数据隐私:错误的代价

已发表: 2022-10-12

当欧洲的通用数据保护条例 (GDPR) 于 2018 年 5 月生效时,它为为消费者提供更大保护的新一代数据隐私法奠定了基础。 明确同意、数据最小化、目的限制和反对权等核心原则有效地将既定的数据最佳实践写入法律。

从那时起,GDPR 式的隐私立法已在全球范围内得到采用。 加利福尼亚州的 CCPA 在美国掀起了波澜,许多其他州纷纷效仿(科罗拉多州、康涅狄格州、犹他州和弗吉尼亚州)或正在效仿(密歇根州、新泽西州、俄亥俄州和宾夕法尼亚州)。 在全球范围内,我们还看到巴西引入了 LGPD,中国引入了 PIPL,仅举两例。

数据控制者和数据处理者现在面临的一个挑战是模棱两可。 也就是说,这些新立法中的关键条款究竟意味着什么? 通常,他们需要在法庭上接受测试,以澄清他们的真实意图并建立法律先例。 这种情况现在正在欧洲发生,其他地方的从业者可以从这些案例中学习并在他们自己的国家与他们发生冲突之前应用这些发现。

欧洲正在打击数据隐私

欧洲监管机构肯定会在 2022 年露面。

面部识别公司 Clearview AI 因非法处理生物识别和地理位置个人数据而被意大利数据保护机构罚款2000 万欧元,并被英国信息专员办公室 (ICO) 罚款 900 万欧元

由于未能采取适当的技术和组织措施,爱尔兰监管机构对 Meta (Facebook)处以 1700 万欧元的罚款。

在西班牙,谷歌因强迫用户接受将内容删除请求转移给第三方而被罚款1000 万欧元

最近,由于在使用该平台时未能保护儿童的隐私,TikTok 可能因可能违反英国数据保护法而面临2700 万英镑的罚款。

贯穿这些案例的一个共同主题是“合法、公平和透明”的核心原则,这意味着企业必须与个人明确如何处理他们的个人数据,并为此建立适当的法律基础。

在英国,2022 年的执法行动主要集中在未经授权发送营销信息上。 GDPR 等新的数据隐私法要求处理个人数据(包括营销活动)有法律依据(通常是同意或合法权益)。

最近的案例*表明这个要求仍然没有被清楚地理解(或被故意忽略!):

  • Finance Giant Ltd( 60,000 英镑):煽动发送已确认的总计 505,759 条未经请求的直接营销信息。
  • Bizfella Limited( 30,000 英镑):煽动发送 224,550 条未经请求的直接营销 SMS 消息。
  • H&L Business Consulting Limited( 80,000 英镑):煽动发送 451,705 条未经请求的 SMS 消息用于直接营销目的。

*读者可以从ICO的网站获取所有判决的全文,也可以注册接收ICO的“执法行动”通讯。

消费者想知道他们的数据是如何被使用的

贯穿所有这些案例(和其他案例)的一个重要主题是它们最初是由消费者投诉引起的。 消费者现在对他们的数据隐私权有了更深入的了解,如果他们认为他们的个人数据被滥用,他们准备行使这些权利。

在处理消费者数据时,请务必记住:

  • 有效同意要求应给予个人真正的选择和控制权。
  • 应明确告知个人他们将收到营销信息。
  • 同意应与发件人的其他隐私政策和/或条款和条件分开。
  • 间接同意只有在足够明确和具体的情况下才有效。
  • 必须有一种简单的方法让个人拒绝使用他们的联系方式。

一些企业陷入了其他隐私陷阱

在迁移到新的 CRM 系统后,Reed Online 无意中将营销电子邮件安排给了之前被取消订阅/禁止的客户。

Tuckers Solicitors 遭遇勒索软件攻击,导致个人数据泄露。 ICO 裁定,该公司未能实施适当的技术和组织措施,使其容易受到攻击。

英国政府内阁办公室在网上公开了 2020 年新年荣誉获得者的邮政地址——未能防止未经授权的人员信息泄露。

许多数据隐私事件并未成为头条新闻

虽然备受瞩目的违规行为成为头条新闻,但许多事件要平凡得多。

ICO 发布季度数据安全报告,其中包含最近的“非网络”(即自我造成的)问题,包括:

  • 数据通过电子邮件发送给错误的收件人( 22%
  • 未经授权的访问( 14%
  • 数据张贴或传真给错误的收件人( 13%
  • 留在不安全位置的文书工作或数据丢失/被盗( 8%
  • 未编辑 ( 6% )

这些趋势主要指向人为错误和/或培训不足,并提出了一个令人信服的论据,支持实施“设计隐私”实践,其中稳健的流程最大限度地减少不合规的机会。

我们仍然没有真正看到理论上可以征收的“全球收入的 4%”罚款,尽管这并不是说这不会发生。 英国航空公司 (BA) 的罚款 - 正如提议的那样 - 在因一系列缓解因素而被减少之前接近尾声,包括 Covid-19 危机对 BA 财务的影响。 虽然没有企业愿意处理隐私泄露,但如果发生这种情况,将考虑一些缓解因素,包括:

  • 是否属于首次侵权
  • 侵权的严重程度
  • 不管是故意的还是偶然的
  • 主动通知监管机构
  • 为减少对数据主体的影响而采取的措施

监管机构通常会对那些对问题透明化、合​​作协助调查并迅速采取措施防止再次发生的企业采取更宽松的态度​​。

这仅仅是个开始…

关于这个话题还有很多话要说。 想了解更多关于世界各地数据隐私立法的信息吗? 查看我们的全球隐私法和合规指南

下载指南