數據隱私:錯誤的代價

已發表: 2022-10-12

當歐洲的通用數據保護條例 (GDPR) 於 2018 年 5 月生效時,它為為消費者提供更大保護的新一代數據隱私法奠定了基礎。 明確同意、數據最小化、目的限制和反對權等核心原則有效地將既定的數據最佳實踐寫入法律。

從那時起,GDPR 式的隱私立法已在全球範圍內得到採用。 加利福尼亞州的 CCPA 在美國掀起了波瀾,許多其他州紛紛效仿(科羅拉多州、康涅狄格州、猶他州和弗吉尼亞州)或正在效仿(密歇根州、新澤西州、俄亥俄州和賓夕法尼亞州)。 在全球範圍內,我們還看到巴西引入了 LGPD,中國引入了 PIPL,僅舉兩例。

數據控制者和數據處理者現在面臨的一個挑戰是模棱兩可。 也就是說,這些新立法中的關鍵條款究竟意味著什麼? 通常,他們需要在法庭上接受測試,以澄清他們的真實意圖並建立法律先例。 這種情況現在正在歐洲發生,其他地方的從業者可以從這些案例中學習並在他們自己的國家與他們發生衝突之前應用這些發現。

歐洲正在打擊數據隱私

歐洲監管機構肯定會在 2022 年露面。

面部識別公司 Clearview AI 因非法處理生物識別和地理位置個人數據而被意大利數據保護機構罰款2000 萬歐元,並被英國信息專員辦公室 (ICO) 罰款 900 萬歐元

由於未能採取適當的技術和組織措施,愛爾蘭監管機構對 Meta (Facebook)處以 1700 萬歐元的罰款。

在西班牙,谷歌因強迫用戶接受將內容刪除請求轉移給第三方而被罰款1000 萬歐元

最近,由於在使用該平台時未能保護兒童的隱私,TikTok 可能因可能違反英國數據保護法而面臨2700 萬英鎊的罰款。

貫穿這些案例的一個共同主題是“合法、公平和透明”的核心原則,這意味著企業必須與個人明確如何處理他們的個人數據,並為此建立適當的法律基礎。

在英國,2022 年的執法行動主要集中在未經授權發送營銷信息上。 GDPR 等新的數據隱私法要求處理個人數據(包括營銷活動)有法律依據(通常是同意或合法權益)。

最近的案例*表明這個要求仍然沒有被清楚地理解(或被故意忽略!):

  • Finance Giant Ltd( 60,000 英鎊):煽動發送已確認的總計 505,759 條未經請求的直接營銷信息。
  • Bizfella Limited( 30,000 英鎊):煽動發送 224,550 條未經請求的直接營銷 SMS 消息。
  • H&L Business Consulting Limited( 80,000 英鎊):煽動發送 451,705 條未經請求的 SMS 消息用於直接營銷目的。

*讀者可以從ICO的網站獲取所有判決的全文,也可以註冊接收ICO的“執法行動”通訊。

消費者想知道他們的數據是如何被使用的

貫穿所有這些案例(和其他案例)的一個重要主題是它們最初是由消費者投訴引起的。 消費者現在對他們的數據隱私權有了更深入的了解,如果他們認為他們的個人數據被濫用,他們準備行使這些權利。

在處理消費者數據時,請務必記住:

  • 有效同意要求應給予個人真正的選擇和控制權。
  • 應明確告知個人他們將收到營銷信息。
  • 同意應與發件人的其他隱私政策和/或條款和條件分開。
  • 間接同意只有在足夠明確和具體的情況下才有效。
  • 必須有一種簡單的方法讓個人拒絕使用他們的聯繫方式。

一些企業陷入了其他隱私陷阱

在遷移到新的 CRM 系統後,Reed Online 無意中將營銷電子郵件安排給了之前被取消訂閱/禁止的客戶。

Tuckers Solicitors 遭遇勒索軟件攻擊,導致個人數據洩露。 ICO 裁定,該公司未能實施適當的技術和組織措施,使其容易受到攻擊。

英國政府內閣辦公室在網上公開了 2020 年新年榮譽獲得者的郵政地址——未能防止未經授權的人員信息洩露。

許多數據隱私事件並未成為頭條新聞

雖然備受矚目的違規行為成為頭條新聞,但許多事件要平凡得多。

ICO 發布季度數據安全報告,其中包含最近的“非網絡”(即自我造成的)問題,包括:

  • 數據通過電子郵件發送給錯誤的收件人( 22%
  • 未經授權的訪問( 14%
  • 數據張貼或傳真給錯誤的收件人( 13%
  • 留在不安全位置的文書工作或數據丟失/被盜( 8%
  • 未編輯 ( 6% )

這些趨勢主要指向人為錯誤和/或培訓不足,並提出了一個令人信服的論據,支持實施“設計隱私”實踐,其中穩健的流程最大限度地減少不合規的機會。

我們仍然沒有真正看到理論上可以徵收的“全球收入的 4%”罰款,儘管這並不是說這不會發生。 英國航空公司 (BA) 的罰款 - 正如提議的那樣 - 在因一系列緩解因素而被減少之前接近尾聲,包括 Covid-19 危機對 BA 財務的影響。 雖然沒有企業願意處理隱私洩露,但如果發生這種情況,將考慮一些緩解因素,包括:

  • 是否屬於首次侵權
  • 侵權的嚴重程度
  • 不管是故意的還是偶然的
  • 主動通知監管機構
  • 為減少對數據主體的影響而採取的措施

監管機構通常會對那些對問題透明化、合​​作協助調查並迅速採取措施防止再次發生的企業採取更寬鬆的態度。

這僅僅是個開始…

關於這個話題還有很多話要說。 想了解更多關於世界各地數據隱私立法的信息嗎? 查看我們的全球隱私法和合規指南

下載指南