当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
2024-04-08 11:29:36
浏览量:0
关注我们,学习更多隐私合规讯息
华盛顿州的《我的健康我的数据法案》和内华达州的参议院第370号法案于3月31日生效,促使收集这些法律广义定义的“消费者健康数据”的实体通过新的视角评估其数据收集、使用和共享。
这些法律产生了一项独特的要求,要求实体分析其健康数据收集、使用和共享的哪些要素对于提供消费者要求的产品或服务是“必要的”。
根据MHMDA和SB 370,包括营利性和非营利组织在内的各种规模的实体,可以在未经其明确同意的情况下,出于满足消费者要求的“必要”目的收集(定义为包括“以任何方式处理”)并共享消费者健康数据。
这两项法律都没有定义数据收集或使用是满足消费者要求的“必要”。组织必须评估何时需要收集和共享健康数据以满足消费者的要求,并在不需要的情况下寻求同意。
为此,各组织应:确定哪些数据集构成法律规定的消费者健康数据,以及哪些系统处理这些数据;实施标准决策框架或评估流程,以评估其业务活动的“必要性”;尽量减少消费者健康数据的数据收集和推断;并随着司法部长和法院对这一例外情况的解释的指导和执行活动的发展而保持灵活性。
学习“互联网+医疗健康”安全知识,了解CIPT课程,学习信息技术、信息安全、软件工程、隐私设计等。
评估必要性的考虑因素
在评估必要性时,实体应建立一致的决策框架或评估流程,以评估特定的收集或处理活动是否对其运营和提供服务至关重要,是否是普通用户根据其服务知识和经验合理预期的必要活动。
这种善意的、针对具体情况的调查应考虑提供服务所必需的数据收集和使用——您的组织无法正常运作的数据活动,如为财务审计、产品交付或账户验证处理的数据——以及为提供消费者寻求的产品而合理必要的数据活动——如为产品改进或提供网站预期个性化处理的数据。
以下是此类调查应解决的一些因素。请注意,虽然本指南基于法院或监管机构可能考虑的常识性方法,但它并非直接来源于法规,也不是绝对的。
1.消费者健康数据是产品或服务的核心吗?
组织应评估消费者健康数据的特定使用或传输是否是个人寻求和/或购买的服务的运营、维护和提供的核心。如果非消费者健康数据可以用于实现相同的产品或服务目标,则不太可能有必要使用消费者健康数据,实体应考虑哪些其他数据(如果有的话)可以实现相同的目的。
2.一个理性的人会假设或期望他们的
数据在探索、注册或购买服务时会被使用吗?
实体应审查和评估消费者的反馈和品牌,以尽可能准确地确定普通消费者在访问其网站或使用其应用程序时寻求的产品或服务。
如果适用,组织应考虑与“令人惊讶”的数据使用相关的任何消费者反馈,以及关于哪些产品和服务最受欢迎的任何内部研究,并记录这一分析。
组织可以利用审查中的经验来评估合理的消费者在与品牌、网站或产品互动时的期望。
消费者可能会合理地期望他们的数据得到更广泛的使用——比如更多或不同类型的个性化——他们使用和参与的服务越多。
消费者首次登录网站时的期望与使用服务数年或在使用服务时登录帐户的客户的期望不同。
同样,与关注特定服务或条件的页面和/或服务相比,可以从多服务网页和/或业务中评估的消费者期望更少。
同样,更难评估消费者的意图,或者消费者在具有几种不同服务和信息的网站或页面上寻求哪些服务。
3.收集或共享有争议的消费者健康数据
的危害风险是多少?
各实体应注意,与性活动、性别认同、生殖健康、心理健康或其他被广泛认为高度敏感的健康状况有关的数据更有可能使人们受到歧视、污名化、精神痛苦或其他严重伤害。
MHMDA和SB 370是为了解决此类危害而明确起草和通过的,各实体应保守地收集和共享此类数据。
没有一种适用于基于目的的数据最小化的一刀切方法
将数据收集限制在满足消费者要求所需的范围内,会产生一种特定的、上下文相关的数据最小化范式,该范式会因消费者健康技术的目的和前景而异。
一刀切的数据最小化方法可能无效,因为“必要”的数据可能会因不同技术和商业策略的功能和目标而异。公司应考虑以下数据最小化方法:
1.数据点多样性和数据量。
在评估其数据处理时,实体应考虑其从数据点(例如高度和重量)收集的数据,以及从数据点收集的数据量——随着时间的推移,许多高度权重条目。
根据法律,未经同意处理的每个数据点都必须满足消费者的要求,收集的总数据量也是如此。
在数据随着时间的推移而不断收集的情况下,缩短数据保留时间表可能特别有用,例如与活动水平相关的心率,但其对网站或服务使用的效用可能会减弱或有所不同。
2.推断和后续数据。
MHMDA和SB 370都将“收集”定义为包括“推断”。实体可以根据计算字段创建健康推断,如根据身高和体重计算的体重指数,以及通过组合两个或多个数据集。
复杂的系统经常在大的体积和规模上自动生成这样的推断。减少消费者健康数据使用的一种方法是尽可能对这些推断持批评态度。
实体应以与最初收集的数据相同的重视程度评估其所做的推断,并应注意消费者健康数据的推断可能来自非健康数据。
结论
MHMDA和SB 370要求实体仔细评估他们如何收集和共享消费者健康数据,以及这种收集和共享是否“必要”。
我们建议各组织制定一个标准决策框架,以评估数据收集或共享的实例是否可能符合这些法律规定的“必要”条件。
扫码即可立即学习
电脑端观看:http://navo.top/eQvUfi
不直接为用户服务的目的,例如广告,不太可能被认为是必要的。产品开发或改进等目的可能属于灰色地带,需要在未经同意的情况下进行以用户为中心的强有力的数据收集推理。
同样,如前所述,监管机构和法院在评估收集和使用某些类别的消费者健康数据是否有必要满足消费者的隐私风险要求时,可能会对这些数据进行更严格的审查。
因此,如果实体选择获取或推断此类消费者健康数据,则在管理与这些类别相关的用户输入、收集可能揭示这些类别中状态的数据,以及进行推断以揭示有关这些类别的信息时应谨慎,这些信息可以“与消费者链接或合理链接”。
随着司法部长和法院对MHMDA和SB 370的解释的发展,确定数据收集是否“必要”的其他因素可能会通过具体的用例来说明。
此外,各组织应对进一步的指导和执法活动保持警惕,并继续仔细审查消费者健康数据的收集,特别是与性健康和生殖健康、性别认同、心理健康和其他敏感健康状况有关的数据,这些数据是制定MHMDA和SB 370的优先事项。
作者要感谢Taylor Widawski、CIPP/E、CIPP/US、Mike Hintze、CIPP/C、CIPP/E.、CIPP/G、CIPP/US.、CIPM、CIPT、FIP和Amie Stepanovich对本文思路的宝贵贡献。
文章整理于iapp.org,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
最新直播预约
分享内容:
IAPP协会及旗下证书介绍
我为什么选择CIPM&CIPPE,FIP又是什么?
我做DPO数据保护官的这几年
浅谈AI(人工智能)技术对数据合规的影响
特邀嘉宾: WEI
超十年数据合规工作经验
CIPM/CIPPE持证者
Fellow of Information Privacy(FIP)
直播时间:
北京时间:4月11日(周四)下午19:30-21:00
直播间福利:
最低至8折优惠
法律、合规类课程全套考试备考指南
预约前10名可获涉外法律英语免费体验课程,还可享受旗下指定指定课程套餐
更多神秘大礼包,请添加:隐小私(yinxiaosi00),立即激活!
扫码预约直播
电脑端观看:http://navo.top/eQvUfi
更多课程/直播疑惑,扫描下方二维码解答 或+yinxiaosi00
文章整理于harperjames.co.uk,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
往期直播回顾
扫码即可立即学习
电脑端观看:http://navo.top/VRru6z
扫码即可立即学习
电脑端观看:http://navo.top/yYJRFn
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享