传媒教育网

 找回密码
 实名注册

QQ登录

只需一步,快速开始

搜索
做个试验
楼主: 刘海明
打印 上一主题 下一主题

媒体法规案例

[复制链接]
770#
 楼主| 发表于 2019-10-13 22:17:50 | 只看该作者
【案例】
美国《加州消费者隐私保护法案》(CCPA)实施细则
【发布者按语】在GDPR(欧盟通用数据保护条例)正式实施后,各国的数据保护法规相继出台。2018年颁布的《加利福尼亚消费者隐私法》(CCPA)规定了新的消费者权利,涉及企业收集的个人信息的访问、删除和共享。企业负有保护个人信息的责任,消费者控制并拥有其个人信息,CCPA提高了美国保护隐私的标准,对于不遵守法案或导致数据泄露的企业处以罚款。
      20191010日,加利福尼亚州总检察长Xavier Becerra公布了根据CCPA提出的实施细则,通过实施细则来促进CCPA宗旨的实施。拟议的实施细则将建立可行的程序,以保障消费者在CCPA下的新权利,并为企业如何遵守CCPA提供一定的指导。
      总检察长将在2019122日至5日,举行四次公开听证会,为所有感兴趣的人提供就实施细则进行口头或书面陈述及评论的机会,建议提交的截止时间为201912617:00时。
      北京师范大学网络法治国际中心特此全文发布《加利福尼亚消费者隐私法(CCPA)》实施细则全文,以飨读者。——吴沈括,北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长。



编辑:陈茗


微信图片_20191013221317.jpg (1.25 MB, 下载次数: 14)

微信图片_20191013221317.jpg
769#
 楼主| 发表于 2019-10-9 19:51:42 | 只看该作者
【案例 】




编辑:陈茗

768#
 楼主| 发表于 2019-10-7 16:08:43 | 只看该作者
【案例】
数字时代,网民有被遗忘权吗?
最近,因为自己的「黑历史」被扒而遭遇网络暴力的人越来越多了。无论明星还是普通人,无论博取流量还是为爱发声,似乎都难逃群众们目光雪亮的检视。当下做了什么、说了什么都不算数,算数的是你三年、五年前做过的事、说过的话。
始终如一、言行一致确实是良好品德体现,但到了互联网时代却有些变味甚至让人产生不安。
除了越来越多的人选择朋友圈三日可见之外,微博作为广场式社交工具也上线了「仅半年可见」甚至被戏称为「自主炸号」的「帐号临时停用」功能,以确保用户在需要的时候可以用最快的速度隐藏自己曾经说过的话。
网络平台海量的存储空间在帮助人们保存了必需数据的的同时,也不可避免地记住了许多无效信息;在协助算法推进科技发展的同时,似乎也为人类生活带来了负面影响。
比起成为地球历史的见证者,互联网或许要开始学习遗忘。本期全媒派(IDquanmeipai)受权转载腾讯研究院(IDcyberlawrc)的文章,和大家一起聊聊互联网的「记忆」与「忘记」。
无法和解的「过去」
随着我们越多地在网络上记录我们的生活、工作、个人情感与观点,互联网承担着一个尽职的记录者角色。
这并非一种比喻,在大多数网络平台上,我们发布的文字会被以十年为单位的精确记录,我们发布的照片不会褪色,发布的视频不会变形,发布的表情包也会在十年后精准的传达我们当时的情绪。
这既是网络带给我们的便利,也是问题所在。
如果说互联网记住的只是普通人的黑历史,掀起波澜再大也终会过去。那么,当庞大的记忆库里容纳了不恰当的关键词,则有可能演变成波及更广的网络暴力。
Handelsblatt Today的记者在《AnInternet's Worth of Hatred Unleashed》一文中提到,2016年美国大选时,参选双方曾在推特等社交媒体上,就多个社会议题互相攻击、展开骂战。之后,这一漫长的战役虽然随着特朗普的当选落下帷幕,但完整的论战过程却被网络平台保存了下来。其关键词搜索里留存的大量负面信息,包括种族歧视、性别歧视、民族仇恨言论,在大选结束之后的三年内,依然不断地被前来搜索的人们转发、评论、扩大。
在这种情况下,因种种原因无法消除的网络关键词变成了一种传播符号——只要点进去,就能够还原所有的负面场景、所有的仇恨和偏见、以及所有的攻击对象。在这里,网络平台变成了传播消极、引导暴力的工具,偏见者们如同秃鹰一般寻味而来,聚集成团体,依靠关键词记录,挨个攻击、威胁那些与他们意见不合的陌生人——即使对方发言早在三年之前。互联网绝佳的记忆力,却孕育出了网络暴力的温床,让网络环境变得愈发糟糕。
无论是微博、微信还是论坛,只要在互联网平台上留下痕迹便难以消除。小到心情不好时的抱怨,和朋友就某个议题展开的激烈辩论,大到某年某月洋洋洒洒写下的千字长文。情绪总是一时的,争吵得再厉害,观点经过碰撞也终究会获得某种共识,只有记录无法消解,即使过去三年五年,它仍然顽强停留在原地。
于是一个「精分」现场就产生了:你与朋友因为对「某个事件到底是不是谣言」不合而吵了一架,事件过去许久,争吵在脑海中翻篇,你们各自早已想要和好。然而,当你们打开朋友圈,发现那时双方负气写下的言论未曾删除,场景还原,历历在目,情绪再次被唤起:我怎么能和这种人做朋友?
现实生活中,争吵所产生的怨怼情绪,往往因为人脑记忆能力的限制性,在至多一两个月后便烟消云散。
你与仇人的和解,一般基于双方对曾经争论的焦点本身不再纠结。然而,互联网延长了人类记忆能力的广度和持久度,使得一场冲突可以被完整保存。其保存的除了争论焦点本身(你们可能已经不在意)之外,还保留了在争论过程中彼此对对方使用的不冷静语言和彼此不认同的情绪。
譬如贴吧里常有的「万丈高楼」帖,能完整记录若干年前一次集体行动的痕迹;微博上过千万转发的博文,让「考古党」在多年后依然能「吃瓜狂欢」......曾经的负面情绪无法消解,最终只能让人们一直停留在原地毫无意义地打转。
挖坟」、人格面具与人的成长
精确记忆的另一个问题是「挖坟」,即把某人在几年乃至十几年前在网络上的言论或行为找出并以当下的道德或法律标准进行审判。
假如说,被完整保留又被「挖出」的只是普通争吵,最糟糕的结果可能就是让「友尽」来得更加频繁,当这种优秀的记忆力涉及到公众议题时,人们则往往会付出超出自己想象的代价。
事实上,「挖坟」这种行为并不只在国内社交网络特有,它更像是世界范围内的网络狂欢。
前些日子,一个18岁的美国少年因为被人曝出自己16岁时发表的涉及种族歧视的言论,而被原本决定录取他的哈佛取消了offer,即使他连发13条推特为自己辩解,也无济于事。这件事在中外社交媒体都上了热搜,网友们无论支持哪一方,都难得地表达了同一种感叹:「生活在互联网时代真可怕,你所做的任何事情都会被记录下来」。
少年本人是一起校园枪击案的幸存者,案件之后,一直以社会活动家的身份为推动合理使用枪支和维护校园安全而发声,成绩优异,可以说塑造出了一个积极正能量的人设。然而,因为16岁时同好友的私人聊天中发表了种族歧视的言论,即使事情已经过去两年,依然能够被人翻出来、加以攻击和批判。
事件本身对错且先不论,这其中展露出的来自互联网的力量却是让人生畏的。现实生活中,当我们与朋友聊天时,大概根本不会有人想到去记录聊天的内容——毕竟我们每天要与那么多人进行口头交谈,交换大量信息和情感,人们只会记录重要的、必要的信息。但是,互联网将这种信息交换彻底具像化了。现在,它不再是某种古老的传播方式,而是一行行精准排列的数据,可以被编码、被保存和被复制。当人们通过网络平台进行信息交换时,被记录下来的,便不再是重要或者必要的,而是未经筛选、事无巨细的每一条信息。
这就造成了一种情境:人们不可能记住自己说的每一句话,互联网却记住了,还为无关看客提供了挖掘和评判的可能性,而当事人本身甚至没有办法阻止这类事情的发生——我的发言不再是我的发言,它归互联网和公众所有——某种意义上这何尝不是一种隐私权的缺失?
再说这位美国少年,他在公众面前表现出来的模样和私底下差别太大,有人将这种差别视作欺骗行为,因此认为哈佛取消offer是合理的。
这一逻辑在国内许多大型吃瓜事件中其实也经常出现。譬如前段时间某年轻明星被拍到公众场合吸烟,网络上掀起铺天盖地的指责声讨之声;更早时候,某女星因被人挖出年少时在QQ空间写的脏话,遭到了网络暴力。
人们似乎认定,人类在每个场合和年龄都应当是言行一致的,假如某位明星被发现曾做过与其公开形象相悖的事情,这种行为将被视作欺骗和「人设崩塌」,并遭到群众的一致批判。
表里如一和始终如一是所有人追求的美德,但人类是否能统一自己的全部人设,让自己在所有场合都以一种模式思考和表达其实是一个有争议的心理学问题。比如从荣格的人格面具理论来看,这一要求便不具备合理性。
荣格将一个人的人格比喻为面具,指在不同的社交场合、不同的人生阶段,人们会表现出不同的形象,也就是戴上不同的面具。人格面具使人能够演绎各种性格,以满足生活和社交需求。一个人在父母面前表现出来的模样,肯定和在朋友面前的不同;其面对孩子时所扮演的角色,和面对老板时的当然也迥异。
因此,要求一个人统一自己在所有场合的人格面具——或者说「人设」,虽并非全无可能但对大多数人来说都是一件非常困难的事情。
许多的「挖坟」考察的并非是一个人在当下时间点不同场合下的言行,而是以当下的标准衡量过去,这其实是否定了人的可变化性。一个曾经抽烟的人,并不意味着其不能在后续为禁烟事业贡献;一个曾经歧视女性的人,也并不意味着不会在转变观念为男女平等呼喊;一个曾经对他人施以霸凌的人,在受到应有的惩罚与教育后也有可能会成为制止校园暴力的那个人。
当然,相反的转变也自然存在。
更进一步,这也是互联网绝佳记忆力的可怕之处。在其出现之前,每个人都揣着多种人格面具生活,互联网的诞生改变了这一切。它使得人格表达变得易于追溯和记录,使得「所有不同的时期、场合和受众」变成了「同一时期、场合和受众」。于是一部分人被迫统一自己所有的人格面具,力求在各种场合「言行一致」,而这种要求其实是扭曲的。
否定人的转变,在某种程度上也是否定了那些矫正「错误」的力量——如错误永远无法被纠正,则纠正错误本身也变得没有意义。而无论是个体的成长,还是人类文明的成长,都是建立在一次又一次对错误的纠正之上。
互联网需要学会遗忘
人类文明中最宝贵的痕迹可以刻在石头上,而互联网需要学会遗忘。
人类文明诞生以来,叙事和记录是我们孜孜不倦传承的母题,在所到之处留下痕迹,已然成为人类的本能。我们总说,「不要忘记」,于是发明了计算机来计算更多的数据,存储更多的记忆,拓展更大的空间,让互联网带领我们突破时空的限制,畅游未来与往昔。
我们曾在《互联网的第一次失忆》中谈到,互联网的记忆很「脆弱」,可能抵不住一次断电或机房损毁,但互联网的遗忘模式却与人类文明的遗忘模式迥然相异。与最原始的石刻相比,目前几乎任何现代的信息存储介质都是经不住时间考验的。
互联网记忆的消失,往往与存储介质或平台的突然意外相关,其「失忆」的过程不经筛选。而人类文明的集体记忆,往往是传承精华,遗忘糟粕。
现阶段的互联网很难「失忆」,所以人们还能在各种平台上找到自己年少时期的回忆。但互联网太难去「忘记」,也让许多早该消解的情绪、早该翻篇的争吵、早该结束的骂战,早该消弭的恨意,像无处可归的幽灵化为沉重的顽石,永远停留在原地。
互联网拔群的记忆力打破了时空的桎梏,却也让我们的生活变得平面,一览无遗。隐私和公众的分界变得模糊,过去和未来的嬗变被彻底无视,人们盲目追求某种意义上的「一致」和「同一」,却忘记了——人工智能姑且算法各异,来自不同文化、不同民族的人类又怎么可能获得完全意义上的同一。
让互联网学会遗忘看似是一件很简单的事情,因为对于绝大多数没有被第三方报道引用过的用户来说,可以通过在各大主流平台注销自己的帐号来让自己从互联网上消失。但正如前文所说,遗忘是一种筛选,并不是简单地消失。这就变成了一个在实际操作层面更为复杂的问题,并且直到目前为止尚无较好解决方案的方向。
类似「三天可见」、「半年可见」以时限作为标准筛选信息的公开程度的模式,似乎与「断电损毁」没有什么区别,本质上都是不加分辨的让时间较长的信息从互联网上永远消失。
一个更加需要面对的问题是,当用户在互联网上分享了越多的信息,用户自身也越来越难以梳理曾经发表的内容。从最简单的例子来说,随着个人云存储和高质量拍照手机的普及,越来越多的人放弃了对自己照片的整理,而选择用云服务存储来存储所有照片。看似「全量保存」了生活中的美好记忆,但却实际让那些真正高光时刻的照片与视频被淹没在海量的重影废片里。
一些云存储服务借此推出了人工智能整理的功能,通过对照片内容的分析,为用户收藏、修改和删除照片提供建议,帮助用户在自己庞大的照片库中以相对自然的搜索方式找到想要的照片。也许,这一产品模式会向其他领域发展,让用户能够在相对轻松地体验下主动「遗忘」自己过去发表的不重要的或不恰当的信息。
未来正是因为和过去有区别,人不被记忆束缚于原地,才能够破解物种进化的密码,达成食物链顶端的成就。互联网发展日新月异的目的,并不是让人类在原地踟蹰不前,更不是挟科技作恶。所有技术的最终指向,都应当是更好,更和谐,更从容的社会与生活。
原文链接:https://mp.weixin.qq.com/s/-H6R71Vhly0QDQLT0T7N8A
编辑:陈茗

767#
 楼主| 发表于 2019-10-6 20:16:06 | 只看该作者
【案例 数据】
何渊 | GDPR政府机关第一案:保加利亚国家税务局被罚300万欧元
整理人:何渊,上海交通大学数据法律研究中心执行主任,DataLaws主理人。未经授权不得转载!
保加利亚个人数据保护委员会(CPDP”)于2019829日依据GDPR规定,针对一起数据泄露事件作出了处罚,该案不仅是保加利亚在数据合规领域的最高处罚,罚款总额超过600万保加利亚列弗(约合300万欧元);而且该案的被处罚对象非常特殊,保加利亚国家税务局(“NRA”)是典型的国家行政机关;同时,该案也是欧盟史上第一起国家行政机关因违反GDPR规定而处罚的案件。这也清楚地表明了CPDP打算对数据泄漏事件采取强力措施,无论涉及公共当局还是私人实体。
案件背景
2019715日,一名黑客成功突破保加利亚国家税务局(“NRA")的安全系统,并下载了超过500万保加利亚公民的个人数据。这是迄今为止保加利亚最大的个人数据泄露事件。由于NRA在发现数据泄露后并没有采取充分的保护措施,CPDPNRA处以约300万欧元的罚款。
报道称,这次数据泄露事件的受害范围涉及到几乎全体保加利亚国民,其危害影响深远。被盗的信息包括保加利亚人的姓名、住址以及个人收入等。保加利亚科学院助理教授、网络安全研究员维塞林邦切夫(VesselinBontchev)表示:“可以肯定的是,几乎所有保加利亚成年人口的个人数据都已被泄露。”事发后,保加利亚当局采取行动,逮捕了一名20岁的涉事男子,相关机构目前正在调查是否有其他人参与此案。
报道指出,事发于6月,但盗取信息的黑客在周一(715日)给保加利亚媒体发了一封电子邮件,部分被黑的信息(约11 GB)已泄露给本地媒体。邮件除了批评保加利亚政府网络安全状况之外,还分享了访问被盗数据的途径。此外,邮件还声称,超过500万个人以及企业的信息被窃。
处罚金额
依据GDPR的规定,保加利亚国家税务局(“NRA”)本来可能面临最高2000万欧元的罚款,但CPDP最终仅仅处以300万欧元,理由大致如下:
其一,CPDP负责人Ventisalav Karadzho表示,罚款的主要目的是确保国家机关将来遵循正确的数据处理程序,而不是为了惩罚。
其二,保加利亚国家税务局在发现数据盗窃事件后已经采取了一些数据保护措施,如解雇两名高级IT专家。
其三,这次数据泄露与保加利亚政府在网络安全方面(尤其是关键基础设施防护)的投入严重不足有关,缺乏基本的侵权防护,并不仅仅是保加利亚国家税务局的过错。
其四,造成的后果并不是过于严重。财政部长弗拉迪斯拉夫·戈拉诺夫(Vladislav Goranov)表示,尽管此次漏洞影响了数百万人,但并未被归类为情报,也不会危害该国的金融稳定。他还说,被黑客入侵的数据不够详细,无法提供有关任何人的财务信息的“实质性结论”,并且,如果有人试图利用这些数据,则“将受到保加利亚法律的影响”。
事实上,无论是政府机关,还是公司企业,都无法完全消除数据泄露的风险,即使为确保内部组织和安全措施所付出再多的努力。因此,如何应对数据泄露事件?如何采取实质措施避免损害的扩大或减轻不利影响?这才是问题的关键。
什么是“个人数据泄露”?
根据GDPR的规定,个人数据泄露是指导致传输、存储或以其他方式处理的个人数据的意外或非法销毁、丢失、更改,或者未经授权的披露或访问等安全破坏。尽管数据泄露通常与有针对性的网络攻击有关,但各种日常行为甚至某些无意的操作都可能导致数据泄露,例如丢失公司的电话、笔记本电脑或USBIT系统或硬件故障;数据物理破坏等。数据泄露可能会影响公司员工、业务合作伙伴、客户及其雇员,以及与公司相关的自然人的个人数据。
根据GDPR,数据泄露后应采取什么措施?
1.意识到数据泄露
在组织意识到数据泄露之后,触发根据GDPR规定的数据控制者的所有通知等法律义务。为了确保符合GDPR,何时可以视为数据控制者“了解”数据泄露至关重要。
GDPR的含义内,当数据控制者以合理怀疑的方式确定发生了导致个人数据遭到破坏的安全事件时,将被视为“已意识到”。由于“了解”的确切时间取决于特定的事实和情况,因此,怀疑数据已泄露的组织都应立即专注于调查该事件,以确定是否以及在多大程度上影响了个人数据。
2.在最初的24小时内立即采取行动
GDPR将数据泄露的初始风险评估的法律责任分配给了数据控制者。尽管这个接管没有受到监管,但是数据控制者最初应对数据泄露事件的效率以及防护措施的充分性,会直接影响监管机构后续的处罚力度及金额。为了及时遏制数据泄露时间,组织应当在前24小时内采取以下行动:
-通知组织中的数据保护官/其他负责人,并提供有关该事件的所有可用信息;
-对数据泄露以及有关个人权利的潜在风险进行初步调查和评估;
-实施适当的技术和组织措施以避免或减轻数据泄露的潜在风险,这些措施包括:冻结所有受影响的设备,以限制进一步的暴露;隔离受影响的系统,以最大程度降低进一步损坏的风险;更改所有密码和登录凭据;与系统管理员联系以激活其他IT安全软件等;
-在整个调查和补救过程中,正确记录与数据泄露有关的所有步骤和行动,因为主管监管机构可能会使用此文件来确定对GDPR的遵守情况。
3.72小时内的动作
如果对数据泄露的初步评估表明该数据泄露对自然人的权利和自由构成“风险” ,则数据控制者有义务在知悉该信息后的72小时内通知主管监管机构。如果出于不可抗力或其他原因不能满足72小时的期限,则及时应向监管机构说明延误的理由。否则,可能会被处以最高1000万欧元的罚款或全球营业额的2%。
数据泄露通知至少应包含以下信息:
-数据泄露的性质,以及在可能的情况下,有关数据主体的类别和大概数量/有关类别和个人数据记录的大概数量;
-数据保护官或其他联系人的名字和联系方式;
-数据泄露的可能后果;
-为解决数据泄露而已采取或拟采取的措施,包括在适当情况下减轻其可能的不利影响的措施。
如果不可能一次完整地提供上述信息,建议确保在72小时的截止时间内先行提供部分信息,并向监管机构保证尽快提供完整信息。以这种方式,数据控制者可以减轻通知延迟所面临的制裁风险。
4.针对受影响的数据主体的后续行动
如果对数据泄露的初步评估表明自然人的权利存在很高的风险,那么还应立即通知受到数据泄露影响的数据主体,不要拖延。给数据主体的通知应以简洁明了的语言描述数据泄露的性质,并至少包含与向主管监管机构的通知相同的信息,以及有关如何处理数据的具体建议,以便减轻数据泄露的不利影响。
而在以下情况下,数据控制者无需通知受影响的数据主体:
-数据控制者已对受影响的个人数据实施了适当的技术和组织保护措施,并采取了适当的技术和组织保护措施(尤其是使未经授权访问任何个人无法理解的个人数据的措施);
-数据控制者已采取后续措施,以确保不再可能对数据主体的权利和自由带来高风险;
-数据控制者要通知受影响的数据主体会付出不成比例的努力;则应该进行公共沟通(或其他类似措施)以有效地告知受影响的数据主体。
不遵守遵守通知要求,会有什么后果?
不遵守GDPR下的通知要求可能会造成严重的负面影响:
一是,面临最高1000万欧元的行政罚款或占公司全球营业额的2;
二是,所在国的监管机构行使其调查和纠正权力(例如,数据保护审核,发布强制性指令,限制数据处理操作等);
三是,受影响的数据主体向法院提起诉讼,直接索赔因数据泄露而遭受的任何损失;
四是,对公司声誉的巨大损害。
来源:数据法盟
编辑:晓晴

766#
 楼主| 发表于 2019-10-6 17:27:26 | 只看该作者
【案例
英美达成数据跨境获取执法协议 美国《云法案》首现域外突破
原创: 吴沈括 张力威  
吴沈括,北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长。
张力威,北京师范大学网络法治国际中心研究助理、法国斯特拉斯堡大学硕士。
2019103日,美国政府与英国政府首次正式就执法部门电子数据的跨境获取达成协议,美国“云法案”(CLOUD ACT,也即《澄清合法使用海外数据法案》)取得历史性海外推进,将对数据治理国际格局产生重大影响。
在恐怖主义犯罪、儿童色情和其他网络犯罪的情形下,两国执法部门皆可在授权下,并在数据保护法的限制范围内——特别是在牵涉美国的死刑案件和英国的言论自由案件时——直接向有关科技公司,而非通过当地政府,采集数据。
而在本协议签署之前,根据既有的两国法律互助协定,这一采集程序可能需要花长达两年的时间完成,并可能导致大量数据因不能及时采集而灭失。
美国司法部长威廉·巴尔认为,这一协议可以通过提供快速有效的数据获取手段,加强英美两国在共同打击上述严重犯罪中的合作,共同应对21世纪的新挑战、新威胁,并在为两国公民提供更佳的安全保证的同时,保护两国公民的隐私和自由。
英国内政大臣普丽蒂·帕特尔也表示,这一历史性协议将大大加快针对严重罪行的调查,使两国执法机构能更好地保护公众,应对恐怖主义和儿童色情问题。并且,该协议只是其“与美国建立长久安全伙伴关系的一个例子”,他们还将继续推进这一领域的合作。
就直接的务实影响来看,这项协议将推进数十项对疑似恐怖主义犯罪和儿童色情犯罪的调查,包括2018年因儿童性虐待等137项行为被判有罪的Matthew Falder案。
该项协议将在交由美国国会和英国议会审议后生效。
来源:网络法治国际中心  
编辑:晓晴

765#
 楼主| 发表于 2019-10-5 19:26:12 | 只看该作者
【案例】



   今天我对GDPR史上最高罚款的英航数据泄露案的最新进展进行了跟踪。请大家指正[抱拳]
   在我看来,“要么没事,要么坐牢”的法律环境让中国很多数据从业人员铤而走险,行走在刀锋之上。如何改变这种现状?!英国信息专员公署(ICO)的巨额行政处罚制度以及民事集体诉讼制度可以给予我们很多的启示。


编辑:宋婷

764#
 楼主| 发表于 2019-10-5 19:21:43 | 只看该作者
【案例】
何渊 |英航数据泄露案启动集体诉讼,每位受害者可能获得至多16000英镑的赔偿
引言:面对频爆的数据泄露事件(如数据堂案、巧达案、瑞智华胜案及12306案等),中国的消费者能采取怎样的法律手段呢?!
答案非常令人遗憾的:束手无策。目前相对畅通的是刑事路径,但数据泄露很难够上刑罚;对于数据泄露的行政处罚,监管机构缺乏法律的授权,急需《个人信息保护法》和《数据安全法》的出台;民事方面,虽然庞理鹏在起诉东方航空、去哪儿的诉讼中获得初步胜利,但只是赢得了“赔礼道歉”,并没有获得任何经济的赔偿。事实上,作为律师的庞理鹏付出的时间成本和专业成本是一般民众难以承受之重;至于民事集体诉讼,更是无从说起,急待民事诉讼法的制度创新。
毋庸讳言的是,“要么没事,要么坐牢”的法律环境让很多数据从业人员铤而走险,行走在刀锋之上。如何改变这种现状?!英国信息专员公署(ICO)的巨额行政处罚制度以及民事集体诉讼制度可以给予我们很多的启示。
集体诉讼的最新进展
10月4日,英国航空数据泄露案的集体诉讼将继续进行,英格兰和威尔士高等法院法官马克·沃比(Mark Warby)法官批准了这项集体诉讼,允许索赔人就2018年9月数据泄露事故集体起诉英国航空公司。

被告英国航空公司上个月采取了罕见的提议集体诉讼的步骤。但是,索赔人的律师今天成功地挑战了航空公司拟议的某些条款,包括延长索赔人可以加入诉讼的期限。
因果航空公司最初提出了一个17周的截止日期,以允许索赔人加入该组织,但当事方后来同意将这一期限延长至索赔人向高等法院正式提起诉讼后的12个月。
Warby法官今天裁定,双方之间的问答时间应延长至两个月,以便英国航空公司有时间提供全部信息。索赔人提出正式索赔的截止日期为2020年1月。
争议焦点
在审前,英国航空公司向索赔人提供了描述袭击的“叙述性信件”,但索赔人争辩说,这没有为他们提供足够的细节来提出具体索赔。索赔人认为,航空公司必须在袭击发生时向他们提供有关其安全的详细信息,然后才能提出具体索赔数额。
索赔人引用了ICO的声明,强调数据泄露事件已影响了500,000人。但英国航空公司今天表示,该数字“实际上是不正确的”,并指出其内部调查发现,这次袭击影响了43.3万张支付卡,这意味着更少的人,因为许多人拥有一张以上的卡。
索赔人指责英国航空公司在10/4的听证会之前拖延了脚步,称该航空公司“自5月以来一直在欺骗我们”。但英国航空公司表示,ICO对该航空公司罚款使该公司承受“巨大压力”,并延迟了对索赔人的回应。索赔人则坚持认为,ICO处罚程序可能给英国航空造成了负担,但集体诉讼程序“不能被视为[ICO]程序的不良关系。”
数据泄露事件的经过
英国航空公司于2018年9月向英国信息专员公署(ICO)通报了数据泄露事故,该事故涉及英国航空公司网站的用户流量被转移到欺诈网站。通过这个虚假网站,黑客攻击者收集了英航客户详细信息。大约500,000名客户的个人数据在此事故中受到了损害,而这一事故始于2018年6月。
英国信息专员公署(ICO)通过调查发现,英国航空公司在登录、支付卡、旅行订单详情以及姓名、地址等信息的安全保护方面都存在很大的隐患。
ICO作出GDPR史上最高罚款
信息专员Elizabeth Denham说:“人们的个人数据只能是个人的。当一个组织未能保护个人数据免受损失、损坏或被盗时,这不仅仅给人们带来不便。法律上有一点是明确的,即当您被委托处理个人数据时,您必须保管好它。对于那些没有履行该法律义务的组织,将面临我们办公室的调查,以确定他们是否已采取适当措施保护人们的基本隐私权利。“
经过广泛调查后,ICO已发出通知,其将对英国航空公司罚款1.83亿英镑,理由是后者违反《通用数据保护条例(GDPR)》。这在一定程度上促使了大规模的集体诉讼。
谁能获得赔偿?
数据泄露事故发生后,英国航空公司向受到数据泄露影响的客户发送了电子邮件通知,让他们知道其可能已受到数据泄露的影响。该数据泄露事故影响了在2018年8月21日至2018年9月5日之间通过BA.com或BA应用程序进行预订、更新或付款的客户。
Warby法官今天裁定,任何收到这些电子邮件的人都可以参加诉讼,只要他们能够提供证明他们受到影响的信息即可。Warby法官还裁定,英国航空公司不必按照索赔人的律师的要求,通过其网站或电子邮件将集体诉讼命令通知索赔人。他说,索赔人公司可以通过包括社交媒体在内的自己的渠道来发送通知。集体诉讼令也将在法院网站上发布。
赔偿金额及维权成本
索赔方向法院申请的赔偿总额是“史无前例”的,大约为30亿英镑。
代表索赔人的律师指出,受影响的客户每个人最多可以要求赔偿1,250英镑(1,396欧元)。而根据先例,受影响的客户至少可以获得750英镑(841欧元)。在遭受严重生理伤害的情况下,受害者可能会获得最高为16,000英镑的赔偿。
至于维权成本,如果案件成功,那么索赔人大约将支出30%的赔偿金作为律师费用。
作者:何渊
来源:数据法盟 原文

编辑:宋婷

763#
 楼主| 发表于 2019-10-4 17:49:40 | 只看该作者
【案例】何渊:突发案例!欧盟法院有权命令Facebook删除全球范围内的非法内容!附判决书全文



本案要点:
1.欧洲法院(ECJ)周四的裁决可能会对Facebook造成沉重打击,同样也值得中国的平台类企业高度关注。
2.法院裁定,如果平台上的内容在欧盟被认为是非法的,则Facebook必须在全世界范围内删除,而不仅仅限于欧洲内部。
3.此案是由奥地利政治家提起的诉讼,因为她要求删除针对她的诽谤性帖子,但遭到了Facebook的拒绝。


   10月3日,欧洲法院作出裁定:欧盟法院有权命令Facebook之类的平台企业删除全球范围内的违法内容。该法院在一周前则表示,欧盟法律并未明确全球范围内的被遗忘权。
     欧洲法院今天说,欧盟法律并不禁止法院命令平台企业删除先前被宣布为非法的内容,并且此类命令具有全球范围内的法律效力。
     该裁决是对奥地利政治家伊娃·格拉维施尼格-皮切克(Eva Glawischnig-Piesczek)的起诉的回应,她在Facebook未能根据其要求删除评论后于2016年在奥地利提起诉讼。一位Facebook用户在发表评论并附有政治人物的文章的旁边发布了评论,而奥地利法院则认定该用户的评论具有诽谤性。
     而本案的争议焦点是Facebook是否应当对该帖子负责。根据欧盟的《电子商务指令》,如果平台企业不知道存储的信息是非法的,或者如果他们一知悉就迅速采取行动删除信息或禁止对该信息的访问,则平台企业不需要对该信息负法律责任。
     欧洲法院裁定Facebook对该帖子应当负法律责任,因为它明知该评论是非法的,却没有迅速删除该帖子或切断对该帖子的访问。
     该法院还表示,该指令并未阻止欧盟法院命令平台企业删除或阻止访问其存储的与已被视为非法的内容相同或“相等”的信息。值得注意的是,欧洲最高法院还裁定,只要这些命令不与当地国法律冲突,它们将适用于世界各地,当然欧盟成员国应充分考虑当地法律。
     就在一周前,欧洲法院表示,欧盟法律没有明确禁止成员国当局在欧盟以外作出基于数据保护的删除命令。然而,欧洲最高法院并没有裁定被遗忘权在全球范围内的使用。
     对于该裁决,Facebook发言人在声明中表示:“这一裁决提出了关于言论自由的关键问题,以及互联网公司在监控、解释和删除可能在任何特定国家非法的言论方面应该扮演的角色。”
     他们说,Facebook已经有了一些标准,列出了人们可以在其平台上分享什么,不可以分享什么,以及如果违反了当地法律,可以对内容进行限制的程序。
     这位发言人表示:“这项裁决走得更远。”“它破坏了一个国家无权将其法律强加于另一个国家这一长期存在的原则。它还为互联网公司主动监控内容、然后解释其是否与被发现非法的内容‘等同’的义务打开了大门。”
     他们补充说,法院必须对“相同”和“相等”的实际含义作出非常明确的定义。“我们希望法院采取适当和慎重的方式,避免对言论自由产生寒蝉效应。”


来源:数据法盟

编辑:宋婷

762#
 楼主| 发表于 2019-10-3 16:40:11 | 只看该作者
【案例】何渊:详解欧盟cookie第一案,附判决书全文!


10月1日,欧盟法院就“cookie合规”作出了一个备受关注的裁决:欧盟数据控制者和数据处理者不能通过“预选框”的方式来有效地获得数据主体的同意,而更强调的是数据主体的积极同意和实质同意。毫无疑问的是,这个新规则会对很多网络运营者带来挑战和冲击,他们必须重新评估和更新其Cookie同意规则,否则将面临巨额的罚款和品牌的损失。

因为对法律适用存在争议,所以德国联邦法院联邦议院(Bundesgerichtshof)请求欧盟法院就第2002/58 /号指令第5条第3款和第2条f款的含义以及相关的95/46 / EC指令第2(h)条和第2016/679号条例第6(1)(a)条的适用作出初步裁定,具体涉及欧盟《在线隐私指令》(the ePrivacy Directive)和欧盟《通用数据保护条例》(EU General Data Protection Regulation)。

案情


德国消费者组织联合会(The German Federation of Consumer Organisations)在德国法院起诉了一家名为“Planet49”的德国公司,这家公司试图通过预先选中的复选框来存储用户的cookie,并通过cookie收集信息并推广在线游戏。

该案涉及在线游戏公司Planet49组织的彩票活动。如要获得彩票,用户必须先按提示输入他们的邮政编码、姓名和地址,然后出现两个带有说明文字的复选框:第一个复选框要求用户同意与第三方公司联系以获取促销优惠;第二个复选框包含一个预选的勾号,要求用户同意在其设备上安装cookie。为了能够参加彩票活动,用户需要勾选第一个复选框。


争点


欧盟法院关注的争点是“用户的同意是否成立”。在本案中,用户必须通过‘取消选择’预先勾选框的方式来表达“同意的拒绝”,而“预先勾选框”是否构成商户获得在用户配备的终端上存储信息和存储cookie的“有效同意”?欧盟法院还进一步澄清:信息服务提供商是否需要向用户提供有关cookie操作持续时间的信息,以及是否允许第三方访问cookie。

关键点之一:必须通过积极的行为获得同意

通过适用欧盟第95/46号指令和第2016/679号条例中的“同意条款”,欧盟法院认为,用户必须通过某种积极行为获得用户的同意,预选框不构成数据主体的有效同意。

由于第2002/58 / EC号指令第5条第3款的措词是,用户必须“明示授予”其终端设备上的cookie存储和访问权限,因此法院承认该声明“不……表明必须给予同意的方式。”指令95/46第2(h)条将“数据主体的同意”定义为“任何自由给出的关于其意愿的具体而知情的意思表示,数据主体通过这种意愿表示同意接受与他有关的个人数据。”在此定义中,欧盟法院的意见集中在“指示”一词上,这“显然是指主动而不是被动的行为。”

因此,如果预设了用户同意的格式条款,则该用户并不会给予积极的同意。正如欧盟法院的裁决书所说,“如果用户不同意安装cookie,则要求用户积极地删除方框中的勾子并因此变得活跃,这不符合主动同意的标准。……相反,要求用户在方框中打勾则比较符合‘积极的同意’”。实际上,GDPR的第32条列举了“在访问互联网网站时打勾”的例子,说明了如何从用户获得有效的同意。

关键点之二:同意要求也适用于“非个人数据”的信息

正如欧盟法院裁定书所指出的那样,第2002/58号指令第5(3)条提到的“信息存储,或获得对已存储信息的访问权”,这里的信息既指GDPR第4(1)条规定的“个人数据”,也包括“非个人数据”。GDPR第24、25节以及第29工作组的意见都佐证了上述观点。

关键点之三:必须提供使用cookie持续时间和第三方访问等信息

欧盟法院裁定书认为,服务提供商必须提供给用户的信息还包括:cookie的操作持续时间,以及第三方访问这些cookie的具体情形。

尚未解决的问题

“同意”是个人数据合规领域至关重要的话题,监管机构、立法机关、司法机关以及数据法共同体都应当为此而共同努力,虽然欧盟法院增强了“同意”的清晰度和主动性,但仍有很多悬而未决的问题。

如用户的“自由的同意”是否是商户以“广告”为目的而处理用户个人数据的前提条件?这就是所谓“ Cookie墙”问题。欧盟各国对此存在很大的争议,法国、德国、荷兰等国的DPA反对“ Cookie墙”,而英国信息专员办公室则支持“ Cookie墙”。

未来制度的设想


在5G和人工智能双擎驱动的时代,“以同意为基础”的数据保护制度是否已经过时?

一方面,“同意”使得数据主体事实上承担了过多的法律义务,而减轻了数据控制者和数据处理者的法律责任,即只要获得了数据主体的“具体而明确的同意”,数据控制者和数据处理者怎么处理其个人数据都是合法合理的,而由此造成的不利后果,只能由数据主体来承担。

另一方面,“隐私政策”使得“同意”变得可有可无,缺乏实际效果。“隐私政策”的过长篇幅和艰涩的法律术语,使得数据主体产生严重的畏难情绪,即使数据主体有时间完整阅读“隐私政策”,也会深陷泥潭、云里雾里以及不知所云。

因此,我们是否有可能构建一种全新的数据保护制度,即从“数据主体中心主义”为基石的事先“同意”制度转到以“数据控制者和处理者”为焦点的事后责任追究制度?不仅要构建严格的刑罚制度,而且还要构建数据主体对抗数据控制者的利器——真正意义上的民事集体诉讼和公益诉讼机制,更重要的是构建具有足够威慑力的行政处罚机制——以行政和解协议为基石。上述制度是否可行,还有待于进一步论证和阐述。

来源:数据法盟
链接:https://mp.weixin.qq.com/s/8rqDF4aRrxTY92Qd8rkiuA

编辑:晓晴

761#
 楼主| 发表于 2019-10-2 22:07:55 | 只看该作者
案例
何渊:欧盟法院裁定Cookie的存储和利用需要征得互联网用户的积极同意和实质同意,预先勾选的复选框无效 | DataLaws
整理人:何渊,上海交通大学数据法律研究中心执行主任,DataLaws主理人。
数据君:本周二,欧盟法院就cookie合规”作出了一个备受关注的裁决:欧盟数据控制者和数据处理者不能通过“预选框”的方式来有效地获得数据主体的同意,而更强调的是数据主体的积极同意和实质同意。毫无疑问的是,这个新规则会对很多网络运营者带来挑战和冲击,他们必须重新评估和更新其Cookie同意规则,否则将面临巨额的罚款和品牌的损失。
德国消费者组织联合会(The German Federation of Consumer Organisations)在德国法院起诉了一家名为“Planet49”的德国公司,这家公司试图通过预先选中的复选框来存储用户的cookie,并通过cookie收集信息并推广在线游戏。
因为对法律适用存在争议,所以德国联邦法院联邦议院(Bundesgerichtshof)请求欧盟法院就第2002/58 /号指令第5条第3款和第2f款的含义以及相关的95/46 / EC指令第2h)条和第2016/679号条例第61)(a)条的适用作出初步裁定,具体涉及欧盟《在线隐私指令》(the ePrivacy Directive)和欧盟《通用数据保护条例》(EU General Data Protection Regulation)。
对此,欧盟法院裁定,网站用户必须对其设备上cookie的存储和访问具有足够的控制力,网站通过预先选中的复选框并不能有效地构成“用户的同意”,网站用户必须有权取消选择复选框并拒绝作出“同意”的意思表示。该决定不受用户设备上存储或访问的信息是否为个人数据的影响。欧盟法律旨在保护用户免受其私人生活的任何干扰,尤其是避免隐藏标识符和其他类似设备在用户不知情的情况下进入用户终端设备的风险。
欧盟法院进一步指出,用户的同意必须是具体明确的,预先选中的复选框不足以构成“用户的同意”,即用户有效或实质地同意了他或她对cookie的存储。此外,欧盟法院还指出,服务提供商必须提供给用户的信息还包括:cookie的操作持续时间,以及第三方访问这些cookie的具体情形。
来源:数据法盟
编辑:晓晴

发表回复

您需要登录后才可以回帖 登录 | 实名注册

本版积分规则

掌上论坛|小黑屋|传媒教育网 ( 蜀ICP备16019560号-1

Copyright 2013 小马版权所有 All Rights Reserved.

Powered by Discuz! X3.2

© 2016-2022 Comsenz Inc.

快速回复 返回顶部 返回列表