关于私人事务的公共评论:NTIA就GDPR,CCPA告知的保护消费者隐私的拟议方法收到了200多条评论& more

2018年11月13日,美国商务部国家电信和信息管理局(NTIA)发表了来自200多个政府,非营利,学术和私营部门组织的评论,内容涉及开发政府管理消费者隐私的方法。[1]

自9月以来,NTIA一直在征询公众意见,以专门解决一些问题,这些问题的重点是其提议的消费者隐私保护高级框架的结果,目标,风险和实施。政府当局的框架阐明了一系列组织惯例,这些惯例侧重于数据透明性,最小化收集,数据的存储,使用和共享,安全性和风险管理,此外还有更广泛的目标,以调和不同的监管修补程序并确保用于隐私保护和执行得到适当分配。如果其中一些概念听起来很熟悉,那是因为它们大致反映了在行业,州和国际各级建立的现有隐私框架的要素,这些框架的出处和仲裁人借此机会敦促政府进一步遵循这些示例。密切。作为行政部门主要负责法律事务的总统咨询机构,NTIA提出征求意见的目的是为政府提供有关消费者隐私的方法。因此,政府对收到的评论的考虑和反应可能会影响正在进行的有关联邦隐私立法的辩论中的未来讨论和提议。不出所料,许多评论是在最近相关法律变化的背景下制定的,尤其关注欧盟的《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法》(CCPA)。在这里,我们总结了NTIA收到的一些重要意见和建议。

继续阅读

新加坡数据保护委员会发布“即时热”披露个人数据的警告

On November 28, 2018, Singapore’s Personal 数据Protection Commission (佣金)发出其理由 决定 对大泡泡中心(被访者), a sole-proprietorship in the scuba-diving business.

事实 of the case were as follows:

  • 申诉人是为被调查人工作的个人,并声称他没有获得此类工作的工资。他辞职并决定购买一些他声称已付费的潜水设备。
  • 被申请人驳回了申诉人的主张,而是断言申诉人欠其参加被申请人为获得其PADI潜水大师证书而组织的潜水记录的钱。此外,它还声称申诉人窃取了其潜水设备以及被诉人的证件。
  • 投诉人反过来声称,被投诉人已向其一些客户发送了短信,以告知他们有关被投诉人对投诉人的指控。
  • 投诉人本人在Facebook上发表了一篇帖子,详细说明了受访者及其所有者的担忧。在同一篇文章中,他还警告其他潜水员不要加入受访者。
  • 受访者自己张贴了两个Facebook帖子,详细说明了申诉人欠其的款项,并在这些帖子中披露了以下个人数据:
    1. 投诉人的姓名,身份证号码,出生日期,护照号码和有效期,手机号码,电子邮件地址,居住地址;和
    2. the complainant’s female friend’s name 和 residential address, as well as the make of her car.

继续阅读

SEC settles two ICO enforcement actions

美国证券交易委员会(SEC)最近解决了两项基于出售未注册证券而进行的首次代币发行(ICO)执法行动。这两个和解协议,一个是与CarrierEQ Inc.(或AirFox)一起达成的,另一个是与Paragon Coin Inc.的达成和解,这是SEC首次对仅出于在ICO中提供数字代币的公司施加民事处罚。值得注意的是,和解表明SEC打算针对加密货币的卖方执行证券法,而不论卖方是否从事欺诈活动。要了解有关定居点的更多信息,请单击 这里.

European 数据Protection Board update

欧洲数据保护委员会(EDPB)于2018年11月16日举行了第四次全体会议。会议涵盖了许多讨论领域 议程.

EDP​​B发布了 新闻稿, highlighting the three main areas of discussion.

  1. EU-Japan draft adequacy 决定. EDP​​B讨论了决定决定草案,该决定草案于9月从VěraJourová专员那里收到。 EDP​​B致力于为从欧盟到日本的传输提供高水平的数据保护。
  2. The interplay between the General 数据Protection Regulation 和 the Clinical Trials Regulation. EDP​​B已同意就《 2017/679通用数据保护条例》(GDPR)与《临床试验条例》之间的相互作用提供指导。这将纳入欧盟委员会的草案 Clinical Trials Questions 和 Answers 指导。
  3. Guidelines 上 territorial scope. EDP​​B旨在提供对GDPR领土范围的通用解释,尤其是在欧盟以外建立了一方的情况下。 EDP​​B在9月通过了解决该问题的新准则草案,并在11月的会议上进行了进一步讨论。该准则是 已发表 by the EDPB 上 23 2018年11月.

The next plenary session is due to take place 上 4 和 5 2018年12月.

欧洲议会和欧盟理事会正式通过的非个人数据自由流通的监管框架

2017年9月,我们发布了一个博客,概述了委员会关于此主题的框架的提案(您可以查看我们的博客 这里)。 2018年6月,我们进一步报告说,欧洲议会,欧盟理事会和欧盟委员会已就非个人数据自由流通的规则达成了政治协议( 这里)。

立法过程现在又向前迈进了一步。 2018年10月4日,欧洲议会一读正式通过了欧盟委员会关于制定欧盟非个人数据自由流通框架法规的提案(该法规)。随后,2018年11月9日,理事会正式通过了该法规,而没有进一步的修改。

什么是非个人数据?

非个人数据实质上是与已识别或可识别的自然人无关的任何数据。该法规的文摘中列出了非个人数据的示例,其中包括用于大数据分析的汇总和匿名数据集,可以帮助监测和优化农药和水使用的精准农业数据以及有关工业机器的维护需求。

What is the purpose of the Regulation?

正如我们之前的博客所强调的那样,以前已经发现了许多障碍,这些障碍被认为阻碍了欧洲数字单一市场中数据的自由流通。该法规旨在通过专门解决这些障碍来确保欧盟内非个人数据的自由流通。

Key provisions of the Regulation

  • Free flow of data across borders: 该法规禁止数据本地化限制,从而允许组织将数据存储在欧盟的任何地方。会员国已指定时间限制,以公共安全为由向委员会通报任何剩余或计划中的数据本地化限制。
  • 数据availability for regulatory control: 该法规允许主管当局访问数据,以进行检查和监督控制,尽管这些数据是在欧盟存储和/或处理的。它还允许会员国制裁不提供访问另一个会员国中存储的数据的用户。
  • 数据的可移植性: 该法规鼓励为处理数据的服务提供商(例如,云服务提供商)制定行为准则,以便于以结构化和透明的方式在提供商之间进行切换。

下一步

该法规是根据欧盟的常规立法程序通过的’采用新立法的主要过程。该法规由欧洲议会和欧盟理事会签署并在 Official Journal of the European Union, it will become directly applicable in all Member States six months after publication.

German State Media Authorities issue new guidance paper 上 marking adverts 上 社交媒体

Recently, the German media regulators, the State Media Authorities (中世纪国土)发布了有关在社交媒体上标记广告的联合指导文件,该文件以德语提供 这里 (Leitfaden der Medienanstalten, Werbekennzeichnung bei Social Media-Angeboten; “指导文件”)。该指导文件取代了国家媒体管理局先前的常见问题解答。旨在帮助组织和个人遵守有关在社交媒体上标记广告和将广告与其他内容分开的适用法规,同时考虑到适用于不同媒体的不同法律制度:视频内容主要由德语覆盖州际广播条约(Rundfunkstaatsvertrag – RStV), posts containing text 和 pictures are subject to the provisions of the Federal Telemedia Act (Telemediengesetz – TMG)。

What content needs to be marked as an advert?

指导文件涉及不同类型的内容以及每种类型是否应作为广告的问题。国家媒体管理局的一般建议如下:

Advertising an organisation’s own products 和 services. 广告组织自己的产品,服务或品牌的组织的帖子/说明不承担任何特定的标记义务,只要广告发布者自己的产品和服务的组织可以为相关用户明确识别。国家媒体主管部门认为,这尤其适用于知名品牌的社交媒体渠道,网上商店或以其名称明确可识别为商业渠道的渠道。推广新专辑的艺术家或推广新电影的演员也是如此。如果无法为用户明确识别组织,则需要将内容标记为广告。

Affiliate links 和 other commercial links generally trigger a marking obligation, while linking friends to the organisation’s own products/brands/services shall not require a specific marking. 优惠码 shall trigger a marking obligation.

影响者。 如果有影响力的人士以现金或实物的形式接受任何形式的对价,以提及某些品牌,公司或公司集团,组织,产品,服务,地理区域或职位旅行,则将要求有影响力的人士将其职位标记为广告。只要与负责影响者职位中提到的产品和服务的组织没有合作,且这些职位是基于影响者自己的决定并且没有任何商业诱因的,则不需要任何特殊标记。

但是,在其他用户认为是影响者职位的目的是增加产品销售的情况下,即使在影响者与品牌所有者或组织之间不存在合同安排的情况下,这也可能触发影响者的标记义务。为了评估是否给出了这种情况,可以考虑某些标准,例如(i)某些产品和/或服务的评级非常正面,(ii)购买邀请,(iii)重复发布大约相同的产品和/或同一个品牌的服务,(iv)帖子与会员链接的组合,和/或(v)标明价格和购买来源。

值得注意的是,与德国法院所采取的方法相比,国家媒体管理局的方法似乎较为宽松:最近,几个德国法院裁定即使没有与之达成商业协议,也没有充分将其职位标记为广告的影响者。对其职位中提及的产品和/或服务负责的组织。

如何标记广告?
The 指导文件 contains a certain “advertising marking matrix” (Kennzeichnungs-Matrix; “矩阵”),概述了州媒体管理局关于如何正确标记广告的建议。针对(i)视频内容(YouTube,Facebook等),(ii)图片/文本(Instagram,Facebook,Twitter等)和(iii)博客分别给出建议。矩阵包含国家媒体管理局推荐的措辞,这些措辞可能会根据相关内容用于标记帖子。

值得注意的是,国家媒体机构认为仅使用YouTube和Facebook提供的促销信息披露工具不足以满足德国法律对将帖子正确标记为广告的要求。相反,国家媒体机构强调,这些工具可以用作正确标记广告的附加手段。

如果在德语频道上发布包含广告的帖子,则诸如“广告”,“赞助者”或“公关样本”之类的英语披露/标记是不够的。

结论

对于所有使用社交媒体作为营销活动一部分的市场参与者,该指导文件都是有用的资料。此外,德国法院很可能会考虑该指导文件。因此,即使其条款不具有法律约束力,也应仔细考虑。

Facebook粉丝页面上的更新:Facebook发布后,组织应该做什么?’s co-controller agreement?

在德国数据保护局(德国DPA)于2018年9月5日再次发表声明(声明以英语提供)之后 这里),指出Facebook提供的粉丝专页的操作是非法的,Facebook做出了“隔夜”的回应,并发布了共同控制协议,即“ Page Insights Controller附录”(Insights附录, 这里)。 In a 新闻稿 of 16 2018年11月 (Press Release, available in German 这里),柏林数据保护局(Berlin DPA)宣布,自11月初以来,它一直在审核有关Facebook粉丝页面使用情况的组织。在此博客中,我们提供有关组织下一步应该做什么的建议。

背景

On 5 2018年六月, the Court of Justice of the European Union (CJEU) handed down its judgment (Case C-210 / 16),认为Facebook上的粉丝专页的运营商与Facebook共同负责处理粉丝专页的访问者数据。仅仅一天后,德国DPA发布了有关判决结果的第一份声明,认为组织在Facebook上运行粉丝页面时不符合数据保护标准,这给德国和欧洲的营销人员带来了很多不确定性(更多背景信息) ,请查看我们以前的博客 How big is the risk to operate Facebook fan pages in Germany?)。 Three months then passed without Facebook providing any solution to the operators of fan pages.

继续阅读

ICO brings criminal prosecution for data misuse

The Information Commissioner’s Office (ICO) has 被起诉 根据1990年《计算机滥用法案》(CMA 1990)判处的个人有期徒刑六个月。这项起诉是ICO的首例。

事实

被告人是名叫穆斯塔法·卡西姆的人。 Kasim先生受雇于汽车维修行业,并曾使用同事的登录详细信息来访问软件系统。这样,Kasim先生就可以在未经许可的情况下访问客户的个人数据,例如客户的姓名,电话号码以及车辆和事故信息。 Kasim先生搬到其他组织后继续访问该软件。 继续阅读

ICC updates marketing 和 advertising code to account for the digital world

The International Chamber of Commerce (ICC) has revised its 行为守则 for advertising 和 marketing (the ICC code) to keep up with the “rapid evolution of technology 和 technologically-enhanced marketing communications 和 techniques”。

修订后的ICC准则考虑了新兴的数字营销和广告惯例,以便设定“gold standard for modern rule-making in our digital world”。

ICC代码

ICC代码是自我调节的框架,适用于全球广告和营销行业。

The basic principle of the ICC code is that all marketing communication should be “legal, honest, decent 和 truthful”。其他关键原则包括尊重人的尊严,保持透明,公平竞争,承担社会责任,使营销者的形象清晰可见,以及在针对18岁以下儿童和青少年进行交流时应格外小心。

什么是新的?

继续阅读

Guiding principles for AI development

来自世界各地的数据保护主管机构会议强调了人工智能和机器学习技术的发展 (AI) 作为一种可能影响全人类的全球现象。要求国际社会采取协调一致的努力,根据道德规范,人类价值观和对人类尊严的尊重,就人工智能的发展和使用制定共同的治理原则。

The 40th International Conference of 数据Protection 和 隐私Commissioners (conference) released a declaration 上 ethics 和 data protection in artificial intelligence (宣言)。会议认识到AI系统可能为用户和社会带来巨大利益,但同时指出AI系统通常依赖于处理大量个人数据来进行开发。此外,它指出,已发现一些用于训练AI系统的数据集包含固有偏差,从而导致做出不公平地歧视某些个人或群体的决策。

为了解决这个问题,该宣言赞同六项指导原则作为其核心价值,以在人工智能发展中维护人权。总之,指导原则规定: 继续阅读

LexBlog