本内容由未言律师事务所
数据法团队提供
数据法团队简介
未言律师事务所数据法团队是国内此领域业务的开拓者和领先团队,在网络安全、隐私与数据保护等多项业务上具有丰富的实务经验。团队合伙人长期参与本领域的立法和学术活动,参与了《数据安全法(草案)》《个人信息保护法(草案)》《关键信息基础设施保护条例(征求意见稿)》等法律法规的研讨工作。未言与国内外数据合规专家建立了深入合作,具有为客户提供全球数据合规一站式服务的能力。未言数据法团队具有丰富的项目处理实战经验,形成了独特的数据合规方法论,在实践中,对于人脸识别、互联网支付、云计算、大数据、人工智能、区块链等领域积累了丰富的经验,可以协助客户在复杂的法律和监管框架下有效应对法律挑战。未言数据法团队涉及的行业包括金融、IT与互联网、科技企业、智能网联汽车、大数据、生命科学与大健康等多个领域。
资讯介绍
+ + + + + + + + + + +
资讯目次
2023年4月25日
• 缅因州重新引入类似于伊利诺伊州 BIPA 的生物识别隐私立法
• 印度《个人数据保护法案》草案删除了数据本地化条款
2023年4月27日
• 欧洲数据保护委员会为小型企业推出数据保护指南
• 加拿大的数字宪章实施法案通过二读
+ + + + +
NO.1
欧盟委员会指定第一批超大型在线平台和搜索引擎
4月25日消息,欧盟委员会根据《数字服务法》 (DSA) 通过了第一项决定,指定了17 个 超大.型在线平台(VLOP) 和每月至少有 4500 万活跃用户的2 个超大型在线搜索引擎(VLOSE):
(1)超大在线平台:
Alibaba AliExpress、Amazon Store、Apple AppStore、Booking.com、Facebook、Google Play、Google Maps、Google Shopping、Instagram、LinkedIn、Pinterest、Snapchat、TikTok、Twitter、Wikipedia、YouTube、Zalando
(2)超大在线搜索引擎:
Bing、Google Search
这些平台是根据他们在 2023 年 2 月 17 日之前发布的用户数据所作出的制定。
作出指定以后,这些公司必须在四个月内遵守 DSA 规定的新义务。包括:
(1)更多用户授权:
● 用户将清楚地了解为什么向他们推荐某些信息,并有权选择退出基于分析的推荐系统;
● 用户将能够轻松举报非法内容,平台必须认真处理此类举报;
● 不能根据用户的敏感数据(如种族、政治观点或性取向)展示广告;
● 平台需要给所有广告贴上标签,并告知用户是谁在推广它们;
● 平台需要以其运营所在成员国的语言提供易于理解、通俗易懂的条款和条件摘要。
(2)强保护未成年人:
● 平台将重新设计他们的系统,以确保高度的隐私、安全和未成年人的安全;
● 不再允许基于儿童画像的定向广告;
● 必须在指定后 4 个月向委员会提供特殊风险评估,包括对心理健康的负面影响,并最迟在一年后公布;
● 平台将不得不重新设计他们的服务,包括他们的界面、推荐系统、条款和条件,以减轻这些风险。
(3)更勤奋的内容审核,更少的虚假信息:
● 平台和搜索引擎需要采取措施解决与在线传播非法内容相关的风险以及对言论和信息自由的负面影响;
● 平台需要有明确的条款和条件,并认真、非任意地执行;
● 平台需要有一种机制,供用户标记非法内容并根据通知迅速采取行动;
● 平台需要分析他们的具体风险,并采取缓解措施——例如,解决虚假信息的传播和对他们服务的不真实使用。
(4)更高的透明度和问责制:
● 平台需要确保其风险评估及其对所有 DSA 义务的遵守情况经过外部独立审计;
● 他们将不得不向研究人员提供公开可用数据的访问权限;稍后,将为经过审查的研究人员建立一个特殊机制;
● 他们将需要发布在其界面上投放的所有广告的存储库;
● 平台需要发布有关内容审核决策和风险管理的透明度报告。
在通知指定决定后 4 个月内,指定平台和搜索引擎需要调整其合规系统、资源和流程,建立独立的合规系统,并向委员会报告其首次年度风险评估。
NO.2
缅因州引入了以伊利诺伊州“黄金标准”为蓝本的生物识别隐私立法
4月25日消息,缅因州立法机构的成员重新提出了一项生物识别信息隐私法案,类似于伊利诺伊州生物识别信息隐私法案。缅因州法案要求个人在私人实体获取或使用个人生物识别数据之前提供书面授权,禁止私人实体出售该信息。这一要求,主要仿照 2008 年伊利诺伊州的一项法律,该法律被认为是生物识别隐私的黄金标准。
与伊利诺斯州的生物识别信息隐私法一样,缅因州的法案包括一项私人诉讼权,这是一种允许人们单独起诉违反该法规的公司的法律机制。伊利诺伊州法律的这一组成部分是去年美国公民自由联盟与备受争议的面部识别软件公司 Clearview AI 之间达成和解的基础。
在缅因州,实体必须为因疏忽造成的违规行为支付 1,000 美元,为鲁莽或故意不当行为导致的违规行为支付 5,000 美元。虽然生物特征数据的定义因州而异,但缅因州的法案将其表示为虹膜、视网膜、指纹、面部或手部的声纹或图像,可用于识别个人身份。根据拟议的法律,缅因州的私人实体还必须制定一项政策,以保留和销毁他们收集的生物特征标识符。生物识别数据也必须在客户最后一次与公司有意互动后的一年内销毁,或者如果有人要求删除数据,则必须在 30 天内销毁。
去年引入了缅因州法案的类似版本,但由于该州私营部门的反对而失败。缅因州商会批评它“过于宽泛”,只挑出私人诉讼权。但缅因州是生物识别法规的先行者,该州在 2021 年禁止部分人脸识别技术的使用,
NO.3
印度《数字个人数据保护法案》草案删除了数据本地化条款
印度在拟议的《数字个人数据保护法案》的最新版本中,数据本地化条款发生了变化。印度政府希望所有创新者和初创企业都可以选择获取最佳技术和存储定价,因此,印度政府更改了最新版本的《数字个人数据保护法案》中的数据本地化条款。在最新版本的 2022 年《数字个人数据保护法案》中,该法案允许将个人数据传输到它通知的国家/地区。这与该法案的先前版本不同,该版本对敏感和关键个人数据的跨境传输有特殊的本地化规定。如果数据受托人表示他们将使用位于美国、日本或韩国的数据中心,那么只要数据中心尊重已同意并的印度公民的权利,就允许数据传输。
NO.4
欧洲数据保护委员会为小型企业推出数据保护指南
4月27日消息,欧洲数据保护委员会(EDPB)发布了一份数据保护指南,以帮助小型企业提高数据保护合规性。该指南旨在提高人们对 GDPR 的认识,并以易于理解的格式向中小企业提供有关 GDPR 合规性的实用信息。在指南中,中小企业将找到各种工具和实用技巧来帮助他们遵守 GDPR。它包括在EDPB 5 年的 GDPR 经验中收集的具体示例。
该指南涵盖了 GDPR 的各个方面,从数据保护基础知识到数据主体权利、数据泄露等。它包含视频、信息图表、交互式流程图和其他实用材料,可帮助中小企业将数据保护付诸实践。此外,该指南还概述了国家数据保护机构为中小企业开发的便利材料。
该指南目前提供英文版本,以后将提供其他欧盟语言版本。
NO.5
加拿大的数字宪章实施法案通过二读
4月27日消息,加拿大下议院于4月24日二读通过了 C-27 号法案(即数字宪章实施法案),并被提交工业和技术常务委员会进一步审议。
法案的第一部分为《消费者隐私保护法》,用以规范个人信息的保护,同时考虑到各组织在商业活动过程中收集、使用或披露个人信息的需要。第二部分为《个人信息和数据保护法庭法》,设立了一个行政法庭来审理对隐私专员根据《消费者隐私保护法》做出的某些决定提出的上诉。第三部分为《人工智能和数据法》,以规范人工智能系统的国际和省际贸易与商业,要求某些人采取措施,用以减少与高影响的人工智能系统有关的伤害和有偏见的输出风险。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...