今年4月的主要收获包括:
- 英国儿童数据保护重点继续:企业可能希望根据英国最近的ICO罚款和指导,审查处理儿童数据的政策和程序,特别是为了确保使用条款得到充分执行。
- 更新的欧盟”一站式服务”指导:在更新的EDPB指导方针声明仅在欧盟成员国存在第27条代表并不构成违规行为之后,非欧洲经济区的企业可能希望重新审视其违规通知程序。主要建立,目的是触发一站式服务系统,可能要求企业通知受影响个人居住的每个成员国。
- 意大利解除对ChatGPT的禁令,但EDPB开始调查:在欧洲运营和使用生成式人工智能的企业,或来自欧洲个人的数据,应考虑新兴的欧洲数据保护机构关注人工智能发展所带来的监管风险。
- 新英国国家网络安全中心(NCSC)联合指南:软件设计师和制造商可能希望根据强调设计和默认隐私重要性的新指南来审查现有的开发程序和产品。参见我们的以前的观点从英国ICO的产品设计论坛了解隐私设计。
这些发展,以及更多,将在下面介绍。
TikTok因滥用儿童数据被英国ICO罚款1270万英镑
事情发生的经过:的图标对TikTok罚款1270万英镑此前发现,在2018年至2020年期间,多达140万13岁以下的儿童被允许使用这个视频分享平台,这违反了TikTok自己的服务条款。罚款是最初定价为2700万英镑但监管机构最终放弃了另一项临时发现,即TikTok非法处理特殊类别数据。
在英国,如果企业提供这种服务,则需要父母或监护人的同意。”资讯社会服务给13岁以下的儿童。ICO批评TikTok未能做到:
- 在本应知悉13岁以下儿童使用平台的情况下,取得家长或监护人的同意;
- 进行充分的检查,以识别并将13岁以下的儿童带离平台;
- 充分回应高级员工对13岁以下儿童使用平台的内部担忧;
- 向用户提供有关数据如何收集、使用和共享的适当且易于理解的信息,以确保他们就是否以及如何使用该平台做出明智的决策;和
- 根据上述规定,确保以合法、公平及透明的方式处理个人资料。
怎么做:企业不妨审查处理儿童数据的政策和程序。特别是,企业可能希望考虑现有政策是否足够,以监测使用条款是否得到充分执行,以及是否在更广泛的范围内实施了充分的流程,以确定和限制13岁以下儿童使用所涵盖的服务。
英国ICO发布指南当在线服务是“可能被儿童接触,并且需要遵守其适合年龄的设计规范
事情发生的经过:英国ICO发布指导草案解决“可能被访问,以2020年为背景适龄设计守则。监管机构倡导一种常识性的方法,确认企业必须评估是否“服务的性质和内容“有”对儿童特别有吸引力"和"获得服务的方式以及为防止儿童获得服务而采取的任何措施。“政府信息办公室重申,《守则》同样适用于并非旨在供儿童使用,但仍有可能被儿童使用的服务,就像适用于针对儿童的服务一样。因此,仅限成人和年龄限制的服务可能仍在范围内。
怎么做:指南草案的咨询将于2023年5月19日结束。一旦最终确定,企业可能想要重新评估适合年龄的设计准则的适用性。该指南包括有用的例子和案例研究。如果该准则适用,企业可能希望将此评估记录下来,并采取步骤将遵守该准则纳入现有的产品开发和监控流程。
阿姆斯特丹上诉法院允许自动决策和与侧写相关的访问请求
发生了什么事:在三个相连的呼吁中(在这里,在这里和在这里),阿姆斯特丹上诉法院裁定,Uber和Ola这两家叫车公司的司机可以根据他们的数据主体访问权,访问用于确定费率、票价和欺诈概率分数过程中的某些数据,这使得个人有权要求获得有关影响他们的自动决策的信息,包括有关所涉及的逻辑的有意义的信息,以及这种处理对数据主体的重要性和设想的后果。
这些决定概述了与gdp覆盖的自动化决策相关的重要原则,包括:
- 访问有关自动决策的信息的权利反映了受GDPR第22条约束的自动决策类别(即仅基于自动处理的决策,包括分析,这会对他或她产生法律影响或同样对他或她产生重大影响);
- 符合第22条第1款规定的重要性门槛的可能情况可能包括影响某人的决定:(i)财务状况,例如他有资格获得贷款的能力;㈡获得保健服务;(三)就业机会;(iv)接受教育的机会,例如进入大学;
- 人为干预,以便使决策过程超出第22条所述的自动决策概念:(i)必须“不仅仅是象征性的行为“(ii)需要有权力的人进行干预以改变结果;(iii)视情况而定,可要求个人有机会就该决定发表意见;
- 虽然机器学习的增长和复杂性可能会使人们难以理解自动决策过程或分析的工作原理,但控制者必须找到简单的方法向个人解释自动决策背后的原理或使用的标准。
怎么做:企业可能希望审查现有的决策流程,以评估它们是否属于法院规定的GDPR第22条规定的自动决策范围。在这样做的情况下,企业可能希望特别审查他们是否遵守了连锁要求,并考虑响应数据主体访问请求的现有流程是否足够。
欧盟数据保护局更新的个人数据泄露通知指南建议,非欧洲经济区企业不能依赖“一站式服务“例外
事情发生的经过:市建局最终敲定了先前建议的更新其的指导方针它指出,仅仅在欧盟成员国存在GDPR第27条代表并不构成“主要建立“为了触发一站式服务系统,这意味着受GDPR域外范围约束的控制者可能必须通知受影响个人居住的每个成员国的相关当局。
我们在我们的2022年10月欧洲数据保护综述。
怎么做:在欧洲经济区以外建立的企业,如果有第27条代表依赖于以前的EDPB指导,可能需要为在GDPR规定的短时间内需要向众多成员国的当局(即,包括欧洲经济区和16个德国州数据保护当局时,最多可达45个)通知的情况做好准备。
意大利同意解除ChatGPT禁令
事情发生的经过:意大利数据保护局(Garante)宣布会这样做解除禁令在ChatGPT的所有者OpenAI的协议基础上,实施监管机构概述的一系列措施。这些措施的目的是使ChatGPT符合欧盟数据保护法规,重点关注透明度、用户权利和未成年人保护。
尽管Garante做出了改变,但其他欧洲数据保护机构继续对EDPB的ChatGPT等生成式人工智能工具表示担忧成立专责小组进行调查。
怎么做:在欧洲运营和使用生成式人工智能的企业,或来自欧洲个人的数据,应考虑新兴的欧洲数据保护机构关注人工智能发展所带来的监管风险。在最近的一些博客文章中,我们总结了关键的发展,并概述了企业的实用技巧:
英国NCSC发布了关于设计和默认安全性的新联合指南,以优先考虑安全性并减少漏洞
事情发生的经过:NCSC与国际网络安全权威机构和政府通信总部(GCHQ)发布了指导意见,建议软件制造商在开发、配置和交付产品之前,将软件安全纳入其设计过程。联合指南特别建议:
- 将设计安全原则嵌入到设计过程中,从开发阶段就将客户的安全性作为核心业务目标(而不是作为附加功能);
- 在设计过程中嵌入默认安全原则,从而保护产品免受网络安全风险。”开箱即用“不需要任何额外的配置更改或成本;
- 使用指导来发展开发过程,例如跟踪和减少“硬化指南,其中列出了保护产品的方法,支持放松指南,它解释了用户应该进行的更改(以及任何决策的相关安全风险)。
隐私设计在英国越来越受到关注。我们最近概述来自英国ICO产品设计论坛的见解,旨在帮助产品设计师和经理将“设计隐私”或“设计和默认数据保护”原则纳入他们的工作中。特别是,ICO提供了实用的指导,可以帮助公司更好地了解当前的市场实践、ICO的期望,以及即将出台的关于隐私设计问题的监管指导方向。
怎么做:软件设计师和制造商可能希望根据强调设计和默认隐私重要性的新指南来审查现有的开发程序和产品。这份联合指南表明,世界各地的监管机构越来越关注设计原则,英国和其他地方未来立法强制要求此类要求的可能性也越来越大。
订阅数据博客,请点击这里。
这篇博文的封面是由DALL-E制作的。
