- 博客(49)
- 收藏
- 关注
RSS订阅转载 数据合规法律动态月汇总-2024年4月篇
为集中整治人民群众反映强烈的违法信息外链问题,中央网信办4月28日印发通知,在全国范围内部署开展为期两个月的“清朗·打击违法信息外链”专项行动,聚焦违法信息外链问题易发多发的8个重点环节(账号环节,评论环节,群圈环节,直播、短视频环节,生活服务环节,浏览器、搜索引擎环节,电商环节,涉未成年人板块环节)开展整治。4月2日,为促进生成式人工智能服务创新发展和规范应用,网信部门会同相关部门按照《生成式人工智能服务管理暂行办法》要求,有序开展生成式人工智能服务备案工作,将已备案信息予以公告。
2024-05-14 10:33:57
215
原创 最新处罚:AEPD 因安全措施不足对 CaixaBank 罚款 500 万欧元
2023 年 10 月 26 日,西班牙数据保护机构 (AEPD) 在第 PS/00020/2023 号诉讼中公布了其决定,对 CaixaBank SA (CaixaBank) 处以 500 万欧元罚款,原因是其违反《通用数据保护条例》(GDPR)。
2024-03-01 17:20:28
436
原创 企业出海数据合规:假名化与匿名化之辨
尽管假名化可以降低个人数据的风险,并采取了措施来使个人身份不易识别,但它仍然被视为个人数据的一种处理方式。以这样的方式处理个人数据,使得个人数据在没有使用附加信息的情况下不能被归属于特定数据主体,前提是这种附加信息被单独保留,并且受到技术和组织措施的约束,以确保个人数据不能被归属于已确定或可识别的自然人。例如英国《通用数据保护条例》Recital 26指出:“经过假名化处理的个人数据,如果可以通过附加信息识别到某个具体的自然人,则应被视为可是别自然人的信息。假名化可以比匿名化更大程度地提高数据的实用性。
2024-02-26 10:30:05
504
原创 企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
2024-02-05 17:47:16
1469
原创 最新处罚:荷兰AP对Uber因未能透明地处理司机数据而罚款1000万欧元
荷兰数据保护当局(AP)认定Uber违反GDPR,包括访问权不易行使、信息不清晰、数据保留期限未明确说明、隐私政策不足以保障数据主体权利等。AP决定对Uber处以1000万欧元罚款。
2024-02-05 17:44:43
439
原创 企业出海数据合规:GDPR下数据出境的条件
GDPR对数据出境有严格规定,包括充分决定、采取适当保障措施和减损条款。中国企业需满足这些条件才能合规传输数据。建议企业订立BCRs和SCC,并考虑国内法律,以避免潜在冲突。
2024-01-26 11:11:26
1310
原创 最新处罚:CNIL因非法使用Cookies对雅虎处以1000万欧元罚款
2024年1月18日,CNIL(法国数据保护机构)于2023年12月29日发布了第SAN-2023-024号决定,对Yahoo EMEA Limited(雅虎)处以1000万欧元的罚款,因违反1978年1月6日颁布的有关数据处理、数据档案和个人自由的第78-17号法案(经修订以执行GDPR),该决定是针对个体投诉做出的。此外,CNIL概述了其具有领土司法管辖权,因为在使用雅虎网站(Yahoo.com)和雅虎邮箱(Yahoo Mail)时涉及影响居住在法国的用户的操作,这些操作是雅虎在法国的范围内进行的。
2024-01-23 18:21:42
935
原创 企业出海合规:如何区分数据控制者与数据处理者
数据控制者是确定个人数据处理目的和方式的实体,负有最大责任,需保护数据主体的隐私。数据处理者是按照控制者指示处理个人数据的实体,负责数据安全和协助控制者履行职责。两者需通过明确的合同规定责任。数据控制者的职责包括确定目的、获得同意、确保安全、提供透明度、促进权利行使、进行DPIA和建立协议。数据处理者负责按指示处理数据、确保安全和保密、协助控制者、处理数据泄露通知、数据删除和遵守法律。
2024-01-11 18:50:45
1140
原创 企业出海数据合规:GDPR中的个人数据与非个人数据之区分
GDPR仅适用于个人数据,这意味着非个人数据不在其适用范围内。因此,个人数据的定义是一个至关重要的因素,因为它决定了处理数据的实体是否要遵守该法规对数据控制者规定的各种义务。尽管如此,什么是个人数据仍然是当前数据保护制度中引起争议的主要焦点问题之一。GDPR Recital 26条采取了一种二元分法,区分个人数据和非个人数据,并只将前者纳入其适用范围。但实际生活中,数据的划分并不是静态地存在于两者之间的,对于个人数据在何种情况下通过一系列操作成为匿名数据仍存在争议。
2024-01-05 14:58:12
1771
原创 新EDPB指南:不只是Cookie
EDPB发布Guidelines 2/2023,拓展e-Privacy规则适用范围至各用户跟踪技术,不仅限于Cookie。指南要求提供明确信息,用户有权拒绝处理。适用范围宽泛,包括IP跟踪、本地处理等。公众可在2023年12月28日前提出意见。企业或面临用户同意挑战,用户可能感到“同意疲劳”。
2023-12-27 15:24:27
1451
原创 企业出海数据合规:“躲不了”的GDPR域外管辖
GDPR通过"设立机构标准"和"目标指向标准"拓展了数据管辖范围。"设立机构标准"适用于在欧盟境内设有机构的数据控制者和处理者,要求建立真实有效的联系。"目标指向标准"则适用于在欧盟外提供商品或服务、监控欧盟内数据主体行为的数据处理者。这强化了对数据控制者和处理者的管辖,扩大了在欧盟领域外的数据活动的监管范围。案例中TikTok因GDPR违规受罚,突显了欧盟对全球企业的数据保护要求。
2023-12-19 14:22:50
488
原创 企业出海如何做好网站Cookie合规
确保企业出海网站合规,理解Cookie在用户登录和个性化体验中的关键作用。通过Cookie携带用户信息,实现免登录和个性化服务。GDPR对Cookie使用提出限制,要求用户同意原则。第三方Cookie用于广告追踪,涉及用户画像。GDPR规定了同意条件和操作方法,企业需采用合规的交互设计。九智汇提供的Cookie自动化同意管理系统帮助企业统一管理多地网站Cookie,满足监管合规。
2023-12-15 09:35:40
983
原创 智能网联汽车行业数据合规解决方案(下)
智能网联汽车行业数据合规解决方案包括数据分类分级、隐私合规管理、个人主体权利保障、视频图像匿名化处理等技术手段,旨在遵守相关法规,保护用户隐私,提高数据处理效率。
2023-12-08 15:11:24
1011
原创 EDPB-关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南2.0版(全文翻译)
2021年3月9日,欧盟数据保护委员会发布了《关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南》2.0版,旨在指导行业参与者合法合规地处理个人数据,保护数据主体的隐私权和其他权利。指南提到,在处理个人数据时,行业参与者应考虑数据类别、处理目的、相关性、默认设计、信息告知、保障权利、法律依据、技术组织措施以及遵守数据保护影响评估要求等方面。同时,指南还提供了五个案例研究以阐述如何合法合规地处理相关个人数据。
2023-12-05 16:21:05
1056
原创 企业出海数据合规:GDPR和CCPA差异知多少
GDPR和CCPA在地域管辖、跨境传输活动的管控、针对儿童个人信息处理活动的规制以及数据主体反对数据处理的权利等方面存在差异。GDPR管辖范围更广,更注重保护用户数据,而CCPA更侧重于促进数据的流动和经济价值。在跨境传输方面,GDPR有严格的限制,而CCPA没有明确规定。
2023-12-01 16:35:59
1140
原创 企业出海数据合规:CCPA与CPRA的关系
CPRA在其敏感个人信息规定中没有包括工会成员资格,但它包括了GDPR涵盖的所有其他类别,以及额外的类别,如政府颁发的标识符、财务账户信息、消费者通信和精确地理位置信息。——CCPA和CPRA的区别在于,一方面CCPA适用于收集50,000名以上消费者个人信息的组织,而CPRA适用于收集100,000名以上消费者数据的组织。——第1798.105条包含删除权的关键条款,在保留CCPA建立的基本框架不变的情况下,CPRA为消费者提供了要求企业“删除企业从消费者那里收集的有关消费者的任何个人信息”的权利。
2023-11-28 13:00:00
1098
原创 企业出海数据合规:选择加入和选择退出
选择退出意味着用户的个人数据可以随时由任何人以任何方式收集,并且可以自由处理,直到公司将对个人数据进行某些特定的处理行为,并将此行为告知用户,用户出于对自身利益的保护或其他考虑,可以要求公司停止其数据处理行为。欧盟《通用数据保护条例)(GDPR)、巴西LGDP、泰国PDPA以及许多其他遵循GDPR立法模式的国家都采取这种选择加入的方式来对个人数据进行保护,且都强调同意要具体,即必须针对特定目的给予同意,处理个人数据的一般授权应被视为无效。二是用户之前选择退出了,后又想要选择加入,此时需要用户明确同意。
2023-11-27 11:01:33
893
原创 智能网联汽车行业数据合规解决方案(上)
近年来,汽车企业和互联网企业蓬勃发展,加速了车联网、自动驾驶、互联网地图、智能交通技术的升级与革新,世界各国家地区政府对智能网联汽车的大力支持和消费者对出行方式的需求转变,推动了智能网联汽车的研发、生产与普及,商用场景正在不断增加。数据是驱动智能网联汽车发展的重要资产,合理的数据分类分级是妥善管理数据的基础,也是海量数据处理的基础。在此过程中,保证数据的机密性、完整性及可用性,满足安全合规要求的同时,还应特别关注其中涉及不同类别、不同级别数据处理的特殊要求,如重要数据、个人隐私数据等。
2023-11-17 16:22:31
428
原创 GDPR开发者指南
在说明中也提到了这个指南中的优秀实践并非旨在涵盖法规的所有要求,它们提供了一级指引,以考虑IT开发中的隐私保护问题,可以应用于所有数据处理项目。你必须给他们有效行使权利的手段,并在你的计算机系统中提供技术工具,使他们的权利得到适当考虑,做好DSR。《通用数据保护条例》的透明度原则要求,与个人数据处理有关的任何信息或通信都应简洁、透明、可理解,并易于用简单明了的语言获取。一旦收集了个人数据,就要考虑自动化删除机制。设计好应用架构,强调了服务器所在地的选取,考虑跨境传输的合规风险,做好RoPA。
2023-11-14 14:14:03
130
原创 深度分析:EDPB关于GDPR下行政罚款计算的指南V2.1
有效性:能够实现惩戒违规和确保遵守数据保护规则的目的;成比例性:罚款数额应与违规行为的严重程度成比例,也应考虑企业规模;威慑性:罚款数额需要起到阻止未来同类违规的威慑作用。如果认为不足以有效,可以增加罚款数额;如果认为不成比例,可以相应减少罚款数额;如果认为不具有足够威慑力,也可以增加罚款以强化威慑。但调整后罚款数额不得超过法定最大限额。通过此项最后评估,指南确保罚款决定能够在保证法律限制的前提下,充分满足GDPR对罚款数额的有效性、成比例性和威慑性要求,这一设计符合GDPR的精神。
2023-11-14 11:18:19
116
原创 深度分析:EDPB跨境数据合规指南-BCRs认证
认证通过之后,企业即可按照申请中约定的框架,进行跨国的数据传输,而不需要在多个关联实体之间签订SCC。在中国企业的出海国际化浪潮中,如何保证出海业务的数据合规性,一直是大家非常关注的问题,今天用九智汇给大家带来了在欧盟地区开展业务的情况下,可以被企业选择采用的一种有力的数据合规工具——BCRs认证。LA并不会完全基于企业提交的申请单来进行审核,而是会主动进行意见修改与批注,同时LA会对申请单所涉及的其他关联企业(申请单中提及到的其他关联企业实体,例如集团子公司)进行联合访问。
2023-11-07 15:05:18
402
原创 关于个人信息权利与响应,你知道多少?
部分网友对此可能略知一二,还有部分网友对此可能一无所知,我们先来看看欧洲相关法律的几个关键词:DSAR、DSRDSAR:Data Subject Access Request,即数据主体访问请求,是一种特定类型的数据主体请求,通用的说法即访问权,GDPR第15条对其做了更具体、更精确的规定。DSR:Data Subject Request,即数据主体请求,GDPR中规定的数据主体请求权利包括知情权、访问权、更正权、反对权、与自动化决策有关的权利、被遗忘权(又称“删除权”)、可携权和限制处理权。
2023-11-02 14:41:45
141
原创 第三方SDK合规浅析
此次事件是由于 Zoom App 内嵌的 Facebook SDK 在用户不知情的情况下向 Facebook 传输用户的手机型号、城市、广告唯一标识符、IP 地址等用户个人信息,Zoom App 在隐私政策内容中并未明确向用户描述这一操作,仅提及“当用户使用脸书帐号登录时,将会收集用户脸书帐号的个人资料”,这个案例属于比较典型的违规收集个人信息,违背了公开透明原则,隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容;最小化收集,避免超范围收集用户个人信息、高频采集用户个人信息。
2023-10-31 15:25:29
147
原创 最新!H&M因隐私问题遭到瑞典IMY处罚
2023年10月17号,瑞典IMY(隐私保护局)对H&M公司处以350,000瑞典克朗的行政罚款,原因是用户投诉反对接收H&M的营销,但H&M依然通过处理用户个人数据对其进行营销,且该公司没有提供便捷的渠道来满足用户行使反对个人数据被用于直接营销的权利。:如果处理个人数据的目的是直接营销,数据主体应有权在任何时候反对处理与其本人有关的个人数据来进行营销,包括在与这种直接营销有关范围内进行的分析;:组织在收集个人数据时必须提供清晰明确的告知信息,明确说明数据将被用于直接营销目的;
2023-10-31 10:18:16
51
原创 这家母公司位于中国的企业因数据问题遭到处罚!
CNIL调查指出,该公司保留了从事空运工作的雇员的犯罪记录的摘录,尽管这些雇员在行政调查后已经被有关当局清除。2023年9月18号,CNIL(法国国家信息和自由委员会)对SAF LOGISTICS公司处以20万欧元的罚款,原因是该公司过度收集员工的隐私数据。通过让员工填写表格,该公司收集了大量有关员工家庭成员的信息,包括他们的身份、联系方式、职位、雇主和婚姻状况。当CNIL要求该公司提供中文表格的翻译时,其给出了不完整的翻译内容,其中缺少有关种族和政治派别的字段。
2023-10-31 09:59:27
80
原创 TikTok被罚3.5亿欧元,你应该知道以下几点
这里我们不去关注争议点,来看看处罚的合规点,上面提到了TikTok的违规点,GDPR Articles 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1) ,25(2) and Article 5(1)(a),这里面Articles 5讲的都是处理个人信息的原则,Artices 12、Artices 13讲的是主体权利,Artices 24讲的是数据控制者责任,Artices 25讲的是PbD,这些仅是处罚引用的条款,我们从报告中可以看进一步的说明。
2023-10-30 17:28:31
100
原创 数据分类分级-隐私管理与保护
首先,在梳理数据处理活动时,我们以数据流向绘制工具辅助生成可视化的数据流向图,在涉及数据收集、使用、存储、访问、公开、删除、传输等数据处理的过程时,我们可直接引用来自数据分类分级模板中的标识信息,在PIA评估问卷的填写中,涉及到个人信息的相关问题,亦可直接引用来自数据分类分级模板中的标识信息,这样在PIA的过程中,不仅能以标准化分类分级模板标识作为统一规范,同时也能根据标识、敏感级别编排一些规则,从而实现部分PIA模块的自动化。那么,在整个PIA工作中,数据分类分级如何发挥作用呢?
2023-10-30 17:20:54
62
原创 数据分类分级-敏感图片识别
在本文中,我们介绍了在证件、票据类敏感图片识别的一些思考、观察和实践。通过对图片检索技术的创造性应用,以及对证件、票据类敏感图片的二维特性的洞察,我们解决了敏感图片识别中类别不确定、准确率要求高等难点,在无需频繁更新或添加模型的情况下,使用一套稳定的方案,完成敏感图片识别的任务。用九智汇-分类分级平台已经集成了这些工作,欢迎感兴趣的读者咨询,同样欢迎做算法的朋友们多多交流,三人行必有我师焉!特别声明:本文中介绍的敏感图片识别方法已申请专利保护。数据分类分级-敏感图片识别。
2023-10-30 16:48:42
151
原创 深度解读-《个人信息保护合规审计管理办法(征求意见稿)》
2023年8月3日,国家互联网信息办公室(国家网信办)发布了《个人信息保护合规审计管理办法》(征求意见稿)下称(“《管理办法》”),并同时发布了《个人信息保护合规审计参考要点》(下称“《参考要点》”),拟对《个保法》五十四条、六十四条的进一步落地提供更为详细的指导措施。
2023-10-30 16:33:28
366
原创 《智能网联时代汽车行业数据合规挑战》
针对内置标识以及自定义标识均未识别匹配的数据进行聚类发现,从海量的数据中主动发现具有相似特征的数据,让企业更好的认识和管理自己的数据,并支持对相同簇内字段进行一键标识,支持从已有标识打标和一键生成新标识两种方式,可快速对未知数据进行批量分类分级。针对上述3个方面的新挑战,用九从底层数据资产的发现识别与分类分级出发,整合法规解析、场景分析及数据合规实践,形成智能化数据合规管理能力,将数据属性和合规要点作为数据风险监测和安全防护的重要输入,构建数据合规LED (Law,Event ,Data) 架构。
2023-10-30 16:17:49
150
原创 深度分析:EDPB数据主体权利-访问权指南摘要及合规建议
本文对EDPB发布的数据主体权利-访问权指南《Guidelines 01/2022 on data subject rights - Right of access(Version 2.0)》(下称“01/22号指南”)的要求进行提炼,旨在为需要满足GDPR的出海企业提供参考。
2023-10-30 16:08:27
96
原创 数据分类分级实践难点
数据分类分级是开展数据全生命周期管理的基础,企业做好数据分类分级才能更好地去落实合规义务以及进行数据安全管控。今天,我们从数据分类分级落地实践的角度,来阐述企业在开展数据分类分级过程中的难点以及如何“破局”。对于企业而言,数据分类分级是一项复杂且长期的工作,牵涉部门多、涉及业务广,横跨业务、数据、安全等多领域,需要对应部门协同开展工作,如何协调多部门资源来启动和推进数据分类分级工作,是企业面临的首要难题。建立组织保障,明确数据数据分类分级工作的组织架构、职责分工,为数据分类分级的协同开展提供支撑。
2023-10-30 15:50:01
243
原创 App隐私合规评估实务和要点
本文将深入探讨App隐私合规评估的要点和难点,提供详细的信息,并提供一套轻量级和自动化的App隐私合规治理方案,降低App业务被通报和下架等合规风险,以保障企业App业务正常运营。2022年,工信部门共通报6批次侵害用户权益App,其中2批次通报涉及SDK,全年共计通报要求324款App及16款SDK进行整改,但不涉及App或SDK下架,其中四批次被通报要求整改的App被明确要求在5个工作日内完成整改。通过及早发现并解决潜在的风险,可以降低用户数据泄露和滥用的风险,同时增强用户信任和应用程序的可靠性。
2023-10-27 14:09:13
240
原创 深度分析-EDPB个人数据泄漏通知指南摘要及合规建议
本文对EDPB发布的个人数据泄漏通知指南《Guidelines 9/2022 On Personal Data Breach Notification Under GDPR (Version 2.0) 》(下称“《9/2022号指南》”)的要求进行提炼,旨在为需要满足GDPR的出海企业提供参考。
2023-10-27 13:51:48
133
原创 数据视角下的隐私合规3
,自从《个人信息保护法》颁布以来,对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲,个人数据使用在企业内部变成一个“谈虎色变”的问题,有合规意识的业务开始拉上合规、法务、安全团队开启评估审批,但在很多没有PbD(Privacy by Design)机制的企业来讲,遇到这类问题的合规/法务同学往往会很头疼,“合法性事由”的适用性在不断压缩,告知同意/PIA/第三方管理/DSAR犹如一道道天堑,如果整改那么业务要延迟甚至推倒重来,如果不整改业务要带隐私合规风险上线,变成了鱼和熊掌不可兼得的问题。
2023-10-27 11:16:37
79
原创 数据视角下的隐私合规2
当下市场存在的误区之四是数据合规治理就是做数据分类分级。在数据安全的体系下,数据发现可以认为就是数据分类分级,以满足数据管控的要求,但如果加入隐私保护的体系,我们认为数据合规治理的含义会更广,除了数据分类分级之外,他还需要引入主体识别的能力、留存期限的问题、处理目的等问题以满足主体权利响应、个人信息保护、数据留存管理、数据泄漏响应的合规要求,用九智汇在数据合规治理层面也做了非常多的创新探索,标识实验室便是其中之一,它以开放模型平台的方式帮助数据治理同学自主完成数据识别建模,加快数据合规治理效率。
2023-10-27 11:03:20
65
原创 数据视角下的隐私合规
PIA与RoPA有非常强的关联性,尤其在个保法第55,56条中,将两者放在一起规定,常规的实践中,我们会把RoPA作为PIA的前置步骤,也就是先梳理数据流转再来做PIA评估(RoPA->PIA)。隐私合规完美的形态可能是打开任意一个数据,你都能知道他关联了哪个RoPA,场景,方式,目的,关联了哪个PIA,关联了哪个隐私协议,关联了哪些同意记录,关联了哪些实际使用场景,关联了哪些留存策略,关联了哪个数据主体,从而满足主体权利响应,第三方管理,数据留存管理,个人信息保护,数据泄漏响应的合规要求。
2023-10-27 10:50:33
114
1
原创 数据分类分级-结构化数据识别与分类的算法实践
做出这些调整的主要观察在于,我们是针对数据库某列进行数据识别,而非单条数据,一列数据意味着可以抽样很多条样本,这些样本中不少都是属于同一标识的数据,因此我们没必要对每一条数据都做出非常准确的判断,而是更多考虑性能的问题。但是在数据分类中,我们则有了使用这种高成本方式的理由:数据库中数据会变,但是表名、列名、表备注、列备注、库名等是几乎不会经常变化的,因此如果我们使用元数据信息的话,即使成本高,也基本只是预测一次的投入。为了增加分类的准确率,同一张表是其他列的数据识别结果,也是一个有用的信息。
2023-10-27 10:43:31
420
原创 汽车智能网联时代如何解决用户隐私问题?
截至目前,我国已正式发布实施了《网络安全法》、《数据安全法》、《个人信息保护法》、《关基保护条例》等数据合规的基础法规制度,除此之外,智能网联汽车还需遵守汽车行业相关的政策法规,如《关于进一步加强新能源汽车企业安全体系建设的指导意见》、《汽车数据安全管理若干规定(试行)》、《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》、《关于深化汽车维修数据综合应用有关工作的通知》、《关于加强智能网联汽车生产企业及产品准入管理的意见》;智能网联汽车还可以收集有关驾驶员行为的数据,如加速、刹车、转弯等。
2023-10-27 10:38:45
126
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人