IAPP

威普爱生教育

当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >

你们的隐私声明还停留在 90 年代吗?

2024-02-29 14:45:14

浏览量:0


关注我们,学习更多隐私合规讯息

加利福尼亚州总检察长办公室本周宣布与DoorDash(一家外卖公司)达成隐私和解时,新闻稿因引用了一项加州旧法律而引起了人们的关注。

2003年的《加州在线隐私保护法》(California Online Privacy Protection Act),即《加州消费者隐私法》(CalOPPA),是当时的一项前沿法律,在很大程度上被现代数据隐私规则——即《加州消费者隐私法》——所掩盖。


那么,为什么这项已有数十年历史的法规是2024年执法行动的一部分呢?

随着美国各地新的州隐私法引发的持续骚动,人们很容易忘记数据隐私标准已经走了多远。不久前,有一段时间,即使是在网站上发布隐私声明的基本做法也是自愿的,而且没有那么复杂。

例如,1999年,谷歌的第一个公共隐私政策的总长度为609个单词,比今天的当前版本短了一个数量级,且不复杂,甚至比本专栏还短。

该公司46个版本的隐私政策的许多变化都是由于外部隐私政策的成熟,这是一种向用户提供有关公司做法的基本通知的方式,也是个人数据、在线广告和数字服务日益复杂的世界。

但谷歌隐私声明以及DoorDash和其他所有公共政策的很大一部分内容都是由明确的监管要求推动的。

在他们的历史上,面向外部的隐私政策很快就成为了与隐私监督机构沟通的工具。可以说,监管机构成为了越来越正式的隐私政策的主要受众,而围绕提供分层通知和隐私门户网站的单独做法也逐渐成熟,以使个人更好地了解自己的隐私。

CalOPPA之所以引人注目,是因为它是推动全球采用详细公共隐私政策的主要立法工具,至少在英语互联网上是如此。


为什么?简单地说,因为法律突然要求任何在加州拥有可访问网站的公司发布公共隐私政策,其中包括我们今天熟悉的关于收集、使用和共享个人数据的许多基线披露。不这样做直接违反了CalOPPA,也没有在其发布的通知中准确反映公司的隐私做法。

要求发布详细的隐私通知改变了游戏规则,不是因为它让消费者更加知情,而是因为它提供了监管机构可以通过《联邦贸易委员会法》等一般消费者保护法来执行隐私承诺。

《联邦贸易委员会法》第5条禁止伤害消费者的不公平和欺骗性行为。美国联邦贸易委员会证明网站运营商有欺骗性行为或做法的方法之一是证明运营商的隐私声明是虚假的、误导性的或不完整的。

如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核


在基本层面上,如果网站运营商在其隐私声明中声称其没有向第三方出售或共享个人信息,但实际上是这样做的,联邦贸易委员会可以起诉运营商欺骗消费者并违反《联邦贸易委员会法》第5条

简单的失实陈述甚至遗漏也可能违反第5条的欺骗规定。所有50个州都有类似的消费者保护法,统称为UDAP法规。

这条法律道路为美国前二十年的隐私执法奠定了基础。随着隐私实践的成熟,联邦贸易委员会也依赖于其他类型的欺骗,越来越多地依赖于不公平理论。

即使加利福尼亚州对其隐私法进行了现代化改造,CalOPPA仍然有效。当加利福尼亚州总检察长调查DoorDash的隐私行为,包括其涉嫌与营销合作社共享个人数据时,CalOPPA是该公司隐私通知中基本遗漏的相关钩子。

根据CCPA,DoorDash案件的主要结论是,将数据作为营销合作社的一部分被视为“销售”,因此必须与消费者选择退出的机会一起披露。

如何学习法律中的合规隐私技术?学习IAPP课程掌握隐私法律法规的实际应用和避免违规的技巧方式



在CalOPPA的领导下,如果您的公司与第三方共享个人数据,即使是作为集体安排的一部分,也必须在您的隐私声明中披露这一事实。

正如司法部长所声称的那样,在相关时间段内,该公司的隐私声明从未解释“其他企业——比如营销合作组织成员——可以联系DoorDash的客户,为他们的企业做广告。”

这个案例很好地提醒了人们隐私的基本知识,包括在撰写和审查隐私通知时“像监管机构一样思考”的基本教训。

重大遗漏不仅仅是CalOPPA等法律要求具体披露的问题。联邦贸易委员会提出了许多基于疏漏的隐私案件,包括Goldenshores手电筒应用程序案。

在人工智能时代,随着消费者披露信息赶上新的监管预期,更认真地思考实践和承诺之间的潜在差距是很重要的。

例如,谷歌最近对其公共隐私政策的一些更新与该公司将个人数据用于人工智能系统有关,该公司通过其透明度努力使其可读。

上个月,联邦贸易委员会就与个人和机密数据有关的虚假陈述和遗漏向人工智能开发者发出了明确警告。在谈到Everalbum案时,联邦贸易委员会煞费苦心地提到,“一家公司未能向客户披露的信息可能与其承诺的内容一样重要。

联邦贸易委员会可以也确实会对那些遗漏了会影响客户是否购买特定产品的重大事实的公司提起诉讼,例如,一家公司如何收集和使用来自客户的数据。”随着消费者越来越担心他们的数据被用于训练模型,以及其他可能的人工智能危害,需要更新披露信息。


我还在考虑以下问题

Signs point to… unfair surveillance advertising. 随着本周针对安全软件公司Avast的一项重大同意令,联邦贸易委员会正在继续证明,根据《联邦贸易委员会法》第5条,与消费者网络浏览行为有关的一些商业活动是不公平的。

这不仅应该引起个别公司的注意,尤其是当补救措施包括数据泄露和1650万美元的消费者赔偿金时,而且联邦贸易委员会预期的商业监控和数据安全NPRM可能会试图提出这样的论点,即类似的有害做法在市场上普遍存在,因此应该根据其即将出台的贸易监管规则完全禁止。

与Avast订单相关的是与通知、选择、数据保留以及在将跟踪数据出售给第三方之前正确聚合和取消识别相关的所谓失误。



儿童隐私保护即将发生哪些变化?除了围绕《儿童在线安全法》等联邦法案的喧嚣之外,联邦贸易委员会正在修订《儿童在线隐私保护法》的实施情况。



CIPP/US的IAPP Westin研究员Andrew Folks揭示了COPPA拟议更新中的重大收获。与此相关的是,我在最近的LinkedIn Live上与两位儿童隐私专家就同一主题进行了交谈。

一份关于人工智能治理最佳实践的新报告。信息政策领导力中心发布了一份基于对20家公司的定性采访的报告,将其人工智能治理计划与CIPL自己的问责框架进行了映射。该报告强调了人工智能治理的新趋势,这可以作为其他寻求推出稳健计划的组织的有用基准。

文章整理于iapp.org,由隐私合规交流圈 隐小私整理,转发请备注出处

*整理编辑:A隐小私(yinxiaosi00)


如何学习法律、IT、人力资源、销售和营销、采购、财务和信息安全?一起了解注册信息隐私专家IAPP CIPP!




注册信息隐私专家CIPP




基本概念:

注册信息隐私专家(CIPP)是首个信息隐私方面的认证资质,它将向世界展示你知道隐私法律和法规以及如何应用它们,并且你知道如何确保在信息经济中的地位。


因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/E(Europe)、CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/C(Canada)和CIPP/G(U.S. Government)注释2等4个子类。


注释2:由于考试人数少且政策变化大,IAPP在2018年9月30日暂停了CIPP/G认证。


学习内容


CIPP/E


  • Introduction to European Data Protection欧洲数据保护导论

  • European Regulatory Institutions欧洲监管机构

  • Legislative Framework立法框架

  • Compliance with European Data Protection Law and Regulation符合欧洲数据保护法律法规

  • International Data Transfers国际数据传输

CIPP/A


  • Fundamental Privacy Principles基本隐私原则

  • Singapore Privacy Laws and Practices新加坡隐私法律和实践

  • Hong Kong Privacy Laws and Practices香港私隐法和实践

  • India Privacy Law and Practices印度隐私法和实践

  • Common Themes Among Principle Frameworks原则框架中的共同主题


CIPP/US(U.S. private-sector)


  • Introduction to the U.S. Privacy Environment美国隐私环境简介

  • Limits on Private-sector Collection and Use of Data私营部门收集和使用数据的限制

  • Government and Court Access to Private-sector Information政府和法院对私人部门信息的访问

  • Workplace Privacy工作场所隐私

  • State Privacy Laws州隐私法

CIPP/C


  • Canadian Privacy Fundamentals加拿大隐私基础

  • The Canadian Government and Legal System加拿大政府与法律制度

  • Enforcement Agencies and Powers执法机构和权力

  • Canadian Privacy Laws and Practices in the Private Sector加拿大私营部门的隐私法律和实践

  • Canadian Privacy Laws and Practices in the Public Sector加拿大公共部门的隐私法律和实践


 适用群体:

CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员


更多课程在线听讲



更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00

-END-


年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享

热门资讯

作为一名合规律师,还有哪些含金量高的证书可以考?

CIPP是什么?企业DPO(数据合规官)为何必须要考取CIPP才能胜任?!

什么是合规性?不同的合规岗位的职责是什么?

国际三大隐私安全认证分别是哪些证书?我的专业可以考吗?

GDPR:什么是数据保护影响评估?DPIA 的 4 个基本部分

什么是数据合规性?分享12种经典数据法规原则及内容

红灯警告!法学生就业率年年下降,“五院四系”就业仅达20%,我们该何去何从?

恭喜你,终于成为一名CGSS国际制裁合规师!

CIPM+CIPP/E备考详解!我是如何轻松拿到双证的?!

律师有哪些高薪、高含金量证书安利?详解!

我适合报考IAPP吗?

预约回访
首页 威普网校 移动课堂 关于威普

CopyRight © 版权所有 深圳市威普爱生教育咨询有限公司

粤ICP备2020075194号