности. [30] Что стоит за исключением «права на переносимость данных» из проекта? Хорошо ли мы в настоящее время готовы реализовать переносимость данных? Чтобы ответить на эти вопросы, нам необходимо обсудить баланс прав и интересов нескольких сторон, стоящих за переносимостью данных, соответственно.

1. Рассмотрение объема интересов информационного самоопределения субъектов данных

С точки зрения субъекта данных теоретическая основа права на переносимость основана на праве на информационное самоопределение, которое изначально было закреплено в Федеральном конституционном деле Германии «Закон о переписи населения» [31]. На самом деле, однако, это неверное толкование суждения о том, что информационное самоопределение понимается как абсолютный контроль над личной информацией.[32] Исключительное присвоение личной информации субъекту данных как объекту не создает четкого запрета на действия других лиц и, следовательно, не может представлять собой гражданское право в смысле частного права, защищенного деликтным законом. Принято считать, что осуществление права на самоопределение в целях защиты интересов конфиденциальности личной информации также должно быть разумно ограничено [33]. Разумные ограничения в значительной степени обусловлены тем, что цифровые предприятия имеют определенные «имущественные интересы» в отношении пользовательских данных.[34] Следует учитывать, что право на переносимость данных, усиливая абсолютный контроль отдельных лиц над своими личными данными, заставляет предприятия нести высокие затраты на поддержание своих ресурсов данных в ущерб своим интересам и необоснованно увеличивает их операционные расходы. Следовательно, следует выяснить, является ли такой простор для информационного самоопределения слишком широким и не повлияет ли оно на эффективное функционирование социального и промышленного порядка.

2. Защита конкурентных интересов информационных предприятий

Переносимость данных регулируется не только законом о защите личных данных, но и законом о конкуренции.[35] С точки зрения данных как стратегических ресурсов, высокая рыночная доля ресурсов пользовательских данных стала уникальным конкурентным преимуществом для современных цифровых предприятий, что подтверждается многими случаями недобросовестной конкуренции между предприятиями за данные, такими как конкуренция между ByteDance и Tencent. Однако попытка использовать переносимость данных для разрушения монополии на данные может быть принятием желаемого за действительное в отношении «утопии». Некоторые люди считают, что предоставление субъектам персональных данных права на переносимость данных может эффективно ограничить монополию интернет-гигантов на данные, способствовать свободному потоку данных и устранить препятствия для доступа к рынку данных.[36] Однако эта точка зрения применима только к головным гигантам. Фактически, поспешное внедрение системы переносимости данных до того, как будет сформирована зрелая цифровая промышленная система, может привести к резкому увеличению нагрузки на МСП [37]. Согласно теории «эффекта блокировки», предприятия, которые рано выходят на рынок и накопили большое количество пользователей (предприятия с преимуществом первопроходца), имеют абсолютное преимущество перед данными. Обладая большим объемом данных, чтобы защитить свое выгодное положение, предприятия, обладающие преимуществом первопроходца, будут использовать различные способы повышения барьеров входа в отрасль, среди которых наиболее типичным является блокирование данных для увеличения затраты пользователей на смену поставщика услуг.[38] Кроме того, реализация переносимости данных может также спровоцировать и косвенно стимулировать недобросовестную конкуренцию «безбилетника» между предприятиями, что может побудить предприятия обойти технологическое подавление переносимости данных и усилить «фрагментацию» данных, и наконец вызвать монополию нескольких предприятий-гигантов. Такая ситуация противоречит цели системы переносимости данных и, таким образом, создает потенциальный риск нарушения основного порядка, установленного законодательством о конкуренции.

Несмотря на то, что право на переносимость данных является весьма спорным, а его реализация чрезвычайно затруднена, все же стоит учесть первоначальное намерение закона, основанное на правах и интересах субъектов личной информации, а также его техническую нейтральность и «утопический» дух. . В эпоху, когда данные являются фактором производства, может оказаться невозможным изменить тенденцию от индивидуального контроля личной информации к многостороннему контролю, и может быть трудно стандартизировать данные и способствовать условному свободному потоку данных через правообладатели. на переносимость или другие права.Тем не менее, мы ожидаем, что аналогичные права будут играть более важную роль в интеллектуальную эпоху, когда будут устранены узкие места в данных.

В настоящее время еще есть возможности переносимости, чтобы выжить в особых сценариях. В некоторых отраслях, где передача данных строго регулируется, таких как финансы и здравоохранение, данные не могут быть переданы безопасно, и ценность данных не может быть полностью раскрыта, поскольку из-за запаздывающих законодательных изменений организациям без соответствующей квалификации запрещено обрабатывать промышленные данные.В настоящее время фактически нет сопротивления праву на переносимость со стороны организаций или предприятий, и нет конфликта интересов между предприятием и субъектом личной информации с точки зрения данных. Субъекты личной информации могут даже активно использовать свое право на переносимость для обеспечения упорядоченного потока данных. Следовательно, по-прежнему необходимо обсудить, возможно ли достичь баланса между интересами нескольких субъектов и гарантировать безопасность личной информации посредством условного установления права на переносимость.

IX. Как мы оцениваем высокие штрафы за нарушение личных данных?

В соответствии с характеристиками законодательной системы Китая, проект занимает целую главу VII, чтобы оговорить «юридическую ответственность» за нарушение личной информации. Статья 62 законопроекта устанавливает в двух абзацах обязанности административного надзора за обработкой личной информации в нарушение законопроекта или непринятие необходимых мер безопасности. Что вызывает большую озабоченность, так это то, что проект значительно увеличил штрафы в дополнение к Закону о кибербезопасности и принял те же методы штрафов, что и GDPR, с максимальными штрафами и 5% годового оборота в качестве пределов штрафов.Учитывая острую необходимость регулирования личной информации, законопроект обеспечивает сильную правовую поддержку регулирующим органам в обеспечении соблюдения санкций за нарушение личной информации.

Классическая теория «эффективного нарушения» [39] в англо-американской системе общего права может до некоторой степени объяснить разумность увеличения штрафов. Если обработчик персональной информации после сравнения стоимости нарушения (включая штрафы) с экономической выгодой считает, что все равно будет выгодно отказаться от усилий по обеспечению соответствия или даже оптимизировать структуру своих доходов, нормативные штрафы обязательно не имеют юридической силы.Однако нормативные штрафы — это больше, чем просто наказание за нарушения. Одним из показателей оценки механизмов штрафов является то, может ли он помочь исправить нарушения, связанные с личной информацией. Согласно отчету Европейской комиссии по оценке второй годовщины GDPR [40], с 25 мая 2018 г. по 30 ноября 2019 г. органы по защите данных (DPA) наложили 785 штрафов в 22 странах ЕС / ЕЭЗ. Что касается объема, то было довольно много административных штрафов, но с точки зрения эффективности НПО Access Now отмечает, что количество штрафов все еще невелико по сравнению с количеством жалоб, полученных DPA, что означает, что «a остается неурегулированным большое количество жалоб ».[41]

Законопроект увеличивает размер штрафов законодательно, что соответствует текущей ситуации и тенденциям. В то же время одним из возможных направлений дальнейшего совершенствования штрафных санкций в будущем может быть оценка применения конкретных нормативных штрафов путем принятия решения о том, полагаются ли нарушители в основном на обработку личной информации для получения экономической выгоды, что в различных сценариях может поддерживаться применением «Отзыв лицензий», «приостановка обработки личной информации» и другие инструменты штрафных санкций.

Резюме и проспект

Как специальный закон о защите личной информации в Китае, проект, основанный на конкретной практике в информационном поле Китая и на опыте зарубежного законодательства, является ответом на острые вопросы и проблемы в текущей отрасли и юридической практике. . В некотором смысле он выявил будущие тенденции в законодательстве и правоприменительной практике, такие как строгое регулирование формы авторизации и согласия, регулирование трансграничной передачи данных с точки зрения локализации данных и ужесточение санкций за незаконную деятельность.Соответствуя международным правилам и стандартам защиты личной информации и опираясь на соответствующие законы и постановления, такие как Закон о кибербезопасности и Гражданский кодекс, проект оставил дверь открытой для дальнейшего принятия вспомогательных нормативных актов в будущем, демонстрируя прагматичный подход. основана на национальных условиях и вносит вклад в китайское решение международного законодательства о защите личной информации. Стратегически проект направлен на содействие здоровому развитию цифровой экономики.Что еще более важно, он закладывает прочную основу для перехода Китая к цифровому обществу, в котором данные являются новым фактором производства, за счет сосредоточения внимания на переносе защиты личной информации с сетецентрической на данные и с учетом сложности экономической жизни. Мы можем ожидать, что Закон о защите личной информации, после тщательного обсуждения и усовершенствования, установит баланс между защитой прав и интересов в отношении личной информации и упорядоченным и свободным потоком личной информации.Он будет регулировать обработку личной информации, защищать права и интересы личной информации, стимулировать цифровую индустрию и открывать новые возможности для развития цифровой экономики Китая в международной среде, характеризующейся острой конкуренцией за суверенитет данных.

[1] Хе Бо: Обсуждение определения личной информации, опубликовано в разделе «Информационные и коммуникационные технологии и политика», 2018 г. (6).

[2] Ху Яньпин: MDPG: Обеспечение новой возможности для схемы защиты данных Китая, https: // www.secrss.com/articles/11899, последний доступ 23 октября 2020 г.

[3] Надежда Пуртова: Закон всего. Общая концепция персональных данных и будущее законодательства ЕС о защите данных, https://www.tandfonline.com/doi/full/10.1080/17579961.2018.1452176, последний доступ 23 октября 2020 г.

[4] Ченг Дели, Чжао Лили: Исследование элемента «Идентификация» в защите личной информации, опубликовано в Hebei Law Science, 2020 (9).

[5] WP29: Мнение 4/2007 о концепции персональных данных, https: // www.Clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf, последний доступ 23 октября 2020 г.

[6] Например, дело Патрика Брейера, где динамический IP-адрес, который нельзя было использовать для прямой идентификации человека, был защищен CJEU как личные данные, он напрямую расширил объем личной информации. См. Патрик Брейер против Федеративной Республики Германии, http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=EN, последний доступ 23 октября 2020 г.

[7] Лю Хунъянь, Тан Линь: Юридическая классификация личной информации на основе рисков «идентифицируемости» посредством сравнения законодательства ЕС и США в области личной информации, опубликовано в журнале Шанхайского университета политологии и права (Форум верховенства права) , 2020 (5).

[8] Пол М. Шварц, Даниэль Солов. Проблема PII: конфиденциальность и новая концепция информации, позволяющей установить личность. Обзоры права Нью-Йоркского университета , 2011 (86).

[9] Закон Беркли: PII 2.0 law.berkeley.edu/article/pii-2-0/, последний доступ 23 октября 2020 г.

[10] Шакила Бу-паша. Трансграничные вопросы в соответствии с законодательством ЕС о защите данных в отношении защиты персональных данных, https://www.tandfonline.com/doi/full/10.1080/13600834.2017.1330740. Последний доступ 23 октября 2020 г.

[11] Отрывок из выступления профессора Ван Сисиня на тему «Игра суверенитета данных: происхождение и распространение принципа длинного права» n на обеденном заседании исследовательского института Tencent по законам о правах человека, https: // mp.weixin.qq.com/s/NU1xaTZDdAwcxGZARU8r9g. Последний доступ 23 октября 2020 г.

[12] Ван Жун, Чжу Цзюньбяо (Исследовательский институт Tencent): Вторая годовщина GDPR — размышления и просвещение членов ЕС , https://mp.weixin.qq.com/s/Iw1J0lYQOa5Kl8fszvqkgw. Последний доступ 23 октября 2020 г.

[13] Xinhuanet: «Нет защиты данных» или «Нет доступа»? Как улучшить «китайский подход» к защите конфиденциальности, http://www.xinhuanet.com/legal/2019-07/16/c_1124757320.htm. Последний доступ 23 октября 2020 г.

[14] Руководство 3/2018 по территориальной сфере действия GDPR (статья 3) — версия, принятая после общественных консультаций

[15] Гао Фупин. « Законная основа для использования личной информации: анализ с точки зрения интересов данных », 2019 (2), Journal of Comparative Law .

[16] Гао Фупин. « Защита личной информации: от личного контроля к социальному контролю », 2018 (3), Китайский юридический журнал .

[17] NDRC, et al: Мнения о поддержке рационального развития новых форм бизнеса и новых способов активизации потребительского рынка и увеличения занятости , Фа Гай Гао Цзи [2020] №1157

[18] См. Гражданское решение первой инстанции по спору между истцом по фамилии Хуанг и ответчиками Tencent Technology (Shenzhen) Co., Ltd., Guangzhou Branch и Tencent Technology (Beijing) Co., Ltd., касающегося нарушения сетевых прав. конфиденциальности и прав и интересов в отношении личной информации, (2019) Jing 0491 Min Chu No.16142. В этом деле Пекинский Интернет-суд постановил, что обычные пользователи не могли четко понять разделение труда между Tencent Computer, оператором WeChat и WeRead, совершившим нарушение, и Tencent Beijing и Tencent Shenzhen, поэтому трем ответчикам было предписано несут солидарную и раздельную ответственность.

[19] Статья 1195 Гражданского кодекса предусматривает, что, если пользователь сети использовал сетевые услуги для совершения акта нарушения прав, поставщик сетевых услуг несет солидарную ответственность в отношении возросшего ущерба, если он не принимает необходимых мер в своевременно после получения уведомления.Статья 1197 предусматривает, что в тех случаях, когда поставщик сетевых услуг знает или должен знать, что пользователь сети использовал его сетевые услуги для совершения какого-либо действия, связанного с нарушением прав, но не принял необходимых мер, он несет солидарную ответственность с пользователем сети.

[20] Многие считают, что это положение следует понимать как солидарную ответственность, однако Рабочая группа по защите физических лиц в отношении обработки персональных данных, созданная в соответствии с Директивой ЕС о защите данных, не- углубленное обсуждение вопроса о солидарной ответственности солидарных контролеров в своем мнении (Мнение 1/2020 о концепциях контролера и обработчика) в 2010 году и высказало различные мнения.По мнению Рабочей группы, совместный контроль не обязательно влечет за собой солидарную ответственность, и солидарная ответственность применяется в качестве неисполнения обязательств только в том случае, если между совместными контролерами нет согласия или нет одинаково четкого и эффективного распределения ответственности. GDPR прямо не включает подробное обсуждение и предложения Рабочей группы в свое заявление о солидарной ответственности, то есть оставляет некоторое пространство для толкования того, предусматривает ли статья 26 солидарную ответственность.См. WP169, Мнение 1/2010 о понятиях «контроллер» и «процессор». Кроме того, в решении Wirtschaftsakademie Schleswig-Holstein (C-210/16) от 2018 года Суд ЕС указывает, что «солидарная ответственность» «совместных контролеров» в Директиве о защите данных , предшествующий GDPR, не означает равную ответственность, и степень ответственности каждого контролера определяется с учетом всех соответствующих обстоятельств дела.Это в некоторой степени дает отрицательный ответ на вопрос, установил ли GDPR солидарную ответственность для совместных контролеров.

[21] См. Katz v. United States, 389 U.S. 347 (1967).

[22] Хелен Ниссенбаум, «Конфиденциальность как контекстуальная целостность», Washington Law Review, 2004, 79 (01).

[23] Дин Сяодун: Об идеологическом происхождении и базовой этике правовой защиты личной информации — анализ на основе добросовестной информационной практики, 2019 (3), Современная юридическая наука.

[24] Xinhuanet: Первый случай использования распознавания лиц в Китае http://www.xinhuanet.com/tech/2019-11/08/c_1125206288.htm, последний доступ 23 октября 2020 г.

[25] Центр оценки безопасности для новых интернет-технологий и бизнеса: Развитие политики кибербезопасности США и ее раскрытие, https://www.secrss.com/articles/10782, последний доступ 24 октября 2020 г.

[26] Сюй Е: Меры предосторожности в национальной киберстратегии США против Китая и предложения по контрмерам, http: // www.casted.org.cn/channel/newsinfo/7656, последний доступ 24 октября 2020 г.

[27] См. Https://view.inews.qq.com/a/20201013A04HBS00, последний доступ 24 октября 2020 г.

[28] См. Https://mp.weixin.qq.com/s/odxcaU73cAqtprQ8bMI1uA, последний доступ 24 октября 2020 г.

[29] Гао Фупин, Юй Чао. Комментарии и анализ переносимости данных в ЕС. Большие данные , 2016 (4).

[30] Свайр П., Лагос Ю. Почему право на доступность данных может снизить благосостояние потребителей: антимонопольное законодательство и критика конфиденциальности. Обзор закона штата Мэриленд, 2013 (2).

[31] Чжан Чжэ. Исследование и просвещение: исследование переносимости данных GDPR. Журнал Гуансийского института политологии и права , 2016 (6).

[32] Ян Фанг. Теория права на самоопределение личной информации и ее обзор: объект защиты в соответствии с Законом о защите личной информации. Сравнительно-правовой журнал , 2015 (6).

[33] Пэн Литанг, Жао Чуаньпин.Атрибут конфиденциальности сети: от прав традиционной личности к праву на информационное самоопределение. Обзор права , 2006 (1).

[34] Интернет-предприятия имеют определенную «имущественную заинтересованность» в информационных продуктах, полученных в результате обработки данных их пользователей, что было принято в судебной практике Китая. Подробнее см .: Taobao (China) Software Co., Ltd. против Anhui Meijing Information Technology Co., Ltd. по поводу недобросовестной конкуренции, (2017) Zhe 8601 Min Chu No.4034. В решении по делу Суд по железнодорожному транспорту Ханчжоу постановил, что в отсутствие правовых положений или специальных договорных соглашений пользователи Интернета не имеют имущественных прав и интересов в отношении пользовательской информации; операторы сети должны находиться под контролем пользователей сети и пользоваться только ограниченными правами на использование исходных данных; сетевые операторы обладают независимыми имущественными правами и интересами в разработанных ими информационных продуктах.

[35] Фу Синьхуа. Обсуждение и анализ двойного пути переносимости данных — с упором на закон о защите персональных данных и закон о конкуренции. Журнал Хэнаньского университета (версия социальных наук) , 2019 (5).

[36] Цуй Цзюньцзе. Переносимость данных: превращение потоковых данных в «сома» для предприятий. https://www.sohu.com/a/399479298_260616, последний доступ 24 октября 2020 г.

[37] Се Лин, Цзэн Цзюньсен. Обзор права на переносимость данных. Интеллектуальная собственность электроники , 2019 (1).

[38] Габриэла Занфир, Право на переносимость данных в контексте реформы защиты данных ЕС. Международный закон о конфиденциальности данных, 22012,2 (03).

[39] Хо Чжэнсинь, Сравнительное правовое исследование эффективного нарушения контрактов , 2011 (1), Journal of Comparative Law

[40] См. Защита данных как основа расширения прав и возможностей граждан и подход ЕС к цифровому переходу — два года применения Общего регламента защиты данных, https://eur-lex.europa.eu/legal- content / EN / TXT / PDF /? uri = CELEX: 52020DC0264 & from = EN, последний доступ 24 октября 2020 г.

[41] Цзян Линь, Первый обзор оценки GDPR: улучшилась ли защита данных в ЕС после двух лет внедрения GDPR ? https://mp.weixin.qq.com/s/p4s9G-7QISglgy0NfFt0Iw, последний доступ 24 октября 2020 г.

Susan Ning , Wu Han , Jiang Ke , Lin Yunhan, Pan Chi, Yao Minlv, Zhang Ziqian

Группа нормативно-правового соответствия King & Wood Mallesons

Конфиденциальность в 2020 году и чего ожидать в предстоящем году

2020 был отмечен новостями о пандемии и закреплен реальностью, в которой мы все оказались: целые семьи заходят в систему удаленно, пытаясь сохранить учебу и работу «нормальными».«Пока мы проверяли пределы того, что может выдержать домашний офис, конфиденциальность и безопасность полностью удаленного мира были поставлены на первое место. В этой статье мы рассмотрим несколько важных моментов в области конфиденциальности, которые, вероятно, повлияют на ваш бизнес, и заглянем в будущее, чтобы узнать, что нас ждет в 2021 году.

Во всем мире страны, включая Бразилию, Канаду и Китай, ввели законы о конфиденциальности в соответствии с Общим регламентом ЕС о защите данных. В Соединенных Штатах Калифорния дебютировала с долгожданным Законом о конфиденциальности потребителей Калифорнии, и мы увидели, что конфиденциальность стала частью законодательства Конгресса, связанного с COVID-19, включая Закон о защите данных потребителей COVID-19 2020 года в Сенате и Закон о чрезвычайной ситуации в области общественного здравоохранения. Закон в доме.В то время как Соединенные Штаты продолжали уклоняться от федерального законодательства о конфиденциальности в 2020 году, очевидный вывод из последних нескольких лет заключается в том, что конфиденциальность продемонстрировала, что является одновременно двухпартийной и насущной проблемой.

2020: Лето уединения

Как и все остальное в 2020 году, дела сдвинулись с мертвой точки только летом.

июля 2020 года стало официальной датой начала применения Закона Калифорнии о конфиденциальности потребителей. Поскольку Калифорния является пятой по величине мировой экономикой, законодательные возможности Калифорнии выходят далеко за пределы ее границ, вводя требования по защите данных для глобальных компаний, базирующихся в ее границах, и защиты конфиденциальности для более чем 39 миллионов жителей.Сделав еще один шаг, в ноябре избиратели из Калифорнии одобрили Предложение 24 Калифорнии (CPRA). Начиная с 1 января 2023 года CPRA изменяет аспекты CCPA и создает независимый наблюдательный орган — Калифорнийское агентство по защите конфиденциальности.

При прогнозируемом бюджете в 10 миллионов долларов на 2021 финансовый год агентство будет нести ответственность за обеспечение соблюдения CCPA на начальном этапе и CPRA в последующем. Чтобы полностью осознать это, важно признать, что Калифорния станет первым штатом в Соединенных Штатах с правоохранительным органом, занимающимся исключительно вопросами конфиденциальности.Предполагается, что в нем будет размещаться от 40 до 50 сотрудников, и ожидается, что он будет поддерживать производительность на уровне Федеральной торговой комиссии США, в которой 40 сотрудников занимаются вопросами конфиденциальности. Хотя в ближайшие месяцы многое изменится, Калифорния посылает компаниям четкий сигнал: серьезно относитесь к конфиденциальности.

Также в июле Суд Европейского Союза вынес долгожданное решение по делу «Шремс II» и в процессе признал недействительным соглашение ЕС-США. Структура Privacy Shield. С более чем 5300 участниками, которые полагаются на его существование для передачи данных, U.В августе министр торговли США Уилбур Росс вступил в переговоры, чтобы определить, будет ли усиление ЕС-США. Структура Privacy Shield может соответствовать решению CJEU. Обеспечение адекватности механизмов передачи данных из ЕС в США, безусловно, станет главным приоритетом в будущем, особенно если учесть, что трансатлантические экономические отношения оцениваются в 7,1 триллиона долларов.

Сохраняя летнюю конфиденциальность, конгресс Бразилии принял в августе Бразильский общий закон о защите данных (LGPD).С существующим набором требований к защите данных LGPD обеспечивает комплексную основу для страны и основывается на принципах GDPR. История LGPD — это что-то вроде драматического сериала: он был принят, затем отложен, а затем был отменен. В конечном итоге он вступил в силу сразу после того, как в сентябре Сенат принял закон о конверсии (PLV) 34/2020. Административные санкции за нарушение LGDP вступят в силу с 1 августа 2021 года.

В октябре Китай обнародовал проект закона о защите персональных данных.Предлагая широкий спектр мер защиты и долгожданную ясность, проект во многом основан на принципах GDPR. Согласно предложенному законопроекту, нарушение закона может быть наказано штрафом в размере до 50 000 000 юаней (7,4 миллиона долларов) или 5% от дохода.

В ноябре Канада предложила законопроект C-11. Опять же, мы видим моделирование принципов GDPR. Предлагаемый Закон о внедрении цифровой хартии 2020 г. не только предусматривает большие штрафы за несоблюдение — на этот раз до 25 млн канадских долларов (19,4 млн долларов США) или 5% от дохода — но также предоставит больший контроль канадскому потребителю. права субъекта данных.

Затем, в декабре, министр информационных технологий и связи Индии Рави Шанкар Прасад заявил, что страна «очень скоро» завершит работу над своим законом о защите данных. Поскольку страны по всему миру работают над жесткими требованиями к защите данных, можно представить, что может возникнуть желание наверстать упущенное в отношении конфиденциальности в Соединенных Штатах, особенно если новая администрация стремится воспользоваться редкой и реальной возможностью продемонстрировать двухпартийность. действие.

2021: Наблюдая за волной требований GDPR

Хотя в 2021 году, скорее всего, появится отставание от 2020, нам наверняка придет множество новых требований к конфиденциальности.Выводы CJEU в «Shrems II», вероятно, вызовут чувство безотлагательности принятия всеобъемлющих законов о конфиденциальности и защите данных не только в Соединенных Штатах, но и во всем мире. Пока мы наблюдаем за продолжением разработки законопроектов в Канаде, Китае и Индии, в Соединенных Штатах есть события, которые также могут повлиять на реальность федерального закона о конфиденциальности.

Отставая от мирового сообщества в разработке нормативных мер по защите данных и конфиденциальности, Соединенные Штаты уверенно движутся к путанице государственных режимов конфиденциальности.Три штата (Калифорния, Невада и Мэн) уже приняли законы о конфиденциальности потребителей, еще 16 ввели аналогичные законы, а в шести штатах были назначены рабочие группы для проверки перспектив конфиденциальности. Несмотря на то, что федеральный закон обеспечивает защиту определенных типов и способов использования данных, никакая всеобъемлющая структура не создает единого подхода к требованиям к данным в стране.

---

Об авторе: Молли Хулефельд (Molly Hulefeld) — аналитик по вопросам конфиденциальности в компании Sentinel. Молли вошла в мир конфиденциальности через Международную ассоциацию профессионалов в области конфиденциальности (IAPP), где она работала младшим редактором группы публикаций.Сейчас она работает над разработкой сервисов Sentinel’s Culture of Privacy ^TM и Ethos, технологии управления программами конфиденциальности компании, призванной помочь предприятиям выполнять свои обязательства по обеспечению конфиденциальности. Бакалавр Молли получила степень бакалавра в Университете Вермонта и получила степень магистра международного развития в Университете Денвера.

Примечание редактора: Мнения, выраженные в этой статье гостя, принадлежат исключительно автору и не обязательно отражают точку зрения Tripwire, Inc.

Гиперактивные дебаты о защите личных данных в Китае — The Diplomat

Реклама

21 октября 2020 года проект долгожданного Закона Китая о защите личной информации (PIPL) был выпущен для общественного обсуждения. Наряду с Законом о кибербезопасности, принятым в 2017 году, и Законом о безопасности данных (проект которого также был выпущен для общественного обсуждения в июле 2020 года), PIPL рассматривается как важная веха в законодательных усилиях Китая по установлению комплекса всеобъемлющих правил, касающихся данных. .В частности, PIPL устанавливает законные права в отношении личной информации, поскольку она сформулирована для «защиты прав и интересов в отношении личной информации, стандартизации действий по обработке личной информации, защиты законного, упорядоченного и свободного потока личной информации и стимулирования разумного использования личной информации. «(Статья 1). Проект вызвал большой интерес средств массовой информации и общественности. Юристы, ученые и представители бизнеса провели обсуждения, чтобы сравнить законопроект с Общим регламентом ЕС о защите данных и другими основными законами о данных по всему миру, а также поднять вопросы, требующие разъяснений и улучшений.

Месяц спустя было объявлено решение первого судебного процесса по получившему широкую огласку делу об использовании технологии распознавания лиц, разрекламированному как «первый иск против распознавания лиц». Победа истца, который возражал против использования технологии в сафари-парке, вызвала новый шквал освещения и откликов в социальных сетях.

Защита личной информации уже превратилась в гиперактивную область в Китае, которая постоянно подпитывается не только национальным законодательством и политикой, но и участием профессиональных юристов, сознательными действиями простых граждан, а также огромным вниманием средств массовой информации и активными действиями. публичные дискурсы.

Обнародование PIPL в Китае является частью законодательных и нормативных шагов последних лет, направленных на создание правовых основ, руководящих принципов и стандартов для управления данными, неотъемлемым компонентом которых является защита персональных данных. В отличие от распространенного мнения о слабом регулировании данных в Китае, которое часто используется предпринимателями Кремниевой долины (такими как Марк Цукерберг из Facebook), чтобы утверждать, что регулирование персональных данных предотвратит инновации, основанные на данных, — китайское правительство на самом деле быстро продвинулось в этом направлении. За последнее десятилетие были приняты сотни законов и правил по безопасности и защите данных.Перед представлением PIPL уже были выпущены различные правила и стандарты в области данных и технологий, чтобы ввести защиту персональных данных в различных сферах, например, Закон о защите прав потребителей и поправки к нему (2014 г.), Спецификация безопасности личной информации. (2018), Положение о защите личной информации детей в Интернете (2019), Технические спецификации защиты финансовой информации (2020) и т.д. Система социального кредита, которая вызывает опасения по поводу того, что китайская модель конфиденциальности данных может угрожать основным ценностям западной демократии, крайне важно признать, что Китай решает аналогичные проблемы, возникающие из-за быстрого развертывания информационных и коммуникационных технологий (ИКТ) и необходимости управляют гигантскими объемами данных, генерируемыми повседневной экономической и социальной деятельностью.Поскольку данные все чаще рассматриваются как фундамент для национальной и региональной экономики, правительства во всем мире стремятся стимулировать экономическое развитие с помощью инноваций, основанных на данных. Неудивительно, что разработка правовых и нормативных основ для защиты и безопасности данных также стала одной из главных задач правительства. Комментаторы быстро заметили, что многие положения проекта PIPL напоминают GDPR и другие важные законы о данных в других юрисдикциях.

Вам понравилась эта статья? Нажмите здесь, чтобы подписаться на полный доступ.Всего 5 долларов в месяц.

Однако было бы ошибкой рассматривать центральное правительство и законодательный орган как единственного игрока в области защиты персональных данных Китая. Вышеупомянутый иск, поданный профессором права против использования распознавания лиц при входе в сафари-парк в Ханчжоу, начался еще до публичного выпуска проекта PIPL и возник в результате повышения осведомленности общественности и действий по защите личных данных. Например, Исследовательский центр защиты личной информации Южного Метрополиса Дейли активно проводит углубленные исследования по темам, вызывающим обеспокоенность общественности, таким как распознавание лиц и условия конфиденциальности онлайн-приложений, а также публикует ежегодные отчеты о состоянии защиты личной информации. безопасность.Публичные аккаунты в WeChat и других социальных сетях, каждая из которых имеет большое количество подписчиков и подписок, также регулярно распространяют обновленную информацию о национальных и международных тенденциях в области политики в области данных, исследованиях, инцидентах с утечкой данных и т. Д.

Распознавание лиц — технология, вызывающая особую озабоченность, поскольку он применяется не только в системах видеонаблюдения в аэропортах и ​​других местах, но также все чаще используется в финансовых и банковских системах для аутентификации личности и мобильных платежей. Судебный процесс против сафари-парка Ханчжоу привлек огромное внимание общественности, поскольку он действовал в связи с обеспокоенностью общественности отсутствием регулирования в принятии распознавания лиц.В интервью средствам массовой информации Гуо, истец этого дела, заявил, что, хотя судебный процесс против нарушения личной информации может быть обременительным для отдельных потребителей, его цель заключалась в том, чтобы этот судебный процесс мог дать практические уроки для установления более эффективных правовых норм и практики для защита личной информации.

Diplomat Brief

Еженедельный информационный бюллетень

N

Получите краткую информацию об истории недели и разработке историй для просмотра в Азиатско-Тихоокеанском регионе.

Получить информационный бюллетень

В сентябре 2020 года другой профессор права в Университете Цинхуа в Пекине также решил подать в суд на ассоциацию домовладельцев за установку системы распознавания лиц на закрытом входе в общину, что, как и ожидалось, вызвало новую волну СМИ и публичное выражение озабоченности по поводу спорной технологии. Эти общественные настроения и опасения побудили соответствующие департаменты уделять первоочередное внимание разработке стандартов использования распознавания лиц в финансах и других областях.Местные органы власти также использовали возможности для принятия региональных правил. 1 декабря город Тяньцзинь только что принял постановление, ограничивающее незаконный сбор и использование конфиденциальной биометрической информации для аутентификации личности, которое включает запрет на использование технологии распознавания лиц.

Реклама

Помимо этих весьма заметных дел, связанных с распознаванием лиц, стоит упомянуть еще два дела, возбужденные отдельными потребителями против крупных технологических компаний.В деле Ling vs Douyin / Duoshan истцу по имени Линг при регистрации в двух социальных приложениях был предложен список «людей, которых вы могли знать» в приложениях. Подозревая, что приложение прочитало список контактов его телефона без согласия, он подал в суд на компанию Bytedance. В деле Хуан против Tencent г-жа Хуанг, используя приложение WeChat Reading, обнаружила, что информация о ее чтении была передана ее «кругу друзей» в приложении WeChat без ее ведома, и она подала иск против материнской компании. Программы.

В обоих случаях, как и в двух вышеупомянутых делах о распознавании лиц, истцами являются лица, хорошо знающие законодательные акты и институты или имеющие сильную юридическую помощь в судебных разбирательствах по делам. Линг — доктор философии. студент юридического факультета, а Хуанг, как сообщается, работает в юридической фирме. Как хорошо информированный истец, который, вероятно, был знаком с существующими конвенциями о защите персональных данных в Европе и других странах, Линг, например, приложил все усилия, чтобы получить доказательства относительно настроек конфиденциальности приложений, таких как продолжительность хранения файлов cookie. , уведомление о запросах согласия, соглашениях об обслуживании и т. д.

Хотя проблемы, по которым они вели судебные тяжбы, казались незначительными в том смысле, что «отсутствие фактического вреда» не могло быть доказано, что часто выдвигалось стороной защитника, их «низкая ставка» подчеркивала символическое значение иски. Интересно, что такие мелкие судебные разбирательства поощрялись среди студентов юридических факультетов их университетами и профессорами, чтобы получить практический опыт в рамках своего образования. Судебные тяжбы против крупных компаний и государственных институтов из-за их обработки личной информации и их политики конфиденциальности становятся все более и более распространенными среди этих будущих юристов.

Все эти примеры демонстрируют гиперактивную динамику защиты личной информации в Китае. Тщательный анализ обсуждений проекта PIPL и решений судов по делам, возбужденным гражданами против нарушений личной информации, покажет, что защита данных в Китае сталкивается со многими аналогичными проблемами, присущими другим странам в области управления данными, например, как определить надлежащий объем и разумное использование «личной информации», чтобы уравновесить права личности с общественными интересами и промышленным развитием, и как найти более эффективный механизм, выходящий за рамки признанной дилеммы согласия как условия обработки данных.Ввиду растущих глобальных конфликтов из-за трансграничных потоков данных и озабоченности по поводу суверенитета данных крайне важно иметь всестороннее понимание этой динамики в отношении защиты персональных данных в Китае и использовать возможности для разговоров в этой области, которая становится все более важной.

Сяо Лю, научный сотрудник Wilson China, в настоящее время работает над проектом по управлению персональными данными в Китае. Лю преподает в McGill и является автором книги «Информационные фантазии: ненадежная медиация в постсоциалистическом Китае» (University of Minnesota Press, 2019).

Конфиденциальность данных в условиях пандемии

Поскольку пандемия коронавируса приводит к ужасным потерям как для жизни людей, так и для средств к существованию, правительства, органы здравоохранения, компании и отдельные лица отреагировали чрезвычайными мерами. Чтобы защитить здоровье людей, правительства и учреждения ввели ограничения на передвижение и механизмы отслеживания состояния здоровья и отчетности. Эти механизмы, в том числе приложения для отслеживания контактов и самоотчета, некоторые записи и передача личной информации о здоровье, подчеркивают растущую важность защиты данных и конфиденциальности в этом кризисе.

С появлением в 2018 году Европейского общего регламента защиты данных (GDPR) и возможного «Положения о конфиденциальности» компании и учреждения повысили свою осведомленность о данных. Эти новые правила вводят более строгие правила в отношении конфиденциальности и защиты данных, устанавливая новые стандарты, говоря словами GDPR, для «прав и свобод субъектов данных» во всем мире. Во время пандемии правительственные органы и компании были вынуждены балансировать между двумя приоритетами: охрана здоровья населения и защита частной жизни.Некоторые меры, призванные ограничить распространение вируса и потенциально спасти жизни, также могут иметь серьезные последствия для прав человека.

Хотя многие меры общественного здравоохранения не требуют сбора данных, другие могут посягнуть на средства защиты, обеспечивающие защиту личных данных людей. Правительственные чиновники и компании могут оказаться перед дилеммой, так сказать, обдумывая меры по сокращению распространения вируса, которые в то же время могут резко ограничить права и свободы людей, жизнь которых они стремятся защитить.Следующее обсуждение основывается на недавнем европейском опыте решения этой дилеммы общественного здравоохранения и личной жизни. События продолжают развиваться быстро, и наш анализ отражает опыт в определенный момент времени (май 2020 г.) в истории пандемии.

Контроль над пандемией и личная свобода

Главной задачей государственных органов и частного сектора является борьба с болезнью. Защита человеческой жизни — это важнейшая основа для любых дальнейших шагов по возвращению к нормальной жизни.С этой целью системы здравоохранения, включая персонал, помещения, тесты и необходимое оборудование (включая вентиляторы и средства индивидуальной защиты или СИЗ), должны быть защищены и расширены по мере необходимости. Государственные бюджеты были значительно расширены для удовлетворения чрезвычайных потребностей. Меры, введенные для ограничения распространения вируса, повлияли на личную свободу в трех основных областях:

• Ограничения на личное передвижение, , включая физическое дистанцирование, ограничения на публичные собрания, карантин, изоляцию и изоляцию
• Отчетность о состоянии здоровья, , включая тестирование на COVID-19, тестирование температуры, обследования состояния здоровья в государственном и частном секторах, отчеты государственных органов и внутрикорпоративные отчеты
• Отслеживание состояния здоровья, , включая ручное и автоматическое отслеживание и механизмы отслеживания контактов (отслеживание мобильных телефонов и приложения), как государственными, так и частными компаниями

Многие защитные меры, принимаемые правительствами в этих областях, хорошо известны и поддерживаются пострадавшим населением.Однако высказываются опасения по поводу их вмешательства в личную жизнь и последствий для будущего. Правительственные чиновники и сотрудники, ответственные за корпоративную конфиденциальность, пытаются найти баланс между мерами защиты и гарантиями конфиденциальности, часто без четких указаний со стороны регулирующих органов. В частном секторе правление и высшее руководство корпораций, как правило, не уделяют приоритетного внимания аспектам конфиденциальности в борьбе с вирусом.

Помимо рисков, связанных с обработкой и обработкой персональных данных, в рабочей среде COVID-19 возникают системные киберриски.Поскольку рабочие места закрыты, а сотрудники работают из дома, ИТ-отделам государственных учреждений и компаний пришлось быстро настраивать удаленные операции. Многие люди сейчас используют незащищенные устройства и интернет-коммуникации с более низкими уровнями защиты, чем те, которые поддерживаются в корпоративных или институциональных сетях. Производительность развертываемой сетевой инфраструктуры потенциально ниже и менее подвержена человеческому контролю и поддержке со стороны других сотрудников. Повышенная нагрузка на систему и пробелы в инструментах для совместной работы привели к увеличению уязвимости, о чем свидетельствуют многочисленные отчеты о более высоких уровнях кибератак, включая фишинг электронной почты с использованием вредоносных программ, мошенников, выдающих себя за корпоративные службы поддержки, и вредоносное ПО на информационных сайтах COVID-19.Все угрозы созданы для того, чтобы воспользоваться преимуществами удаленной работы, действующей с начала пандемической изоляции.

GDPR в стрессовых условиях

Подобно государственным и частным организациям, регулирующие органы также не были готовы к кризису COVID-19. Однако после периода корректировок они теперь предоставляют рекомендации и разъяснения относительно того, как интерпретировать существующее законодательство в условиях кризиса, уделяя особое внимание мерам защиты здоровья, введенным или рассматриваемым компаниями.

Подобно государственным и частным организациям, регулирующие органы также не были готовы к кризису COVID-19.

GDPR считается экспертами одним из самых строгих правил конфиденциальности в мире. Европейские регулирующие органы и европейский надзорный орган по защите данных единодушны в том, что текущий кризис не отменяет GDPR, но его правила достаточно гибкие, чтобы учитывать чрезвычайные меры, сохраняя при этом адекватные меры безопасности.Например, согласно GDPR, национальным правительствам разрешено действовать в общественных интересах, но они должны ограничивать данные, которые они используют.

В этом отношении важны несколько принципов, изложенных в GDPR. Регламент требует «минимизации данных» и «ограничения цели». В этих двух рекомендациях указывается, что следует использовать как можно меньше личных данных и только для конкретной узкой цели — в данном случае для ограничения распространения вируса и защиты здоровья сотрудников. Также требуется прозрачность, означающая, что затронутые лица должны быть проинформированы об использовании их данных простым и понятным языком.Еще один принцип — защита: данные должны быть достаточно защищены как технически от киберрисков, так и организационно от несанкционированного обмена.

Чтобы помочь компаниям понять правила защиты данных, многие европейские регулирующие органы выпустили руководство по конкретным мерам здравоохранения. Это руководство в основном касается ситуаций, для которых согласие не является практическим соображением, таких как уведомление конкретных сотрудников, которые работали в непосредственной близости от инфицированного человека. Рекомендации также немного различаются от страны к стране, в зависимости от национального законодательства, касающегося здравоохранения, труда и социального обеспечения, а также их различных толкований.Мы определили общие препятствия для трех типов мер контроля, перечисленных выше. Однако следующие соображения подлежат дальнейшей оценке в индивидуальном порядке в соответствии с национальными законами и соответствующими юридическими рекомендациями. (Обсуждения в этой статье не предназначены для предоставления такого юридического руководства.)

Ограничения на личное перемещение

Ограничения на личное передвижение, введенные государственными органами во время кризиса, обычно не рассматриваются в законах о защите данных.Однако такие ограничения нарушают права и свободы людей и могут даже регулироваться другими законами. Обязанности работодателя работать на дому также выходят за рамки законов о защите данных, как было подчеркнуто несколькими европейскими органами по защите данных.

Хотите узнать больше о нашей практике управления рисками?

Входной контроль на местах работы может, однако, создавать проблемы с защитой данных. По мнению многих регулирующих органов, возвращающихся на работу сотрудников могут потребовать раскрыть информацию о поездках в связи с проблемами общественного здравоохранения.Если они побывали в зоне повышенного риска, могут потребоваться соответствующие меры (например, временный карантин). Регулирующие органы выразили обеспокоенность по поводу измерения температуры и опросов личного здоровья. Например, как шведские, так и бельгийские органы по защите данных не считают измерение температуры тела подпадающим под действие GDPR, если результаты не зарегистрированы. Но другие регуляторы специально запретили регулярное измерение температуры.

Отчетность о состоянии здоровья

Согласно GDPR и другим европейским нормам, работодателям, как правило, не разрешается собирать данные о состоянии здоровья сотрудников и посетителей, за исключением случаев, когда они обязаны это делать по закону, будь то для защиты интересов рабочей силы или общества, или для соблюдения трудового законодательства. или другие национальные законы.Если применяются исключения, обработка данных должна быть строго ограничена в соответствии с принципами минимизации данных, ограничения целей, прозрачности и защиты данных. Работодателям разрешается собирать столько данных, сколько необходимо для конкретной цели. Они должны информировать заинтересованных лиц об обработке данных и обеспечивать надлежащую защиту данных. Обработка должна быть задокументирована и должна быть остановлена, как только она больше не понадобится.

Работодателям, как правило, не разрешается сообщать сотрудникам имена заболевших коллег, за исключением уведомления узкого списка тех, с кем они были в тесном контакте.GDPR также ограничивает право запрашивать личные номера телефонов сотрудников, за исключением особых причин, таких как информирование людей о правилах работы и другой информации, связанной с пандемией COVID-19. Кроме того, в соответствии с принципами GDPR использование данных уязвимых лиц в группах повышенного риска должно быть ограничено конкретными целями (например, доставка на дом жизненно важных предметов снабжения).

Отслеживание работоспособности

GDPR устанавливает определенные меры защиты конфиденциальности и данных, которые ограничивают возможные меры по отслеживанию состояния здоровья, которые страны могут использовать во время кризиса COVID-19.Однако европейские органы по защите данных разрешили развертывание национальных систем отслеживания, если они соответствуют принципам GDPR. Системы должны быть добровольными и согласованными или полностью анонимными, как, например, когда оператор электросвязи предоставляет властям анонимные данные для измерения перемещения населения. Более точные системы персонального мониторинга, такие как те, которые используются в Южной Корее или Китае для сдерживания распространения пандемии, не разрешены GDPR.

Соображения по кибербезопасности

Во время пандемии ИТ-отделы столкнулись с совершенно новыми проблемами, поскольку весь персонал был отправлен домой для работы удаленно.Теперь компании должны поддерживать безопасность своих систем, программного обеспечения и данных за пределами централизованной, хорошо контролируемой корпоративной сети, а также соблюдать требования GDPR в отношении соответствующей технической и организационной киберзащиты. Сотрудники используют индивидуальные каналы для подключения к сетям, в то время как ИТ-отделы борются с быстрым и незапланированным масштабированием инфраструктуры. Новые и непроверенные функции наряду с неоптимальными средствами контроля используются для обеспечения бизнес-операций.

Понимание киберрисков, присущих новым сетевым схемам, все еще находится на стадии становления.Подозрительные кибердомены, предположительно связанные с COVID-19, где продаются поддельные лекарства или распространяются вредоносные программы, быстро разрастаются. Государственные учреждения и компании в настоящее время разрабатывают меры защиты от этих угроз, включая новые инструменты, осведомленность и обучение.

Компании предоставляют сотрудникам ноутбуки, мобильные телефоны и другое необходимое оборудование для защиты подключений к виртуальной частной сети (VPN), чтобы они могли работать удаленно.Работодатели также должны предоставить сотрудникам ряд других технических функций для защиты своих сетей. Это включает в себя управление исправлениями и конфигурацией для соответствующих систем, многофакторную идентификацию и управление безопасным доступом, локальную безопасность приложений для удаленного доступа, виртуализацию устройств, мониторинг емкости и безопасности, а также ресурсы на случай непредвиденных обстоятельств (для ограничения последствий сбоев и поломок).

Сотрудники должны быть проинформированы о специальных технических функциях, обеспечивающих безопасные удаленные операции, и при необходимости обучены их использованию.Необходимо подчеркнуть важность безопасности при удаленной работе и сделать VPN обязательной. Работодатели также должны предоставить руководящие принципы по множеству связанных тем, ограничивая использование частных устройств, рекомендуя определенные программные приложения, обеспечивая адекватную защиту паролем, а также формулируя инструкции по защите оборудования и бумажных копий документов.

Сотрудники также должны быть осведомлены о растущем уровне киберугроз, связанных с коронавирусом, включая возможные меры реагирования и обработку инцидентов.Работодатели должны работать над тем, чтобы поведение, не связанное с риском, стало нормой в эти нестандартные времена. Опыт показал, что сообщения о защите данных и соблюдении требований лучше всего передавать в рамках текущих коммуникационных усилий, а не ограниченных по времени кампаний.

Отслеживание контактов при COVID-19: новые соображения по поводу его практического применения

В целом, работодатели несут ответственность за обеспечение соответствующей среды поддержки, включая обучение потенциальным рискам безопасности и безопасное использование новых удаленных инструментов.При необходимости также должен быть предоставлен свободный доступ к каналам поддержки. Сотрудникам, у которых дома нет надлежащей технической оснащенности, ее необходимо будет предоставить; тем, кто не привык работать из дома или общаться с помощью видеоприложений, может потребоваться базовое руководство. Каждый должен быть осведомлен о том, что должно произойти в случае нарушения, включая порядок подчинения и действия, которые необходимо предпринять.

Таким образом, кризис увеличил нагрузку на ИТ-отделы и отделы кибербезопасности. Компаниям, возможно, потребуется решить проблему нехватки ресурсов в этих областях, а также принять меры для защиты благополучия сотрудников.Один из способов сделать это — добавить специалистов там, где это необходимо, или на определенные периоды повышенного спроса. Снижая спрос до устойчивого уровня, ИТ- и кибер-персоналу будет легче дышать и они смогут лучше защитить организацию и ее технологии.

Большинство, если не все регулирующие органы, осведомлены о нагрузках, которые кризис COVID-19 создает для организаций. По признанию, некоторые вводят гибкость в отношении процессов и сроков, связанных с конфиденциальностью. Например, Управление комиссара по информации (ICO), британский орган по защите данных, объявил, что не будет строго соблюдать крайние сроки для запросов о правах субъектов данных.Голландский орган Autoriteit Persoonsgegevens заявил, что для нерешенных проблем будет предоставлено более длительное время ответа. В Ирландии Комиссия по защите данных, осведомленная о ситуации, заявила, что просьбы об отсрочке соблюдения сроков будут оцениваться в индивидуальном порядке.

Три продуктивных действия

Компании вносят ряд изменений, чтобы обеспечить сбалансированный подход к конфиденциальности данных и защите здоровья в контексте COVID-19. На наш взгляд, три действия будут наиболее продуктивными для осознанного принятия решений о конфиденциальности и кибербезопасности данных во время распространения COVID-19.

• Включите руководителя по вопросам конфиденциальности данных в группу реагирования на COVID-19, чтобы обеспечить раннюю оценку и обсуждение возможных мер, влияющих на конфиденциальность данных. Этому руководителю (вероятно, ответственному за конфиденциальность данных в тех организациях, у которых он есть) также следует поручить делать любые необходимые компромиссы между конфиденциальностью и потребностями общественного здравоохранения, при необходимости разрабатывая региональные вариации.
• Обеспечьте ИТ-отделы ресурсами, необходимыми для поддержки сотрудников, работающих в безопасном режиме из дома.Вероятно, компаниям придется расширять свои сети и возможности видеоконференцсвязи за счет услуг, предоставляемых поставщиками. Они должны соответствовать внутренним стандартам безопасности без превышения ограничений пропускной способности.

  No related posts.