美国参议员提出2022年《我的身体,我的数据》法案
作者:赵化律师 访问次数:235 时间:2022/06/28
泰国皇家公报于2022年6月20日公布了与2019年《个人数据保护法》(PDPA)配套的四部法律。这四部法律构成了数字经济与社会部(MDES)所预期的补充法律,即:
对个人数据控制者保持适当安全措施的要求(《适当安全措施法》);
组织、制作和保存处理活动记录的标准和方法(《ROPA标准》);
对中小型企业(SMEs)组织、制作和保存处理活动记录的要求的豁免(《ROPA 豁免》);
发布行政罚款和专家委员会命令的标准(《行政罚款法》)
2022.6.21
美国参议员Wyden于2022年6月16日提出参议院法案 (SB) 4434,该法案旨在保护个人生殖或性健康信息的隐私,也被称为《2022年我的身体、我的数据》法案。Wyden 强调说,他提出SB 4434法案是因为泄露的决定草案显示美国最高法院计划推翻罗伊诉韦德案,这引起了人们的严重关切,即如果堕胎被定罪,应用程序和网站收集的数据可能被用来针对或逮捕人们。此外,Wyden解释说,SB 4434是第一个加强数字隐私和专门保护个人生殖健康信息的国会行动,它将创建一个新的国家标准来保护个人生殖健康数据,由联邦贸易委员会 (FTC) 执行.
SB 4434 :
将可以收集、保留、使用或披露的个人生殖和性健康数据限制在交付产品或服务所需的范围内;
保护目前未受1996年《健康保险流通和责任法案》(HIPAA)涵盖的实体收集的个人数据,包括应用程序、手机和搜索引擎收集的数据;
要求受监管实体制定和共享隐私政策,概述他们如何收集、保留、使用和披露个人生殖健康信息;
指示联邦贸易委员会执行法律并制定实施法规的规则。
2022.6.22
关于《美国数据隐私和保护法》的众议院第8152号决议于2022年6月21日提交给美国众议院,与提交给众议院的两党联邦隐私法案的讨论稿有一些区别。特别是,HR 8152将适用于覆盖实体,其定义为:
此外,HR 8152还将,
要求涵盖的实体和服务提供商就涵盖的数据的收集、处理和传输制定、实施和维护合理的政策、做法和程序;
要求受保护的实体就个人受保护数据的处理或传输向个人提供撤回任何同意的方法,该方法与提供同意的方法一样容易执行;
规定数据主体权利,例如访问、删除、更正和导出个人涵盖数据的权利,以及选择退出定向广告的权利;
禁止向17岁以下的儿童和未成年人投放定向广告;和
要求在知情的情况下单独或部分开发算法的涵盖实体或服务提供商收集、处理或传输涵盖的数据或公开可用的信息,以便在将算法部署到州际贸易中之前,评估设计、结构和输入算法,包括用于开发算法的任何训练数据,以降低识别出的潜在危害的风险。
2022.6.22
美国/总统/签署《2021年州和地方政府网络安全法》/成为法律
美国总统乔-拜登于2022年6月21日签署了《2021年州和地方政府网络安全法》的参议院法案(SB)2520,使之成为法律。特别是,该法案修订了2002年国土安全法的一些条款,并规定国土安全部(DHS)与州、地方和领土政府,以及公司、协会和公众之间在网络安全方面的合作。此外,该法通过赠款和合作协议扩大了国土安全部的责任,包括提供与网络威胁指标、主动和防御措施、网络安全技术、网络安全风险和脆弱性、事件响应和管理、分析和警告有关的援助和教育。
最后,该法要求国家网络安全和通信集成中心应要求与从事特定活动的不同实体进行协调,包括与以下有关的活动。
与州、地方、部落或地区的政府实体进行演习。
向这些实体提供业务和技术网络安全培训;
促进网络安全教育和认识。
2022.6.23
2022年6月15日,美国参议院提出了一项禁止数据经纪人出售和转让某些敏感数据的法案(SB)4408。SB 4408将规定,数据经纪人出售、转售、许可、交易、转让、分享或提供个人的位置、健康和联邦贸易委员会(FTC)确定的其他类别的数据都是非法的,除非是为了遵守《1996年健康保险可携性和责任法案》,公布有新闻价值的合法公共关注的信息,或经个人有效授权的披露。
SB 4408 规定,根据《1914 年联邦贸易委员会法》第 18(a)(1)(B)条,任何违反其规定的行为将被视为不公平或欺骗性行为或做法。如果各州总检察长(AGs)有理由相信本州居民的利益受到威胁,他们也有执法权,因此允许AGs代表本州居民提起民事诉讼。SB 4408法案要求各州总检察长在提起诉讼之前,以书面形式通知联邦贸易委员会此类行动,并附上一份投诉的副本。此外,SB 4408 还允许利益受到威胁或影响的个人对数据经纪人提起私人诉讼。
2022.6.20
国家网络安全事件准备和战略中心 (NISC) 于2022年6月17日发布了2021年年度网络安全报告,其中包括2022年年度计划。该年度报告阐述了网络空间的近期变化、因形势变化而产生的政策问题,以及实现“自由、公平和安全的网络空间”的措施。年度报告着眼于加强包括重要基础设施在内领域的网络安全,同时还发布了《关键基础设施网络安全行动计划》。
此外,年度报告建议加强中小型企业(SMEs)的网络安全,以及确保供应链的可持续性。最后,报告重点介绍了去年的成就,包括分享支持发展中国家网络安全发展的战略和基本政策、对这些战略和政策的评估以及 为2022年所做的努力。
2022.6.20
美国/NIST物联网网络安全计划/发布两份关于物联网网络安全注意事项新文件
美国国家标准与技术研究院(NIST)物联网(IoT) 网络安全计划于2022年6月17日宣布发布 NIST 内部报告(NISTIR) 8425草案,标题为‘消费物联网产品的物联网核心基线概况”,并于2022年6月21日发表了一篇题为“NIST 未来物联网网络安全的讨论文章:物联网风险识别复杂性”。NISTIR 8425回顾了NIST 2022年2月发布的《关于消费者物联网(IoT)产品网络安全标签推荐标准》白皮书中的消费者物联网网络安全标准,并将这些标准纳入NIST物联网网络安全指南系列。此外,NISTIR 8425记录了消费者物联网领域通常需要的网络安全功能,并讨论了开发NIST推荐的消费者配置文件的基础。
关于讨论文章,它探讨了物联网中的风险识别主题,并概述了解决物联网设备风险的关键问题。
2022.6.22
柏林数据保护局("柏林专员")于2022年6月16日宣布,它已经更新了其网站上关于广告和地址交易主题的网页。
在广告方面,柏林专员明确指出了个人数据和广告行为重叠的领域,并强调广告公司可能直接从数据主体或从地址交易商那里获得个人数据,后者在目录、商业登记册和其他出版物中收集个人数据。在这方面,柏林专员指出,数据主体在分享其个人数据时应谨慎行事。此外,该指南还说明了营销公司处理个人数据可能依赖的合法依据,以及应告知数据主体的相关权利。此外,该指南还包括数据主体可用于向公司投诉并行使其权利的信函样本,以及旨在帮助数据主体在广告方面维护其权利的进一步信息。
此外,在其关于地址交易的页面中,柏林专员表示,即使广告公司本身没有从数据主体那里获得地址,而是利用地址交易商来实现这一目的,一般来说,未经数据主体同意,交易商也不得这样做。柏林专员补充说,希望将客户的地址转给第三方用于广告目的的公司必须定期获得客户的单独同意。柏林专员明确指出,转让此类地址数据的公司不能以合法利益作为法律依据,因为为广告目的转让客户地址不符合数据主体的一般期望。
2022.6.21
丹麦/Datatilsynet/建议对 Gyldendal 处以 1M 丹麦克朗的罚款
丹麦数据保护机(Datatilsynet)于2022年6月22日宣布,在Datatilsynet对Gyldendal进行实际检查后,它向警方举报了网上书店Gyldendal A/S,并建议对其处以100万丹麦克朗(约201,663欧元)的罚款,原因是其在用完个人信息后没有删除,违反了《通用数据保护条例》(GDPR)。
案件背景
Datatilsynet 表示,在检查过程中它发现Gyldendal读书俱乐部约685,000名离开会员的信息被该公司保存在一个 "被动数据库 "中,超过了必要的时间而没有被删除。此外,Datatilsynet说明在检查之后,Gyldendal已经删除了被动数据库中的所有信息,并告知Datatilsynet,根据该公司的评估,未来有必要将离开会员的信息存储长达6年。
Datatilsynet 的调查结果
值得注意的是,Datatilsynet 发现 Gyldendal 保留其书友会离职会员的个人信息的时间超过了必要的时间,因为处理这些信息的目的早已用尽。此外,Datatilsynet 指出,Gyldendal 没有制定删除相关信息的程序或指南。
结果
最终,Datatilsynet 表示已向警方报告该公司,并建议对公司在其处理目的已用尽后未能删除个人信息的行为处以100万丹麦克朗(约合201,663欧元)的罚款。
2022.6.23
挪威/Datatilsynet/提供九项保护组织内部隐私的规则
挪威数据保护局(Datatilsynet)于2022年6月24日发布了关于保护组织内部隐私的新规则,意图让处理个人数据的公司负责为所有人创建安全的数字空间。Datatilsynet 概述了身份和性别身份可以与应用程序、网站、搜索、数据存储和算法相关联,这可能导致歧视。因此,Datatilsynet 编制了关于如何处理个人数据的九项规则,包括个人信息的所有使用,例如收集、注册、编译、存储、披露或此类使用的组合。规则包括: