文章分类
December 28, 2023
今年年初,我们预测,在不断演变的威胁环境中,个人信息的使用和数据保护将成为加强立法、监管和监管执法的重点。2023年实现了,威胁行为者和监管机构都给技术和法律团队带来了新的挑战。与此同时,这些团队正在探索如何利用快速发展的人工智能应用程序的巨大潜力,同时降低相关的安全、法律和相关风险。在所有的噪音中,Paul,Weiss网络和数据保护团队将2023年的十个关键发展分解为以下几项,这些发展导致了日益复杂的法律和数据安全形势,并促使商业领袖增加资源和注意力,以加强他们的防御,确保遵守他们日益增多的法律义务。我们预计2024年将继续出现一系列活动。
1.加利福尼亚州及其隐私保护局推进限制个人信息收集和使用的新法律法规,更多执法和法规即将出台
加利福尼亚州继续推进数据隐私立法和监管,加利福尼亚州隐私保护局(“CPPA”)根据《加利福尼亚州消费者隐私法》(“CCPA”)和《加利福尼亚州隐私权法案》(“CPRA”)通过了其首个规则制定包。新规则规范和限制了这些法律所涵盖的实体收集个人信息的行为,并要求受监管的实体遵循数据最小化的原则。[1] CPPA预计最快将于2024年3月开始根据新规定采取执法行动。[2]
此外,2023年10月10日,纽瑟姆州长签署了《删除法案》,该法案将为加州居民提供“一站式”机制,要求在该州运营的数据代理删除他们的数据。CPPA必须在2026年1月1日前制定该机制。[3]
2023年11月27日,CPPA提出了广泛的法规,限制人工智能或“自动化决策技术”(“ADMT”)的某些应用,它被定义为“任何系统、软件或过程——包括从机器学习、统计或其他数据处理或人工智能中衍生出来的系统、软件和过程——处理个人信息,并将计算作为系统的整体或部分来做出或执行决策,或促进人类决策。”[4]该提案要求在将消费者数据用于自动化之前发出通知,要求披露该技术的用途,并提供选择退出的权利。CPPA也在考虑与ADMT法规“协同工作”的风险评估要求。这两套规定都在2023年12月8日的CPPA董事会会议上进行了讨论。5.
2.超越加利福尼亚州:其他州数据隐私法
全面的数据隐私立法:遵循加利福尼亚州率先开辟的道路,七个州于2023年颁布了全面的数据保密法。特拉华州、印第安纳州、爱荷华州、蒙大拿州、俄勒冈州、田纳西州和得克萨斯州加入了科罗拉多州、康涅狄格州、弗吉尼亚州和爱荷华州的行列,这些州已经制定了法律。这些州的法律激增,为企业提供了复杂的保护、定义和切入点,供其解读和导航。例如,2023年7月1日生效的《科罗拉多州隐私法》将非营利组织包括在内——许多其他州法律都没有涵盖这一类别——并将宗教信仰、与性生活或性取向有关的信息以及公民身份定义为“敏感”数据,必须按照严格的同意规则收集。[6] 俄勒冈州的《消费者隐私法》将于2024年7月1日生效,其中还将跨性别或非二元身份以及犯罪受害者身份列为“敏感”数据。[7] 《田纳西州信息保护法》将于2025年7月1日生效,它将NIST隐私框架作为企业可能的安全港,这是一项创新。[8] 从这些州的居民那里收集数据的企业需要采取措施,确保他们理解并遵守这些法律,包括制定适当的隐私和数据安全政策。
健康数据保护:华盛顿州颁布了《我的健康我的数据法案》,为消费者的健康数据提供广泛的保护,包括与医疗保健相关的位置数据,以及可以说的食品和卫生产品选择信息。华盛顿法律为消费者和患者创造了私人诉讼权,并将适用于《联邦健康保险便携性和责任法案》(“HIPAA”)未涵盖的实体,包括在线健康应用程序。[9] 在美国最高法院对多布斯案作出裁决后,我们预计其他州可能会效仿华盛顿,为某些类别的健康数据提供额外保护。
社交媒体监管:佛罗里达州颁布了一项“数字权利法案”,在某些方面与其他州最近通过的全面数据隐私法案类似。例如,法律规定消费者有权选择不共享其数据,有权收到数据收集通知,并有权同意将其数据出售给经纪人。但佛罗里达州的法律只适用于年收入超过10亿美元的大型科技公司。此外,除了为数据主体提供某些数据隐私权外,法律还要求运营搜索引擎的公司披露其内容审核如何“在搜索结果中优先考虑或不优先考虑政治党派或政治意识形态”[10]
限制儿童访问:最后,几个州通过了旨在通过限制未成年人访问社交媒体来保护儿童的立法。但这些法律的命运尚不确定,因为几起联邦诉讼引发了《第一修正案》的担忧,即要求网站收集成年用户的年龄验证构成了对法律言论的违宪事先限制。以类似的理由,针对访问色情内容的州立法也被阻止,但其他州法律也得到了支持,这些法律规定了对未经合规年龄验证的成人网站采取私人行动的权利。
- 加利福尼亚州:美国地区法官Beth Labson Freeman批准了一项初步禁令,以阻止《适龄设计规范法》(“AADC”)的执行。她得出的结论是,对在线信息的年龄限制会产生寒蝉效应,而且很可能达不到第一修正案的严格审查标准。[11]
- 得克萨斯州:美国地区法官大卫·艾伦·埃兹拉批准了一项针对得克萨斯州的初步禁令,禁止其执行针对色情网站HB 1181的年龄验证法。他发现,该法规不符合第一修正案的严格审查标准,部分原因是数据泄露暴露网站访问者身份的风险造成的寒蝉效应。[12]
- 阿肯色州:美国地区法官Timothy L.Brooks批准了一项有利于科技倡导组织NetChoice的初步禁令,禁止执行该州的《社交媒体安全法》。他认为,这项法律要求一些在线社交媒体平台核实所有新用户的年龄,并为创建账户的儿童征得父母的同意,但这项法律并不是针对其目标而制定的。[13]
- 犹他州:美国地区法官Ted Stewart驳回了针对犹他州总检察长和犹他州安全部专员的诉讼,该诉讼旨在禁止他们执行犹他州的《社交媒体监管法案》,该法案要求对成人网站进行年龄验证。他认为,州政府官员不能被起诉,因为法律的执行机制是居民的私人行动权。[14]
- 路易斯安那州:美国地区法官苏西·摩根驳回了对第440号法案的执法前质疑,该法案是一项针对成人网站的年龄验证法。她得出的结论是,由于法律的私人诉讼权,主权豁免禁止了这一质疑,原告缺乏提出质疑的资格。[15]
3.国家网络安全战略
2023年3月2日,拜登政府宣布了其最新的国家网络安全战略(“战略”),“以确保所有美国人都能从安全可靠的数字生态系统中获得全部利益。”该战略呼吁加强对网络安全的监管,执法部门加强反黑客活动,并加强对软件制造商的问责,以“重新调整激励措施”来保护国家安全、公共安全和经济繁荣。[16] 改善公私合作是政府保护关键基础设施愿景的核心,尽管该战略的部分目标是通过加强监管和新立法实现这种合作,允许软件提供商对发布设计不安全的产品承担责任。在国会陷入僵局的时代,仅凭行政行动就能实施的政府战略的各个方面引起了最大的关注。
7月,拜登政府发布了该战略的实施计划,确定了由18个不同部门和机构牵头的65项举措。[17] 尽管其中一些举措取得了进展,例如,9月,联邦通信委员会发布了一份拟议规则制定通知,征求对物联网设备或产品自愿网络安全标签计划的意见[18],但许多举措的时间跨度要长得多。例如,CISA预计在2025财年末之前不会根据《关键基础设施网络事件报告法》发布最终规则。尽管还有很多工作要做,但实施计划中明确的责任分配和每项举措的预期完成日期为未来几年的网络监管议程提供了预览。
4.美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和州监管机构实施新的网络安全和事件披露规则
联邦和州监管机构颁布了新规则,要求增加网络安全事件的披露。
7月,美国证券交易委员会通过了新的披露要求,以加强和规范上市公司在网络安全风险管理和事件报告方面的披露。[19] 除其他要求外,公司将被要求在四个工作日内在表格8-K中披露重大网络安全事件,并提供有关其网络安全治理和风险管理的年度披露。[20]
与此相关的是,2023年3月15日,美国证券交易委员会一致提出修正案,以加强S-P条例要求注册投资顾问(“RIA”)保护客户(如某些基金有限合伙人)信息的规定。[21]该提案将修订条例S-P,要求RIA采用书面事件响应程序,该程序合理设计,用于检测、响应和从未经授权访问和未经授权使用客户信息中恢复,并要求客户信息泄露通知。[22]预计2024年4月将对该提案采取最终行动。
联邦贸易委员会还通过更新其保障规则,要求“在未经授权的情况下获取涉及500名或更多消费者的未加密客户信息”,对违规行为提出通知要求。修订后的规则涵盖抵押贷款经纪人等非银行金融机构,将于2024年5月13日生效。[23]
纽约州金融服务部(NYDFS)也最终确定了其网络安全法规的更新,即第500部分。[24]现在的最终法规加强了对受NYDFS监管的金融实体报告网络安全事件和保护消费者数据的义务,并将要求这些实体对网络安全基础设施进行更大的投资。[25]
纽约州卫生部提出了针对医院的网络安全法规。新规定将要求医院建立网络安全计划,并制定潜在网络安全事件的应对计划,从而补充HIPAA对患者记录的保护。[26]
5.联邦贸易委员会(FTC)和卫生和公众服务部(HHS )提起联邦执法行动
联邦贸易委员会根据《联邦贸易委员会法》第5条行使其权力,在数字隐私领域保护消费者。例如,该机构正在对数据代理Kochava采取执法行动,根据该公司出售的从消费者移动设备获得的全面数据集,包括地理位置数据,测试该机构是否能够证明第5条规定的足够危害。[27]
在联邦贸易委员会监管其认为的不当共享消费者数据的另一个例子中,2023年5月17日,运营排卵追踪应用Premom的Easy Healthcare Corporation因与第三方非法共享用户数据而与联邦贸易委员会达成和解,要求赔偿20万美元。联邦贸易委员会还发现,Premom未能将数据披露告知用户,违反了联邦贸易委员会的健康违规通知规则,该规则适用于HIPAA未涵盖的企业。[28]
联邦贸易委员会也在调查数字用户界面中所谓的“黑暗模式”,它认为这些模式限制了消费者为数据收集和订阅续订提供全面知情同意的能力。例如,该机构最近为被不当阻止取消服务订阅的Vonage客户获得了约1亿美元的退款。[29]2023年6月26日,该机构以1850万美元的价格解决了对出版商清算所(PCH)的索赔,指控客户被PCH操纵性的措辞和网站设计误导,购买产品以提高中奖机会。[30]
2023年6月5日,联邦贸易委员会与微软就涉嫌违反《儿童在线隐私保护法》(COPPA)的行为达成2000万美元的和解。联邦贸易委员会的投诉称,微软在未经父母同意的情况下通过Xbox Live收集儿童的个人数据,将这些数据保留的时间超过了必要的时间,并允许儿童将照片上传到他们的个人资料中。[31]
负责执行HIPAA隐私规则的卫生与公众服务部民权办公室也在2023年开展活动。它解决了许多案件,包括患者的个人健康信息在网络攻击中被窃取、被未经授权的员工访问,或被提供给报道新冠肺炎大流行的新闻媒体。[32]
6.欧盟-美国数据隐私框架生效
根据欧盟委员会2023年7月10日的充分性决定,欧盟-美国数据隐私框架(“DPF”)的最终确定现在为公司提供了一种机制,可以根据GDPR在美国和欧盟之间传输数据。[33]7月,美国商务部推出了一个“一站式”网站,提供有关DPF的信息。[34]
我们预计,目前使用标准合同条款和有约束力的公司规则将欧盟个人数据转移到美国的公司将迁移到DPF,尽管一些公司可能会等待欧盟法院的挑战解决,这些挑战可能会解决DPF是否足以充分保护GDPR下的欧盟数据主体数据的问题。
7.人工智能行政命令
2023年10月30日,拜登政府发布了“关于安全、可靠和值得信赖的人工智能开发和使用的行政命令”(“EO”),呼吁保护美国人的数据隐私,并要求各机构评估人工智能对国家安全构成的风险。[35]该命令指示联邦政府使用可用的技术和政策工具“确保数据的收集、使用和保留合法、安全,并降低隐私和保密风险”。[36]
在EO中包括的各种网络安全工作中,商务部长被指示提出法规,要求基础设施即服务(IaaS)提供商“当外国人员与美国IaaS提供商进行交易时,通知商务部,以训练具有潜在能力的大型人工智能模型,该模型可用于恶意网络活动”[37]EO补充道,美国IaaS提供商将被禁止允许外国公司转售其服务或为外国人开立账户,除非美国提供商做出类似披露。
财政部还被要求发布一份关于金融机构管理人工智能特定网络安全风险的最佳实践的报告,国土安全部和国防部被要求研究和报告如何将人工智能用于网络防御。
8.健康和生物识别隐私诉讼
2023年,医院和其他医疗保健企业因暴露患者个人健康信息(“PHI”)的数据泄露而面临民事诉讼压力。例如,2023年3月13日,一名患者“Jane Doe”对利哈伊谷健康网络(“LVHN”)提起集体诉讼,指控LVHN未能履行HIPAA规定的职责,保护她的裸体照片以及身份信息,如出生日期、社会安全号码和诊断详细信息,不被勒索软件团伙泄露到网上。[38]
HIPAA义务也是广告跟踪代码(也称为跟踪像素)诉讼的主题,据称该代码能够向第三方发送包括诊断和医疗预约详细信息在内的PHI,包括用于针对患有特定疾病和诊断的个人的营销活动。[39]联邦贸易委员会和美国卫生与公众服务部民权办公室(OCR)已向大约130家医院系统和远程医疗提供商发出联名信,提醒他们使用此类跟踪技术的风险。[40]
根据伊利诺伊州《生物识别信息隐私法》(“BIPA”)提起的诉讼在2023年继续进行,伊利诺伊州最高法院裁定,当雇主在未经员工同意的情况下使用指纹扫描让员工打卡时,BIPA索赔将按每次事故计算。[41]雇主可能会受到广泛的BIPA索赔,根据法规,这可以作为一种私人诉讼权,基于他们对员工身份和出勤认证生物特征数据的依赖。[42]
9.律师-客户特权无法保护律师事务所网络事件受害者的身份
2023年1月10日,美国证券交易委员会对Covington&Burling LLP律师事务所提起诉讼,寻求法院命令,以获取该事务所2020年11月受网络安全漏洞影响的客户名单,而Covington则声称其客户名单受到律师-客户特权的保护。尽管法院最终裁定,Covington不需要披露所有被认为从公司窃取信息的客户的姓名,但2023年7月24日,法官Amit Mehta命令Covington披露七名上市公司客户的身份,这些客户可能在事件中窃取了重大非公开信息。[44]Covington和美国证券交易委员会同意不上诉,但在对该命令的上诉悬而未决期间,七名客户中的一名已获准匿名。[45]
10.继续执行GDPR,加上新的瑞士数据隐私法
欧洲监管机构和隐私倡导者继续努力限制和监管个人数据用于营销和广告,促使商业惯例和模式发生变化,这些做法和模式仍将受到审查。事实上,即使在一家社交媒体公司在欧洲推出了无广告订阅选项,以回应GDPR针对其广告跟踪的执法行动之后,隐私倡导者发誓要挑战新计划,将其视为一种据称是强制性的“要么付费,要么同意”的方法,以获得广告跟踪同意。[46]
6月,法国数据隐私监管机构CNIL对在线广告公司Criteo处以4000万欧元的罚款,指控该公司在网上跟踪消费者并将其数据用于定向广告,违反了GDPR。CNIL将Criteo的业务重点描述为“行为重定向”——通过使用cookie数据分析用户的浏览习惯,向个人用户提供个性化广告。CNIL发现,该公司在使用消费者的数据进行行为重定目标之前,没有征得消费者的同意。尽管Criteo的数据不包括用户姓名,但CNIL发现,该公司收集的数据足够准确,可以重新识别一些个人。[47]
修订后的《瑞士联邦数据保护法》于2020年通过,于2023年9月1日生效,使瑞士对数据隐私的监管与欧盟GDPR更加一致。该法律具有广泛的地理范围,旨在适用于在瑞士有影响的任何活动,并涵盖任何实体在瑞士服务器上存储个人数据。从事对数据主体构成高风险的大规模处理活动的相关实体需要在瑞士任命一名代表作为瑞士数据主体的联络点。[48]了解欧盟处理个人数据的监管要求和风险已有一段时间的公司,不再享有瑞士更灵活制度的许多好处。
* * *
[1] See California Privacy Protection Agency, California’s Office of Administrative Law Approves CCPA Regulations (Mar. 30, 2023), https://cppa.ca.gov/announcements/2023/20230330.html.
[2] See Cal. Chamber of Commerce v. Cal. Priv. Prot. Agency, No. 34-2023-80004106, at 5 (Cal. Super. Ct. June 30, 2023) (staying enforcement of regulations until 12 months from the date that the regulations become final).
[3] 2023 Cal. Legis. Serv. ch. 709 (West).
[4] California Privacy Protection Agency, A New Landmark for Consumer Control Over Their Personal Information: CPPA Proposes Regulatory Framework for Automated Decisionmaking Technology (Nov. 27, 2023), https://cppa.ca.gov/announcements/2023/20231127.html; California Privacy Protection Agency, Draft Automated Decisionmaking Technology Regulations (Dec. 2023), https://cppa.ca.gov/meetings/materials/20231208_item2_draft.pdf.
[5] California Privacy Protection Agency Board, Meeting Notice & Agenda, https://cppa.ca.gov/meetings/agendas/20231208_agenda.pdf.
[6] Colo. Rev. Stat. § 6-1-1303(24) (2021). See generally 2021 Colo. Legis. Serv. ch. 483 (West).
[7] 2023 Or. Legis. Serv. ch. 369 § 1(18)(a) (West).
[8] Tenn. Code Ann. § 47-18-3213 (2023). See generally 2023 Tenn. Legis. Serv. ch. 408 (West).
[9] Wash. Rev. Code §§ 19.373.010(8)(a), 19.373.900 (2023). See generally 2023 Wash. Legis. Serv. ch. 191 (West).
[10] Fla. Stat. §§ 501.702(9), 501.71(4). See generally 2023 Fla. Sess. Law Serv. ch. 2023-201.
[11] NetChoice, LLC v. Bonta, No. 22-cv-8861, 2023 WL 6135551 (N.D. Cal. Sept. 18, 2023).
[12] Free Speech Coal., Inc. v. Colmenero, No. 1:23-cv-917, 2023 WL 5655712 (W.D. Tex. Aug. 31, 2023).
[13] NetChoice, LLC v. Griffin, No. 5:23-cv-05105, 2023 WL 5660155 (W.D. Ark. Aug. 31, 2023).
[14] Free Speech Coal., Inc. v. Anderson, No. 2:23-cv-287, 2023 WL 4899509 (D. Utah Aug. 1, 2023).
[15] Free Speech Coal., Inc. v. LeBlanc, No. 23-cv-2123, 2023 WL 6464768 (E.D. La. Oct. 4, 2023).
[16] The White House, FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy (Mar. 2, 2023), https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/; see also The White House, National Cybersecurity Strategy (Mar. 2023), https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf.
[17] The White House, National Cybersecurity Strategy Implementation Plan (July 2023), .
[18] Cybersecurity Labeling for Internet of Things, 88 Fed. Reg. 58211 (Aug. 25, 2023).
[19] Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure, 88 Fed. Reg. 51896 (Aug. 4, 2023).
[20] See also Paul, Weiss, SEC Adopts New Cybersecurity Disclosure Requirements (Aug. 2, 2023), https://www.paulweiss.com/practices/litigation/cybersecurity-data-protection/publications/sec-adopts-new-cybersecurity-disclosure-requirements?id=47481.
[21] Regulation S-P: Privacy of Consumer Financial Information and Safeguarding Customer Information, 88 Fed. Reg. 20616 (Apr. 6, 2023).
[22] Paul, Weiss, SEC Proposes Enhancements to Regulation S-P: Potential Implications for Private Fund Advisers (Mar. 20, 2023), https://www.paulweiss.com/practices/transactional/investment-management/publications/sec-proposes-enhancements-to-regulation-s-p-potential-implications-for-private-fund-advisers?id=46305.
[23] Standards for Safeguarding Customer Information, 88 Fed. Reg. 77499 (Nov. 13, 2023).
[24] 45 N.Y. Reg. 23 (Nov. 1, 2023).
[25] Paul, Weiss, NYDFS Finalizes Updates to Part 500 Cybersecurity Regulation (Nov. 8, 2023), https://www.paulweiss.com/practices/litigation/cybersecurity-data-protection/publications/nydfs-finalizes-updates-to-part-500-cybersecurity-regulation?id=49006.
[26] Governor Kathy Hochul, Governor Hochul Announces Proposed Cybersecurity Regulations for Hospitals Throughout New York State (Nov. 13, 2023), https://www.governor.ny.gov/news/governor-hochul-announces-proposed-cybersecurity-regulations-hospitals-throughout-new-york.
[27] Am. Compl., Federal Trade Commission v. Kochava Inc., No. 2:22-cv-00377 (D. Idaho June 5, 2023).
[28] Federal Trade Commission, Ovulation Tracking App Premom Will Be Barred from Sharing Health Data for Advertising Under Proposed FTC Order (May 17, 2023), https://www.ftc.gov/news-events/news/press-releases/2023/05/ovulation-tracking-app-premom-will-be-barred-sharing-health-data-advertising-under-proposed-ftc.
[29] Federal Trade Commission, FTC Sends Nearly $100 Million in Refunds to Vonage Consumers who Were Trapped in Subscriptions by Dark Patterns and Junk Fees (Oct. 30, 2023), https://www.ftc.gov/news-events/news/press-releases/2023/10/ftc-sends-nearly-100-million-refunds-vonage-consumers-who-were-trapped-subscriptions-dark-patterns.
[30] Federal Trade Commission, Publishers Clearing House Refunds (Nov. 2023), https://www.ftc.gov/enforcement/refunds/publishers-clearing-house-refunds.
[31] Federal Trade Commission, FTC Will Require Microsoft to Pay $20 Million Over Charges It Illegally Collected Personal Information from Children Without Their Parents’ Consent (June 5, 2023), https://www.ftc.gov/news-events/news/press-releases/2023/06/ftc-will-require-microsoft-pay-20-million-over-charges-it-illegally-collected-personal-information.
[32] U.S. Department of Health and Human Services, Resolution Agreements (last updated Dec. 14, 2023), https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/index.html.
[33] European Commission, Adequacy Decision for the EU-US Data Privacy Framework (July 10, 2023), https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en.
[34] Data Privacy Framework Program, Key Requirements for DPF Program Participating Organizations, https://www.dataprivacyframework.gov/s/key-requirements.
[35] Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, 88 Fed. Reg. 75191 (Nov. 1, 2023).
[36] Id. at 75193 (section 2(f)).
[37] Id. at 75198 (section 4.2(c)(i)).
[38] https://www.theregister.com/2023/03/15/cancer_lvhn_sues_hospital/?td=rt-3a.
[39] See, e.g., Compl., Nienaber v. Overlake Hosp. Med. Ctr., No. 2:23-cv-1159 (W.D. Wash. Aug. 3, 2023).
[40] Federal Trade Commission, FTC and HHS Warn Hospital Systems and Telehealth Providers About Privacy and Security Risks from Online Tracking Technologies (July 20, 2023), https://www.ftc.gov/news-events/news/press-releases/2023/07/ftc-hhs-warn-hospital-systems-telehealth-providers-about-privacy-security-risks-online-tracking.
[41] Mosby v. Ingalls Memorial Hospital, No. 129081, 2023 IL 129081 (Ill. Nov. 30, 2023).
[42] John Wolak & William Martinez, That’s a Super-Sized Sack of Sliders: Illinois Supreme Court Finds White Castle Could Face Up to $17 Billion in Damages, American Bar Association (May 15, 2023), https://www.americanbar.org/groups/business_law/resources/business-law-today/2023-may/illinois-supreme-court-finds-white-castle-could-face-up-to-17b-in-damages/.
[43] Compl., SEC v. Covington & Burling LLP, No. 23-mc-2 (D.D.C. Jan. 10, 2023).
[44] SEC v. Covington & Burling, LLP, No. 23-cv-2, 2023 WL 4706125 (D.D.C. July 24, 2023).
[45] Andrew Goudward, SEC, Covington End Legal Fight Over Client Names, But Dispute Isn’t Over, Reuters (Sept. 18, 2023), https://www.reuters.com/legal/legalindustry/sec-covington-end-legal-fight-over-client-names-dispute-isnt-over-2023-09-18/.
[46] Natasha Lomas, Meta to Offer Ad-Free Subscription in Europe in Bid to Keep Tracking Other Users, TechCrunch (Oct. 30, 2023), https://techcrunch.com/2023/10/30/meta-ad-free-sub-eu/.
[47] CNIL, Personalised Advertising: CRITEO Fined EUR 40 Million (June 22, 2023), https://www.cnil.fr/en/personalised-advertising-criteo-fined-eur-40-million.
[48] Andreas Matzler & Charlotte Mason, Ready for the New Swiss Data Protection Law? Implications for Organizations Outside Switzerland, Int’l Ass’n of Priv. Pros. (Aug. 17, 2023), https://iapp.org/news/a/revised-swiss-data-protection-law-soon-in-effect-with-new-scope-obligations-implications/.
- 登录 发表评论