跳转到主要内容

自2018年5月GDPR生效以来,欧盟和美国的公司面临越来越多的执法行动。在将近四年的时间里,我们有了后见之明来解释执法趋势,并按部门、国家和合规领域量化风险。注:本文中提到的数字是基于2021 12月获得的公开来源。

在美国,联邦和州隐私和数据安全法律的独特拼凑使公司面临来自多个来源的强制执行。在这篇文章中,我们重点关注联邦贸易委员会根据《联邦贸易委员会法》第5节最近采取的执法行动以及加利福尼亚州总检察长对《消费者保护法》的早期执法,并强调即将到来的州一级执法考虑。

#1: 欧盟:2018年以来执法行动是如何演变的?

欧盟的执法行动可能来自数据保护机构(DPA)可用的一系列工具,如罚款、谴责和警告。

  • 2018年,几乎没有发布制裁,罚款总额约为60万欧元。许多DPA一直忙于制定有关其本国数据保护立法的指南。
  • 2019年,DPAs开始更有力地执行,罚款高达5000万欧元。公共制裁的数量也急剧上升,从2018年的约19起增至2019年的152起。
  • 与2019年相比,2020年的罚款数量翻了一番。我们观察到大量的制裁(例如,德国针对H&M的制裁超过3500万欧元),导致整个欧盟的罚款总额约为3亿欧元。
  • 2021,尽管制裁的数量与2020年相似,但罚款总额增加了两倍,达到10多亿欧元。这主要是因为卢森堡和爱尔兰的DPA做出了两项决定(相对于亚马逊超过7亿欧元)。

#2: 欧盟:哪些欧盟国家在制裁公司方面最为积极?

  • 考虑到罚款总数,西班牙和意大利排在第一位。匈牙利、罗马尼亚和波兰等东欧国家,以及挪威和德国,在罚款数量上也位居榜首。
  • 然而,从罚款总额的角度来看,不同的趋势适用于最严重的DPA行动。毫不奇怪,卢森堡和爱尔兰排在第一位(见上述决定),其次是意大利、法国、德国和英国。
  • 意大利DPA将自己定位为一个特别有力的监管机构,这体现在罚款的数量和总额上。

#3: 欧盟:哪些类型的公司风险更高?

在广泛的“工商业”部门运营的公司占已发布罚款的50%以上,其次是“媒体和电信”、“交通和能源”和“就业”部门的公司。

个人最高罚款前十名名单上的一些公司也在工商部门(如亚马逊和H&M)、媒体和电信部门(如TIM和Wind-Tre)以及运输部门(如英国航空公司)运营。

#4: 欧盟:哪些合规领域受到最严格的审查?

目前,合规的高风险领域包括:数据处理的法律依据不足(平均罚款超过600,00欧元)、确保信息安全的技术和组织措施不足(平均处罚超过300000欧元)、不遵守一般数据原则、数据主体权利未得到充分履行等

平均罚款和中值罚款之间存在显著差异。中位数更准确地反映了一个组织因侵权而受到的典型罚款。例如,法律依据不足的罚款中值超过12000欧元,而安全措施不足的罚款中位数超过30000欧元。

#5: 欧盟:执法趋势和注意事项是什么?

目前的执法趋势如下:

  • 《一般数据保护条例》第5条涵盖了一般数据原则,DPA通常将其作为“全面”条款来执行《一般数据保护规则》。
  • 越来越多的集体诉讼正在发起。
  • 非物质损害赔偿金额正在增加(例如,德国最近为受数据泄露影响的数据主体的利益判决的精神损害赔偿)。
  • 这家一站式商店本应简化执法程序,以利于牵头的DPA,但尚未证明其完全有效。
  • 为了降低风险,请特别注意正确管理数据泄露和数据主体的权利,这可以作为DPA检查的触发因素。此外,通过记录您的GDPR合规工作(例如,需要数据保护官员),保持问责制。你还应该考虑对DPA制裁提出上诉。

#1: 美国:2021,联邦贸易委员会的隐私和数据安全执法情况如何?

美国没有全面的联邦隐私或数据安全法。然而,联邦贸易委员会有广泛的权力执行《联邦贸易委员会法》第5节,该节禁止欺骗或不公平的商业行为或做法,包括与隐私和安全有关的行为或做法。

2021,联邦贸易委员会宣布了六项隐私或数据安全解决方案,约为2020年的一半。其中三项涉及涉嫌违反第5节的行为;其他主要涉及违反《格拉姆-里奇-布利利法案》、《公平信用报告法案》或《儿童在线隐私保护法案》的指控。

第5节案件被起诉:(1)照片存储和组织应用程序;(2) 生育率跟踪应用程序;(3)一家公司的秘密手机监控应用。这些执法行动主要针对据称的欺诈行为。例如,该照片应用程序据称在使用面部识别技术和保留用户停用账户的照片方面欺骗了消费者。该生育追踪应用据称在承诺保密后,与第三方营销和分析公司共享了用户的健康信息。据称,这些手机监控应用程序歪曲了其对合理安全措施的使用以及对数据安全事件的调查。联邦贸易委员会还认为销售手机监控应用程序是一种不公平的做法,因为该公司没有采取合理措施确保客户仅将应用程序用于合法目的,并且因为这些应用程序对消费者造成或可能造成实质性伤害(例如,由于跟踪或家庭虐待),这是无法合理避免的,也不会被抵消利益所抵消。

作为和解协议的一部分(包括同意令),照片应用程序和生育率跟踪应用程序都同意不歪曲他们的隐私做法。要求照片应用程序删除不当收集或保留的信息以及使用此类信息开发的任何模型或算法,并要求生育率跟踪应用程序指示第三方删除其不当共享的用户健康信息。联邦贸易委员会还要求这些应用程序在未来使用人脸识别和与第三方共享健康信息时分别获得用户的肯定同意。就手机监控应用程序而言,联邦贸易委员会不仅要求该公司停止通过应用程序收集所有数据,并删除和禁用对先前收集的个人信息的访问,还禁止该公司及其创始人再次出售任何能够跟踪或监控用户在移动设备上活动的软件应用程序。生育率跟踪应用程序和间谍软件应用程序都被要求通知其购买者和/或FTC结算用户。

正如我们在2021 4月份的库利警报中所描述的那样,所有和解都不包括罚款,这与最高法院在AMG Capital Management,LLC v.FTC案中的意见一致,该案大大限制了FTC寻求货币救济的能力。

#2: 美国:联邦贸易委员会如何描述2022年隐私和数据安全执法重点?

在2021 9月提交国会的隐私和安全年度报告中,FTC解释了其执法重点。

  • 在解决数字市场中出现的问题时,整合消费者保护和竞争问题。
  • 扩大补救办法,包括:
    • 向受害消费者提供通知。
    • 为受到伤害的消费者获得金钱补偿。
    • 为消费者获得非货币补救救济。
    • 不允许公司从非法收集的数据中受益。
  • 重点关注占主导地位的数字平台,这些平台的数据实践仍将是执法目标。
  • 扩大对算法的理解,包括其对消费者保护和竞争的影响,并制定公平使用指南。

#3: 美国:什么是最常见的违反CCPA的指控?

根据加州总检察长第一年的执法更新,最常见的指控CCPA违规行为是:

  • 不符合隐私政策。
  • 未成年人无“请勿出售”链接或选择加入流程。
  • 不符合消费者请求流程。
  • 不符合服务提供商合同。

#4: 美国:从早期CCPA执法中有哪些经验教训?

公司必须:

  • 了解不符合隐私政策会使您成为一个容易的目标。
  • 分析您出于在线行为广告目的使用第三方cookies和类似跟踪器是否会触发CCPA的“出售”条款,并相应地发布“请勿出售我的个人信息”链接。
  • 记录响应CCPA消费者请求的内部流程,以促进符合CCPA更精细的要求。
  • 确保您的CCPA消费者权益流程易于查找、易于使用,并且不要求消费者提供超出必要范围的信息。

此外,别忘了制定书面信息安全政策,该政策至少满足互联网安全中心关键安全控制的相关要求。虽然CCPA本身不包含数据安全要求,但法律规定了因企业未能实施合理的安全措施而导致的某些数据泄露的私人诉讼权。

#5: 美国:哪些新的州法律将增加2023年及以后隐私执法的潜力?

虽然许多公司仍在完善其CCPA合规计划,但修订CCPA的《加利福尼亚隐私权法》将于2023年1月1日生效,并将在六个月后开始执行。CCPA将继续执行,直到CPRA修正案生效

弗吉尼亚州和科罗拉多州还通过了新的综合性州隐私法,这两项法律将于明年生效。弗吉尼亚州的《消费者数据保护法》将于2023年1月1日生效,而科罗拉多州的《隐私法》将在2023年7月1日起生效。

收集加利福尼亚、弗吉尼亚或科罗拉多居民个人信息的公司应评估其在这些法律下的义务,并开始准备遵守适用的要求。

本文:https://cioctocdo.com/cooley-privacy-talks-overview-privacy-enforcement…