EU agrees to new rules that ensure transparency 和 fairness for trading practices 上 在线平台

2019年2月14日,欧盟委员会,欧洲议会和欧盟理事会同意实施旨在确保公平,透明和可预测的商业环境的新规则,以使最终消费者和使用第三方在线平台的企业家受益商业。理事会和欧洲议会将通过欧盟法规采用这些新规则。当前规则的进一步改进将与影响在线平台的变化保持同步。

To read more 上 the rules under the new regulation, click 这里.

EDPB issues 指导方针 上 GDPR certification

The European 数据Protection Board (EDPB) has adopted 指导方针 有关《 2016/679通用数据保护条例》(GDPR)规定的认证机制的信息。 EDP​​B指南针对监管机构和认证机构,有助于深入了解与GDPR第42条和第43条所发布的所有类型的认证机制相关的要求和标准。

资质认证

要求EDPB,监管机构和认证机构鼓励认证机制以及数据保护印章和标记。尽管这些术语未在GDPR中定义,但很显然,它们旨在标记对控制器或处理器执行的特定处理操作的GDPR合规性的认可。一旦获得认证,组织可以展示印章或标记以证明其合规性。

认证机制被认为是适当的保障措施。因此,如果该组织已获得认证,则可以对该组织进行限制转移,前提是该组织做出具有约束力且可强制执行的承诺,以应用适当的保护措施。 EDP​​B计划就这些必需的承诺发布进一步的指导。

继续阅读

Misappropriation of trade secrets in Germany – the recent Supreme Court decision

德国是专利诉讼的主要司法管辖区,但是对于那些提出商业秘密争议的人来说,德国仍然不受欢迎。法兰克福合伙人AnetteGärtner博士发表了一个案例评论,“德国联邦最高法院:Hohlfasermembranspinnanlage II-滥用商业秘密的主张的执行”,着眼于最高法院关于盗用商业秘密的最新裁决。

案例评论讨论了在德国提出专有技术诉讼的潜在问题,分析了最高法院的指南,该指南重申了适用的标准,并概述了德国实施《欧盟商业秘密指令》时将会看到的一些重要变化。请参阅最新版本的AnetteGärtner博士的全文。 European 知识产权 Review.

加利福尼亚州总检察长提议在国会听证会之后可能对具有里程碑意义的隐私法于2019年进行修订后扩大CCPA私人诉权

BREAKING: California Attorney General Xavier Becerra (AG) 宣布 a proposed series of amendments to the California Consumer 隐私Act (CCPA) that would:

  • Expand consumers’ private right of action to include all alleged violations of their rights under the 注册会计师;
  • 在AG接受民事执法之前,消除企业30天的机会“治愈”涉嫌违规行为(治愈规定);和
  • Eliminate businesses’ right to ask the AG’s opinion 上 how to comply with the 注册会计师.

AG的意外公告是在上周的立法听证会上举行的。CCPA的发起人和怀疑者均在国务院隐私和消费者保护委员会作证。在听证会上,股份公司建议需要对其本周公布的修正案进行修改。

Key takeaways from the February 20, 2019 State Assembly Hearing

在整个上午的证词中,CCPA发起人和怀疑者就CCPA的优缺点和需要改进的领域分享了他们的观点。

  • Amendments to the 注册会计师 – deadlines/implementation concerns. 去年担任CCPA大会主要提案国的大会成员Ed Chau在开幕词中证实,2019年可能还会有更多的“清理”立法。出席会议的委员会其他成员表示支持重新审视法律,但通常没有透露他们认为需要的更改。大会成员马克·伯曼(Marc Berman)对此是一个例外,他暗示修正案可能针对法律领域,这些领域给企业带来了过多的合规负担。例如,他引用了CCPA的要求,即每个涵盖业务都必须创建一个免费电话号码,以处理消费者对个人信息的要求。在委员会上作证的多名小组成员对企业能否满足CCPA的实施期限表示担忧,并/或建议延长合规时间表。
  • 小型企业的影响。 听证会上最受争议的问题是CCPA对小型企业的影响。 Square的首席隐私官Veronica Abreu告诫说,鉴于对个人信息的定义极为广泛,对遵守CCPA的小企业的门槛要求太低。加州商会的莎拉·鲍特(Sarah Boot)和其他持怀疑态度的人对颁布的CCPA的效力表示怀疑,并回应了这一担忧,并警告说,遵守CCPA和诉讼风险管理的成本可能会削弱小型企业。 注册会计师的发起人Alastair Mactaggart和前联邦贸易委员会首席技术专家Ashkan Soltani为CCPA辩护,因为该指控对小型企业而言过于繁重。 Mactaggart坚称,当前的门槛不会像CCPA的批评者所建议的那样轻易影响小型企业。 Soltani认为,符合CCPA最低要求的企业可能是数据销售市场中的关键角色。他作证说,数据经纪人经常求助于像当地比萨店这样的小型企业,将其作为准确的消费者信息的可靠来源。
  • The private right of action 和 the 30-day “cure” provision. 注册会计师的私人诉讼权条款也引起了广泛的争议。 AG办公室的Stacey Schesser,电子前沿基金会(EFF)的Lee Tien和加利福尼亚州ACLU(ACLU)的妮可·奥泽(Nicole Ozer)提倡扩大消费者的私人诉讼权。 AG,EFF和ACLU代表表示,为确保企业遵守法律,有必要授予消费者针对CCPA下所有侵犯其权利的行为提起诉讼的权利。 Schesser还表达了AG对CCPA治愈规定的异议,称其为“摆脱免监狱卡”,这阻碍了AG保护公众的能力。作为回应,Boot将当前的私人诉讼权条款标记为“集体诉讼的财富”,这将使原告的律师资格受益,而无需提高CCPA的合规性目标。同样,其他CCPA怀疑论者质疑CCPA规定的特定“每位消费者每事件”法定赔偿金额,并主张增加安全港条款以保护遭受数据泄露的企业。
  • Household data 和 the definition of personal information. 一个主要关注的领域是CCPA对个人信息的广泛定义。尤其是,许多怀疑论者关注“个人信息”,其中包括“识别,关联,描述,能够与(或合理地)直接或间接地与”个人消费者,“消费者”联系在一起的信息。家庭。”主要担忧是定义的企业合规义务的急剧扩展,以及可能要求企业将个人的敏感信息,浏览历史记录和其他个人信息泄露给家庭的其他成员。

注册会计师的未来

根据大会的听证会,AG支持的法案很可能不是今年CCPA唯一提议的修正案。距CCPA于2020年1月生效只有不到一年的时间,有关法律对企业的要求以及可能存在的违规风险仍然不确定。企业不应等待固定的CCPA特定要求,而应盘点其现有做法,并考虑制定彻底的,跨辖区的政策和合规策略。

Video of the full hearing is available through the California State Assembly’s 媒体档案。

UK regulator to focus 上 ad-tech

On 6 2019年三月, the Information Commissioner’s Office (ICO) will 举办一个实况调查论坛 在伦敦市中心。该论坛的目的是促进广告技术利益相关者之间的对话。 ICO希望了解广告技术实践的复杂性。

为什么选择广告技术?

“广告技术”是广告行业技术转型的产物。它使用个人数据来编辑个人资料,然后将其用于确定是否以特定广告为目标。发布者通过实时出价过程出售广告空间。广告技术实践严重依赖于个人数据和人工智能的使用。

出于多种原因,ICO有兴趣了解有关广告技术实践的更多信息。首先,广告技术属于ICO的优先领域,即ICO的“在线跟踪”和“人工智能” 科技类Strategy。其次,ICO认识到,尽管广告技术会带来好处,但也存在令人担忧的问题,尤其是在实时出价方面。第三,ICO已收到有关广告技术公司未遵守《通用数据保护条例》(GDPR)的投诉。

ICO承认,对于广告技术实践和符合GDPR的个人数据处理之间的重叠,存在许多不同的观点。

继续阅读

If you want to follow the trend, make sure you are CMA compliant

在当今的数字时代,品牌越来越多地使用名人,视频博客,博客和其他社交媒体名人(影响者)的平台来覆盖目标受众并促进销售。社交媒体平台的不受管制的空间现在正在受到审查。为了帮助有影响力的人和品牌遵守法律,竞争和市场管理局(CMA)发布了新指南,以鼓励有影响力的人,品牌及其受众之间保持更大的透明度。

To read more 上 to be CMA compliant, click 这里.

Singapore considers introduction of data portability

On 2019年2月25日, Minister for Communications 和 Information 宣布 新加坡正在考虑,作为正在进行的《个人数据保护法》(PDPA)审查的一部分,引入了数据可移植性要求,该要求将赋予数据主体更大的控制权和权利,使数据主体可以跨服务提供商移动其个人数据。

与此相关,个人数据保护委员会与个人信息保护委员会合作,提供了有关数据可移植性的讨论文件。 Competition 和 Consumer Commission of Singapore.

数据可移植性是个人授予的一项权利,它要求将其数据的副本以结构化,常用和机器可读的格式传输给另一个组织。通常,它被视为个人/数据主体根据数据保护法的访问权的自然延伸。

美国的澳大利亚,欧盟,印度,日本,菲律宾,新西兰和加利福尼亚等多个司法管辖区已经采用或正在考虑采用数据可移植性。包括英国和美国在内的其他司法管辖区也已实现了跨部门的数据可移植性:例如分别在金融和卫生部门。

讨论文件探讨了将数据可移植性引入新加坡市场的潜在影响,其中一些关键点如下:

  1. 对市场竞争的影响 arising from potentially lower switching costs 和 barriers to entry 和 expansion. 这是因为将减少为消费者移动数据所涉及的摩擦,从而降低了切换成本。转换成本的降低可以增强竞争并降低进入壁垒,因为消费者可以简单地以更合适或更具吸引力的价格转换到另一家供应商。
  2. 外部利益 因数据使用量增加而导致数据的可移植性导致个人向组织提供更多数据。讨论文件指出,这可能对医疗保健部门和某些金融应用(例如,更好的风险评估)以及运输和基础设施规划特别有益。
  3. 更高的生产力 从易于组合来自不同来源的数据中获得的信息可以降低生产支持数据的产品和服务的成本。
  4. 革新 从跨组织和行业的新方式合并数据,例如在组织提供补充产品和服务的集中和邻近市场中。也有人指出,随着时间的推移,“重组”创新可能会成为一项主要收益,因为它可以减少技术采用的转换成本并加快技术进步。

讨论文件还强调了与在新加坡实施数据可移植性有关的许多其他考虑因素,例如:

  • 应该明确定义限制,以向企业和消费者提供确定性。例如,需要明确要遵循数据可移植性要求的数据类型-数据是否包括电子和非电子数据,用户提供的,观察到的和派生的数据等,并且它们是否还超出个人范围?数据?
  • 与其他公司相比,某些公司的数据可移植性成本更高。因此,将需要通过 极简主义 threshold for volume of data together with a cap 上 the frequency of requests (among other things).
  • 应提供有关实现互操作性所需的数据格式规范和技术标准的更多详细信息。
  • 合规成本将需要进行检查。这些可能需要考虑组织的规模和其他相关问题,例如是否可以收取费用以及在什么情况下进行数据移植,如果可以,将如何评估这种费用的合理性。
  • 应该研究跨部门的用例,以了解可移植性如何在不同部门中产生收益。
  • 数据安全性是另一个相关的考虑因素。除其他因素外,对任何数据接收者的赔偿责任应有合理的限制,应在何时拒绝移植数据的要求提供指导,应遵守请求的时间范围,并规定监管机构有权审查是否违反这些要求。
  • 应该考虑消费者保护,包括诸如组织将被要求提供给消费者以使其能够行使其权利和保护其利益之类的信息之类的因素。

总而言之,数据可移植性必须在授予消费者对其数据的更大控制权与最小化企业相关成本(否则可以将其转嫁给消费者)之间取得平衡。讨论文件旨在为与新加坡引入数据可移植性相关的问题提供进一步的交流和未来磋商的框架。

励德史密斯律师事务所(Reed Smith LLP)被许可在新加坡从事外国法律业务,名称和样式为励德史密斯私人有限公司(以下简称“励德史密斯私人有限公司”),“Reed Smith”). Where advice 上 Singapore law is required, we will refer the matter to 和 work with 技术与法度’必要时,新加坡正式法律联盟的合伙人Resource 法 LLC。

Illinois Biometric Information 隐私Act violation does not require an allegation of actual harm

《伊利诺伊州生物识别信息隐私法》,第740页,ILCS 14/1等。 (BIPA)在全国州生物识别技术法规中脱颖而出,因为它包括针对因私人实体不遵守BIPA的合规要求而“受苦”的任何人的私人诉权。伊利诺伊州最高法院最近裁定,原告可能声称为“ BIPA”下的诉讼请求而“受害”,而没有指控任何“实际损害”。新的裁决可能会增加伊利诺伊州的集体诉讼案件,并导致受影响的组织重新审查其在收集和处理生物识别数据方面的做法。

To read more 上 the new Illinois Supreme Court Biometric Information 隐私Act ruling, click 这里.

No-deal Brexit: EU regulators issue data transfer guidance

2019年2月12日,欧洲数据保护委员会(EDPB)召开了第七届全体会议。您可以在整个会议期间查看我们的博客 这里.

在本届会议上,EDPB通过了两个信息说明。该信息说明在无交易退欧的情况下提供了有关数据保护问题的指南,即: 数据传输 通常和 binding corporate rules lead supervisory authorities (BCR主管)。

数据transfers in the event of a no-deal Brexit

The guidance is separated into three distinct sections.

Preparation for transfers of data from the EEA to the UK

EDP​​B规定了企业在脱欧之前应采取的五个步骤。将数据从欧洲经济区(EEA)传输到英国(UK)的企业应立即开始准备。为了准备,EDPB建议如下:

I. Identify the processing activities that require the transfer of personal data

II. Determine the data transfer mechanism that is most appropriate 上 the facts

III. Prepare the relevant transfer mechanism in advance of 30 2019年三月

IV. Indicate in internal documents that you will be transferring data to the UK

V. Update your 隐私 notices accordingly.

继续阅读

Draft amendments to China’s personal information standards proposed

中国国家信息安全标准化技术委员会于2019年2月1日发布了有关管理个人信息保护标准的修订草案(修正案),即《信息安全技术-个人信息安全规范》(该标准于2018年5月1日生效)。这些标准为解释《中国网络安全法》(CSL)提供了指导,并规定了在中国收集和处理个人信息的最佳做法。如果修正案获得通过,他们会将标准放在世界其他严格的隐私法规中,例如通用数据保护法规(GDPR)和加利福尼亚消费者隐私法案(CCPA)。

To read more 上 the issued draft Amendments, click 这里.

LexBlog