欧洲数据保护委员会（“EDPB”）于2022年9月15日发布了其具有约束力的第2/2022号决定，该决定根据《一般数据保护条例》（欧盟）2016/679号条例（“GDPR”）第65（1）（a）条于2022月7月28日通过，涉及数据保护委员会（DPC）关于Meta Platform Ireland Limited的决定草案产生的争议。

韩国个人信息保护委员会（“PIPC”）于2022年9月14日公布了其决定，其中因违反《2011年个人信息保护法》（经2020年修订）（“PIPA”）第39（3）（1）条，对谷歌有限责任公司处以692亿韩元（约5000万欧元）的罚款，对Meta Platform，Inc.处以308亿韩元的罚款。特别是，PIPC表示，该决定是第一次涉及收集和使用在线广告平台的行为信息，是迄今为止对任何违反PIPA行为的最高罚款。

此外，PIPC认为，两家公司在收集和分析行为信息以推断其利益或利用这些信息发布定制广告时，未明确告知其用户，也未获得其事先同意。

本文：https://cioctocdo.com/south-korea-pipc-fines-google-and-meta-total-krw-100-billion-violations-pipa

几十年来，经合组织一直在发挥重要作用，促进尊重隐私，将其作为基本价值观和个人数据跨境自由流动的条件。

经合组织关于保护隐私和个人数据跨境流动的指导方针（“隐私指导方针”）是经合组织隐私工作的基石。它们被公认为隐私和数据保护的全球最低标准。

《隐私指南》于1980年发布，2013年修订。修订后的文本使经合组织的方法现代化，并加强了其与其他隐私执法合作工作的整合。

2021，经合组织结束了对隐私准则实施情况的第二次审查。这项审查是与一个由60多名来自政府、企业、民间社会和学术界的专家组成的咨询小组协商制定的。该小组由詹妮弗·斯托达特女士（加拿大前隐私专员兼法斯肯公司现任战略顾问）和格温达尔·勒格兰德先生（国家信息自由委员会副秘书长）共同主持。

隐私准则仍然是为个人建立有效保护和信任的坚实基础，也是为跨境数据流制定共同国际办法的坚实基础。尽管如此，在实施隐私准则方面仍存在一些重大挑战，特别是在技术发展的背景下。在新冠肺炎危机之后，呼吁经合组织支持对隐私和数据保护实践采取整体方法的呼声越来越高，即考虑多个社会目标的方法，包括个人数据处理的集体和道德层面。

随着弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州最近都颁布了全面的隐私立法，隐私和消费者数据保护法在美国各地不断上升。这些法律的颁布意味着美国的数据控制者面临新的义务，而消费者则欢迎他们提高数据保护权，以更好地保护消费者隐私。

《2020年加州隐私权法案》（“CPRA”）和《弗吉尼亚州消费者数据保护法案》（“CDPA”）将于2023年1月1日生效，虽然科罗拉多州参议院法案21-190《科罗拉多州隐私法案》（“CPA”）和《康涅狄格州个人数据隐私和在线监控法案》（“CTDPA”）将于2023年7月1日生效，而《犹他州消费者隐私法案》（“《UCPA》”）将于2022年12月31日生效。尽管上述法律并未明确提及Cookie的使用，他们的许多强制性要求影响了组织对Cookie的尊重。

在这篇深入的文章中，我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧，以期制定出一种协调一致的合规方法。

市场营销是企业的一个基本部分，包括一系列旨在推广和销售产品或服务以及管理企业品牌声誉的战略和策略。在由两部分组成的业务职能系列的第一部分中，绩效评估研究所营销与通信和数据保护主任Joanna Kennedy讨论了与营销和数据保护相关的考虑因素和挑战。

营销专业人员的背景和面临的挑战

在不断变化的隐私环境中，营销专业人员面临重大挑战。技术进步提供了更多的选择，并使生成的数据比以往任何时候都多。事实上，OneTrust报告称，到2020年，平均每个人每秒至少创建1.7MB的数据，每天创建的数据超过250万字节。消费者要求更多的个性化，而世界各地的隐私法规意味着个人对其数据拥有比以往更多的权利，而且他们越来越意识到这一点。与此同时，不遵守规定的成本很高，不仅在经济处罚方面，而且在声誉损害方面也是如此。

2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第二部分类似，本文旨在突出PDPA中的关键条款，重点关注PDPA下的个人权利和责任。

数据主体权利

知情权（第21、23和41条）

当根据通知给数据主体的目的收集、使用或披露个人数据时，数据控制者仅需以与之前通知给数据对象的目的不同的方式收集、使用和披露个人数据，其中：

• 数据主体已被告知此类新目的，并且在收集、使用或披露之前获得同意；或
• 它符合PDPA或其他法律的规定。

在收集个人数据时，除非数据主体已经知道此类详细信息，否则控制器必须告知数据主体：

2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第三部分类似，本文旨在强调PDPA的关键条款，重点关注数据控制者和数据处理者的义务，包括数据保护官员任命（“DPO”）、违约通知和向外国的数据传输。此外，PDPA的二级法律草案提供了关于数据控制者义务的进一步信息。

数据控制器

数据安全（第37条）

数据管理员需要采取适当的安全措施，以防止未经授权或非法丢失、访问、使用、更改、更正或披露个人数据。具体而言，必须在必要时或技术发生变化时审查此类措施，以有效维护适当的安全和保障。

关于处理个人信息的安全措施的通知草案（“安全措施通知草案”）规定了防止未经授权或非法丢失、访问、使用、更改、更改或披露个人信息的最低安全要求。

2022年4月21日，《2018年加州消费者隐私法》（“CCPA”）下的规则制定权已正式移交给加州隐私保护局（“CPPA”）。此后不久，在2022年5月5日，现有CCPA最终法规被转移到《加利福尼亚州法规》第11篇第6部分，将其纳入《法规》的一部分，由CPPA管辖。最后，在2022年5月27日，CPPA宣布将于2022年6月8日召开董事会会议，除其他事项外，将讨论其在CCPA下的拟议条例草案（“CPPA拟议条例草案”），该草案与会议通知和议程一起发布。

在本文中，OneTrust数据指南概述了CPPA拟议条例草案、与原始CCPA最终条例相比的关键添加和删除，以及企业下一步可以预期的内容。

关键补充

新的CPPA拟议条例草案涉及多个关键领域，其中包括透明度和通知、消费者权利、服务提供商和第三方合同相关事宜，以及对财务激励等其他主题的澄清。然而，值得注意的是，这套CPPA拟议条例草案只是预期的一套条例中的一套。除其他一些主题外，预计还将对进一步的主题（如数据保护影响评估、自动处理和分析）制定更多法规。

《美国数据隐私和保护法案1》（“ADPPA”）虽然仍在审查中，但与现有隐私立法有许多相似之处，包括澳大利亚1988年隐私法案（“隐私法案”）。来自Sainty Law的Katherine Sainty和Aisling Hamilton介绍了ADPA的一些主要特征，以及ADPA与隐私法的比较。

什么是ADPPA？

ADPPA是一项隐私法案草案，如果获得通过，将赋予美国公民前所未有的数据隐私权。这是一项综合性法案，创建了一个框架，为个人提供更大的隐私保护，并限制实体收集、访问和使用个人数据的方式。

ADPPA是第一个旨在保护美国数据和隐私的主要联邦框架，它代表了一个重要的妥协，因为它得到了民主党和共和党的支持。

ADPA涵盖什么和谁？

ADPA保护覆盖数据“覆盖数据”定义为：

“识别或链接或合理链接到个人或设备的信息，该设备识别或链接到一个或多个个人，包括衍生数据和唯一标识符。”。

覆盖数据特别不包括未识别数据、员工数据和公开可用信息，这些数据在ADPA中分别定义。

022年6月16日，个人数据保护局（“KVKK”）在其官方网站上发布了第6698号个人数据保护法（“法律”）范围内的忠诚度计划审查指南草案，以供公众咨询，直到2022年7月16日为止，KVKK接受利益相关者对指南草案的意见，BTS&Partners提供了KVKK在指南草案中提出的要点的总结。

尽管指南草案不具有法律约束力，因为它反映了KVKK的大多数建议，这些建议已经在不同的案例中提出，并且由于KVKK指南一旦定稿，通常不会受到重大修订，在土耳其提供忠诚度计划的数据控制员应考虑根据指南草案审查其数据处理活动。

忠诚度计划的定义

在指南草案中，忠诚度计划被定义为“所有或部分策略，例如通过处理客户的个人数据，使其对业务具有特定性或可识别性，跟踪客户的购物习惯，为客户提供积分/礼物/优势，以换取购物。”，以及通过分析处理后的个人数据提供个性化的产品/服务，或旨在增加业务销售额和利润同时为客户提供利益的单边或合作计划。

应注意的是，KVKK并未对其他主要工作领域（如零售、电子商务市场）的服务提供商提供的忠诚度计划以及直接和单独运营忠诚度计划的公司提供的忠诚度项目做出任何区分。