欧洲隐私与数据保护(eu privacy and data protection)
TRANSCRIPT
欧盟隐私与数据保护Privacy and Data Protection, Cyber Security and RegulationsAron R. ShannonSep 2015 V2.1
2
内容 1 、欧盟数据保护相关机构和立法流程 2 、隐私和数据保护主要法规和框架 3 、隐私和数据保护法案主要内容 4 、案例
3
EU 主要机构和立法流程European Parliament
EC ProposalEP Position采纳、否决或修改
Council Position采纳、否决或修改
EC/StakeholdersAmendments修正案
Conciliation agrees joint
text 调解Adopted采纳
① ③ ⑤④
European Council④② ⑤①
European Commission
• EC 补充意见
• EC 补充意见
如 EC 对 EP 通过修正案无异议,正式编入法律条例, EC 监督执行。
形成 *• Regulations
• Directives• Decisions
• 如和 EP 意见一致,直接采纳提案,立法执行
• 如和 Council 意见一致,直接采纳提案,立法执行
• 代表欧盟成员国• 正式接受(或否决)法律• 保障成员遵循和执行
• 代表欧洲公民• 拥有立法权• 负责贯彻执行欧盟理事会和欧洲议会决策
• 行使其主动权,就法律规定、政策措施和项目提出提案• 联合成员国执法机构执法和监督
BEREC ERAC
NRA**
ECB ……
提案给欧盟议会审议议案,正式初读。
Co-decision
procedure
4
欧洲央行,央行系统和欧元系统 ECB, ESCB, Eurosystem
European Commission
European Parliament and Council
ESCB欧洲中央银行系统
BanksBaking Union
ECB欧洲央行
EBA(European banking Authority) No.1093/2010
NCB( 欧元与非欧元区 ) 欧洲成员国央行
Report
MonetaryPolicy
• Governing Council
• Executive Board
• General council
欧盟成员国 +Norway , Liechtenstein , Iceland
欧洲经济区( EEA), 不包括瑞士财长和各国财长
Economic Policy
5
欧洲数据保护监督管理机构—— EDPS数据保护指令第 29 条规定( Article 29 Data Protection Working Party ) : 建立一个 “在个人数据处理中保护个人的工作组”,一般称之为“第 29 条工作组 (A29WP)” 或者“数据保护工作组”。① 监督欧盟行政机构对个人数据资料的处理;② 对涉及隐私权的政策和立法提出意见建议;③ 通过与职能相似机构的合作来保证数据保护的持续性。
执法案例:’ right to be forgotten’—— 欧盟数据保护工作组 2009/2014 年分别致信约谈谷歌、微软和雅虎三大搜索巨头,认为搜索引擎服务商保存用户搜索记录时间超过 6 个月的理由并不成立,因此要求这三大搜索引擎商必须缩短用户搜索信息的保留时间。
主要成员国数据保护执法机构 European DPAs
6
内容 1 、欧盟数据保护相关机构和立法流程 2 、隐私和数据保护主要法规和框架 3 、隐私和数据保护法案主要内容 4 、案例
7
世界各地的隐私与数据保护主要法规和框架Canada• PIPEDA 1983• Senate Bill S-4 2015;• Provincial Privacy Laws• Digital Privacy Act• Office of the Privacy
Commissioner
USA• FCRA, ECPA, HIPPA, GLB,
CAN-SPAM, S.1490, S.139, DO-NOT-Call and Safe Harbor Principles
USA Califonia• Privacy Protection Act
2003 Notice (Civil Code 1798 Form)
United Arab Emirates• Data Protection Law No.
1 of 2007 based largely 95/48/EC
• DIFC LAW NO.1 of 2007Chile• Data Protection Law No.
1 9628(1999)/ 19812 (2002)
Argentina• Personal Data
Protection Law No. 25.326
South Africa• Electronic
Communications and Transactions Act
India• 2011 (“Privacy Rules”)
new Privacy (Protection) Bill, 2013
Russia• Federal Law of July 27
2008 on Personal DataSouth Korea• Protection of Personal
Data Act(‘PIPA’) 2011/2014
Japan• PIPA: Personal
Information Protection Act
Taiwan• Computer-processed
personal data Protection Law
Hong Kong• Protection of Personal
Data Act(‘PIPA’) 2011/2014
Singapore• Personal Data Protection
Act 2012 (“PDPA”)
Australia• Amended privacy
Act • Spam Act 2012
EU, EEA• GDPR 替换 Directive 95/46/EC;• Directive 2009/126/EC 替换
Directive 2002/58/EC on Privacy and Electronic Communications Data Protection Laws
SwitzerlandSwiss Federal Data Protection Act (SDPA) 和Data Protection Ordinance (DPO)
Germany“Bundesdatenschutzgesetz” or “BDSG”
France• Data Process
Act (”DPA”) 2004
UK• 2011 UK amended
the Privacy and Electronic Communications Regulations (EC Directive)
8
还需尊重并重视国际组织的主要原则和框架Privacy Framwork ( 2004/ Updated 2016 )APEC 成员经济体制定的跨境隐私规则体系: Preventing Harm, Notice, Collection Limitation, uses of Personal Information, Choice, Integrity of Personal, information, Security Safeguards, Access and Correction, Accountability
Guidelines for the regulation of computerized personal data files (E/CN.4/1990/72. )Universal Declaration of Human Rights
经济合作开发组织 OECD: (1980) 《关于保护隐私和个人数据国际流通的指南》(Guidelines on the Protection of Privacy and Transporter Flows of Personal Data)
The Madrid Privacy Declaration ( 3 November 2009 )马德里国际隐私权标准协议《非政府组织关于建立全球隐私权标准的宣言》
欧盟 - 美国 EU/Swiss-U.S. Privacy Shield框架协定 international association of privacy professionals
9
欧洲隐私和数据保护发展里程 1948,UN 人权宣言 1953, 欧洲人权宣言
1950/60s
1970s 1980s 1990s 2000s 2010s
1970, 德国隐私保护法 1973, 瑞典数据保护法 1974, 美国隐私保护法 1978, 法国数据处理,数据文件和个人自由法
1980,OECD公平资讯实施原则 1981, 欧盟
108 隐私协定
1990, 德联邦数据保护条令 1995,EU DPD 数据保护指令
Directive 95/46/EC
2002,EU’ePrivacy Directive’2002/58
2003,Califonia S.B. 1366 保护信息产业健康发展
Directive 2009/136/EC
2010,Lisbon 条约 2010,U.S.-EU Safe
Harbor Framework
20160524 GDPR
2012,GDPR 5853/12 提案 2014,GDPR 9565/15 提案 2016 年 2 月欧美达成新的” U.S.-EU Privacy
Shield” GDPR 在 20160524 成为 Regulation ,正式实施。 Dirv部分是国家安全与反恐要求,成员国在 2018 年 5 月前完成本国法的修订实施 Network and information Security(NIS)
Directive (Cyber Security Directive)2016Aug生效执行
注: Regulations可即生成成员国国内法之一部分。在成员国直接适用,并优于成员国国内法执行,具备直接约束力。DPD : 12~15 成员国GDPR : 27~28 成员国
• EC 提案• 17/7/1990
• EP 初读和意见• 17/7/1990
1990
1991
1992
1993
1994
1995
1996
• EC 修订案• 15/10/199
2
• 理事会态度和修订意见• 20/2/1995
• EP二读和修订意见• 15/6/1995
• DPD 采纳立法• 25/10/199
5
2012
2013
2014
2015
2016
…2018
• EC 提案• 25/1/2012
• EP 初读和意见• 12/3/2014
• 理事会态度和修订意见• 12/2014
• EP 通过二读• 9565/2015
• Regulation and Directive
• 2016 May
• 全面执行• 2018 May
10
内容 1 、欧盟数据保护相关机构和立法流程 2 、隐私和数据保护主要法规和框架 3 、隐私和数据保护法案主要内容 4 、案例
11
Personal data 与可定义自然人相关的任何信息,如 ID ; 数据当事人构成特定风险 ( 如生物特征数据、基因数据、司法数据、财务资料、未成年人资料以及个人档案 )
Pseudonymised Data
假名数据,可辨认为自然人的假名下的隐私数据( Article 4,3b )Anonymous Data 匿名数据,无所有人的数据Data subject 自然人拥有的个人隐私数据。Data Controller 数据控制者是指自然人或者法人、公共机构、代理机构或者其他主体单独或者联合处理个人数据的
人; Controller 有义务保障数据处理的合法性和保密性。Data Processor 数据处理者,代表 Controller 处理使用数据。主场所Main establishment
数据处理应当在“场所的活动脉络下”进行,并考虑处理数据实体可能在不同成员国设有场所,法律适用的主要标准并不以负责处理实体的场所而定,改以设有场所的地点作为标准。
Context 脉络 ‘活动脉络’ (Context of Activities) 。关系方的实际角色、实际行为及互动作为决定因素。Regulations,Directives,Decisions
规章可即生成国内法之一部分。在成员国直接适用,并优于成员国国内法执行,具备直接约束力。 指令具有合法约束力,但需各成员国制定国内法来执行指令规定目标,成员国可选择具体的形式
和程序。规章和指令无需成员国批准,直接生效。 决定由 Council 和 EC 公布,决定内所指的对象,受其全文约束。(转基因、食品、移民决定)
定义
12
宗旨:成员国应根据指令保护自然人的基本权利和自由,特别是个人数据处理中的隐私权。 成员国不得以保护隐私为理由,限制或者禁止个人信息在成员国之间的自由流动。公平合法地收集和处理个人数据目的性:个人数据收集和处理需预先设定特定、清晰和合法目的,且限于此目的进行。适当性:按照数据收集或者深入处理的目标进行适当、相关而不得过度;准确,尽可能及时更新:对收集、处理处理目标而言不准确、不完整的数据,应采取措施确保其被消除或者纠正;限期使用原则:个人数据不应长期保留使用安全保密原则:采取措施保证个人数据的保密性和安全性数据转移:禁止向 EEA 区域以外的第三国转移数据,如转移需第三国对个人数据提供充分保护 (adequate protection) 为前提或其它法律规定目的;监督管理:各国数据保护监督机构应该监控数据的合法处理,数据控制和处理者有通知监管部门的义务。
DPD(Data Protection Directive 95/46/EC) 主要原则
13
数据保护指令 DPD局限性 信息技术发展:互联网、社交网络、物联网、大数据、云技术等。 成员国实施过程中产生分歧和不确定性:部分条款采用开放式条文,使得成员国在实施过程中有较大各自解释空间;实际上未成功建立确保统一解释的执行机制。最终 EEA 区域的数据保护法律制度在某些方面上还是分裂的。 商业组织需要同时遵循不同成员国的数据保护义务,还要履行数据处理的通报义务,增加时间和法律成本,增加跨国经营和服务成本。 存在无法调和成员国间的解释分歧:在医疗数据手机上,丹麦将其严格限定于医疗专业人士的使用,而捷克还可以扩展至医疗保险领域。 消费者权益因某些司法分歧借口而无法保障。 国际数据流通受阻。
14
根据《 Directive 95/46/EC 》 Article 26 ,该法国银行之意大利分行的性质属于场所(establishment) ,且其活动包含了数据处理。虽然意大利分行通知了客户该处理程序,却必须同时遵守意大利的资料保护法,而分行所采取的安全措施亦然。另外,案例中的法国处理数据实体在法国场所处理数据时亦需要同时遵守法国的数据安全法。包括债务人在内的数据归属当事人依据意大利法律行使其查阅权、更改权和删除权时,可向意大利分行提出。
根据《 GDPR 》 Article 70……
案例:因保理合同转移个人数据 某意大利公用事业公司移交其债务人数据予一所法国银行,债务产生自用户过期未缴付的电费。移交此债务人数据将意味移转客户个人数据和隐私给法国银行。具体而言数据将被移转到法国银行之意大利分行。(即法国银行设于意大利之场所)。 案例中该法国银行因处理资料程序而转交资料,意大利分行也为此而进行管理活动,并以法国总行的名义收取债款。此外,位于法国的资料处理实体和意大利分行都处理了资料,而法国处理实体也透过意大利分行通知了所有意大利客户此处理程序。
15
欧盟隐私和数据保护改革方向 数据保护法立法形式从Directive上升到 Regulation 加强个人数据权利保护:完善个人数据的保护范围界定;完善数据主体的知情权;增强数据主体对其个人数据的控制;明确数据主体同意” consent” 程序;扩大敏感数据保护范围和优化处理程序;建立更有效的纠正、惩罚机制。 建立一体化的数字市场:提高 EEA 内数据保护法的确定性和统一性;降低个人数据保护成本;明确DPAs 管辖权及据法使用规则;扩大 Controller 的数据保护义务和责任。 强化 EDPS 、 DPAs等数据保护机构的职能、促进合作与协调机制,增加 EDPB 明晰、简化跨境数据流通的规则:第三国提供充分保护原则不变,但要明确该原则的具体操作规则,并扩大数据流通规则的适用范围。 取消数据处理的通报义务,代之以档案保存义务。
16
General Data Protection Regulation (9398/15) 提案 2012 年提出用于替换 Directive 95 ,是欧洲数字一体化改革的一部分 ‘One single law, directly applicable’ 指的是在欧盟范围内建立统一的数据保护法规 司法管辖范围:只要在欧盟发生的,隐私数据即使在欧盟地域外获取、管理存储,也要遵从欧盟的 GDPR 法律。
凡是在 EU设立数据 Controller 和 Processor 的凡是向 EU 用户提供涉及隐私数据服务的,或存在监控欧盟用户行为的,不论是否有场所从遵照各个成员国国内法,变化为只遵从GDPR在欧盟内任何一个成员国设立一个法律代理人即可
‘强化数据保护机构权力’欧盟成员国数据保护机构将有权对违背欧盟数据保护法律的企业做出惩罚,企业罚金可取全球年收入的 0.2%~5% ;自然人罚金最高可到€ 100m ;非商业利益个人和非数据处理经营企业 ( 规模低于 250)可免于处罚。 ‘One-stop shop’ 一站服务原则,企业只需与主要业务所在国的监管部门打交道,而不是欧盟
29 个成员国的监管部门,而欧盟民众只需与其所属国家的数据保护机构打交道、使用本国语言来解决个人数据方面出现的问题并保护个人权益。 承认并鼓励’ EuroPrise’等隐私担保认证服务
17
……GDPR 提案 (二 ) 强化数据主体权利:‘Right to access/ object/ Rectification/ erasure/ Right to data portability’ 数据清除等和可携权强化‘被遗忘权’ Right to be forgotten ,即如果欧盟民众希望不再让个人信息出现在网上搜索结果中且无法律依据必须保留这些信息,服务商就必须删除数据。明确数据主体‘同意’的条件和程序:变化主要在于要求同意必需明确,不能是推断的同意追踪 (tracking) 与特征分析 (profiling): 保障数据主体有不被采取特征分析措施 ( 如个人倾向、工作表现、财务状况、位址、健康、个人喜好、可信度 )而至产生法律效果或显著影响该个人的权利
强化数据 Controller 和 Processor 权利:‘Privacy by design and privacy by default/DPIAs’ 系统需默认隐私保护,并在系统设计时考虑隐私安全一揽子措施,识别并评估潜在风险,实现预防性保护。‘Data breach notification’ ,数据侵权发生 24小时内,数据 C&Ps 需通知侵权情况给数据保护机构;并对产生的不利影响通知数据主体。问责 Accountability ,数据 C&Ps 有责任为数据保护设定 DPO (规模>250 人或数据主体超过
5000 个时强制),维护相关记录,执行一揽子安全措施
18
国际范围数据转移 欧盟数据保护指令规定,个人数据不得流通至欧盟外国家,但该国“数据保护完备”或具备其他条件的除外。 ‘Adequacy Level of [Privacy] Protection’ 认定:主要依据第三国国内法和相关国际组织缔结协议。
‘white list’ countries安全认证白名单国家 (依据 GDPR Article 41): 到 2014 年 7 月底,白名单国家有安道尔共和国、阿根廷、澳大利亚 (航空范围 ) 、加拿大、 Faroe Islands 、 Guernsey 、 Jersey 、 the Isle of Man, the Fareo Islands de Faeröereilanden, 以色列、新西兰、瑞士和乌拉圭。
Model Contracts是欧盟确保企业隐私政策符合欧盟标准,而采用的共同约束规则:即跨国公司采用 BCRs ,禁止向不具备适当个人数据保护水平的国家传输数据。 (BCR 原则原只被 17 国承认, GDPR普遍实施 )案例: HP已经建立一套有约束力的企业规则,这些规则已被 EEA 和瑞士大部分数据保护监管机构认可,并于 2011 年 6 月生效。 BCR可确保 HP 在全球范围内的任何一家实体在处理数据时对欧洲经济区内每一位公民的个人信息给予充分保护。充分保护的例外情况:数据主体明确同意数据转移;该项数据转移是为履行数据主体与数据控制者之间合同所必需;为保护重要公共利益所需,或为支持、行使、抗辩某法律要求所需;为保护数据主体的重要利益所需……但上述转移不可成为日常转移。
GDPR将第三国提供充分保护与数据 controller 采取适当保护措施并列为国际范围数据流通条件
19
Directive 95/46/EC GDPR
European范围 全球范围,凡是拥有或处理 EU citizens 隐私数据的成员国基于 EC 法案各自修订 EEA 内统一,由 EDPS 和各国数据保护机构总长组成 European
Data Protection BoardDPAs 各自管辖 机构执法一致性,欧盟内一站式处理Controller 的责任 明确 Controller 和 Processors 的责任和义务罚金低,各国惩罚不一致 企业罚金可取全球年收入的 0.2%~ 5% ;自然人罚金最高可到€
100m ;非商业利益个人和数据处理和经营企业 ( 规模低于 250)可免于处罚
有通报数据处理通知要求,无数据受侵权情况通报要求
需及时通报发生的数据侵权情况;取消数据处理的通报义务,代之以档案保存义务
有限问责,无 DPO设置 问责程序得到加强,对企业 DPO 有明确要求充分考虑时代变化背景,加强新技术下隐私保护问题,安全技术、生理和基因隐私、未成年人保护等。
EU data protection laws变化总结
欧盟监督金融业之数据保护指导准则
20
关于在欧盟监督金融业之数据保护准则 (Guidelines on Data Protection for Financial Services Regulation) ,该准则为金融市场监督机制的一部分,在金融业对个人数据的处理上,特别是通过监控、记录保留、汇报、以及资讯交换存有侵犯个人数据和隐私权风险的措施予以规范。 该准则包含 10 项步骤与建议,旨在协助欧盟后续金融监督政策的制定,其中一些重要的建议如下 :
① 应评估资讯之处理是否可能妨碍隐私权。② 应为数据处理建立法律基础③ 评估适当的数据保留期限,并给予正当依据。④ 建立个人数据传送至欧盟外的正当法律依据。⑤ 提供个人数据保护权利的适当保障。⑥ 衡量适当的数据安全保护措施⑦ 应为数据处理的监督提供特定程序。
21
内容 1 、欧盟数据保护相关机构和立法流程 2 、隐私和数据保护主要法规和框架 3 、隐私和数据保护法案主要内容 4 、案例
22
U.S.-EU 和 U.S.-Swiss Safe Harbor 框架协议
•告知义务( Notice )•选择权( Choice )•限定移转 Onward Transfer (Transfers to Third Parties)转出 (转让给第三方 ) 必须符合告知和选择原则
•存取( Access )•安全( Security )•资料完整性( Data Integrity )
•执法( Enforcement )
•2000 年 12 月美国商业部跟欧盟建立“安全港”协议,用于调整美国企业出口以及处理欧洲公民的个人隐私数据。 U.S.-EU 和 U.S.-Swiss都建立了“安全港”框架协议,该协议不同于美国跟欧洲之间的传统商业过程,是响应欧洲的意图而建立的折衷政策。•安全港协议是一项法律规定,主要成因是各国对个人资讯保护的措施不同,例如欧盟禁止个人资讯传输至非欧盟国家。若通过安全港框架协议,欧盟可允许美国传达、存储或使用欧盟成员国国民的个人资讯,可减少或消除当事人在法律上的隐私获取责任。如果美国企业符合安全港原则,也视为符合’ The European Commission’s Directive on Data Protection’
•安全港协议要求:收集个人数据的企业必须通知个人其数据被收集,并告知他们将对数据所进行的处理,企业必须得到允许才能把信息传递给第三方,必须允许个人访问被收集的数据,并保证数据的真实性和安全性以及采取措施保证这些条款得到遵从。•Snowden 事件后,新的” SafeHarbor” 协议正在协商更新,将采取更严格的许可策略,并授权双方的执行合规度。并限制美国执法机构对隐私数据的获取。
安全港的隐私原则的主要要求
安全港架构Safe Harbor Framework
23
安全港的隐私原则的主要要求 告知义务 (Notice) :当组织 ( 数据控制者或者处理者 )从欧盟及 /或其他适用国家 / 地区中的个人取得隐私数据时,组织必须告知个人关于其个人资讯的收集和使用目的,组织也必须提供个人在有任何疑问时,如何与该组织联系或投诉、向第三方披露资讯的方式,以及组织所提供可用来限制使用和披露的选择。 选择权 (Choice):组织必须给予个人选择权 (如退出、拒绝 ),是否可将他们的个人资讯透露给第三方或用于不符合当初收集目的或之后的授权。对于敏感资讯,也必须提供明确的选择权 (如加入 ),是否将资讯透露给第三方,或使用在不符合当初的收集目的,或是个人随后授权的目的之上。 Onward Transfer(Transfers to Third Parties)限定移转 (转移给第三方 ):要将资讯转移给第三方,必须符合告知和选择原则。同时组织若作为转让的代理人,必须确保第三方同样遵守安全港隐私保护原则,例如订立书面协议,要求第三方至少也要提供相同水准的隐私保护。 存取 (Access):个人拥有存取在组织中所持有个人资讯的权利,而且能夠要求更正、修改或刪除不正确的个人资讯,除非其将产生和个人隐私不相称的风险或侵犯到其他人的权利。 安全 (Security):组织必须采取合理的预防措施,保护个人资讯不会遗失、滥用,和受到未经授权的存取、洩露、窜改和破坏。 资料完整性 (Data integrity)个人资讯必须使用于和收集相关的目的上,组织必须财取合理的步骤来确保资料的可靠性,以达成预期的使用、正确、完整及现行趋势。 执法 (Enforcement)为了确保符合安全港原则,必须是 (a)易于获得的独立申诉机制,使每个人的投诉和纠纷可进行调查和解決,提供适用于法律或隐私部门的损失赔偿; (b)确认公司承诺遵守安全港原则的程序已被实施; (c)未遵守原则时,矫正所产生问题的义务,处罚措施必须购严格,以确保组织遵守法規,组织若未能提出年度的自我核证,将会被从参与者名单除名,组织遵守安全港的利益也无法被保证。
24
欧美隐私盾 EU/Swiss-U.S. Privacy Shield 框架协定
https://www.privacyshield.gov/EU-US-Framework
•告知义务( Notice )•选择权( Choice )•限定移转 Onward Transfer (Transfers to Third Parties)转出 (转让给第三方 ) 必须符合告知和选择原则
• 2015 年 10 月 6日欧盟最高司法机构’欧洲法院’作出判决,以美国未能达到为欧盟隐私数据提供有效保护的理由,认定欧美2000 年签署的关于自动交换数据的’ International Safe Harbor Privacy Principles’ 《安全港协议》无效。没有了“安全港”机制,美国在欧盟将不再拥有“对个人数据提供充分保护国家”的地位。欧盟通过作废原框架协定来推动欧盟与美国制订新的数据传输协议。
• 2016 年 2 月欧美达成新的” U.S.-EU Privacy Shield”取代安全港协议。协议主要包括三个部分:”隐私盾”原则;有关美国商务部具体举措和仲裁事项的两个附件;以及来自联邦贸易委员会、运输部、国家情报总监办公室、国务院、司法部就有关欧盟个人数据在包括执行和监控方面提供充分保护的承诺的五封信(针对美国当局“广泛的”且“任意的”监控 行为缺乏安全保障和管理机制的情形)。• 相比于安全港协议,隐私盾协定更体现了 GDPR 关于数据处理者和控制者的义务履行以及履行以及数据主体权利的规定,并特别强调了监管措施的执行。• 通过隐私盾协议,欧洲公民可以有途径按照GDPR法律对美国代理商访问其根据该协定传输的数据提出投诉。首先,欧盟公民可以直接向美国企业提出请求和投诉,后者必须于 45日内作出回应;其次,参加隐私盾的美国企业必须提供免费的替代性纠纷解决机制 (ADR) 并告知用户以便其进行投诉;再次,可以直接向其本国数据保护机构进行投诉,后者负责将投诉转交美国商务部,美国商务部必须于 90日内作出回应,或者将投诉转交 FTC 处理;最后,如果穷尽前述方式未能解决争议,最后可以诉诸一个名为
Privacy Shield Panel 的仲裁程序。•存取( Access )•安全( Security )•资料完整性和目的限用( Data Integrity and purpose limitation )
•资源协助、执法与责任( Recourse, enforcement and liability )
25
隐私盾隐私原则的主要要求 告知义务 (Notice) :当创建、维持、使用或传播隐私数据的组织 ( 数据控制者或处理者 )从欧盟及 /或其他适用国家 / 地区中的个人取得隐私数据时,组织必须告知个人关于其个人资讯的收集和使用目的,组织也必须提供个人在有任何疑问时,如何与该组织联系或投诉、向第三方披露资讯的方式,以及组织所提供可用来限制使用和披露的选择。 选择权 (Choice):组织必须给予个人选择权 (如退出、拒绝 ),是否可将他们的个人资讯透露给第三方或用于不符合当初收集目的或之后的授权。对于敏感资讯,也必须提供明确的选择权 (如加入 ),是否将资讯透露给第三方,或使用在不符合当初的收集目的,或是个人随后授权的目的之上。 限定移转责任 (转移给第三方 )Accountability for Onward Transfer(Transfers to Third Parties):要将资讯转移给第三方,必须符合告知和选择原则。同时组织若作为转让的代理人,必须确保第三方同样遵守该隐私保护原则,例如订立书面协议,规定该数据只能用于限定的处理目的,并于与个人同意的内容相一致,要求第三方至少也要提供相同水准的隐私保护。 (亦须向美国商务部提供一份该企业同机构合同中相关隐私条款的概要或者代表副本 ) 存取 (Access):个人拥有存取在组织中所持有个人资讯的权利,而且能夠要求更正、修改或刪除不正确的个人资讯,除非其将产生和个人隐私不相称的风险或侵犯到其他人的权利。 安全 (Security):组织必须采取合理的预防措施,保护个人资讯不会遗失、滥用,和受到未经授权的存取、洩露、窜改和破坏。 资料完整性和目的限用 (Data Integrity and purpose limitation) :收集、处理个人资讯必须使用于和其相关的目的上以及该目的的必要范围内,组织必须采取合理的步骤来确保资料的可靠性,以达成预期的使用可信、准确、完整及现行趋势。 资源协助、执法与责任 (Recourse, enforcement and liability): 认定有效的隐私保护必须包含确保隐私原则得到遵守的健全机制、受到违反隐私原则影响的个人的救济协助机制以及组织不遵守原则的后果。 其它补充原则: a.敏感数据原则; b.新闻例外原则; c.次级责任原则; d.从事尽职调查和审计例外原则; e. 数据保护机构的角色; f. 自我认证程序; g. 自我核证;等
26
通过企业网站向欧盟个人提供有关数据处理和企业在《隐私盾》项下义务的明确说明,该声明应包含美国商务部《隐私盾》网站的链接;
提供有关个人访问其数据的权利、按照政府部门的需要依法披露数据的要求,以及如果发生数据向第三方转移时本企业责任的明确说明;
明确说明本企业进行数据采集和处理的目的; 建立一个迅速的响应机制,在 45天内回应针对本企业服务可能收到的投诉或咨询; 免费向个人提供独立的救助机制以便调查和解决投诉和纠纷; 承诺如请求,将就任何未决投诉或纠纷通过仲裁解决; 针对负责《隐私盾》监督的美国商务部及做出禁止或罚款决定的其它部门所提出的询问立即给予回应; 确保企业在持有数据时始终遵守其承诺; 公开 FTC( 联邦贸易委员会 ) 和法院针对公司违规行为所采取的强制措施情况,使其透明;
美国在欧盟企业所履行的隐私盾基本义务
27
第三方隐私保护认证和担保服务 网络隐私认证适用于跨行业的联盟,能够对被认证方承诺和实际隐私保护的实践进行监督 被认证方要在现行法律法规框架下制定相应的在线隐私保护政策,接收该隐私保护认证服务的监督。
德国和欧盟用户数据本地存储用户可以将自己数据在非本地区备份,但是
AWS 不会将用户数据进行非德国或非欧盟区的异地备份。德国和欧盟用户可以决定个人信息和数据的存储位置用户可以自己设定数据加密或选择第三方加密机制用户可以使用安全传送技术,管理自己数据,而 AWS 不探视用户数据内容,因客户服务而必须使用用户数据时,需要用户授权。政府要求的数据使用, AWS亦为客户保持警惕AWS 认为政府应该首先向数据主体申请数据使用权AWS 认为即使政府根据当地条约合法索取,政府机构亦必须满足充分理由,拿出 Court
order or warrant在向政府公开数据前,会先通知数据所有主体政府无权索取非司法管辖区用户数据
案例: AWS 在欧洲的隐私保护• EU-WEST(Ireland)• EU-Central(Frankfurt)
• London and Paris
Asia PAC• Singapore (2), Sydney (3), Tokyo (3), Seoul (2), Mumbai (2)
US West• Oregon (3), Northern California (3)
US East• Northern Virginia (5), Ohio (3)
South America• São Paulo (3)
AWS 数据安全策略是以用户优先,即使政府条令要合法获取数据内容,也需要走大量的法律程序。美国有个 U.S. Patriot Act以国家安全为借口,要求云服务、网络服务商提供全球恐怖主义数据和情报。但是数据分域,意味着美国司法部门无法通过 Patriot Act 来探取美国之外的数据。
Thank youwww.bibibaba.net
Copyright©2017 BIBIBABA Technologies GmbH. All Rights Reserved.
Page 29 BIBIBABA