Updates from the European 数据Protection Board

欧洲数据保护委员会(EDPB)于2019年2月12日举行了第七届全体会议。会议涵盖了许多讨论领域, 议程.

The four main areas covered, 和 highlighted in the EDPB’s 新闻稿,分别是:

1. 工作方案: EDP​​B通过了 两年工作计划涵盖2019-2020年。该工作计划是根据个人,利益相关者和欧盟立法者的优先需求而设计的。工作计划涵盖的活动示例包括:

一世。发布有关主题的指南,例如按设计保护数据以及默认情况下保护儿童数据和合法权益;

ii。就下文讨论的行政安排以及《 2016/679通用数据保护条例》(GDPR)与《电子隐私条例》之间的相互影响发表一致意见;

iii。其他活动以欧盟-美国为中心隐私盾,电子隐私法规和数据泄露通知;和

iv。普遍关注的主题包括非个人数据,区块链和人工智能等新技术的使用。 继续阅读

NERC执法行动为电气行业遵守关键基础设施保护可靠性标准提供了指导

2019年1月25日,一家据称违反关键基础设施保护(CIP)可靠性标准的公用事业公司与北美可靠性公司(NERC)之间达成了和解协议。通过此和解,NERC为电气行业提供了符合CIP可靠性标准的指南。严厉的处罚应促使公司对网络安全风险进行教育,并分配必要的资源以实施符合CIP可靠性标准和其他合规性义务的网络安全计划。

To read the full article, click 这里.

Risks 和 considerations when storing crypto-assets

在其联合创始人兼首席执行官Gerald Cotten于2018年12月突然去世后,加拿大最大的加密货币交易所Quadriga无法获得约1.45亿加元的比特币和其他数字资产。 四重奏报告称,Cotton将数字资产存储在他的加密笔记本电脑上的“冷钱包”中,事实证明,他的遗ow多次尝试访问笔记本电脑均未成功。

四重奏被迫停止在​​其平台上进行交易,这影响了其服务客户的能力。该公司正试图根据加拿大《公司债权人安排法》获得一项债权人保护令,以为其提供解决此问题的机会。

To review the full article 上 our 金融科技更新 blog, click 这里.

President prioritizes research, development, 和 deployment of artificial intelligence technology

总统将人工智能技术作为政策重点。 2019年2月11日,总统发布了 行政命令 指示大多数联邦行政机构在与私营企业合作时促进和保护美国在人工智能方面的进步。该命令承认公众对人工智能的信任是技术开发和使用的重要因素,并强调了“在应用中保护公民自由,隐私和美国价值观,以便充分发挥AI技术对美国人民的潜力。”

具体来说,总统命令各机构考虑将人工智能作为研究和开发的重点,

  • Invest in artificial intelligence (for example, machine learning) 研究and development.
  • 增强对数据,模型,算法和计算资源的访问,以促进人工智能的研究与开发(符合维护安全性,保密性,隐私性和机密性的义务)。
  • Reduce barriers to the use of artificial intelligence (for example, machine learning) technologies.
  • 帮助制定技术标准以最大程度地减少对攻击和攻击的脆弱性“反映联邦政府对使用AI技术的系统进行创新,公众信任和公众信任的优先事项。”
  • Train a workforce that can develop 和 take advantage of developments in artificial intelligence.
  • 制定行动计划,以“保护美国在AI和技术方面的优势,这对战略竞争对手和外国对手而言对美国的经济和国家安全利益至关重要。”

继续阅读

马萨诸塞州引入了全面的数据隐私立法,其中包括无需证明损害的私人诉讼权

Massachusetts state Senator Cynthia Creem has introduced a consumer data 隐私 bill, SD 341,如果他们的个人信息或生物特征数据收集或分发不当或任何其他可能违反新法律的行为,马萨诸塞州消费者将有权提起诉讼。根据SD 341,并且类似于伊利诺伊州的《生物识别信息隐私法》(BIPA),可能不需要消费者证明或遭受金钱或财产损失,才能就所谓的侵权行为寻求赔偿。任何违反拟议新法律的行为都可能成为采取有效私人行动的依据。

拟议中的法案是最新的信号,表明州立法机构将越来越积极地规范数据保护问题。加利福尼亚州的新加利福尼亚消费者隐私法案(CCPA)被认为是对隐私相关法规的扩展,超越了任何现有的联邦或州法律。尽管CCPA直到2020年1月才生效,但企业正忙于执行合规政策和程序,包括现在制定计划以确保他们能够充分,准确地回应消费者对他们可能在加利福尼亚拥有的个人信息的类型和性质的要求。居民。马萨诸塞州的法案似乎具有与CCPA相同的许多特征,但其私人诉权的规定将为原告的律师资格带来福音。就像伊利诺伊州的BIPA和《电话消费者保护法》(TCPA)一样,它们催生了数十起集体诉讼,SD 341也不需要提供实际损害证明。它指出:“违反本章实际上将对遭受违反的消费者构成伤害,并且消费者无需因违反而遭受金钱或财产损失,以便提起诉讼。违反了本章。”胜诉的原告可以收取“每次消费者事故”或实际损失中的$ 750,以较高者为准,还可以收取律师费。

继续阅读

The interplay between the Clinical Trials Regulation 和 the GDPR

The European 数据Protection Board (EDPB) recently adopted its 意见 关于临床试验法规536/2014(CTR)与通用数据保护法规2016/679(GDPR)之间相互作用的意见(意见)。该意见是应欧洲委员会的要求给出的。

CTR寻求统一整个欧盟进行临床试验的规则,而要求发表意见的请求源于对这两项欧盟法规之间至关重要的相互作用的认可。 EDP​​B明确指出,不能将CTR用作遵守GDPR的豁免,从而强调了这种相互影响。

The 意见 distinguishes between the primary use of data 和 the secondary use of data in clinical trials.

继续阅读

German supervisory authority audited 40 网站s 上 the use of 追踪 tools – 和 none of them was compliant

巴伐利亚州数据保护局(Bavarian DPA)审核了巴伐利亚州主要网站在“互联网安全日”上使用跟踪工具的情况。它称其发现“desolate”。没有一个跟踪工具以合规的方式实现。

Audit by the Bavarian DPA

自去年春天以来,跟踪和使用cookie的要求一直是欧盟数据保护机构的一个高度争论的话题。德国数据保护局会议于2018年4月26日发布了立场文件,指出对cookie进行跟踪和分析需要选择加入同意(``立场文件'';请在我们的博客中阅读立场文件中的更多内容) 这里 和 find more background 上 cookies under GDPR in the German-language videos 这里)。

The Bavarian DPA audited 40 Bavarian 网站s. In a summary report (‘Summary Report’, available 这里),巴伐利亚DPA表示,所有经过审核的网站都使用了第三方跟踪工具,但并未按照数据保护法进行实施。测试的网站涉及以下行业:在线商店,体育,保险,银行,媒体,汽车和房屋。

The Bavarian DPA emphasised its audit 上 transparency 和 consent.

继续阅读

Notable challenges from the updated Massachusetts data breach notification law

现有的马萨诸塞州数据泄露通知法规的更新(定于2019年4月11日生效)引入了向受影响个人和监管机构发出通知的新要求,并要求在某些情况下至少提供18个月的信用监控服务。立法对法规进行了许多细节上的更新,但我们在此重点关注最引人注目的新要求。

重要更新

Notices to affected individuals。如果在初始通知后,组织发现更新或更正此类通知中要求的信息的信息,则更新后的法规可能要求组织向受影响的个人提供多个(即重复)通知。其他违规通知法,例如欧盟的《通用数据保护条例》和加拿大的违规通知法,可能会迫使组织持续承担向违规者通知违规的最新信息的义务,但是马萨诸塞州的法规可能会将同一义务应用于个人通知。该法规还规定了通知必须包含的其他内容类别。

继续阅读

Electric industry should focus efforts in 2019 to meet additional cybersecurity 和 supply chain requirements

在2018年末,联邦能源管理委员会(FERC)发布了最终规则,对关键基础设施保护(CIP)可靠性标准进行了更新和补充,旨在帮助保护北美的大电网(BES)免受网络安全风险的影响。最终规则:

  • Creates a new Supply Chain Risk Management Reliability Standard (CIP-013-1)
  • Updates the Electronic Security Perimeter(s) Reliability Standard (CIP-005-6)
  • Updates the Configuration Change Management 和 Vulnerability Assessments Reliability Standard (CIP-010-3)

遵守可靠性标准的组织必须在2020年7月1日之前制定和实施必要的政策,程序和系统,以履行这些新义务。

To read the full article, click 这里.

Free flowing data for 127 million people: Japan 和 the EU break down personal data transfer barriers

On 23 一月2019, the European Commission adopted an 充分性决定 对于日本,立即生效。该决定证明日本具有与欧盟相当的数据保护水平。

同一天,日本就欧盟的数据保护制度通过了同样的决定。这是相互认可数据保护水平适当的第一个示例。

根据 欧洲司法,消费者与性别平等专员维拉·朱罗瓦(VěraJourová)的相互充分性发现创造了“世界上最大的安全数据传输领域”。现在,数据可以在欧盟和日本之间自由流动,而无需进一步的保护措施或授权。 Jourová女士认为该决定为“在这一关键领域建立未来合作伙伴关系的典范”和制定“全球标准”提供了依据。

充分性决定

In order to align itself with EU standards, Japan introduced a number of additional safeguards. These include:

  1. 补充规则由日本独立数据保护机构个人信息保护委员会(PPC)采纳。这些规则通过提供更高级别的个人权利保护来弥合两种数据保护制度之间的差异。该规则对根据适当性决定接收欧盟数据的日本公司具有约束力,并且可以由PPC和日本法院执行。
  2. Safeguards for public authority access to personal data. 就有关日本公共当局出于刑事执法和国家安全目的访问个人数据的保障措施,向欧盟委员会提供了保证。这种访问仅限于必要且相称的情况。
  3. 投诉机制。 PPC将管理和监督一种新的机制,以调查和解决欧洲人对日本公共当局访问其数据的投诉。

评论

日本的充分性决定是对《欧日经济伙伴协定》的补充,该协定将通过促进商业往来而于2019年2月生效。这表明国际贸易与个人数据保护之间有着明确的关系,同时也承认关于每个问题的对话必须保持分开。

足够的决定将在两年后由欧盟委员会进行审查。此后,将每四年进行一次审核。

LexBlog